SSL_VPN原理

SSLVPN原理ISSUE2.0日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播随着VPN技术的发展，L2TP和IPSEC的缺陷日益突出，急需一种新型的VPN代替，SSLVPN就是在这样的条件下诞生！引入了解SSL原理和体系结构掌握SSL记录和握手协议课程目标学习完本课程，您应该能够：SSL简介SSL体系结构SSL记录协议SSL握手协议目录概述SSL（SecureSocketLayer）安全套接层是一种运行在两台机器之间的安全通道协议；也可以运行在SSL代理和PC之间；功能：保护传输数据（加密），识别通信机器（认证）；SSL提供的安全通道是透明的，几乎所有基于TCP的协议稍加改动就可以直接运行于SSL之上；目前，IETF将SSL作了标准化，推出TLS传输层安全协议（RFC2246）整合取代，它工作在TCP之上。TLS1.0与SSL3.0的差别非常微小。协议组成握手协议：对服务器进行认证；确立用于保护数据传输的加密密钥；记录协议：传输数据；SSL连接分为两个阶段，即握手和数据传输阶段；传输任何应用数据之前必须先完成握手。SSL简介SSL体系结构SSL记录协议SSL握手协议目录层SSL简介SSL体系结构SSL记录协议SSL握手协议目录记录层的功能保护传输数据的私密性，对数据进行加密和解密验证传输数据的完整性，计算报文的摘要提高传输数据的效率，对报文进行压缩保证数据传输的可靠和有序记录层的报文格式加密数据报文类型版本长度长度（字节）1字节2字节2字节记录层报文：SSL简介SSL体系结构SSL记录协议SSL握手协议目录握手协议的功能协商SSL协议的版本协商加密套件协商密钥参数验证通讯双方的身份(可选)建立SSL连接握手协议的握手过程无客户端认证的全握手过程会话恢复过程有客户端认证的全握手过程*ServerKeyExchange*ServerHelloDone*ClientKeyExchange[ChangeCipherSpec]Finished[ChangeCipherSpec]FinishedApplicationDataApplicationData客户端支持的最高版本，加密套件列表，压缩算法列表,客户端随机数，会话ID=0服务器同意的版本，加密套件，压缩算法,会话ID,服务器端随机数服务器的证书服务器端密钥交换的附加信息通知对方服务器端握手消息发完客户端产生的PreMasterKey密钥参数通知对方本端开始启用加密参数通知对方本端开始启用加密参数发送自己计算握手过程验证报文发送自己计算握手过程验证报文传送应用层数据[ChangeCipherSpec]Finished[ChangeCipherSpec]FinishedApplicationDataApplicationData上次协商的版本、加密套件、压缩算法、客户端随机数，上次SSL连接的会话ID服务器同意的版本，加密套件，压缩算法,会话ID,服务器端随机数通知对方本端开始启用加密参数通知对方本端开始启用加密参数发送自己计算握手过程验证报文发送自己计算握手过程验证报文传送应用层数据*ServerKeyExchange*ServerHelloDone*ClientKeyExchange[ChangeCipherSpec]Finished[ChangeCipherSpec]FinishedApplicationDataApplicationData客户端的证书前面所有握手消息的数字签名传送应用层数据CertificateRequest*向客户端索要证书Certificate*CertificateVerify*介绍SSL概念和体系结构介绍SSL记录层和握手层的协议本章总结杭州华三通信技术有限公司