SSL_VPN培训教程(h3c经典教程)_图文

VPN原理 SSL VPN原理
ISSUE 2.0

日期: 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播

引入
随着VPN技术的发展,L2TP和IPSEC的缺陷日益突 技术的发展, 随着 技术的发展 和 的缺陷日益突 出,急需一种新型的VPN代替,SSL VPN就是在这 急需一种新型的 代替, 就是在这 代替 样的条件下诞生! 样的条件下诞生!

课程目标
学习完本课程,您应该能够: 学习完本课程,您应该能够:
了解SSL原理和体系结构 原理和体系结构 了解 掌握SSL记录和握手协议 记录和握手协议 掌握

目录
SSL简介 简介 SSL体系结构 体系结构 SSL记录协议 SSL记录协议 SSL握手协议 握手协议

SSL 概述
SSL(Secure Socket Layer)安全套接层是一种 ( ) 运行在两台机器之间的安全通道协议; 运行在两台机器之间的安全通道协议;也可以运行 代理和PC之间 在SSL代理和 之间; 代理和 之间; 功能:保护传输数据(加密),识别通信机器( ),识别通信机器 功能:保护传输数据(加密),识别通信机器(认 证); SSL提供的安全通道是透明的,几乎所有基于 提供的安全通道是透明的, 提供的安全通道是透明的 几乎所有基于TCP 的协议稍加改动就可以直接运行于SSL之上; 之上; 的协议稍加改动就可以直接运行于 之上 目前, 目前,IETF将SSL作了标准化 ,推出 将 作了标准化 推出TLS传输层安 传输层安 全协议( 之上。 全协议(RFC 2246)整合取代,它工作在 )整合取代,它工作在TCP之上。 之上 TLS1.0与SSL3.0的差别非常微小。 的差别非常微小。 与 的差别非常微小

www.h3c.com

4

SSL在协议栈的位置 在协议栈的位置
Application Application

SSL

SSL

UDP

TCP

TCP

UDP

IP

IP

www.h3c.com

5

SSL协议组成 协议组成
握手协议: 握手协议: 对服务器进行认证; 确立用于保护数据传输的加密密钥; 记录协议: 记录协议: 传输数据; SSL连接分为两个阶段,即握手和数据传输阶段; 连接分为两个阶段, 连接分为两个阶段 即握手和数据传输阶段; 传输任何应用数据之前必须先完成握手。 传输任何应用数据之前必须先完成握手。

www.h3c.com

6

目录
SSL简介 简介 SSL体系结构 体系结构 SSL记录协议 SSL记录协议 SSL握手协议 握手协议

SSL体系结构 体系结构
Application SSL API

握 手 协 议

密 钥 改 变 协 议

告 警 协 议 握 手 层

SSL 层

记 录 层 记录层协议

TCP

www.h3c.com

8

目录
SSL简介 简介 SSL体系结构 体系结构 SSL记录协议 SSL记录协议 SSL握手协议 握手协议

SSL记录层的功能 记录层的功能
保护传输数据的私密性, 保护传输数据的私密性,对数据进行加密 和解密 验证传输数据的完整性, 验证传输数据的完整性,计算报文的摘要 提高传输数据的效率,对报文进行压缩 提高传输数据的效率, 保证数据传输的可靠和有序

www.h3c.com

10

SSL记录层的工作流程 记录层的工作流程

应用模块 应用模块

记录层 记录层
分片 压缩 加密 解压 解密

TCP TCP

www.h3c.com

11

SSL记录层的报文格式 记录层的报文格式

记录层报文: 报文类型
1字节

版本
2字节

长度
2字节

加密数据
长度(字节)

www.h3c.com

12

目录
SSL简介 简介 SSL体系结构 体系结构 SSL记录协议 SSL记录协议 SSL握手协议 握手协议

SSL握手协议的功能 握手协议的功能
协商SSL协议的版本 协议的版本 协商 协商加密套件 协商密钥参数 验证通讯双方的身份(可选 验证通讯双方的身份 可选) 可选 建立SSL连接 连接 建立

www.h3c.com

14

SSL握手协议的握手过程 握手协议的握手过程
无客户端认证的全握手过程 会话恢复过程 有客户端认证的全握手过程

www.h3c.com

15

无客户端认证的全握手过程

Internet
client
ClientHello
客户端支持的最高版本,加密套件列表,压缩算法列表 客户端随机数, 客户端支持的最高版本,加密套件列表,压缩算法列表, 客户端随机数, 会话ID=0 会话 服务器同意的版本,加密套件,压缩算法 会话ID, 服务器端随机数 服务器同意的版本,加密套件,压缩算法, 会话 服务器的证书 服务器端密钥交换的附加信息 通知对方服务器端握手消息发完

server

ServerHello ServerCertificate* ServerKeyExchange* ServerHelloDone*

ClientKeyExchange [ChangeCipherSpec] Finished

客户端产生的PreMasterKey密钥参数 密钥参数 客户端产生的 通知对方本端开始启用加密参数 发送自己计算握手过程验证报文 通知对方本端开始启用加密参数 发送自己计算握手过程验证报文

[ChangeCipherSpec] Finished Application Data

Application Data

传送应用层数据

www.h3c.com

16

会话恢复过程

Internet
client
ClientHello
上次协商的版本、加密套件、压缩算法、 客户端随机数,上次SSL连 上次协商的版本、加密套件、压缩算法、 客户端随机数,上次 连 接的会话ID 接的会话 服务器同意的版本,加密套件,压缩算法 会话ID, 服务器端随机数 服务器同意的版本,加密套件,压缩算法, 会话 通知对方本端开始启用加密参数 发送自己计算握手过程验证报文

server

ServerHello [ChangeCipherSpec] Finished

[ChangeCipherSpec] Finished Application Data

通知对方本端开始启用加密参数 发送自己计算握手过程验证报文 传送应用层数据

Application Data

www.h3c.com

17

有客户端认证的全握手过程

Internet
client
ClientHello ServerHello ServerCertificate* ServerKeyExchange* CertificateRequest* ServerHelloDone*

server

向客户端索要证书

Certificate* ClientKeyExchange CertificateVerify* [ChangeCipherSpec] Finished

客户端的证书

前面所有握手消息的数字签名

[ChangeCipherSpec] Finished Application Data
传送应用层数据

Application Data

www.h3c.com

18

本章总结
介绍SSL概念和体系结构 介绍SSL概念和体系结构 SSL 介绍SSL记录层和握手层的协议 介绍SSL记录层和握手层的协议 SSL

杭州华三通信技术有限公司 www.h3c.com


相关文档

H3C-SSL+VPN典型配置举例
H3C 培训教程D0009 VPN规划设计
下载-H3C-SSL+VPN典型配置举例
H3C SecPath SSL VPN 用户使用手册(
H3C配置经典全面教程
H3C Step by step配通SSL VPN
H3C-VPN配置指导-SSL VPN配置
H3C SecPath SSL VPN超级管理员配置手册
H3C SSL VPN与CAMS联动典型配置举例-5W102
H3C培训教程_H3C交换机基本配置
电脑版