1 / 32

SSL protokol

SSL protokol. Prof. dr Mladen Veinovi ć, dipl.ing. SSL. Secure Socket s Layer – SSL Bezbedna veza između dva porta aplikacija Uveden je 1995. godine od strane Netscape -a (vodeći brauzer iz tog doba) Koristi se i u Internet Exploreru SSL obezbeđuje:

major
Télécharger la présentation

SSL protokol

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SSL protokol Prof. dr Mladen Veinović, dipl.ing.

  2. SSL • Secure Sockets Layer – SSL • Bezbedna veza između dva porta aplikacija • Uveden je 1995. godine od strane Netscape-a (vodeći brauzer iz tog doba) • Koristi se i u Internet Exploreru • SSL obezbeđuje: • Dogovaranje parametara između klijenata i servera • Međusobnu proveru identiteta između klijenta i servera (autentikacija) • Tajno komuniciranje (šifrovanje) • Zaštitu integriteta podataka (heširanje)

  3. Aplication Layer Transport Layer Network Layer Transportni sloj • Predstavlja suštinu hijerarhije protokola • Zadatak transportnog sloja: • Obezbeđenje efikasnog, puzdanog i isplativog prenosa podataka od izvorišta do odredišta • Nezavisnost od fizičke mreže ili mreže koja se trenutno nalazi između izvorišta i odredišta • Transportni sloj obezbeđuje usluge aplikativnom sloju, a koristi usluge mrežnog sloja • Izvori i odredišta su najčešće procesi u sloju aplikacije

  4. Transportni sloj Transportna adresa Sloj aplikacije (ili sesije) Sloj aplikacije (ili sesije) TPDU Transportna jedinica Transportna jedinica Mrežni sloj Mrežni sloj Transport Protocol Data Unit Mrežna adresa

  5. Zaglavlje okvira Zaglavlje paketa Transportni sloj Zaglavlje TPDU poruke Koristan teret TPDU poruke Koristan teret paketa Koristan teret okvira

  6. Transportni sloj • Osnovna uloga transportnog sloja: • Izolacija viših slojeva od tehnologije, strukture i nedostataka podmreže • Transportni sloj poboljšava kvalitet usluge i ostvaruje pouzdaniju uslugu u odnosu na mrežni sloj • Usluge prenosa transportnog sloja mogu biti: • Sa uspostavljajem direktne veze: uspostavljanje veze, prenos podataka i raskidanje veze • Bez uspostavljanja direktne veze: datagramska podrška (bitna za aplikacije u realnom vremenu)

  7. Transportni sloj • Osnovne operacije: • LISTEN • CONNECT • SEND • RECEIVE • DISCONNECT • Mnogi programi (i programeri) rade sa uslugama prenosa. • Usluge treba da su pogodne i lake za korišćenje • Kod usluga mrežnog sloja mala je fleksibilnost

  8. Transportni sloj • Transportni protokol povezuje dve transportne jedinice • Razlikuje se od protokola mrežnog sloja: • Fizički kanal za komunikaciju je čitava podmreža • Mora se zadati adresa odredišta (kod mrežnog sloja jedan izlaz iz rutera vodi tačno do drugog) router Podmreža Fizički komm. kanal

  9. Transportni sloj • Krajnje tačke – procesi aplikacija na Internetu imaju portove (ports) • Za neke druge mreže uobičajen naziv je Transport Service Access Point - TSAP Računar 1 Računar 2 Proces aplikacije Sloj aplikacije TSAP3 TSAP2 TSAP1 Transportni sloj NSAP1 NSAP2 Mrežni sloj Sloj veze podataka Fizički sloj

  10. Transportni sloj • Uspostava veze – trostepeno usaglašavanje Računar 1 Računar 2 CR(r.b.=x) v r e m e ACK(r.b.=y, ACK=x) Podaci (r.b.=x, ACK=y) CR=CONNECTION REQ. ACK=ACKNOWLEDGMENT

  11. Transportni sloj • Problemi: Stari duplikati Računar 1 Računar 2 v r e m e CR(r.b.=x) ACK(r.b.=y, ACK=x) Odbacivanje (ACK=y)

  12. Transportni sloj • Raskidanje je lakše od uspostavljanja veze • Raskidanje veze • Asimetrično • Jedan od učesnika naglo raskida vezu • Npr. telefonski sistem • Simetrično • Svaka veza je sistem od dve paralelne jednosmerne veze • Svaka jednosmerna veza se raskida zasebno

  13. Transportni sloj • Normalan slučaj raskidanja - trostepeno Računar 2 Računar 1 DR Šalje DR i pokreće tajmer v r e m e Šalje DR i pokreće tajmer DR Raskida vezu Šalje ACK ACK Raskida vezu

  14. Transportni sloj • Upravljanje uspostavljenom vezom • Osnovni zadatak – kontrola toka • Sličnost sa kontrolom toka u sloju veze • Primena kliznog prozora, da brz pošiljaoc ne bi porukama zatrpao sporijeg primaoca • Osnovna razlika • Ruter ima relativno mali broj izlaznih linija • U transportnom sloju se mogu ostvariti brojne veze

  15. Transportni sloj • Upravljanje uspostavljenom vezom • Pošiljaoc mora da baferuje sve TPDU poruke, dok se ne potvrde (za slučaj da ih ponovo šalje) • Na prijemu se takođe obezbeđuju baferi • Fiksni (slaba iskorišćenost) • Cirkularni • Veze se uspostavljaju i raskidaju • Unapred se ne zna broj veza u jednom trenutku • Dinamička dodela bafera (rad sa klizećim prozorima promenljive dužine)

  16. Transportni sloj • Upravljanje uspostavljenom vezom • Brzina slanja podataka zavisi od broja slobodnih bafera primaoca • Može se popraviti dodavanjem više RAMa • Sledeće ograničenje: prenosni kapacitet podmreže • Kontroliše se pošiljaoc, da na mreži ne bi bilo previše nepotvrđenih TPDU (klizeći prozori promenljive dužine) • Određivanje prenosnog kapaciteta mreže • Brojanjem potvrđenih TPDU u jedinici vremena • Radi se povremeno, jer se menjaju uslovi prenosa

  17. Transportni sloj • Protokoli transportnog sloja • UDP - User Datagram Protocol: protokol za rad bez uspostavljanja direktne veze • TCP Transmission Control protocol: protokol sa uspostavljanjem direktne veze

  18. SSL • Mesto SSL protokola u protokol steku

  19. SSL • Najčešća primena SSL protokola • Kod Web čitača • Kada se protokol HTTP koristi preko SSL-a tada se on naziva Secure HTTP – HTTPS • Standardni port HTTP-a je 80, ili se koristi novi port 443 • Nakon uspostavljanja bezbedne veze vrši se: • Komprimovanje podataka • Šifrovanje komprimovanih podataka

  20. SSL • U toku uspostave sesije, jedan od identifikatora pokazuje na viši protokol (protokol aplikacije) • HTTP • FTP • SMTP

  21. SSL • SSL Ver 3 • Više različitih algoritama • Sa ili bez kompresije • Različito tretiranje usluga za SAD ili izvan: • Ako su oba porta aplikacije u SAD ključ je pune dužine (zavisno od algoritma) • Ako je bar jedan port izvan SAD, dužina ključa je 40 bita, a dodatni biti do pune dužine ključa se šalju otvoreno • Npr. RC4 algoritam sa 128 bita od čega se 88 bita prenosi otvoreno

  22. SSL • SSL sadrži dva protokola: • Uspostava bezbedne veze – SSL Handshake • Omogućava autentikaciju klijenta i servera, razmenu parametara za šifrovanje i dogovaranje tajnog ključa za simetrični alg. šifrovanja • Korišćenje bezbedne veze – SSL Record • Deljenje na poruke određene dužine • Kompresija • Heširanje kompresovanog dela + Tajni ključ • Šifrovanje i prenos poruka

  23. SSL • Moguće opcije koje se dogovaraju: • PKI: RSA, Diffie-Hellman, DSA ili Fortezza; • Simetrični algoritmi: RC2, RC4, IDEA, DES, Triple DES, AES ili Camellia; • One-way hash functions: MD2, MD4, MD5 ili SHA.

  24. Uspostava veze Verzija, kompresija (da/ne), ALG, SN_A Verzija, SN_B ŠIFROVANO (PKI) SN dužine 384 bita, Izračunaj TajniKlj SN_A, SN_B, SN Izračunaj TajniKlj SN_A, SN_B, SN

  25. Uspostava veze • Upozorenje: • SSL može da uspostavi vezu između klijenta i servera bez identifikacije klijenta i servera • Podaci se štite samo simetričnim šifrovanjem • Ključ za šifrovanje je prenet komunikacionim kanalom i dogovorom klijenta i servera

  26. Uspostava veze • Obnavljanje SSL sesije • Klijent i server mogu da nastave prenos podataka, ako su pre toga komunicirali preko SSL-a (ako je postojala sesija) • Razmene samo SN_A i SN_B i računaju novi Tajni ključ • Izbegava se identifikacija • Ukoliko server ne pronađe identifikator prethodne veze (sesije), prelazi se na standardnu punu fazu identifikacije

  27. Šifrovanje • Ozbiljnije aplikacije: • Trostruki DES (ključ dužine 168 bita), • SHA1 za integritet poruke – na primer za elektronsko bankarstvo • Jednostavnije aplikacije • RC4 algoritam (ključ dužine 128 bita), • RC4 je sekvencijalni šifarski algoritam • Kriptoanalitički napad na neke slabe ključeve • MD5 za integritet poruke

  28. Šifrovanje

  29. TLS • 1996. godine IETF (Internet Engineering Task Force) je standardizovao TLS – Transport Layer Security • RFC 2246 • Sesijski ključ se formira na drugačiji način i otporniji je na kriptoanalizu • TLS (SSL ver 3.1) nije kompatibilan sa SSL ver 3 • Prve realizacije su se pojavile 1999. godine

  30. SSL • Primena: • Za E-plaćanje preko Interneta • Visa, MasterCard, American Express • Zaštićen prenos broja kreditne kartice

  31. Authentication • Literatura • A. Tanenbaum, Računarske mreže, prevod Mikro knjiga • www.wikipedia.com

  32. DISCUSSION QUESTIONS?

More Related