Locked History Actions

Transport Layer Security Protocol

Transport Layer Security Protocol.

TLSP

Transporto Lygio Saugumo Protokolas

Apibrėžimas

Transporto Lygio Saugumo Protokolas (TLSP) bei jo pirmtakas, Saugių Soketų Lygmens protokolas yra kriptografiniai protokolai, kurie užtikrina susijungimų TCP/IP tinkluose, tokiuose, kaip Internetas, saugumą ir siunčiamų duomenų konfidencialumą.

Plačiausiai šie protokolai naudojami interneto naršyklėse, elektroniniame pašte, Interneto fakso, susirašinėjimo ir IP telefonijos (VoIP) paslaugoms.

TLS organizavimas

Saugaus ryšio kanalo užtikrinimas naudojantis TLS protokolu atliekamas šiais keturiais žingsniais:

  1. Rankos paspaudimas ir apsikeitimas šifrais.
  2. Šalių autentifikavimas.
  3. Apsikeitimas slaptažodžiais - raktais.
  4. Keitimasis duomenimis.

Šiuos veiksmus atlieka du subprotokolai, kurie, veikdami kartu, ir užtikrina susijungimo saugumą.

  • TLS Rankos Paspaudimo protokolas - (1-3 žingsniai).
  • TLS Rašymo protokolas - (4 žingsnis).

TLS Rankos Paspaudimo protokolas

Transporto Lygio Saugumo Rankos Paspaudimo protokolas yra atsakingas už besijungiančių šalių autentifikavimą ir apsikeitimą kodais, reikalingais užmegzti ar atnaujinti ryšio seansą. Atliekant saugų susijungimą Rankos Paspaudimo protokolas atlieka šias funkcijas:

  • Apsikeitimas šifrais.
  • Autentifikavimas serverio bei (jei tai numatyta) kliento pusėje.
  • Apsikeitimas sesijos raktais.

Apsikeitimas šifrais

Klientas susisiekia su serveriu ir parenkamas šifrų rinkinys, kuris bus naudojamas tolesniems informacijos mainams.

Autentifikavimas

Naudojant TLS serveris turi prisistatyti klientui. Galimas ir toks atvejis, kai ir klientas turi prisistatyti serveriui. Tiksliai autentifikavimo metodą nulemia naudojamas šifrų rinkintys. Pagal jį yra perduodamos viešų/privačių raktų poros.

Apsikeitimas raktais

Klientas ir serveris apsikeičia atsitiktiniais skaičiais bei specialiu numeriu, vadinamu Pre-Master Secret. Šie skaičiai, kartu su papildomais duomenimis leidžia klientui bei serveriui sukurti jų bendrą slaptą ryšį, vadinamą Master Secret. Master Secret yra naudojamas tiek serverio, tiek ir kliento tam, kad būtų galima sugeneruoti rašymo MAC paslaptį, naudojamą maišoje (hashing) bei rašymo raktą, naudojamą kaip sesijos raktą informacijos kodavimui.

Saugaus susijungimo užmezgimas naudojant TLS

TLS Rankos Paspaudimo protokolas dalyvauja šiuose ryšio užmezgimo žingsiuose:

  1. Klientas siunčia "Client Hello" pranešimą serveriui. Prie jo prideda ir kliento palaikomų šifrų sąrašą.
  2. Serveris atsako pranešimu "Server Hello".
  3. Serveris siunčia autentifikavimo certifikatą klientui bei taip pat gali pareikalauti certifikato iš kliento. Serveris siunčia "Server Hello Done" pranešimą.
  4. Jei serveris pareikalavo certifikato iš kliento, šis jį atsiunčia.

  5. Klientas sukuria atsitiktinį Pre-Master Secret bei jį užšifruoja naudodamas viešąjį raktą, buvusį serverio siųstame certifikate. Pre-Master Secret išsiunčiamas serveriui.

  6. Serveris gauna Pre-Master Secret. Tiek klientas, tiek ir serveris pagal Pre-Master Secret sugeneruoja Master Secret bei sesijos raktus.

  7. Klientas siunčia pranešimą "Šifro pakeitimo" pranešimą taip pranešdamas serveriui, jog jis naudos būtent jo sugeneruotus sesijos raktus maišai ir žinučių kodavimui. Taip pat išsiunčiamas pranešimas "Klientas pabaigė".

  8. Serveris gauna "Šifro pakeitimo" pranešimą bei pakeičia savo įrašymo lygio saugumo būseną į simetrinio užšifravimo būseną naudodamas naujai gautus sesijos raktus. Serveris išsiunčia pranešimą "Serveris baigė".

  9. Dabar galima pradėti informacijos mainus saugiu naujai sudarytu ryšio kanalu naudojant sesijos raktus.

TLS Įrašymo protokolas

Transporto Lygmens įrašymo protokolas apsaugo programų siunčiamus duomenis naudodamas raktus, sugeneruotus "Rankos Paspaudimo" stadijoje. Šis protokolas atsakingas už iš aukštesnių lygių atkeliavusios informacijos apsaugojimą bei jų vientisumą ir kilmės analizę:

  • Išsiunčiamų pranešimų padalijimas į lengvai apdorojamus duomenų blokus bei gaunamų blokų sujungimas į pranešimus (fragmentavimas ir defragmentavimas)
  • Išsiunčiamų duomenų blokų suspaudimas bei gaunamų blokų išskleidimas (nebūtina)

  • Pranešimų autentifikavimo kodo (MAC) pritaikymas išsiunčiamiems pranešimams bei gaunamų pranešimų įvertinimas naudojant tą patį MAC kodą.

  • Siunčiamų pranešimų kodavimas ir gaunamų pranešimų dekodavimas.

Kai Įrašymo protokolas baigia savo darbą, siunčiami duomenys yra perduodami į TCP lygmenį tolesnei kelionei.

Literatūra

http://msdn.microsoft.com/en-us/library/aa380516.aspx
http://en.wikipedia.org/wiki/Secure_Sockets_Layer

CategoryŽodis

paskutinį kartą redaguota 2009-02-16 13:40:42 redaktoriaus KarolisStanislauskas