【正文】 ： 會話狀態(tài)可以分為兩種 ： –待決狀態(tài)（ pending state） –當(dāng)前操作狀態(tài)（ current operating state） ? SSL會話 定義 一系列的安全參數(shù)，為客戶機(jī)和服務(wù)器之間建立關(guān)聯(lián)。 ? 具體有 6個 SSL會話狀態(tài)參數(shù) ： SSL會話的狀態(tài)參數(shù) 1. 會話標(biāo)識符（ Session Identifier）：由服務(wù)器選擇的一個隨機(jī)字節(jié)序列，標(biāo)識活動的會話狀態(tài)。 2. 對等實體證書（ Peer Certificate）：對等實體的 V3證書，該參數(shù)可為空。 3. 壓縮方法（ Compression Method）：在加密之前使用的壓縮數(shù)據(jù)的算法。 4. 加密規(guī)范（ Cipher Spec）：加密算法（ DES，3DES， IDEA等）、消息摘要算法（ MD5，SHA1等）以及相關(guān)參數(shù)。 5. 主密鑰（ Master Secret）：由客戶機(jī)和服務(wù)器共享，是一個 48字節(jié)長的密碼。 6. 是否可恢復(fù)（ Is Resumable）：用于指示會話是否可以用于初始化新的連接。 SSL連接 ? SSL連接是一個雙向連接，每個連接都和一個SSL會話相關(guān)。 ? SSL連接成功后，即可進(jìn)行安全保密通信。 ? 與 SSL會話一樣， SSL連接也有狀態(tài)，用于記錄與連接相關(guān)的安全參數(shù)。 ? SSL連接狀態(tài) 記錄與連接相關(guān)的安全參數(shù) ： SSL的連接參數(shù) 1. 服務(wù)器和客戶機(jī)隨機(jī)數(shù)（ Server and Client Random）：是服務(wù)器和客戶機(jī)為每個連接選擇的一個用于標(biāo)識的字節(jié)序列，包含一個 32bit的時間戳以及一個 28B的隨機(jī)數(shù)，用來防止在密鑰交換過程中遭受重放攻擊。 2. 服務(wù)器寫 MAC密鑰（ Server Write MAC Secret）：服務(wù)器對發(fā)送數(shù)據(jù)進(jìn)行 MAC生成操作時使用的加密密鑰，長度為 128bit。 3. 客戶機(jī)寫 MAC密鑰（ Client Write MAC Secret）：客戶機(jī)對發(fā)送數(shù)據(jù)進(jìn)行 MAC生成操作時使用的加密密鑰，長度是 128bit。 4. 服務(wù)器寫密鑰（ Server Write Key）：對稱密鑰，用于從服務(wù)器到客戶機(jī)的數(shù)據(jù)的加密，也用于客戶端解密，長度為 128bit。 5. 客戶機(jī)寫密鑰（ Client Write Key）：對稱密鑰，用于從客戶機(jī)到服務(wù)器的數(shù)據(jù)的加密，也用于服務(wù)器端解密，長度為 128bit。 6. 初始化向量（ Initialization Vector）：數(shù)據(jù)加解密時的初始化向量。 7. 序列號（ Sequence Numbers）：通信雙方為對方傳送和接收的消息保留的唯一序列號，其最大值為 264－ 1。 SSL的安全服務(wù)特性 ? 使用對稱密碼算法對 SSL連接上傳輸?shù)拿舾袛?shù)據(jù)進(jìn)行加密 ? 使用公鑰密碼技術(shù)進(jìn)行客戶機(jī)和服務(wù)器通信實體身份的鑒別和會話密鑰的協(xié)商。 ? SSL提供的面向連接的安全服務(wù)具有以下特性： （ 1）機(jī)密性：協(xié)議能夠在客戶端和服務(wù)器之間建立起一個安全通道，用對稱密碼（如 DES）對數(shù)據(jù)進(jìn)行加密后再進(jìn)行傳輸，并且由接收方軟件解密，以提供高度的機(jī)密性。 （ 2）可鑒別性：利用證書技術(shù)和可信的第三方認(rèn)證，可以讓客戶端和服務(wù)器相互識別對方的身份。 （ 3）完整性：利用密碼算法和 Hash函數(shù)，通過對傳輸信息特征值的提取來保證信息的完整性，確保要傳輸?shù)男畔⑷康竭_(dá)目的地，避免服務(wù)器和客戶端之間的信息受到破壞。 SSL的安全機(jī)制 SSL中使用的安全機(jī)制包括加密機(jī)制、數(shù)據(jù)簽名機(jī)制、數(shù)據(jù)完整性機(jī)制、交換鑒別機(jī)制和公證機(jī)制 。 ? 加密機(jī)制 提供 多種不同強(qiáng)度的加密算法 ： DES， TripleDES， RC4， IDEA等，對應(yīng)用層及握手?jǐn)?shù)據(jù)加密傳輸。加密所用的密鑰由消息散列函數(shù) MD5產(chǎn)生。 ? 數(shù)據(jù)簽名機(jī)制 在握手過程中交換 各自 的證書以確定對方身份 。 證書由認(rèn)證中心（ CA）簽名。 ? 數(shù)據(jù)完整性機(jī)制 SSL協(xié)議使用報文鑒別碼 MAC來保證數(shù)據(jù)完整性。在記錄協(xié)議中，密文與 MAC一起被發(fā)送到收方，收方收到數(shù)據(jù)后校驗。 ? 鑒別交換機(jī)制 SSL協(xié)議使用基于密碼的鑒別交換機(jī)制， 用于 確認(rèn)實體身份，與數(shù)字簽名和公證機(jī)制一起使用。 ? 公證 （證書） 機(jī)制 真正傳輸數(shù)據(jù)之前，首先交換證書以確認(rèn)身份。雙方的證書都由 CA產(chǎn)生 ，并 用 CA證書驗證。 SSL握手協(xié)議 ? SSL握手協(xié)議是 SSL中最復(fù)雜的協(xié)議。 ? 應(yīng)用程序傳輸數(shù)據(jù)前必須通過握手協(xié)議相互鑒別對方的身份，商定使用哪一組密碼算法。 ? 握手協(xié)議定義了一系列客戶與服務(wù)器之間交互的報文，握手協(xié)議的消息包括三個字段：消息類型、長度和內(nèi)容。 ? 握手協(xié)議過程可以分成 4個階段完成，如下圖所示。 開始邏輯連接 服務(wù)器認(rèn)證和密鑰交換 客戶認(rèn)證和密鑰交換 結(jié)束握手過程 SSL握手協(xié)議工作過程 第 1階段：開始邏輯連接，商定雙方將使用的密碼算法。這個過程由客戶端發(fā)起。 1）客戶端首先向服務(wù)器端發(fā)送一個 Client_Hello消息，該消息包括如下參數(shù)： ? 版本號 vc：它是客戶端主機(jī)安裝的 SSL最高版本號，比如 vc=3。 ? 隨機(jī)數(shù) rc：客戶端偽隨機(jī)數(shù)發(fā)生器秘密產(chǎn)生的二元字符串，共 32字節(jié)，包括一個 4字節(jié)長的時間戳和一個 28字節(jié)長的現(xiàn)時數(shù)，用于防御舊信重放攻擊。 ? 會話標(biāo)識 Sc： Sc=0表示客戶希望在新的傳輸會話階段上建立新的 SSL連接，其它數(shù)值表示客戶希望在目前的傳輸會話階段上建立新的 SSL連接，或只是更新已建立的 SSL連接。 SSL連接由雙方商定的密碼算法、參數(shù)和壓縮算法決定。 ? 壓縮算法：它是客戶端主機(jī)支持的所有壓縮算法按優(yōu)先次序的排列，比如 ZIP、 PKZIP等壓縮算法。 ? 密碼組：客戶端支持的所有公鑰密碼算法、常規(guī)加密算法和散列函數(shù)算法的三個優(yōu)先序列，按優(yōu)先順序排列，排在第一位的密碼算法是客戶主機(jī)最希望使用的算法。 例如， 三種密碼算法的優(yōu)先序列分別為 RSA、ECC、 DiffieHellman； AES12 3DES/RC5； SHA51 SHA MD5，則說明，在認(rèn)證、數(shù)據(jù)加密和消息完整性驗證方面，客戶端最希望選用的三種算法分別是： RSA、 AES128和 SHA512。 2）服務(wù)器端向客戶端回送響應(yīng)消息 Server_Hello，它包括如下參數(shù)： ? 版本號 vs： vs=min{vc, v}， v是服務(wù)器主機(jī)安裝的 SSL最高版本號。 ? 隨機(jī)數(shù) rs：它是由服務(wù)器程序的偽隨機(jī)數(shù)發(fā)生器秘密產(chǎn)生的二元字符串，共 32字節(jié)，包括一個 4字節(jié)長的時間戳和一個 28字節(jié)長的現(xiàn)時數(shù)。 ? 會話標(biāo)識 Ss：如果 Sc=0，則 Ss等于新階段號，否則， Ss=Sc。 ? 密碼組：它是服務(wù)器主機(jī)從客戶密碼組中選取的一個公鑰密碼算法、一個常規(guī)加密算法和一個散列函數(shù)算法，比如， RSA、 AES、 SHA1。 ? 壓縮算法：它是客戶端主機(jī)從客戶壓縮算法中選取的壓縮算法。 接收到 Server_Hello后，連接建立，第 1階段完成。 第 2階段：服務(wù)器認(rèn)證和密鑰交換。服務(wù)器向客戶端發(fā)送如下消息： 1）服務(wù)器公鑰證書 Server_Certificate。 2）服務(wù)器端密鑰交換消息 Server_Key_Exchange。 3）請求客戶端公鑰證書 Certificate_Request。 4）完成服務(wù)器問候 Server_Hello_Done。 如果客戶需要認(rèn)證服務(wù)器，需要服務(wù)器在這個階段發(fā)送其證書。 Server_Hello_Done表示與服務(wù)器Server_Hello相關(guān)的消息已發(fā)送完畢。服務(wù)器將等待客戶的響應(yīng)。第 2階段完成。 第 3階段：客戶認(rèn)證和密鑰交換?？蛻舳耸盏椒?wù)器的 Server_Hello_Done后，驗證服務(wù)器證書，檢查服務(wù)器提供的參數(shù)是否可以接受，若滿足，客戶端向服務(wù)器發(fā)送如下消息： 1）客戶公鑰證書 Client_Certificate。 2）客戶端密鑰交換消息 Client_Key_Exchange。 3）客戶證書驗證消息 Certificate_Verify。 如果服務(wù)器沒有請求客戶公鑰證書，則第 1）步和第3）步可以省去。第 3階段完成。 第 4階段：結(jié)束握手過程。 1）客戶發(fā)送改變密鑰規(guī)范 Change_Cipher_Spec消息，把協(xié)商的密碼算法列表復(fù)制到當(dāng)前連接狀態(tài)中。 2）客戶用新的算法、密鑰參數(shù)發(fā)送 Finished消息，其中包括校驗值，檢查密鑰交換和認(rèn)證過程是否成功 。 3）服務(wù)器接收到 1）后，也發(fā)送 Change_Cipher_Spec。 4）服務(wù)器接收到 2）后，同樣發(fā)送 Finished消息。 ? SSL握手過程完成，建立起了一個安全的連接，客戶端和服務(wù)器可以安全地交換應(yīng)用層數(shù)據(jù)。 SSL記錄協(xié)議 ? SSL記錄協(xié)議為 SSL連接提供保密性和完整性兩種服務(wù)。 ? 所有的 SSL通信包括握手消息、報警消息