【文章內(nèi)容簡介】 ver Application SSL協(xié)議 TCP協(xié)議 應(yīng)用層協(xié)議 SSL協(xié)議簡介 — 協(xié)議架構(gòu) SSL協(xié)議包含兩層： ? 握手層：負(fù)責(zé)建立 SSL連接 ? 記錄層：負(fù)責(zé)對報(bào)文進(jìn)行加解密 記錄層協(xié)議 握手 層 記錄 層 Application TCP SSL層 SSL API 密鑰改變協(xié)議 握手協(xié)議 告警協(xié)議 SSL協(xié)議簡介 — 記錄層 SSL記錄層提供下列功能： ? 保證數(shù)據(jù)傳輸?shù)乃矫苄浴鬏敂?shù)據(jù)進(jìn)行加密和解密。 ? 保證數(shù)據(jù)傳輸?shù)耐暾浴Ｓ?jì)算和驗(yàn)證報(bào)文的消息驗(yàn)證碼。 ? 對傳輸數(shù)據(jù)的壓縮。目前壓縮算法為空。 ? 對上層提供可靠保序的有連接服務(wù)。 加密數(shù)據(jù) 報(bào)文類型 版本 長度 長度（字節(jié)） 1字節(jié) 2字節(jié) 2字節(jié) MAC 報(bào)文類型：密鑰改變協(xié)議 (20)，告警協(xié)議 (21)，握手協(xié)議 (22)， 應(yīng)用層數(shù)據(jù) (23) 版本： (3,1)， (3,0) 長度：記錄層報(bào)文的長度，包括加密數(shù)據(jù)和 MAC值的字節(jié)數(shù)。 MAC：整個(gè)記錄報(bào)文的消息驗(yàn)證碼，包括從報(bào)文類型開始的所有字段。 SSL記錄層的報(bào)文格式： SSL協(xié)議簡介 — 握手層 SSL握手層提供下列功能： ? 協(xié)商加密能力 協(xié)議版本、加密套件、壓縮算法。 ? 協(xié)商密鑰參數(shù)： ? 塊加密：初始化向量 (IV)、加密密鑰、 HMAC密鑰。 ? 流加密：流初始狀態(tài)、 HMAC密鑰。 ? 驗(yàn)證對方身份 (可選 ) ? 建立并維護(hù) SSL會(huì)話 SSL協(xié)議簡介 — 握手過程 SSL握手協(xié)議提供了三種握手過程： ? 無客戶端身份認(rèn)證的全握手過程 全握手過程是指一個(gè)完整的 SSL連接建立過程，在其中需要協(xié)商出新的會(huì)話參數(shù)?！盁o客戶端認(rèn)證”是指在該過程中服務(wù)器端并不驗(yàn)證客戶端的身份。 ? 有客戶端身份認(rèn)證的全握手過程 服務(wù)器端可以通過此過程利用數(shù)字簽名來驗(yàn)證用戶的真實(shí)身份。 ? 會(huì)話恢復(fù)過程 由于 SSL全握手過程涉及到較多的復(fù)雜計(jì)算，耗時(shí)較多。為提高建立 SSL連接的效率， SSL協(xié)議提供了會(huì)話恢復(fù)機(jī)制，使得后面建立的 SSL連接可以利用以前連接的會(huì)話參數(shù)，避免了重新協(xié)商的過程。 SSL協(xié)議簡介 — 無客戶端認(rèn)證的全握手過程 client server ClientHello ServerHello ServerCertificate* ServerKeyExchange* ServerHelloDone* [ChangeCipherSpec] Finished Application Data 客戶端支持的最高版本 ， 加密套件列表 ， 壓縮算法列表 ， 客戶端隨機(jī)數(shù) ， 會(huì)話 ID=0 服務(wù)器同意的版本 ， 加密套件 ， 壓縮算法 、 會(huì)話 ID、 服務(wù)器端隨機(jī)數(shù) 服務(wù)器的證書 服務(wù)器端密鑰交換的附加信息 通知對方服務(wù)器端握手消息發(fā)完 客戶端產(chǎn)生的 PreMasterKey密鑰參數(shù) 通知對方本端開始啟用加密參數(shù) 通知對方本端開始啟用加密參數(shù) 發(fā)送客戶端計(jì)算握手過程的驗(yàn)證報(bào)文 發(fā)送自己計(jì)算握手過程驗(yàn)證報(bào)文 傳送應(yīng)用層數(shù)據(jù) ClientKeyExchange Finished Application Data [ChangeCipherSpec] SSL協(xié)議簡介 — 有客戶端認(rèn)證的全握手過程 client server ClientHello ServerHello ServerCertificate* ServerKeyExchange* ServerHelloDone* [ChangeCipherSpec] Finished Application Data 前面所有握手消息的數(shù)字簽名 傳送應(yīng)用層數(shù)據(jù) ClientKeyExchange Finished Application Data CertificateRequest* Certificate* CertificateVerify* [ChangeCipherSpec] 向客戶端索要證書 客戶端的證書 SSL協(xié)議簡介 — 會(huì)話恢復(fù)過程 client server ClientHello ServerHello [ChangeCipherSpec] Finished Application Data 客戶端支持的最高版本 ， 加密套件列表 ， 壓縮算法列表 ， 客戶端隨機(jī)數(shù) ， 上次 SSL連接使用的會(huì)話 ID 服務(wù)器同意的版本 ， 加密套件 ， 壓縮算法 、 會(huì)話 ID、 服務(wù)器端隨機(jī)數(shù) 通知對方本端開始啟用加密參數(shù) 通知對方本端開始啟用加密參數(shù) 發(fā)送客戶端計(jì)算出的握手過程的驗(yàn)證報(bào)文 發(fā)送服務(wù)器端計(jì)算出的握手過程驗(yàn)證報(bào)文 傳送應(yīng)用層數(shù)據(jù) Finished Application Data [ChangeCipherSpec] SSL安全協(xié)議主要提供三方面的服務(wù) ?客戶和服務(wù)器的合法性認(rèn)證 ?加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù) ?保護(hù)數(shù)據(jù)的完整性 SSL安全通信過程 （ 1）接通階段： ? 客戶機(jī)通過網(wǎng)絡(luò)向服務(wù)器打招呼，服務(wù)器回應(yīng)； （ 2）密碼交換階段： ? 客戶機(jī)與服務(wù)器之間交換雙方認(rèn)可的密碼，一般選用 RSA密碼算法，也有的選用 DiffieHellmanf和 FortezzaKEA密碼算法； （ 3）會(huì)談密碼階段： ? 客戶機(jī)與服務(wù)器間產(chǎn)生彼此交談的會(huì)談密碼； （ 4）檢驗(yàn)階段： ? 客戶機(jī)檢驗(yàn)服務(wù)器取得的密碼； （ 5）客戶認(rèn)證階段： ? 服務(wù)器驗(yàn)證客戶機(jī)的可信度； （ 6）結(jié)束階段： ? 客戶機(jī)與服務(wù)器之間相互交換結(jié)束的信息。 SSL協(xié)議的分層結(jié)構(gòu) ? SSL協(xié)議具有兩層結(jié)構(gòu)，其底層是 SSL記錄協(xié)議層（ SSL Record Protocol Layer），簡稱記錄層。其高層是 SSL握手協(xié)議層（ SSL Handshake Protocol Layer），簡稱握手層。 應(yīng)用層協(xié)議（ HTTP、 Tel、 FTP、 SMTP等） SSL握手協(xié)議（ Handshake Protocol） SSL記錄協(xié)議（ Record Protocol） TCP協(xié)議 IP協(xié)議 SSL協(xié)議 會(huì)話與連接 ? Connection (連接 )： ? 一個(gè)在傳輸層協(xié)議上的傳輸媒介，它提供一個(gè)適當(dāng)?shù)姆?wù)。連接建立在會(huì)話的基礎(chǔ)上，每個(gè)連接與一個(gè)會(huì)話相關(guān)聯(lián)，并對應(yīng)到一個(gè)會(huì)話。 ? Session (會(huì)話 )： ? SSL會(huì)話建立客戶與服務(wù)器之間的一個(gè)關(guān)聯(lián)（ Association）。每一組客戶端與服務(wù)器之間就是一個(gè)SSL session。這些會(huì)話定義一組以密碼為基礎(chǔ)的安全性參數(shù)，這些參數(shù)能夠由多個(gè)連接來共同使用。 連接 1 連接 1 連接 2 連接 2 …… …… 連接 n 連接 n 會(huì)話 SSL握手協(xié)議 ? Handshake協(xié)議用來讓客戶端及服務(wù)器確認(rèn)彼此的身份。協(xié)助雙方選擇連