淺談SSL加密協(xié)商過程
2020年09月17日
SSL是一種安全傳輸協(xié)議,及安全套接層��。該協(xié)議最初由Netscape發(fā)展而來����,現(xiàn)在主要用于網(wǎng)絡(luò)上用來鑒別網(wǎng)站和網(wǎng)頁瀏覽者身份,以及在瀏覽器及服務(wù)器之間進(jìn)行加密通訊����。例如現(xiàn)在的網(wǎng)上銀行和電子商務(wù)等大型網(wǎng)上交易系統(tǒng)普遍采用HTTP和SSL相結(jié)合的方式。
SSL協(xié)議的工作流程:
服務(wù)器認(rèn)證階段:
(1)客戶端向服務(wù)器發(fā)送一個(gè)開始信息“Hello”以便開始一個(gè)新的會(huì)話連接�;
(2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“Hello”信息時(shí)將包含生成主密鑰所需的信息��;
(3)客戶根據(jù)收到的服務(wù)器響應(yīng)信息��,產(chǎn)生一個(gè)主密鑰���,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器���;
(4)服務(wù)器恢復(fù)該主密鑰,并返回給客戶一個(gè)用主密鑰認(rèn)證的信息�,以此讓客戶認(rèn)證服務(wù)器。
用戶認(rèn)證階段:
在此之前�����,服務(wù)器已經(jīng)通過了客戶認(rèn)證��,這一階段主要完成對(duì)客戶的認(rèn)證���。
SSL采用TCP作為傳輸協(xié)議提供數(shù)據(jù)的可靠傳送和接收���。位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間��,為數(shù)據(jù)通訊提供安全支持��。SSL協(xié)議可以分為兩層:
SSL記錄協(xié)議(SSLRecord Protocol):它建立在TCP之上����,為高層協(xié)議提供數(shù)據(jù)封裝�����、壓縮�、加密等基本功能的支持。
SSL握手協(xié)議(SSL Handshake Protocol):它建立在SSL記錄協(xié)議之上�,用于在實(shí)際的數(shù)據(jù)傳輸開始前,通訊雙方進(jìn)行身份認(rèn)證���、協(xié)商加密算法����、交換加密密鑰等�����。
通過以上SSL加密協(xié)議的介紹,我們知道在傳輸應(yīng)用數(shù)據(jù)之前����,必須先進(jìn)行通過SSL握手協(xié)議進(jìn)行身份認(rèn)證、密鑰交換等�,因此我訪問了一個(gè)經(jīng)過SSL協(xié)議加密的網(wǎng)站�����,并對(duì)整個(gè)過程進(jìn)行抓包分析���,用來詳細(xì)分析SSL握手過程����,了解其具體是怎樣進(jìn)行身份密鑰交換����。具體情況如下:
客戶端和服務(wù)端通過三次握手建立連接后,客戶端首先發(fā)送“Client Hello”消息����,其中包含有:協(xié)議版本、隨機(jī)數(shù)�、以及客戶端所支持的所有加密算法。
服務(wù)端在收到客戶端的Hello消息后,首先會(huì)返回一個(gè)“Server Hello”數(shù)據(jù)包�,其中包含:協(xié)議版本、服務(wù)端生成的隨機(jī)數(shù)���、以及從客戶所建議的加密算法中選擇的一套加密算法���。
在發(fā)送完Hello消息后,服務(wù)端會(huì)發(fā)送它的證書和密鑰交換信息�。如果服務(wù)端被認(rèn)證,它就會(huì)請(qǐng)求客戶端的證書�,在驗(yàn)證后,服務(wù)端就發(fā)送“Sever Hello Done”消息���,以示達(dá)成握手協(xié)議��,雙方握手接通�����。
客戶端收到Server Done消息后��,檢查服務(wù)器提供的證書��,并判斷hello參數(shù)是否可以接受�。如果服務(wù)端請(qǐng)求證書,則要先發(fā)送一個(gè)certificate消息���,然后客戶端發(fā)送“clent key exchange”及密鑰交換信息�����。
客戶發(fā)送一個(gè)change_cipher_spec消息����,并且把協(xié)商得到的CipherSuite拷貝到當(dāng)前連接的狀態(tài)之中�����。然后��,客戶用新的算法�、密鑰參數(shù)發(fā)送一個(gè)finished消息����,這條消息可以檢查密鑰交換和鑒別過程是否已經(jīng)成功。其中包括一個(gè)校驗(yàn)值�����,對(duì)所有以來的消息進(jìn)行校驗(yàn)。
服務(wù)器同樣發(fā)送change_cipher_spec消息和finished消息����。握手過程完成,客戶和服務(wù)器可以交換應(yīng)用層數(shù)據(jù)���。
至此�,一次完整的SSL握手過程完成����,接著使用交換過后的加密方式對(duì)應(yīng)用數(shù)據(jù)進(jìn)行加密傳輸。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
