ssl协议体系结构.doc

ssl协议体系结构 篇一：SSL协议的安全性及其分析 摘要：ssl（secure sockets layer安全套接层）是保护网络通信数据安全及其完整性的一种网络安全协议。这种协议已经在互联网上获得了广泛的应用。该文对ssl协议工作原理、流程进行介绍，并对其安全性作出分析，讨论其所存在的问题且提出相应的措施。 关键词：ssl协议；安全套接层；安全性 中图分类号：tp393文献标识码：a文章编号：1009-3044(2012)12-2726-03 当前，互联网技术的不断更新和发展，给我们的生活带来了很多便利。但与此同时也带来了很多网络信息安全性的威胁。随着信息网络的发展，信息安全越来越引起人们的关注。如当今流行的电子商务、电子政务、电子邮件等，除了其业务本身，人们更加关心的是其安全性。这样我们需要保证信息的必威体育官网网址性、完整性，通信双方的认证等，这正是过去网络所缺乏。这就有了安全套接层（security socket layer protocol，简称ssl协议）。它是现在互联网上保证信息安全传输的一种网络协议。 1概述 ssl协议提供的安全信道有以下三个特性。 1）私密性：从应用层经过ssl协议的数据，所有的消息都是被加密后才到传输层的。 2）确认性：服务器端是被认证的。 3）可靠性：所有传输的消息都是经过完整性检查的。 2 ssl协议结构 ssl协议的目标在于在tcp的基础上提供安全可靠的传输服务。在ssl的体系结构中包括了ssl握手协议层和ssl记录协议层两个协议子层。这两大协议完成了ssl的大部分工作。ssl握手协议层建立在ssl记录协议层之上。建立在ssl记录协议层上的还有密码参数修改协议、报警协议、应用数据协议等子协议。 图1 ssl体系结构图 2.1 ssl记录协议 ssl记录协议限定了所有要传输的数据的打包，所有的传输数据都被封装在记录中。它提供了通信、身份认证功能。由上层传来的数据信息，将在记录协议层，划分数据分段。依据握手协议中协商的加密算法，给分段的数据压缩、计算mac值、对数据加密处理，将数据变成记录。添上记录头后，传递到下层的tcp协议。 ssl记录头格式 ssl记录头包括记录头长度、记录数据长度的信息，及记录数据中是否填充数据。当最高位为1时，则不含有填充数据，记录头为两字节，记录数据最大长度为32767字节；当最高位为0时，则含有填充数据，记录头为三个字节，记录数据的最大长度为16383字节。当记录头长度是为三个字节时，次高位有特殊的含义。当次高位为1时，标识所传输的记录是普通的数据记录；当次高位为0时，标识所传输的记录是安全空白记录（被保留用于将来协议的扩展）。 ssl记录数据格式 ssl的记录数据包含三个部分：mac数据、实际数据和填充数据（若是需要的话）。mac数据为密钥，实际数据，填充数据，序号的拼接后的散列值。用于检查数据的完整性。 2.2 ssl握手协议层 ssl握手协议层包括握手协议（handshake protocol）、密码参数修改协议（ssl change cipher spec protocol）、应用数据协议（application data protocol）和报警协议（alert protocol）。握手协议主要负责协商客户端和服务器端所有使用的参数，包括采用协议版本、加密算法、密钥等；建立独立的安全会话连接，认证双方的身份。密码参数修改协议主要负 责协商双方修改密码参数，并指示记录层把即将读/写状态编程当前读/写状态。客户端和服务器均可发送此类消息，通知对方记录将使用新的协商密码说明和密钥。报警协议主要是负责通知对方警告信息。例如关闭通知、错误记录、解压失败、握手失败、无证书、错误证书等等。应用数据协议主要负责将应用数据直接传递给记录协议。 3 ssl协议工作过程 1）由客户端向服务器端发送“clienthello”信息，以便开始一个新的安全对话连接。信息中将表明客户端密码能力。例如ssl版本，使用的加密算法、签名算法、密钥交换算法、可接受的压缩算法等。 2）由服务器回应客户端发送“severhello”信息（如果可以接受其回应的话，否则握手失败。注：客户端和服务器端必须要至少支持一个公共密码对，否则握手将会失败）。“serverhello”消息将告知服务器的相关安全参数。 3）由服务器向客户端发送它使用的证书和密钥交换信息。若服务器端需要对客户端认证，则还会向客户端发出“数字证书”的请求消息。 4）服务器发出“serverhello done”消息并等待客户端响应。 5）客户端收到了“serverhello done”以后，将对服务器发送过来的数字证书验证，并检查服务端的安全参数是否可以接受。如果服务器端需要客户端