1、第五章 SSL 安全套节层协议5.1 SSL 体系结构TCP/IP 没有提供任何安全防护能力,用 HTTP 在客户和服务器之间的通信可以被监听、篡改和欺骗。安全套节层协议用于 Internet 通信的安全协议,广泛用于 WWW 的认证和加密通信。( RefC_p142_SSL 的位置)SSL 包括两个子协议: SSL 记录协议:规范数据传输格式。 SSL 握手协议:相互的身份认证,加密算法,保护加密密钥。两个主要概念: SSL 会话:提供合适服务类型的传输。 SSL 连接:由握手协议创建,定义一组可以 被多个连接共用的密码安全参数。在握手阶段,客户和服务器交换信息: 服务器身份认证。客户身份认
2、证。 公钥加密生成密文。 建立加密 SSL 连接。5.2 SSL 记录协议为 SSL 底层协议,在客户和服务器之间传输应用数据和SSL 控制数据,其间有可能对数据进行分段,或者多个高层数据组合成单个数据单元。分段和单个数据单元不超过16,284 字节。SSL 记录协议操作过程:1 分段/组合:将高层消息进行分段,其长度不超过 214 字节。2 选择是否无损压缩,压缩后不会增加 210字节的内容。3 给压缩后数据计算消息验证码(生成消息的数字签名以保证其完整性) 。用下列公式计算:Hash( MAC_write_secret + pad_2 +Hash(MAC_write_secret + pa
3、d_1 +seq_num + SSLCompressed.type+ SSLCompressed.length+ SSLCompressed.fragment ) )其中:MAC_write_secret:客户和服务器的共享秘密。pad_1:字符 0x36 重复 MD5 的 48 次计算或 SHA的 40 次计算。pad_2:字符 0x5c 重复 MD5 的 48 次计算或 SHA的 40 次计算。seq_num: 消息序列号。Hash: 哈希算法。SSLCompressed.type:处理分段的高层协议类型。SSLCompressed.length:压缩分段长度。SSLCompressed.fragment:压缩分段。4 使用对称加密算法给添加了消息摘要的压缩消息进行加密。注:不能增加 1024字节。5 添加报头。报头包括以下字段:内容类型:8 比特,封装分段的高层协议类型。主版本:8 比特,SS L 的主要版本。次版本:8 比特,SS L 的次要版本。压缩长度:16 比特,分段字节长度,不能超过 2142 10 字节。5.3 SSL 改变密码规范协议用于从一种加密算法转变为另外一种加密算法。
