SSL的运作方式.pdf

SSL 的運作方式 有了一些密碼學主要觀念，我們現在進一步來看 SSL 協定 的運作方式。雖然 SSL 並不是一個相當複雜的協定，但是 它提供許多選項與變形 。本章一開始會利用一個最簡單的 例子解釋 SSL 協定：建立一個已加密的通訊通道。然後， 我們再考慮較複雜的功能選項，包括鑑別通訊雙方的身 分、加密與鑑別獨立運作、恢復之前已建立的交談。透過 這幾個章節，你將可以知道 SSL 協定的全部功能。 SSL 協定是由一組訊息與規則所組成，其中這些規則是關於 訊息要何時要傳送（或不要傳送）。本章要讓讀者知道到 底有哪些訊息、這些訊息所包括的一般性資訊是什麼、以 及不同的系統在通訊交談時分別會使用哪些不同的訊息。 我們在此不會討論這些訊息的細部格式：當 SSL 協定訊息 在網路傳送時 ，這些訊息大小分別是多少個位元（bit ）及 位元組（byte ）。有關這些細節我們將在第四章再做討論。 再者，本章也不會花一些篇幅詳述 SSL 協定所使用的密碼 運算，這些也將留在第四章再做討論。本章主要的重點是 描述 SSL 協定的輪廓，一旦你對 SSL 協定有了初步的運作 概念之後，再來看 SSL 協定的細部規定將會更加清楚。 SSL 與 TLS 實務應用 2 3.1 SSL 的角色 SSL 協定的通訊雙方分為二個不同的角色，一個系統為用戶端（client ）， 另一個系統為伺服器（server ）。由於這二個系統在SSL 協定中會有不同 的運作方式，所以我們要清楚地釐清他們所扮演的角色與功能。用戶端是 一個發起安全通訊的系統，而伺服器則要回應用戶端的請求。在 SSL 協定 最常見的應用中，亦即確保使用者在瀏覽 Web 時的安全性，Web 瀏覽器 是 SSL 協定的用戶端，而Web 伺服器是 SSL 協定的伺服器。所有使用 SSL 協定應用系統的 Web 瀏覽器與 Web 伺服器也是扮演相同的角色，因此本 書從頭到尾將利用本章的實例來清楚地說明他們的角色與功能。 對於 SSL 協定本身而言，用戶端與伺服器之間最重要的差異，是他們在協 商安全參數（security parameter ）過程中的動作。因為用戶端要發起一個 通訊，所以他必須提出一組針對通訊交換用途的 SSL 協定選項，而伺服器 會從用戶端所提出來的選項中作出決定，以確認這二個系統到底要使用哪 些選項。雖然最後的決定權是留給伺服器，但是伺服器也只能針對用戶端 所提出的選項來做決定。 3.2 SSL 的訊息 當 SSL 用戶端與伺服器進行通訊時，他們會交換一些 SSL 訊息。嚴格來 說，SSL 協定會定義不同等級的訊息，而我們會在第四章討論這個議題。 因為本章主要集中 SSL 訊息的功能，至於區別不同等級的 SSL 訊息則不 是很重要。表 3-1 以英文字母順序的排列方式，列出協定所有等級的 SSL 訊息。本章其他小節將說明系統在通訊過程中要如何使用這些訊息。 SSL 的運作方式 3 CHAPTER 3 表 3-1 SSL 訊息 訊息 描述 Alert 通知另一方可能發生的安全缺口或通訊失敗。 ApplicationData 通訊雙方實際交換的資訊。SSL 協定會加密、鑑別及/ 或驗證 這個資訊。 Certificate 一個用來傳輸送方（sender ）之公開金鑰憑證的訊息。 CertificateRequest 伺服器向用戶端所發出的請求，要求用戶端提出他自己的公 開金鑰憑證。 CertificateVerify 用戶端所發出的訊息，用來證明他的確知道公開金鑰憑證所