安全协议体系.pptVIP

记录头可以是2个或3个字节的编码 记录头包含的信息： 记录头的长度 记录数据的长度 记录数据中是否有填充数据(使用块加密时填充的数据) * 6、SSL握手协议 (1) 作用 SSL 握手协议旨在创建和保持通信双方进行安全通信所需的安全参数及状态信息。 它使得服务器和客户机能够进行双向的身份认证，并协商加密算法、MAC算法以及SSL记录中所用的加密密钥 (2)过程 分为四个阶段 * 1) 第一阶段：建立安全能力 协商压缩算法、报文摘要算法、加密算法等； SSL版本、会话标识符 2) 第二阶段：服务器鉴别和密钥交换 服务器向客户发送其数字证书，利用该证书对服务器进行鉴别 3) 第三阶段：客户鉴别和密钥交换(可选) 客户向服务器发送其数字证书，利用该证书对客户进行鉴别。 4) 第四阶段：握手结束阶段 前面各阶段完成 * 客户端 服务端 第 一 阶 段 第 二 阶 段 Client_hello Server_hello Server_certificate Server_key_exchange Certificate_request Server_hello_done 客户端 服务端 第 三 阶 段 第 四 阶 段 Client_certificate Client_key_exchange Certificate_Verify Change_cipher_spec Finished Change_cipher_spec Finished * 握手协议定义的消息类型(1) 消息类型 说明 参数 hello_request 握手请求，服务器可在任何时候向客户端发送该消息。若客户端正在进行握手过程就可忽略该消息。否则客户端发送cleint_hello消息，启动握手过程 无 client_hello 客户启动握手请求，该消息时当客户第一次连接服务器时向服务器发送的第一条消息。该消息中包括了客户端支持的各种算法。若服务器端不能支持，则本次会话可能失败。 版本、随机数、会话ID、密文族、压缩方法 server_hello 其结构与client_hello消息，该消息是服务器对客户端client_hello消息的恢复。 版本、随机数、会话ID、密文族、压缩方法 server_certificate 服务器提供的证书。如果客户要求对服务器进行认证，则服务器在发送server_hello消息后，向客户端发送该消息。证书的类型一般是X.509v3。 X．509v3证书链 server_key_exchange 服务器密钥交换。当服务器不使用证书，或其证书中仅提供签名而不提供密钥时，需要使用本消息来交换密钥。 参数、签名 * 握手协议定义的消息类型(2) 消息类型 说明 参数 certificate_request 用于服务器向客户端要求一个客户证书。 类型、授权 server_hello_done 该消息表明服务器端的握手请求报文已经发送完毕，正在等待客户端的响应。客户端在收到该消息时，将检查服务器提供的证书及其他参数是否是有效、可以接受的。 无 client_certificate 客户端对服务器certificate_request消息的响应，只有在服务器端要求客户证书的时候使用。一般该消息是客户端收到server_hello_done消息后所发送的第一条消息。若客户端没有合适的证书，则向服务器端发送no_certificate的告警消息（无证书可能导致握手失败） X．509v3证书链 client_key_exchange 客户密钥交换。当客户不使用证书，或其证书中仅提供签名而不提供密钥时，需要使用本消息来交换密钥。 参数、签名 certificate_verify 该消息用于向服务器提供对客户证书的验证。 签名 finished 该消息在“加密规约修改”（Change Cipher Spec）消息之后发送，以证实握手过程已经成功完成。本消息发送后，发送方开始使用协商的新参数来执行操作。该消息需要在两个方向上传送。 散列值 * 消息名 方向 内容 不需要新密钥 CLIENT－HELLO C－S challenge, session_id, cipher_specs SERVER－HELLO S－C connection-id, session_id_hit CLIENT－FINISH C－S Eclient_write_key[connection-id] SERVER-VERIFY S－C Eserver_