证书的应用之一 —— TCPSSL通信实例及协议分析(中).doc

证书的应用之一 —— TCPSSL通信实例及协议分析(中) SSL 1.身份的验证，client与server确认对方是它相连接的，而不是第三方冒充的，通过证书实现 2.client与server交换session key，用于连接后数据的传输加密和hash校验 ? 简单的SSL握手连接过程(仅Server端交换证书给client)： 1.client发送ClientHello，指定版本，随机数(RN)，所有支持的密码套件(CipherSuites) 2.server回应ServerHello，指定版本，RN，选择CipherSuites，会话ID(Session ID) 3.server发送Certificate 4.Server发送ServerHelloDone 5.Client发送ClientKeyExchange，用于与server交换session key 6.Client发送ChangeCipherSpec，指示Server从现在开始发送的消息都是加密过的 7.Client发送Finishd，包含了前面所有握手消息的hash，可以让server验证握手过程是否被第三方篡改 8.Server发送ChangeCipherSpec，指示Client从现在开始发送的消息都是加密过的 9.Server发送Finishd，包含了前面所有握手消息的hash，可以让client验证握手过程是否被第三方篡改，并且证明自己是Certificate密钥的拥有者，即证明自己的身份 ? 下面从抓包数据来具体分析这一过程并说明各部分数据的作用以及如实现前面列出的握手的目标，当然了，最重要的还是说明为何这一过程是安全可靠的，第三方无法截获，篡改或者假冒 ? 1.client发送ClientHello ? ? 每一条消息都会包含有ContentType,Version,HandshakeType等信息。 ContentType指示SSL通信处于哪个阶段，是握手(Handshake)，开始加密传输(ChangeCipherSpec)还是正常通信(Application)等，见下表 Hex Dec Type 0x14 20 ChangeCipherSpec 0x15 21 Alert 0x16 22 Handshake 0x17 23 Application ? Version是TLS的版本，见下表 Major Version Minor Version Version Type 3 0 SSLv3 3 1 TLS 1.0 3 2 TLS 1.1 3 3 TLS 1.2 Handshake Type是在handshanke阶段中的具体哪一步，见下表 Code Description 0 HelloRequest 1 ClientHello 2 ServerHello 11 Certificate 12 ServerKeyExchange 13 CertificateRequest 14 ServerHelloDone 15 CertificateVerify 16 ClientKeyExchange 20 Finished ClientHello附带的数据随机数据RN，会在生成session key时使用，Cipher suite列出了client支持的所有加密算法组合，可以看出每一组包含3种算法，一个是非对称算法，如RSA，一个是对称算法如DES，3DES，RC4等，一个是Hash算法，如MD5，SHA等，server会从这些算法组合中选取一组，作为本次SSL连接中使用。 ? 2.server回应ServerHello ? ? 这里多了个session id,如果SSL连接断开，再次连接时，可以使用该属性重新建立连接，在双方都有缓存的情况下可以省略握手的步骤。 server端也会生成随机的RN，用于生成session key使用 server会从client发送的Cipher suite列表中跳出一个，这里挑选的是RSA+RC4+MD5 这次server共发送的3个handshake 消息:Serverhello，Certificate和ServerHelloDone，共用一个ContentType:Handshake ? 3.server发送Certificate ? ? server的证书信息，只包含public key，server将该public key对应的private key保存好，用于证明server是该证书的实际拥有者，那么如何验证呢？原理很简单：client随机生成一串数，用server这里的public key加密(显然是RSA算法)，发给server，server用private