电子商务安全协议及支付安全模板.docVIP

5.1.1SSL协议工作原理

SSL协议处于互联网多层协议集传输层上,运行在TCP/IP协议之上而在其她高层协议（如HTTP、Telnet、FTP和IMAP等）之下,如图5-1所表示。在建立一次SSL连接之前,首先建立TCP/IP连接。SSL协议能够让应用层协议透明地加以应用。运行时,支持SSL协议服务器能够同一个支持SSL协议用户机相互认证自己,还许可这两个机器之间建立安全加密连接,同时确保信息在传输过程中完整性。

SSL协议能够分为4个子协议:SSL握手协议、SSL更改密码规程协议、SSL报警协议和SSL统计协议,其中最关键两个协议是握手协议和统计协议。SSL统计协议定义了数据传送格式,它位于部分可靠传输层协议之上（如TCP）,用于多种更高层协议封装。SSL握手协议位于SSL统计协议之上,并被SSL统计协议所封装。它描述建立安全连接过程,在用户和服务器传送应用层数据之前,该协议许可服务器与用户机之间协商加密算法和会话密钥,完成通信双方身份验证等功效。

应用层协议（HTTP、Telnet、FTP、IMAP等）

SSL握手协议

SSL更改密码规程协议

SSL报警协议

SSL统计协议

TCP协议

IP协议

图5-1SSL协议分层结构

5.1.2SSL统计协议

SSL统计协议（RecordProtocol）定义了传输格式,包含统计头和统计数据格式要求。发送方统计层工作过程如图5-2所表示:

分片

分片

添加MAC

压缩

加密

添加SSL统计头

计算MAC

图5-2统计层工作过程

统计层从上层接收到任意大小应用层数据块,把数据快分成不超出214字节分片。

统计层用目前会话状态中给出压缩算法静分片压缩成一个压缩快,压缩操作是可选。

每个会话都有对应“加密规格”指定了对称加密算法和MAC算法。统计层用指定MAC算法对压缩块计算MAC,用指定对称加密算法加密压缩块和MAC,形成密文块。

对密文块添加SSL统计头,然后送到传输层,传输层受到这个SSL统计层数据单元后,记上TCP报头,得到TCP数据包。

MAC数据实际数据附加数据

MAC数据实际数据附加数据

图5-3SSL统计协议中数据项格式

5.1.3SSL握手协议

客

客

户

机

服

务

器

server_hello

certificate

server_key_exchange*

certificate_request*

hello_done

certificate_verify

client_key_exchange

Certificate*

change_cipher_spec

finished

certificate_verify*

finished

change_cipher_spec

client_hello

no_certificate*

Step1:确定部分相关参数,包含协议版本、会话ID、加密规格、压缩算法和初始数

Step2:服务器端发送本身证书（或临时公钥）及证书请求,最终发送hello阶段结束信号。

Step3:用户端验证服务器端证书、发送本身证书、交换对称密钥。

Step4:双方确定加密规格,结束握手协议。

图5-4SSL建立新会话时握手过程

1）建立新会话时握手过程

握手协议用于数据传输之前。它能够进行服务器与用户之间身份判别,同时经过服务器和用户协商,决定采取协议版本、加密算法,并确定加密数据所需对称密钥,随即采取公钥加密技术产生共享机密信息（比如对称密钥）。每次连接,握手协议都要建立一个会话。会话中包含了一套可在数次会话中使用加密安全参数,从而减轻了每次建立会话负担。然而,必需指出是,SSL中每次连接时,在握手协议中产生对称密钥都是独特,这种每次更换密钥方法显然在更大程度上确保了系统不易攻破性。

依据是否验证对方证书,SSL握手过程能够分为以下三种验证模式:用户和服务器都被验证;只验证用户机,不验证服务器,这是Internet上使用最广泛形式;用户和服务器都不验证,也称为完全匿名模式。SSL握手协议建立一个新会话过程如图5-4所表示,具体以下:

阶段1:确定部分相关参数,包含协议版本、会话ID、加密规格、压缩算法和初始数

用户端发送client_hello消息给服务器,向服务器传送用户端支持SSL协议版本号、加密算法种类、MAC算法种类、会话标识、密码属性（如hash块大小）,以及其她服务器和用户端之间通信所需要多种信息。

服务器以server_hello向用户应答,服务器端传选定SSL协