SSL简介
SSL(Secure Sockets Layer)是一种安全协议,用于保护互联网上的数据传输安全。SSL协议最初由网景公司开发,现在已经被TLS(Transport Layer Security)协议所取代。SSL协议和TLS协议都是为了保护数据传输的安全而设计的,TLS协议是SSL协议的继承者,TLS协议的版本号是SSL协议的版本号加1。
SSL和TLS:
SSL协议是一种安全协议,用于保护互联网上的数据传输安全。TLS协议是SSL协议的继承者,TLS协议的版本号是SSL协议的版本号加1。TLS协议和SSL协议的目的都是为了保护数据传输的安全,TLS协议比SSL协议更加安全,因为TLS协议修复了SSL协议的一些安全漏洞。
SSL协议介绍:
SSL协议是一种安全协议,用于保护互联网上的数据传输安全。SSL协议最初由网景公司开发,现在已经被TLS协议所取代。SSL协议的主要功能是提供数据加密、身份认证和数据完整性保护。SSL协议通过使用公钥加密技术和对称加密技术来保护数据传输的安全。SSL协议的加密过程是在传输层进行的,因此可以保护所有应用层协议的数据传输安全。
SSL加密知名协议:
SSL协议使用的加密算法有很多种,其中比较知名的有以下几种:
1. RSA加密算法:RSA是一种非对称加密算法,用于加密和解密数据。RSA算法的安全性基于大数分解问题,即将一个大的合数分解成两个质数的乘积的问题。
2. AES加密算法:AES是一种对称加密算法,用于加密和解密数据。AES算法的安全性基于密钥的保密性,只有知道密钥的人才能解密数据。
3. SHA加密算法:SHA是一种哈希算法,用于生成消息摘要。SHA算法的安全性基于哈希算法的不可逆性,即无法从消息摘要反推出原始消息。
SSL原理详解
SSL协议结构:
SSL协议由四个子协议组成,分别是握手协议、记录协议、警告协议和应用数据协议。握手协议用于建立SSL连接,记录协议用于传输应用层数据,警告协议用于传输警告信息,应用数据协议用于传输应用层数据。
SSL建立阶段与IPSec 类比的话:
SSL协议的建立过程可以类比于IPSec协议的建立过程。IPSec协议是一种安全协议,用于保护IP层数据传输的安全。IPSec协议的建立过程包括安全关联建立、密钥协商和数据传输三个阶段。SSL协议的建立过程也包括三个阶段,分别是握手协议、记录协议和应用数据协议。
SSL原理(SSL建立)握手协议总过程:
SSL建立过程包括握手协议、记录协议和应用数据协议三个阶段。握手协议用于建立SSL连接,记录协议用于传输应用层数据,应用数据协议用于传输应用层数据。
SSL建立第一阶段:
在SSL建立的第一阶段,客户端向服务器发送ClientHello消息,包括SSL版本号、加密算法列表、随机数等信息。服务器收到ClientHello消息后,向客户端发送ServerHello消息,包括SSL版本号、加密算法、随机数等信息。
ClientHello
ClientHello消息包括SSL版本号、加密算法列表、随机数等信息。SSL版本号用于指定SSL协议的版本号,加密算法列表用于指定客户端支持的加密算法,随机数用于生成密钥。
ServerHello
ServerHello消息包括SSL版本号、加密算法、随机数等信息。SSL版本号用于指定SSL协议的版本号,加密算法用于指定服务器选择的加密算法,随机数用于生成密钥。
SSL建立第二阶段:
在SSL建立的第二阶段,服务器向客户端发送Certificate消息、Server Key Exchange消息、Certificate Request消息和Server Hello Done消息。Certificate消息用于传输服务器的证书,Server Key Exchange消息用于传输服务器的公钥,Certificate Request消息用于请求客户端提供证书,Server Hello Done消息用于告知客户端握手协议的第二阶段已经结束。
Certificate消息(可选)—第一次建立必须要有证书
Certificate消息用于传输服务器的证书,证书包括服务器的公钥和服务器的身份信息。客户端收到Certificate消息后,会验证服务器的证书是否合法。
Server Key Exchange(可选)
Server Key Exchange消息用于传输服务器的公钥,服务器的公钥用于加密数据。如果服务器的证书中已经包含了服务器的公钥,那么Server Key Exchange消息就可以省略。
Certificate Request(可选)------可以是单向的身份认证,也可以双向认证
Certificate Request消息用于请求客户端提供证书,证书用于客户端的身份认证。如果服务器不需要对客户端进行身份认证,那么Certificate Request消息就可以省略。
Server Hello Done
Server Hello Done消息用于告知客户端握手协议的第二阶段已经结束。
SSL建立第三阶段:
在SSL建立的第三阶段,客户端向服务器发送Certificate消息、Client Key Exchange消息和Certificate Verify消息。Certificate消息用于传输客户端的证书,Client Key Exchange消息用于传输客户端的公钥,Certificate Verify消息用于验证客户端的证书是否合法。
Certificate(可选)
Certificate消息用于传输客户端的证书,证书包括客户端的公钥和客户端的身份信息。服务器收到Certificate消息后,会验证客户端的证书是否合法。
Client Key exchange
Client Key Exchange消息用于传输客户端的公钥,客户端的公钥用于加密数据。
Certificate verify(可选)
Certificate Verify消息用于验证客户端的证书是否合法。客户端使用自己的私钥对证书进行签名,服务器使用客户端的公钥对签名进行验证。
SSL建立第四阶段:
在SSL建立的第四阶段,客户端和服务器交换ChangeCipherSpec消息、Finished消息和消息验证代码(HMAC)。ChangeCipherSpec消息用于告知对方加密算法已经生效,Finished消息用于告知对方握手协议已经完成,消息验证代码(HMAC)用于保证数据传输的完整性。
ChangeCipherSpec :
ChangeCipherSpec消息用于告知对方加密算法已经生效,客户端和服务器都会发送ChangeCipherSpec消息。
Clinet Finished:
Client Finished消息用于告知服务器握手协议已经完成,客户端会计算出Finished消息的消息验证代码(HMAC)。
Server Finished:
Server Finished消息用于告知客户端握手协议已经完成,服务器会计算出Finished消息的消息验证代码(HMAC)。
消息验证代码(HMAC)和TLS数据完整性:
消息验证代码(HMAC)用于保证数据传输的完整性,HMAC是一种消息认证码,用于验证消息的完整性和真实性。TLS数据完整性是指在数据传输过程中,数据没有被篡改、删除或者插入。
几个重要的secret key:
在SSL协议中,有几个重要的secret key,包括PreMaster secret、Master secret、Client write secret和Server write secret。PreMaster secret是客户端和服务器协商生成的一个随机数,用于生成Master secret。Master secret是客户端和服务器协商生成的一个密钥,用于生成Client write secret和Server write secret。Client write secret和Server write secret是用于加密和解密数据的密钥。
SSL会话恢复:
SSL会话恢复是指在SSL连接已经建立的情况下,客户端和服务器可以重复使用之前协商生成的密钥,从而避免重新进行密钥协商的过程。SSL会话恢复可以提高SSL连接的性能和安全性。
SSL记录协议:
SSL记录协议用于传输应用层数据,SSL记录协议将应用层数据分成若干个记录,每个记录包括记录头和记录体两部分。记录头包括记录类型、记录长度和协议版本号等信息,记录体包括应用层数据。
应用数据传输:
应用数据传输是指在SSL连接建立成功后,客户端和服务器可以通过SSL记录协议传输应用层数据。应用数据传输过程中,数据会被加密和解密,从而保证数据传输的安全性。