ssl协议分析

2024年4月15日发(作者：)

SSL协议分析

2906303015 马德元

摘要：

SSL是一种在客户端和服务器端之间建立安全通道的协议。SSL一经提出，就在Internet上得

到广泛的应用。SSL最常用来保护Web的安全。为了保护存有敏感信息Web的服务器的安全，消

除用户在Internet上数据传输的安全顾虑。

Open SSL是一个支持SSL认证的服务器．它是一个源码开放的自由软件，支持多种操作

系统。Open SSL软件的目的是实现一个完整的、健壮的、商业级的开放源码工具，通过强大的

加密算法来实现建立在传输层之上的安全性。Open SSL包含一套SSL协议的完整接口，应用程

序应用它们可以很方便的建立起安全套接层，进而能够通过网络进行安全的数据传输。

SSL is a client and server is established between the security channel protocol.

SSL is put forward, it has been widely used in Internet. SSL most commonly used to

protect the security of Web. In order to protect sensitive information being Web

server security, remove users in Internet data transmission security concerns.

Open SSL is a SSL authentication server. It is an open source free software, support

for multiple operating system. Open SSL software is designed to achieve a complete,

robust, commercial open source tools, through a strong encryption algorithm to

achieve the established in the transport layer security. Open SSL contains a set

of SSL protocol complete interface, applications and they can be very convenient

to establish secure sockets layer, and then through the network secure data

transmission

.

SSL协议概述

SSL 是Secure socket Layer英文缩写,它的中文意思是安全套接层协议,指使用公钥和私钥技

术组合的安全网络通讯协议。SSL协议是网景公司(Netscape)推出的基于 WEB应用的安全协

议,SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间

提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选

的客户机认证,主要用于提高应用程序之间数据的安全性,对传送的数据进行加密和隐藏,确保数

据在传送中不被改变,即确保数据的完整性。

SSL 以对称密码技术和公开密码技术相结合，可以实现如下三个通信目标：

(1)秘密性: SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所

获取的信息都将是无意义的密文信息。

(2)完整性: SSL利用密码算法和散列(HASH)函数,通过对传输信息特征值的提取来保证信息

的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息受到破坏。

(3)认证性:利用证书技术和可信的第三方认证,可以让客户机和服务器相互识别对方的

身份。为了验证证书持有者是其合法用户(而不是冒名用户), SSL要求证书持有者在握手时相互

交换数字证书,通过验证来保证对方身份的合法性。

SSL

协议的体系结构

SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到

端的安全服务,它是客户/服务器应用之间的通信不被攻击窃听,并且始终对服务器进行认证,

还可以选择对客户进行认证。SSL协议在应用层通信之前就已经完成加密算法、通信密钥的

协商以及服务器认证工作,在此之后,应用层协议所传送的数据都被加密。SSL实际上是共同

工作的两层协议组成,如图1所示。从体系结构图可以看出SSL安全协议实际是SSL握手协

议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。

握手

协议

修改密文协议

SSL记录协议

TCP

IP

报警

协议

图1 SSL体系结构

SSL记录协议为SSL连接提供了两种服务:一是机密性,二是消息完整性。为了实现这两种服

务, SSL记录协议对接收的数据和被接收的数据工作过程是如何实现的呢? SSL记录协议接收传

输的应用报文,将数据分片成可管理的块,进行数据压缩(可选),应用MAC,接着利用IDEA、DES、

3DES或其他加密算法进行数据加密,最后增加由内容类型、主要版本、次要版本和压缩长度组成

的首部。被接收的数据刚好与接收数据工作过程相反,依次被解密、验证、解压缩和重新装配,

然后交给更高级用户。

SSL修改密文协议是使用SSL记录协议服务的SSL高层协议的3个特定协议之一,也是其中

最简单的一个。协议由单个消息组成,该消息只包含一个值为1的单个字节。该消息的唯一作用

就是使未决状态拷贝为当前状态,更新用于当前连接的密码组。为了保障SSL传输过程的安全性,

双方应该每隔一段时间改变加密规范。

SSL告警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异

常,就需要给对方发送一条警示消息通告。警示消息有两种:一种是 Fatal错误,如传递数据过程

中,发现错误的MAC,双方就需要立即中断会话,同时消除自己缓冲区相应的会话记录;第二种是

Warning消息,这种情况,通信双方通常都只是记录日志,而对通信过程不造成任何影响。SSL握手

协议可以使得服务器和客户能够相互鉴别对方,协商具体的加密算法和MAC算法以及保密密钥,

用来保护在SSL记录中发送的数据。

SSL握手协议允许通信实体在交换应用数据之前协商密钥的算法、加密密钥和对客户端

进行认证（可选）的协议，为下一步记录协议要使用的密钥信息进行协商，使客户端和服务器建

立并保持安全通信的状态信息。SSL握手协议是在任何应用程序数据传输之前使用的。SSL握手