在上資訊保安課程的時候,經常聽到ssl層協議為web安全提供一種安全保障機制,但是該協議的具體操作過程以及對協議的格式不甚了解。現所看**是對網路安全協議驗證方法的研究,並使用csp(通訊順序進場)語言對ssl協議進行了描述,在對抽象語言進行理解之前,我想首先得理清ssl的具體過程。
秘密性: ssl客戶機和伺服器之間傳送的資料經過了加密處理,網路中的非法竊聽者所獲取的資訊都將是無意義的密文資訊ssl協議由兩層組成,分別由ssl記錄層協議和ssl握手協議組成。同時由兩層子協議同時作用,如圖所示:完整性: ssl利用雜湊(hash)函式,通過對傳輸資訊特徵值的提取來保證資訊的完整性,確保要傳輸的資訊全部到達目的地,可以避免伺服器和客戶機之間的資訊受到破壞。
認證性:利用證書技術和可信的第三方認證,可以讓客戶機和伺服器相互識別對方的身份。
作用時間
客戶機和伺服器用ssl連線通訊時使用的」第乙個」子協議。在應用層傳送報文之前實行。
功能 協商ssl協議的版本、協商加密套間、協商金鑰引數、驗證通訊雙方的身份或僅驗證伺服器身份(可選)、建立ssl連線
握手流程(以單方向認證為例)
形象化比喻:
c(client): 我想和你進行安全通話,我的對稱演算法有des,rc5,秘鑰交換演算法有rsa和dh,摘要演算法有md5和sha。ssl握手協議報文格式s(server): 我們用des-rsa-sha這對組合。這是我的證書c,你拿去驗證我的身份。 ——協商ssl協議的版本
c: (通過ca驗證s證書的真實性,若有誤,發出警告斷開連線)下面我要用你的公鑰進行加密,給你發訊息了。
訊息內容:生成per_master_secret(用於對初始化向量和hmac金鑰進行加密),使用s的公鑰對per_master_secret加密後傳送給s
c:我說完了(使用公鑰加密) ——認證身份&&生成clientkeyexchange
s: (用私鑰進行解密獲得per_master_secret)生成初始化向量、hmac秘鑰、加密金鑰,並用per_master_secret進行加密後傳送給c
s:我說完了 ——協商完畢一套加密演算法
ssl會話建立完畢,應用層可以開始傳送資料!
3個字段:type,length,content
type:(1位元組)該欄位指明使用的ssl握手協議報文型別
1) hello_request:length:(3位元組)以位元組為單位的報文長度。2) client_hello:
3) server_hello:
4) certificate:
5) server_key_exchange:
6) certificate_request:
7) server_done:
8) certificate_verify:
9) client_key_exchange:
10) finished: 引用塊內容
content:(≥1位元組):對應報文型別的的實際內容、引數
詳情可見 ssl報文詳解
作用時間
作用於所有的ssl通訊,記錄協議封裝上層的握手協議、警告協議、改變密碼格式協議、應用資料協議
功能 1) 分組、組合
2) 壓縮、解壓縮
3) 以及訊息認證
4) 加密傳輸等
記錄流程
ssl記錄報頭
本文只是對ssl整個架構的簡單理解,其中涉及到的具體操作(如金鑰的生成、des的加密),都是涉及到密碼學的非常複雜的過程,如有興趣,可以參考博文ssl協議詳解,其中有更詳細的說明。
網路安全之SSL和SET協議的比較
在認證要求方面,早期的ssl並設有提供商家身份認證機制。雖然在ssl3.0中可以通過數字簽名和數字證書實現瀏覽器和web服務雙方的身份驗證,但仍不能實現多方認證。相比之下,set的安全要求較高,所有參與set交易的成員 持卡人 商家 發卡銀行 收單銀行和支付閘道器 都必須申請數字證書進行身份識別。在...
網路安全協議複習
本部分內容主要介紹tcp ip協議體系結構中,每層包含的協議及其英文全稱。位址解析協議 arp address resolution protocol 逆位址解析協議 rarp reverse address resolution protocol 網際網路控制訊息協議 icmp internet ...
網路安全知識(一)
計算機病毒的破壞行為 計算機病毒的破壞行為主要分為四類 1 刪除 修改檔案。被開啟檔案變為乙個可執行檔案,原檔案內容被覆蓋。2 占用系統資源。絕大多數的蠕蟲病毒。瘋狂在計算機網路中傳播,占用網路以及本地計算機資源。3 非法訪問系統程序。主要以黑客病毒為主。通過感染計算機,然後黑客或非法使用者獲得對已...