《安全協(xié)議體系》

目錄1TCP/IP平安協(xié)議體系概述2數(shù)據(jù)聯(lián)路層平安協(xié)議3網(wǎng)絡(luò)層平安協(xié)議4傳輸層平安協(xié)議5 應(yīng)用層平安協(xié)議.ISO/OSI參考模型TCP/IP層次模型TCP/IP體系應(yīng)用層（A）

應(yīng)用層FTPTELNETHTTPSNMPNFS表示層（P）

XDRSMTR會話層（S）RPC傳輸層（T）傳輸層TCP/UDP網(wǎng)絡(luò)層（N）IP層IPICMPARP、RARP數(shù)據(jù)鏈路層（DL）網(wǎng)絡(luò)接口層

硬件協(xié)議（不指定）物理層（PH）1TCP/IP平安協(xié)議體系概述.TCP/IP網(wǎng)絡(luò)平安體系的三維框架結(jié)構(gòu)實體單元應(yīng)用層傳輸層網(wǎng)絡(luò)層鏈路層物理層分層安全管理理管全安安全屬性（安全服務(wù)/安全機(jī)制）應(yīng)用系統(tǒng)安全計算機(jī)網(wǎng)絡(luò)安全0終端系統(tǒng)安全(計算機(jī)+OS)認(rèn)證訪問控制數(shù)據(jù)完整性抗抵賴可用性、可控性可審計性安全管理.現(xiàn)有TCP/IP網(wǎng)絡(luò)平安技術(shù)框架..網(wǎng)絡(luò)層平安.傳輸層平安.應(yīng)用層平安.平安協(xié)議概述TCP/IP網(wǎng)絡(luò)平安協(xié)議按層次歸類如下：1、網(wǎng)絡(luò)接口層平安協(xié)議主要用于鏈路層連接的認(rèn)證與保密,已有的平安協(xié)議如下：〔1〕隧道協(xié)議PPTP、L2F、L2TP〔2〕口令認(rèn)證協(xié)議〔PAP〕〔3〕挑戰(zhàn)握手認(rèn)證協(xié)議〔CHAP〕〔4〕Shiva口令認(rèn)證協(xié)議〔SPAP〕〔5〕擴(kuò)展認(rèn)證協(xié)議〔EAP〕〔6〕微軟的挑戰(zhàn)/響應(yīng)握手認(rèn)證協(xié)議〔MS-CHAP〕〔7〕微軟的點對點加密協(xié)議〔MS-MPPE〕.2、網(wǎng)絡(luò)層平安協(xié)議網(wǎng)絡(luò)層是實現(xiàn)全面平安的最低層次，網(wǎng)絡(luò)層平安協(xié)議可以提供ISO平安體系結(jié)構(gòu)中所定義的所有平安效勞。 〔1〕前期平安協(xié)議 1〕NSA/NIST的平安協(xié)議3〔SP3〕

2〕ISO的網(wǎng)絡(luò)層平安協(xié)議〔NLSP〕3〕NIST的完整NLSP〔I-NLSP〕4〕swIPe 〔2〕IETF的IPSecWG的IP平安協(xié)議〔IPSec〕1〕認(rèn)證頭〔AH〕2〕封裝平安有效負(fù)載〔ESP〕3〕Internet密鑰交換協(xié)議〔IKE〕.〔3〕IETF的IPSecWG的Internet密鑰管理協(xié)議〔IKMP〕

1〕標(biāo)準(zhǔn)密鑰管理協(xié)議〔MKNP〕

2〕IP協(xié)議的簡單密鑰管理〔SKIP〕3〕Photuris密鑰管理協(xié)議4〕平安密鑰交換機(jī)制〔SKEME〕5〕Internet平安關(guān)聯(lián)和密鑰管理協(xié)議〔ISAKMP〕6〕OAKLEY密鑰決定協(xié)議〔4〕其它平安協(xié)議

1〕機(jī)密IP封裝協(xié)議〔CIPE〕

2〕通用路由封裝協(xié)議〔GRE〕3〕包過濾信息協(xié)議〔PFIP〕.3、傳輸層平安協(xié)議〔1〕前期協(xié)議

NSA/NIST的平安協(xié)議4〔SP4〕

ISO的TLSP〔2〕平安SHELL〔SSH〕

SSH傳輸層協(xié)議

SSH認(rèn)證協(xié)議〔3〕平安套接字層〔SSL〕

SSL記錄協(xié)議

SSL握手協(xié)議〔4〕私有通信技術(shù)〔PCT〕〔5〕IEIFTLSWG的傳輸層平安協(xié)議〔TLSP〕〔6〕SOCKSv5.4、應(yīng)用層平安協(xié)議包括平安增強(qiáng)的應(yīng)用協(xié)議(已經(jīng)正式存在的或平安的新協(xié)議)和認(rèn)證與密鑰分發(fā)系統(tǒng)。 〔1〕平安增強(qiáng)的應(yīng)用協(xié)議

遠(yuǎn)程終端訪問〔STel〕 平安RPC認(rèn)證〔SRA〕 NATAS.〔2〕電子郵件〔SMTP〕

保密增強(qiáng)郵件〔PEM〕

PGP

平安MIME〔S/MIME〕

MIME對象平安效勞〔MOSS〕

消息平安協(xié)議〔MSP〕

APOP Gnu保密防護(hù)〔GnuPG〕.〔3〕WWW事務(wù)〔HTTP〕

使用SSL/TLS

平安HTTP〔S-HTTP〕

GSS-API方法

PGP-CCI方法〔4〕域名系統(tǒng)〔DNS〕

平安DNS〔SecureDNS〕

RFC2065域名系統(tǒng)平安擴(kuò)展.〔5〕文件傳輸〔FTP〕

RFC2228FTP平安擴(kuò)展〔6〕其它應(yīng)用

網(wǎng)絡(luò)管理：簡單網(wǎng)絡(luò)管理協(xié)議〔SNMPv2、SNMPv3〕

機(jī)密文件系統(tǒng)〔CFS〕 Andrew文件系統(tǒng)〔AFS〕.5、電子支付方案〔1〕電子貨幣〔ElectronicCash〕

Ecash〔Digicash〕

CAFE〔EuropeanR&DProject〕

NetCash〔ISI/USC〕

Mondex〔UK〕

CyberCash〔2〕電子支票〔ElectronicChecks〕

PayNow〔CyberCash〕

NteCheque〔ISI/USC〕.〔3〕信用卡支付〔CreditCardPayment〕

iKP〔i-Key-Protocol〕

平安電子支付協(xié)議〔SEPP〕

平安交易技術(shù)〔STT〕

平安電子交易〔SET〕〔4〕微支付〔Micropayments〕

Millicent

PayWordandMicroMint

CyberCoin NetBill.6、認(rèn)證和密鑰分配系統(tǒng)

Kerberos

遠(yuǎn)程認(rèn)證撥入用戶效勞〔RADIUS〕

網(wǎng)絡(luò)平安程序〔NetSP〕

SPX〔DEC〕

TESS〔Univ.ofKarlsruhe〕

SESAME DCE〔OpenGroup〕.7、其它平安協(xié)議

S/KEY

加密控制協(xié)議〔ECP〕

TACACS/TACACS+

FWZ密鑰管理協(xié)議

X.509數(shù)字證書

證書登記協(xié)議〔CeP〕

在線證書狀態(tài)協(xié)議〔OCSP〕

內(nèi)容引向協(xié)議〔UFP〕

URL過濾協(xié)議可疑行為監(jiān)控協(xié)議〔SAMP〕.2數(shù)據(jù)鏈路層平安協(xié)議2.1PPP協(xié)議2.2隧道技術(shù)原理2.3PPTP協(xié)議2.4L2TP協(xié)議.3網(wǎng)絡(luò)層平安協(xié)議---IPSec1、為什么需要在IP層提供平安性？(1)IP數(shù)據(jù)報文沒有任何平安機(jī)制，可被1〕竊聽2〕篡改3〕假冒。。。(2)在IP層提供平安性，對應(yīng)用、用戶是透明的.2、IP層需要什么樣的平安性(1)保密性：防止竊聽利用加密技術(shù)實現(xiàn)(2)完整性：防止篡改利用消息鑒別技術(shù)實現(xiàn)(3)鑒別：防止假冒確保通信雙方的真實性IPSec的主要特征是可以支持IP級所有流量的加密和/或認(rèn)證.3、IPSec的主要目標(biāo)期望平安的用戶能夠使用基于密碼學(xué)的平安機(jī)制應(yīng)能同時適用與IPv4和IPv6算法獨立有利于實現(xiàn)不同平安策略對沒有采用該機(jī)制的的用戶不會有副面影響對上述特征的支持在IPv6中是強(qiáng)制的，在IPv4中是可選的。這兩種情況下都是采用在主IP報頭后面接續(xù)擴(kuò)展報頭的方法實現(xiàn)的。認(rèn)證的擴(kuò)展報頭稱為AH(AuthenticationHeader)加密的擴(kuò)展報頭稱為ESPheader(EncapsulatingSecurityPayload).4、IPSec在IP層提供平安效勞訪問控制連接完整性數(shù)據(jù)源認(rèn)證拒絕重放數(shù)據(jù)包保密性〔加密〕有限信息流保密性.AH(認(rèn)證)ESP(僅加密)ESP(加密+認(rèn)證)訪問控制

連接完整性

數(shù)據(jù)源認(rèn)證

拒絕重放報文

保密性

有限信息流保密性

.5、IPSec的主要組成局部(1)首部鑒別AH協(xié)議AH協(xié)議提供數(shù)據(jù)源鑒別和數(shù)據(jù)完整性鑒別,這可以確保數(shù)據(jù)的完整性和真實性(含用戶和數(shù)據(jù))(2)平安凈荷封裝ESP協(xié)議ESP協(xié)議提供數(shù)據(jù)的保密性,還提供可選的鑒別效勞,可抵抗重放攻擊(3)因特網(wǎng)密鑰管理IKE協(xié)議AH和ESP提供的平安保證依賴于它們使用的加密算法及其密鑰。IKE定義了通信雙方間進(jìn)行身份鑒別、協(xié)商加密算法、生成或分配共享的會話密鑰以及創(chuàng)立平安關(guān)聯(lián)SA的方法.1〕IPSec體系體系文檔是RFC2401,它定義了IPSec的根本結(jié)構(gòu),指定IP包的機(jī)密性(加密)和身份認(rèn)證使用傳輸平安協(xié)議ESP或AH實現(xiàn).1)IPSec體系體系文檔是RFC2401,它定義了IPSec的根本結(jié)構(gòu),包括總體概念、平安需求、平安定義，以及定義IPSec技術(shù)機(jī)制2)ESP(Encapsulatingsecuritypayload,封裝平安載荷)協(xié)議文檔是RFC2406,定義了載荷頭(ESP頭)格式和效勞類型以及包處理規(guī)那么3)AH(AuthenticationHeader,認(rèn)證報頭)協(xié)議文檔RFC2402定義了AH頭格式、效勞類型及包處理規(guī)那么.4)加密算法協(xié)議文檔是RFC2405,定義了DES-CBC作為ESP的加密算法以及如何實現(xiàn)DES-CBC算法和初始化矢量(IV)的生成5)認(rèn)證算法協(xié)議文檔是RFC2403和RFC2404。RFC2403定義了對ESP的認(rèn)證算法為散列函數(shù)MD5或SHA的HMAC版本RFC2404定義了默認(rèn)情況下AH的認(rèn)證算法是MD5或SHA的HMAC版本.6)IKE(InternetkeyExchange,因特網(wǎng)密鑰交換)協(xié)議文檔是RFC2409,定義了IPSec通信雙方如何動態(tài)建立共享平安參數(shù)(即建立平安聯(lián)盟)和經(jīng)認(rèn)證過的密鑰IKE的功能包括:加密算法和密鑰的協(xié)商、密鑰生成、交換及管理。IKE是ISAKMP(RFC2408)、Oakley(RFC2412)和SKEME(RFC2408)三個協(xié)議揉合而成的一個協(xié)議。ISAKMP只規(guī)定了一個認(rèn)證和密鑰交換的框架,Oakley給出了密鑰交換的步驟,而SKEME那么提供了一種通用的密鑰交換技術(shù)。IKE結(jié)合三者的功能組成了一個密鑰交換協(xié)議.7)IPSecDOI(DomainofInterpretation,解釋域)協(xié)議文檔是RFC2407，定義了IPSecDOI文檔標(biāo)準(zhǔn)。IKE定義了平安參數(shù)如何協(xié)商,以及共享密鑰如何建立,但沒有定義協(xié)商內(nèi)容(參數(shù)),協(xié)商內(nèi)容與IKE協(xié)議本身分開實現(xiàn)。協(xié)商的內(nèi)容(參數(shù))被歸于一個單獨的文檔內(nèi),名為IPSecDOI。8)策略策略是兩個實體間通信的規(guī)那么,它決定采用什么協(xié)議、什么加密算法和認(rèn)證算法來通信。策略不當(dāng)可能造成不能正常工作。目前策略還沒有統(tǒng)一標(biāo)準(zhǔn).6、平安關(guān)聯(lián)SA(SecurityAssociation)(1)SA概述IPSec系統(tǒng)需要具體完成二方面工作:①設(shè)置平安機(jī)制及參數(shù)由IKE(因特網(wǎng)密鑰交換)、策略和解釋域(DOI)三組件完成②對IP包進(jìn)行加密、認(rèn)證和傳輸由ESP、AH傳輸協(xié)議完成(包括加密、認(rèn)證算法)完成SA是兩個通信實體經(jīng)過協(xié)商建立起來的一種單向的邏輯“連接〞，規(guī)定用來保護(hù)數(shù)據(jù)的IPSec協(xié)議類型、加密算法、認(rèn)證方式、加密和認(rèn)證密鑰、密鑰的生存時間以及抗重播攻擊的序列號等，為所承載的流量提供平安效勞SA可以手工建立也可以自動建立(采用IKE協(xié)議).SA是單向的如果兩臺主機(jī)A、B正在利用ESP通信，那么主機(jī)A需要一個用來處理外出數(shù)據(jù)包的SA(out)，還需要一個處理進(jìn)入數(shù)據(jù)包的SA(in)。主機(jī)A的SA(out)和主機(jī)B的SA(in)共享相同的加密參數(shù)，主機(jī)B的SA(out)和主機(jī)A的SA(in)共享相同的加密參數(shù)。SA可以為AH或者ESP提供平安效勞，但不能同時提供。如果一個流量同時使用了AH和ESP，那就必須為該流量建立兩個(或更多個)SA。為了保證兩臺主機(jī)或平安網(wǎng)關(guān)之間典型的雙向通信，至少需要建立兩個SA(每個方向一個).(2)平安關(guān)聯(lián)SA的表示：三元組〔平安參數(shù)索引，目的IP地址，平安協(xié)議標(biāo)識符〕1)平安參數(shù)索引〔SPI〕SPI是一個32位長的數(shù)據(jù)，發(fā)送方在每個數(shù)據(jù)包上加載一個SPI，接受方使用這個值在平安關(guān)聯(lián)數(shù)據(jù)庫SAD中進(jìn)行檢索查詢，提取所需要的SA，以便處理接收的分組2)目的IP地址可以是終端主機(jī)的IP地址，也可以是前端設(shè)備〔如防火墻或路由器〕的IP地址3)平安協(xié)議標(biāo)識符標(biāo)明該SA是用于AH還是ESP.(3)SAD：平安關(guān)聯(lián)數(shù)據(jù)庫SAD中的參數(shù)1)AH信息AH使用的鑒別算法、密鑰、密鑰生存期和相關(guān)參數(shù)

2)ESP信息ESP使用的加密算法、鑒別算法、密鑰及其同步初始化向量、密鑰生存期和相關(guān)的參數(shù)

3)SA的生存期

一旦到期，必須棄用參數(shù)平安參數(shù)索引(SPI).4)IPSec協(xié)議方式定義該SA參數(shù)是被隧道模式或傳輸模式使用，假設(shè)為通培符，那么隧道、傳輸模式均可用5)序列號序列號是一個32位的字段，用來產(chǎn)生AH或ESP頭中的序列號字段。SA建立初始時，該字段的值設(shè)為0。每次用SA來保護(hù)一個數(shù)據(jù)包，序列號的值便會遞增1。通常在這個字段溢出之前，SA會重新進(jìn)行協(xié)商。目標(biāo)主機(jī)利用這個字段來偵測“重播〞攻擊6)序列號溢出該字段在序列號溢出時加以設(shè)置，用于外出包處理。如溢出，那么產(chǎn)生一個審計事件，并禁止用SA繼續(xù)發(fā)送數(shù)據(jù)包.7)抗重播窗口：一個32位的計數(shù)器,判斷進(jìn)入的AH或ESP包是否是重播的數(shù)據(jù)包。僅用于進(jìn)入數(shù)據(jù)包，如接收方不選擇抗重播效勞(如手工設(shè)置SA時)，那么抗重播窗口未被使用8)PMTU參數(shù)在隧道模式下使用IPSec時，必須維持正確的PMTU信息，以便對數(shù)據(jù)包進(jìn)行相應(yīng)的分段。.(4)平安策略數(shù)據(jù)庫SPD(SecurityPolicyDatabase)SPD定義了對所有進(jìn)出業(yè)務(wù)應(yīng)該采取的平安策略，決定了為特定的數(shù)據(jù)包提供特定的平安效勞。IP數(shù)據(jù)包的收發(fā)都以平安策略為依據(jù)。對出入的IP包的處理有三種可能的選擇：1)丟棄不允許該IP包在此主機(jī)上存在，不允許通過此平安網(wǎng)關(guān)或是根本就不能傳送給上層應(yīng)用程序的業(yè)務(wù)流2)繞過IPSec不需要進(jìn)行IPSec平安保護(hù)處理，可直接通過3)采用IPSec需要進(jìn)行IPSec平安保護(hù)處理。對于這種業(yè)務(wù)流，SPD還必須指明所需提供的平安效勞，采用的協(xié)議類型以及使用何種算法等.以下參數(shù)可用來確定SPD入口(又稱為選擇符)：目的IP地址：可以是單地址或多地址源地址：單地址或多地址UserID:操作系統(tǒng)中的用戶標(biāo)識。數(shù)據(jù)敏感級別：傳輸層協(xié)議：IPSec協(xié)議〔AH,ESP,AH/ESP)源/目的端口效勞類型(TOS)策略策略入口SPD的結(jié)構(gòu)假設(shè)策略為采用IPSec，那么有指向SAD數(shù)據(jù)庫某條SA的指針.(5)報文與SA的關(guān)系1)對輸出報文對于輸出數(shù)據(jù)報文，IPSec協(xié)議要先查詢SPD，確定為數(shù)據(jù)報文應(yīng)使用的平安策略。如果檢索到的數(shù)據(jù)策略是應(yīng)用IPSec，再查詢SAD，確定是否存在有效地SA假設(shè)存在有效的SA，那么取出相應(yīng)的參數(shù)，將數(shù)據(jù)包封裝(包括加密、驗證，添加IPSec頭和IP頭等),然后發(fā)送假設(shè)尚未建立SA，那么啟動或觸發(fā)IKE協(xié)商，協(xié)商成功后按前一步驟處理，不成功那么應(yīng)將數(shù)據(jù)包丟棄，并記錄出錯信息存在SA但無效，將此信息向IKE通告，請求協(xié)商新的SA，協(xié)商成功后按1〕中的步驟處理，不成功那么應(yīng)將數(shù)據(jù)包丟棄，并記錄出錯信息.2)對輸入報文IPSec協(xié)議先查詢SAD。如得到有效的SA，那么對數(shù)據(jù)包進(jìn)行解封(復(fù)原)再查詢SPD，驗證為該數(shù)據(jù)包提供的平安保護(hù)是否與策略配置的相符。如相符，那么將復(fù)原后的數(shù)據(jù)包交給TCP層或轉(zhuǎn)發(fā)。如不相符，或要求應(yīng)用IPSec但未建立SA，或SA無效，那么將數(shù)據(jù)包丟棄，并記錄出錯信息.SA_IDsourcedestprotocolspiSA記錄01AH11MD5,K1,…05---06AH13DES,K3,…A()B()A的SADBIDsourcedestprotocolportActionpolicy05TCP80IPSEC_PASS-06TCP25IPSEC-USEAHA的SPD.7、傳輸和隧道模式(1)傳輸模式下IPSec僅對IP層以上的數(shù)據(jù)〔TCP/UDP數(shù)據(jù)〕進(jìn)行加密和鑒別。傳輸模式通常用于兩個主機(jī)之間的端對端通信(2)隧道模式下將原IP包封裝在一個新的包中，原IP包將作為新包的有效凈荷，并且添加了新的適用于網(wǎng)關(guān)間的IP首部。在傳輸過程中，由于原目的IP地址被封裝，中間的路由器只檢查新的IP首部，所以隧道方式可用來對抗通信量分析。隧道模式主要用于平安網(wǎng)關(guān)之間，可以在公共網(wǎng)上構(gòu)建虛擬專用網(wǎng)(VPN)...8、鑒別AH協(xié)議

AH首部格式

.下一個首部〔8bit〕標(biāo)識該AH首部后下一有效載荷的類型平安參數(shù)索引〔32bit〕標(biāo)識用于此數(shù)據(jù)項的SA序列號〔32bit〕一個單調(diào)遞增的記數(shù)值，用于防止重放攻擊鑒別數(shù)據(jù)〔可變長〕長度可變，但必須為32bit的整數(shù)倍，包含了這個包的完整性檢查值.AH的兩種模式(1)傳輸模式鑒別覆蓋了整個分組〔除可變字段〕(2)隧道模式AH被插在原IP首部和新IP首部之間,目的IP地址被掩藏起來,提供了通信量上的平安性。.Ext.headers(ifpresent)Ext.headers(ifpresent)AH-傳輸模式.AH-隧道模式.9、ESP協(xié)議ESP首部格式

ESPHeaderESPTrailerESPAuth.DataPayloadData.ESP-傳輸模式Ext.headers(ifpresent)Ext.hrs.ESP-隧道模式.10、IKE〔1〕IPSec的5個階段1)過程啟動2)IKE的第一階段3)IKE的第二階段4)數(shù)據(jù)傳送5)隧道終止.〔2〕IKE的第一階段在IKE的第一階段中，在IPSec的兩個端點間協(xié)商IKE的SA，以保護(hù)IKE交換的平安用Diffie-Hellman算法進(jìn)行密鑰交換〔3〕IKE的第二階段當(dāng)IKESA建立后，進(jìn)入IKE的第二階段，協(xié)商和建立IPSec的SA.4傳輸層平安協(xié)議1、傳輸層平安協(xié)議(1)SSL(2)TLS：基于SSL協(xié)議RFC2246:TheTLSProtocolVersion1.0RFC2818:HTTPOverTLS2、SSL協(xié)議的起源由于Web上有時要傳輸重要或敏感的數(shù)據(jù)，為了提供Web應(yīng)用的平安性，1994年Netscape公司提出了平安通信協(xié)議SSL(SecureSocketLayer)。把HTTP和SSL相結(jié)合，就可以實現(xiàn)平安通信。SSL作為目前保護(hù)Web平安和基于HTTP的電子商務(wù)交易平安的事實上的標(biāo)準(zhǔn)，被世界知名廠家廣泛支持.3、SSL提供的平安效勞為客戶-效勞器通訊提供平安性〔1〕保密性SSL客戶機(jī)和效勞器之間通過密碼算法和密鑰的協(xié)商，建立起一個平安通道。〔2〕完整性SSL利用密碼算法和Hash函數(shù)，通過對傳輸信息特征值的提取來保證信息的完整性(消息摘要)〔3〕認(rèn)證性利用證書技術(shù)和可信的第三方CA，可以讓客戶機(jī)和效勞器相互識別對方的身份.4、SSL協(xié)議的體系結(jié)構(gòu)SSL是一個兩層協(xié)議〔1〕記錄層協(xié)議〔2〕握手層協(xié)議：3個TCPSSL記錄協(xié)議SSL握手協(xié)議SSL密鑰更改協(xié)議SSL告警協(xié)議握手層協(xié)議.(1)記錄協(xié)議提供分塊、壓縮、加密、完整性效勞(2)握手協(xié)議SSL握手協(xié)議是用來在客戶端和效勞器端傳輸應(yīng)用數(shù)據(jù)之前建立平安通信機(jī)制。首次通信時，雙方通過握手協(xié)議協(xié)商密鑰加密算法、數(shù)據(jù)加密算法和報文摘要算法；然后互相驗證對方身份，最后使用協(xié)商好的密鑰交換算法產(chǎn)生一個只有雙方知道的秘密信息，客戶端和效勞器各自根據(jù)這個秘密信息確定數(shù)據(jù)加密算法的參數(shù)(一般是密鑰)(3)密鑰更改協(xié)議用于會話間的密鑰修改(4)告警協(xié)議用于傳輸警告信息.5、記錄協(xié)議SSL記錄協(xié)議提供數(shù)據(jù)加密以及數(shù)據(jù)完整性效勞MAC.記錄報文的結(jié)構(gòu).記錄頭可以是2個或3個字節(jié)的編碼記錄頭包含的信息：記錄頭的長度記錄數(shù)據(jù)的長度記錄數(shù)據(jù)中是否有填充數(shù)據(jù)(使用塊加密時填充的數(shù)據(jù))

.6、SSL握手協(xié)議(1)作用SSL握手協(xié)議旨在創(chuàng)立和保持通信雙方進(jìn)行平安通信所需的平安參數(shù)及狀態(tài)信息。它使得效勞器和客戶機(jī)能夠進(jìn)行雙向的身份認(rèn)證，并協(xié)商加密算法、MAC算法以及SSL記錄中所用的加密密鑰(2)過程分為四個階段.1)第一階段：建立平安能力協(xié)商壓縮算法、報文摘要算法、加密算法等；SSL版本、會話標(biāo)識符2)第二階段：效勞器鑒別和密鑰交換效勞器向客戶發(fā)送其數(shù)字證書，利用該證書對效勞器進(jìn)行鑒別3)第三階段：客戶鑒別和密鑰交換(可選)客戶向效勞器發(fā)送其數(shù)字證書，利用該證書對客戶進(jìn)行鑒別。4)第四階段：握手結(jié)束階段前面各階段完成.客戶端服務(wù)端第一階段第二階段Client_hello

Server_hello

Server_certificate

Server_key_exchange

Certificate_request

Server_hello_done

客戶端服務(wù)端第三階段第四階段Client_certificate

Client_key_exchange

Certificate_Verify

Change_cipher_spec

Finished

Change_cipher_spec

Finished

.握手協(xié)議定義的消息類型(1)消息類型說明參數(shù)hello_request握手請求，服務(wù)器可在任何時候向客戶端發(fā)送該消息。若客戶端正在進(jìn)行握手過程就可忽略該消息。否則客戶端發(fā)送cleint_hello消息，啟動握手過程無client_hello客戶啟動握手請求，該消息時當(dāng)客戶第一次連接服務(wù)器時向服務(wù)器發(fā)送的第一條消息。該消息中包括了客戶端支持的各種算法。若服務(wù)器端不能支持，則本次會話可能失敗。版本、隨機(jī)數(shù)、會話ID、密文族、壓縮方法server_hello其結(jié)構(gòu)與client_hello消息，該消息是服務(wù)器對客戶端client_hello消息的恢復(fù)。版本、隨機(jī)數(shù)、會話ID、密文族、壓縮方法server_certificate服務(wù)器提供的證書。如果客戶要求對服務(wù)器進(jìn)行認(rèn)證，則服務(wù)器在發(fā)送server_hello消息后，向客戶端發(fā)送該消息。證書的類型一般是X.509v3。X．509v3證書鏈server_key_exchange服務(wù)器密鑰交換。當(dāng)服務(wù)器不使用證書，或其證書中僅提供簽名而不提供密鑰時，需要使用本消息來交換密鑰。參數(shù)、簽名.握手協(xié)議定義的消息類型(2)消息類型說明參數(shù)certificate_request用于服務(wù)器向客戶端要求一個客戶證書。類型、授權(quán)server_hello_done該消息表明服務(wù)器端的握手請求報文已經(jīng)發(fā)送完畢，正在等待客戶端的響應(yīng)。客戶端在收到該消息時，將檢查服務(wù)器提供的證書及其他參數(shù)是否是有效、可以接受的。無client_certificate客戶端對服務(wù)器certificate_request消息的響應(yīng)，只有在服務(wù)器端要求客戶證書的時候使用。一般該消息是客戶端收到server_hello_done消息后所發(fā)送的第一條消息。若客戶端沒有合適的證書，則向服務(wù)