SSL協議工作過程探析

◆檀亞樂 胡曦明，2 馬 苗，2

（1.陜西師范大學計算機科學學院 陜西 710119；2.現代教學技術教育部重點實驗室 陜西 710119)

SSL協議工作過程探析

◆檀亞樂1胡曦明1，2馬 苗1，2

（1.陜西師范大學計算機科學學院 陜西 710119；2.現代教學技術教育部重點實驗室 陜西 710119)

本文針對電子商務以及網絡通信過程中的安全問題，提出了SSL協議（安全套接層協議），為探究SSL協議的工作過程，在Windows sever 2003上搭建了SSL安全協議模型配置了安全證書并進行了抓包分析，研究表明，SSL協議為網絡安全通信及電子商務交易提供了安全保障，是一種較為可靠的安全通信協議，對電子商務及網絡通信的發展起到了促進作用。

安全套接層協議；SSL協議工作原理；握手過程；SSL協議應用

0 引言

SSL協議是國際上最早用于電子商務的一種網絡安全協議，在傳統的電子商務活動中，客戶首先尋找商品信息，然后匯款給商家，然后商家再把商品寄給客戶，這樣就相當于完成了一項商品交易。而在這其中，商家是值得信賴的，商家擔心客戶不付款或者使用不可靠的銀行卡，所以希望銀行對這一交易進行認證，SSL協議正是在這一背景下產生的。目前，國外著名的商業瀏覽器、web服務器和電子郵件等都內嵌的使用SSL安全協議。SSL協議已成為最流行的安全傳輸協議，在信息系統安全中占據重要地位。SSL協議作為電子商務系統中應用最為廣泛的協議，通過對通信過程的加密來實現安全通信。SSL協議應滿足機密性和完整性的需求，同時實現服務器身份認證，本文主要對SSL協議的工作過程及工作原理做了介紹。

1 SSL協議概述

1.1 SSL協議特點

保密：在握手協議中定義了會話密鑰后，所有的消息都被加密。

鑒別：可選的客戶端認證，和強制的服務器端認證。

完整性：傳送的消息包括消息完整性檢查（使用MAC）。

1.2 SSL協議的目標及實現

（1）客戶對服務器的身份確認。

（2）服務器對客戶的身份確認（客戶證書）。

（3）建立起服務器和客戶之間安全的數據通道。

1.3 SSL協議算法加密思想

在SSL中會使用密鑰交換算法交換密鑰；使用密鑰對數據進行加密；使用散列算法對數據的完整性進行驗證，使用數字證書證明自己的身份。

1.4 SSL協議體系結構

SSL協議分為上下兩層，上層（簡稱握手層）包括SSL握手協議、SSL秘鑰修改協議、SSL警告協議，下層包括SSL記錄協議。

2 SSL協議工作原理及過程

2.1 SSL協議工作原理

（1） SSL握手協議

握手協議是關于客戶和服務器如何協商它們在安全信道中要使用的安全參數，這些參數包括要采用的協議版本、加密算法和密鑰。另外，客戶要認證服務器，服務器則可以選擇認證/不認證客戶。工作過程示意圖如圖1所示。

（2） SSL修改密鑰協議

SSL修改密鑰協議是使用SSL記錄協議服務的SSL高層協議的3個特定協議之一，也是其中最簡單的一個。協議由單個消息組成，該消息只包含一個值為1的單個字節。該消息的唯一作用就是使未決狀態拷貝為當前狀態，更新用于當前連接的密碼組。為了保障SSL傳輸過程的安全性，雙方應該每隔一段時間改變加密規范。

圖1 SSL握手協議

（3）記錄層協議

記錄協議在客戶機和服務器握手成功后使用，即客戶機和服務器鑒別對方和確定安全信息交換使用的算法后，進入SSL記錄協議，記錄協議向SSL 連接提供兩個服務，即保密性和完整性，其中保密性由握手協議定義的密鑰決定；完整性由握手協議定義的MAC來保證。

（4）警告協議

客戶機和服務器發現錯誤時，向對方發送一個警報消息。如果是致命錯誤，則算法會立即關閉SSL連接，雙方還會先刪除相關的會話號及密鑰。每個警報消息共2個字節，第1個字節表示錯誤類型，如果是警報，則值為1，如果是致命錯誤，則值為2；第2個字節制定實際錯誤類型。

2.2 SSL協議實現過程

客戶機和服務器，使用SSL協議和通信雙方可以相互驗證對方身份的真實性，并且能夠保證數據的機密性和完整性。下面我們來看一下SSL協議實現過程的整體示意圖如圖2。

圖2 SSL協議實現過程

SSL握手協議是SSL通信協議中第一個也是最重要的一個子協議，如圖3-圖6所示：

圖3 SSL握手協議第一階段

建立安全能力：SSL握手的第一階段啟動邏輯連接，建立這個連接的安全能力。首先客戶機向服務器發出client hello消息并等待服務器響應，隨后服務器向客戶機返回server hello消息，對client hello消息中的信息進行確認。Client hello消息包括Version，Random，Session id，Cipher suite，Compression。

圖4 SSL握手協議第二階段

服務器鑒別與秘鑰交換：服務器啟動SSL握手第2階段，是本階段所有消息的唯一發送方，客戶機是所有消息的唯一接收方。該階段分為4步：（1）證書：服務器將數字證書和到根CA整個鏈發給客戶端，使客戶端能用服務器證書中的服務器公鑰認證服務器；（2）服務器密鑰交換（可選）：這里視密鑰交換算法而定；（3）證書請求：服務端可能會要求客戶自身進行驗證；（4）服務器握手完成：第二階段的結束，第三階段開始的信號。

客戶鑒別與秘鑰交換：SSL握手第三階段，客戶機是本階段所有消息的唯一發送方，服務器是所有消息的唯一接收方。該階段分為3步： （1）證書（可選）：為了對服務器證明自身，客戶要發送一個證書信息，在IIS中可以配置強制客戶端證書認證。（2）客戶機密鑰交換（Pre-master-secret）：這里客戶端將預備主密鑰發送給服務端，注意這里會使用服務端的公鑰進行加密。（3）證書驗證（可選）：對預備秘密和隨機數進行簽名，證明擁有。（4）證書的公鑰。如圖所示為RSA方式的客戶端驗證和密鑰交換，握手過程完成。

圖5 握手協議第三階段

圖6 SSL握手協議第四階段

2.3 抓包分析

以TLS為例進行通信分析（如圖7）。

圖7 TLS通信分析

客戶端發起握手協商操作，它將發送一個ClientHello消息給服務器，消息中明確了其所支持的SSL/TLS版本、Cipher suite加密算法組合等，可以讓服務器選擇，并提供了一個客戶端隨機數，用于以后生成會話密鑰使用。

圖8 TLS通信報文

客戶端所支持的加密算法如9所示：

圖9 客戶端支持算法

服務器將返回一個ServerHello消息，該消息包含了服務器選擇的協議版本、加密算法，以及服務器隨機數、會話ID等內容。其中，服務器選擇的協議版本應小于等于客戶端ClientHello中的協議版本。圖10-圖11所示即為服務器端所選擇的協議版本、加密算法等。

圖10 協議版本

圖11 加密算法

發送Certificate消息，該消息包含了服務器的證書等信息，可通過證書鏈認證該證書的真實性。服務器發送ServerKeyExchange消息，消息中包含了服務器這邊的 EC Diffie-Hellman算法相關參數。此消息一般只在選擇使用DHE 和DH_anon等加密算法組合時才會由服務器發出。服務器發送ServerHelloDone消息，告知客戶端服務器這邊握手相關的消息發送完畢。

圖12 報文分析

客戶端發送ClientKeyExchange消息，消息中包含客戶端這邊的EC Diffie-Hellman算法相關參數，然后服務器和客戶端都可根據接收到的對方參數和自身參數運算出Premaster secret，為生成會話密鑰做準備。

客戶端向服務器發送ChangeCipherSpec消息，通知服務器此消息以后客戶端會以加密方式發送數據。

3 SSL協議應用及優缺點

可用于電子商務交易信息平臺；瀏覽器安全瀏覽信息；郵件的安全傳輸等。SSL協議實施起來比較簡單，對現有網絡系統的修改也不是太大且具有較強的自主開發性，所以應用廣泛。

但由于 SSL協議的安全傳輸的數據安全性是建立在傳輸過程中加密算法的魯棒性和穩健性之上的，所以，網站或者交易平臺在使用SSL協議的過程中，如果他們的加密算法被破解或者遭到攻擊，那么SSL協議也會相應的失去效用。所以SSL協議在其應用上還存在一定的缺陷，并不能讓滿足對傳輸信息加密要求很高的傳輸過程。

圖13 報文內容

4 結束語

對SSL協議的工作原理和工作過程做了簡單介紹，并且抓包分析了SSL協議的工作過程。通過這次實驗分析，更加透徹的了解了 SSL協議的工作方法以及在工作過程中可能遇到的問題。SSL協議自身存在一定的安全缺陷，還需要進行改進。

SSL協議是用于通信安全保密防護的一種協議，它對于未來網絡通信發展有著重要意義。了解SSL協議的工作方式，對以后網絡通信安全研究有著重大意義。

[1]郭正榮，周城.SSL協議工作過程及其應用[J].網絡安全技術與應用，2004.

[2]胡曉曄，李峻屹.SSL協議分析及實現[J].電腦知識與技術，2008.

[3]董劍安，吳秋峰.SSL應用算法安全研究[J].網絡安全技術與應用.

[4]陳鴻星，周媛蘭.基于不對稱加密的網絡信息安全對策研究[J].網絡安全技術與應用.

[5]覃東，曾紅亮.基于SSL的客戶端認證策略研究[J].計算機工程與設計，2008.

[6]寇亞洲.SSL密文會話分析與監控[D].北京交通大學，2012.

[7]侯剛，周洲，杜波 SSL VPN在電子政務網中的應用[J].網絡安全技術與應用，2012.

[8]肖中杰.SSL及其在校園網WEB系統安全中的應用研究[J].網絡安全技術與應用，2009.

[9]楊文凱.SSL VPN安全關鍵技術研究[D].西南交通大學，2010.

中央高校基本科研業務費專項資金資助項目（GK201503065），現代教學技術教育部重點實驗室開放課題資助項目（SYSK201501），陜西師范大學非師范拔尖創新人才培養計劃2017年度項目。