SSL简介

 

SSL（Secure Sockets Layer）是一种安全协议，用于保护互联网上的数据传输安全。SSL协议最初由网景公司开发，现在已经被TLS（Transport Layer Security）协议所取代。SSL协议和TLS协议都是为了保护数据传输的安全而设计的，TLS协议是SSL协议的继承者，TLS协议的版本号是SSL协议的版本号加1。

SSL和TLS：

SSL协议是一种安全协议，用于保护互联网上的数据传输安全。TLS协议是SSL协议的继承者，TLS协议的版本号是SSL协议的版本号加1。TLS协议和SSL协议的目的都是为了保护数据传输的安全，TLS协议比SSL协议更加安全，因为TLS协议修复了SSL协议的一些安全漏洞。

SSL协议介绍：

SSL协议是一种安全协议，用于保护互联网上的数据传输安全。SSL协议最初由网景公司开发，现在已经被TLS协议所取代。SSL协议的主要功能是提供数据加密、身份认证和数据完整性保护。SSL协议通过使用公钥加密技术和对称加密技术来保护数据传输的安全。SSL协议的加密过程是在传输层进行的，因此可以保护所有应用层协议的数据传输安全。

SSL加密知名协议：

 

SSL协议使用的加密算法有很多种，其中比较知名的有以下几种：

1. RSA加密算法：RSA是一种非对称加密算法，用于加密和解密数据。RSA算法的安全性基于大数分解问题，即将一个大的合数分解成两个质数的乘积的问题。

2. AES加密算法：AES是一种对称加密算法，用于加密和解密数据。AES算法的安全性基于密钥的保密性，只有知道密钥的人才能解密数据。

3. SHA加密算法：SHA是一种哈希算法，用于生成消息摘要。SHA算法的安全性基于哈希算法的不可逆性，即无法从消息摘要反推出原始消息。

SSL原理详解

 

SSL协议结构：

SSL协议由四个子协议组成，分别是握手协议、记录协议、警告协议和应用数据协议。握手协议用于建立SSL连接，记录协议用于传输应用层数据，警告协议用于传输警告信息，应用数据协议用于传输应用层数据。

SSL建立阶段与IPSec 类比的话：

SSL协议的建立过程可以类比于IPSec协议的建立过程。IPSec协议是一种安全协议，用于保护IP层数据传输的安全。IPSec协议的建立过程包括安全关联建立、密钥协商和数据传输三个阶段。SSL协议的建立过程也包括三个阶段，分别是握手协议、记录协议和应用数据协议。

SSL原理（SSL建立）握手协议总过程：

SSL建立过程包括握手协议、记录协议和应用数据协议三个阶段。握手协议用于建立SSL连接，记录协议用于传输应用层数据，应用数据协议用于传输应用层数据。

SSL建立第一阶段：

在SSL建立的第一阶段，客户端向服务器发送ClientHello消息，包括SSL版本号、加密算法列表、随机数等信息。服务器收到ClientHello消息后，向客户端发送ServerHello消息，包括SSL版本号、加密算法、随机数等信息。

ClientHello

ClientHello消息包括SSL版本号、加密算法列表、随机数等信息。SSL版本号用于指定SSL协议的版本号，加密算法列表用于指定客户端支持的加密算法，随机数用于生成密钥。

ServerHello

ServerHello消息包括SSL版本号、加密算法、随机数等信息。SSL版本号用于指定SSL协议的版本号，加密算法用于指定服务器选择的加密算法，随机数用于生成密钥。

SSL建立第二阶段：

在SSL建立的第二阶段，服务器向客户端发送Certificate消息、Server Key Exchange消息、Certificate Request消息和Server Hello Done消息。Certificate消息用于传输服务器的证书，Server Key Exchange消息用于传输服务器的公钥，Certificate Request消息用于请求客户端提供证书，Server Hello Done消息用于告知客户端握手协议的第二阶段已经结束。

Certificate消息（可选）—第一次建立必须要有证书

Certificate消息用于传输服务器的证书，证书包括服务器的公钥和服务器的身份信息。客户端收到Certificate消息后，会验证服务器的证书是否合法。

Server Key Exchange（可选）

Server Key Exchange消息用于传输服务器的公钥，服务器的公钥用于加密数据。如果服务器的证书中已经包含了服务器的公钥，那么Server Key Exchange消息就可以省略。

Certificate Request（可选）------可以是单向的身份认证，也可以双向认证

Certificate Request消息用于请求客户端提供证书，证书用于客户端的身份认证。如果服务器不需要对客户端进行身份认证，那么Certificate Request消息就可以省略。

Server Hello Done

Server Hello Done消息用于告知客户端握手协议的第二阶段已经结束。

SSL建立第三阶段：

在SSL建立的第三阶段，客户端向服务器发送Certificate消息、Client Key Exchange消息和Certificate Verify消息。Certificate消息用于传输客户端的证书，Client Key Exchange消息用于传输客户端的公钥，Certificate Verify消息用于验证客户端的证书是否合法。

Certificate（可选）

Certificate消息用于传输客户端的证书，证书包括客户端的公钥和客户端的身份信息。服务器收到Certificate消息后，会验证客户端的证书是否合法。

Client Key exchange

Client Key Exchange消息用于传输客户端的公钥，客户端的公钥用于加密数据。

Certificate verify（可选）

Certificate Verify消息用于验证客户端的证书是否合法。客户端使用自己的私钥对证书进行签名，服务器使用客户端的公钥对签名进行验证。

SSL建立第四阶段：

在SSL建立的第四阶段，客户端和服务器交换ChangeCipherSpec消息、Finished消息和消息验证代码（HMAC）。ChangeCipherSpec消息用于告知对方加密算法已经生效，Finished消息用于告知对方握手协议已经完成，消息验证代码（HMAC）用于保证数据传输的完整性。

ChangeCipherSpec ：

ChangeCipherSpec消息用于告知对方加密算法已经生效，客户端和服务器都会发送ChangeCipherSpec消息。

Clinet Finished:

Client Finished消息用于告知服务器握手协议已经完成，客户端会计算出Finished消息的消息验证代码（HMAC）。

Server Finished:

Server Finished消息用于告知客户端握手协议已经完成，服务器会计算出Finished消息的消息验证代码（HMAC）。

消息验证代码（HMAC）和TLS数据完整性：

消息验证代码（HMAC）用于保证数据传输的完整性，HMAC是一种消息认证码，用于验证消息的完整性和真实性。TLS数据完整性是指在数据传输过程中，数据没有被篡改、删除或者插入。

几个重要的secret key:

在SSL协议中，有几个重要的secret key，包括PreMaster secret、Master secret、Client write secret和Server write secret。PreMaster secret是客户端和服务器协商生成的一个随机数，用于生成Master secret。Master secret是客户端和服务器协商生成的一个密钥，用于生成Client write secret和Server write secret。Client write secret和Server write secret是用于加密和解密数据的密钥。

SSL会话恢复：

SSL会话恢复是指在SSL连接已经建立的情况下，客户端和服务器可以重复使用之前协商生成的密钥，从而避免重新进行密钥协商的过程。SSL会话恢复可以提高SSL连接的性能和安全性。

SSL记录协议：

 

SSL记录协议用于传输应用层数据，SSL记录协议将应用层数据分成若干个记录，每个记录包括记录头和记录体两部分。记录头包括记录类型、记录长度和协议版本号等信息，记录体包括应用层数据。

应用数据传输：

应用数据传输是指在SSL连接建立成功后，客户端和服务器可以通过SSL记录协议传输应用层数据。应用数据传输过程中，数据会被加密和解密，从而保证数据传输的安全性。