6.2 SSL的工作原理
SSL的工作原理:当一个用户在Web上使用Netscape浏览器漫游时,浏览器使用HTTP协议与Web服务器进行通信。 例如,假设浏览器向服务器发出HTTP GET命令以下载主页的HTML文件。 服务器将文件内容发送到浏览器进行响应。 命令GET和HTML文件中的文本通过会话层(套接字)连接发送,套接字允许两台远程计算机通过互联网进行呼叫。 在SSL中,数据在发送前自动加密,并在接收端解密。 对于没有解开钥匙的人来说,读不了其中的资料。
SSL采用TCP作为传输协议,提供可靠的数据发送和接收。 由于SSL在套接字层运行,因此它独立于上层APP应用程序为上层协议(如Telnet、FTP和HTTP )提供了安全的业务。 SSL提供的安全服务与TCP层一样,采用公钥和私钥两种加密方式,为Web服务器和客户端(可选)通信提供机密性、数据完整性和认证。 建立连接时使用公钥,会话时使用私钥。 加密的类型和强度由在两端之间建立连接的过程中确定和确定。 在这两种情况下,服务器都表明可以通过提供包含公钥的可验证证书、提供包含公钥的证书以及发布包含公钥的证书来向客户端解密用此公钥加密的消息。
要支持客户端,每个客户端都需要一对密钥,并且必须通过Netscape在internet上分配。 因为internet上的服务器数量远远少于客户机数量,所以能否处理签名和密钥管理流量很重要,与客户联系比给予企业同样的保证更重要。
SSL协议提供的服务可以归纳为以下三个方面。
(1)用户和服务器的合法性认证
使用户和服务器能够确信数据将发送到正确的客户端和服务器。 客户机和服务器都有各自的标识号,并由公钥组织。 为了认证用户,安全套接字层协议要求对握手数据进行数字认证,以确保用户的合法性。
(2)加密数据以隐藏被传送的数据
安全层协议中采用的加密技术既有对称密钥,也有公钥。 更具体地说,在客户端与服务器交换数据之前,交换SSL初始握手信息。 SSL握手信息采用多种加密技术,可确保机密性和数据完整性,并通过数字证书进行认证,从而防止未经授权的用户被解密。
(3)维护数据的完整性
安全套接字层协议采用密码散列函数和敏感共享的方法,提供完整的信息性服务,在客户端和服务器之间建立安全通道,并且所有通过安全套接字层协议处理的业务在传输中完全准确地到达目的地
6.3 SSL记录层协议
SSL记录层协议限制所有发送和接收的数据的打包,并提供通信、认证功能。 它是一种面向连接的可靠传输协议,如TCP/IP,可提供安全性。
在SSL中,所有数据都封装在记录中。 一个记录由两部分组成:磁头和非零长度的数据。 记录头可以是2字节或3字节(如果存在填充数据,则使用)。 SSL握手层协议的消息必须位于一个SSL记录层的记录中,而APP应用层协议的消息可以占用多个SSL。 记录下来发送。
1SSL记录头格式
SSL记录头可以进行2字节或3字节长度的编码。 SSL标头中包含的信息包括标头长度、记录数据长度和记录数据中是否有填充数据。 使用“块加密”(blocken-cryption )算法时,填充数据将填充实际数据,使其长度为块的整数倍。 在最高有效位为1情况下,不包含填充数据,记录头的长度为2字节,记录数据的最大长度为32767字节; 在最高有效位为0的情况下,包括填充数据,记录头的长度为3字节,记录数据的最大长度为16383字节。
SSL记录层的结构如图11-10所示。
图11-10 SSL记录层结构
如果数据标头的长度为3字节,则下一个高位有特殊意义。 如果下一个高位为1,则表明传输的记录是普通数据记录。 如果下一个高位为0,则表明传输的记录是安全的空白记录(保留用于未来协议扩展)。
标头中的数据长度编码不包括标头占用的字节长度。 磁头长度为2字节时,记录长度的计算公式为记录长度((byte[0]0x7f )8)|Byte[1]。 其中Byte[0]和Byte[1]分别表示传输的第一个字节和第二个字节。
磁头长度为3字节时,记录长度的计算公式为记录长度=(() byte[0]0x3f8) ) ) ) ) ) )。
|Byte[1]。 其中Byte[0]、Byte[1]的意思相同。 判断是否为安全空白记录的计算公式为(Byte[0]0x40 )! 0。 填充数据的长度是传输的第三个字节。
2SSL记录数据格式
SSL记录数据部分有三个分量: MAC-DATA、ACTUAL-DATA和PADDING-DATA。
MAC数据用于数据完整性检查。 用于计算MAC的散列函数由握手的CIPHER-CHOICE消息确定。 使用MD2和MD5算法时,MAC
数据长度是16个字节。MAC的计算公式为:MAC数据=Hash[密钥, 实际数据, 填充数据, 序号]。当会话的客户端发送数据时,密钥是客户的写密钥(服务器用读密钥来验证MAC数据);而当会话的客户端接收数据时,密钥是客户的读密钥(服务器用写密钥来产生MAC数据)。序号是一个可以被发送和接收双方递增的计数器,每个通信方向都会建立一对计数器,分别被发送者和接收者拥有。计数器有32位,计数值循环使用,每发送一个记录,计数值递增一次,序号的初始值为0。
ACTUAL-DATA是被传送的应用数据,PADDING-DATA是当采用分组码时所需要的填充数据,在明文传送下只有第二项。
3.记录协议的作用
记录协议层封装了高层协议的数据,协议数据采用SSL握手协议中协商好的加密算法及MAC算法来保护。记录协议传送的数据包括一个序列号,这样就可以检测消息的丢失、改动或重放。如果协商好了压缩算法,那么SSL记录协议还可以执行压缩功能。
SSL V3版的高层由记录传递的消息组成,这包括改变密码规范协议、警报协议和握手协议。改变密码规范协议指明对使用的密码规范的改变,协议中还包括了一个用当前密码规范加密的单独消息。客户和服务器都要发送改变密码规范消息来表明它们准备使用一个新的密码规范和密钥。警报协议传送与事件相关的消息,包括事件严重性及事件描述。这里的事件主要是指错误情形,如错误的MAC码、证书过期或是非法参数。警报协议也用于共享有关预计连接终止的信息。
6.4 SSL握手协议
握手协议是关于客户和服务器如何协商它们在安全信道中要使用的安全参数,这些参数包括要采用的协议版本、加密算法和密钥。另外,客户要认证服务器,服务器则可以选择认证/不认证客户。PKI在客户-服务器认证阶段就开始运作了,这就是握手协议的实质。
1.握手协议工作过程
SSL握手协议的具体工作过程描述如下。
① 客户(client)端发送ClientHello信息给服务器(Server)端,Server回答ServerHello。这个过程建立的安全参数包括协议版本、“佳话”标识、加密算法、压缩方法。另外,还交换两个随机数:C1ientHello.Random和ServerHello.Random,用于计算机“会话主密钥”。
② Hello消息发送完后,Server端会发送它的证书和密钥交换信息。如果Server端被认证,它就会请求Client端的证书,在验证以后,Server就发送HelloDone消息,以示达成了握手协议,即双方握手接通。
③ Server请求Client证书时,Client要返回证书或返回没有证书的指示,这种情况用于单向认证,即客户端不装有证书。然后,Client发送密钥交换消息。
④ 服务器Server此时要回答“握手完成”消息(Finished),以示完整的握手消息交换已经全部完成。
⑤ 握手协议完成后,Client端即可与Server端传输应用加密数据,应用数据加密一般是用第②步密钥协商时确定的对称加/解密密钥,如DES、3DE等。目前,商用加密强度为128位,非对称密钥一般为RAS,商用强度为1024位,用于证书的验证。
完整的握手协议消息交换过程如图11-11所示。
图11-11 完整的握手协议消息交换过程
其中,带*号的命令是可选的,或依据状态而发的消息,而改变加密算法协议(ChangeCipherSpec)并不在实际的握手协议之中,它在第③步与第④步之间,用于Client与Server协商新的加密数据包时而改变原先的加密算法。
2.握手协议的作用
SSL中的握手协议,将公钥加密技术与对称密钥加密技术的应用有效、巧妙地结合在一起,有机地组成了互联网(或其他网络)上信息安全传输的通道。这种信息安全通道,有其实用价值,比如,利用对称加密技术比公钥加密技术对大容量信息的加/解密速度要快,而公钥技术却提供了更好的身份认证技术。SSL的握手协议可以非常有效地让客户与服务器之间完成身份认证。
通过SSL客户端与服务器传送自己的数字证书,互验合法性,特别是验证服务器的合法性,可以有效地防止互联网上虚假网站的网上钓鱼事件;同时,服务器端也可以严格验证客户端的真实身份。其作用如下:
① 客户端的浏览器向服务器传送客户端SSL协议的版本号、加密算法的种类、产生的随机数,以及其他服务器和客户端之间通信所需要的各种信息。
② 服务器向客户端传送SSL协议的版本号、加密算法的种类、随机数及其他相关信息,同时,服务器还将向客户端传送自己的证书。
③ 客户利用服务器传过来的信息验证服务器的合法性。服务器的合法性包括:证书是否过期,发行服务器证书的CA是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,则通信将断开;如果合法性验证通过,则将继续进行第④步。
④ 客户端随机产生一个用于后面通信的“对称密码”,然后用服务器的公钥(从步骤②中服务器的证书中获得)对其加密,再将加密后的“预主密码”传给服务器。
⑤ 如果服务器要求客户的身份认证(在握手过程中为可选),用户则可以建立一个随机数,然后对其进行数字签名,将这个含有签名的随机数和客户自己的证书,以及加密过的“预主密码”一起传给服务器。
⑥ 如果服务器要求客户的身份认证,服务器则必须检验客户证书和签名随机数的合法性。具体的合法性验证包括:客户的证书使用日期是否有效,为客户提供证书的CA是否可靠,发行CA的公钥能否正确解开客户证书的发行CA的数字签名,检查客户的证书是否在证书撤销列表(CRL)中。检验如果没有通过,则通信立刻中断;如果验证通过,则服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通信密码(客户端也将通过同样的方法产生相同的主通信密码)。
⑦ 服务器和客户端用相同的主密码,即“通话密码”,一个对称密钥用于SSL协议的安全数据通信的加/解密通信。同时,在SSL通信过程中还要完成数据通信的完整性,以防止数据通信中的任何变化。
⑧ 客户端向服务器端发出信息,指明后面的数据通信将使用步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。
⑨ 服务器向客户端发出信息,指明后面的数据通信将使用步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。
⑩ SSL的握手部分结束,SSL安全通道的数据通信开始,客户和服务器开始使用相同的对称密钥进行数据通信,同时进行通信完整性的检验。
6.5 SSL协议的安全性分析
SSL协议所采用的加密算法和认证算法使它具有较高的安全性,但也存在一些问题。
1.SSL协议采用的加密算法和认证算法
(1)加密算法和会话密钥
SSL V2协议和SSL V3协议支持的加密算法包括RC4、RC2、IDEA和DES,而加密算法所用的密钥由消息散列函数MD5产生。RC4、RC2是由RSA定义的,其中RC2适用于块加密,RC4适用于流加密。
(2)认证算法
认证算法采用X.509电子证书标准,是通过RSA算法进行数字签名来实现的。
服务器的认证
在上述的两对密钥中,服务器方的写密钥和客户方的读密钥、客户方的写密钥和服务器方的读密钥分别是一对私有、公有密钥。对服务器进行认证时,只有用正确的服务器方写密钥加密,ClientHello消息形成的数字签名才能被客户正确地解密,从而验证服务器的身份。
若通信双方不需要新的密钥,则它们各自所拥有的密钥已经符合上述条件。若通信双方需要新的密钥,首先服务器方在ServerHello消息中的服务器证书中提供了服务器的公有密钥,服务器用其私有密钥才能正确地解密由客户方使用服务器的公有密钥加密的MASTER-KEY,从而获得服务器方的读密钥和写密钥。
客户的认证
同上,只有用正确的客户方写密钥加密的内容才能被服务器方用其读密钥正确地解开。当客户收到服务器方发出的REQUEST-CERTIFICATE消息时,客户首先使用MD5消息散列函数获得服务器方信息的摘要,服务器方的信息包括:KEY-MATERIAL-0、KEY-MATERIAL-1、KEY-MATERIAL-2、CERTIFICATE-CHALLENAGE-DATA(来自于REQUEST-CERTIFICATE消息)、服务器所赋予的证书(来自于ServerHello)消息。
其中KEY-MATERIAL-l、KEY-MATERIAL-2是可选的,与具体的加密算法有关。然后客户使用自己的读密钥加密摘要形成数字签名,从而被服务器认证。
2.SSL安全优势
(1)监听和中间人式攻击
SSL使用一个经过通信双方协商确定的加密算法和密钥,对不同的安全级别应用都可找到不同的加密算法,从而用于数据加密。它的密钥管理处理比较好,在每次连接时通过产生一个密码杂凑函数生成一个临时使用的会话密钥,除了不同连接使用不同密钥外,在一次连接的两个传输方向上也使用各自的密钥。尽管SSL协议为监听者提供了很多明文,但由于采用RSA交换密钥具有较好的密钥保护性能,以及频繁更换密钥的特点,因此对监听和中间人式攻击而言,具有较高的防范性。
(2)流量数据分析式攻击
流量数据分析式攻击的核心是通过检查数据包的未加密字段或未加保护的数据包属性,试图进行攻击。在一般情况下该攻击是无害的,SSL无法阻止这种攻击。
(3)截取再拼接式攻击
对需要较强的连接加密,需要考虑这种安全性。SSL V3.0基本上可阻止这种攻击。
(4)报文重发式攻击
报文重发式攻击比较容易阻止,SSL通过在MAC数据中包含“系列号”来防止该攻击。
3.SSL协议存在的问题
(1)密钥管理问题
设计一个安全秘密的密钥交换协议是很复杂的,因此,SSL的握手协议也存在一些密钥管理问题。SSL的问题表现在:
客户机和服务器在互相发送自己能够支持的加密算法时,是以明文传送的,存在被攻击修改的可能。
SSL V3.0为了兼容以前的版本,可能降低安全性。
所有的会话密钥中都将生成MASTER-KEY,握手协议的安全完全依赖于对MASTER-KEY的保护,因此在通信中要尽可能少地使用MASTER-KEY。
(2)加密强度问题
Netscape依照美国内政部的规定,在它的国际版的浏览器及服务器上使用40位的密钥。
以SSL所使用的RC4演绎法所命名的RC4法规,对多于40位长的加密密钥产品的出口加以限制,这项规定使Netscape的128位加密密钥在美国之外的地方变成不合法。一个著名的例子是一个法国的研究生和两个美国柏克莱大学的研究生破译了一个SSL的密钥,才使人们开始怀疑以SSL为基础的系统安全性。
Microsoft公司想利用一种称为私人通信技术(PCT,Private Communication Technology)的SSLsuperset协议来改进SSL的缺点。PCT会衍生出第二个专门为身份验证用的密钥,这个身份验证并不属于RC4规定的管辖范围。PCT加入比目前随机数产生器更安全的产生器,因为它也是SSL安全链中的一个弱环节。这个随机数产生器提供了产生加密密钥的种子数目(Seed Number)。
(3)数字签名问题
SSL协议没有数字签名功能,即没有抗否认服务。若要增加数字签名功能,则需要在协议中打“补丁”。这样做,在用于加密密钥的同时又用于数字签名,这在安全上存在漏洞。后来PKI体系完善了这种措施,即双密钥机制,将加密密钥和数字签名密钥二者分开,成为双证书机制。这是PKI完整的安全服务体系。