由两部分组成:SSL记录协议和SSL握手协议
1、握手协议
SSL中最复杂的协议,负责建立当前会话状态的参数,使得服务器和客户能协商一个协议版本、选择密码算法和哈希算法、压缩算法、会话ID等,并使用公钥加密技术通过一系列交换信息在客户和服务器之间生成共享的密钥。在使用会话传输任何一数据之前,必须先用握手建立连接,实现相互验证,协商加密算法和生成密钥等内容。
握手协议由一系列在客户和服务器之间的报文交换组成。每个报文由3个字段组成,报文类型、报文长度、报文内容
基本过程:
(1)客户机使用IE浏览器向服务器发送客户端的SSl版本号、密码设置、随机数和需要SSL服务器使用的SSL协议与客户机进行通信的的其他信息,IE浏览器使用https协议向服务器申请建立SSL会话
(2)服务器向客户端发送服务器端的SSL 版本号、密码设置、随机数和客户端使用SSL协议与服务器通信需要的其它信息。同时服务器端发送它自己的数字证书供客户认证,如果认为客户端需要身份认证则要求客户发送证书,该操作是可选的.
(3)客户端利用服务器发送信息认证服务器的真实身份 并取得公开密钥等,如果服务器不被认证,用户被告警发生了问题,通知不能建立带有加密和认证的 连接。若服务器能被成功地认证,客户机将继续下 一步。客户机为将要进行的会话创建预主密钥pre_ master_secret,并用服务器的公钥加密它,然后 向服务器发送加密的预主密钥。
(4)当客户能被成功认证后,服务器会使用它的 私人密钥解密从客户端得到的预主密钥pre_ master_secret, 并由此生成主master_ secret。同时客户端也从同样的pre_master_ secret开始得到相同的master_ secret。双方再由master_ secret产生会话密钥,利用会话密钥实现加密和解密在SSL会话期间交换的信息,并验证信息的完整性。
(5)会话密钥生成后,客户端向服务器 发送消息,通知服务器以后从客户端来的消息将用会话密钥加密,这表明握手的客户端部分已经完成。
(6)服务器向客户端发送相同的消 息,通知从服务器来的消息将用会话密钥加密,这表明握手的服务器部分已经完成。
2、记录协议
记录协议的功能:
(1)为高层的协议提供基本的安全服务
(2)记录层封装各种高层协议
(3)具体实施压缩解压缩、加密协议、计算和校验MAC等与安全有关的操作
记录协议的操作过程:
分段、压缩(可选)、增加MAC、加密、添加SSL记录首部
SSL记录首部组成:
主要类型、主要版本、次要版本、压缩长度
(1)主要类型:用来说明封装的数据段的更高层的协议类型。已定义的类型有:修改密文规程协议、告警协议、握手协议和应用数据。
(2)主要版本:使用SSL的主要版本号
(3)次要版本:使用SSL的次要版本号
(4)压缩长度:以字节为单位的封装数据长度
3、密钥生成过程及其评价