安全传输协议ssl和及wtls原理

SSLTLSWTLS作者 来源：赛迪网安全社区一、首先要澄清一下名字的1SSL（SecureSocketLayer）NetscapeWEB的安全传输协议，这种协议在WEB上获得了广泛的应用。2IETFSSL作了标准化RFC2246，并将其称TLS（TransportLayerSecurity，从技3、在WAP的环境下，由于及手持设备的处理和能力有限，Wap在TLS的基Security我们从各式各样的文章中得知，SSL可以用于的传输，这样我们与WebServer二、整体结构概览|HTTP|SSL|TCP|IP|HTTP|SSL|TCP|IP如果利用SSL协议来 用户：在浏览器的地址栏里输入https:/GET/index.htmHTTP/1.1Hosthttp:/HTTPGET/index.htmHTTP/1.1Hosthttp:/TCPwebserver443SSLSSLTCP之上建立了一个加密通道，通过这一层的数据经过了加密，因此达到保Protocol用来协商密钥，协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。RecordProtocol则定义了传输的格式。三、需要的加密方面的基序列的典型例子为RC4。换，RSA便是一个我们熟知的例子。个通用的办法就是加入。的，在现实中用的的是安全散列算法（SHA，SHA的早期版本存在问题，目前用的实际是SHA－1，它可以产生160位的，因此比128位散列更能有效抵抗穷四、密钥协商过程过HMAC的处理。TLS协议ClientClient Finished ApplicationData<------->Application简单的说便是：SSL客户端（TCP的客户端）TCP建立之后，发出一个Clienth*llo来发起握手，这个消息里面包含了自己可实现的算法列表和其它一些需要的消息，SSLServerh*llo，这里面确定了这次通信所需要的算法，然后发过去自己的（里面包含了和自己的公钥。Client在收到这个消息后会生成一个消息，用SSL服务器的公钥加密后传过去，SSL服务器端用自己的私钥解五、密钥协商的形A与B通信，A是A：（查看上B的名字是否无误，并通过手头早已有的CA的验证了B的证（产生一份消息，这份消息处理后将用作加密密钥，加密初始化向量和称作ClientKeyExchange的消息。由于用了B的公钥，保证了第无法）A:[是[六、加密的计七、安全性SecurityPortal2000年底有一份文章《ofSSLandSSH?》激起了很多的讨论，目前也有一些成工具如dsniff可以通过maninthemiddle来截获https的从上面的原理可知，SSL的结构是严谨的，问题一般出现在实际不严谨的应用中。常见的就是middleinthemiddle，它是指在A和B通信的同时，有第C1、SSL可以允许多种密钥交换算法，而有些算法，如DH，没有的概念，这样2、有了以后，如果C用自己的替换掉原有的之后，A的浏览器会弹如果只采用浏览器自带的加密功能的话，理论上存在被可能。八、:443在浏览器里输入了https 之后，浏览器会与proxy建立tcp，然:443然后proxy会向webserver端建立tcp连接,之后，这个便完全成了个内容转发所有的信息流过了proxy，但其内容proxy是无法和改动（当然要由的支持，否则这个地方便是个maninthemiddle的好场所，见上面的讨论。九、关于.csr，verisignCA服务公司（当然，连理，可以自己做CA。务器的请求交给CA。如果你要自己做CA，别忘了客户端需要导入CA的（CA的是自签名的，导入它意味着你“信任”这个CA签署的。十、WAPwapforumWWW世界里最1、WTLSudp这类不可靠信道之上工作，因此每个消息里要有序列号，协2、WTLSwap网关和手持设备之间，wapweb |Mobile|----------->|WAP|---------->|WEB|Mobile|----------->|WAP|-----