協(xié)議工作過程及其應(yīng)用

1、552004.100引言目前，隨著Internet的迅速發(fā)展，信息安全引起了越來越多人的注意。特別是近年來電子商務(wù)、電子政務(wù)發(fā)展，如何保證傳輸數(shù)據(jù)的保密性、完整性已成為急需解決的問題。安全套接字層協(xié)議（SecuritySocketLayerProtocolSSL）是Internet上進(jìn)行保密通信的一個安全協(xié)議，它的使用，保證了網(wǎng)上信息傳輸?shù)谋Ｃ苄院屯暾?。下面，對SSL協(xié)議作一簡單闡述。1SSL協(xié)議概述安全套接層協(xié)議（SecurityS

2、ocketLayer，SSL）是由網(wǎng)景（Netscape）公司提出的基于公鑰密碼體制的網(wǎng)絡(luò)安全協(xié)議，用于在瀏覽器軟件（例如InternetExplorer、NetscapeNavigator）和Web服務(wù)器之間建立一條安全通道，實現(xiàn)Internet上信息傳送的保密性。它包括服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上數(shù)據(jù)保密性?，F(xiàn)在一些對保密性要求較高的電子商務(wù)、電子事務(wù)等系統(tǒng)大多數(shù)是以SSL協(xié)議為基礎(chǔ)建立的，S

3、SL協(xié)議已成為Web安全方面的工業(yè)標(biāo)準(zhǔn)。目前廣泛采用的是SSLv3。SSL提供的面向連接的安全性具有以下在三個基本性質(zhì)：(1)連接是秘密的。在初始握手定義會話密鑰后，用對稱密碼(例如用DES)加密數(shù)據(jù)。(2)連接是可認(rèn)證的。實體的身份能夠用公鑰密碼（例如RSA、DSS等）進(jìn)行認(rèn)證。(3)連接是可靠的。消息傳輸包括利用安全Hash函數(shù)產(chǎn)生的帶密鑰的MAC（MessageAuthenticationCode，報文鑒別碼）。2SSL協(xié)議的組成

4、與結(jié)構(gòu)SSL協(xié)議由兩層組成，分別是握手協(xié)議層和記錄協(xié)議層，見下圖。主要包括記錄協(xié)議以及建立在記錄協(xié)議之上的握手協(xié)議、警告協(xié)議、更改密碼說明協(xié)議和應(yīng)用數(shù)據(jù)協(xié)議等對會話和管理提供支持的子協(xié)議。在每一層，消息可以包括長度、描述和內(nèi)容字段。SSL發(fā)出消息，先把數(shù)據(jù)分為可管理的塊，壓縮、使用MAC和加密并發(fā)出加密的結(jié)果。接受消息就解密、驗證、解壓和重組，再把結(jié)果發(fā)往更高一層的客戶。下面分別說明幾種協(xié)議：記錄協(xié)議：具體實現(xiàn)壓縮解壓縮、加密解密、計算

5、MAC等與安全有關(guān)的操作。更改密碼說明協(xié)議：此協(xié)議由一條消息組成，可由客戶端或服務(wù)器發(fā)送，通知接收方后面的記錄將被新協(xié)商的密碼說明和密鑰保護(hù)。接收方得此消息后，立即指示記錄層把即將讀狀態(tài)變成當(dāng)前讀狀態(tài)，發(fā)送方發(fā)送此消息后，應(yīng)立即指示記錄層把即將寫狀態(tài)變成當(dāng)前寫狀態(tài)。警告協(xié)議：警告消息傳達(dá)消息的嚴(yán)重性并描述警告。一個致命的警告將立即終止連接。與其他消息一樣，警告消息在當(dāng)前狀態(tài)下被加密和壓縮。警告消息有以下幾種：關(guān)閉通知消息、意外消息、錯誤

6、記錄MAC消息、解壓失敗消息、握手失敗消息、無證書消息、錯誤證書消息、不支持的證書消息、證書撤回消息、證書期滿消息、證書未知消息、非法參數(shù)消息等。應(yīng)用數(shù)據(jù)協(xié)議：把應(yīng)用數(shù)據(jù)直接傳遞給記錄協(xié)議。握手協(xié)議：SSL握手協(xié)議是用來在客戶端和服務(wù)器端傳輸應(yīng)用數(shù)據(jù)之前建立安全郭正榮周城重慶通信學(xué)院電子工程系重慶400035作者簡介：郭正榮（1979），男，解放軍重慶通信學(xué)院野戰(zhàn)指揮自動化研究生，研究方向：野戰(zhàn)指揮自動化、網(wǎng)絡(luò)安全理論及應(yīng)用。周城（19

7、63），男，重慶通信學(xué)院電子工程系副教授。摘要：本文首先介紹了SSL協(xié)議的組成與結(jié)構(gòu)，分析了SSL協(xié)議的具體握手過程，討論了幾種常見的SSL協(xié)議應(yīng)用模式。然后通過某個應(yīng)用為例，介紹了Web服務(wù)器證書的安裝與建立SSL安全通道的具體步驟。最后，指出了SSL協(xié)議的一些缺點(diǎn)和局限性。關(guān)鍵詞：SSL協(xié)議；握手協(xié)議；記錄協(xié)議；數(shù)字證書SSL協(xié)議工作過程及其應(yīng)用通信安全圖1SSL協(xié)議在TCPIP中的位置572004.105Web服務(wù)器證書的安裝與S

8、SL安全通道的開放下面以“重慶輕軌工程申報表審批流程跟蹤公示系統(tǒng)”為例，介紹Web服務(wù)器證書安裝與建立SSL安全通道的具體步驟?！爸貞c輕軌工程申報表審批流程跟蹤公示系統(tǒng)”是重慶市建委信息中心設(shè)計開發(fā)的網(wǎng)上信息化項目，重慶市CA中心提供保障系統(tǒng)信息安全所需的數(shù)字證書及其相關(guān)技術(shù)。由于系統(tǒng)使用了數(shù)字證書及相關(guān)技術(shù)，所以審批方可以確認(rèn)申報方的身份。同時由于申報文件數(shù)據(jù)屬于敏感信息，采用數(shù)字證書的加密技術(shù)，利用SSL安全套接層協(xié)議對傳輸信息進(jìn)行

9、加密，從而保證了申報文件的保密性和完整性。5.1生成服務(wù)器證書請求文件(1)單擊開始－＞程序－＞管理工具－＞Internet服務(wù)管理器，進(jìn)入Internet信息服務(wù)界面，右鍵點(diǎn)擊“默認(rèn)Web站點(diǎn)”，選屬性項，然后點(diǎn)擊“目錄安全性”頁面，單擊“服務(wù)器證書”項；(2)選擇“創(chuàng)建一個新證書”單擊“下一步”；(3)輸入要申請的證書的名稱并選擇加密密鑰的位長；(4)以后依次填寫所在組織、站點(diǎn)和有關(guān)地理信息的信息，(5)單擊“完成”，服務(wù)器的證書請

10、求就生成了，默認(rèn)的請求代碼是放在certreq.txt內(nèi)，打開該文件，即可看到生成的請求代碼，如圖7所示。圖7生成的請求代碼5.2申請服務(wù)器證書將該請求文件作為附件形式發(fā)送至重慶市CA中心，并在郵件內(nèi)附上生成請求時所填寫的相關(guān)信息，如：組織、組織部門、公用名稱、省、市、自治區(qū)等。等待CA中心對證書申請進(jìn)行批準(zhǔn)。5.3發(fā)布服務(wù)器證書(1)CA中心收到用戶的請求文件后，在對用戶身份審核通過后，進(jìn)入證書簽發(fā)服務(wù)器的證書申請頁面，添入與用戶申請

11、時相對應(yīng)的信息(如圖8)。圖8證書申請頁面提交后得到用戶參考碼和用戶授權(quán)碼(如圖9)。圖9用戶參考碼和用戶授權(quán)碼進(jìn)入下載頁面后輸入兩次確認(rèn)密碼，并選擇PKCS10申請書(如圖10)。然后將請求文件內(nèi)的代碼拷貝到申請框內(nèi)(如圖11)，點(diǎn)擊下載，就可以得到由重慶CA中心頒發(fā)的后綴名為.cer的批準(zhǔn)證書文件。圖10下載證書步驟1圖11下載證書步驟2(2)用戶從重慶CA中心那里得到一個后綴名為.cer的批準(zhǔn)文件后，再打開Internet服務(wù)管理

12、器，進(jìn)入Internet信息服務(wù)界面，右鍵點(diǎn)擊“默認(rèn)Web站點(diǎn)”，選屬性項，然后點(diǎn)擊“目錄安全性”頁面，單擊“服務(wù)器證書”項，點(diǎn)擊下一步；(3)選擇“處理掛起的請求并安裝證書”，單擊“下一步”；(4)點(diǎn)擊“瀏覽”，打開得到的批準(zhǔn)文件，單擊“下一步”，會看到生成證書摘要；(5)單擊“下一步”、“完成”。至此，服務(wù)器證書安全成功，單擊“查看證書”項，可以查看當(dāng)前的服務(wù)器證書。(6)回到“目錄安全性”頁面，單擊“編輯項”，選中“申請安全通道(