協(xié)議工作過程及其應用

1、552004.100引言目前，隨著Internet的迅速發(fā)展，信息安全引起了越來越多人的注意。特別是近年來電子商務、電子政務發(fā)展，如何保證傳輸數(shù)據(jù)的保密性、完整性已成為急需解決的問題。安全套接字層協(xié)議（SecuritySocketLayerProtocolSSL）是Internet上進行保密通信的一個安全協(xié)議，它的使用，保證了網(wǎng)上信息傳輸?shù)谋Ｃ苄院屯暾?。下面，對SSL協(xié)議作一簡單闡述。1SSL協(xié)議概述安全套接層協(xié)議（SecurityS

2、ocketLayer，SSL）是由網(wǎng)景（Netscape）公司提出的基于公鑰密碼體制的網(wǎng)絡安全協(xié)議，用于在瀏覽器軟件（例如InternetExplorer、NetscapeNavigator）和Web服務器之間建立一條安全通道，實現(xiàn)Internet上信息傳送的保密性。它包括服務器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上數(shù)據(jù)保密性?，F(xiàn)在一些對保密性要求較高的電子商務、電子事務等系統(tǒng)大多數(shù)是以SSL協(xié)議為基礎建立的，S

3、SL協(xié)議已成為Web安全方面的工業(yè)標準。目前廣泛采用的是SSLv3。SSL提供的面向連接的安全性具有以下在三個基本性質：(1)連接是秘密的。在初始握手定義會話密鑰后，用對稱密碼(例如用DES)加密數(shù)據(jù)。(2)連接是可認證的。實體的身份能夠用公鑰密碼（例如RSA、DSS等）進行認證。(3)連接是可靠的。消息傳輸包括利用安全Hash函數(shù)產(chǎn)生的帶密鑰的MAC（MessageAuthenticationCode，報文鑒別碼）。2SSL協(xié)議的組成

4、與結構SSL協(xié)議由兩層組成，分別是握手協(xié)議層和記錄協(xié)議層，見下圖。主要包括記錄協(xié)議以及建立在記錄協(xié)議之上的握手協(xié)議、警告協(xié)議、更改密碼說明協(xié)議和應用數(shù)據(jù)協(xié)議等對會話和管理提供支持的子協(xié)議。在每一層，消息可以包括長度、描述和內容字段。SSL發(fā)出消息，先把數(shù)據(jù)分為可管理的塊，壓縮、使用MAC和加密并發(fā)出加密的結果。接受消息就解密、驗證、解壓和重組，再把結果發(fā)往更高一層的客戶。下面分別說明幾種協(xié)議：記錄協(xié)議：具體實現(xiàn)壓縮解壓縮、加密解密、計算

5、MAC等與安全有關的操作。更改密碼說明協(xié)議：此協(xié)議由一條消息組成，可由客戶端或服務器發(fā)送，通知接收方后面的記錄將被新協(xié)商的密碼說明和密鑰保護。接收方得此消息后，立即指示記錄層把即將讀狀態(tài)變成當前讀狀態(tài)，發(fā)送方發(fā)送此消息后，應立即指示記錄層把即將寫狀態(tài)變成當前寫狀態(tài)。警告協(xié)議：警告消息傳達消息的嚴重性并描述警告。一個致命的警告將立即終止連接。與其他消息一樣，警告消息在當前狀態(tài)下被加密和壓縮。警告消息有以下幾種：關閉通知消息、意外消息、錯誤

6、記錄MAC消息、解壓失敗消息、握手失敗消息、無證書消息、錯誤證書消息、不支持的證書消息、證書撤回消息、證書期滿消息、證書未知消息、非法參數(shù)消息等。應用數(shù)據(jù)協(xié)議：把應用數(shù)據(jù)直接傳遞給記錄協(xié)議。握手協(xié)議：SSL握手協(xié)議是用來在客戶端和服務器端傳輸應用數(shù)據(jù)之前建立安全郭正榮周城重慶通信學院電子工程系重慶400035作者簡介：郭正榮（1979），男，解放軍重慶通信學院野戰(zhàn)指揮自動化研究生，研究方向：野戰(zhàn)指揮自動化、網(wǎng)絡安全理論及應用。周城（19

7、63），男，重慶通信學院電子工程系副教授。摘要：本文首先介紹了SSL協(xié)議的組成與結構，分析了SSL協(xié)議的具體握手過程，討論了幾種常見的SSL協(xié)議應用模式。然后通過某個應用為例，介紹了Web服務器證書的安裝與建立SSL安全通道的具體步驟。最后，指出了SSL協(xié)議的一些缺點和局限性。關鍵詞：SSL協(xié)議；握手協(xié)議；記錄協(xié)議；數(shù)字證書SSL協(xié)議工作過程及其應用通信安全圖1SSL協(xié)議在TCPIP中的位置572004.105Web服務器證書的安裝與S

8、SL安全通道的開放下面以“重慶輕軌工程申報表審批流程跟蹤公示系統(tǒng)”為例，介紹Web服務器證書安裝與建立SSL安全通道的具體步驟。“重慶輕軌工程申報表審批流程跟蹤公示系統(tǒng)”是重慶市建委信息中心設計開發(fā)的網(wǎng)上信息化項目，重慶市CA中心提供保障系統(tǒng)信息安全所需的數(shù)字證書及其相關技術。由于系統(tǒng)使用了數(shù)字證書及相關技術，所以審批方可以確認申報方的身份。同時由于申報文件數(shù)據(jù)屬于敏感信息，采用數(shù)字證書的加密技術，利用SSL安全套接層協(xié)議對傳輸信息進行

9、加密，從而保證了申報文件的保密性和完整性。5.1生成服務器證書請求文件(1)單擊開始－＞程序－＞管理工具－＞Internet服務管理器，進入Internet信息服務界面，右鍵點擊“默認Web站點”，選屬性項，然后點擊“目錄安全性”頁面，單擊“服務器證書”項；(2)選擇“創(chuàng)建一個新證書”單擊“下一步”；(3)輸入要申請的證書的名稱并選擇加密密鑰的位長；(4)以后依次填寫所在組織、站點和有關地理信息的信息，(5)單擊“完成”，服務器的證書請

10、求就生成了，默認的請求代碼是放在certreq.txt內，打開該文件，即可看到生成的請求代碼，如圖7所示。圖7生成的請求代碼5.2申請服務器證書將該請求文件作為附件形式發(fā)送至重慶市CA中心，并在郵件內附上生成請求時所填寫的相關信息，如：組織、組織部門、公用名稱、省、市、自治區(qū)等。等待CA中心對證書申請進行批準。5.3發(fā)布服務器證書(1)CA中心收到用戶的請求文件后，在對用戶身份審核通過后，進入證書簽發(fā)服務器的證書申請頁面，添入與用戶申請

11、時相對應的信息(如圖8)。圖8證書申請頁面提交后得到用戶參考碼和用戶授權碼(如圖9)。圖9用戶參考碼和用戶授權碼進入下載頁面后輸入兩次確認密碼，并選擇PKCS10申請書(如圖10)。然后將請求文件內的代碼拷貝到申請框內(如圖11)，點擊下載，就可以得到由重慶CA中心頒發(fā)的后綴名為.cer的批準證書文件。圖10下載證書步驟1圖11下載證書步驟2(2)用戶從重慶CA中心那里得到一個后綴名為.cer的批準文件后，再打開Internet服務管理

12、器，進入Internet信息服務界面，右鍵點擊“默認Web站點”，選屬性項，然后點擊“目錄安全性”頁面，單擊“服務器證書”項，點擊下一步；(3)選擇“處理掛起的請求并安裝證書”，單擊“下一步”；(4)點擊“瀏覽”，打開得到的批準文件，單擊“下一步”，會看到生成證書摘要；(5)單擊“下一步”、“完成”。至此，服務器證書安全成功，單擊“查看證書”項，可以查看當前的服務器證書。(6)回到“目錄安全性”頁面，單擊“編輯項”，選中“申請安全通道(