SSL协议相关知识简介

引言

SSL是一种在客户端和服务器端之间建立安全通道的协议。SSL一经提出，就在Internet上得到广泛的应用。SSL最常用来保护Web的安全。为了保护存有敏感信息Web的服务器的安全，消除用户在Internet上数据传输的安全顾虑。OpenSSL是一个支持SSL认证的服务器．它是一个源码开放的自由软件，支持多种操作系统。OpenSSL软件的目的是实现一个完整的、健壮的、商业级的开放源码工具，通过强大的加密算法来实现建立在传输层之上的安全性。OpenSSL包含一套SSL 协议的完整接口，应用程序应用它们可以很方便的建立起安全套接层，进而能够通过网络进行安全的数据传输。

2 SSL协议概述

SSL 是Secure socket Layer英文缩写,它的中文意思是安全套接层协议,指使用公钥和私钥技术组合的安全网络通讯协议。SSL协议是网景公司(Netscape)推出的基于 WEB应用的安全协议,SSL协议指定了一种在应用程序协议(如Http、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证,主要用于提高应用程序之间数据的安全性,对传送的数据进行加密和隐藏,确保数据在传送中不被改变,即确保数据的完整性。

SSL 以对称密码技术和公开密码技术相结合，可以实现如下三个通信目标：

(1)秘密性: SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。

( 2)完整性: SSL利用密码算法和散列(HASH)函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输

的信息全部到达目的地,可以避免服务器和客户机之间的信息受到破坏。

(3)认证性:利用证书技术和可信的第三方认证,可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户), SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。

3 SSL协议的体系结构

SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到端的安全服务,它是客户/服务器应用之间的通信不被攻击窃听,并且始终对服务器进行认证,还可以选择对客户进行认证。SSL协议在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作,在此之后,应用层协议所传送的数据都被加密。SSL实际上是共同工作的两层协议组成,如图1所示。从体系结构图可以看出SSL安全协议实际是SSL握手协议、SSL修改密文协议、SSL警告协议和SSL 记录协议组成的一个协议族。

图1 SSL体系结构

SSL记录协议为SSL连接提供了两种服务:一是机密性,二是消息完整性。为了实现这两种服务, SSL记录协议对接收的数据和被接收的数据工作过程是如何实现的呢? SSL记录协议接收传输的应用报文,将数据分片成可管理的块,进行数据压缩(可选),应用MAC,接着利用IDEA、DES、3DES或其他加密算法进行数据加密,最后增加由内容类型、主要版本、次要版本和压缩长度组成的首部。被接收的数据刚好与接收数据工作过程相反,依次被解密、验证、解压缩和重新装配,然后交给更高级用户。

SSL修改密文协议是使用SSL记录协议服务的SSL高层协议的3个特定协议之一,也是其中最简单的一个。协议由单个消息组成,该消息只包含一个值为1的单个字节。该消息的唯一作用就是使未决状态拷贝为当前状态,更新用于当前连接的密码组。为了保障SSL传输过程的安全性,双方应该每隔一段时间改变加密规范。

SSL告警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。警示消息有两种:一种是 Fatal错误,如传递数据过程中,发现错误的MAC,双方就需要立即中断会话,同时消除自己缓冲区相应的会话记录;第二种是Warning消息,这种情况,通信双方通常都只是记录日志,而对通信过程不造成任何影响。SSL握手协议可以使得服务器和客户能够相互鉴别对方,协商具体的加密算法和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。

SSL握手协议允许通信实体在交换应用数据之前协商密钥的算法、加密密钥和对客户端进行认证（可选）的协议，为下一步记录协议要使用的密钥信息进行协商，使客户端和服务器建立并保持安全通信的状态信息。SSL握手协议是在任何应用程序数据传输之前使用的。SSL握手协议包含四个阶段:第一个阶段建立安全能力;第二个阶段服务器鉴别和密钥交换;第三个阶段客户鉴别和密钥交换;第四个阶段完成握手协议。

4 SSL协议的实现

基于OpenSSL的程序可以被分为两个部分：客户机和服务器，使用SSL协议使通信双方可以相互验证对方身份的真实性，并且能够保证数据的完整性和机密性。建立SSL通信的过程如图2所示。

图2 SSL通信过程

SSL通信模型采用标准的C/S结构，除了在TCP层上进行传输之外，与普通的网络通信协议没有太大的区别，基于OpenSSL 的程序都要遵循以下几个步骤：

(1 ) OpenSSL初始化

在使用OpenSSL之前，必须进行相应的协议初始化工作，这可以通过下面的函数实现：

int SSL_library_int(void);

(2 ) 选择会话协议

在利用OpenSSL开始SSL会话之前，需要为客户端和服务器制定本次会话采用的协议，目前能够使用的协议包括TLSv1.0、SSLv2、SSLv3、SSLv2/v3。

需要注意的是，客户端和服务器必须使用相互兼容的协议，否则SSL会话将无法正常进行。

(3 ) 创建会话环境

在OpenSSL中创建的SSL会话环境称为CTX，使用不同的协议会话，其环境也

不一样的。申请SSL会话环境的OpenSSL函数是：

SSL_CTX *SSL_CTX_new(SSL_METHOD * method);

当SSL会话环境申请成功后，还要根据实际的需要设置CTX的属性，通常的设置是指定SSL握手阶段证书的验证方式和加载自己的证书。制定证书验证方式的函数是：

int SSL_CTX_set_verify(SSL_CTX *ctx,int mode,int(*verify_callback),int(X509_STORE_CTX *));

为SSL会话环境加载CA证书的函数是：

SSL_CTX_load_verify_location(SSL_CTX *ctx,const char *Ca char *Capath);

为SSL会话加载用户证书的函数是：

SSL_CTX_use_certificate_ *ctx, const char * type);

为SSL会话加载用户私钥的函数是：

SSL_CTX_use_PrivateKey_ *ctx,const char* type);

在将证书和私钥加载到SSL会话环境之后，就可以调用下面的函数来验证私钥和证书是否相符：

int SSL_CTX_check_private_key(SSL_CTX *ctx);

(4) 建立SSL套接字

SSL套接字是建立在普通的TCP套接字基础之上，在建立SSL套接字时可以使用下面的一些函数：

SSL *SSl_new(SSL_CTX *ctx);

//申请一个SSL套接字

int SSL_set_fd(SSL *ssl,int fd);)

//绑定读写套接字

int SSL_set_rfd(SSL *ssl,int fd);

//绑定只读套接字

int SSL_set_wfd(SSL *ssl,int fd);

//绑定只写套接字

(5) 完成SSL握手

在成功创建SSL套接字后，客户端应使用函数SSL_connect( )替代传统的函数connect( )来完成握手过程:

int SSL_connect(SSL *ssl);

而对服务器来讲，则应使用函数SSL_ accept ( )替代传统的函数accept ( )来完成握手过程:

int SSL_accept(SSL *ssl);

握手过程完成之后，通常需要询问通信双方的证书信息，以便进行相应的验证，这可以借助于下面的函数来实现:

X509 *SSL_get_peer_certificate(SSL *ssl);

该函数可以从SSL套接字中提取对方的证书信息，这些信息已经被SSL验证过了。

X509_NAME *X509_get_subject_name(X509 *a);

该函数得到证书所用者的名字。

(6) 进行数据传输

当SSL握手完成之后，就可以进行安全的数据传输了，在数据传输阶段，需要使用SSL_read( )和SSL_write( )来替代传统的read( )和write( )函数，来完成对套接字的读写操作：

int SSL_read(SSL *ssl,void *buf,int num);

int SSL_write(SSL *ssl,const void *buf,int num);

(7 ) 结束SSL通信

当客户端和服务器之间的数据通信完成之后，调用下面的函数来释放已经申请的SSL资源：

int SSL_shutdown(SSL *ssl);

//关闭SSL套接字

void SSl_free(SSL *ssl);

//释放SSL套接字

void SSL_CTX_free(SSL_CTX *ctx);

//释放SSL会话环境

4 结束语

SSL协议采用数字证书进行双端实体认证,用非对称加密算法进行密钥协商,用对称加密算法将数据加密后进行传输以保证数据的保密性,并且通过计算数字摘要来验证数据在传输过程中是否被篡改和伪造,从而为敏感数据在Internet上的传输提供了一种安全保障手段。

OpenSSL是一个开放源代码的SSL协议的产品实现，它采用C语言作为开发语言，具备了跨系统的性能。调用OpenSSL 的函数就可以实现一个SSL加密的安全数据传输通道，从而保护客户端和服务器之间数据的安全。

为了便于更好的认识和理解SSL 协议，这里着重介绍SSL 协议的握手协议。SSL 协议既用到了公钥加密技术又用到了对称加密技术，对称加密技术虽然比公钥加密技术的速度快，可是公钥加密技术提供了更好的身份认证技术。SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证，其主要过程如下：

①客户端的浏览器向服务器传送客户端SSL 协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。

②服务器向客户端传送SSL 协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。

③客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过期，发行服务器证书的CA 是否可靠，发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证通过，将继续进行第四步。

④用户端随机产生一个用于后面通讯的“对称密码”，然后用服务器的公钥（服务器的公钥从步骤②中的服务器的证书中获得）对其加密，然后将加密后的“预主密码”传给服务器。

⑤如果服务器要求客户的身份认证（在握手过程中为可选），用户可以建立一个随机数然后对其进行数据签名，将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。

⑥如果服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA 是否可靠，发行CA 的公钥能否正确解开客户证书的发行CA 的数字签名，检查客户的证书是否在证书废止列表（CRL）中。检验如果没有通过，通讯立刻中断；如果验证通过，服务器将用自己的私钥解开加密的“预主密码”，然后执行一系列步骤来产生主通讯密码（客户端也将通过同样的方法产生相同的主通讯密码）。

⑦服务器和客户端用相同的主密码即“通话密码”，一个对称密钥用于SSL 协议的安全数据通讯的加解密通讯。同时在SSL 通讯过程中还要完成数据通讯的完整性，防止数据通讯中的任何变化。

⑧客户端向服务器端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知服务器客户端的握手过程结束。

⑨服务器向客户端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知客户端服务器端的握手过程结束。

⑩SSL 的握手部分结束，SSL 安全通道的数据通讯开始，客户和服务器开始使用相同的对称密钥进行数据通讯，同时进行通讯完整性的检验。

双向认证SSL 协议的具体过程

①浏览器发送一个连接请求给安全服务器。

②服务器将自己的证书，以及同证书相关的信息发送给客户浏览器。

③客户浏览器检查服务器送过来的证书是否是由自己信赖的CA 中心所签发的。如果是，就继续执行协议；如果不是，客户浏览器就给客户一个警告消息：警告客户这个证书不是可以信赖的，询问客户是否需要继续。

④接着客户浏览器比较证书里的消息，例如域名和公钥，与服务器刚刚发送的相关消息是否一致，如果是一致的，客户浏览器认可这个服务器的合法身份。

⑤服务器要求客户发送客户自己的证书。收到后，服务器验证客户的证书，如果没有通过验证，拒绝连接；如果通过验证，服务器获得用户的公钥。

⑥客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。

⑦服务器从客户发送过来的密码方案中，选择一种加密程度最高的密码方案，用客户的公钥加过密后通知浏览器。

⑧浏览器针对这个密码方案，选择一个通话密钥，接着用服务器的公钥加过密后发送给服务器。

⑨服务器接收到浏览器送过来的消息，用自己的私钥解密，获得通话密钥。

⑩服务器、浏览器接下来的通讯都是用对称密码方案，对称密钥是加过密的。

上面所述的是双向认证SSL 协议的具体通讯过程，这种情况要求服务器和用户双方都有证书。单向认证SSL 协议不需要客户拥有CA 证书，具体的过程相对于上面的步骤，只需将服务器端验证客户证书的过程去掉，以及在协商对称密码方案，对称通话密钥时，服务器发送给客户的是没有加过密的（这并不影响SSL 过程的安全性）密码方案。这样，双方具体的通讯内容，就是加过密的数据，如果有第三方攻击，获得的只是加密的数据，第三方要获得有用的信息，就需要对加密的数据进行解密，这时候的安全就依赖于密码方案的安全。而幸运的是，目前所用的密码方案，只要通讯密钥长度足够的长，就足够的安全。这也是我们强调要求使用128 位加密通讯的原因。

证书各部分的含义

Version 证书版本号，不同版本的证书格式不同

Serial Number 序列号，同一身份验证机构签发的证书序列号唯一

Algorithm Identifier 签名算法，包括必要的参数Issuer 身份验证机构的标识信息

Period of Validity 有效期

Subject 证书持有人的标识信息

Subject’s Public Key 证书持有人的公钥

Signature 身份验证机构对证书的签名

证书的格式认证中心所发放的证书均遵循X.509 V3 标准，其基本格式如下：

证书版本号（Certificate Format Version）含义：用来指定证书格式采用的X.509 版本号。

证书序列号（Certificate Serial Number）含义：用来指定证书的唯一序列号，以标识CA 发出的所有公钥证书。

签名（Signature）算法标识（Algorithm Identifier）含义：用来指定CA 签发证书所用的签名算法。

签发此证书的CA 名称（Issuer ）含义：用来指定签发证书的CA 的X.500 唯一名称（DN，Distinguished Name）。证书有效期（Validity Period）起始日期（notBefore）终止日期（notAfter）含义：用来指定证书起始日期和终止日期。

用户名称（Subject）含义：用来指定证书用户的X.500 唯一名称（DN，Distinguished Name）。

用户公钥信息（Subject Public Key Information）算法（algorithm）算法标识（Algorithm Identifier）用户公钥（subject Public Key）含义：用来标识公钥使用的算法，并包含公钥本身。

证书扩充部分（扩展域）（Extensions）含义：用来指定额外信息。

X.509 V3 证书的扩充部分（扩展域）及实现方法如下：CA 的公钥标识（Authority Key Identifier）公钥标识（SET 未使用）（Key Identifier）签发证书者证书的签发者的甄别名（Certificate Issuer）签发证书者证书的序列号（Certificate Serial Number）

X.509 V3 证书的扩充部分（扩展域）及实现CA 的公钥标识（Authority Key Identifier）公钥标识（SET 未使用）（Key Identifier）签发证书者证书的签发者的甄别名（Certificat签发证书者证书的序列号（Certificate Serial N含义：CA 签名证书所用的密钥对的唯一标识用户的公钥标识（Subject Key Identifier）含义：用来标识与证书中公钥相关的特定密钥进行解密。证书中的公钥用途（Key Usage）含义：用来指定公钥用途。

用户的私钥有效期（Private Key Usage Period）起始日期（Note Before）终止日期（Note After）含义：用来指定用户签名私钥的起始日期和终止日期。CA 承认的证书政策列表（Certificate Policies）含义：用来指定用户证书所适用的政策，证书政策可由对象标识符表示。用户的代用名（Substitutional Name）含义：用来指定用户的代用名。CA 的代用名（Issuer Alt Name）含义：用来指定CA 的代用名。基本制约（Basic Constraints）含义：用来表明证书用户是最终用户还是CA。在SET 系统中有一些私有扩充部分（扩展域）Hashed Root Key 含义：只在根证书中使用，用于证书更新时进行回溯。证书类型（Certificate Type）含义：用来区别不同的实体。该项是必选的。商户数据（Merchant Data）含义：包含支付网关需要的所有商户信息。持卡人证书需求（Card Cert Required）含义：显示支付网关是否支持与没有证书的持卡人进行交易。SET 扩展（SETExtensions）含义：列出支付网关支持的支付命令的SET 信息扩展。CRL 数据定义版本（Version）含义：显示CRL 的版本号。

CRL 的签发者（Issuer）含义：指明签发CRL 的CA 的甄别名。CRL 发布时间（this Update）预计下一个CRL 更新时间（Next Update）撤销证书信息目录（Revoked Certificates）CRL 扩展（CRL Extension）CA 的公钥标识（Authority Key Identifier）CRL 号（CRL Number）

==============================================================

=======

SSL认证机构是干什么的,在电子商务中如何实现？

来源：ChinaITLab

2003-1-15 0:52:00

一．协议的起源

随着计算机网络技术向整个经济社会各层次延伸，整个社会表现对Internet、Intranet

、Extranet等使用的更大的依赖性。随着企业间信息交互的不断增加，任何一种网络应用和增值服务的使用程度将取决于所使用网络的信息安全有无保障，网络安全已成为现代计算机网络应用的最大障碍，也是急需解决的难题之一。

由于Web上有时要传输重要或敏感的数据，因此Netscape公司在推出Web浏览器首版的同时，提出了安全通信协议SSL(Secure Socket Layer),目前已有2.0和3.0版本。SSL采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前，利用公开密钥技术的SSL协议，并已成为Internet上保密通讯的工业标准。现行Web浏览器普遍将HTTP 和SSL相结合，从而实现安全通信。

二．协议概述

安全套接层协议(SSL)是在Internet基础上提供的一种保证私密性的安全协议。它能使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。SSL协议要求建立在可靠的传输层协议(例如：TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如：HTTP，。。。

。。。)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

通过以上叙述，SSL协议提供的安全信道有以下三个特性：

? 私密性。因为在握手协议定义了会话密钥后，所有的消息都被加密。

? 确认性。因为尽管会话的客户端认证是可选的，但是服务器端始终是被认证的。

? 可靠性。因为传送的消息包括消息完整性检查(使用MAC)。

三．协议规范

SSL协议由SSL记录协议和SSL握手协议两部分组成。

1. SSL记录协议：

在SSL协议中，所有的传输数据都被封装在记录中。记录是由记录头和长度不为0的记录数据组成的。所有的SSL通信包括握手消息、安全空白记录和应用数据都使用SSL记录层。SSL记录协议包括了记录头和记录数据格式的规定。

1) SSL记录头格式：

SSL的记录头可以是两个或三个字节长的编码。SSL记录头的包含的信息包括：记录头的

长度、记录数据的长度、记录数据中是否有粘贴数据。其中粘贴数据是在使用块加密算

法时，填充实际数据，使其长度恰好是块的整数倍。最高位为1时，不含有粘贴数据，记

录头的长度为两个字节，记录数据的最大长度为32767个字节；最高位为0时，含有粘贴

数据，记录头的长度为三个字节，记录数据的最大长度为16383个字节。

当数据头长度是三个字节时，次高位有特殊的含义。次高位为1时，标识所传输的记录是

普通的数据记录；次高位为0时，标识所传输的记录是安全空白记录(被保留用于将来协

议的扩展）。

记录头中数据长度编码不包括数据头所占用的字节长度。记录头长度为两个字节的记录长度的计算公式：记录长度＝((byte[0] ;

0x7f) <;<; 8)) | byte[1]。其中byte[0]、byte[1]分别表示传输的第一个、第二个字节。记录头长度为三个字节的记录长度的计算公式：记录长度＝((byte[0] ; 0x3f) <;<; 8)) | byte[1]。其中byte[0]、byte[1]的含义同上。判断是否是安全空白记录的计算公式：(byte[0] ;

0x40) != 0。粘贴数据的长度为传输的第三个字节。

2) SSL记录数据的格式：

SSL的记录数据包含三个部分：MAC数据、实际数据和粘贴数据。

MAC数据用于数据完整性检查。计算MAC所用的散列函数由握手协议中的CIPHER－CHOICE消息确定。若使用MD2和MD5算法，则MAC数据长度是16个字节。MAC的计算公式：MAC数据＝HASH[密钥，实际数据，粘贴数据，序号]。当会话的客户端发送数据时，密钥是客户的写密钥(服务器用读密钥来验证MAC数据)；而当会话的客户端接收数据时，密钥是客户的读密钥(服务器用写密钥来产生MAC数据)。序号是一个可以被发送和接收双方递增的计数器。每个通信方向都会建立一对计数器，分别被发送者和接收者拥有。计数器有32位，计数值循环使用，每发送一个记录计数值递增一次，序号的初始值为0。

2. SSL握手协议：

SSL握手协议包含两个阶段，第一个阶段用于建立私密性通信信道，第二个阶段用于客户认证。

1) 第一阶段：

第一阶段是通信的初始化阶段，通信双方都发出HELLO消息。当双方都接收到HELLO消息时，就有足够的信息确定是否需要一个新的密钥。若不需要新的密钥，双方立即进入握手协议的第二阶段。否则，此时服务器方的SERVER－HELLO消息将包含足够的信息使客户方产生一个新的密钥。这些信息包括服务器所持有的证书、加密规约和连接标识。若密钥产生成功，客户方发出CLIENT－

MASTER－KEY消息，否则发出错误消息。最终当密钥确定以后，服务器方向客户方发出SERVER－VERIFY消息。因为只有拥有合适的公钥的服务器才能解开密钥。下图为第一阶段的流程：

需要注意的一点是每一通信方向上都需要一对密钥，所以一个连接需要四个密钥，分别为客户方的读密钥、客户方的写密钥、服务器方的读密钥、服务器方的写密钥。

2) 第二阶段：

第二阶段的主要任务是对客户进行认证，此时服务器已经被认证了。服务器方向客户发出认证请求消息：REQUEST－CERTIFICATE。当客户收到服务器方的认证请求消息，发出

自己的证书，并且监听对方回送的认证结果。而当服务器收到客户的认证，认证成功返回SERVER－FINISH消息，否则返回错误消息。到此为止，握手协议全部结束。

3. 典型的协议消息流程：

消息名方向内容

不需要新密钥

CLIENT－HELLO C－>;S challenge, session_id, cipher_specs

SERVER－HELLO S－>;C connection-id, session_id_hit

CLIENT－FINISH C－>;S Eclient_write_key[connection-id]

SERVER-VERIFY S－>;C Eserver_write_key[challenge]

SERVER－FINISH S－>;C Eserver_write_key[session_id]

需要新密钥

CLIENT－HELLO C－>;S challenge, cipher_specs

SERVER－HELLO S－>;C connection-id,server_certificate,cipher_specs

CLIENT－MASTER－KEY C－>;S Eserver_public_key[master_key]

CLIENT－FINISH C－>;S Eclient_write_key[connection-id]

SERVER－VERIFY S－>;C Eserver_write_key[challenge]

SERVER－FINISH S－>;C Eserver_write_key[new_session_id]

需要客户认证

CLIENT－HELLO C－>;S challenge, session_id, cipher_specs

SERVER－HELLO S－>;C connection-id, session_id_hit

CLIENT－FINISH C－>;S Eclient_write_key[connection-id]

SERVER-VERIFY S－>;C Eserver_write_key[challenge]

REQUEST－CERTIFICATE S－>;C Eserver_write_key[auth_type,challenge']

CLIENT－CERTIFICATE C－>;S Eclient_write_key[cert_type,client_cert,response_data]

SERVER－FINISH S－>;C Eserver_write_key[session_id]

四．相关技术：

1. 加密算法和会话密钥：

如前所述，加密算法和会话密钥是在握手协议中协商并有CIPHER－CHOICE指定的。现有的SSL版本中所用到的加密算法包括：RC4、RC2、IDEA和DES，而加密算法所用的密钥由消息散列函数MD5产生。RC4、RC2是由RSA定义的，其中RC2适用于块加密，RC4适用于流加密。下述为CIPHER－CHIOCE的可能取值和会话密钥的计算：

SSL_CK_RC4_128_WITH_MD5

SSL_CK_RC4_128_EXPORT40_WITH_MD5

SSL_CK_RC2_128_CBC_WITH_MD5

SSL_CK_RC2_128_CBC_EXPORT40_WITH_MD5

SSL_CK_IDEA_128_CBC_WITH_MD5

KEY-MATERIAL-0 = MD5[ MASTER-KEY, ";0";, CHALLENGE, CONNECTION-ID ]

KEY-MATERIAL-1 = MD5[ MASTER-KEY, ";1";, CHALLENGE, CONNECTION-ID ]

CLIENT-READ-KEY = KEY-MATERIAL-0[0-15]

CLIENT-WRITE-KEY = KEY-MATERIAL-1[0-15]

SSL_CK_DES_64_CBC_WITH_MD5

KEY-MATERIAL-0 = MD5[ MASTER-KEY, CHALLENGE, CONNECTION-ID ]

CLIENT-READ-KEY = KEY-MATERIAL-0[0-7]

CLIENT-WRITE-KEY = KEY-MATERIAL-0[8-15]

SSL_CK_DES_192_EDE3_CBC_WITH_MD5

KEY-MATERIAL-0 = MD5[ MASTER-KEY, ";0";, CHALLENGE, CONNECTION-ID ]

KEY-MATERIAL-1 = MD5[ MASTER-KEY, ";1";, CHALLENGE, CONNECTION-ID ]

KEY-MATERIAL-2 = MD5[ MASTER-KEY, ";2";, CHALLENGE, CONNECTION-ID ]

CLIENT-READ-KEY-0 = KEY-MATERIAL-0[0-7]

CLIENT-READ-KEY-1 = KEY-MATERIAL-0[8-15]

CLIENT-READ-KEY-2 = KEY-MATERIAL-1[0-7]

CLIENT-WRITE-KEY-0 = KEY-MATERIAL-1[8-15]

CLIENT-WRITE-KEY-1 = KEY-MATERIAL-2[0-7]

CLIENT-WRITE-KEY-2 = KEY-MATERIAL-2[8-15]其中KEY-MATERIAL-0[0-15]表示KEY-MATERIAL-0中的16个字节，KEY-MATERIAL-0[0-7]表示KEY-MATERIAL-0中的头8个字节，KEY-MATERIAL-1[8-15]表示KEY-MATERIAL-0中的第9个字节到第15个字节。其他类似形式有相同的含义。";0";、";1";表示数字0、1的ASCII码0x30、0x31。

2. 认证算法：

认证算法采用X。509电子证书标准，通过使用RSA算法进行数字签名来实现的。

1) 服务器的认证：

在上述的两对密钥中，服务器方的写密钥和客户方的读密钥、客户方的写密钥和服务器方的读密钥分别是一对私有、公有密钥。对服务器进行认证时，只有用正确的服务器方写密钥加密CLIENT-HELLO消息形成的数字签名才能被客户正确的解密，从而验证服务器的身分。

若通信双方不需要新的密钥，则它们各自所拥有的密钥已经符合上述条件。若通信双方需要新的密钥。首先服务器方在SERVER-HELLO消息中的服务器证书中提供了服务器的公

有密钥，服务器用其私有密钥才能正确的解密由客户方使用服务器的公有密钥加密的MASTER-KEY