调试易

SSL原理一 SSL是什么SSL(Secure SocketLayer)是netscape公司设计的主要用于web的安全传输协议。这种协议在WEB上获得了广泛的应用。SL是一个介于HTTP协议与TCP之间的一个可选层，其位置大致如下：　　－－－－－－－－－
　　| HTTP |
　　－－－－－－－－－
　　| SSL |
　　－－－－－－－－－
　　| TCP |
　　－－－－－－－－－
　　| IP |
　　－－－－－－－－－　如果利用SSL协议来访问网页，其步骤如下：
　　用户：在浏览器的地址栏里输入https://www.sslserver.com
　　HTTP层：将用户需求翻译成HTTP请求，如
　　GET /index.htm HTTP/1.1
　　Host http://www.sslserver.com二 为什么使用SSLSSL是为了实现网络数据传输中的如下目的设计的：机密性这是通过对数据进行加密实现的，在进行SSL握手时，SSL选择一种对称算法对数据进行加密，然后才在网络上传输数据。消息的完整性SSL使用一种很健壮的信息验证码(Message Authentication Code)，例如：SHA-1，验证码被放在数据包的后部，并且和数据一块被加密。这样，如果数据被修改，其散列值就无法和原来的验证码匹配，从而能够检测出数据是否被修改。MAC同时也被用于保护SSL连接免受干扰。保护数据免受重放攻击(replay-attack)SSL使用序列号来保护通讯方免受报文重放攻击。这个序列号被加密后作为数据包的负载。在整个SSL握手中中，都有一个唯一的随机数来标记这个SSL握手，这样重放便无机可乘。免受recorder攻击(reorder-attack)上面所说的序列号也可以防止攻击者记录数据包并以不同的次序发送。端点验证使用X509证书，SSL支持客户和服务器的验证三 SSL协议的内容　　SSL协议分为两部分：Handshake Protocol和Record Protocol,。其中HandshakeProtocol用来协商密钥，协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。1. 密钥协商过程　由于非对称加密的速度比较慢，所以它一般用于密钥交换，双方通过公钥算法协商出一份密钥，然后通过对称加密来通信，当然，为了保证数据的完整性，在加密前要先经过HMAC的处理。SSL缺省只进行server端的认证，客户端的认证是可选的。以下是其流程图（摘自TLS协议）。Client Server　　Clienth*llo -------->　　Serverh*llo
　　Certificate*
　　ServerKeyExchange*
　　CertificateRequest*
　　<-------- Serverh*lloDoneCertificate*
　　ClientKeyExchange
　　CertificateVerify*
　　[ChangeCipherSpec]
　　Finished -------->　　[ChangeCipherSpec]
　　<-------- Finished
　　Application Data <-------> Application Data简单的说便是：SSL客户端（也是TCP的客户端）在TCP链接建立之后，发出一个Clienth*llo来发起握 手，这个消息里面包含了自己可实现的算法列表和其它一些需要的消息，SSL的服务器端会回应一个Serverh*llo，这里面确定了这次通信所需要的算 法，然后发过去自己的证书（里面包含了身份和自己的公钥）。Client在收到这个消息后会生成一个秘密消息，用SSL服务器的公钥加密后传过去，SSL 服务器端用自己的私钥解密后，会话密钥协商成功，双方可以用同一份会话密钥来通信了。2 .密钥协商的形象化比喻如果上面的说明不够清晰，这里我们用个形象的比喻，我们假设A与B通信，A是SSL客户端，B是SSL服务器端，加密后的消息放在方括号[]里，以突出明文消息的区别。双方的处理动作的说明用圆括号（）括起。　A：我想和你安全的通话，我这里的对称加密算法有DES,RC5,密钥交换算法有RSA和DH，摘要算法有MD5和SHA。　　B：我们用DES－RSA－SHA这对组合好了。
　　这是我的证书，里面有我的名字和公钥，你拿去验证一下我的身份（把证书发给A）。
　　目前没有别的可说的了。　　A：（查看证书上B的名字是否无误，并通过手头早已有的CA的证书验证了B的证书的真实性，如果其中一项有误，发出警告并断开连接，这一步保证了B的公钥的真实性）
　 　（产生一份秘密消息，这份秘密消息处理后将用作加密密钥，加密初始化向量和hmac的密钥。将这份秘密消息-协议中称为 per_master_secret-用B的公钥加密，封装成称作ClientKeyExchange的消息。由于用了B的公钥，保证了第三方无法窃听）
　　我生成了一份秘密消息，并用你的公钥加密了，给你（把ClientKeyExchange发给B）
　　注意，下面我就要用加密的办法给你发消息了！
　　（将秘密消息进行处理，生成加密密钥，加密初始化向量和hmac的密钥）
　　[我说完了]　　B：（用自己的私钥将ClientKeyExchange中的秘密消息解密出来，然后将秘密消息进行处理，生成加密密钥，加密初始化向量和hmac的密钥，这时双方已经安全的协商出一套加密办法了）
　　注意，我也要开始用加密的办法给你发消息了！
　　[我说完了]
　　A: [我的秘密是...]
　　B: [其它人不会听到的...]
3. 加密的计算　　协商完密钥后,就可以利用加密密钥，加密初始化向量和hmac的密钥来加密消息的了.
　　借助hmac的密钥，对明文的消息做安全的摘要处理，然后和明文放到一起。
　　借助加密密钥，加密初始化向量加密上面的消息。

2楼好强，直接省了我google的时间了……

google上的多已经看过了。。
我希望有经验的人能够指导下。。 就是自己用过了SSL的