论文部分内容阅读
摘 要 文章首先针对SSL的概念展开说明,而后对于其在安全领域的工作特征和职能进行了深入的分析,最后对于SSL安全机制中的协议工作流程加以讨论,对于深入了解SSL协议提供的相关数据传输安全特征以及机制有着一定的积极价值。
关键词 SSL;传输;安全
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2015)02-0242-01
当前互联网逐渐成熟和发展,人们对于信息传输服务的依赖性与日俱增,并且工作和生活中更多的重点也都随之转移到网络之上。这种状态直接导致数据传输安全问题的重要性直线上升,网络环境中大量的敏感信息都需要加以保护,而只有切实提供安全可靠的数据传输环境,才能确实搭建起能够承载社会发展的数据传输网络环境,并且为切实推动社会乃至人类的发展作出贡献。
1 SSL协议概念与特征
安全套接层(SSL,Secure Socket s Layer)协议是目前在Web浏览器和服务器之间发挥身份认证和加密数据传输职能的重要协议,是Internet安全通信体系中的重要标准之一。从结构地位上看,SSL位于网络层和应用层之间,而从软件结构角度看,SSL则位于TCP/IP协议与各种应用层协议之间,相应的应用层协议会因为SSL基础呈现出相应特征,如基于SSL的HTTP协议称为HTTPS,而基于SSL的LDAP协议则称作为LDAPS。
从对于安全的实现角度看,SSL能够提供相对基本的安全特征,具体而言包括保密性、端口身份认证以及信息完整性三个层次。其中保密性在SSL领域通常通过加密予以实现,依据信息传输双方对于秘钥的管理策略展开加密,通常采用对称的加密算法。而对于端口身份认证而言,SSL通常采用非對称的或者公开密钥加密算法炸开实施,诸如RSA或者DSS等。最后,在信息的完整性方面,SSL需要确保传输的信息不会丢失或者被拦截修改,通常由一个依据信息和秘密数据进行计算的单项哈希函数,即MAC(Message Authentication Code)来实现保护。
进一步从SSL对于安全传输的支持功能角度看,其在安全加密、互操作性、可扩展性以及高效共计四个方面能够实现良好支持。对于安全加密而言,SSL能够在信息传输双方之间建立起一个基本的安全连接,通过加密手段对于数据传输过程实现一次保障。而互操作性则是体现在双方即便不知道对方的代码的情况下,同样也可以确保成功交换加密环境相关参数,诸如秘钥等相关数据。可扩展性是指SSL构建起了一个完整的框架,在这个框架环境中,包括秘钥以及加密算法等均可以生存,并且进一步防止产生一个新的传输协议以及避免需要创建一个新的完全的安全函数库。这种扩展性使得SSL环境下的相关进化过程能够更为顺畅的实现。而最后对于高效性而言,则是指SSL利用会话缓存机制来减少高层会话过程中所需建立连接的次数,同时进一步在缩减网络操作方面给予了充分关注,这种思维方式确保SSL环境之下不会因为加密操作而对CPU提出额外要求,尤其是在公开秘钥的情况下表现良好。
2 SSL协议机制分析
SSL协议本身具有分层结构,在协议的每一个层面,都对信息的长度域、描述域和内容域进行了相关安全的定义。在数据传输的工作过程中,首先是将待传输的数据分割成为以有效管理为目标的若干数据块,这些数据块能够实现有效压缩,而后进一步应用MAC并且实现加密,最终加以传输。而信息的接收端则对应地采取相反的数据处理流程,即首先展开解密,而后进行MAC校验,对于数据块展开解压处理,依据相应的逻辑进行数据包的重组,最终将数据包转发给对应的客户端。
SSL协议的重要职责,在于面向上层的协议数据实现封装,在这样的职能环境指导之下,SSL协议发展处多种机制实现安全应对,而在众多机制之中,握手机制是最为核心的部分,因此限于篇幅关系,在此仅对握手机制作出必要分析。
在SSL协议展开工作的过程中,其涉及到保密机制的相关参数主要产生于握手协议环节。具体而言,握手协议需要在SSL的客户端和服务器展开对话之前处理好关于协议版本、加密算法、认证方式、所用的公开密钥及加密方法等相关问题。首先由客户端发起应答请求,并且服务器对此作出响应,确定相应的连接是否能够确立,在服务器无法实现连接的时候应当发送错误信息关闭应答过程。在连接得到确立的过程中,需要明确的属性包括协议版本号、会话ID、密钥集和压缩方法等,同时要交换ClientHello.random和ServerHello.random两个值。在建立起一个连接之后,握手协议还需要展开第二轮的确认信息,即在客户端接收到信息确认连接建立之后,还需要进一步发出认证信息,这是基于对于双方身份的认证,并且当认证信息到达服务器之后,服务器会展开对于客户端身份的识别并且将秘钥信息发出。
如果服务器通过认证,并且密钥集需要一个认证信息,那么它将请求客户端发送一个认证信息。这时服务器将发出server hello done信息,表示hello -message阶段握手结束,并等待客户端的应答。而如果服务器已发出证书请求信息,则客户端将回以证书信息或no_certificate警告,并且进一步发出秘钥交换信息。如果客户端已发出一个具有签名功能的证书,它将再发出一个用于明确校验证书的数字签名证书校验信息。
最后,客户端会发出加密规则的变更信息,实现对于当前加密规则的更替,并且对应的将新的加密算法以及秘钥规则进行加密并且发送。作为应答,服务器会发送对应的确认规则变更信息,并且同时对当前既有的算法实现更新。至此,整个握手阶段结束,安全连接得以建立,对应的客户端和服务器端可以展开数据交换。
3 结论
SSL协议的安全性体现在整个协议的方方面面,不仅仅握手环节,其他具体工作环节方面,也对身份验证和加密等安全工作发挥着重要的价值。在实际工作中,应当加强学习,深入研究,从细节着手,切实发挥SSL协议的安全价值。
参考文献
[1]卿斯汉.安全协议[M].北京:清华大学出版社,2005.
[2]王克苑,张维勇,王建新.SSL安全性分析研究[J].合肥工业大学学报(自然科学版),2004,27(1).
关键词 SSL;传输;安全
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2015)02-0242-01
当前互联网逐渐成熟和发展,人们对于信息传输服务的依赖性与日俱增,并且工作和生活中更多的重点也都随之转移到网络之上。这种状态直接导致数据传输安全问题的重要性直线上升,网络环境中大量的敏感信息都需要加以保护,而只有切实提供安全可靠的数据传输环境,才能确实搭建起能够承载社会发展的数据传输网络环境,并且为切实推动社会乃至人类的发展作出贡献。
1 SSL协议概念与特征
安全套接层(SSL,Secure Socket s Layer)协议是目前在Web浏览器和服务器之间发挥身份认证和加密数据传输职能的重要协议,是Internet安全通信体系中的重要标准之一。从结构地位上看,SSL位于网络层和应用层之间,而从软件结构角度看,SSL则位于TCP/IP协议与各种应用层协议之间,相应的应用层协议会因为SSL基础呈现出相应特征,如基于SSL的HTTP协议称为HTTPS,而基于SSL的LDAP协议则称作为LDAPS。
从对于安全的实现角度看,SSL能够提供相对基本的安全特征,具体而言包括保密性、端口身份认证以及信息完整性三个层次。其中保密性在SSL领域通常通过加密予以实现,依据信息传输双方对于秘钥的管理策略展开加密,通常采用对称的加密算法。而对于端口身份认证而言,SSL通常采用非對称的或者公开密钥加密算法炸开实施,诸如RSA或者DSS等。最后,在信息的完整性方面,SSL需要确保传输的信息不会丢失或者被拦截修改,通常由一个依据信息和秘密数据进行计算的单项哈希函数,即MAC(Message Authentication Code)来实现保护。
进一步从SSL对于安全传输的支持功能角度看,其在安全加密、互操作性、可扩展性以及高效共计四个方面能够实现良好支持。对于安全加密而言,SSL能够在信息传输双方之间建立起一个基本的安全连接,通过加密手段对于数据传输过程实现一次保障。而互操作性则是体现在双方即便不知道对方的代码的情况下,同样也可以确保成功交换加密环境相关参数,诸如秘钥等相关数据。可扩展性是指SSL构建起了一个完整的框架,在这个框架环境中,包括秘钥以及加密算法等均可以生存,并且进一步防止产生一个新的传输协议以及避免需要创建一个新的完全的安全函数库。这种扩展性使得SSL环境下的相关进化过程能够更为顺畅的实现。而最后对于高效性而言,则是指SSL利用会话缓存机制来减少高层会话过程中所需建立连接的次数,同时进一步在缩减网络操作方面给予了充分关注,这种思维方式确保SSL环境之下不会因为加密操作而对CPU提出额外要求,尤其是在公开秘钥的情况下表现良好。
2 SSL协议机制分析
SSL协议本身具有分层结构,在协议的每一个层面,都对信息的长度域、描述域和内容域进行了相关安全的定义。在数据传输的工作过程中,首先是将待传输的数据分割成为以有效管理为目标的若干数据块,这些数据块能够实现有效压缩,而后进一步应用MAC并且实现加密,最终加以传输。而信息的接收端则对应地采取相反的数据处理流程,即首先展开解密,而后进行MAC校验,对于数据块展开解压处理,依据相应的逻辑进行数据包的重组,最终将数据包转发给对应的客户端。
SSL协议的重要职责,在于面向上层的协议数据实现封装,在这样的职能环境指导之下,SSL协议发展处多种机制实现安全应对,而在众多机制之中,握手机制是最为核心的部分,因此限于篇幅关系,在此仅对握手机制作出必要分析。
在SSL协议展开工作的过程中,其涉及到保密机制的相关参数主要产生于握手协议环节。具体而言,握手协议需要在SSL的客户端和服务器展开对话之前处理好关于协议版本、加密算法、认证方式、所用的公开密钥及加密方法等相关问题。首先由客户端发起应答请求,并且服务器对此作出响应,确定相应的连接是否能够确立,在服务器无法实现连接的时候应当发送错误信息关闭应答过程。在连接得到确立的过程中,需要明确的属性包括协议版本号、会话ID、密钥集和压缩方法等,同时要交换ClientHello.random和ServerHello.random两个值。在建立起一个连接之后,握手协议还需要展开第二轮的确认信息,即在客户端接收到信息确认连接建立之后,还需要进一步发出认证信息,这是基于对于双方身份的认证,并且当认证信息到达服务器之后,服务器会展开对于客户端身份的识别并且将秘钥信息发出。
如果服务器通过认证,并且密钥集需要一个认证信息,那么它将请求客户端发送一个认证信息。这时服务器将发出server hello done信息,表示hello -message阶段握手结束,并等待客户端的应答。而如果服务器已发出证书请求信息,则客户端将回以证书信息或no_certificate警告,并且进一步发出秘钥交换信息。如果客户端已发出一个具有签名功能的证书,它将再发出一个用于明确校验证书的数字签名证书校验信息。
最后,客户端会发出加密规则的变更信息,实现对于当前加密规则的更替,并且对应的将新的加密算法以及秘钥规则进行加密并且发送。作为应答,服务器会发送对应的确认规则变更信息,并且同时对当前既有的算法实现更新。至此,整个握手阶段结束,安全连接得以建立,对应的客户端和服务器端可以展开数据交换。
3 结论
SSL协议的安全性体现在整个协议的方方面面,不仅仅握手环节,其他具体工作环节方面,也对身份验证和加密等安全工作发挥着重要的价值。在实际工作中,应当加强学习,深入研究,从细节着手,切实发挥SSL协议的安全价值。
参考文献
[1]卿斯汉.安全协议[M].北京:清华大学出版社,2005.
[2]王克苑,张维勇,王建新.SSL安全性分析研究[J].合肥工业大学学报(自然科学版),2004,27(1).