網(wǎng)絡(luò)安全安全協(xié)議

網(wǎng)絡(luò)與信息安全安全的通信協(xié)議網(wǎng)絡(luò)與信息安全的構(gòu)成物理安全性設(shè)備的物理安全：防火、防盜、防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計算機系統(tǒng)不被入侵和破壞用戶訪問安全性通過身份鑒別和訪問控制，阻止資源被非法用戶訪問數(shù)據(jù)安全性數(shù)據(jù)的完整、可用數(shù)據(jù)保密性信息的加密存儲和傳輸安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶安全層應(yīng)用安全層數(shù)據(jù)安全層加密訪問控制授權(quán)用戶/組管理單機登錄身份認(rèn)證反病毒風(fēng)險評估入侵檢測審計分析安全的通信協(xié)議VPN防火墻存儲備份協(xié)議協(xié)議是指兩方或多方為完成一項任務(wù)所進行的一系列步驟，而每一步必須依次執(zhí)行，在前一步完成之前，后面的步驟都不能執(zhí)行協(xié)議特點：協(xié)議中的每一方都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟；協(xié)議中的每一方都必須同意并遵循它；協(xié)議必須是清楚的，每一步必須明確定義，并且不會引起誤解；協(xié)議必須是完整的，對每種可能的情況必須規(guī)定具體的動作；網(wǎng)絡(luò)協(xié)議計算機網(wǎng)絡(luò)中多個互連的計算機或網(wǎng)絡(luò)設(shè)備之間不斷交換數(shù)據(jù)為使相互通信的兩個計算機或網(wǎng)絡(luò)設(shè)備高度協(xié)調(diào)地進行數(shù)據(jù)交換，每臺計算機或網(wǎng)絡(luò)設(shè)備就必須在信息內(nèi)容、格式和傳輸順序等方面遵守事先預(yù)定好的規(guī)則這些為進行網(wǎng)絡(luò)中數(shù)據(jù)通信而制定的規(guī)則、標(biāo)準(zhǔn)或約定就是俗稱的網(wǎng)絡(luò)協(xié)議安全協(xié)議的必要性隨著計算機網(wǎng)絡(luò)技術(shù)向整個經(jīng)濟社會各層次的延伸，人們對Internet、Intranet等的依賴性越來越大任何一種網(wǎng)絡(luò)應(yīng)用和服務(wù)的使用程度必將取決于所使用網(wǎng)絡(luò)的信息安全有無保障網(wǎng)絡(luò)安全已成為現(xiàn)代計算機網(wǎng)絡(luò)應(yīng)用的最大障礙，也是急需解決的難題之一安全協(xié)議為網(wǎng)絡(luò)中的信息交換提供了強大的安全保護安全協(xié)議的含義在網(wǎng)絡(luò)協(xié)議中使用加密技術(shù)、認(rèn)證技術(shù)等密碼技術(shù)以保證信息交換安全的網(wǎng)絡(luò)協(xié)議具體地說就是建立在密碼體系上的一種互通協(xié)議，為需要安全的各方提供一系列的密鑰管理、身份認(rèn)證及信息完整性等措施以保證通信的安全完成安全協(xié)議的理解首先是協(xié)議標(biāo)準(zhǔn)程序語義、語法規(guī)則雙方或多方數(shù)據(jù)交換安全協(xié)議是協(xié)議中與安全相關(guān)的部分同安全相關(guān)的協(xié)議安全協(xié)議的基石通信技術(shù)密碼技術(shù)對稱密鑰算法公開密鑰算法密碼技術(shù)的應(yīng)用保密：機密性認(rèn)證：完整性和真實性相關(guān)問題密鑰的分發(fā)和交換

安全協(xié)議的種類根據(jù)功能分密鑰安全協(xié)議指參與協(xié)議的雙方或多方之間建立的通信中的會話密鑰認(rèn)證協(xié)議主要用來在信息交換過程中防止信息的假冒、篡改或否認(rèn)密鑰交換和認(rèn)證協(xié)議將密鑰技術(shù)與認(rèn)證技術(shù)相結(jié)合，同時完成信息的加密與認(rèn)證的功能安全協(xié)協(xié)議––標(biāo)標(biāo)準(zhǔn)準(zhǔn)IPSecSSLTCP/IP協(xié)協(xié)議棧棧協(xié)議棧棧的封封裝過過程網(wǎng)絡(luò)層層安全全傳輸層層安全全應(yīng)用層層安全全IPSecIPSecIPSECIP安安全全協(xié)議議。不不是一一個單單獨的的協(xié)議議，而而是一一組開開放協(xié)協(xié)議的的總稱稱，它它給出出了應(yīng)應(yīng)用于于IP層上上網(wǎng)絡(luò)絡(luò)數(shù)據(jù)據(jù)安全全的一一整套套體系系結(jié)構(gòu)構(gòu)，包包括網(wǎng)絡(luò)安安全協(xié)協(xié)議AHESP密鑰管管理協(xié)協(xié)議IKE認(rèn)證和和加密密算法法在IP層解解決安安全問問題，，涉及及的功功能：：認(rèn)證證、保保密和和秘鑰鑰管理理IPSec工作作組IETF：：IPSecurityProtocolWorkingGroupArchitectureEncapsulatingSecurityPayload(ESP)AuthenticationHeader(AH)EncryptionAlgorithmAuthenticationAlgorithmKeyManagementDomainofInterpretation(DOI)IPSec框架架體系結(jié)結(jié)構(gòu)ESP協(xié)議議AH協(xié)協(xié)議加密算算法認(rèn)證算算法DOI密鑰管管理IPSec總體體結(jié)構(gòu)構(gòu)描述述體系結(jié)結(jié)構(gòu)：：包括括總體體概念念，安安全需需求，，定義義，以以及定定義IPSec技術(shù)術(shù)的機機制；；ESP：使使用用ESP進進行加加密的的消息息格式式和一一般性性問題題，以以及可可選的的認(rèn)證證；AH：：使用用認(rèn)證證消息息格式式和一一般性性問題題；加密算算法：：描述述將各各種不不同加加密算算法用用于ESP的文文檔；；認(rèn)證算算法：：描述述將各各種不不同加加密算算法用用于AH以以及ESP認(rèn)證證選項項的文文檔；；密鑰管管理：：描述述密鑰鑰管理理模式式；DOI：其其它相相關(guān)文文檔，，批準(zhǔn)準(zhǔn)的加加密和和認(rèn)證證算法法標(biāo)識識，以以及運運行參參數(shù)等等；IPSec提供供的服服務(wù)訪問控控制數(shù)據(jù)完完整性性數(shù)據(jù)源源鑒別別重放攻攻擊保保護數(shù)據(jù)保保密性性密鑰管管理有限通通信流流保密密性AHESP僅加密ESP加密、鑒別訪問控制YYY數(shù)據(jù)完整性YY數(shù)據(jù)源鑒別YY重放攻擊保護YYY數(shù)據(jù)機密性YY流量機密性YY協(xié)議服務(wù)IPSec協(xié)議議的實實現(xiàn)OS集集成IPSec集成成在操操作系系統(tǒng)內(nèi)內(nèi)，作作為IP層層的一一部分分具有較較高的的效率率IPSec安全全服務(wù)務(wù)與IP層層的功功能緊緊密集集合在在一塊塊嵌入到到現(xiàn)有有協(xié)議議棧IPSec作為為插件件嵌入入到鏈鏈路層層和IP層層之間間較高的的靈活活性效率受受到影影響ApplicaitonTCP/UDPIP+IPSecDataLinkApplicaitonTCP/UDPIPIPSecDataLinkIPSec的部部署-1可配置置和實實施IPSec的端端點包包括主主機、、路由由器、、防火火墻等等在終端端主機機上部部署IPSec提供端端到端端的安安全保保障，，保護護終端端之間間的IP分分組可以支支持逐逐個數(shù)數(shù)據(jù)流流的安安全保保障能夠支支持IPSec定義義的各各種工工作模模式IPSec的部部署-2在網(wǎng)絡(luò)絡(luò)節(jié)點點（路路由器器或防防火墻墻）上上實施施IPSec對通過過公用用網(wǎng)的的子網(wǎng)網(wǎng)間通通信提提供保保護對內(nèi)部部網(wǎng)的的用戶戶透明明能同時時實現(xiàn)現(xiàn)對進進入專專用網(wǎng)網(wǎng)絡(luò)的的用戶戶進行行身份份認(rèn)證證和授授權(quán)缺點：：網(wǎng)絡(luò)絡(luò)節(jié)點點開銷銷大IPSec的工工作模模式在IPSec中中，AH/ESP協(xié)協(xié)議用用于保保護IP分分組對IP分組組的保保護有有兩種種方式式保護IP分分組的的凈荷荷（高高層協(xié)協(xié)議的的數(shù)據(jù)據(jù)）保護整整個IP分分組保護的方式式由工作模模式?jīng)Q定傳輸模式：：保護IP的上層協(xié)協(xié)議隧道模式：：保護整個個IP分組組傳輸模式保護上層協(xié)協(xié)議（TCP/UDP…）的的數(shù)據(jù)安全操作（（加密和認(rèn)認(rèn)證）在通通信終端上上（主機））上進行提供端到端端的保護IPTCPPayload原始IP分分組IPSec保護的IP分組IPIPSecTCPPayloadProtected隧道模式在不安全信信道上，保保護整個IP分組安全操作在在網(wǎng)絡(luò)設(shè)備備上完成安全網(wǎng)關(guān)、、路由器、、防火墻………IPTCPPayload原始IP分分組IPSec保護的IP分組IPIPSecIPTCPPayloadProtected通信終端的的IP地址址隧道終端的的IP地址址安全關(guān)聯(lián)SASA：SecurityAssociationSA是IP認(rèn)證和保保密機制中中最關(guān)鍵的的概念。是發(fā)送者和和接收者兩兩個IPSec系統(tǒng)統(tǒng)間一個簡簡單的單向向邏輯連接接，是一組組與網(wǎng)絡(luò)連連接相關(guān)聯(lián)聯(lián)的安全信息參參數(shù)集合，用于實現(xiàn)現(xiàn)安全策略略；如果需要一一個對等關(guān)關(guān)系，即雙雙向安全交交換，則需需要兩個SA。每個SA通通過三個參參數(shù)來標(biāo)識識安全參數(shù)索索引SPI(SecurityParametersIndex)目標(biāo)地址IP安全協(xié)議標(biāo)標(biāo)識：AH還是ESPSA的參數(shù)數(shù)-1SecurityParametersIndex(SPI)：安安全變量索索引。分配配給這個SA的一個個位串并且且只有本地地有效。SPI在AH和ESP報頭中中出現(xiàn)，以以使得接收收系統(tǒng)選擇擇SA并在在其下處理理一個收到到的報文。。IP目的地地址：目前前，只允許許單點傳送送地址；這這是該SA的目標(biāo)終終點的地址址，它可以以是一個最最終用戶系系統(tǒng)或一個個網(wǎng)絡(luò)系統(tǒng)統(tǒng)如防火墻墻或路由器器。安全協(xié)議標(biāo)標(biāo)識符：表表明是AH還是ESP的SASA的參數(shù)數(shù)-2序數(shù)計數(shù)器器：一個32位值用用于生成AH或ESP頭中的的序數(shù)字段段；計數(shù)器溢出出位：一個個標(biāo)志位表表明該序數(shù)數(shù)計數(shù)器是是否溢出，，如果是，，將生成一一個審計事事件，并禁禁止本SA的進一步步的包傳送送。防回放窗口口：用于確確定一個入入站的AH或ESP包是否是是一個回放放AH信息：：認(rèn)證算法法、密鑰、、密鑰生存存期、以及及與AH一一起使用的的其它參數(shù)數(shù)ESP信息息：加密和和認(rèn)證算法法、密鑰、、初始值、、密鑰生存存期、以及及ESP一一起使用的的其它參數(shù)數(shù)SA的生存存期：一個個時間間隔隔或字節(jié)記記數(shù)，到時時后一個SA必須用用一個新的的SA替換換或終止，，以及一個個這些活動動發(fā)生的指指示。IPSec協(xié)議模式式：隧道、、運輸、統(tǒng)統(tǒng)配符。通路MTU：任何遵遵從的最大大傳送單位位和老化變變量AH協(xié)議AH：AuthenticationHeader為IP包提提供數(shù)據(jù)完整性性和鑒別功能利用MAC碼實現(xiàn)鑒鑒別，雙方方必須共享享一個密鑰鑰鑒別算法由由SA指定定鑒別的范圍圍：整個包包兩種鑒別模模式：傳輸模式：：不改變IP地址，，插入一個個AH隧道模式：：生成一個個新的IP頭，把AH和原來來的整個IP包放到到新IP包包的載荷數(shù)數(shù)據(jù)中AH提供的的服務(wù)數(shù)據(jù)源認(rèn)證證：HMAC，需需要共享密密鑰無連接的完完整性可選的抗重重放攻擊服服務(wù)不提供保密密性AH協(xié)議安全參數(shù)索索引SPI：標(biāo)示與與分組通信信相關(guān)聯(lián)的的SA序列號SequenceNumber：單調(diào)調(diào)遞增的序序列號，用用來抵抗重重放攻擊鑒別數(shù)據(jù)AuthenticationData：包包含進行數(shù)數(shù)據(jù)源鑒別別的數(shù)據(jù)（（MAC）），又稱為為ICV（（integritycheckvalue）NextHeaderPayloadlengthReservedSPISequencenumberAuthenticationdataAH頭的長長度下一個協(xié)議議類型AH協(xié)議的的鑒別鑒別數(shù)據(jù)ICV，用用于數(shù)據(jù)源源鑒別缺?。?6bits的MAC算法：HMAC-MD5-96，HMAC-SHA-1-96,etcICV的生生成方式IP分組頭頭中傳輸中中保持不變變的或者接接受方可以以預(yù)測的字字段AH頭中除除“鑒別數(shù)數(shù)據(jù)”以外外的所有數(shù)數(shù)據(jù)被AH保護護的所有數(shù)數(shù)據(jù)，如高高層協(xié)議數(shù)數(shù)據(jù)或被AH封裝的的IP分組組除此以外，，所有數(shù)據(jù)據(jù)在計算ICV時被被清0AH協(xié)議的的鑒別范圍圍–IPv4IPTCPPayloadIPAHTCPPayload原始分組NewIPAHIPTCPPayload隧道模式傳輸模式除IP頭中中的可變字字段外，都都被AH保保護除newIP頭中中的可變字字段外，都都被AH保保護ESP協(xié)議議ESP––EncapsulatingSecurityPayload提供更高級級別的安全全保護訪問控制數(shù)據(jù)源鑒別別數(shù)據(jù)完整性性數(shù)據(jù)保密性性重放保護有限的流量量保密ESP支持持的加密算算法3DES、、IDEA、RC5……支持的鑒別別算法與AH相同同ESP協(xié)議議安全參數(shù)索索引SPI：標(biāo)識與與分組通信信相關(guān)聯(lián)的的SA序列號SequenceNumber：單調(diào)調(diào)遞增的序序列號，用用來抵抗重重放攻擊凈荷數(shù)據(jù)：：被加密保保護填充與填充充長度：被被加密保護護通過填充使使得ESP協(xié)議段的的長度為32bits的整數(shù)數(shù)倍通過填充，，隱藏了原原始數(shù)據(jù)的的長度，提提供了有限限的流量保保密下一協(xié)議擴擴展頭類型型：被保護護的數(shù)據(jù)的的協(xié)議類型型鑒別數(shù)據(jù)AuthenticationData：包包含進行數(shù)數(shù)據(jù)源鑒別別的數(shù)據(jù)（（MAC）），即ICVSPISNPayload(protected)PadPadLengthNextheaderAuthenticationdataESP的安安全保障––IPv4IPTCPPayloadIPESP-HTCPPayloadESP-TESP-AD原始分組NewIPESP-HIPTCPPayloadESP-TESP-AD隧道模式傳輸模式鑒別保護鑒別保護加密保護加密保護IPSec的重放保保護在每一個安安全關(guān)聯(lián)都都維護一個個防重放的的滑動窗口口，大小64，向右右側(cè)滑動每個IPSec分組組都被分配配一個序列列號在接受方，，滿足以下下條件的分分組才是合合法的：分組通過鑒鑒別分組序號是是新的，未未在滑動窗窗口中出現(xiàn)現(xiàn)過分組序號落落在滑動窗窗口內(nèi)或右右側(cè)分組序號落落在滑動窗窗口右側(cè)，，窗口向右右滑動通過這種機機制，重放放攻擊的分分組將被丟丟棄IPSec密鑰管理理手工管理自動管理Photuris簡單Internet密鑰管管理協(xié)議SKIPInternet密密鑰交換協(xié)協(xié)議IKEIPSec默認(rèn)的協(xié)協(xié)議IKEIKEAH&ESP安全關(guān)聯(lián)SA和會話話密鑰建立立以后的工工作過程IKE用于雙向認(rèn)認(rèn)證、建立立共享密鑰鑰和會話關(guān)關(guān)聯(lián)SA的的協(xié)議包括三個部部分IKEISAKMPDOISSLSSL簡介介SSL（SecureSocketLayer，安安全套接層層）協(xié)議Netscape公公司于1994年最最先提出來來的被設(shè)計成使使用TCP來提供一一種可靠的的端到端的的安全服務(wù)務(wù)，是一種種基于會話話的加密和認(rèn)證證的協(xié)議在客戶和服服務(wù)器之間間提供了一一個安全的的管道為了防止客客戶/服務(wù)務(wù)器應(yīng)用中中的監(jiān)聽、、篡改、消消息偽造等等，SSL提供了服務(wù)器認(rèn)證證和可選的客戶端認(rèn)證證通過在兩個個實體間建建立一個共共享的秘密密，SSL提供保密性SSL工作作在傳輸層層（TCP）和應(yīng)用用層之間SSL獨立立于應(yīng)用層層協(xié)議，高高層協(xié)議可可基于SSL進行透透明的傳輸輸SSL協(xié)議議的協(xié)議層層次SSL協(xié)議議提供的主主要服務(wù)加密處理加密數(shù)據(jù)以以防止數(shù)據(jù)據(jù)中途被竊竊??；維護數(shù)據(jù)的的完整性確保數(shù)據(jù)在在傳輸過程程中不被改改變。認(rèn)證服務(wù)認(rèn)證用戶（（可選）和和服務(wù)器，，確保數(shù)據(jù)據(jù)發(fā)送到正正確的客戶戶機（可選選）和服務(wù)務(wù)器；SSL的兩兩個重要概概念-1SSL會話話（session）一個SSL會話指客客戶與服務(wù)務(wù)器之間的的聯(lián)系會話由SSL握手協(xié)議議創(chuàng)建，定定義了一一套安全全加密參參數(shù)，為為多個連連接所共共享握手協(xié)議議的職責(zé)責(zé)是協(xié)調(diào)客戶戶和服務(wù)務(wù)器的狀狀態(tài)，使得雙雙方在不不能精確確地并行行的情況況下，也也能工作作一致會話狀態(tài)態(tài)會話標(biāo)識識Peer證書書：peer的的x509證書書壓縮方法法密碼規(guī)范范：加密密算法；；消息摘摘要算法法；有關(guān)關(guān)密碼的的一些屬屬性主密鑰：：客戶和和服務(wù)器器共享的的主密鑰鑰恢復(fù)：用用一個標(biāo)標(biāo)志位表表示該會會話是否否可以初初始化一一個新的的連接。。SSL的的兩個重重要概念念-2SSL連連接（connection)用于實現(xiàn)現(xiàn)特定類類型的服服務(wù)數(shù)據(jù)據(jù)的安全全傳輸SSL的的連接是是點對點點的關(guān)系系連接是暫暫時的，，每一個個連接和和一個會會話關(guān)聯(lián)聯(lián)一個SSL會話話可包括括多種安安全連接接連接狀態(tài)態(tài)服務(wù)器和和客戶端端隨機序序列服務(wù)器端端寫摘要要協(xié)議客戶端寫寫摘要協(xié)協(xié)議服務(wù)器端端寫密鑰鑰客戶端寫寫密鑰初始化向向量序列號SSL安安全連接接的特性性連接具有有私有性性在初始化化連接后后，協(xié)商商密鑰，，基于對對稱密碼碼體制對對數(shù)據(jù)進進行加密密（如DES、、RC4等）對端實體體鑒別可采用非非對稱密密碼體制制或公開開密鑰密密碼體制制（如RSA、、DSS）連接是可可靠的消息傳輸輸使用加加密MAC算法法進行消消息完整整性檢查查SSL安安全協(xié)議議記錄協(xié)議議修改密碼碼規(guī)程協(xié)協(xié)議告警協(xié)議議握手協(xié)議議SSL安安全協(xié)議議的組成成SSL不不是單個個的協(xié)議議，而是是兩層協(xié)協(xié)議SSL記記錄協(xié)議議基于可可靠的傳傳輸層協(xié)協(xié)議，用用來封裝裝高層協(xié)協(xié)議高層協(xié)議議主要包包括SSL握手手協(xié)議、、修改密密碼參數(shù)數(shù)協(xié)議、、報警協(xié)協(xié)議、應(yīng)應(yīng)用數(shù)據(jù)據(jù)協(xié)議（（如HTTP））等。SSL記記錄協(xié)議議層的功功能為高層協(xié)協(xié)議提供供基本的的安全服服務(wù)記錄層封封裝各種種高層協(xié)協(xié)議以任意大大小的非非空塊從從高層接接收尚未未解釋的的數(shù)據(jù)分塊將高層數(shù)數(shù)據(jù)分割割成SSL明文文記錄壓縮和解解壓所有記錄錄采用會會話狀態(tài)態(tài)中定義義的壓縮縮算法進進行壓縮縮記錄的保保護所有記錄錄通過會會話狀態(tài)態(tài)中定義義的加密密算法和和MAC算法進進行保護護SSL記記錄協(xié)議議的操作作過程SSL記記錄首部部的組成成主要類型型：用來說說明封裝裝的數(shù)據(jù)據(jù)段的更更高層的的協(xié)議。。已定義義的內(nèi)容容類型有有：修改改密碼規(guī)規(guī)程協(xié)議議、告警警協(xié)議、、握手協(xié)協(xié)議和應(yīng)應(yīng)用數(shù)據(jù)據(jù)；主要版本本：指示示使用SSL的的主要版版本號；；次要版本本：指示示使用的的次要版版本號；；壓縮長度度：明文數(shù)數(shù)據(jù)段以以字節(jié)為為單位的的長度（（如果使使用壓縮縮就是壓壓縮數(shù)據(jù)據(jù)段）。。握手協(xié)議議握手協(xié)議在SSL記錄層層之上，負(fù)責(zé)責(zé)建立當(dāng)前會會話狀態(tài)的參參數(shù)客戶端和服務(wù)務(wù)器相互鑒別別對方身份（（利用證書））協(xié)商安全參數(shù)數(shù)（加密和MAC算法，，加密密鑰等等）由一系列在客客戶和服務(wù)器器間交換的消消息組成每個消息由3個字段組成成：消息類型型、以字節(jié)為為單位的消息息長度以及這這個消息有關(guān)關(guān)的參數(shù)內(nèi)容容握手協(xié)議定義義的消息類型型-1消息類型說明參數(shù)hello_request握手請求，服務(wù)器可在任何時候向客戶端發(fā)送該消息。若客戶端正在進行握手過程就可忽略該消息。否則客戶端發(fā)送cleint_hello消息，啟動握手過程。無client_hello客戶啟動握手請求，該消息時當(dāng)客戶第一次連接服務(wù)器時向服務(wù)器發(fā)送的第一條消息。該消息中包括了客戶端支持的各種算法。若服務(wù)器端不能支持，則本次會話可能失敗。版本、隨機數(shù)、會話ID、密文族、壓縮方法server_hello其結(jié)構(gòu)與client_hello消息，該消息是服務(wù)器對客戶端client_hello消息的恢復(fù)。版本、隨機數(shù)、會話ID、密文族、壓縮方法server_certificate服務(wù)器提供的證書。如果客戶要求對服務(wù)器進行認(rèn)證，則服務(wù)器在發(fā)送server_hello消息后，向客戶端發(fā)送該消息。證書的類型一般是X.509v3。X．509v3證書鏈server_key_exchange服務(wù)器密鑰交換。當(dāng)服務(wù)器不使用證書，或其證書中僅提供簽名而不提供密鑰時，需要使用本消息來交換密鑰。參數(shù)、簽名握手協(xié)議定義義的消息類型型-2消息類型說明參數(shù)certificate_request用于服務(wù)器向客戶端要求一個客戶證書。類型、授權(quán)server_hello_done該消息表明服務(wù)器端的握手請求報文已經(jīng)發(fā)送完畢，正在等待客戶端的響應(yīng)?？蛻舳嗽谑盏皆撓r，將檢查服務(wù)器提供的證書及其他參數(shù)是否是有效、可以接受的。無client_certificate客戶端對服務(wù)器certificate_request消息的響應(yīng)，只有在服務(wù)器端要求客戶證書的時候使用。一般該消息是客戶端收到server_hello_done消息后所發(fā)送的第一條消息。若客戶端沒有合適的證書，則向服務(wù)器端發(fā)送no_certificate的告警消息（無證書可能導(dǎo)致握手失?。．509v3證書鏈client_key_exchange客戶密鑰交換。當(dāng)客戶不使用證書，或其證書中僅提供簽名而不提供密鑰時，需要使用本消息來交換密鑰。參數(shù)、簽名certificate_verify該消息用于向服務(wù)器提供對客戶證書的驗證。簽名finished該消息在“加密規(guī)約修改”（ChangeCipherSpec）消息之后發(fā)送，以證實握手過程已經(jīng)成功完成。本消息發(fā)送后，發(fā)送方開始使用協(xié)商的新參數(shù)來執(zhí)行操作。該消息需要在兩個方向上傳送。散列值握手協(xié)議過程程-1第一階段安安全能力的建建立(1)客戶戶→服務(wù)務(wù)器：client_hello(2)服務(wù)務(wù)器→客客戶：server_hello第二階段服服務(wù)器認(rèn)證和和密鑰交換(3)服務(wù)務(wù)器→客客戶：server_certificate(4)服務(wù)務(wù)器→客客戶：server_key_exchange(5)服務(wù)務(wù)器→客客戶：certificate_request(6)服務(wù)務(wù)器→客客戶：server_hello_done握手協(xié)議過程程-2第三階段客客戶認(rèn)證和和密鑰交換(7)客戶戶→服務(wù)務(wù)器：client_certificate(8)客戶戶→服務(wù)務(wù)器：client_key_exchange(9)客戶戶→服務(wù)務(wù)器：certificate_verify第四階段結(jié)結(jié)束階段(10)客客戶→服服務(wù)器：change_cipher_spec(11)客客戶→服服務(wù)器：finished(12)服服務(wù)器→客客戶：change_cipher_spec(13)服服務(wù)器→客客戶：finished修改密碼規(guī)程程協(xié)議位于SSL記記錄協(xié)議之上上僅定義了一個個由單個字節(jié)節(jié)“1”構(gòu)成成的消息報文文該消息將改變變連接所使用用的加密規(guī)約約用途：切換狀狀態(tài)把密碼參數(shù)設(shè)設(shè)置為當(dāng)前狀狀態(tài)。在握手手協(xié)議后，當(dāng)當(dāng)安全參數(shù)協(xié)協(xié)商一致后，，發(fā)送此消息息，以通知接接收方下面的的記錄將受到到剛達成的密密碼規(guī)范和密密鑰的保護告警協(xié)議一種通過SSL記錄協(xié)議議進行傳輸?shù)牡奶囟愋偷牡南⒅饕饔靡?guī)定了告警的的級別和告警警的類型，在在SSL協(xié)議議執(zhí)行過程中中通過告警協(xié)協(xié)議來顯示信信息交換過程程中所發(fā)生的的錯誤組成：告警級別級別告警名稱含義1警告表示一個一般警告信息.2致命錯誤表示出現(xiàn)了致命的錯誤,立即終止當(dāng)前連接,同一會話的其它連接還可繼續(xù),不會再產(chǎn)生其它新的連接.告警類型類型告警名稱含義0Close_notify通知接受方，發(fā)送方在本連接中不再發(fā)送消息.10Unexpected_message收到不適當(dāng)?shù)南?20Bad_recode_mac接收到的記錄的MAC有錯誤（致命錯誤）.30Decompression_failure解壓縮失?。ㄖ旅e誤）.40Handshake_failure發(fā)送方無法進行的安全參數(shù)設(shè)置（致命錯誤）.41No_certificate認(rèn)證中心沒有證書.42Bad_certificate證書已破壞.43Unsupported_certificate不支持接收的證書類型.44Certificate_revoked證書已經(jīng)撤銷.45Certificate_expired證書過期.46Certificate_unknown在產(chǎn)生證書時有不明問題.47Illegal_parameter握手過程某個字段超出范圍.SSL工作過過程發(fā)送方的工作作過程從上層接收要要發(fā)送的數(shù)據(jù)據(jù)對信息進行分分段，成若干干記錄使用指定的壓壓縮算法進行行數(shù)據(jù)壓縮數(shù)數(shù)據(jù)（可選））；使用指