網(wǎng)絡(luò)與信息安全培訓(xùn)教材(共68頁).ppt

1、網(wǎng)絡(luò)與信息平安平安的通信協(xié)議網(wǎng)絡(luò)與信息平安的構(gòu)成物理平安性設(shè)備的物理平安：防火、防盜、防破壞等通信網(wǎng)絡(luò)平安性防止入侵和信息泄露系統(tǒng)平安性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶訪問平安性通過身份鑒別和訪問控制，阻止資源被非法用戶訪問數(shù)據(jù)平安性數(shù)據(jù)的完整、可用數(shù)據(jù)保密性信息的加密存儲和傳輸平安的分層結(jié)構(gòu)和主要技術(shù)物理平安層網(wǎng)絡(luò)平安層系統(tǒng)平安層用戶平安層應(yīng)用平安層數(shù)據(jù)平安層加密訪問控制授權(quán)用戶/組管理單機(jī)登錄身份認(rèn)證反病毒風(fēng)險(xiǎn)評估入侵檢測審計(jì)分析平安的通信協(xié)議VPN防火墻存儲藏份協(xié)議協(xié)議是指兩方或多方為完成一項(xiàng)任務(wù)所進(jìn)行的一系列步驟，而每一步必須依次執(zhí)行，在前一步完成之前，后面的步驟都不能執(zhí)行協(xié)議特點(diǎn)：l協(xié)議

2、中的每一方都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟；l協(xié)議中的每一方都必須同意并遵循它；l協(xié)議必須是清楚的，每一步必須明確定義，并且不會引起誤解；l協(xié)議必須是完整的，對每種可能的情況必須規(guī)定具體的動作；網(wǎng)絡(luò)協(xié)議計(jì)算機(jī)網(wǎng)絡(luò)中多個(gè)互連的計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備之間不斷交換數(shù)據(jù)為使相互通信的兩個(gè)計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備高度協(xié)調(diào)地進(jìn)行數(shù)據(jù)交換，每臺計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備就必須在信息內(nèi)容、格式和傳輸順序等方面遵守事先預(yù)定好的規(guī)那么這些為進(jìn)行網(wǎng)絡(luò)中數(shù)據(jù)通信而制定的規(guī)那么、標(biāo)準(zhǔn)或約定就是俗稱的網(wǎng)絡(luò)協(xié)議平安協(xié)議的必要性隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)向整個(gè)經(jīng)濟(jì)社會各層次的延伸，人們對Internet、Intranet等的依賴性越來越大任何

3、一種網(wǎng)絡(luò)應(yīng)用和效勞的使用程度必將取決于所使用網(wǎng)絡(luò)的信息平安有無保障網(wǎng)絡(luò)平安已成為現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的最大障礙，也是急需解決的難題之一平安協(xié)議為網(wǎng)絡(luò)中的信息交換提供了強(qiáng)大的平安保護(hù)平安協(xié)議的含義在網(wǎng)絡(luò)協(xié)議中使用加密技術(shù)、認(rèn)證技術(shù)等密碼技術(shù)以保證信息交換平安的網(wǎng)絡(luò)協(xié)議具體地說就是建立在密碼體系上的一種互通協(xié)議，為需要平安的各方提供一系列的密鑰管理、身份認(rèn)證及信息完整性等措施以保證通信的平安完成平安協(xié)議的理解首先是協(xié)議標(biāo)準(zhǔn)程序語義、語法規(guī)那么雙方或多方數(shù)據(jù)交換平安協(xié)議是協(xié)議中與平安相關(guān)的局部同平安相關(guān)的協(xié)議平安協(xié)議的基石通信技術(shù)密碼技術(shù)l對稱密鑰算法l公開密鑰算法密碼技術(shù)的應(yīng)用l保密：機(jī)密性l認(rèn)證：

4、完整性和真實(shí)性相關(guān)問題l密鑰的分發(fā)和交換平安協(xié)議的種類根據(jù)功能分密鑰平安協(xié)議指參與協(xié)議的雙方或多方之間建立的通信中的會話密鑰認(rèn)證協(xié)議主要用來在信息交換過程中防止信息的假冒、篡改或否認(rèn)密鑰交換和認(rèn)證協(xié)議將密鑰技術(shù)與認(rèn)證技術(shù)相結(jié)合，同時(shí)完成信息的加密與認(rèn)證的功能平安協(xié)議 標(biāo)準(zhǔn)IPSecSSLTCP/IP協(xié)議棧協(xié)議棧的封裝過程網(wǎng)絡(luò)層平安傳輸層平安應(yīng)用層平安IPSecIPSecIPSECIP 平安協(xié)議。不是一個(gè)單獨(dú)的協(xié)議，而是一組開放協(xié)議的總稱，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)平安的一整套體系結(jié)構(gòu)，包括網(wǎng)絡(luò)平安協(xié)議AHESP密鑰管理協(xié)議IKE認(rèn)證和加密算法在IP層解決平安問題，涉及的功能：認(rèn)證、保密和秘

5、鑰管理IPSec工作組IETF：IP Security Protocol Working GrouplArchitecturelEncapsulating Security Payload(ESP)lAuthentication Header (AH)lEncryption AlgorithmlAuthentication AlgorithmlKey ManagementlDomain of Interpretation(DOI)IPSec框架體系結(jié)構(gòu)ESP協(xié)議AH協(xié)議加密算法認(rèn)證算法DOI密鑰管理IPSec總體結(jié)構(gòu)描述體系結(jié)構(gòu)：包括總體概念，平安需求，定義，以及定義IPSec技術(shù)的機(jī)制；ES

6、P： 使用ESP進(jìn)行加密的消息格式和一般性問題，以及可選的認(rèn)證；AH：使用認(rèn)證消息格式和一般性問題；加密算法：描述將各種不同加密算法用于ESP的文檔；認(rèn)證算法：描述將各種不同加密算法用于AH以及ESP認(rèn)證選項(xiàng)的文檔；密鑰管理：描述密鑰管理模式；DOI：其它相關(guān)文檔，批準(zhǔn)的加密和認(rèn)證算法標(biāo)識，以及運(yùn)行參數(shù)等；IPSec提供的效勞訪問控制數(shù)據(jù)完整性數(shù)據(jù)源鑒別重放攻擊保護(hù)數(shù)據(jù)保密性密鑰管理有限通信流保密性AHESP僅加密ESP加密、鑒別訪問控制YYY數(shù)據(jù)完整性YY數(shù)據(jù)源鑒別YY重放攻擊保護(hù)YYY數(shù)據(jù)機(jī)密性YY流量機(jī)密性YY協(xié)議效勞IPSec協(xié)議的實(shí)現(xiàn)OS集成IPSec集成在操作系統(tǒng)內(nèi)，作為IP層的一

7、局部具有較高的效率IPSec平安效勞與IP層的功能緊密集合在一塊嵌入到現(xiàn)有協(xié)議棧IPSec作為插件嵌入到鏈路層和IP層之間較高的靈活性效率受到影響ApplicaitonTCP/UDPIP+IPSecData LinkApplicaitonTCP/UDPIPIPSecData LinkIPSec的部署 - 1可配置和實(shí)施IPSec的端點(diǎn)包括主機(jī)、路由器、防火墻等在終端主機(jī)上部署IPSec提供端到端的平安保障，保護(hù)終端之間的IP分組可以支持逐個(gè)數(shù)據(jù)流的平安保障能夠支持IPSec定義的各種工作模式IPSec的部署 - 2在網(wǎng)絡(luò)節(jié)點(diǎn)路由器或防火墻上實(shí)施IPSec對通過公用網(wǎng)的子網(wǎng)間通信提供保護(hù)對內(nèi)部網(wǎng)

8、的用戶透明能同時(shí)實(shí)現(xiàn)對進(jìn)入專用網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證和授權(quán)缺點(diǎn)：網(wǎng)絡(luò)節(jié)點(diǎn)開銷大IPSec的工作模式在IPSec中，AH/ESP協(xié)議用于保護(hù)IP分組對IP分組的保護(hù)有兩種方式保護(hù)IP分組的凈荷高層協(xié)議的數(shù)據(jù)保護(hù)整個(gè)IP分組保護(hù)的方式由工作模式?jīng)Q定傳輸模式：保護(hù)IP的上層協(xié)議隧道模式：保護(hù)整個(gè)IP分組傳輸模式保護(hù)上層協(xié)議TCP/UDP的數(shù)據(jù)平安操作加密和認(rèn)證在通信終端上主機(jī)上進(jìn)行提供端到端的保護(hù)IPTCPPayload原始IP分組IPSec保護(hù)的IP分組IPIPSecTCPPayloadProtected隧道模式在不平安信道上，保護(hù)整個(gè)IP分組平安操作在網(wǎng)絡(luò)設(shè)備上完成平安網(wǎng)關(guān)、路由器、防火墻IPT

9、CPPayload原始IP分組IPSec保護(hù)的IP分組IPIPSecIPTCPPayloadProtected通信終端的IP地址隧道終端的IP地址平安關(guān)聯(lián)SASA：Security AssociationSA是IP認(rèn)證和保密機(jī)制中最關(guān)鍵的概念。是發(fā)送者和接收者兩個(gè)IPSec系統(tǒng)間一個(gè)簡單的單向邏輯連接，是一組與網(wǎng)絡(luò)連接相關(guān)聯(lián)的平安信息參數(shù)集合，用于實(shí)現(xiàn)平安策略；如果需要一個(gè)對等關(guān)系，即雙向平安交換，那么需要兩個(gè)SA。每個(gè)SA通過三個(gè)參數(shù)來標(biāo)識平安參數(shù)索引SPI (Security Parameters Index)目標(biāo)地址IP平安協(xié)議標(biāo)識：AH還是ESPSA的參數(shù) - 1Security Pa

10、rameters Index (SPI)：平安變量索引。分配給這個(gè)SA的一個(gè)位串并且只有本地有效。SPI在AH和ESP報(bào)頭中出現(xiàn)，以使得接收系統(tǒng)選擇SA并在其下處理一個(gè)收到的報(bào)文。IP目的地址：目前，只允許單點(diǎn)傳送地址；這是該SA的目標(biāo)終點(diǎn)的地址，它可以是一個(gè)最終用戶系統(tǒng)或一個(gè)網(wǎng)絡(luò)系統(tǒng)如防火墻或路由器。平安協(xié)議標(biāo)識符：說明是AH還是ESP的SASA的參數(shù) - 2序數(shù)計(jì)數(shù)器：一個(gè)32位值用于生成AH或ESP頭中的序數(shù)字段；計(jì)數(shù)器溢出位：一個(gè)標(biāo)志位說明該序數(shù)計(jì)數(shù)器是否溢出，如果是，將生成一個(gè)審計(jì)事件，并禁止本SA的進(jìn)一步的包傳送。防回放窗口：用于確定一個(gè)入站的AH或ESP包是否是一個(gè)回放AH信息：

11、認(rèn)證算法、密鑰、密鑰生存期、以及與AH一起使用的其它參數(shù)ESP信息：加密和認(rèn)證算法、密鑰、初始值、密鑰生存期、以及ESP一起使用的其它參數(shù)SA的生存期：一個(gè)時(shí)間間隔或字節(jié)記數(shù)，到時(shí)后一個(gè)SA必須用一個(gè)新的SA替換或終止，以及一個(gè)這些活動發(fā)生的指示。IPSec協(xié)議模式：隧道、運(yùn)輸、統(tǒng)配符。通路MTU：任何遵從的最大傳送單位和老化變量AH協(xié)議AH：Authentication Header為IP包提供數(shù)據(jù)完整性和鑒別功能利用MAC碼實(shí)現(xiàn)鑒別，雙方必須共享一個(gè)密鑰鑒別算法由SA指定鑒別的范圍：整個(gè)包兩種鑒別模式：l傳輸模式：不改變IP地址，插入一個(gè)AHl隧道模式：生成一個(gè)新的IP頭，把AH和原來的整

12、個(gè)IP包放到新IP包的載荷數(shù)據(jù)中AH提供的效勞數(shù)據(jù)源認(rèn)證： HMAC，需要共享密鑰無連接的完整性可選的抗重放攻擊效勞不提供保密性AH協(xié)議平安參數(shù)索引SPI：標(biāo)示與分組通信相關(guān)聯(lián)的SA序列號Sequence Number：單調(diào)遞增的序列號，用來抵抗重放攻擊鑒別數(shù)據(jù)Authentication Data：包含進(jìn)行數(shù)據(jù)源鑒別的數(shù)據(jù)MAC，又稱為ICVintegrity check valueNext HeaderPayload lengthReservedSPISequence numberAuthentication dataAH頭的長度下一個(gè)協(xié)議類型AH協(xié)議的鑒別鑒別數(shù)據(jù)ICV，用于數(shù)據(jù)源鑒別缺

13、?。?6bits的MAC算法：HMAC-MD5-96，HMAC-SHA-1-96, etcICV的生成方式IP分組頭中傳輸中保持不變的或者接受方可以預(yù)測的字段AH頭中除“鑒別數(shù)據(jù)以外的所有數(shù)據(jù)被AH保護(hù)的所有數(shù)據(jù)，如高層協(xié)議數(shù)據(jù)或被AH封裝的IP分組除此以外，所有數(shù)據(jù)在計(jì)算ICV時(shí)被清0AH協(xié)議的鑒別范圍 IPv4IPTCPPayloadIPAHTCPPayload原始分組New IPAHIPTCPPayload隧道模式傳輸模式除IP頭中的可變字段外，都被AH保護(hù)除new IP頭中的可變字段外，都被AH保護(hù)ESP協(xié)議ESP Encapsulating Security Payload提供更高級

14、別的平安保護(hù)訪問控制數(shù)據(jù)源鑒別數(shù)據(jù)完整性數(shù)據(jù)保密性重放保護(hù)有限的流量保密ESP支持的加密算法3DES、IDEA、RC5 支持的鑒別算法與AH相同ESP協(xié)議平安參數(shù)索引SPI：標(biāo)識與分組通信相關(guān)聯(lián)的SA序列號Sequence Number：單調(diào)遞增的序列號，用來抵抗重放攻擊凈荷數(shù)據(jù)：被加密保護(hù)填充與填充長度：被加密保護(hù)通過填充使得ESP協(xié)議段的長度為32bits的整數(shù)倍通過填充，隱藏了原始數(shù)據(jù)的長度，提供了有限的流量保密下一協(xié)議擴(kuò)展頭類型：被保護(hù)的數(shù)據(jù)的協(xié)議類型鑒別數(shù)據(jù)Authentication Data：包含進(jìn)行數(shù)據(jù)源鑒別的數(shù)據(jù)MAC，即ICVSPISNPayload(protected)P

15、adPad LengthNext headerAuthentication dataESP的平安保障 IPv4IPTCPPayloadIPESP-HTCPPayloadESP-TESP-AD原始分組New IPESP-HIPTCPPayloadESP-TESP-AD隧道模式傳輸模式鑒別保護(hù)鑒別保護(hù)加密保護(hù)加密保護(hù)IPSec的重放保護(hù)在每一個(gè)平安關(guān)聯(lián)都維護(hù)一個(gè)防重放的滑動窗口，大小64，向右側(cè)滑動每個(gè)IPSec分組都被分配一個(gè)序列號在接受方，滿足以下條件的分組才是合法的：分組通過鑒別分組序號是新的，未在滑動窗口中出現(xiàn)過分組序號落在滑動窗口內(nèi)或右側(cè)分組序號落在滑動窗口右側(cè)，窗口向右滑動通過這種機(jī)制

16、，重放攻擊的分組將被丟棄IPSec密鑰管理手工管理自動管理lPhoturisl簡單Internet密鑰管理協(xié)議SKIPlInternet密鑰交換協(xié)議IKEIPSec默認(rèn)的協(xié)議lIKEIKEAH & ESP平安關(guān)聯(lián)SA和會話密鑰建立以后的工作過程IKE用于雙向認(rèn)證、建立共享密鑰和會話關(guān)聯(lián)SA的協(xié)議包括三個(gè)局部IKEISAKMPDOISSLSSL簡介SSLSecure Socket Layer，平安套接層協(xié)議Netscape公司于1994年最先提出來的被設(shè)計(jì)成使用TCP來提供一種可靠的端到端的平安效勞，是一種基于會話的加密和認(rèn)證的協(xié)議在客戶和效勞器之間提供了一個(gè)平安的管道為了防止客戶/效勞

17、器應(yīng)用中的監(jiān)聽、篡改、消息偽造等，SSL提供了效勞器認(rèn)證和可選的客戶端認(rèn)證通過在兩個(gè)實(shí)體間建立一個(gè)共享的秘密，SSL提供保密性SSL工作在傳輸層TCP和應(yīng)用層之間SSL獨(dú)立于應(yīng)用層協(xié)議，高層協(xié)議可基于SSL進(jìn)行透明的傳輸SSL協(xié)議的協(xié)議層次SSL協(xié)議提供的主要效勞加密處理加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊?。痪S護(hù)數(shù)據(jù)的完整性確保數(shù)據(jù)在傳輸過程中不被改變。認(rèn)證效勞認(rèn)證用戶可選和效勞器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)可選和效勞器；SSL的兩個(gè)重要概念 - 1SSL會話session一個(gè)SSL會話指客戶與效勞器之間的聯(lián)系會話由SSL握手協(xié)議創(chuàng)立，定義了一套平安加密參數(shù)，為多個(gè)連接所共享握手協(xié)議的職責(zé)是協(xié)調(diào)客戶和

18、效勞器的狀態(tài)，使得雙方在不能精確地并行的情況下，也能工作一致會話狀態(tài)會話標(biāo)識Peer 證書：peer的x509證書壓縮方法密碼標(biāo)準(zhǔn)：加密算法；消息摘要算法；有關(guān)密碼的一些屬性主密鑰：客戶和效勞器共享的主密鑰恢復(fù)：用一個(gè)標(biāo)志位表示該會話是否可以初始化一個(gè)新的連接。SSL的兩個(gè)重要概念 - 2SSL連接connection)用于實(shí)現(xiàn)特定類型的效勞數(shù)據(jù)的平安傳輸SSL的連接是點(diǎn)對點(diǎn)的關(guān)系連接是暫時(shí)的，每一個(gè)連接和一個(gè)會話關(guān)聯(lián)一個(gè)SSL會話可包括多種平安連接連接狀態(tài)效勞器和客戶端隨機(jī)序列效勞器端寫摘要協(xié)議客戶端寫摘要協(xié)議效勞器端寫密鑰客戶端寫密鑰初始化向量序列號SSL平安連接的特性連接具有私有性在初始

19、化連接后，協(xié)商密鑰，基于對稱密碼體制對數(shù)據(jù)進(jìn)行加密如DES、RC4等對端實(shí)體鑒別可采用非對稱密碼體制或公開密鑰密碼體制如RSA、DSS連接是可靠的消息傳輸使用加密MAC算法進(jìn)行消息完整性檢查SSL平安協(xié)議記錄協(xié)議修改密碼規(guī)程協(xié)議告警協(xié)議握手協(xié)議SSL平安協(xié)議的組成lSSLSSL不是單個(gè)的協(xié)議，而是兩層協(xié)議不是單個(gè)的協(xié)議，而是兩層協(xié)議lSSLSSL記錄協(xié)議基于可靠的傳輸層協(xié)議，用來封裝高層協(xié)議記錄協(xié)議基于可靠的傳輸層協(xié)議，用來封裝高層協(xié)議l高層協(xié)議主要包括高層協(xié)議主要包括SSLSSL握手協(xié)議、修改密碼參數(shù)協(xié)議、報(bào)警協(xié)議、應(yīng)握手協(xié)議、修改密碼參數(shù)協(xié)議、報(bào)警協(xié)議、應(yīng)用數(shù)據(jù)協(xié)議如用數(shù)據(jù)協(xié)議如HTTPH

20、TTP等。等。SSL記錄協(xié)議層的功能為高層協(xié)議提供根本的平安效勞記錄層封裝各種高層協(xié)議 以任意大小的非空塊從高層接收尚未解釋的數(shù)據(jù)分塊將高層數(shù)據(jù)分割成SSL明文記錄壓縮和解壓所有記錄采用會話狀態(tài)中定義的壓縮算法進(jìn)行壓縮記錄的保護(hù)所有記錄通過會話狀態(tài)中定義的加密算法和MAC算法進(jìn)行保護(hù)SSL記錄協(xié)議的操作過程SSL記錄首部的組成主要類型：用來說明封裝的數(shù)據(jù)段的更高層的協(xié)議。已定義的內(nèi)容類型有：修改密碼規(guī)程協(xié)議、告警協(xié)議、握手協(xié)議和應(yīng)用數(shù)據(jù)；主要版本：指示使用SSL的主要版本號；次要版本：指示使用的次要版本號；壓縮長度：明文數(shù)據(jù)段以字節(jié)為單位的長度如果使用壓縮就是壓縮數(shù)據(jù)段。握手協(xié)議握手協(xié)議在SS

21、L記錄層之上，負(fù)責(zé)建立當(dāng)前會話狀態(tài)的參數(shù)客戶端和效勞器相互鑒別對方身份利用證書協(xié)商平安參數(shù)加密和MAC算法，加密密鑰等由一系列在客戶和效勞器間交換的消息組成每個(gè)消息由3個(gè)字段組成：消息類型、以字節(jié)為單位的消息長度以及這個(gè)消息有關(guān)的參數(shù)內(nèi)容握手協(xié)議定義的消息類型 - 1消息類型說明參數(shù)hello_request握手請求，服務(wù)器可在任何時(shí)候向客戶端發(fā)送該消息。若客戶端正在進(jìn)行握手過程就可忽略該消息。否則客戶端發(fā)送cleint_hello消息，啟動握手過程。無client_hello客戶啟動握手請求，該消息時(shí)當(dāng)客戶第一次連接服務(wù)器時(shí)向服務(wù)器發(fā)送的第一條消息。該消息中包括了客戶端支持的各種算法。若服務(wù)

22、器端不能支持，則本次會話可能失敗。版本、隨機(jī)數(shù)、會話ID、密文族、壓縮方法server_hello 其結(jié)構(gòu)與client_hello消息，該消息是服務(wù)器對客戶端client_hello消息的恢復(fù)。版本、隨機(jī)數(shù)、會話ID、密文族、壓縮方法server_certificate服務(wù)器提供的證書。如果客戶要求對服務(wù)器進(jìn)行認(rèn)證，則服務(wù)器在發(fā)送server_hello消息后，向客戶端發(fā)送該消息。證書的類型一般是X.509v3。X509v3證書鏈server_key_exchange 服務(wù)器密鑰交換。當(dāng)服務(wù)器不使用證書，或其證書中僅提供簽名而不提供密鑰時(shí)，需要使用本消息來交換密鑰。參數(shù)、簽名握手協(xié)議定義的消

23、息類型 - 2消息類型說明參數(shù)certificate_request用于服務(wù)器向客戶端要求一個(gè)客戶證書。類型、授權(quán)server_hello_done 該消息表明服務(wù)器端的握手請求報(bào)文已經(jīng)發(fā)送完畢，正在等待客戶端的響應(yīng)。客戶端在收到該消息時(shí)，將檢查服務(wù)器提供的證書及其他參數(shù)是否是有效、可以接受的。無client_certificate客戶端對服務(wù)器certificate_request消息的響應(yīng)，只有在服務(wù)器端要求客戶證書的時(shí)候使用。一般該消息是客戶端收到server_hello_done消息后所發(fā)送的第一條消息。若客戶端沒有合適的證書，則向服務(wù)器端發(fā)送no_certificate的告警消息（無

24、證書可能導(dǎo)致握手失?。509v3證書鏈client_key_exchange客戶密鑰交換。當(dāng)客戶不使用證書，或其證書中僅提供簽名而不提供密鑰時(shí)，需要使用本消息來交換密鑰。參數(shù)、簽名certificate_verify該消息用于向服務(wù)器提供對客戶證書的驗(yàn)證。簽名finished 該消息在“加密規(guī)約修改”（Change Cipher Spec）消息之后發(fā)送，以證實(shí)握手過程已經(jīng)成功完成。本消息發(fā)送后，發(fā)送方開始使用協(xié)商的新參數(shù)來執(zhí)行操作。該消息需要在兩個(gè)方向上傳送。散列值握手協(xié)議過程 - 1第一階段 平安能力的建立(1) 客戶 效勞器 ：client_hello(2) 效勞器 客戶 ：server

25、_hello第二階段 效勞器認(rèn)證和密鑰交換(3) 效勞器 客戶 ：server_certificate(4) 效勞器 客戶 ：server_key_exchange(5) 效勞器 客戶 ：certificate_request(6) 效勞器 客戶 ：server_hello_done握手協(xié)議過程 - 2第三階段 客戶認(rèn)證和密鑰交換(7) 客戶 效勞器 ：client_certificate(8) 客戶 效勞器 ：client_key_exchange(9) 客戶 效勞器 ：certificate_verify第四階段 結(jié)束階段(10) 客戶 效勞器 ：change_cipher_spec(11

26、) 客戶 效勞器 ：finished(12) 效勞器 客戶 ：change_cipher_spec(13) 效勞器 客戶 ：finished修改密碼規(guī)程協(xié)議位于SSL記錄協(xié)議之上僅定義了一個(gè)由單個(gè)字節(jié)“1構(gòu)成的消息報(bào)文該消息將改變連接所使用的加密規(guī)約用途：切換狀態(tài)把密碼參數(shù)設(shè)置為當(dāng)前狀態(tài)。在握手協(xié)議后，當(dāng)平安參數(shù)協(xié)商一致后，發(fā)送此消息，以通知接收方下面的記錄將受到剛達(dá)成的密碼標(biāo)準(zhǔn)和密鑰的保護(hù)告警協(xié)議一種通過SSL記錄協(xié)議進(jìn)行傳輸?shù)奶囟愋偷南⒅饕饔胠規(guī)定了告警的級別和告警的類型，在SSL協(xié)議執(zhí)行過程中通過告警協(xié)議來顯示信息交換過程中所發(fā)生的錯(cuò)誤組成：告警級別級別級別 告警名告警名稱稱含義含

27、義1警告表示一個(gè)一般警告信息.2致命錯(cuò)誤表示出現(xiàn)了致命的錯(cuò)誤,立即終止當(dāng)前連接,同一會話的其它連接還可繼續(xù),不會再產(chǎn)生其它新的連接.告警類型類型類型告警名稱告警名稱含義含義0Close_notify通知接受方，發(fā)送方在本連接中不再發(fā)送消息.10Unexpected_message收到不適當(dāng)?shù)南?20Bad_recode_mac接收到的記錄的MAC有錯(cuò)誤（致命錯(cuò)誤）.30Decompression_failure解壓縮失?。ㄖ旅e(cuò)誤）.40Handshake_failure發(fā)送方無法進(jìn)行的安全參數(shù)設(shè)置（致命錯(cuò)誤）.41No_certificate認(rèn)證中心沒有證書.42Bad_certificate證書已破壞.43Unsupported_certificate不支持接收的證書類型.44Certificate_revoked證書已經(jīng)撤銷.45Certificate_expired證書過期.46Certificate_unknown在產(chǎn)生證書時(shí)有不明問題.47Illegal_parameter握手過程某個(gè)字段超出范圍.SSL工作過程發(fā)送方的工作過程從上層接收要發(fā)送的數(shù)據(jù)對