關注技術，關注生活

[出處：http://www.chinaitlab.com/www/news/article_show.asp?id=7319]

一 前言
　　
　　首先要澄清一下名字的混淆：
　　1 SSL(Secure Socket Layer)是netscape公司設計的主要用于web的安全傳輸協議。這種協議在WEB上獲得了廣泛的應用。
　　2 IETF(www.ietf.org)將SSL作了標準化，即RFC2246,并將其稱為TLS（Transport Layer Security），從技術上講，TLS1.0與SSL3.0的差別非常微小。由于本文中沒有涉及兩者間的細小差別，本文中這兩個名字等價。
　　3 在WAP的環境下，由于手機及手持設備的處理和存儲能力有限，wap論壇（www.wapforum.org）在TLS的基礎上做了...S協議（Wireless Transport Layer Security），以適應無線的特殊環境。
　　
　　我們從各式各樣的文章中得知，SSL可以用于保密的傳輸，這樣我們與web server之間傳輸的消息便是“安全的”。
　　而這種“安全”究竟是怎么實現的，最終有能實現多大程度的保密？本文希望能用通俗的語言闡明其實現原理。
　　
　　
二 整體結構概覽
　　
　　SSL是一個介于HTTP協議與TCP之間的一個可選層，其位置大致如下：
　　
　　－－－－－－－－－
　　| HTTP |
　　－－－－－－－－－
　　| SSL |
　　－－－－－－－－－
　　| TCP |
　　－－－－－－－－－
　　| IP |
　　－－－－－－－－－
　　
　　如果利用SSL協議來訪問網頁，其步驟如下：
　　用戶：在瀏覽器的地址欄里輸入https://www.sslserver.com
　　HTTP層：將用戶需求翻譯成HTTP請求，如
　　GET /index.htm HTTP/1.1
　　Host http://www.sslserver.com
　　
　　SSL層：借助下層協議的的信道安全的協商出一份加密密鑰，并用此密鑰來加密HTTP請求。
　　TCP層：與web server的443端口建立連接，傳遞SSL處理后的數據。
　　
　　接收端與此過程相反。
　　
　　SSL在TCP之上建立了一個加密通道，通過這一層的數據經過了加密，因此達到保密的效果。
　　
　　SSL協議分為兩部分：Handshake Protocol和Record Protocol,。其中Handshake Protocol用來協商密鑰，協議的大部分內容就是通信雙方如何利用它來安全的協商出一份密鑰。 Record Protocol則定義了傳輸的格式。
　　
　　
三 需要的加密方面的基礎知識

　　了解SSL原理需要一點點加密的概念，這里把需要的概念做一下簡單闡述：
　　
　　加密一般分為三類，對稱加密，非對稱加密及單向散列函數。
　　
　　對稱加密：又分分組密碼和序列密碼。
　　分組密碼是將明文按一定的位長分組，明文組經過加密運算得到密文組，密文組經過解密運算
　　（加密運算的逆運算），還原成明文組。
　　序列密碼是指利用少量的密鑰（制亂元素）通過某種復雜的運算（密碼算法）產生大量的偽隨機位流，用于對明文位流的加密。
　　解密是指用同樣的密鑰和密碼算法及與加密相同的偽隨機位流，用以還原明文位流。
　　
　　CBC(Cipher Block Chaining)模式這個詞在分組密碼中經常會用到，它是指一個明文分組在被加密之前要與前一個的密文分組進行異或運算。當加密算法用于此模式的時候除密鑰外，還需協商一個初始化向量（IV），這個IV沒有實際意義，只是在第一次計算的時候需要用到而已。采用這種模式的話安全性會有所提高。
　　
　　分組密碼的典型例子為DES,RC5,IDEA。
　　序列密碼的典型例子為RC4。
　　
　　公鑰加密：
　　簡單的說就是加密密鑰與解密密鑰不同，分私鑰和公鑰。這種方法大多用于密鑰交換，RSA便是一個我們熟知的例子。
　　還有一個常用的稱作DH，它只能用于密鑰交換，不能用來加密。
　　
　　單向散列函數：
　　由于信道本身的干擾和人為的破壞，接受到的信息可能與原來發出的信息不同，一個通用的辦法就是加入校驗碼。
　　單向散列函數便可用于此用途，一個典型的例子是我們熟知的MD5,它產生128位的摘要，在現實中用的更多的是安全散列算法（SHA），SHA的早期版本存在問題，目前用的實際是SHA－1，它可以產生160位的摘要，因此比128位散列更能有效抵抗窮舉攻擊。
　　
　　由于單向散列的算法都是公開的，所以其它人可以先改動原文，再生成另外一份摘要。解決這個問題的辦法可以通過HMAC（RFC 2104）,它包含了一個密鑰，只有擁有相同密鑰的人才能鑒別這個散列。
　　
　　
四 密鑰協商過程
　　
　　由于對稱加密的速度比較慢，所以它一般用于密鑰交換，雙方通過公鑰算法協商出一份密鑰，然后通過對稱加密來通信，當然，為了保證數據的完整性，在加密前要先經過HMAC的處理。
　　
　　
　　SSL缺省只進行server端的認證，客戶端的認證是可選的。以下是其流程圖（摘自TLS協議）。
　　
　　
　　Client Server
　　
　　Clienth*llo -------->
　　Serverh*llo
　　Certificate*
　　ServerKeyExchange*
　　CertificateRequest*
　　<-------- Serverh*lloDone
　　Certificate*
　　ClientKeyExchange
　　CertificateVerify*
　　[ChangeCipherSpec]
　　Finished -------->
　　[ChangeCipherSpec]
　　<-------- Finished
　　Application Data <-------> Application Data
　　
　　簡單的說便是：SSL客戶端（也是TCP的客戶端）在TCP鏈接建立之后，發出一個Clienth*llo來發起握手，這個消息里面包含了自己可實現的算法列表和其它一些需要的消息，SSL的服務器端會回應一個Serverh*llo，這里面確定了這次通信所需要的算法，然后發過去自己的證書（里面包含了身份和自己的公鑰）。Client在收到這個消息后會生成一個秘密消息，用SSL服務器的公鑰加密后傳過去，SSL服務器端用自己的私鑰解密后，會話密鑰協商成功，雙方可以用同一份會話密鑰來通信了。
　　
　　
五 密鑰協商的形象化比喻
　　
　　如果上面的說明不夠清晰，這里我們用個形象的比喻，我們假設A與B通信，A是SSL客戶端，B是SSL服務器端，加密后的消息放在方括號[]里，以突出明文消息的區別。雙方的處理動作的說明用圓括號（）括起。
　　
　　A：我想和你安全的通話，我這里的對稱加密算法有DES,RC5,密鑰交換算法有RSA和DH，摘要算法有MD5和SHA。
　　
　　B：我們用DES－RSA－SHA這對組合好了。
　　這是我的證書，里面有我的名字和公鑰，你拿去驗證一下我的身份（把證書發給A）。
　　目前沒有別的可說的了。
　　
　　A：（查看證書上B的名字是否無誤，并通過手頭早已有的CA的證書驗證了B的證書的真實性，如果其中一項有誤，發出警告并斷開連接，這一步保證了B的公鑰的真實性）
　　（產生一份秘密消息，這份秘密消息處理后將用作加密密鑰，加密初始化向量和hmac的密鑰。將這份秘密消息-協議中稱為per_master_secret-用B的公鑰加密，封裝成稱作ClientKeyExchange的消息。由于用了B的公鑰，保證了第三方無法竊聽）
　　我生成了一份秘密消息，并用你的公鑰加密了，給你（把ClientKeyExchange發給B）
　　注意，下面我就要用加密的辦法給你發消息了！
　　（將秘密消息進行處理，生成加密密鑰，加密初始化向量和hmac的密鑰）
　　[我說完了]
　　
　　B：（用自己的私鑰將ClientKeyExchange中的秘密消息解密出來，然后將秘密消息進行處理，生成加密密鑰，加密初始化向量和hmac的密鑰，這時雙方已經安全的協商出一套加密辦法了）
　　注意，我也要開始用加密的辦法給你發消息了！
　　[我說完了]
　　
　　A: [我的秘密是...]
　　
　　B: [其它人不會聽到的...]
　　
　　
六 加密的計算

　　上一步講了密鑰的協商，但是還沒有闡明是如何利用加密密鑰，加密初始化向量和hmac的密鑰來加密消息的。
　　其實其過程不過如此：
　　1 借助hmac的密鑰，對明文的消息做安全的摘要處理，然后和明文放到一起。
　　2 借助加密密鑰，加密初始化向量加密上面的消息。
　　
　　
七 安全性

　　SecurityPortal在2000年底有一份文章《The End of SSL and SSH?》激起了很多的討論，
　　目前也有一些成熟的工具如dsniff（http://www.monkey.org/~dugsong/dsniff/）可以
　　通過man in the middle攻擊來截獲https的消息。
　　
　　從上面的原理可知，SSL的結構是嚴謹的，問題一般出現在實際不嚴謹的應用中。常見的攻擊就是
　　middle in the middle攻擊，它是指在A和B通信的同時，有第三方C處于信道的中間，可以完全
　　聽到A與B通信的消息，并可攔截，替換和添加這些消息。
　　
　　1 SSL可以允許多種密鑰交換算法，而有些算法，如DH，沒有證書的概念，這樣A便無法驗證B的公鑰
　　和身份的真實性，從而C可以輕易的冒充，用自己的密鑰與雙方通信，從而竊聽到別人談話的內容。
　　而為了防止middle in the middle攻擊，應該采用有證書的密鑰交換算法。
　　2 有了證書以后，如果C用自己的證書替換掉原有的證書之后，A的瀏覽器會彈出一個警告框進行警告，但又有多少人會注意這個警告呢？
　　3 由于美國密碼出口的限制，IE，netscape等瀏覽器所支持的加密強度是很弱的，如果只采用瀏覽器自帶的加密功能的話，理論上存在被破解可能。
　　
　　
八 代理

　　下面探討一下SSL的代理是怎樣工作的(可參見[6])。這可能與你開始想的不太一樣：）
　　當在瀏覽器里設置了https的代理，而且在瀏覽器里輸入了https://www.example.com之后，
　　瀏覽器會與proxy建立tcp鏈接，然后向其發出這么一段消息：
　　CONNECT server.example.com:443 HTTP/1.1
　　Host: server.example.com:443
　　
　　然后proxy會向webserver端建立tcp連接,之后，這個代理便完全成了個內容轉發裝置。瀏覽器
　　與web server會建立一個安全通道，因此這個安全通道是端到端的，盡管所有的信息流過了proxy,
　　但其內容proxy是無法解密和改動的（當然要由證書的支持，否則這個地方便是個man in the middle攻擊的好場所，見上面的討論）。
　　
　　
九 關于證書
　　
　　注意，如果對于一般的應用，管理員只需生成“證書請求”（后綴大多為.csr），它包含你的名字和公鑰，然后把這份請求交給諸如verisign等有CA服務公司（當然，連同幾百美金），
　　你的證書請求經驗證后，CA用它的私鑰簽名，形成正式的證書發還給你。管理員再在web server上導入這個證書就行了。如果你不想花那筆錢，或者想了解一下原理，可以自己做CA。
　　從ca的角度講，你需要CA的私鑰和公鑰。從想要證書的服務器角度將，需要把服務器的證書請求交給CA.
　　
　　如果你要自己做CA，別忘了客戶端需要導入CA的證書（CA的證書是自簽名的，導入它意味著你“信任”這個CA簽署的證書）。
　　而商業CA的一般不用，因為它們已經內置在你的瀏覽器中了。
　　
　　
十 wtls
　　
　　在WAP的環境中，也有安全加密的需求，因此wapforum參照在WWW世界里最為流行的SSL協議設計了WTLS.從原理上說，這份協議與SSL是基本相同的，但在具體的地方作了許多改動。這些改動的大多沒有什么技術上的需要，而是由于考慮到手持設備運算與存儲的局限而盡量做了簡化。不過我的感覺是這些改動意義實在不大，其獲得的計算和存儲上節省出來的時間和空間并不多。在硬件速度突飛猛進的時代，這種改動能獲得的好處也許并不很多（一個新的協議便需要大量新的投入，而且與原有體制并不兼容，關于這點有文章[7]做了精彩闡述，可參看）。
　　
　　這里我簡單舉一些SSL與WTLS的差別。
　　
　　1 WTLS在一般udp這類不可靠信道之上工作，因此每個消息里要有序列號，協議里也要靠它來處理丟包，重復等情況。
　　此外，拒絕服務攻擊也因此變得更加容易。
　　2 WTLS建立的安全連接是在wap網關和手持設備之間，wap網關和web server之間如果也要保密，便要采再用SSL，即在這種模型中無法實現端到端的加密。
　　
　　---------- ------------- ---------
　　| Mobile |----------->| WAP |---------->| WEB |
　　| Device |<-----------| Gateway |<----------|Server |
　　| | WTLS | | SSL | |
　　---------- ------------- ---------
　　
　　3 WTLS協議里加了一種成為key_refresh的機制,當傳遞了一定數量數據包后，雙方通過同樣的算法將自己的密鑰做一下更新。付出了很小的代價，安全性得以增強。