SSL的三次握手协议数据包剖析
摘要:随着电子商务的发展,网络信息安全变的越发重要,SSL协议就是为了保证端到端的信息安全传递而提出的,该协议基于是公开密钥技术,保证了通信的保密性和真实性。
通过wireshark软件捕获SSL 三次握手协议数据包分析,深入了解三次握手过程。
关键词:SSL wireshark软件三次握手
SSL(Secure Sockets Layer)安全套接层协议由Netscape公司设计开发,SSL安全协议是对Internet上计算机之间对话进行加密的协议,相当于在消费者和商家之间建立一条保密通道以传递金融信息,SSL 安全协议同时使用公共密钥和私有密钥加密技术。
1 SSL的握手过程分析
SSL协议在握手阶段协商加密算法,验证服务器并建立用于数据加密和MAC的密钥。
通过wireshark软件捕获淘宝网的电子交易数据,并通过wireshark软件中的过滤器工具栏过滤出SSL协议的相关数据,过滤结果如(图1)所示。
从过滤的结果中可以看出,得到了需要的SSL通信数据。
SSL的握手过程是由180号数据包、184号数据包、185号数据包和188号数据包构成。
1.1 180号数据包(Client Hello)
该数据包是客户机发给服务器第一个数据包,用来发起SSL连接。
Handshake Protocol展开可以看到Client Hello包含7个字段,分别为:Handshake Type(握手报文类型)字段、Length(握手报文长度)字段、Handshake Type(握手报文类型)字段、Version(版本)字段、Random(随机数)字段、Cipher Suites(密码套件)字段、Compression Methods(压缩方法)字段、Extensions(扩展)字段。
1.2 184号“Server hello”包
184号包是服务器对客户机的响应,若客户端同意握手就返回“Server Hello”消息,否则返回握手失败报警消息。
该数据包由Server Hello、Certificate、Server Hello Done三部分内容组成,因此这是一个多握手消息数据包。
1.3 185号“Client Key Exchange,Change Cipher Spec,Encrypted Handshake Message”包
该包是由客户机发至服务器的,长为380个字节。
185号包由握手协议的Client Key Exchange(客户密钥交换报文)、Encrypted Handshake Message(加密握手报文)以及更改密码参数协议的Change Cipher Spec(改变密码参数报文)构成。
Client Key Exchange(客户密钥交换报文)完成了客户机与服务器交换Pre-master Secret(预置主秘密),它的长度为258字节。
Pre-master Secret(预置主秘密)的用途是:将它的两个Hash函数SHA-1和MD5来产生一个48字节的主秘密。
再利用“主
秘密”的两个Hash函数来产生SSL通信所需要的6个密钥和初始矢量。
Change Cipher Spec(改变密码参数报文)是客户端发送的,长度为1字节,用于修改密文的参数。
Encrypted Handshake Message(加密握手报文)是客户机使用服务器的公钥加密后的握手报文,它的长度是48字节,服务器收到该报文后使用自己的私有密钥进行解密。
1.4 188号“Change Cipher Spec,Encrypted Handshake Message”包
这是服务器发送给客户机的数据包,由Change Cipher Spec(改变密码参数报文)和Encrypted Handshake Message(加密的握手报文)构成。
长度为1字节的Change Cipher Spec(改变密码参数)报文,用来通知客户端启用新建立的参数和密码秘密。
该报文用服务器的私钥加密后传给客户机,客户机收到后用服务器的公钥解密。
服务器发送的该报文中还包含了一个长度为48字节的Encrypted Handshake Message(加密的握手报文),它用服务器自己的私钥加密。
至此客户机与服务器之间的握手进程结束,一个安全的SSL传输通道建立完成。
2 结语
SSL协议是现在最流行的网络安全协议之一,它保护了通信双方的安全[3]。
本文通过对捕获的SSL数据进行了分析,通过剖析数据包深入了解SSL的三次握手过程,从总体上来看SSL协议是一个全面而又完善的安全协议。
参考文献
[1] 雷震甲.网络工程师教程[M].清华大学出版社,2010.
[2] Jazib Frahim,Qiang Huang.SSL Remote Access VPNS[M].北京:人民邮电出版社,2009.
[3] 刘强.基于SSL协议的网络安全系统研究与设计[D].山东大学硕士学位论文,2009.。