SSL 协议详解
安全套接字（Secure Socket Layer，SSL）协议是Web浏览器与Web服务器之间安全交换信息的协议，提供两个基本的安全服务：鉴别与保密。

SSL是Netscape于1994年开发的，后来成为了世界上最著名的web安全机制，所有主要的浏览器都支持SSL协议。
　　
目前有三个版本：2、3、3.1，最常用的是第3版，是1995年发布的。

SSL协议的三个特性

• 保密：在握手协议中定义了会话密钥后，所有的消息都被加密。
• 鉴别：可选的客户端认证，和强制的服务器端认证。
• 完整性：传送的消息包括消息完整性检查（使用MAC）。
  
  SSL介于应用层和TCP层之间。应用层数据不再直接传递给传输层，而是传递给SSL层，SSL层对从应用层收到的数据进行加密，并增加自己的SSL头。SSL 包括的工作原理有，握手协议，记录协议，报警协议。

握手协议

握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议，握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥，用来保护在SSL记录中发送的数据。握手协议是在应用程序的数据传输之前使用的。

每个握手协议包含以下3个字段

• Type：表示10种消息类型之一
• Length：表示消息长度字节数
• Content：与消息相关的参数
  

比如我们在发送已加密的 HTTP 报文之前,客户端和服务器要进行一次 SSL 握手,在这个握手过程中,它们要完成以下工作:

• 交换协议版本号;
• 选择一个两端都了解的密码;
• 对两端的身份进行认证;
• 生成临时的会话密钥,以便加密信道。

我这里引述阮一峰在博客中举得alice and Bob 的例子。

1. 第一步，爱丽丝给出协议版本号、一个客户端生成的随机数（Client random），以及客户端支持的加密方法。
2. 第二步，鲍勃确认双方使用的加密方法，并给出数字证书、以及一个服务器生成的随机数（Server random）。
3. 第三步，爱丽丝确认数字证书有效，然后生成一个新的随机数（Premaster secret），并使用数字证书中的公钥，加密这个随机数，发给鲍勃。
4. 第四步，鲍勃使用自己的私钥，获取爱丽丝发来的随机数（即Premaster secret）。
5. 第五步，爱丽丝和鲍勃根据约定的加密方法，使用前面的三个随机数，生成”对话密钥”（session key），用来加密接下来的整个对话过程。

下面再进一步详解每一部分：

第一和第二步，建立安全能力

SSL握手的第一阶段启动逻辑连接，建立这个连接的安全能力。首先客户机向服务器发出client hello消息并等待服务器响应，随后服务器向客户机返回server hello消息，对client hello消息中的信息进行确认。
Client hello消息包括Version，Random，Session id，Cipher suite，Compression method等信息。

ClientHello 客户发送CilentHello信息，包含如下内容：

• 客户端可以支持的SSL最高版本号
• 一个用于生成主秘密的32字节的随机数。
• 一个确定会话的会话ID。
• 一个客户端可以支持的密码套件列表。
• 一个客户端可以支持的压缩算法列表。

密码套件格式：每个套件都以“SSL”开头，紧跟着的是密钥交换算法。用“With”这个词把密钥交换算法、加密算法、散列算法分开，例如：SSL_DHE_RSA_WITH_DES_CBC_SHA, 表示把DHE_RSA(带有RSA数字签名的暂时Diffie-HellMan)定义为密钥交换算法；把DES_CBC定义为加密算法；把SHA定义为散列算法。

而ServerHello服务器用ServerHello信息应答客户，包括下列内容

• 一个SSL版本号。取客户端支持的最高版本号和服务端支持的最高版本号中的较低者。
• 一个用于生成主秘密的32字节的随机数。（客户端一个、服务端一个）
• 会话ID
• 从客户端的密码套件列表中选择的一个密码套件
• 从客户端的压缩方法的列表中选择的压缩方法

这个阶段之后，客户端服务端知道了下列内容：

• SSL版本
• 密钥交换、信息验证和加密算法
• 压缩方法
• 有关密钥生成的两个随机数。

第二阶段，服务器鉴别与密钥的交换

服务器启动SSL握手第2阶段，是本阶段所有消息的唯一发送方，客户机是所有消息的唯一接收方。该阶段分为4步：

• 证书：服务器将数字证书和到根CA(Certification Authority)整个链发给客户端，使客户端能用服务器证书中的服务器公钥认证服务器。
• 服务器密钥交换（可选）：这里视密钥交换算法而定
• 证书请求：服务端可能会要求客户自身进行验证。
• 服务器握手完成：第二阶段的结束，第三阶段开始的信号

这一步在刚才的例子中被合并在第二步里。其重点在于服务端的验证和密钥的交换。在SSL 中密钥交换算法有6种：无效（没有密钥交换）、RSA、匿名Diffie-Hellman、暂时Diffie-Hellman、固定Diffie-Hellman、Fortezza。

在阶段一那里，双方已经协商确定使用哪种算法。而且CA 证书里包含了公钥。

比如我们协商使用了RSA 交换密钥，那么过程是这样的：
这个方法中，服务器在它的第一个信息中，发送了RSA加密/解密公钥证书。不过，因为预备主秘密是由客户端在下一个阶段生成并发送的，所以第二个信息是空的。注意，公钥证书会进行从服务器到客户端的验证。当服务器收到预备主秘密时，它使用私钥进行解密。服务端拥有私钥是一个证据，可以证明服务器是一个它在第一个信息发送的公钥证书中要求的实体。

第三阶段，客户机鉴别与密钥交换

在这一阶段，主要是我们的客户机启动，发送消息，服务器是唯一的接收方。分为三个阶段：

• 证书（可选）：为了对服务器证明自身，客户要发送一个证书信息，这是可选的，在IIS中可以配置强制客户端证书认证。
• 客户机密钥交换（Pre-master-secret）：这里客户端将预备主密钥发送给服务端，注意这里会使用服务端的公钥进行加密。
• 证书验证（可选），对预备秘密和随机数进行签名，证明拥有（a）证书的公钥。

这里的重点就是，我们的客户端把自己的公钥发给服务端，方便服务端用公钥加密，然后通过服务端之间发过来的证书里的公钥，加密自己的随机数和预备秘密，又保证了秘密的私密性，又证明了它拥有证书的公钥。

第四阶段

刚才服务端收到了用公钥加密的第三个随机数，这时服务端和客户端就可以使用三个随机数生成本次的会话密钥，双方通过计算得到本次使用的会话密钥。然后互相发送：

• 编码改变通知，表示随后的信息都将用双方商定的加密方法和密钥发送。
• 握手结束通知，表示握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值，用来供互相校验。

而这三个随机数要获得总共六个加密秘密：四个密钥（客户公钥私钥 和服务器公钥私钥），两个IV（initialization vector 初始向量，与区块加密模式有关）。加密过程如下图：

首先利用之前发送的预备主秘密，双方发送的随机数等组合散列并获得MD5值，得到一个主秘密。再对主秘密进行处理，得到一串散列值，这个散列值可以拆分成四个密钥和两个IV。

记录协议

刚才讲的只是在完成了握手协议，下面在握手成功后，双方如何互传信息呢。就需要使用记录协议。记录协议提供了两个服务：

• 保密性，使用握手协议定义的秘密密钥实现
• 完整性，握手协议定义了MAC， 用于保证信息完整性

整个记录协议的过程如下：

警报协议

当客户和服务器发现出现错误的时候，就需要处理这个错误。于是，就向对方发送一个警报信息。如果是致命错误，那么就会立即关闭SSL 连接，而且双方还会删除相关的会话号，秘密和密钥。这就是警报协议，每个警报的信息共有两个字节，第一个字节表示错误类型，如果是警报，置1，如果是致命错误，置2.第二个字节指定实际的错误类型。

相关扩展：

DH加密方法

OpenSSL