加密[定稿]SSL协议与数字证书原理

SSL 与数字 原理SSL 与数字 原理 1楼SSL 的握手和通

了便于更好的 和理解SSL  里着重介 SSL 的握手 。SSL 既用到了公加密技又用到了称加密技 称加密技 然比公加密技的速度快 可是公加密技提供了更好的身份 技 S。SL的握手 非常有效的客和服器之完成相互之的身份 其主要

程如下

①客端的 器向服器送客端SSL 的版本号 加密算法的  生的随机数 以及其他服器和客端之通所需要的各信息。

②服器向客端送SSL 的版本号 加密算法的 随机数以及其他相信息 同服器将向客端送自己的 。

③ 客利用服器 来的信息 服器的合法性 服器的合法性包括 是否期 行服器 的CA是否可靠 行者 的公能否正确解服器 的“行者的数字名”  服器 上的域名是否和服器的 域名相匹配。如果合法性 没有通通将断 如果合法性 通将 行第四步。

④ 用端随机生一个用于后面通的“称密”  然后用服器的公 服器的公从步②中的服器的 中得 其加密 然后将加密后的“主密” 服器。

⑤如果服器要求客的身份 在握手程中可  用可以建立一个随机数然后其行数据名将随个含有名的数机 和客自己的 以及加密的“主密”一起 服器。

⑥如果服器要求客的身份  服器必 客 和名随机数的合法性具体的合法性 程包括客的 使用日期是否有效客提供 的CA是否可靠 行CA的公能否正确解客 的行CA的数字名 客的 是否在 止列表CRL 中 。 如果没有通通立刻中断如果 通 服器将用自己的私解加密的

“主密”  然后行一系列步来生主通密 客端也将通同的方法生相同的主通密 。

⑦服器和客端用相同的主密即“通密”  一个 称密用于SSL 的安全数据通的加解密通 。同在SSL通 程中要完成数据通的完整性 防止数据通中的任何化。

⑧客端向服器端出信息指明后面的数据通将使用的步⑦中的主密 称密 同通知服器客端的握手程束。

⑨服器向客端出信息指明后面的数据通将使用的步⑦中的主密 称密 同通知客端服器端的握手程束。

⑩SSL的握手部分束 SSL安全通道的数据通 始客和服

器始使用相同的称密 行数据通 同 行通完整性的 。

双向 SSL 的具体程

① 器送一个接求安全服器。

②服器将自己的  以及同 相的信息送客 器。

③客 器 服器送来的 是否是由自己信的CA中心所

的。如果是就 行 如果不是客 器就客一个警告消息警告客 个 不是可以信的 客是否需要 。

④接着客 器比 里的消息例如域名和公与服器送的相消息是否一致 如果是一致的客 器可个服器的合法身份。

⑤服器要求客 送客自己的 。收到后 服器 客的 如果没有通  拒 接如果通  服器得用的公 。

⑥客 器告服器自己所能支持的通 称密方案。

⑦服器从客 送来的密方案中 一加密程度最高的密方案 用客的公加密后通知 器。

⑧ 器 个密方案 一个通密接着用服器的公加密后送服器。

⑨服器接收到 器送来的消息 用自己的私解密 得通密 。

⑩服器、 器接下来的通都是用称密方案 称密是加密的。

上面所述的是双向 SSL 的具体通 程 情况要求服器和用双方都有 。向 SSL 不需要客 有CA 具体的程相于上面的步 只需将服器端 客 的程去掉 以及在商称密方案 称通密  服器送客的是没有加密的 并不影响SSL 程的安全性密方案。 双方具体的通内容就是加密的数据 如果有第三方攻 得的只是加密的数据 第三方要得有用的信息就需要加密的数据行解密 候的安全就依于密方案的安全。而幸运的是 目前所用的密方案 只要通密 度足

的就足的安全。也是我强要求使用128位加密通的原因 。各 部 分 的 含

Version 版本号 不同版本的 格式不同

Serial Number序列号 同一身份 机构 的 序列号唯一

Algorithm Identifier 名算法 包括必要的参数Issuer身份 机构的 信息

Period of Validity有效期

Subject 持有人的 信息

Subject’ s Public Key 持有人的公

Signature身份 机构 的名

的格式 中心所放的 均遵循X.509 V3 准其基本格式如下

版本号Certificate Format Version 含 用来指定 格式采用的X.509版本号。

序列号Certificate Serial Number 含 用来指定 的唯一序列号 以 CA 出的所有公 。

名 Signature 算法 Algorithm Identifier 含 用来指定CA 所用的名算法。

此 的CA名称Issuer  含 用来指定 的CA的X.500唯一名称DN Distinguished Name 。

有效期Validity Period 起始日期notBefore 止日期

notAfter 含 用来指定 起始日期和止日期。

用名称Subject 含 用来指定 用的X.500唯一名称

DN Distinguished Name 。

用公信息 Subject Public Key Information 算法algorithm算法 Algorithm Identifier 用公 subject Public Key含 用来 公使用的算法 并包含公本身。

充部分展域 Extensions 含 用来指定外信息。

X.509 V3 的充部分展域及 方法如下 CA的公

Authority Key Identifier 公 SET未使用 KeyIdentifier 者 的 者的甄名 Certificate Issuer 者

的序列号Certificate Serial Number

X.509 V3 的充部分展域及 CA的公 Authority

Key Identifier 公 SET未使用 Key Identifier

者 的 者的甄名 Certificat 者 的序列号Certificate SerialN含 CA 名 所用的密 的唯一 用的公 Subject KeyIdentifier 含 用来 与中公相的特定密 行解密。 中的公用途Key Usage 含 用来指定公用途。

用的私有效期Private Key Usage Period 起始日期NoteBefore 止日期Note After 含 用来指定用 名私的起始日期和止日期。 CA承的 政策列表Certificate Policies 含 用来指定用 所适用的政策 政策可由象 符表示。用的代用名 Substitutional Name 含 用来指定用的代用名 。CA的代用名 Issuer Alt Name 含 用来指定CA的代用名 。基本制

Basic Constraints 含 用来表明 用是最用 是CA 。在SET系中有一些私有充部分展域 Hashed Root Key含 只在根 中使用 用于 更新 行回溯。 型 CertificateType 含 用来区不同的体。 是必的。商数据MerchantData 含 包含支付网需要的所有商信息。持卡人 需求

Card Cert Required 含  示支付网是否支持与没有 的持卡人行交易。 SET 展SETExtensions 含 列出支付网支持的支付命令的SET信息展。CRL数据定版本Version 含 

示CRL的版本号。

CRL的 者Issuer 含 指明 CRL的CA的甄名 。CRL布 this Update 下一个CRL更新 Next Update 撤

信息目 Revoked Certificates CRL 展CRL

Extension CA的公 Authority Key Identifier CRL号

CRL Number