SSL體系結(jié)構(gòu)與工作原理項目需求某公司需要配置安全的WWW服務(wù)器實現(xiàn)內(nèi)部網(wǎng)站訪問，使用CentOs7中默認(rèn)的apache系統(tǒng)搭建https網(wǎng)絡(luò)訪問，可以使用CentOs7系統(tǒng)搭建默認(rèn)的PKI/CA認(rèn)證中心，使用openssl軟件包進行證書的生成，包括CA證書和web服務(wù)器證書：項目實訓(xùn)環(huán)境環(huán)境說明：Server安裝CentOS7基礎(chǔ)設(shè)施服務(wù)器Client安裝CentOS7桌面環(huán)境Server、Client均已配置網(wǎng)絡(luò)和主機名Server已關(guān)閉防火墻一、SSL體系是什么SSL(SecureSocketsLayer安全套接層),及其繼任者傳輸層安全（TransportLayerSecurity，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進行加密。二、SSL的作用1）認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器；2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??；3）維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。三、SSL的作用領(lǐng)域

SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層：SSL記錄協(xié)議（SSLRecordProtocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議（SSLHandshakeProtocol）：它建立在SSL記錄協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始前，通訊雙方進行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。四、服務(wù)器類型1.Tomcat5.x2.Nginx3.IIS4.Apache2.x5.IBMHTTPSERVER6.0[1]

五、工作階段服務(wù)器認(rèn)證階段1）客戶端向服務(wù)器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接；2）服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息；3）客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；4）服務(wù)器回復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。五、工作階段用戶認(rèn)證階段在此之前，服務(wù)器已經(jīng)通過了客戶認(rèn)證，這一階段主要完成對客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。六、工作特性機密性：SSL協(xié)議使用密鑰加密通信數(shù)據(jù)。可靠性：服務(wù)器和客戶都會被認(rèn)證，客戶的認(rèn)證是可選的。完整性：SSL協(xié)議會對傳送的數(shù)據(jù)進行完整性檢查。七、SSL體系結(jié)構(gòu)SSL的體系結(jié)構(gòu)中包含兩個協(xié)議子層，其中底層是SSL紀(jì)錄協(xié)議層（SSLRecordProtocolLayer）；高層是SSL握手協(xié)議層（SSLHandShakeProtocolLayer）。SSL的協(xié)議棧如圖所示，其中陰影部分即SSL協(xié)議。[2]

七、SSL體系結(jié)構(gòu)SSL紀(jì)錄協(xié)議層的作用是為高層協(xié)議提供基本的安全服務(wù)。SSL紀(jì)錄協(xié)議針對HTTP協(xié)議進行了特別的設(shè)計，使得超文本的傳輸協(xié)議HTTP能夠在SSL運行。紀(jì)錄封裝各種高層協(xié)議，具體實施壓縮解壓縮、加密解密、計算和校驗MAC等與安全有關(guān)的操作。七、SSL體系結(jié)構(gòu)SSL握手協(xié)議層包括SSL握手協(xié)議（SSLHandShakeProtocol）、SSL密碼參數(shù)修改協(xié)議（SSLChangeCipherSpecProtocol）、應(yīng)用數(shù)據(jù)協(xié)議（ApplicationDataProtocol）和SSL告警協(xié)議（SSLAlertProtocol）。握手層的這些協(xié)議用于SSL管理信息的交換，允許應(yīng)用協(xié)議傳送數(shù)據(jù)之間相互驗證，協(xié)商加密算法和生成密鑰等。SSL握手協(xié)議的作用是協(xié)調(diào)客戶和服務(wù)器的狀態(tài)，使雙方能夠達到狀態(tài)的同步。八、SSL記錄協(xié)議（1）保密性：利用握手協(xié)議所定義的共享密鑰對SSL凈荷（Payload）加密。（2）完整性：利用握手協(xié)議所定義的共享的MAC密鑰來生成報文的鑒別碼（MAC）。SSL紀(jì)錄協(xié)議處理的最后一個步驟是附加一個SSL紀(jì)錄協(xié)議的頭，以便構(gòu)成一個SSL紀(jì)錄。SSL紀(jì)錄協(xié)議頭中包含了SSL紀(jì)錄協(xié)議的若干控制信息。（1）發(fā)送方的工作過程為：從上次接受要發(fā)送的數(shù)據(jù)（包括各種消息和數(shù)據(jù)）；對信息進行分段，分成若干紀(jì)錄；使用指定的壓縮算法進行數(shù)據(jù)壓縮（可選）；使用指定的MAC算法生成MAC；使用指定的加密算法進行數(shù)據(jù)加密；添加SSL紀(jì)錄協(xié)議的頭，發(fā)送數(shù)據(jù)。（2）接收方的