SSL协议简介

什么是SSL协议？
SSL协议是一种 安全套接层协议，它可以在TCP协议的基础上提供 数据的加密、身份验证和完整性保护。SSL协议主要由两部分组成： 握手协议和记录协议。握手协议负责建立安全连接，交换公钥和证书，商定对称密钥等；记录协议负责使用对称密钥对数据进行加密和解密，以及检测数据的完整性。SSL协议常用于Web浏览器和Web服务器之间的通信，例如HTTPS。（HTTPS是一种安全的HTTP通道，它在HTTP的基础上通过SSL层提供了数据的加密、身份认证和完整性保护）

只有IPSec协议没有SSL协议能保证安全吗？
不一定。IPSec协议和SSL协议都能提供数据的机密性、完整性和认证性，但是它们的实现方式和适用范围不同。IPSec协议是在网络层工作的，它通过保护IP数据报能保护所有通过IP协议传输的数据，但是它也需要更多的配置和管理工作。SSL协议是在应用层工作的，它只能保护基于HTTP或HTTPS等应用层协议的数据，但是它也更容易使用和控制。根据不同的场景和需求，可能有时候只有IPSec协议就足够了，有时候只有SSL协议就可以了，有时候两者都需要。

注意：SSL协议是一个中间层协议，介于传输层和应用层之间。

SSL协议的体系结构

SSL协议是一个分层协议，又记录层和握手层两层组成。

示意图：

SSL握手协议

SSL握手协议是一种用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等的子协议。

SSL握手协议的作用是协调客户和服务器的状态，使双方能够达到状态的同步。

SSL修改密码规范协议

SSL修改密码规范协议是一种用于在加密传输中每隔一段时间必须改变其加解密参数的子协议。

SSL修改密码规范协议的作用是为了保障SSL传输过程的安全性，防止密钥被破解或重放。

SSL告警协议

SSL告警协议是用来将SSL有关的告警消息传送给对方实体的。如果在通信过程中某一方发现任何异常，就需要给对方发送一条警示消息通告。SSL告警协议报文由严重级别和警告代码两部分组成。严重级别表示报文的紧急程度，有警告和致命两种。警告代码表示具体的错误类型，如证书过期、解密失败等。

SSL记录协议

SSL记录协议是通过将数据流分割成一系列的片段并加以传输来工作的，其中的每个片段都单独进行保护和传输。SSL记录协议为每一个SSL连接提供机密性和消息完整性两种服务。机密性是通过对数据片段进行加密来实现的，消息完整性是通过对数据片段添加消息认证码来实现的。SSL记录协议可以支持多种压缩算法和加密算法，具体的选择由握手协议决定。

简单来说，握手协议是传输前用来协商连接的，修改密码规范协议是用来改变密码规范保障安全的，告警协议是发生错误后提醒对方的，记录协议是给数据提供保护的，联想一下分组加密

安全实现

实现了保密性，身份认证性，完整性

SSL协议的工作流程

1. 握手阶段

客户端向服务器发送一个开始信息“Hello”，包含客户端支持的SSL版本号、加密算法种类、随机数等信息。
服务器根据客户端的信息，选择一个合适的SSL版本号和加密算法，并发送一个响应信息“Hello”，包含服务器的证书、随机数等信息。
客户端验证服务器的证书，如果有效，就用证书中的公钥加密一个新生成的随机数，并发送给服务器。
服务器用私钥解密收到的随机数，并用它和之前收发的随机数生成一个会话密钥。
双方发送“Finished”消息，表示握手阶段结束。

1. 数据传输阶段

数据传输阶段是双方用会话密钥对数据进行加密和解密的过程

客户端用会话密钥对应用层数据进行对称加密，并添加一个MAC（消息认证码）和一个SSL头部，然后发送给服务器
服务器收到数据后，用会话密钥进行解密，并验证MAC是否正确，如果正确，就将数据传递给应用层；否则，就发送一个警告消息或终止连接
服务器也可以用同样的方式向客户端发送加密数据