传输层安全(TLS)

本章对传输层安全(TLS)[RFC2246]进行简单介绍。

18.1介绍

TLS为因特网应用提供传输层安全，它对两个端点之间的连接提供机密性和数据完整性。TLS工作于可靠的传输层之上，如TCP,其本身可分成TLS记录协议和TLS握手协议两层。

TLS的优点之一就是应用可以透明地使用它，来实现彼此间安全的通信。TLS的另一个优点是它对于应用来说是可见的，这就使在TLS会话建立阶段，应用可以得知所协商的密码组和认证证书；而在IP安全(IPsec)中，安全策略对于各个应用来说通常是不可见的，这就难以评估是否具备足够的安全。

TLS允许协商各种密码组，允许使用压缩，并且允许一个TLS会话跨越多个连接。这样就避免了为应用之间每个新建的并行连接进行昂贵的TLS握手而导致的开销。它还可以恢复一个会话，其含义就是如果在客户端和服务器的会话缓存里存在以前协商过的会话，它们就可以约定使用这个会话而不必再进行整个TLS握手。

18.2  TLS 记录协议

TLS记录协议位于可靠的面向连接的传输层(如TCP)之上。记录协议用对称密钥加密来提供数据机密性，用加密的消息认证校验(MAC)来提供数据完整性。基于TLS握手期间协定的安全参数，TLS为每个会话产生惟一的密钥。记录协议还用来封装各种上层协议特别是TLS握手协议，在这种情况下，它可以在没有加密或消息认证的情况下使用。封装在记录协议里的其他协议有警告协议(AlertProtocol)和密码规范变更协议(ChangeCipherSpecProtocol)。

TLS记录协议的基本操作如下：

• 读取要发送的消息。

• 将消息分段成可管理的数据块。

• 如果要求并能够压缩，则进行数据压缩。

• 计算MAC。

• 加密数据。

• 将得到的数据发送给对端。

在TLS连接的对端，接收者按照相反顺序重复发送者的基本操作：

• 读取从对端收到的数据。

• 对数据进行解密。

• 验证MACo

• 如果要求并能够压缩，则对数据解压缩。

• 将消息分段重新组装。

• 将消息传递给上层协议。

18.3TLS握手协议

TLS握手协议位于TLS记录协议之上。握手协议用来在应用开始彼此通信之前，对客户端和服务器进行认证、交换加密密钥，并协商所用的加密和数据完整性算法。图18-1给出了实际握手消息的流程。首先，客户端和服务器交换一条Hello消息。客户端发送一个ClientHello消息，接着服务器发送一条ServerHello4消息。这两个消息建立起TLS协议版本、压缩机制、用到的密码组，还可能有TLS会话ID。另外，还交换了随后在握手中都会用到的随机的当前客户端和随机的当前服务器。

接着，服务器可能会跟着ServerHello消息发送任何消息。根据选择的密码组，客户端可能发送它的证书来进行认证。另外根据选择的密码组，服务器可能也发送一个密钥交换消息(例如如果服务器证书仅用于签名)和一个证书请求消息给客户端。为了标志ServerHello和Hello消息交换的结束，服务器会发送一个ServerHelloDone消息。

接下来，如果需要的话，客户端会把它的证书发给服务器。在任何情况下，客户端都会紧接着发送一条密钥交换消息，来设定客户端和服务器之间的主密钥前身(pre-mastersecret)。主密钥前身与前面交换的随机的当前值一起，用来产生会话的主密钥(mastersecret)。客户端还可以选择发送一条CertificateVerify消息，来明确地验证服务器所要求的证书。

然后，客户端和服务器都发送一条ChangeCipherSpec消息，使新协商的加密规范生效。换句话说，通告握手过程，记录层得到了必要的安全参数。在两个方向上，使用新的算法和密钥的第一条消息都是Finished消息，它包含一个所有握手消息的摘要。。双方对Finished消息进行检查，以验证握手过程没有遭到篡改。

©是指对握手消息应用单向hash函数的结果。

图18-1TLS握手

正像前面提到的那样，TLS会话可以恢复。要做到这点，需要客户端在它的ClientHello消息里包含欲恢复的TLS会话的会话ID。如果服务器愿意恢复该会话并且能够在它的会话缓存里找到匹配的会话ID,则可省去握手过程，这样在ServerHello消息之后就紧跟着ChangeCipherSpec和Finished消息。

18.4小结

TLS协议给因特网应用提供了传输层安全，使用对称密钥加密提供了机密性,使用加密的MAC提供了数据完整性，它还包括使用公共密钥加密来对客户端和服务器进行认证的功能。