SSL3.0标准解析及对CSP的调用

来源：互联网发布：salk institute知乎编辑：程序博客网时间：2024/05/18 06:18

最近一直在忙活Mobile上的CSP，代码迁移完成后，在测试的过程中遇到了一些问题。

一个是由于GPRS网络不稳定，经常造成Connect失败，还有就是只含有交换密钥的数字证书无法登陆SSL服务器。

于是找来了SSLV3的标准文档来读，这个96年的纯文本的文档还是的非常的清晰与明确的。

Client Server

--------------------------------------------------------------------------------------------------------

<--------hellorequest(连接后由服务器试情况发起)

ClientHello -------->

携带版本、随机数，Session_ID ServerHello 携带版本、随机数，Session_ID 、密码套件信息等

密码套件信息等 Certificate# 服务器证书

ServerKeyExchange# 服务器公钥信息

#数据包至多存在一个，如服务器无需表明身份或无安全身份，则不发送

#如服务器没有证书，则使用公钥交换

CertificateRequest* 要求客户端证书

如需要验证客户端身份，则发送此数据包，连接模式为双端

网银等需要客户端证书等应用需要此数据包

<-------- ServerHelloDone 服务器Hello响应完成

Certificate/NO_Certificate

如果服务器要求客户端证书，而客户端存在发送

否则发送NO信息

ClientKeyExchange

如果双端使用公钥交换而不是证书交换，使用此消息

CertificateVerify*

如果客户端发送证书的话，则使用此消息发送一个该证书的签名

[ChangeCipherSpec]安全套件更新

Finished -------->

[ChangeCipherSpec]安全套件更新确认

<-------- Finished

----------------------------------------------------------------------------------------------------------

Application Data <-------> Application Data 开始数据传输阶段

约定主对称密钥

48字节 Pre_master_secret -------- > 根据HELLO中的随机数和Pre_master_secret产生master_secret

根据HELLO中的随机数

和Pre_master_secret产生master_secret

<---使用对称密钥加解密传输数据---->

----------------------------------------------------------------------------------------------------------

明确了SSL流程后，来确认浏览器中的协议栈调用CSP的时机：

首先是CSP初始化函数，研判在ClientHello之前，获得安全套件的所有相关信息

然后是HASH和签名函数，研判在CertificateVerify中调用

整个过程中涉及到10+的数据通讯，因此链路不稳的情况下，确实会造成连接中断。

对于使用客户端交换密钥CSP签名成功，连接却不能建立的问题，应该是CertificateVerify

发送的签名值无法被服务器验证，或服务器认为客户端证书无效的原因，具体的分析要看

服务器端的设置和双端匹配了。