Tải bản đầy đủ
Khởi tạo phiên giao tiếp SSL có xác thực máy khách.

Khởi tạo phiên giao tiếp SSL có xác thực máy khách.

Tải bản đầy đủ

22

Bảng 2.2 Quá trình bắt tay SSL có xác thực máy khách
Bước Hành động
1
Máy khách gửi thông điệp ClientHello tới máy chủ đề xuất các tuỳ
2

chọn cho phiên SSL.
Máy chủ trả lời máy khách bằng thông điệp ServerHello đáp ứng các

3
4

tuỳ chọn cho phiên SSL.
Máy chủ gửi thông điệp Certificate để máy khách xác thực.
Máy chủ gửi tiếp thông điệp CertificateRequest để yêu cầu xác thực máy

5

khách
Máy chủ kết thúc phiên thương lượng của nó với thông điệp

6
7

ServerHelloDone gửi cho máy khách
Máy khách gửi thông điệp Certificate để máy chủ xác thực.
Máy khách gửi tiếp thông điệp CertificateVerify phục vụ cho việc xác

8

thực
Máy khách cung cấp thông tin để tạo khoá phiên qua thông điệp

9

ClientKeyExChange.
Máy khách gửi thông điệp ChangeCipherSpec để kích hoạt dịch vụ

10

bảo mật.
Máy khách gửi thông điệp Finished máy chủ kiểm tra tính toàn vẹn

11

của các thông điệp đã gửi.
Máy chủ gửi thông điệp ChangeCipherSpec để kích hoạt các dịch vụ

12

bảo mật.
Máy chủ gửi thông điệp Finished để máy khách kiểm tra tính toàn vẹn
của các thông điệp đã gửi.

23

Hình 2.2 Sơ đồ quá trình bắt tay SSL
Xác thực trong giao thức SSL.
Giao thức SSL sử dụng chứng chỉ số vào việc xác thực các bên tham gia
giao tiếp. Hai kiểu xác thực được hỗ trợ trong phiên bản SSL 3.0 là xác thực
máy chủ và xác thực máy khách.
Xác thực máy chủ
Máy khách thực hiện các bước sau để xác thực máy chủ:
- Kiểm tra thời hạn sử dụng của chứng chỉ số;
- Kiểm tra CA cung cấp chứng chỉ số có tin cậy hay không;
- Kiểm tra khoá công khai của CA có thích hợp với chữ ký điện tử của
người đưa ra không;
- Kiểm tra xem tên miền trong chứng chỉ số máy chủ có tương ứng và
tên miền của máy chủ hay không.

24

Hình 2.3 Sơ đồ xác thực Server
Xác thực máy khách
Máy chủ thực hiện các bước sau đây để xác thực máy khách:
- Kiểm tra xem khoá công khai trong chứng chỉ số của máy khách có phù
hợp với chữ ký điện tử được ký bởi máy khách hay không;
- Kiểm tra xem chứng chỉ số đã hết thời hạn sử dụng chưa;
- Kiểm tra CA cung cấp chứng chỉ số có tin cậy hay không;
- Kiểm tra khoá công khai của CA có thích hợp với chữ ký điện tử của
người đưa ra không;
- Kiểm tra xem chứng chỉ số của người dùng có nằm trong danh sách
LDAP cho người dùng hay không.
Giao thức bản ghi SSL
Giao thức bản ghi SSL tiếp nhận các thông điệp từ các tầng trên, phân
đoạn dữ liệu, nén dữ liệu nếu nó được hỗ trợ, bổ sung MAC, mã hoá dữ liệu,

25

đóng rồi chuyển xuống tầng dưới. Tại nơi nhận, dữ liệu được xử lý ngược lại,
nó được giải mã, kiểm tra tính toàn vẹn dữ liệu, giải nén, ghép đoạn và
chuyển dữ liệu nên tầng trên. Quá trình trên được mô tả trong hình vẽ.

Hình 2.4 Hoạt động giao thức bản ghi SSL
Khuôn dạng thông điệp của giao thức bản ghi SSL gồm hai phần: phần
tiêu đề và phần nội dung. Phần tiêu đề gồm các trường Content type,
Version, Length. Phần nội dung là toàn bộ thông điệp của giao thức tầng trên
được đóng gói.
Bảo vệ thông điệp bản ghi SSL.
Sau khi phân đoạn tại tầng bản ghi dữ liệu được bổ sung mã xác thực
MAC và mã hoá trước khi gửi nên đường truyền.
Tính toán mã xác thực thông điệp (MAC)
SSL hỗ trợ hai thuật toán tính toán mã xác thực thông điệp đó là MD5 và
SHA. Giá trị băm sau khi tính toán đều được bổ sung vào dữ liệu ban đầu, giá
trị độ dài của một bản ghi SSL bao gồm cả độ dài dữ liệu lẫn độ dài MAC.