تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند المفاهيم الأساسية لبروتوكول طبقة مآخذ التوصيل الآمنة (SSL)، ويقدم نموذجا للمعاملات وميزة التقاط الحزم.
الوحدة الأساسية للبيانات في SSL هي سجل. يتكون كل سجل من رأس سجل مكون من خمسة بايت، متبوعا بالبيانات.
النوع | الإصدار | طول | ||
ت | VH | VL | LH | LL |
هناك أربعة أنواع من السجلات في SSL:
إصدار السجل عبارة عن قيمة 16 بت وتم تنسيقه بترتيب الشبكة.
ملاحظة: بالنسبة للإصدار 3 من SSL (SSLv3)، يكون الإصدار 0x0300. بالنسبة لإصدار أمان طبقة النقل 1 (TLSv1)، يكون الإصدار 0x0301. لا يدعم جهاز الأمان القابل للتكيف (ASA) من Cisco الإصدار 2 من SSL (SSLv2)، الذي يستخدم الإصدار 0x0002، أو أي إصدار من TLS أكبر من TLSv1.
طول السجل هو قيمة 16 بايت وتم تنسيقه بترتيب الشبكة.
من الناحية النظرية، هذا يعني أن السجل الواحد يمكن أن يصل طوله إلى 65،535 (2^16 -1) بايت. يشير TLSv1 RFC2246 إلى أن الحد الأقصى للطول هو 16383 (2^14 -1) بايت. من المعروف أن منتجات Microsoft (Microsoft Internet Explorer و Internet Information Services) تتجاوز هذه الحدود.
يصف هذا القسم الأنواع الأربعة من سجلات SSL.
تحتوي سجلات المصافحة على مجموعة من الرسائل التي يتم إستخدامها من أجل المصافحة. هذه هي الرسائل وقيمها:
في الحالة البسيطة، لا يتم تشفير سجلات المصافحة. ومع ذلك، يتم دائما تشفير سجل المصافحة الذي يحتوي على رسالة مكتملة، حيث إنه يحدث دائما بعد سجل "مواصفات تشفير التغيير" (CCS).
يتم إستخدام سجلات CCS للإشارة إلى تغيير في تشفير التشفير. بعد تسجيل CCS مباشرة، يتم تشفير جميع البيانات باستخدام التشفير الجديد. قد يتم تشفير سجلات CCS أو لا يتم تشفيرها؛ في اتصال بسيط بمصافحة واحدة، لا يتم تشفير سجل CCS.
يتم إستخدام سجلات التنبيه للإشارة إلى النظير إلى حدوث حالة. تعد بعض التنبيهات تحذيرات، في حين تكون التنبيهات الأخرى خطيرة وتتسبب في فشل الاتصال. قد يتم تشفير التنبيهات أو لا يتم، وقد تحدث أثناء مصافحة أو أثناء نقل البيانات. هناك نوعان من التنبيهات:
تحتوي هذه السجلات على بيانات التطبيق الفعلية. يتم نقل هذه الرسائل بواسطة طبقة السجل ويتم تجزئتها وضغطها وتشفيرها، استنادا إلى حالة الاتصال الحالية.
يصف هذا القسم عينة حركة بين العميل والخادم.
عند بدء اتصال عميل SSL والخادم، فإنهما يتفقان على إصدار بروتوكول وتحديد خوارزميات التشفير ومصادقة بعضهما البعض إختياريا واستخدام تقنيات تشفير المفتاح العام من أجل إنشاء أسرار مشتركة. يتم إجراء هذه العمليات في بروتوكول المصافحة. في الخلاصة، يرسل العميل رسالة Client Hello إلى الخادم، والتي يجب أن تستجيب برسالة Server Hello أو يحدث خطأ فادح ويفشل الاتصال. يتم إستخدام Client Hello و Server Hello لإنشاء إمكانيات تحسين الأمان بين العميل والخادم.
Client Hello
يرسل Client Hello هذه السمات إلى الخادم:
ملاحظة: عنوان IP للخادم في عمليات الالتقاط هو 10.0.0.2 وعنوان IP للعميل هو 10.0.0.1.
Server Hello
يرسل الخادم هذه السمات إلى العميل:
لطلبات إستئناف جلسة SSL:
تم تنفيذ Server Hello
يتم إرسال رسالة "مرحبا بك في الخادم" بواسطة الخادم للإشارة إلى نهاية رسالة "مرحبا بك في الخادم" والرسائل المقترنة. بعد إرسال هذه الرسالة، ينتظر الخادم إستجابة العميل. عند إستلام رسالة Server Hello Done، يتحقق العميل من أن الخادم قدم شهادة صالحة، إذا كان ذلك مطلوبا، ويتحقق من أن معلمات Server Hello مقبولة.
شهادة الخادم، تبادل مفتاح الخادم، وطلب الشهادة (إختياري)
شهادة العميل (إختيارية)
هذه هي الرسالة الأولى التي يرسلها العميل بعد أن يستلم رسالة "مرحبا بك في الخادم". يتم إرسال هذه الرسالة فقط إذا طلب الخادم شهادة. في حالة عدم توفر شهادة مناسبة، يرسل العميل تنبيه no_certificate بدلا من ذلك. هذا التنبيه هو تحذير فقط، ومع ذلك، قد يستجيب الخادم مع تنبيه فشل مصافحة هامة إذا كانت مصادقة العميل مطلوبة. يجب أن تتطابق شهادات DH الخاصة بالعميل مع معلمات DH المحددة للخادم.
تبادل مفتاح العميل
يعتمد محتوى هذه الرسالة على خوارزمية المفتاح العام المحددة بين رسائل Client Hello و Server Hello. يستخدم العميل إما مفتاح أساسي مشفر بواسطة خوارزمية Rivest-Shamir-Addleman (RSA) أو DH لاتفاقية المفتاح والمصادقة. عند إستخدام RSA لمصادقة الخادم وتبادل المفاتيح، يتم إنشاء pre_master_secret سعة 48 بايت بواسطة العميل، ويتم تشفيرها أسفل المفتاح العام للخادم، ويتم إرسالها إلى الخادم. يستخدم الخادم المفتاح الخاص لفك تشفير pre_master_secret. ثم يقوم كلا الطرفين بتحويل pre_master_secret إلى master_secret.
التحقق من الشهادة (إختياري)
إذا أرسل العميل شهادة ذات إمكانية توقيع، يتم إرسال رسالة "التحقق من صحة الشهادة" موقعة رقميا للتحقق من الشهادة بشكل صريح.
تغيير رسائل مواصفات التشفير
يتم إرسال رسالة "مواصفات تشفير التغيير" بواسطة العميل، ويقوم العميل بنسخ "مواصفات التشفير" المعلقة (الجديد) إلى "مواصفات التشفير" الحالية (تلك التي تم إستخدامها سابقا). يوجد بروتوكول مواصفات تشفير التغيير للإشارة إلى عمليات الانتقال في إستراتيجيات التشفير. يتكون البروتوكول من رسالة واحدة، يتم تشفيرها وضغطها بموجب مواصفات التشفير الحالية (غير المعلقة). يتم إرسال الرسالة بواسطة كل من العميل والخادم لإبلاغ الطرف المتلقي بأن السجلات التالية محمية بموجب أحدث مواصفات ومفاتيح التشفير التي تم التفاوض عليها. يؤدي إستلام هذه الرسالة إلى قيام المستلم بنسخ حالة القراءة المعلقة إلى الحالة الحالية المقروءة. يرسل العميل رسالة Change Cipher Spec بعد تبادل مفتاح المصافحة ورسائل Certificate Verify (إن وجدت)، ويقوم الخادم بإرسال واحدة بعد أن يقوم بمعالجة رسالة تبادل المفاتيح التي تلقاها من العميل بنجاح. عند إستئناف جلسة عمل سابقة، يتم إرسال رسالة "تغيير مواصفات التشفير" بعد رسائل Hello. في عمليات الالتقاط، يتم إرسال رسائل Client Exchange و Change Cipher و End كرسالة واحدة من العميل.
الرسائل المنتهية
يتم دائما إرسال الرسالة "منتهية" مباشرة بعد رسالة "مواصفات تشفير التغيير" للتحقق من نجاح عمليتي تبادل المفاتيح والمصادقة. الرسالة المنتهي هي هي أول حزمة محمية مع أحدث الخوارزميات والمفاتيح والأسرار التي تم التفاوض عليها. لا يتطلب الأمر أي إقرار بالرسالة المنتهي؛ يمكن للأطراف البدء في إرسال بيانات مشفرة بعد إرسال الرسالة المنتهي مباشرة. يجب أن يتحقق مستلمو الرسائل المنتهية من صحة المحتويات.