告警协议

科技工作者之家  |   2020-11-17 18:14

告警协议,也称SSL警告协议、SSL告警协议、SSL报警协议,是用来为对等实体传递SSL的相关警告。告警协议报文由严重级别和警告代码两部分组成。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。记录协议的警报消息主要有错误、严重、致命三种。

定义告警协议是用来将SSL有关的告警消息传送给对方实体。和其他使用SSL的情况一样,告警报文按照当前状态说明被压缩和加密。该协议的每个报文由两个字节组成图。第一个字节的值是警告或致命的,用来传送报文的严重级别。如果级别是致命的,SSL立刻中止该连接。同一个会话的其他连接可以继续,但这个会话不能再建立新的连接了。 第二个字节包含了指出特定告警的代码。警报消息使用当前的安全状态发送。如果警报消息的类型是“致命”,则双方将结束安全链接。同时,其他使用安全会话的链接可以继续,但会话标识必须设成无效,以防用已经终止的安全对话建立新的安全连接。 当警报消息的类型为“严重”时,当前的安全链接结束,而其他使用安全会话的链接可以继续,会话标记也可以保存,用于建立新的安全连接。 告警信息的传送可以有当前连接状态(如压缩和加密)指定或采用无密码(如不进行压缩与加密)。WTLS 中的出错处理是基于警报消息的,当发现错误时,发现的一方发送包含出现错误的警报消息,进一步的处理依赖于出现错误的级别和类型。

SSL警告协议的种类SSL报警协议中严重级别分为Fatal和Waming为两种。其中,Fatal级报警即致命级报警,它要求通信双方都要采取紧急措施,并终止会话,如在数据传输过程中,若发现有错误的MAC,双方就需要立即中断会话,同时消除自己缓冲区相应的会话记录;而对Warning级报警即警告级报警的处理,通常是通信双方都只进行日志记录,它对通信过程不造成影响1。以下是一些警告信息:

(1)unexpected_message:接收了不合适的报文。

(2)bad_record_mac:收到了不正确的MAC。

(3)decompression_failure:解压缩函数收到不适当的输入。

(4)illegal_parameter:握手报文中的一个字段超出范围或与其他字段不兼容。

(5)certificate_revoked:证书已经被废弃。

(6)bad_certificate:收到的证书是错误的。

(7)certificate_expired:证书已经过期。

(8)handshake_failer:握手过程失败。

安全套接层协议安全套接层协议SSL是Netscape 提出的基于公钥密码机制的网络安全协议,用于在Web Client与Web Server 间建立一条安全通道,实现 Internet 上信息传送的保密性。它包括Server认证、Client 认证(可选)、SSL链路上的数据完整性和SSL链路上数据保密性。SSL 提供的面向连接的安全性作用,具有以下三个基本功能:连接秘密,在初始握手定义会话密钥后,用对称密码加密数据。连接认证,实体的身份能够用公钥密码进行认证。连接可靠,消息传输包括利用安全 Hash 函数产生的带密钥 MAC(Message Authentication Code :报文鉴别码)。SSL 不是单个协议,而是两层协议。底层为 Record Protocol (记录层协议),实现对数据的分块、加密解密、压缩与解压缩、完整性检查、封装各种高层协议。高层为握手层,它由三个并列的协议构成:Handshake Protocol (握手协议)、Change Cipher Spec Protocol (修改密码协议)、Alert Protocol (警报协议),主要用来产生会话状态的密码参数、当SSL客户方与服务器开始通信时协商协议版本、选择密码算法、进行身份认证,使用公开密钥技术产生共享密钥2。

本词条内容贡献者为:

王慧维 - 副研究员 - 西南大学