告警协议

告警协议，也称SSL警告协议、SSL告警协议、SSL报警协议，是用来为对等实体传递SSL的相关警告。告警协议报文由严重级别和警告代码两部分组成。如果在通信过程中某一方发现任何异常，就需要给对方发送一条警示消息通告。记录协议的警报消息主要有错误、严重、致命三种。

定义告警协议是用来将SSL有关的告警消息传送给对方实体。和其他使用SSL的情况一样，告警报文按照当前状态说明被压缩和加密。该协议的每个报文由两个字节组成图。第一个字节的值是警告或致命的，用来传送报文的严重级别。如果级别是致命的，SSL立刻中止该连接。同一个会话的其他连接可以继续，但这个会话不能再建立新的连接了。 第二个字节包含了指出特定告警的代码。警报消息使用当前的安全状态发送。如果警报消息的类型是“致命”，则双方将结束安全链接。同时，其他使用安全会话的链接可以继续，但会话标识必须设成无效，以防用已经终止的安全对话建立新的安全连接。 当警报消息的类型为“严重”时，当前的安全链接结束，而其他使用安全会话的链接可以继续，会话标记也可以保存，用于建立新的安全连接。 告警信息的传送可以有当前连接状态(如压缩和加密)指定或采用无密码(如不进行压缩与加密)。WTLS 中的出错处理是基于警报消息的，当发现错误时，发现的一方发送包含出现错误的警报消息，进一步的处理依赖于出现错误的级别和类型。

SSL警告协议的种类SSL报警协议中严重级别分为Fatal和Waming为两种。其中，Fatal级报警即致命级报警，它要求通信双方都要采取紧急措施，并终止会话，如在数据传输过程中，若发现有错误的MAC，双方就需要立即中断会话，同时消除自己缓冲区相应的会话记录；而对Warning级报警即警告级报警的处理，通常是通信双方都只进行日志记录，它对通信过程不造成影响1。以下是一些警告信息：

(1)unexpected_message：接收了不合适的报文。

(2)bad_record_mac：收到了不正确的MAC。

(3)decompression_failure：解压缩函数收到不适当的输入。

(4)illegal_parameter：握手报文中的一个字段超出范围或与其他字段不兼容。

(5)certificate_revoked：证书已经被废弃。

(6)bad_certificate：收到的证书是错误的。

(7)certificate_expired：证书已经过期。

(8)handshake_failer：握手过程失败。

安全套接层协议安全套接层协议SSL是Netscape 提出的基于公钥密码机制的网络安全协议，用于在Web Client与Web Server 间建立一条安全通道，实现 Internet 上信息传送的保密性。它包括Server认证、Client 认证（可选）、SSL链路上的数据完整性和SSL链路上数据保密性。SSL 提供的面向连接的安全性作用，具有以下三个基本功能：连接秘密，在初始握手定义会话密钥后，用对称密码加密数据。连接认证，实体的身份能够用公钥密码进行认证。连接可靠，消息传输包括利用安全 Hash 函数产生的带密钥 MAC（Message Authentication Code ：报文鉴别码）。SSL 不是单个协议，而是两层协议。底层为 Record Protocol (记录层协议)，实现对数据的分块、加密解密、压缩与解压缩、完整性检查、封装各种高层协议。高层为握手层，它由三个并列的协议构成：Handshake Protocol (握手协议)、Change Cipher Spec Protocol (修改密码协议)、Alert Protocol (警报协议)，主要用来产生会话状态的密码参数、当SSL客户方与服务器开始通信时协商协议版本、选择密码算法、进行身份认证，使用公开密钥技术产生共享密钥2。

本词条内容贡献者为:

王慧维 - 副研究员 - 西南大学