SSL支持的认证密钥交换方法
一共有5中方法:
一、RSA:
a) 服务端在发送certificate message时,包含服务端的一个X.509证书(用于验证服务端的RSA公钥);服务端不需要发送server_key_exchange;客户端产生pre_master_secret(次密钥)后,利用上述证书中的RSA公钥对其加密,并通过client_key_exchange发送到服务端,服务端利用对应的RSA私钥解密得到pre_master_secret;
b) 服务端在发送certificate message时,包含服务端的一个X.509证书(用于验证服务端的RSA公钥);服务端临时产生一个RSA公私钥对,并在发送server_key_exchange时包含上述临时RSA公钥(指数和模)和参数签名(利用服务端证书的RSA公钥对应的私钥对临时RSA公钥的hash加密产生签名);客户端产生pre_master_secret(次密钥)后,利用临时RSA公钥对其加密,并通过client_key_exchange发送到服务端,服务端利用对应的RSA私钥解密得到pre_master_secret;
二、Fixed Diffie-Hellman:(固定Diffie-Hellman)
服务端在发送certificate message时,包含服务端的一个X.509证书(用于验证服务端的Diffie-Hellman公钥的三个参数);服务端不需要发送server_key_exchange;
客户端在发送certificate message时,包含服务端的一个X.509证书(用于验证客户端的Diffie-Hellman公钥的三个参数);客户端不需要发送client_key_exchange;
双方执行Diffie-Hellman计算,产生共享次密钥;
三、Ephemeral Diffie-Hellman:(瞬时Diffie-Hellman)
服务端在发送certificate message时,包含服务端的一个X.509证书(用于验证服务端的RSA公钥);服务端产生一个临时Diffie-Hellman参数组,发送server_key_exchange时包含临时Diffie-Hellman公钥和参数签名(利用服务端证书的RSA公钥对应的私钥对临时Diffie-Hellman公钥的hash加密产生签名);客户端发送client_key_secret时包含客户端Diffie-Hellman公钥参数;双方执行Diffie-Hellman计算,产生共享次密钥;
四、Anonymous Diffie-Hellman:(匿名Diffie-Hellman)
服务端无需发送certificate message,在发送server_key_exchange时直接发送服务端Diffie-Hellman公钥参数;客户端在发送client_key_exchange时包含客户端Diffie-Hellman公钥参数;双方执行Diffie-Hellman计算,产生共享次密钥;
五、Fortezza:为Fortezza方案定义的技术;
参考书籍:《Cryptography and NetworkSecurity-Principles and Practice,Fifth Edition》-William Stallings
注:尊重作者的劳动成果,如需转载文章或非个人学习使用,请注明文章出处,谢谢!