TLS（传输层安全）协议

TLS协议概述

学习了TLS协议的一些基本原理和实现，想将它分享出来，也看看我是否是学到了精髓，我尽量表述清楚，如果 有不对的地方请大家评论批评指正。

TLS协议基础

  TLS通过建立安全连接实现数据在两个应用进程之间的安全传输过程，能够实现双向身份鉴别、保证数据的完整性和保密性。TLS的前身是安全接口层SSL，所以也常写成SSL/TLS关于TLS的发展，我觉得了解一个协议的发展背景和发展历史也是作为安全人士的一种素养，所以不了解的同志还是可以去百度一下。
  TLS协议结构如图所示：

  在整个TLS协议体系中包含了三个协议：TLS握手协议、TLS记录协议、TLS改变密码规范协议、TLS报警协议。
  TLS记录协议用于封装上层协议消息，通过TLS记录协议传输的上层消息可以实现源端鉴别、保密性和完整性。
  TLS握手协议是一种实现身份鉴别和和安全参数协商的协议。客户端和服务器端通过TLS协议传输数据前，需要通过TLS握手协议完成双向身份鉴别过程，并约定压缩算法、加密算法、MAC算法、加密密钥、MAC密钥等安全参数。
  通信双方约定新的安全参数后，需要通过TLS改变密码规范协议通知对方开始使用新约定的安全参数。
  报警协议用来传输错误消息，如解密失败、无法确认证书等。通信双方第一次启动握手协议时，初始安全参数为不压缩、不加密、不计算MAC。

TLS记录协议

TLS记录协议封装过程：

  内容类型：上层消息类型：如TLS握手协议消息、HTTP消息等。
  主版本号：对于TLS，固定为3。
  从版本号：对于TLS，固定为1。
  压缩长度：加密操作前上层消息长度。
由于客户端和服务器端通过TLS记录协议安全传送消息，需要对消息进行压缩、计算MAC、加密等，所以要通过TLS握手协议来约定如下的安全参数：
  压缩算法：用于压缩分段后的上层消息。
  加密算法：用于加密压缩后的数据和MAC。
  MAC算法：用于计算MAC
  服务器端写密钥：服务器端加密数据和MAC时使用的密钥
  客户端写密钥：客户端加密数据和MAC 时使用的密钥。
  服务器端写MAC密钥：服务器端计算MAC时使用的密钥。
  客户端写MAC密钥：客户端计算MAC时使用的密钥。
  初始向量：采用分组密码体制时的加密算法和加密分组链接模式时作为初始向量。
  序号：每发送一个TLS记录协议时，序号增加1，序号参与计算MAC的过程。

TLS握手协议

通信双方第一次启动握手协议时，初始安全参数为不压缩、不加密、不计算MAC。
握手协议操作过程：

总的看这个图肯定有点懵，接下来我来叙述它具体的实现过程：
①约定算法
  客户端在客户Hello消息中按优先顺序列出客户支持的算法列表及TLS协议版本，服务器从客户支持的算法列表中按优先顺序选出一种自己支持的算法作为双方约定算法，并通过服务器Hello消息将双方约定的算法、TLS版本返回给客户端。
②验证服务器证书
  服务器端将自己的证书链发给客户端，并请求客户端证书。客户端检查服务器端的证书（签发者CA、证书有效期、证书内容、证书中名称和通信名称一致、是否吊销），若检查没问题，客户端将会将自己的证书链发给服务端（此阶段并没有完成对服务器的身份鉴别）。客户端为了确定服务器端有与服务器端的公钥对应的私钥，用服务器端的公钥加密客户端选择的预主密钥（是计算其他密钥的基础），将密文消息发给服务器端，因此只有服务器端有正确的私钥才可以得到预主密钥，因此要鉴别服务器端是否得到了预主密钥，因为主密钥是根据预主密钥生成的，所以只需鉴别服务器端的主密钥是否正确。
③验证客户端证书、生成主密钥
  服务端收到客户端证书，检查客户端证书（此阶段也没有实现服务器端对客户端的认证）。要实现服务器端对客户端的认证的步骤是：客户端用自己的私钥对双方交换的握手协议消息的消息摘要进行签名，由于服务器端也保留了双方之间的握手协议消息，所以当服务器端收到消息的时候用客户端的公钥进行验证，得到客户端计算的握手协议的消息摘要，然后对保留的握手协议消息进行消息摘要运算，如果服务器端和客户端两方的握手协议的消息摘要值相等，则实现了对客户端的身份鉴别，如不相等则身份验证失败。
  客户端和服务器端根据预主密钥PMS、客户Hello和服务器hello中的客户随机数NonceC和服务器随机数NonceV计算主密钥MK：
    MK=PRF（PMS，“master secret”，NonceC||NonceV）
  PRF是是伪随机数生成函数，关于主密钥的生成不做过多的阐述，大家想了解的可以自己去查一下具体的过程。
④双方身份鉴别和安全参数切换
  要鉴别服务器端的MK与客户端的MK相同，于是服务器端向客户端发送的结束消息中包含PRF(MK,“server finished”,MD5(握手协议消息)||SHA-1(握手协议消息))，客户端根据自己计算所得的主密钥MK重新计算PRF(MK,“server finished”,MD5(握手协议消息)||SHA-1(握手协议消息))，如果计算结果相等则服务器V的身份得到认证，同时也证明了握手协议消息的完整性。
  然后双方就可以利用TLS改变密码规范协议来通知对方使用新约定的安全参数了。接下来双方传输数据就利用TLS记录协议进行封装传输。