目录
SSL/TLS简介
SSL/TLS是一种密码通信框架,他是世界上使用最广泛的密码通信方法。SSL/TLS综合运用了密码学中的对称密码,消息认证码,公钥密码,数字签名,伪随机数生成器等,可以说是密码学中的集大成者。
TLS协议的架构
TLS主要分为两层,底层的是TLS记录协议,主要负责使用对称密码对消息进行加密。
上层的是TLS握手协议,主要分为握手协议,密码规格变更协议和应用数据协议4个部分。
- 握手协议负责在客户端和服务器端商定密码算法和共享密钥,包括证书认证,是4个协议中最最复杂的部分。
- 密码规格变更协议负责向通信对象传达变更密码方式的信号
- 警告协议负责在发生错误的时候将错误传达给对方
- 应用数据协议负责将TLS承载的应用数据传达给通信对象的协议。
TLS记录协议
消息首先将会被分段,然后压缩,再计算其消息验证码,然后使用对称密码进行加密,加密使用的是CBC模式,CBC模式的初始向量是通过主密码来生成的。
得到密文之后会附加类型,版本和长度等其他信息,最终组成最后的报文数据。
握手协议
注:
1、这里可用版本号,可用的密码套件清单,可用的压缩方式清单就是向服务器询问对方支持哪些服务。
2、客户端随机数和服务器随机数是用来生成对称密钥的随机数。
3、可选步骤:certificate服务器端发送自己的证书清单,因为证书可能是层级结构的,所以处理服务器自己的证书之外,还需要发送为服务器签名的证书。客户端将会对服务器端的证书进行验证。如果是以匿名的方式通信则不需要证书。
4、可选步骤:ServerKeyExchange,如果第三步的证书信息不足,则可以发送ServerKeyExchange用来构建加密通道。
ServerKeyExchange的内容可能包含两种形式:
- 如果选择的是RSA协议,那么传递的就是RSA构建公钥密码的参数(E,N)。我们回想一下RSA中构建公钥的公式:密文=明文^E\ mod\ N密文=明文EmodN, 只要知道了E和N,那么就知道了RSA的公钥,这里传递的就是E,N两个数字。
- 如果选择的是Diff-Hellman密钥交换协议,那么传递的就是密钥交换的参数。
5、可选步骤:CertificateRequest如果是在一个受限访问的环境,比如fabric中,服务器端也需要向客户端索要证书。如果并不需要客户端认证,则不需要此步骤。
6、server hello done,服务器端发送server hello done的消息告诉客户端自己的消息结束了。
7、可选步骤:Certificate,客户端发送客户端证书给服务器
8、
ClientKeyExchange分两种情况:
最低0.47元/天 解锁文章
1178
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
