TLS握手的过程

最新推荐文章于 2025-04-30 19:29:17 发布
最新推荐文章于 2025-04-30 19:29:17 发布
阅读量795 收藏 2
点赞数
文章标签: tls
原文链接:https://www.ibm.com/docs/en/ibm-mq/9.0?topic=tls-overview-ssltls-handshake
版权

翻译自 https://www.ibm.com/docs/en/ibm-mq/9.0?topic=tls-overview-ssltls-handshake

  1. The TLS client sends a client hello message that lists cryptographic information such as the TLS version and, in the client’s order of preference, the CipherSuites supported by the client. The message also contains a random byte string that is used in subsequent computations. The protocol allows for the client hello to include the data compression methods supported by the client.

TLS客户端发送client hello,里面包含了加密的信息,如TLS version, client支持的加密方式,客户端随机字符串,如下图所示

client hello

  1. The TLS server responds with a server hello message that contains the CipherSuite chosen by the server from the list provided by the client, the session ID, and another random byte string. The server also sends its digital certificate. If the server requires a digital certificate for client authentication, the server sends a client certificate request that includes a list of the types of certificates supported and the Distinguished Names of acceptable Certification Authorities (CAs).

TLS服务端响应server hello消息,包含了服务端选择的加密方式, session ID, 以及服务器端随机字符串。 服务器同时发送certificate给Client。 如果服务端要求客户端做证书验证,服务端会发起一个client certificate request(客户端证书验证请求),包含支持的加密方式和可接收的CA。
客户端验证不是必须的,它从另一层保证了client的真实有效性,避免了一些非法用户的攻击行为,但是同时也增加了服务器的资源开销。

server hello

certificate消息和Server Hello Done消息

  1. The TLS client verifies the server’s digital certificate. For more information, see How TLS provides identification, authentication, confidentiality, and integrity.

client验证server的certificate

  1. The TLS client sends the random byte string that enables both the client and the server to compute the secret key to be used for encrypting subsequent message data. The random byte string itself is encrypted with the server’s public key.

TLS client根据客户端和服务端的信息生成secret key,使用服务器证书的public key加密,然后发送给Server。后续的通信将采用该secret key做对称加密。

Client Key Exchange

  1. If the TLS server sent a client certificate request, the client sends a random byte string encrypted with the client’s private key, together with the client’s digital certificate, or a no digital certificate alert. This alert is only a warning, but with some implementations the handshake fails if client authentication is mandatory.

如果Serve要求client certificate request,那么client会发送client的certificate,同时使用client的certifcate私钥机密的随机字符串;如果客户端没有certificate,那么会给一个无证书的通告。这个通告仅仅是个告警,但是有些强制要求client验证的实现会导致tls握手失败。

  1. The TLS server verifies the client’s certificate. For more information, see How TLS provides identification, authentication, confidentiality, and integrity.

如果收到client certificate,Server会验证client‘s certificate

  1. The TLS client sends the server a finished message, which is encrypted with the secret key, indicating that the client part of the handshake is complete.

TLS client发送包含secret key的finished消息,表示client端TLS握手完成

  1. The TLS server sends the client a finished message, which is encrypted with the secret key, indicating that the server part of the handshake is complete.

TLS server发送finished消息,表示server端TLS握手完成

  1. For the duration of the TLS session, the server and client can now exchange messages that are symmetrically encrypted with the shared secret key.

握手完成后,整个session对话过程Server和Client可以使用协商好的secret key用对称加密方式通信了。

TLS handshake

安安爸Chris
关注
TLS握手过程
沙沙罗曼的专栏
03-16 3037
TLS握手过程 客户端与服务器商议通信密钥的过程称为TLS握手,在握手阶段,通信内容虽然都是明文,但要保证最终商量的密钥只有客户端和服务器知道,其他中间节点无从得知。 RSA握手过程 RSA握手过程说明: “Client Hello”,客户端向服务器发送一个随机数R1 “Server Hello”,服务器给客户端回复一个随机数R2与包含公钥的证书 “Client Key Exch...
TSL握手过程
庸才
10-09 510
     Client Hello 由客户端发起,主要包含SSL version、Random1、Support Suites以及Session ID    Server Hello 服务器返回,主要包含Random2、Cipher Suite              Certificate 服务器下放给客户端的证书   Server Key Exch...
SSL/TLS 握手过程详解
weixin_34352005的博客
12-10 807
我们知道,HTTP 协议都是明文传输内容,在早期只展示静态内容时没有问题。伴随着互联网的快速发展,人们对于网络传输安全性的要求也越来越高,HTTPS 协议因此出现。如上图所示,在 HTTPS 加密中真正起作用的其实是 SSL/TLS 协议。SSL/TLS 协议作用在 HTTP 协议之下,对于上层应用来说,原来的发送接收数据流程不变,这就很好地兼容了老的 HTTP 协议,这也是软件开发中分层实现的...
SSL/TLS 协议及握手流程
m0_74822957的博客
04-30 633
快速了解SSL/TLS协议
TLS握手
阿群的笔记(同步备份自简书)
01-24 311
学习材料1 https://juejin.im/entry/5c21f615f265da61223a5ee2 图片发自简书App 图片发自简书App 材料2 https://razeen.me/post/ssl-handshake-detail.html ...
TLS握手流程
qq_37247026的博客
03-10 263
而"证书验证"这个行为,当然指的就是使用证书颁发者公布的公钥,来对被加密的值进行解密,然后对证书使用同样的哈希函数进行计算,并使用计算出的值与解密出的值进行对比,如果相等则说明没有被篡改过,可以放心的使用证书上的公钥进行通信。而在上文的握手过程中,由于通信密钥在发送给 Server 时被公钥所加密了,而用来解密的私钥自始自终都只被证书申请者持有,所以即使有人截取了所有通信的信息,都不能得到通信的密钥(当然这是在假定密钥永远不会泄露的情况下)。这样,我们就建立了一个安全的"信道"。证书机制用到了第二个机制。
SSL/TLS 握手过程
侯仕奇的博客
06-24 1656
SSL/TLS 握手过程是客户端和服务器之间建立安全连接的过程
HTTP与HTTPS的区别;TLS握手过程
Weber's blog
03-30 1903
HTTP与HTTPS的区别;TLS握手过程
TLS握手过程及wireshark抓包分析
weixin_46775266的博客
08-05 3676
TLS握手过程及wireshark抓包分析 1.TLS的发展 1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。 1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。 1996年,SSL 3.0版问世,得到大规模应用。 1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。 2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2
TLS握手过程的深入思考(秋招春招面经)
qq_43658820的博客
07-30 1226
TLS1.2的大致过程TLS1.3进行了优化。客户端上来就发送公钥。其实我们还没有谈到双向验证的问题。之前是服务端发送证书给客户端验证 为的是验证服务器的身份。可是客户端的身份怎么验证呢?其实在客户端第一步发送时 就也可以直接发送公钥证书 服务器再验证。第二步 服务器返回hello消息 也带着自己的证书 客户端也进行一个验证。在这前两步 就可以做一个双向的验证。
Web技术(四):TLS 握手过程与性能优化(TLS 1.2与TLS 1.3对比)
流云
05-22 8281
二、TLS 握手协议 TLS 协议是由TLS 记录协议和TLS 握手协议这两层协议叠加而成的,位于底层的TLS 记录协议负责进行信息传输和认证加密,位于上层的TLS 握手协议则负责除加密以外的其它各种操作,比如密钥协商交换、身份认证等。 TLS 1.2 首次完整握手过程需要2-RTT,会话恢复简短握手过程需要1-RTT,TLS 1.3 在两种情况下均能比前者减少1-RTT。 三、TLS 性能优化 TLS 可以通过选择更安全高效的加解密算法、使用硬件加速模块、更新的协议、CDN技术等来提高效率。
TLS 握手流程
深入浅出讲透复杂深奥的问题
03-24 164
https://www.jianshu.com/p/a3a25c6627ee
TLS 握手过程介绍
mayue_web的博客
03-30 1384
TLS 了解
TLS连接的握手过程
usstmiracle的博客
09-03 763
客户端向服务器发送“Client Hello”消息,包含支持的TLS版本、加密套件列表和一个随机数(Client Random)。TLS(传输层安全协议)握手过程是客户端(如浏览器)和服务器(如网站)之间建立安全连接的一系列步骤。服务器回复“Server Hello”消息,包含服务器选择的TLS版本、加密套件和另一个随机数(Server Random)。客户端和服务器使用Client Random、Server Random和预主密钥生成会话密钥,用于后续的对称加密通信1。图片来自Vector。
SSL/TLS握手过程
计院菜鸟的博客
12-24 1698
C:客户端 S:服务端 C向S发送一个请求,其中包含C支持的TLS版本、加密套件和一个随机数(Client Random) S收到后,选出要用的加密套件,将公钥和证书加一个随机数(Server Random)发送过去 C收到后,生成一个随机数,然后用拿到的公钥对它进行加密(预主密钥),然后发送给S S收到预主密钥后,用私钥进行解密,获得预主密钥随机数 C和S都用拿到的客户端随机数、服务器随机数和预主密钥进行计算得出会话秘钥。 接下来就是对称加密的通话过程了 作者基于自己的理解写的,如有不对的请在评论区指
TLS握手流程分析
weixin_43894455的博客
01-15 3659
客户端发送:用于初始化会话消息,该消息主要包含如下信息:: 客户端发送它所支持的最高 SSL/TLS 版本;:一个 32 字节的客户端随机数,该随机数被服务端生成通信用的对称密钥(master secret);:session ID 被客户端用于恢复之前的会话: 客户端发送它所支持的加密套件列表服务端发送:服务端发送双方所支持的最高的 SSL/TLS 版本;:一个 32 字节的服务端随机数,被客户端用于生成通信用的对称密钥(master secret);:用于会话恢复;
TLS协议握手流程
卤煮小鱼的博客
12-02 1847
通过 wireshark 抓取 HTTPS 包,理解 TLS 1.2 安全通信协议的握手流程。TLS 握手流程:通过 wireshark 抓取 HTTPS 包理解。协商加密:双方通过 ECDHE 椭圆曲线的密钥交换算法,协商出共享的会话密钥进行内容对称加密通信,避免传输会话密钥被中间人窃取。CA 证书:证书用来验证服务端的合法性。证书类似于身份证,可以证明某人是某人,当然身份证可以伪造,一般人可能识别不出来,但是国家相关部门可以验证你的身份合法性。
ssltls 握手过程
最新发布
05-16
### SSL/TLS 握手过程详解 #### 一、握手的目标 TLS/SSL 握手的主要目标是在客户端和服务器之间建立一个安全的通信通道。这个通道通过保密性(Confidentiality)、完整性(Integrity)以及身份验证(Authentication)来保护数据传输[^1]。 #### 二、基本流程概述 整个握手过程可以分为以下几个阶段: 1. **客户端问候 (Client Hello)** 客户端发起连接请求,发送 `Client Hello` 消息给服务器。此消息包含支持的协议版本、加密套件列表以及其他参数(如随机数)。这些信息用于后续的安全配置[^2]。 2. **服务器响应 (Server Hello 和证书)** 服务器接收到 `Client Hello` 后返回自己的 `Server Hello` 响应,其中包括选定的协议版本、加密算法和其他必要参数。随后,服务器还会提供其数字证书以证明自己身份的真实性。如果使用 RSA 密钥交换,则无需额外的消息;如果是其他类型的密钥交换方式可能还需要进一步交互[^1][^2]。 3. **公钥验证与预主密钥生成** 客户端接收到来自服务端的信息之后,会对所提供的 X.509 数字证书进行校验,确认无误后再利用其中所含有的公共密钥加密一段预先产生的秘密值——即所谓的 “pre-master secret”。然后把这个经过加密处理后的 pre-master secret 发送给服务器[^1]。 4. **计算共享主密钥** 双方各自基于之前获得的数据独立推导出相同的 session key 或 master secret 。这一操作依赖于 Diffie-Hellman 算法或其他类似的机制完成最终对称加密所需的材料准备[^2]。 5. **变更密码规格通知 Change Cipher Spec** 当双方都准备好切换至新的加密模式时,分别发出一条特殊的控制命令叫做 change cipher spec message ,表示接下来所有的通讯都将采用新协商出来的设置来进行加解密工作[^1]。 6. **Finished Message 验证成功与否** 最后一步就是互相传递 finished messages 来检验前面所有步骤是否正确执行完毕。只有当彼此都能够解读对方发来的这条特殊消息的时候才意味着整个 handshake 过程圆满结束,并正式开启受保护状态下的正常业务往来活动[^2]。 #### 三、代码示例模拟简单场景 下面是一个非常简化的 Python 脚本来展示如何构建 Client Hello 请求并解析 Server Hello 返回的内容: ```python import socket from ssl import SSLContext, PROTOCOL_TLSv1_2 def create_tls_handshake(host='www.example.com', port=443): context = SSLContext(PROTOCOL_TLSv1_2) with socket.create_connection((host, port)) as sock: with context.wrap_socket(sock, server_hostname=host) as ssock: print(f"Connected to {ssock.server_hostname}") print("Cipher used:", ssock.cipher()) create_tls_handshake() ``` 以上脚本仅作为演示用途,在实际应用环境中应当考虑更多细节因素比如错误捕获等等。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值