TLS/SSL协议工作机制

[WarpPrism]

基于HTTPS的网络通信增加了通信的安全性，可以有效的解决：

• 窃听风险。所有信息加密传播，第三方无法窃听。
• 篡改风险。具有校验机制，信息一旦被篡改，就会被通信双方发现。
• 伪装风险。配备身份证书，防止第三方伪装。

TLS是SSL的升级版本，目前应用较广泛的版本是TLS 1.0, SSL 3.0, TLS 1.2等。

TLS/SSL在TCP/IP协议层中的位置如下：

基于RSA加密算法的SSL/TCL握手过程

阶段一：Client Hello

• 产生并发送client random number（r1）
• 发送cipher suites supported（加密支持套件），即客户端支持哪些加密算法
• 发送支持的协议版本

阶段二： Server Hello

• 确认使用的加密协议版本如TLS1.0
• 生成server random number （r2）
• 携带RSA加密算法公钥（public key）的数字证书

阶段三：客户端响应

• 生成第三个随机数（r3），并用RSA公钥加密，称为premaster key
• 编码改变通知，表示随后的信息都将用双方商定的加密方法和密钥发送。
• 客户端握手结束通知，表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值，用来供服务器校验。

阶段四： 服务器最后的响应

• 用private key解密premaster key，得到r3
• 编码改变通知，表示随后的信息都将用双方商定的加密方法和密钥发送。
• 服务器握手结束通知，表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值，用来供客户端校验。

阶段五： 生成session key

客户端和服务端根据r1 r2 r3同时加密生成session key，也称为对话密钥，因此通信双方便产生了基于session key的对称加密，之后所有的通信内容都采用session key加密，确保了安全性。

参考