江苏龙网

  1. 主页 > 生活百科 > >

SSL工作原理( 二 )

SSL


(2) 服务器以服务器“您好”消息响应 , 此消息包含密码方法(密码对)和由服务器选择的数据压缩方法 , 以及会话标识和另一个随机数 。
注意:客户端和服务器至少必须支持一个公共密码对 , 否则握手失败 。服务器一般选择最大的公共密码对 。
(3) 服务器发送其SSL数字证书 。(服务器使用带有 SSL 的 X.509 V3 数字证书 。)
如果服务器使用 SSL V3 , 而服务器应用程序(如 Web 服务器)需要数字证书进行客户端认证 , 则客户端会发出“数字证书请求”消息 。在 “数字证书请求”消息中 , 服务器发出支持的客户端数字证书类型的列表和可接受的CA的名称 。
(4) 服务器发出服务器“您好完成”消息并等待客户端响应 。
(5) 一接到服务器“您好完成”消息 , 客户端( Web 浏览器)将验证服务器的SSL数字证书的有效性并检查服务器的“你好”消息参数是否可以接受 。
如果服务器请求客户端数字证书 , 客户端将发送其数字证书;或者 , 如果没有合适的数字证书是可用的 , 客户端将发送“没有数字证书”警告 。此警告仅仅是警告而已 , 但如果客户端数字证书认证是强制性的话 , 服务器应用程序将会使会话失败 。
(6) 客户端发送“客户端密钥交换”消息 。
此消息包含 pre-master secret (一个用在对称加密密钥生成中的 46 字节的随机数字) , 和 消息认证代码 ( mac )密钥(用服务器的公用密钥加密的) 。
如果客户端发送客户端数字证书给服务器 , 客户端将发出签有客户端的专用密钥的“数字证书验证”消息 。通过验证此消息的签名 , 服务器可以显示验证客户端数字证书的所有权 。
注意: 如果服务器没有属于数字证书的专用密钥 , 它将无法解密 pre-master 密码 , 也无法创建对称加密算法的正确密钥 , 且握手将失败 。
(7) 客户端使用一系列加密运算将 pre-master secret 转化为 master secret  , 其中将派生出所有用于加密和消息认证的密钥 。然后 , 客户端发出“更改密码规范” 消息将服务器转换为新协商的密码对 。客户端发出的下一个消息(“未完成”的消息)为用此密码方法和密钥加密的第一条消息 。
(8) 服务器以自己的“更改密码规范”和“已完成”消息响应 。
(9) SSL 握手结束 , 且可以发送加密的应用程序数据 。
SSL单向双向认证
单向认证:客户端向服务器发送消息 , 服务器接到消息后 , 用服务器端的密钥库中的私钥对数据进行加密 , 然后把加密后的数据和服务器端的公钥一起发送到客户端 , 客户端用服务器发送来的公钥对数据解密 , 然后在用传到客户端的服务器公钥对数据加密传给服务器端 , 服务器用私钥对数据进行解密 , 这就完成了客户端和服务器之间通信的安全问题 , 但是单向认证没有验证客户端的合法性 。
双向认证:客户端向服务器发送消息 , 首先把消息用客户端证书加密然后连同时把客户端证书一起发送到服务器端 , 服务器接到消息后用首先用客户端证书把消息解密 , 然后用服务器私钥把消息加密 , 把服务器证书和消息一起发送到客户端 , 客户端用发来的服务器证书对消息进行解密 , 然后用服务器的证书对消息加密 , 然后在用客户端的证书对消息在进行一次加密 , 连同加密消息和客户端证书一起发送到服务器端 , 到服务器端首先用客户端传来的证书对消息进行解密 , 确保消息是这个客户发来的 , 然后用服务器端的私钥对消息在进行解密这个便得到了明文数据 。
关键词:SSL , PKI , MAC
摘 要:SSL利用数据加密、身份验证和消息完整性验证机制 , 为基于TCP等可靠连接的应用层协议提供安全性保证 。本文介绍了SSL的产生背景、安全机制、工作过程及典型组网应用 。
缩略语:

SSL工作原理

文章插图
 
1 概述1.1 产生背景基于万维网的电子商务和网上银行等新兴应用 , 极大地方便了人们的日常生活 , 受到人们的青睐 。由于这些应用都需要在网络上进行在线交易 , 它们对网络通信的安全性提出了更高的要求 。传统的万维网协议HTTP不具备安全机制——采用明文的形式传输数据、不能验证通信双方的身份、无法防止传输的数据被篡改等 , 导致HTTP无法满足电子商务和网上银行等应用的安全性要求 。


推荐阅读


上一篇:大红袍喝了对肝脏好吗,大红袍茶好不好呢

下一篇:CentOS7下部署漏洞扫描与分析软件Nessus