SSL協議之握手協議

一、握手協議

握手協議是客戶機和伺服器用ssl連線通訊時使用的第乙個子協議，握手協議包括客戶機與伺服器之間的一系列訊息。ssl中最複雜的協議就是握手協議。該協議允許伺服器和客戶機相互驗證，協商加密和mac演算法以及保密金鑰，用來保護在ssl記錄中傳送的資料。握手協議是在應用程式的資料傳輸之前使用的。

每個握手協議包含以下3個字段

1、type：表示10種訊息型別之一。

2、length：表示訊息長度位元組數。

3、content：與訊息相關的引數。

二、握手協議的四個階段

三、握手協議具體過程

1、建立安全能力

ssl握手的第一階段啟動邏輯連線，建立這個連線的安全能力。首先客戶機向伺服器發出client hello訊息並等待伺服器響應，隨後伺服器向客戶機返回server hello訊息，對client hello訊息中的資訊進行確認。

client hello訊息包括version，random，session id，cipher suite，compression method等資訊。

clienthello：客戶傳送cilenthello資訊，包含如下內容：

serverhello：伺服器用serverhello資訊應答客戶，包括下列內容：

這個階段之後，客戶端服務端知道了下列內容：

2、伺服器鑑別與金鑰交換

伺服器啟動ssl握手第2階段，是本階段所有訊息的唯一傳送方，客戶機是所有訊息的唯一接收方。該階段分為4步：

第一步：證書-伺服器將數字證書和到根ca整個鏈發給客戶端，使客戶端能用伺服器證書中的伺服器公鑰認證伺服器。

第二步：伺服器金鑰交換（可選）-這裡視金鑰交換演算法而定。

第三步：證書請求（可選）-服務端可能會要求客戶自身進行驗證。

第四步：伺服器握手完成-第二階段的結束，第三階段開始的訊號。

這個階段的第一步：證書、第二步：伺服器金鑰交換是基於金鑰交換方法的。

ssl中金鑰交換演算法有6種：無效（沒有金鑰交換）、rsa、匿名diffie-hellman、暫時diffie-hellman、固定diffie-hellman、fortezza。

在ssl階段1建立安全能力中，已經確定使哪種金鑰交換演算法。

如果協商過程中確定使用rsa交換金鑰，那麼過程如下圖：

在rsa中，伺服器在它的第乙個資訊中，傳送了rsa加密/解密公鑰證書。不過，因為預備主秘密是由客戶端在下乙個階段生成並傳送的，所以第二個資訊是空的。

3、客戶機鑑別與金鑰交換

客戶機啟動ssl握手第3階段，是本階段所有訊息的唯一傳送方，伺服器是所有訊息的唯一接收方，該階段分為3步。

第一步：證書（可選）-為了對伺服器證明自身，客戶要傳送乙個證書資訊，這是可選的，在iis中可以配置強制客戶端證書認證。

第二步：客戶機金鑰交換（pre-master-secret）-這裡客戶端將預備主金鑰傳送給服務端，注意這裡會使用服務端的公鑰進行加密。

第三步：證書驗證（可選），對預備秘密和隨機數進行簽名，證明擁有第一步證書的公鑰。

下面也重點介紹一下rsa方式的客戶端驗證和金鑰交換。

這種情況，除非伺服器在階段2明確請求，否則沒有證書資訊。客戶端金鑰交換方法包括階段2收到的由rsa公鑰加密的預備主金鑰。

4、完成

客戶機啟動ssl握手第4階段，使伺服器結束。該階段分為4步，前2個訊息來自客戶機，後2個訊息來自伺服器。

5、金鑰生成的過程

這樣握手協議完成，下面看下什麼是預備主金鑰，主金鑰是怎麼生成的。

為了保證資訊的完整性和機密性，ssl需要有六個加密秘密：四個金鑰和兩個iv。

為了資訊的可信性，客戶端需要乙個金鑰（hmac），為了加密要有乙個金鑰，為了分組加密要乙個iv，服務也是如此。

金鑰的生成過程如下：

第一步：從預備主秘密計算主秘密

第二步：從主秘密計算金鑰材料

第三步：從金鑰材料提取加密秘密

SSL協議之握手協議

SSL協議之握手協議

SSL握手協議

SSL的握手協議

SSL協議之握手協議

SSL協議之握手協議

SSL握手協議

SSL的握手協議

相關推薦