SSL/TLS连接建立过程

分析SSL/TLS连接建立过程

1、基本概念

　　　SSL：（Secure Socket Layer，安全套接字层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。该协议由两层组成：SSL记录协议和SSL握手协议。

　　　TLS：(Transport Layer Security，传输层安全协议)，用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成：TLS记录协议和TLS握手协议。

TLS是在SSL的基础上标准化的产物，目前SSL3.0与TLS1.0保持一致的，二者是并列关系，只是大家习惯称呼SSL。注明的web服务nginx默认支持的就是TLS1.0、TLS1.1、TLS1.2协议。调用的openssl库中，对应的就是ssl3_acceptt函数。

　　SSL/TLS位于传输层和应用层之间，应用层数据不再直接传递给传输层，而是传递给SSL层，SSL层对从应用层收到的数据进行加密，并增加自己的SSL头。

2、握手过程

　　我使用nginx搭建了一个https的服务，nginx的默认ssl cipher为HIGH:!aNULL:!MD5; 不同的cipher 决定了握手的交互过程。chrome浏览器支持的cipher如下所示：

cipher的格式为：认证算法_密钥交换算法_加密算法_ 摘要算法

首先看看最基本的基于RSA的密钥协商算法，配置的ssl sipher为 AES256-GCM-SHA256。

使用wireshark抓包分析，抓包如下所示：

 从上面报文可以看出，SSL建立过程如下图所示：

 使用椭圆曲线（ECDHE）算法作为密钥交换算法，配置ssl ciper为：，交互流程如下所示：

抓包看如下：

 从上面报文可以看出，SSL建立过程如下图所示：

 相比RSA算法而言，握手过程多了一个server key exchange步骤

 RSA算法服务端没有Server key Exchange。

转载博文出处：
https://www.cnblogs.com/Anker/p/6082966.html
（纯属个人学习所用，如有侵权，请联系，立即删除）