最近在搞一个项目,其中要用到安全传输,研究了下SSL/TLS单向双向认证。
1. SSL/TLS单向认证:客户端会认证服务器端身份,服务器端不对客户端进行认证
2. SSL/TLS双向认证:客户端和服务端都会互相认证,即双发之间要证书交换
一般的应用都是单向认证,如果场景中要求对客户源做认证可以实现双向认证,下边介绍双向认证过程
SSL消息按如下顺序发送:
1. Client Hello
客户发送服务器信息,包括它所支持的密码组。密码组中有密码算法和钥匙大小;
2. Server Hello
服务器选择客户和服务器都支持的密码组到客户。
3. Certificate
服务器发送一个证书或一个证书链到客户端,一个证书链开始于服务器公共钥匙证书并结束于证明权威的根证书。这个消息是可选的,但服务器证书需要时,必须使用它。
4. Certificate request
当服务器需要鉴别客户时,它发送一个证书请求到客户端。在网络程序中,这个消息很少发送。
5. Server key exchange
服务器当发送来的公共钥匙对钥匙交换不是很充分时,发送一个服务器钥匙交换消息。
6. Server hello done
服务器告诉客户完成它的初始化流通消息。
7. Certificate
假如服务器需要一个客户证书时,客户端发送一个证书链。(只有在服务器需要客户证书时)
8. Client key exchange
客户产生用于对称算法的一个钥匙。对RSA客户用服务器公共钥匙加密这个钥匙信息并把它送到服务器。
9. Certificate verify
在网络程序中,这个消息很少发送,它主要是用来允许服务器结束对客户的鉴别处理。当用这个消息时,客户发送用密码函数的数字签名的信息到服务端,当服务端用公共钥匙解密这个消息时,服务器能够鉴别客户。
10. Change cipher spec
客户发送一个消息告诉服务器改变加密模式。
11. Finished
客户告诉服务器它已准备安全数据通信。
12. Change cipher spec
服务器发送一个消息到客户端并告诉客户修改加密模式。
13. Finished
服务器告诉客户端它已准备好安全数据通信。这是client-server握手协议最后一步。
14. Encrypted data
客户同服务器用对称加密算法和密码函数,并用客户发送到服务器的秘密钥匙加密通信。
SSL握手过程:摘录自《SSL与TLS》