SSL协议,一文带你了解

SSL简介

SSL协议,一文带你了解_第1张图片

 

SSL(Secure Sockets Layer)是一种安全协议,用于保护互联网上的数据传输安全。SSL协议最初由网景公司开发,现在已经被TLS(Transport Layer Security)协议所取代。SSL协议和TLS协议都是为了保护数据传输的安全而设计的,TLS协议是SSL协议的继承者,TLS协议的版本号是SSL协议的版本号加1。

SSL和TLS:

SSL协议是一种安全协议,用于保护互联网上的数据传输安全。TLS协议是SSL协议的继承者,TLS协议的版本号是SSL协议的版本号加1。TLS协议和SSL协议的目的都是为了保护数据传输的安全,TLS协议比SSL协议更加安全,因为TLS协议修复了SSL协议的一些安全漏洞。

SSL协议介绍:

SSL协议是一种安全协议,用于保护互联网上的数据传输安全。SSL协议最初由网景公司开发,现在已经被TLS协议所取代。SSL协议的主要功能是提供数据加密、身份认证和数据完整性保护。SSL协议通过使用公钥加密技术和对称加密技术来保护数据传输的安全。SSL协议的加密过程是在传输层进行的,因此可以保护所有应用层协议的数据传输安全。

SSL加密知名协议:

SSL协议,一文带你了解_第2张图片

 

SSL协议使用的加密算法有很多种,其中比较知名的有以下几种:

1. RSA加密算法:RSA是一种非对称加密算法,用于加密和解密数据。RSA算法的安全性基于大数分解问题,即将一个大的合数分解成两个质数的乘积的问题。

2. AES加密算法:AES是一种对称加密算法,用于加密和解密数据。AES算法的安全性基于密钥的保密性,只有知道密钥的人才能解密数据。

3. SHA加密算法:SHA是一种哈希算法,用于生成消息摘要。SHA算法的安全性基于哈希算法的不可逆性,即无法从消息摘要反推出原始消息。

SSL原理详解

SSL协议,一文带你了解_第3张图片

 

SSL协议结构:

SSL协议由四个子协议组成,分别是握手协议、记录协议、警告协议和应用数据协议。握手协议用于建立SSL连接,记录协议用于传输应用层数据,警告协议用于传输警告信息,应用数据协议用于传输应用层数据。

SSL建立阶段与IPSec 类比的话:

SSL协议的建立过程可以类比于IPSec协议的建立过程。IPSec协议是一种安全协议,用于保护IP层数据传输的安全。IPSec协议的建立过程包括安全关联建立、密钥协商和数据传输三个阶段。SSL协议的建立过程也包括三个阶段,分别是握手协议、记录协议和应用数据协议。

SSL原理(SSL建立)握手协议总过程:

SSL建立过程包括握手协议、记录协议和应用数据协议三个阶段。握手协议用于建立SSL连接,记录协议用于传输应用层数据,应用数据协议用于传输应用层数据。

SSL建立第一阶段:

在SSL建立的第一阶段,客户端向服务器发送ClientHello消息,包括SSL版本号、加密算法列表、随机数等信息。服务器收到ClientHello消息后,向客户端发送ServerHello消息,包括SSL版本号、加密算法、随机数等信息。

ClientHello

ClientHello消息包括SSL版本号、加密算法列表、随机数等信息。SSL版本号用于指定SSL协议的版本号,加密算法列表用于指定客户端支持的加密算法,随机数用于生成密钥。

ServerHello

ServerHello消息包括SSL版本号、加密算法、随机数等信息。SSL版本号用于指定SSL协议的版本号,加密算法用于指定服务器选择的加密算法,随机数用于生成密钥。

SSL建立第二阶段:

在SSL建立的第二阶段,服务器向客户端发送Certificate消息、Server Key Exchange消息、Certificate Request消息和Server Hello Done消息。Certificate消息用于传输服务器的证书,Server Key Exchange消息用于传输服务器的公钥,Certificate Request消息用于请求客户端提供证书,Server Hello Done消息用于告知客户端握手协议的第二阶段已经结束。

Certificate消息(可选)—第一次建立必须要有证书

Certificate消息用于传输服务器的证书,证书包括服务器的公钥和服务器的身份信息。客户端收到Certificate消息后,会验证服务器的证书是否合法。

Server Key Exchange(可选)

Server Key Exchange消息用于传输服务器的公钥,服务器的公钥用于加密数据。如果服务器的证书中已经包含了服务器的公钥,那么Server Key Exchange消息就可以省略。

Certificate Request(可选)------可以是单向的身份认证,也可以双向认证

Certificate Request消息用于请求客户端提供证书,证书用于客户端的身份认证。如果服务器不需要对客户端进行身份认证,那么Certificate Request消息就可以省略。

Server Hello Done

Server Hello Done消息用于告知客户端握手协议的第二阶段已经结束。

SSL建立第三阶段:

在SSL建立的第三阶段,客户端向服务器发送Certificate消息、Client Key Exchange消息和Certificate Verify消息。Certificate消息用于传输客户端的证书,Client Key Exchange消息用于传输客户端的公钥,Certificate Verify消息用于验证客户端的证书是否合法。

Certificate(可选)

Certificate消息用于传输客户端的证书,证书包括客户端的公钥和客户端的身份信息。服务器收到Certificate消息后,会验证客户端的证书是否合法。

Client Key exchange

Client Key Exchange消息用于传输客户端的公钥,客户端的公钥用于加密数据。

Certificate verify(可选)

Certificate Verify消息用于验证客户端的证书是否合法。客户端使用自己的私钥对证书进行签名,服务器使用客户端的公钥对签名进行验证。

SSL建立第四阶段:

在SSL建立的第四阶段,客户端和服务器交换ChangeCipherSpec消息、Finished消息和消息验证代码(HMAC)。ChangeCipherSpec消息用于告知对方加密算法已经生效,Finished消息用于告知对方握手协议已经完成,消息验证代码(HMAC)用于保证数据传输的完整性。

ChangeCipherSpec :

ChangeCipherSpec消息用于告知对方加密算法已经生效,客户端和服务器都会发送ChangeCipherSpec消息。

Clinet Finished:

Client Finished消息用于告知服务器握手协议已经完成,客户端会计算出Finished消息的消息验证代码(HMAC)。

Server Finished:

Server Finished消息用于告知客户端握手协议已经完成,服务器会计算出Finished消息的消息验证代码(HMAC)。

消息验证代码(HMAC)和TLS数据完整性:

消息验证代码(HMAC)用于保证数据传输的完整性,HMAC是一种消息认证码,用于验证消息的完整性和真实性。TLS数据完整性是指在数据传输过程中,数据没有被篡改、删除或者插入。

几个重要的secret key:

在SSL协议中,有几个重要的secret key,包括PreMaster secret、Master secret、Client write secret和Server write secret。PreMaster secret是客户端和服务器协商生成的一个随机数,用于生成Master secret。Master secret是客户端和服务器协商生成的一个密钥,用于生成Client write secret和Server write secret。Client write secret和Server write secret是用于加密和解密数据的密钥。

SSL会话恢复:

SSL会话恢复是指在SSL连接已经建立的情况下,客户端和服务器可以重复使用之前协商生成的密钥,从而避免重新进行密钥协商的过程。SSL会话恢复可以提高SSL连接的性能和安全性。

SSL记录协议:

SSL协议,一文带你了解_第4张图片

 

SSL记录协议用于传输应用层数据,SSL记录协议将应用层数据分成若干个记录,每个记录包括记录头和记录体两部分。记录头包括记录类型、记录长度和协议版本号等信息,记录体包括应用层数据。

应用数据传输:

应用数据传输是指在SSL连接建立成功后,客户端和服务器可以通过SSL记录协议传输应用层数据。应用数据传输过程中,数据会被加密和解密,从而保证数据传输的安全性。

你可能感兴趣的:(ssl,https,http)