SSL/TSL握手过程详解

最新推荐文章于 2025-04-03 09:30:26 发布
转载 最新推荐文章于 2025-04-03 09:30:26 发布 · 1k 阅读 · 1

本文详细解析了SSL/TLS握手过程,包括ClientHello与ServerHello消息交换、证书验证、PreMasterKey生成及交换等关键步骤,并解释了为何采用三个随机数以增强安全性。
部署运行你感兴趣的模型镜像

SSL/TLS 握手过程

这里写图片描述

  1. Client Hello

    握手第一步是客户端向服务端发送 Client Hello 消息,这个消息里包含了一个客户端生成的随机数 Random1、客户端支持的加密套件(Support Ciphers)和 SSL Version 等信息。
    这里写图片描述

  2. Server Hello
    第二步是服务端向客户端发送 Server Hello 消息,这个消息会从 Client Hello 传过来的 Support Ciphers 里确定一份加密套件,这个套件决定了后续加密和生成摘要时具体使用哪些算法,另外还会生成一份随机数 Random2。注意,至此客户端和服务端都拥有了两个随机数(Random1+ Random2),这两个随机数会在后续生成对称秘钥时用到。
    这里写图片描述

  3. Certificate
    这一步是服务端将自己的证书下发给客户端,让客户端验证自己的身份,客户端验证通过后取出证书中的公钥。
    这里写图片描述

  4. Server Key Exchange
    如果是DH算法,这里发送服务器使用的DH参数。RSA算法不需要这一步。
    这里写图片描述

  5. Certificate Request
    Certificate Request 是服务端要求客户端上报证书,这一步是可选的,对于安全性要求高的场景会用到。

  6. Server Hello Done
    Server Hello Done 通知客户端 Server Hello 过程结束。
    这里写图片描述

  7. Certificate Verify
    客户端收到服务端传来的证书后,先从 CA 验证该证书的合法性,验证通过后取出证书中的服务端公钥,再生成一个随机数 Random3,再用服务端公钥非对称加密 Random3 生成 PreMaster Key。

  8. Client Key Exchange
    上面客户端根据服务器传来的公钥生成了 PreMaster Key,Client Key Exchange 就是将这个 key 传给服务端,服务端再用自己的私钥解出这个 PreMaster Key 得到客户端生成的 Random3。至此,客户端和服务端都拥有 Random1 + Random2 + Random3,两边再根据同样的算法就可以生成一份秘钥,握手结束后的应用层数据都是使用这个秘钥进行对称加密。为什么要使用三个随机数呢?这是因为 SSL/TLS 握手过程的数据都是明文传输的,并且多个随机数种子来生成秘钥不容易被暴力破解出来。客户端将 PreMaster Key 传给服务端的过程如下图所示:
    这里写图片描述

  9. Change Cipher Spec(Client)
    这一步是客户端通知服务端后面再发送的消息都会使用前面协商出来的秘钥加密了,是一条事件消息。
    这里写图片描述

  10. Encrypted Handshake Message(Client)
    这一步对应的是 Client Finish 消息,客户端将前面的握手消息生成摘要再用协商好的秘钥加密,这是客户端发出的第一条加密消息。服务端接收后会用秘钥解密,能解出来说明前面协商出来的秘钥是一致的。
    这里写图片描述

  11. Change Cipher Spec(Server)
    这一步是服务端通知客户端后面再发送的消息都会使用加密,也是一条事件消息。

  12. Encrypted Handshake Message(Server)
    这一步对应的是 Server Finish 消息,服务端也会将握手过程的消息生成摘要再用秘钥加密,这是服务端发出的第一条加密消息。客户端接收后会用秘钥解密,能解出来说明协商的秘钥是一致的。
    这里写图片描述

  13. Application Data
    到这里,双方已安全地协商出了同一份秘钥,所有的应用层数据都会用这个秘钥加密后再通过 TCP 进行可靠传输。

CA颁发证书主要内容:
指纹算法:将证书内容进行HASH计算的算法,如sha1

指纹:证书内容HASH以后的内容(不可逆),用户识别证书是否篡改

签名算法:对指纹进行签名的算法(CA用自己的私钥对指纹签名,浏览器通过内置CA跟证书公钥进行解密,如果解密成功就确定证书是CA颁发的)。

原文地址:http://www.jianshu.com/p/7158568e4867

您可能感兴趣的与本文相关的镜像

PyTorch 2.6

PyTorch 2.6

PyTorch
Cuda

PyTorch 是一个开源的 Python 机器学习库,基于 Torch 库,底层由 C++ 实现,应用于人工智能领域,如计算机视觉和自然语言处理

TSL握手过程
庸才
10-09 536
     Client Hello 由客户端发起,主要包含SSL version、Random1、Support Suites以及Session ID    Server Hello 服务器返回,主要包含Random2、Cipher Suite              Certificate 服务器下放给客户端的证书   Server Key Exch...
TSL/SSL握手过程总结
binger-csdn的博客
04-10 941
一.TSL/SSL握手的目的 身份验证:可以通过证书进行对身份进行验证 算法协商:通讯双方可以通过算法的协商出双方都支持的算法 秘钥协商:主要的密钥协商算法有两种RSA,、DH,我们使用的非对称加密的方式,目的是协商一个对称加密的秘钥,用于数据传输过程中 二.TSL/SSL的Record报头 1、类型Type:占一个字节,主要有一下类型Handshake(0x16)、Change Cip...
TLS握手流程分析
weixin_43894455的博客
01-15 4050
客户端发送:用于初始化会话消息,该消息主要包含如下信息:: 客户端发送它所支持的最高 SSL/TLS 版本;:一个 32 字节的客户端随机数,该随机数被服务端生成通信用的对称密钥(master secret);:session ID 被客户端用于恢复之前的会话: 客户端发送它所支持的加密套件列表服务端发送:服务端发送双方所支持的最高的 SSL/TLS 版本;:一个 32 字节的服务端随机数,被客户端用于生成通信用的对称密钥(master secret);:用于会话恢复;
HTTPS-TSL握手
lxd_max的博客
04-13 774
https从RSA算法握手过程,到ECDHE算法区别
TSL四次握手
include的博客
02-23 1645
RSA 和 ECDHE 握手过程的区别:● RSA 密钥协商算法「不支持」前向保密,ECDHE 密钥协商算法「支持」前向保密;● 使用了 RSA 密钥协商算法,TLS 完成四次握手后,才能进行应用数据传输,而对于 ECDHE 算法,客户端可以不用等服务端的最后一次 TLS 握手,就可以提前发出加密的 HTTP 数据,节省了一个消息的往返时间;● 使用 ECDHE, 在 TLS 第 2 次握手中,会出现服务器端发出的「Server Key Exchange」消息,而 RSA 握手过程没有该消息;
TLS/SSL 工作原理及握手过程详解
aliyun3的博客
04-21 2786
前言 本文是对 HTTPS 安全基础、TLS/SSL 工作原理及握手过程的总结。第一部分介绍为 HTTPS 提供安全基础的 TLS/SSL 的基础概念,及数据传输过程中密钥协商的原因。第二部分介绍密钥协商过程中存在的问题,及解决办法,其中会涉及 PKI、CA 等概念。最后介绍 TLS/SSL握手过程。 HTTP 和 HTTPS 的区别:https://blog.youkuaiyun.com/qq_38289815/article/details/80969419 TLS/SSL 基础概念 概念源自百
c语言 tls单向认证 验证证书,使用wireshark观察SSL/TLS握手过程--双向认证/单向认证...
weixin_29187895的博客
05-24 1463
SSL/TLS握手过程可以分成两种类型:1)SSL/TLS 双向认证,就是双方都会互相认证,也就是两者之间将会交换证书。2)SSL/TLS 单向认证,客户端会认证服务器端身份,而服务器端不会去对客户端身份进行验证。我们知道,握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程,而且握手过程是明文的。这个过程实际上产生三个随机数:client random, server random, ...
深入解读HTTPS、SSL/TSL及证书配置与认证
《HTTPS 中双向认证SSL 协议的具体过程》和《Ubuntu使用OpenSSL生成数字证书详解》两篇文章,一个可能侧重于解释HTTPS协议中双向认证的具体步骤,另一个则可能详解了在Ubuntu系统中如何使用OpenSSL工具生成和管理SSL...
网络安全协议:SSL/TLS与IPSec
shejizuopin的博客
04-03 1287
SSL/TLS是一种加密协议,用于在互联网上提供安全的通信。它通过加密数据、验证服务器身份和确保数据完整性来保护Web通信。SSL是TLS的前身,TLS是SSL的升级版,目前TLS已成为主流。IPSec是一种网络层安全协议,用于保护IP网络上的数据传输。它提供加密、认证和完整性保护,确保数据在传输过程中不被窃听、篡改或伪造。SSL/TLS和IPSec是网络安全领域的重要协议,它们分别在网络传输层和网络层提供安全保护。通过合理配置和优化,可以确保Web通信和网络数据传输的安全性。
SSL握手过程详解
Hannah_zh的博客
02-25 691
https的优势: 通讯过程的hash生成的摘要,保证数据完整性 握手过程的非对称加密,传输过程的对称加密,保证数据私密性 证书保证双方身份的真实性 https大致过程 建立服务器443端口连接 SSL握手:随机数,证书,密钥,加密算法 发送加密请求 发送加密响应 关闭SSL 关闭TCP SSL握手大致过程: 客户端发送随机数1,支持的加密方法(如RSA公钥加密) 服务端发送随机数2,和服务器...
SSL交互和握手过程
11-08
SSL交互和握手过程 SSL消息按如下顺序发送: 1.Client Hello 客户发送服务器信息,包括它所支持的密码组。密码组中有密码算法和钥匙大小; 2.Server Hello 服务器选择客户和服务器都支持的密码组到客户。 3.Certificate 服务器发送一个证书或一个证书链到客户端,一个证书链开始于服务器公共钥匙证书并结束于证明权威的根证书。这个消息是可选的,但服务器证书需要时,必须使用它。
SSL工作过程
xnasda的博客
12-03 7952
SSL介绍: SSL 是“Secure Sockets Layer”的缩写,中文叫做“安全套接层”。它是在上世纪90年代中期,由网景公司设计的。到了1999年,SSL 应用广泛,已经成为互联网上的事实标准。IETF 就把SSL 标准化。标准化之后SSL被改为 TLS(Transport Layer Security传输层安全协议)。 SSL协议分为两层: SSL记录协议 (SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能。 SS
TLS 握手过程介绍
mayue_web的博客
03-30 2085
TLS 了解
HTTPS协议自我总结之一 SSL/TSL握手过程分析
liuqi_topwell的博客
11-26 631
最近几天突然对HTTPS的内部工作流程有点好奇,所以跟同事一起查阅资料探讨了一下,写下这几篇总结加深下印象。   这一篇先讲讲SSL层的握手过程,我们来根据图片一步步讲解,图片如下: 整个握手分为四个阶段: 1. 客户端像服务端发起请求,请求的信息都是明文,信息包括以下几个部分: a. content type 消息的内容类型,告诉服务器,我要握手了 handshake b. ...
SSL协议工作过程
weixin_60719780的博客
10-29 4966
1、客户端首先发送client hello消息到服务端,服务端收到客户端的消息后,再发送sever hello消息到客户端(用来协商),其中所发的hello包中包含所支持的版本号,加密套件列表,压缩算法列表,客户端、服务端随机数还有会话id。通过该过程产生的客户端随机数与服务器端随机数以及预主密钥,他们组合计算得出主密钥,然后会通过主密钥分别生成共享密钥(对称加密的密钥)、Hmac认证密钥(认证)以及初始化向量。终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清除。
ssl工作流程
m0_55753980的博客
12-04 3475
1.ssl工作流程 SSL位于应用层和传输层之间,它能够为基于TCP等可靠连接的应用层协议提供安全性保证。SSL协议本身分为两层: 上层为SSL握手协议(SSL handshake protocol)、SSLpassword变化协议(SSL change cipher spec protocol)和SSL警告协议(SSL alert protocol)。 底层为SSL记录协议(SSL record protocol)。 1.SSL握手协议:是SSL协议很重要的组成部分。用来协商通信过程中使用的加密套件(加
SSL/TSL握手解析
十三阿哥的博客
12-12 818
SSL/TLS握手过程
SSL/TSL握手中,都发生了那些事?(SSL/TSL实现过程
m0_52383454的博客
05-02 2140
概览 安全套接字层 (SSL) 是一种加密安全协议。它最初由 Netscape 于 1995 年开发,旨在确保 Internet 通信中的隐私、身份验证和数据完整性。SSL 是如今使用的现代 TLS 加密的前身。 实施 SSL/TLS 的网站的 URL 中带有“HTTPS”,而不是“HTTP”。 SSL/TLS 协议可以被划分为两层 第一层被称为握手协议层(The Handshake Layer),它由三个子协议组成。 握手协议(Handshake) 这个子协议是用来协商客户端和服务器写
SSL 连接过程详解
Mark
08-14 7744
1、SSL 简介 SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层与应用层之间对网络连接进行加密。 在标准的 HTTP 协议下,客户端与服务端直接通过 TCP 链接,以明文的形式交换数据,这样做其实在传输一些普通网页数据时并没什么问题,但是如果用户在浏览网页中,需要向服务端发送用户名、密码、银行卡号之类的敏感信息的话,我们...
ssl/tsl握手阶段包括哪些步骤?
最新发布
10-25
SSL/TLS握手阶段主要包含以下步骤: 1. **客户端发送Client Hello**:客户端向服务器发送Client Hello消息,包含支持的协议版本、加密套件列表以及一个随机数[^3]。 2. **服务器响应Server Hello**:服务器收到Client Hello后,发送Server Hello消息,其中包含选择的协议版本、加密套件,以及自己的随机数。同时,服务器会发送Server Certificate消息,包含服务器的公钥证书。最后,服务器发送Server Hello Done消息,表示服务器的初始响应结束[^3]。 3. **客户端发送Client Key Exchange**:客户端收到服务器的消息后,生成一个预主密钥,并使用服务器公钥对其加密,通过Client Key Exchange消息发送给服务器。之后,客户端根据预主密钥和之前的两个随机数生成对称密钥,并发送用对称密钥加密的Client Finished消息,表示客户端握手完成[^3]。 4. **服务器生成对称密钥并发送Server Finished**:服务器接收到客户端加密的预主密钥后,解密得到预主密钥,然后也根据预主密钥和两个随机数生成对称密钥。服务器发送用对称密钥加密的Server Finished消息,表示服务器握手完成[^3]。 5. **开始对称加密的数据传输**:双方握手完成后,开始使用对称密钥进行加密的数据传输[^3]。 ```plaintext # 以下是一个简单的SSL/TLS握手流程示意图 +-----------------------------------------------+ | 客户端 | +-----------------------------------------------+ | | Client Hello | (支持的版本,加密套件,随机数) v +-----------------------------------------------+ | 服务器 | +-----------------------------------------------+ ^ | Server Hello | (选择的版本,加密套件,随机数) | | Server Certificate | (服务器公钥证书) | | Server Hello Done v +-----------------------------------------------+ | 客户端 | +-----------------------------------------------+ ^ | Client Key Exchange | (用服务器公钥加密的预主密钥) | | [生成对称密钥] | Client Finished | (用对称密钥加密的完成消息) v +-----------------------------------------------+ | 服务器 | +-----------------------------------------------+ ^ | [解密预主密钥并生成对称密钥] | Server Finished | (用对称密钥加密的完成消息) v +-----------------------------------------------+ | 客户端 | +-----------------------------------------------+ [对称加密的数据传输开始] ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值