网络安全通信 SSL/TLS安全系列协议工作原理

信息安全相关 07/19 阅读 782 views次 人气 0
摘要:

SSL使用非对称加密技术实现会话双方之间信息的安全传递,可以实现信息的保密性、完整性,这样的话,所传送的数据不容易被网络黑客截获和破解,并且会话双方能鉴别对方身份。建立https连接时,浏览器与Web服务之间需要经过一个握手的过来来完成身份鉴别与密钥交换,从而建立安全连接。

SSL,英文全称是 Secure Sockets Layer,中文名为: 安全套接层协议层。

SSL是网景( Netscape )公司提出的基于 WEB 应用的安全协议。 SSL 协议指定了一种在应用程序协议(如 HTTP 、 Telenet 、 NMTP 和 FTP 等)和 TCP/IP 协议之间提供数据安全性分层的机制,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输。

SSL是netscape公司设计的主要用于web的安全传输协议;介于HTTP协议与TCP之间的可选层。


不需要校验客户端的SSL/TLS连接:

1、用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其他一些必要信息发送到服务器。

服务器将其SSL版本号、加密设置参数、与session有关的数据以及其他一些必要的信息发送到服务器,同时发给浏览器的还有服务器证书。

2、 客户端检查服务器证书,如果检查失败,提示不能建立SSL连接,如果成功,可以继续。 客户端浏览器为本次会话生成pre-master secret(预先掌握的密匙),并将其用服务器公钥加密后发送给服务器。客户端通知服务器端此后发送的消息都使用这个会话密钥进行加密,并通知服务器端已经完成本次SSL握手。

3、服务器用自己的私钥解密收到的pre-master secret,并用它通过某些算法生成本次会话的master secret。服务器通知客户端此后发送的消息都是用这个会话密匙进行加密,并通知客户端服务器已经完成了本次SSL握手。

SSL安全系列协议工作原理.1.bmp


需要校验客户端的SSL/TLS连接:

1、用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及一些其他必要的信息发送到服务器。

2、服务器将其SSL版本号、加密设置参数、与seesion有关的数据以及一些必要的信息发送到浏览器,同时发给浏览器的还有服务器的证书。如果配置服务器的SSL需要验证用户身份,还要发出请求浏览器提供的用户证书。

3、客户端检查服务器证书,如果检查失败,提示不能建立SSL连接,如果成功继续。客户端浏览器为本次会话生成pre-master secret(预先掌握的密匙),并将用服务器公钥加密后发送给服务器。如果服务器需要鉴别客户身份,客户端还有再对另外一些数据签名后并将其与客户端证书一起发送给服务器。客户端通还要通知服务器此后发送信息都要使用master secret进行加密,并通知服务器客户端已经完成本次SSL握手。

4、如果服务器要求鉴别客户身份,则检查签署客户证书的CA是否可信,如果不在信任列表中,结束本次会话。如果检查通过,服务器用自己的私钥解密后收到pre-master secret,并用它通过某些算法生成本次会话的master secret。服务器通知客户端此后发送的信息都是用master secret进行加密,并通知客户端服务器端已经完成本次SSL握手。

SSL安全系列协议工作原理.2.bmp

注意: 使用对称密钥,主要是因为对称加密比非对称加密要少一个数量级的运算,这样速度就快很多,这也是Web应用的一个要求。

评论

该文章不支持评论!

分享到: