OSI7层模型您可能知道计算机网络的OSI7层模型和TCP/IP层模型。 其中,SSL/TLS是通过传输层(如TCP/IP )和APP应用层(如HTTP )传输的协议。 使用“握手协议”(Handshake Protocol )和传输协议(Record Protocol )解决传输安全问题。 SSL/TLS是可选层,即使没有它也可以使用HTTP进行通信。 它的目的是解决安全问题。 也就是说,HTTPS对HTTP的精髓
安全套接字层(SSL )协议最初由Netscape定义,有两个版本: SSLv2和SSL v3 (SSL v1尚未发布); 在SSLv3之后,SSL已重命名为TLS。
合同期限建议发布了SSLv1//实际上尚未发布的sslv21995-TLSv1.22008兼容-tlsv1.22008主要是当前可用的最新版本的tlsv1.3///2201999
图解如下
以下信息由图解客户端发出请求(客户端帮助)并提供给服务端
支持的SSL/TLS协议版本
客户端支持的加密算法列表(不对称和对称算法) ) ) ) ) ) ) ) ) ) ) )。
支持的压缩算法列表
生成随机数number,生成session key (会话私钥)
服务端响应向客户端提供以下信息
根据客户端支持的SSL/TLS协议版本与自己的比较确定要使用的SSL/TLS协议版本,如果没有合适的版本,则关闭对话
响应加密工具包,压缩算法
的随机数number,稍后用于生成“会话密钥”
服务端的数字证书(证明自己的身份,传递公钥)。
如果需要对客户端进行认证,并提出请求提供证书的请求(SSL分为单独认证和双向认证,一般浏览器客户端只需要认证服务器的id ) )。
客户端响应
客户端收到服务端的响应后,首先验证服务端的数字证书,如果证书没有问题,则继续。 如果证书有问题,则会相应地出现提示,或直接关闭对话。 然后,客户端向服务端发送以下信息:
如果服务器端请求证书,则发送自己的数字证书以生成随机数预主密钥(randomnumber ),并使用服务器端数字证书的公钥加密。 这里用公钥加密。 服务端有私钥,所以可以获取这个随机数。 (首先确认服务端的身份。 使用服务端的公钥对自己的随机数保密。 在中,只有服务端才能解密该随机数)的代码更改通知表示,后续信息将使用双方同意的加密方法和密钥发送服务端的最后响应,如果有客户端证书,则首先验证客户端证书
使用自己的私钥解密随机数pre-master key。 此时,客户端和服务端各有三个随机数。 然后,使用原始协商的加密方法生成用于这次呼叫的“会话密钥”(session key )代码更改通知。 后续信息将通过双方同意的加密方法和密钥发送到服务器,并为每个浏览器(或客户端软件)维护session ID。 在TLS握手阶段发送到浏览器,当浏览器生成的密钥发送到服务器时,服务器会将密钥保存在相应的session ID下。 然后,浏览器为每个请求携带会话id,服务器根据会话id找到相应的密钥并解除加密
1 .数字证书的作用由权威的CA机构颁发,可以证明服务器的身份,防止jkdpy/p 2。 如何防止中间人攻击? 3 .为什么要协商对称算法呢? 由于公开秘密密钥在加密中消耗了太多资源,所以最后变更为对称加密方式进行数据的传输
4 .三个随机数角色实战客户端发出请求(客户端助手),向服务端提供以下信息
显示支持的最低版本的TSL 1.2,以及16个加密套件、随机数和会话id
服务端响应向客户端提供以下信息
可以看到,服务端提供类似的信息,仅支持TLS_CHACHA20_POLY1305_SHA256
继续…