這篇文章主要介紹“TLS協(xié)商過(guò)程是怎樣的”，在日常操作中，相信很多人在TLS協(xié)商過(guò)程是怎樣的問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”TLS協(xié)商過(guò)程是怎樣的”的疑惑有所幫助！接下來(lái)，請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧！

10年積累的成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程，更有石阡免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

0. 前置知識(shí)

1. 非對(duì)稱(chēng)加密（比如RSA系列）算法運(yùn)作機(jī)制：RSA(PrivateKey,MSG)=ENCODE,只能RSA(PublicKey，ENCODE)=MSG;RSA(PublicKey,MSG)=ENCODE,只能RSA(PrivateKey,ENCODE)=MSG

2. RSA的難于破解基于這一數(shù)學(xué)事實(shí):

對(duì)于兩個(gè)大質(zhì)數(shù)p*q =n,與N互質(zhì)的數(shù)數(shù)量為(p-1)(q-1),當(dāng)p或者q在1024位以上的時(shí)候要想尋找N的兩個(gè)因子概率就太低了，而找到恰好的兩個(gè)因子對(duì)（PublicKey,PrivateKey）就更難了。。。

1. 流程(報(bào)文及解釋說(shuō)明，以訪問(wèn)https://www.baidu.com 為例子)

1.1. ClientHello（C2S）

字段	值	解釋
Version	TLS1.0	采用的TLS版本
Random	0acc....	客戶端生成的隨機(jī)值client_random
Cipher Suites	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	客戶端支持的加解密算法組合列表，分為3個(gè)部分密鑰交換算法(ECDHE_RSA)，批量加密算法(AES_128_GCM)，消息認(rèn)證碼算法(SHA256)

TIP: Cipher Suite 分為3個(gè)部分：

0. 密鑰交換算法:決定客戶端與服務(wù)器之間在握手時(shí)如何身份驗(yàn)證;

1. 批量加密算法：加密消息流，TLS完成之后使用的HTTP消息加密算法(對(duì)稱(chēng)加密)

2. 消息認(rèn)證碼算法：創(chuàng)建消息摘要, 報(bào)文的信息摘要算法，也就是信息的校驗(yàn)碼用于信息完整性校驗(yàn)

1.2. ServerHello(S2C)

字段	值	解釋
Version	TLS1.2	采用的TLS版本
Random	22c9c....	服務(wù)端生成的隨機(jī)值server_random
Cipher Suite	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1205_SHA256	從客戶端上報(bào)的算法組中選擇一個(gè)

1.3. CertAndServerExchange(S2C)

服務(wù)器證書(shū)下發(fā)->Certifacate:

字段	值	解釋
Version	TLS1.2	采用的TLS版本
Certificates	....	CA證書(shū)鏈，從根證書(shū)到服務(wù)器證書(shū)

證書(shū)鏈(這里可以看到和上面的證書(shū)連是一致的)：

TIP:

證書(shū)鏈的信任邏輯：

0. 購(gòu)買(mǎi)CA證書(shū)其實(shí)就是讓CA機(jī)構(gòu)使用自己的privateKey給你的Pubkey的做次加密生成一個(gè)簽名；

1. 基于這樣一個(gè)邏輯：首先A是可信任的，那么A說(shuō)B是可以信任的那么B就是可以信任的，B再說(shuō)C是可以信任的那么C也是可信任的；

證書(shū)的驗(yàn)證大體：

0. 讀取CA證書(shū)文件的公鑰簽名及證書(shū)的頒發(fā)機(jī)構(gòu)；

1. 根據(jù)頒發(fā)機(jī)構(gòu)獲取該機(jī)構(gòu)的根證書(shū)ROOTCA讀取根證書(shū)（已信任）的公鑰

2. 使用根證書(shū)的公鑰對(duì)簽名解密出CA的實(shí)際公鑰，和CA文件直接讀取的進(jìn)行匹配

3. 如果匹配則繼續(xù)讀取其他的配置判斷是否過(guò)期等等

證書(shū)基本信息(公鑰,簽名，使用人,頒發(fā)機(jī)構(gòu)等等)：

ServerKeyExchange:

字段	值	解釋
Version	TLS1.2	采用的TLS版本
Pubkey	22c9c....	Diffie-Hellman生成的安全數(shù)x 使用函數(shù)（p,g,pubKey=g^x mod p）計(jì)算pubkey后發(fā)送給Client,pubkey是使用ECDHE_RSA算法加密的，客戶端需要用同樣的算法和Certificate的公鑰進(jìn)行進(jìn)行解密
Signature*	....	本段報(bào)文的簽名算法及簽名

1.4 ServerHelloDone(S2C)

1.5 ClientKeyExchange,CiperSpecHandShakeMsg(C2S)

ClientKeyExchange:

字段	值	解釋
Pubkey	...	Diffie-Hellman生成的安全數(shù)y，根據(jù)函數(shù)pubKey=g^y mod p 生成pubkey發(fā)送給服務(wù)端，使用ECDHE_RSA算法公鑰加密后發(fā)送給服務(wù)器

ChangeCipherSpec: 切換信息加密算法(對(duì)稱(chēng)加密，在此例中為CHACHA20_POLY1205)

2.后續(xù)

2.1 生成對(duì)稱(chēng)加密密鑰

在協(xié)商過(guò)程中生成的各種隨機(jī)數(shù)會(huì)被用來(lái)生成一個(gè)會(huì)話密鑰(這個(gè)算法是通用的...)；

2.2 使用對(duì)稱(chēng)加密來(lái)生成加密HTTP報(bào)文

后續(xù)所有請(qǐng)求都是基于對(duì)稱(chēng)加密算法(在此例中為CHACHA20_POLY1205)的密文了（不會(huì)使用效率比較低的非對(duì)稱(chēng)算法）

3. TLS協(xié)商流程簡(jiǎn)化

0. 客戶端發(fā)送一個(gè)隨機(jī)數(shù)給服務(wù)端（明文）,支持的算法組

1. 服務(wù)端收到后也發(fā)送一個(gè)隨機(jī)數(shù)給客戶端（明文），要使用的算法，及數(shù)據(jù)簽名

2. 服務(wù)端發(fā)送證書(shū)文件（CA證書(shū)鏈）

3. 客戶端對(duì)證書(shū)合法性進(jìn)行校驗(yàn)（驗(yàn)簽名等等）

4. 校驗(yàn)完成后再生成第三個(gè)隨機(jī)數(shù)，第三個(gè)隨機(jī)數(shù)用證書(shū)的公鑰加密后發(fā)送給服務(wù)端，服務(wù)端用私鑰解密得到第三個(gè)隨機(jī)數(shù)（密文）。

5. 服務(wù)端和客戶端手握三個(gè)隨機(jī)數(shù)然后各自生成會(huì)話密鑰進(jìn)行會(huì)話加密。

6. 以后數(shù)據(jù)的機(jī)密解密就會(huì)使用會(huì)話密鑰進(jìn)行對(duì)稱(chēng)加解密了

4. 抓包文件

TLS-wareshark

到此，關(guān)于“TLS協(xié)商過(guò)程是怎樣的”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章！

標(biāo)題名稱(chēng)：TLS協(xié)商過(guò)程是怎樣的
URL網(wǎng)址：http://chinadenli.net/article42/ppdpec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計(jì)、ChatGPT、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、靜態(tài)網(wǎng)站、定制開(kāi)發(fā)、域名注冊(cè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)