SSL主要功能在握手阶段
- SSL并不强制通信双方使用某种特定的对称密钥、公开密钥算法、或MAC算法。相反,双方可以在握手阶段自行协商在通信过程中使用的密码算法。
-
在握手阶段双方会交换一个不重数,所以实际的握手过程是客户端发送它支持的密码算法列表,连同一个客户端不重数服务端从该列表中选择一种对称算法,一种公钥算法和一种MAC算法,把他的选择,自己的证书以及一个服务端不重数发送给客户端;到此,通信双方就本次通信所使用的各种密码算法达成一致,客户端验证服务端证书,并从中获取服务端公钥,随后独立生成一个前主密钥PMS,用服务端的公钥加密该PMS,将加密后的数据发送给服务端,通信双方都掌握了前主密钥以及自身和对方的不重数;客户端和服务端使用相同的密钥导出函数,由上述前主密钥和两个不重数计算出本次会话的主密钥MS,然后将该主密钥切片生成四个密钥;最后客户端与服务器互相发送上述握手过程中传输的所有报文的一个MAC,这就是完整的SSL连接过程
- 第四步有社么用?
此前发送的报文有被篡改的风险(把可选择加密方式中较难的删除),所以第四步用来对比MAC,看是否被篡改- 不重数有社么用?
每次连接不重数不同,主密钥就不同,防止攻击者冒充客户端向服务端建立连接。
SSL的结束
不能直接发送TCP结束报文,否则攻击者先发送直接会把连接中断,所以要把结束标志放到已加密的部分
