Blog Icon
登陆 注册

TLS握手过程详解

作者头像
已于 2025年03月25日 18:06 修改 访问次数:0

tls通信过程

下面是完整的 TLS 认证过程每个阶段是否加密 的详细解释:

TLS 握手过程(Handshake)

TLS 握手的主要目标是确保客户端和服务器建立一个安全的连接。握手过程包括密钥交换、身份验证、生成对称加密密钥以及验证通信的完整性。以下是每个阶段的详细描述,包括是否涉及加密。


阶段 1:客户端Hello(ClientHello)

  • 加密: 否
  • 内容: 客户端向服务器发送 ClientHello 消息,其中包含:支持的 TLS 版本(例如 TLS 1.2、TLS 1.3)支持的加密算法套件(如 ECDHE-RSA-AES128-SHA256)随机数(Client Random)其他扩展字段(如 SNI、ALPN)说明: 这个阶段客户端和服务器之间的消息是 明文,并没有加密保护。客户端只是告诉服务器它支持的加密协议和算法。


阶段 2:服务器Hello(ServerHello)

  • 加密: 否
  • 内容: 服务器收到客户端的 ClientHello 后,选择协议版本和加密套件,并生成一个随机数(Server Random)。同时,服务器会发送其证书(包括公钥)以供客户端验证。说明: ServerHello 消息是 明文 的,证书中包含服务器的公钥,客户端将使用它来加密后续的密钥交换数据。


阶段 3:服务器证书验证与密钥交换(Server Certificate and Key Exchange)

  • 加密: 否
  • 内容: 服务器向客户端发送其证书,客户端使用该证书验证服务器的身份。服务器可能还会发送额外的密钥交换参数(例如 Diffie-Hellman 公共参数)。说明: 证书和密钥交换参数是 明文 传输的,客户端会使用证书中的公钥来加密后续的密钥交换数据。


阶段 4:客户端验证证书并发送密钥交换请求(Client Key Exchange)

  • 加密: 是
  • 内容:客户端验证证书: 客户端验证服务器证书的合法性,确保它由受信任的证书颁发机构(CA)签署,并且证书有效。生成并加密预主密钥(Pre-Master Secret): 客户端生成一个预主密钥,并用服务器的公钥加密后发送给服务器。服务器使用私钥解密获得相同的预主密钥。说明: 由于使用公钥加密,传输的密钥是 加密 的,只有服务器能够解密并获得预主密钥。


阶段 5:客户端Finished(客户端握手完成)

  • 加密: 是
  • 内容: 客户端使用预主密钥(Pre-Master Secret)生成会话密钥(Session Key),然后计算握手信息的哈希值,并加密该哈希值发送给服务器,作为 Finished 消息的一部分。这个消息验证握手过程没有被篡改。说明: 这时,客户端已经生成了会话密钥,之后的通信数据将使用该会话密钥进行加密。


阶段 6:服务器Finished(服务器握手完成)

  • 加密: 是
  • 内容: 服务器收到客户端的 Finished 消息后,也使用自己的会话密钥加密握手信息的哈希值,并将其发送给客户端,作为 Finished 消息的一部分。说明: 服务器同样使用会话密钥加密其 Finished 消息,确保客户端验证握手过程的完整性。


2. 数据传输阶段(Data Transfer)

一旦握手完成,客户端和服务器就建立了安全的通信通道,所有后续的数据传输都使用对称加密进行保护。

数据传输:

  • 加密: 是
  • 内容: 客户端和服务器使用 会话密钥 对传输的数据进行对称加密。对称加密算法(如 AES)使用之前生成的会话密钥对数据进行加密,确保数据的机密性。每个数据包还附加了 消息认证码(MAC),确保数据在传输过程中没有被篡改。说明: 这一阶段所有的数据传输都受到加密保护,包括请求和响应。只有会话密钥的持有者(客户端和服务器)可以解密和验证数据。


3. 连接关闭阶段(Connection Termination)

当客户端或服务器决定关闭连接时,它们会交换关闭通知消息。

阶段 1:客户端发送关闭通知(CloseNotify)

  • 加密: 是
  • 内容: 客户端用会话密钥加密 CloseNotify 消息,通知服务器连接将被关闭。说明: 客户端的关闭通知消息是 加密的,确保关闭过程安全。

阶段 2:服务器发送关闭通知(CloseNotify)

  • 加密: 是
  • 内容: 服务器收到客户端的关闭通知后,使用会话密钥加密其 CloseNotify 消息并发送给客户端。说明: 服务器的关闭通知消息也是 加密的,确保连接关闭过程的完整性和安全性。

阶段 3:连接关闭

  • 加密: 否
  • 内容: 一旦双方都交换了关闭通知,连接将安全关闭。关闭过程本身没有加密。说明: 连接的最终关闭没有加密,但前面的关闭通知消息都经过加密,保证了整个关闭过程的安全。


总结:


阶段是否加密描述
客户端Hello客户端发送的初始消息,未加密。
服务器Hello服务器选择加密套件并发送证书,未加密。
服务器证书验证与密钥交换服务器证书(公钥)明文发送给客户端。
客户端密钥交换客户端使用服务器公钥加密预主密钥后发送给服务器。
客户端Finished客户端用会话密钥加密握手信息哈希值发送给服务器。
服务器Finished服务器用会话密钥加密握手信息哈希值发送给客户端。
数据传输使用会话密钥加密的加密数据传输,确保机密性和完整性。
连接关闭关闭通知消息加密。


通过这种方式,TLS 握手 确保了双方在后续的数据传输中使用强加密算法来保护通信的机密性和完整性,而密钥交换过程则通过公钥加密来确保安全的密钥协商。

文章标签:

评论(0)