SSL和TLS協議如何提供身份驗證、機密性和完整性

SSL 和 TLS 協議使兩方能夠相互識別和驗證，並以機密性和數據完整性進行通信。 SSL 和 TLS 協議通過 Internet 提供通信安全性，並允許客戶端/服務器應用程序以保密和可靠的方式進行通信。這些協議有兩層：記錄協議和握手協議，它們位於 TCP/IP 等傳輸協議之上。它們都使用非對稱和對稱加密技術。

SSL 或 TLS 連接由成為 SSL 或 TLS 客戶端的應用程序啟動。接收連接的應用程序成為 SSL 或 TLS 服務器。正如 SSL 或 TLS 協議所定義的，每個新會話都以握手開始。 SSL 或 TLS 握手使 SSL 或 TLS 客戶端和服務器能夠建立與之通信的密鑰。了解更多SSL技術最新信息，請訪問沃通CA官網。

在客戶端和服務器身份驗證期間，有一個步驟要求使用非對稱密鑰對中的一個密鑰對數據進行加密，並使用該對中的另一個密鑰對其進行解密，消息摘要用於提供完整性。詳情請參閱SSL工作原理​​[1]​​

SSL 和 TLS 如何提供身份驗證

對於服務器身份驗證，客戶端使用服務器的公鑰來加密用於計算密鑰的數據。只有當服務器可以使用正確的私鑰解密該數據時，它才能生成密鑰。

對於客戶端身份驗證，服務器使用客戶端證書中的公鑰解密客戶端在第5步握手期間發送的數據。使用密鑰加密的已完成消息的交換（概述中的步驟7和8）確認身份驗證已完成。

如果任何身份驗證步驟失敗，則握手失敗並且會話終止。

SSL 或 TLS 握手期間的SSL證書交換是身份驗證過程的一部分。 SSL證書需由全球信任的CA機構頒發，受瀏覽器、操作系統和移動端信任。所需證書如下，其中CAx向客戶端頒發證書，CAy向SSL 或 TLS 服務器頒發證書：

僅對於服務器身份驗證，SSL 或 TLS 服務器需要：

CA頒發給服務器證書Y

服務器的私鑰

SSL 或 TLS 客戶端需要：

CA 的 CA 證書Y

如果 SSL 或 TLS 服務器需要客戶端身份驗證，則服務器通過使用向客戶端頒發個人證書的 CA（在本例中為 CA ）的公鑰驗證客戶端的數字證書來驗證客戶端的身份X。對於服務器和客戶端身份驗證，服務器需要：

CA頒發給服務器的個人證書Y

服務器的私鑰

CA 的 CA 證書X

和客戶端需要：

CA頒發給客戶的個人證書X

客戶的私鑰

CA 的 CA 證書Y

SSL 或 TLS 服務器和客戶端都可能需要其他 CA 證書來形成根 CA 證書的證書鏈。詳情請參閱如何補全SSL證書鏈​​[2]​​

證書驗證期間會發生什麼

如概述的第3步和第 6步所述，SSL 或 TLS 客戶端驗證服務器的證書，而 SSL 或 TLS 服務器驗證客戶端的證書。這個驗證有四個方面：

檢查數字簽名

檢查證書鏈；您應該擁有中間 CA 證書

檢查到期和激活日期以及有效期

檢查證書的吊銷狀態

密鑰重置

在 SSL 或 TLS 握手期間，會生成一個密鑰來加密 SSL 或 TLS 客戶端和服務器之間的數據。密鑰用於數學公式中，該公式應用於數據以將明文轉換為不可讀的密文，並將密文轉換為明文。

密鑰是從作為握手的一部分發送的隨機文本生成的，用於將明文加密為密文。密鑰還用於 MAC（消息驗證碼）算法，用於確定消息是否已被更改。

如果發現密鑰，則可以從密文中破譯消息的明文，或者可以計算消息摘要，從而允許在不被發現的情況下更改消息。即使對於復雜的算法，明文最終也可以通過對密文應用所有可能的數學變換來發現。如果密鑰被破壞，為了最大限度地減少可以解密或更改的數據量，可以定期重新協商密鑰。當密鑰重新協商後，以前的密鑰不能再用於解密用新密鑰加密的數據。

SSL 和 TLS 如何提供機密性

SSL 和 TLS 結合使用對稱和非對稱加密來確保消息隱私。在 SSL 或 TLS 握手期間，SSL 或 TLS 客戶端和服務器同意僅用於一個會話的加密算法和共享密鑰。 SSL 或 TLS 客戶端和服務器之間傳輸的所有消息都使用該算法和密鑰進行加密，確保消息即使被截獲也保持私密。 SSL 支持範圍廣泛的加密算法。因為 SSL 和 TLS 在傳輸共享密鑰時使用非對稱加密，所以不存在密鑰分配問題。

SSL 和 TLS 如何提供完整性

SSL 和 TLS 通過計算消息摘要來提供數據完整性。使用 SSL 或 TLS 確實可以確保數據完整性，前提是您的通道定義中的 CipherSpec 使用指定 CipherSpecs中的表中描述的哈希算法。

特別是，如果數據完整性是一個問題，您應該避免選擇散列算法被列為“無”的 CipherSpec。強烈建議不要使用 MD5，因為它現在已經很老了，對於大多數實際用途來說不再安全。

了解更多SSL技術最新信息，請訪問沃通CA官網。

参考​​^​​​​https://www.wosign.com/basic/howsslwork.htm​​​​^​​​​https://www.wosign.com/FAQ/faq_2018110801.htm​​