-
傳輸層安全
鎖定
- 中文名
- 傳輸層安全
- 外文名
- Transport Layer Security
- 類 型
- 提供保密安全信息的加密協議
- 保護數據對象
- 網站、電子郵件、網上傳真
傳輸層安全工作原理
TLS利用密鑰算法在互聯網上提供端點身份認證與通訊保密,其基礎是公鑰基礎設施(PKI)。不過在實現的典型例子中,只有網絡服務者被可靠身份驗證,而其客户端則不一定。這是因為公鑰基礎設施普遍商業運營,電子簽名證書要花大錢購買,普通大眾很難買的起證書。協議的設計在某種程度上能夠使客户端/服務器應用程序通訊本身預防竊聽、干擾(Tampering)、和消息偽造。
TLS包含三個基本階段:
對等協商支持的密鑰算法
基於公鑰加密交換對稱密鑰和基於證書的身份認證
基於對稱密鑰的數據傳輸保密
在第一階段,客户端與服務器協商所用密碼算法。 當前廣泛實現的算法選擇如下:
對稱密鑰系統:RC2、RC4、IDEA、DES、Triple DES及AES;
單向散列函數:MD5及SHA。
傳輸層安全工作方式
雙向證書認證的SSL握手過程。
首先,TLS的記錄層(Record layer)用於封裝更高層的HTTP等協議。記錄層數據可以被隨意壓縮、加密,與消息驗證碼(MAC)打包在一起。每個記錄層包都有一個content_type段用以記錄更上層用的協議。
客户端要收發幾個握手信號:
發送一個ClientHello消息,説明它支持的密碼算法列表、壓縮方法及最高協議版本,也發送稍後將被使用的隨機數。
然後收到一個ServerHello消息,包含服務器選擇的連接參數,源自客户端初期所提供的ClientHello。
服務器請求得到客户端的證書有可能成功,所以連接可以是相互的身份認證。
客户端與服務器通過加密通道協商一個共同的“主密鑰”(客户端與服務器計算隨機數),這通過精心謹慎設計的偽隨機數函數實現。結果可能使用Diffie-Hellman交換,或簡單的公鑰加密,雙方各自用私鑰解密。所有其他關鍵數據的加密均使用這個“主密鑰”。
TLS/SSL有多樣的安全保護措施:
所有的記錄層數據均被編號,序號用在消息驗證碼(MAC)中。
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:13次歷史版本
- 最近更新: w_ou