安全协议 SSL/TLS

TLS 1.2  加密传输层

TLS是基于TCP建立两个应用进程之间的安全连接。在客户/服务器应用模式中，为了实现双向身份鉴别，仅仅在服务器端保留固定安全参数并进行单向验证是不够的。因此，有必要为每一次客户机和服务器之间的数据传输过程动态产生上诉安全参数，而且这些安全参数在每一次数据传输过程结束后自动失效，这将大大增强客户机和服务器之间数据传输的安全性。TLS就是这样一种用于完成双向身份鉴别和安全参数协商的协议。

 

 

 功能：

机密性

认证

完整性

重放保护

　　

组成

Handshake协议：包括协商安全参数和密码套件、服务器身份认证（客户端身份认证可选）、密钥交换

ChangeCipherSpec 协议：一条消息表明握手协议已经完成

Alert 协议：对握手协议中一些异常的错误提醒，分为fatal和warning两个级别，fatal类型错误会直接中断SSL链接，而warning级别的错误SSL链接仍可继续，只是会给出错误警告

Record 协议：包括对消息的分段、压缩、消息认证和完整性保护、加密等

 

HTTPS 工作的简化过程

1. 客户端发起HTTPS请求

用户在浏览器里输入一个https网址，然后连接到服务器的443端口

2. 服务端的配置

采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出

提示页面。这套证书其实就是一对公钥和私钥

3. 传送服务器的证书给客户端

证书里其实就是公钥，并且还包含了很多信息，如证书的颁发机构，过期时间等等

4. 客户端解析验证服务器证书

这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，比如：颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一

个随机值。然后用证书中公钥对该随机值进行非对称加密

5. 客户端将加密信息传送服务器

这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了

6. 服务端解密信息

服务端将客户端发送过来的加密信息用服务器私钥解密后，得到了客户端传过来的随机值

7. 服务器加密信息并发送信息

服务器将数据利用随机值进行对称加密,再发送给客户端

8. 客户端接收并解密信息

客户端用之前生成的随机值解密服务段传过来的数据，于是获取了解密后的内容 

 

客户端要验证服务端身份，服务端不需要验证客户端身份，只关心客服端是否掏钱

 

 

双向验证

U盾（私钥）

支付宝换手机验证