概述:<font color="#f15a23"><b>SSL VPN</b></font>即指采用SSL协议来实现远程接入的一种新型VPN技术。它包括:服务器认证,客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性
概述:<b><font color="#f15a23">TLS</font></b>(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。TLS的主要目标是使SSL更安全,并使协议的规范更精确和完善
握手流程步骤详解<br>
1.客户端首先会发送 ClientHello 消息与服务端进行握手,在 ClinentHello 消息<br>中包括了加密套件和随机数。<br>
2.在服务端接收到客户端的握手请求后,会结合自己的证书选择合适的加密套<br>件返回给客户端,并且会产生随机数一起发送。
3.服务端会继续发送 Certificate 证书消息给客户端,在 Certificate 证书消息中<br>会包含双证书,即签名证书和加密证书,加密证书放在签名证书前面。
4.服务端根据选定的握手协议,接着发送 ServerKeyExchange 消息(服务器密<br>钥交换)。如果选用的是 ECC_SM4_SM3 套件,则在消息中包含着服务端对<br>双方随机数和服务端加密证书的签名。
5.如果服务端开启了双向认证,则会继续发送 CertificateRequest(证书请求)<br>消息给客户端。(表明自己想要收到客户端的证书。)<br>
6.在客户端接收到服务端的回复后,如果收到了 5 中发送的消息,则会先回复<br>ClientCertificate 消息(证书请求)给服务端,如果没有收到,则跳过此步骤
7.如果客户端收到了 5 的请求, 则在发送完 6 的消息后紧接着发送<br>ClientKeyExchange(客户端密钥交换)给服务端,否则 ClientKeyExchange<br>(客户端密钥交换)是客户端在收到服务端消息后回复给服务端的第一条信<br>息。如果选用的是 ECC_SM4_SM3 套件,则这条消息的主要内容是用服务端<br>加密证书公钥加密的预主秘钥。
8.如果客户端发送了 6 的消息,则需要发送 CertificateVerify 消息(证书验证)<br>给服务端,这条消息用来鉴别客户端是否为证书的合法持有者。<br>
9.最后在服务端和客户端各自在密码规格变革消息后都会发送 Finished(完<br>成)消息给对方。用于验证秘钥交换过程是否成功,并校验握手过程的完整<br>性。
10.到此整个国密 SSL 握手的流程就结束了,协议双方会使用协商出来的对称<br>秘钥对通信的数据进行加解密。
