SSL 定义

SSL是一个介于HTTP协议与TCP之间的一个可选层，为数据通讯提供安全支持。SSL协议可分为两层：

SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。

SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

如果用右边的TCP/IP协议来划分，SSL是属于应用层与传输层之间的协议，如果还是用OSI七层协议划分，SSL是属于表示层与会话层的。

image.png

SSL握手过程

SSL协议的大概原理就是通过公钥加密法，也就是说，客户端先向服务器端索要公钥，然后用公钥加密信息，服务器收到密文后，用自己的私钥解密。

以下是SSL协议握手的一个主要过程，主要分为4个阶段。

SSL客户端（也是TCP的客户端）在TCP链接建立之后，发出一个ClientHello来发起握手，这个消息里面包含了
-- Client支持的SSL协议版本；
-- Client生成的随机数c1，稍后用于生成"对话密钥"；
-- Client支持的加密方法；
-- Client支持的压缩方法；
SSL的服务器端会回应一个ServerHello，这个消息里面包含了以下内容
-- Server确认使用的加密通信协议版本；
--Server生成的随机数s1，稍后用于生成"对话密钥"；
-- Server确认使用的加密方法；
-- Server 的SSL证书。
Client收到服务器回应以后，首先验证Server的证书是否有效，如果没问题，从证书里面取出Server的公钥，然后发送消息给Server，包含以下内容
-- Client生成的随机数c2，需要注意的是，这个随机数c2是经过Server公钥加密过的；
-- 告知Server 握手结束
Server收到Client消息后，使用私钥解密Client发过来的第二个随机数，同时也会发送握手结束的消息给Client。

此时，client和server都持有3个随机数，客户端和服务端用商定的算法利用3个随机数生成一个对话秘钥（session key），随后的通信就用这个秘钥进行加密解密。之所以用3个随机数，因为证书是静态的，增加随机数可以使得密钥更加有随机性。SSL协议传输过程中，使用的是由相同的3个随机数生成的对话秘钥（session key），而生成的规则是client与server商议好的算法，所以这个对话秘钥（session key）是相同的，这个加密方法称为对称加密。