SSL/TLS单向双向认证原理

SSL/TLS单向双向认证原理

最近在搞一个项目，其中要用到安全传输，研究了下SSL/TLS单向双向认证。
1. SSL/TLS单向认证：客户端会认证服务器端身份，服务器端不对客户端进行认证
2. SSL/TLS双向认证：客户端和服务端都会互相认证，即双发之间要证书交换
一般的应用都是单向认证，如果场景中要求对客户源做认证可以实现双向认证，下边介绍双向认证过程

认证过程

SSL消息按如下顺序发送：
1. Client Hello
客户发送服务器信息，包括它所支持的密码组。密码组中有密码算法和钥匙大小；
2. Server Hello
服务器选择客户和服务器都支持的密码组到客户。
3. Certificate
服务器发送一个证书或一个证书链到客户端，一个证书链开始于服务器公共钥匙证书并结束于证明权威的根证书。这个消息是可选的，但服务器证书需要时，必须使用它。
4. Certificate request
当服务器需要鉴别客户时，它发送一个证书请求到客户端。在网络程序中，这个消息很少发送。
5. Server key exchange
服务器当发送来的公共钥匙对钥匙交换不是很充分时，发送一个服务器钥匙交换消息。
6. Server hello done
服务器告诉客户完成它的初始化流通消息。
7. Certificate
假如服务器需要一个客户证书时，客户端发送一个证书链。(只有在服务器需要客户证书时)
8. Client key exchange
客户产生用于对称算法的一个钥匙。对RSA客户用服务器公共钥匙加密这个钥匙信息并把它送到服务器。
9. Certificate verify
在网络程序中，这个消息很少发送，它主要是用来允许服务器结束对客户的鉴别处理。当用这个消息时，客户发送用密码函数的数字签名的信息到服务端，当服务端用公共钥匙解密这个消息时，服务器能够鉴别客户。
10. Change cipher spec
客户发送一个消息告诉服务器改变加密模式。
11. Finished
客户告诉服务器它已准备安全数据通信。
12. Change cipher spec
服务器发送一个消息到客户端并告诉客户修改加密模式。
13. Finished
服务器告诉客户端它已准备好安全数据通信。这是client-server握手协议最后一步。
14. Encrypted data
客户同服务器用对称加密算法和密码函数，并用客户发送到服务器的秘密钥匙加密通信。

                                                                        SSL握手过程：摘录自《SSL与TLS》