TLS1.0 协议发布于1999年初。该协议可在Internet中提供给通信双方一条私有信道,即对通信消息进行加密。该协议主要描述了通信密钥协商的方法与通信格式的定义。分别由TLS Handshake Protocol 和 TLS Record Protocol两个子协议进行描述。虽然TLS1.0已经退出了历史舞台,但其最初的TLS设计核心过程并无太大变化。因此有助于理解TLS协议的执行过程。
TCP协议为TLS协议提供传输层服务, TLS Record Protocol在TCP协议层之上,向上提供两种服务:
- 通信双方的连接是私有的。通信过程时的数据加密方式采用对称加密。对于每一条连接来说,都有其唯一的对称密钥。用于加密数据的对称密钥是由TLS Handshake Protocol协商得到的。在特殊情况下,TLS Record Protocol层的数据也可以不被加密。
- 通信双方的连接是可靠的。消息在传递过程中需要包含消息校验码(MAC),消息校验码采用Hash函数对消息进行摘要得出。
TLS Handshake Protocol提供密钥协商服务,该协议允许服务器与客户端相互验证对方身份、协商对称加密算法及对称密钥:
- 使用公钥加密体系对通信双方进行身份认证。身份认证过程的参与者是可选的,但至少对其中一方进行验证。
- 协商过程中的共享秘密是安全的。协商秘密的过程中,攻击者难以通过截获协商过程中的数据,来推导出通信双方的共享秘密。
- 协商过程是可信的。攻击者不可能修改协商过程中的数据
在TLS中,多数操作是需要消息MAC(消息认证码)来验证消息的真实性。传统的消息认证码,仅仅是对消息进行Hash得以获取,因此易于攻击者对其进行伪造。若通过对MAC生成过程中添加私有秘密的方法来生成消息认证码,伪造过程将十分困难(因为必须要猜出私有秘密)。使用HMAC作为消息认证码。HMAC的生成可以使用多种不同的Hash算法。
TLS Record Protocol
TLS记录协议将上层来的数据切成若干的数据块,可选择性地对这些数据块进行压缩,计算其MAC值,以及对数据进行加密,最后将经过加工后的数据放置在TCP协议中传递出去。同样地,该协议会将接受到的TCP数据,进行解密、验证、解压、重组等过程,最后向上交付数据。
TLS Record Protocol包含四个子协议,分别为:
- handshake protocol
- alert protocol
- change cipher spec protocol
- application data protocol
TLS Handshake Protocol
TLS握手协议包含三个字协议:
- 选择使用Record Protocol协商获得的加密参数
- 验证通信双方身份
- 提供协商使用的加密参数,并报告错误
加密所需的参数由该协议协商得出,在客户端与服务器开始通信时,双方需要一致协议版本、选择加密算法,对通信双方进行身份认证,并使用公钥加密体系生成共享秘密。该协议的规程如下:
- Client首先发送一个ClientHello给Server,该报文中包含版本号、随机数(Client Random)及支持的加密算法
- Server返回包括 ServerHello、Certificate(可选,服务器的认证证书)、ServerKeyExchange (可选)、CertificateRequest(可选)、ServerHelloDone 作为应答,返回给Client,该报文中包含随机数(Server Random)
- Client根据Server的ServerHello应答做出相应 Certificate(可选,当服务器应答中包含CertificateRequest时,需要提供客户端认证证书)、ClientKeyExchange、CertificateVerify(可选)、[ChangeCipherSpec]、Finish。当且仅当Client掌握公钥时,该报文中包含客户端产生的新的随机数,该随机数使用服务器Certificate中的公钥进行加密(Premaster secret)
- 服务器返回 [ChangeCipherSpec] Finished,当且仅当Server掌握公钥时,该报文中包含服务器产生的新的随机数,该随机数使用客户端的Certificate中的公钥进行加密(Premaster secret)。该过程,对方将使用三个随机数产生session key(会话密钥)
值得注意的是,整个握手阶段是不加密的,因此攻击者可获取到双方选择的加密方法以及前两个随机数,整个会话的安全性依赖于第三个随机数。至此完成TLS握手过程。