【文章內容簡介】 階段就開始運作了，這就是握手協議的實質。 1．握手協議工作過程 ① 客戶（client）端發(fā)送ClientHello信息給服務器（Server）端，Server回答ServerHello。這個過程建立的安全參數包括協議版本、“佳話”標識、加密算法、壓縮方法。另外，還交換兩個隨機數：，用于計算機“會話主密鑰”。 ② Hello消息發(fā)送完后，Server端會發(fā)送它的證書和密鑰交換信息。如果Server端被認證，它就會請求Client端的證書，在驗證以后，Server就發(fā)送HelloDone消息，以示達成了握手協議，即雙方握手接通。 ③ Server請求Client證書時，Client要返回證書或返回沒有證書的指示，這種情況用于單向認證，即客戶端不裝有證書。然后，Client發(fā)送密鑰交換消息。 ④ 服務器Server此時要回答“握手完成”消息（Finished），以示完整的握手消息交換已經全部完成。 ⑤ 握手協議完成后，Client端即可與Server端傳輸應用加密數據，應用數據加密一般是用第②步密鑰協商時確定的對稱加/解密密鑰，如DES、3DE等。目前，商用加密強度為128位，非對稱密鑰一般為RAS，商用強度為1024位，用于證書的驗證。 ClientHello CertificateClientKeyExchange *CertificateVerify（ChangeCipherSpec） FinishedApplication DataServerHelloCertificateServerKeyExchangeCertificate VerifyServerHello Done FinishedApplication Data 完整的握手協議消息交換過程 其中，帶*號的命令是可選的，或依據狀態(tài)而發(fā)的消息，而改變加密算法協議（ChangeCipherSpec）并不在實際的握手協議之中，它在第③步與第④步之間，用于Client與Server協商新的加密數據包時而改變原先的加密算法。2．握手協議的作用 SSL中的握手協議，將公鑰加密技術與對稱密鑰加密技術的應用有效、巧妙地結合在一起，有機地組成了互聯網（或其他網絡）上信息安全傳輸的通道。這種信息安全通道，有其實用價值，比如，利用對稱加密技術比公鑰加密技術對大容量信息的加/解密速度要快，而公鑰技術卻提供了更好的身份認證技術。SSL的握手協議可以非常有效地讓客戶與服務器之間完成身份認證。 通過SSL客戶端與服務器傳送自己的數字證書，互驗合法性，特別是驗證服務器的合法性，可以有效地防止互聯網上虛假網站的網上釣魚事件；同時，服務器端也可以嚴格驗證客戶端的真實身份。其作用如下： ① 客戶端的瀏覽器向服務器傳送客戶端SSL協議的版本號、加密算法的種類、產生的隨機數，以及其他服務器和客戶端之間通信所需要的各種信息。 ② 服務器向客戶端傳送SSL協議的版本號、加密算法的種類、隨機數及其他相關信息，同時，服務器還將向客戶端傳送自己的證書。 ③ 客戶利用服務器傳過來的信息驗證服務器的合法性。服務器的合法性包括：證書是否過期，發(fā)行服務器證書的CA是否可靠，發(fā)行者證書的公鑰能否正確解開服務器證書的“發(fā)行者的數字簽名”，服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過，則通信將斷開；如果合法性驗證通過，則將繼續(xù)進行第④步。 ④ 客戶端隨機產生一個用于后面通信的“對稱密碼”，然后用服務器的公鑰（從步驟②中服務器的證書中獲得）對其加密，再將加密后的“預主密碼”傳給服務器。 ⑤ 如果服務器要求客戶的身份認證（在握手過程中為可選），用戶則可以建立一個隨機數，然后對其進行數字簽名，將這個含有簽名的隨機數和客戶自己的證書，以及加密過的“預主密碼”一起傳給服務器。 ⑥ 如果服務器要求客戶的身份認證，服務器則必須檢驗客戶證書和簽名隨機數的合法性。具體的合法性驗證包括：客戶的證書使用日期是否有效，為客戶提供證書的CA是否可靠，發(fā)行CA的公鑰能否正確解開客戶證書的發(fā)行CA的數字簽名，檢查客戶的證書是否在證書撤銷列表（CRL）中。檢驗如果沒有通過，則通信立刻中斷；如果驗證通過，則服務器將用自己的私鑰解開加密的“預主密碼”，然后執(zhí)行一系列步驟來產生主通信密碼（客戶端也將通過同樣的方法產生相同的主通信密碼）。 ⑦ 服務器和客戶端用相同的主密碼，即“通話密碼”，一個對稱密鑰用于SSL協議的安全數據通信的加/解密通信。同時，在SSL通信過程中還要完成數據通信的完整性，以防止數據通信中的任何變化。 ⑧ 客戶端向服務器端發(fā)出信息，指明后面的數據通信將使用步驟⑦中的主密碼為對稱密鑰，同時通知服務器客戶端的握手過程結束。 ⑨ 服務器向客戶端發(fā)出信息，指明后面的數據通信將使用步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務器端的握手過程結束。 ⑩ SSL的握手部分結束，SSL安全通道的數據通信開始，客戶和服務器開始使用相同的對稱密鑰進行數據通信，同時進行通信完整性的檢驗。 證書各部分的含義Version 證書版本號，不同版本的證書格式不同 Serial Number 序列號，同一身份驗證機構簽發(fā)的證書序列號唯一 Algorithm Identifier 簽名算法，包括必要的參數 Issuer 身份驗證機構的標識信息 Period of Validity 有效期 Subject 證書持有人的標識信息 Subject’s Public Key 證書持有人的公鑰