SSL支持的认证密钥交换方法

SSL支持的认证密钥交换方法

 

一共有5中方法：

一、RSA：

a)        服务端在发送certificate message时，包含服务端的一个X.509证书（用于验证服务端的RSA公钥）；服务端不需要发送server_key_exchange；客户端产生pre_master_secret（次密钥）后，利用上述证书中的RSA公钥对其加密，并通过client_key_exchange发送到服务端，服务端利用对应的RSA私钥解密得到pre_master_secret；

b)       服务端在发送certificate message时，包含服务端的一个X.509证书（用于验证服务端的RSA公钥）；服务端临时产生一个RSA公私钥对，并在发送server_key_exchange时包含上述临时RSA公钥（指数和模）和参数签名（利用服务端证书的RSA公钥对应的私钥对临时RSA公钥的hash加密产生签名）；客户端产生pre_master_secret（次密钥）后，利用临时RSA公钥对其加密，并通过client_key_exchange发送到服务端，服务端利用对应的RSA私钥解密得到pre_master_secret；

二、Fixed Diffie-Hellman：（固定Diffie-Hellman）

服务端在发送certificate message时，包含服务端的一个X.509证书（用于验证服务端的Diffie-Hellman公钥的三个参数）；服务端不需要发送server_key_exchange；

客户端在发送certificate message时，包含服务端的一个X.509证书（用于验证客户端的Diffie-Hellman公钥的三个参数）；客户端不需要发送client_key_exchange；

双方执行Diffie-Hellman计算，产生共享次密钥；

三、Ephemeral Diffie-Hellman：(瞬时Diffie-Hellman)

服务端在发送certificate message时，包含服务端的一个X.509证书（用于验证服务端的RSA公钥）；服务端产生一个临时Diffie-Hellman参数组，发送server_key_exchange时包含临时Diffie-Hellman公钥和参数签名（利用服务端证书的RSA公钥对应的私钥对临时Diffie-Hellman公钥的hash加密产生签名）；客户端发送client_key_secret时包含客户端Diffie-Hellman公钥参数；双方执行Diffie-Hellman计算，产生共享次密钥；

四、Anonymous Diffie-Hellman：（匿名Diffie-Hellman）

服务端无需发送certificate message，在发送server_key_exchange时直接发送服务端Diffie-Hellman公钥参数；客户端在发送client_key_exchange时包含客户端Diffie-Hellman公钥参数；双方执行Diffie-Hellman计算，产生共享次密钥；

五、Fortezza:为Fortezza方案定义的技术；

参考书籍：《Cryptography and NetworkSecurity-Principles and Practice,Fifth Edition》-William Stallings

注：尊重作者的劳动成果，如需转载文章或非个人学习使用，请注明文章出处，谢谢！