基本 TLS 握手是指客户端和服务器之间进行协商, 以便对服务器进行身份验证并协商通信细节。在此握手过程中, 由客户端和服务器决定 TLS 版本(二者都支持的最高版本)和密码套件。在 基本 TLS 握手中只对服务器进行身份验证。
整个 TLS 握手过程需要客户端和服务器之间相互 进行身份验证。在此过程中,客户端还必须向服务器证明其身份的真实性, 然后才能建立连接。
密码套件 是指一组算法,用于在客户端和服务器进行安全通信期间对数据进行加密和身份验证 。客户端和服务器必须先就密码套件达成一致,然后才能进行超越握手的通信 。
PKI(公钥 基础设施)为管理数字证书定义了一组角色和程序。该系统 负责确保服务器和客户端签发的每个证书的真实性。在 PKI 中,证书颁发机构 (CA) 负责签发数字证书。这些证书用于验证 持证者(服务器/客户端)的真实性。
公钥 密码系统是一种使用数学相关密钥对为数据进行加密和签名的系统。 公钥密码系统中的每对密钥都包含一个广为人知的公钥和一个 只有一方知道的私钥。使用私钥给数据签名或加密,任何接收方都可以使用匹配的公钥 对数据进行身份验证和/或解密。使用公钥加密的数据只能由私钥持有人解密 。TLS 在 TLS 握手期间使用公钥密码系统。
CA 根证书证实了证书颁发机构的真实性。该根证书是最顶层的证书, 用于对证书颁发机构颁发的证书进行签名。例如, 在采用了 TLS 的 MQTT 演示中,CA 根证书可配置为使用公共 MQTT 代理(例如 test.mosquitto.org),或在使用 AWS IoT Core 时,CA 根证书是 推荐使用的 IoT Core CA 证书之一。
mbed TLS 是 TLS 的一种实现,专为内存受限的嵌入式 IoT 设备而设计。它采用了 TLS 堆栈的最小子集。
