第10章 虚拟专用网

第十章虚拟专用网虚拟专用网概述14二层隧道协议2未来发展趋势5IPSec协议3行业PPT模板/hangye/SSL/TLS协议10.1访问控制概述工作回顾VPN的定义发展历史VPN的分类虚拟专用网（VPN）是以共享的公共网络基础设施为依托，实现内部网络之间互联的技术；它通过采用加密技术、隧道技术以及身份认证等技术，为用户远程接入、企业分支机构互联提供安全而稳定的信息传输虚拟通道。1.虚拟性：底层物理网络透明，运营商需满足用户服务质量与安全需求。2.专用性：通信数据保密，采用特定的保护措施，如加密、认证、密钥管理等。3.易扩展性与可管理性：易增加接入节点，支持多种数据传输，可实现多方面管理功能。虚拟专用网的技术特性10.1访问控制概述工作回顾VPN的定义发展历史VPN的分类思考以下三个问题：隧道究竟是什么？隧道怎样搭建和维护？隧道是如何为数据传输提供安全保障的？10.1访问控制概述工作回顾VPN的定义发展历史VPN的分类1990前专线时代企业分部与总部联网，租用运营商专线。非常安全，价格极其昂贵，且扩展性差。企业需要降低成本，寻找替代方案。1990中期拨号VPN用户通过Modem拨号到本地ISP，ISP通过隧道协议将数据转发到企业内网。利用公共电话网替代部分专线，速度慢。2000中期SSLVPN基于SSL/TLS协议,用户用浏览器就能建立VPN连接。SSLVPN成为远程接入的首选方案。1990末期现代VPNPPTP：微软主导，集成在Windows系统中，配置简单。但安全性较弱IPsec：由IETF标准化，安全性极高，业界主流。VPN的发展历程总结为：从昂贵的物理专线，到廉价的IP隧道，再到便捷的Web化接入，并正在向零信任架构过渡。10.1访问控制概述工作回顾VPN的定义发展历史VPN的分类按接入方式分类专线VPN：用户通过专线接入ISP路由器，实现“永远在线”的VPN服务。拨号VPN（VPDN）：用户通过拨号接入ISP，按需连接，通常需身份认证。按服务类型分类远程访问VPN（AccessVPN）：员工远程访问企业内部网络。企业内部VPN（IntranetVPN）：企业总部与分支机构通过公网构建VPN。企业外部VPN（ExtranetVPN）：企业与合作伙伴通过公网构建虚拟网，用于战略联盟等合作场景。10.1访问控制概述工作回顾VPN的定义发展历史VPN的分类1.远程访问VPN2.企业内部VPN10.1访问控制概述工作回顾VPN的定义发展历史VPN的分类企业专线VS虚拟专用网企业专线专线通常由企业独立建设，如国家电网；或者租用运营商的光纤，如四大行；建设/光纤租赁成本极高；网络不易扩展；运维难度大，设备种类多，复杂度较高；易于实现业务质量保障（QoS）；业务间可以实现物理隔离，安全性高。虚拟专用网依托运营商构建的骨干网络；根据业务需求，可以灵活选择一种或多种VPN隧道来封装业务；带宽租赁成本较低；网络易于扩展；网络运维由运营商负责，减轻企业维护成本；难以实现较高的业务质量保障（QoS）；业务间可以实现逻辑隔离，安全性较高。10.2二层隧道协议工作回顾隧道技术简介PPTPL2TP隧道技术：在公共信道(Internet)上建立的虚拟传输通道，本质上就是将IP报文封装到各类隧道协议中进行传输。第二层隧道协议：如PPTP、L2TP，主要用于远程访问VPN。第三层隧道协议：如IPSec、GRE，常用于网关到网关的VPN。第四层隧道协议：如SSL/TLS，位于传输层和应用层之间，为进程间的通信提供加密保护。隧道技术分类：10.2二层隧道协议工作回顾隧道技术简介PPTPL2TPPPTP（Point-to-PointTunnelingProtocol，点对点隧道协议）

是由微软等公司开发的较早的VPN协议之一。其主要用途包括：创建VPN：

用于在公共网络（如互联网）上建立安全的专用通道，使远程用户能够像在局域网内一样访问企业网络。数据封装与加密：

它通过隧道技术将其他协议（如IP、IPX或NetBEUI）封装在PPP（点对点协议）数据包中，以便在IP网络上传输。

10.2二层隧道协议工作回顾隧道技术简介PPTPL2TPIP数据包在进入PPTP隧道传输前，要使用PPTP协议进行封装。原始IP数据包首先被封装在PPP数据帧中，使用PPP协议加密该部分数据；而后再封装进GRE帧，GRE负责实现隧道传输；最后添加一个新IP头，以便在互联网上路由到目标VPN服务器。PPTP数据包有两种类型：PPTP控制报文和PPTP数据报文。PPTP的报文封装格式10.2二层隧道协议工作回顾隧道技术简介PPTPL2TPPPTP（点对点隧道协议）实现控制与数据分离的核心在于它使用了两个完全不同的网络连接来处理不同的任务。一个负责建立连接、断开连接，另一个负责传输实际的上网数据。1.控制通道：使用

TCP

协议，端口号是

1723。工作方式：建立连接：

当你的主机想连接VPN时，首先会向服务器的1723端口发起TCP三次握手，建立一个可靠的连接。管理与维护：

连接建立后，双方通过这个通道交换控制报文，进行身份验证（如PAP、CHAP），协商加密参数，以及配置网络参数（如分配IP地址、DNS服务器等）。保活与断开：

在VPN使用过程中，通过该通道发送EchoRequest来检测连接是否存活。当你想断开VPN时，也通过这个通道发送终止请求。特点：

使用TCP保证了控制报文一定可靠、按序的到达，确保连接状态能正确同步。10.2二层隧道协议工作回顾隧道技术简介PPTPL2TP2.数据通道：数据通道负责传输真正的用户数据（例如浏览网页、下载文件的流量）。该通道不使用TCP或UDP，而直接使用网络层协议

GRE（通用路由封装，GenericRoutingEncapsulation）。在IP头部中，协议号字段标识为

47。工作方式：封装数据：

原始数据包（如一个访问网页的HTTP请求）先被PPP协议封装（可能经过MPPE加密），然后整个被塞进一个GRE包中。传输：

GRE包外层再套上一个新的IP头（源地址是你的电脑公网IP，目标地址是VPN服务器的公网IP），然后发送到互联网上。解封装：

VPN服务器收到这个协议号为47的包后，剥掉外层的IP头和GRE头，取出里面的PPP帧（包含原始数据），然后转发到目标网站。10.2二层隧道协议工作回顾隧道技术简介PPTPL2TP特征PPTPL2TP（通常与IPsec搭配）基础协议基于PPP，GRE隧道基于L2TP，通常使用UDP默认端口/协议TCP1723+IP协议47（GRE）UDP1701加密强度弱（MPPE，RCA算法）强（IPsec，AES/3DES算法）数据完整性验证无/弱强（IPsecESP头提供哈希验证）封装开销较小较大NAT穿透困难（依赖GREALG）较好（支持NAT-T）安全性现状不安全，易被破解安全

（在正确配置下）主要使用场景已淘汰的旧系统兼容仍广泛用于需要高安全性的远程访问L2TP（Layer2TunnelingProtocol，第二层隧道协议）和PPTP都是早期流行的VPN协议。它们的主要区别体现在协议基础、安全性、封装结构、默认端口以及对数据的保护能力上。L2TP本身只负责隧道封装，不提供加密。通常与IPsec结合使用，由IPsec提供加密。10.2二层隧道协议工作回顾隧道技术简介PPTPL2TP某公司员工在家外地出差办公，需要访问公司内网的财务系统或文件服务器。L2TP的典型应用场景：远程办公接入接入用户（支持L2TP协议的PC）使用客户端直接向LNS发起隧道连接请求。员工连接VPN后，会由LNS来分配一个公司内网的IP地址，从而能够访问仅限内网使用的打印机、财务系统或数据库。L2TP适用于出差员工使用PC、手机等设备接入总部服务器，实现安全高效移动办公。10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议IPSec(IPsecurity)是一种开放标准的框架结构，通信双方在IP层通过加密和数据摘要(hash)等手段，来保证数据包在Internet传输时的私密性、完整性和真实性。IPSec作为一套开放的标准安全体系结构，提供了丰富的网络安全特性：提供认证、加密、完整性和抗重放保护；加密密钥的安全产生和自动更新；支持强加密算法来保证安全性；支持基于证书的认证；兼容下一代加密算法和密钥交换协议。10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议传输模式：常用于保证主机之间端到端通信的安全，并对源端进行鉴别。采用身份认证、数据保密性和数据完整性等安全保护措施加密、认证数据净荷部分；保护高层数据，如TCP/UDP安全关联建立在数据源端和目的端之间隧道模式：常用于在两个子网之间建立安全通道，由防火墙/路由器实现。将整个IP分组作为另一个IP分组的净荷的封装方式保护数据包在子网之间传输的安全性安全关联的两端为隧道的两端10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议传输模式中，AH和ESP只处理原有IP数据包中的有效负载，并不修改原有IP报头。报文传输过程中，一旦认证字段包含的数值被修改，将导致接收端重新计算的认证值与原认证数据不符，接收端将丢弃该认证失效的报文。（完整性保护）认证内容包括：IP首部里的所有在传输过程中内容不改变的字段值除鉴别数据外其他字段值报文中的净荷传输模式的主要特点10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议隧道模式中，原有IP包被当作一个新IP包的有效载荷，然后再添加一个新的IP首部。路由器扮演IPSec代理，源主机端的路由器加密数据包；目的主机端的路由器解密出IP包，然后送到目的主机。隧道模式的主要特点10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议隧道模式胜出！安全性在隧道模式下，封装后的报文其内外IP首部的地址可以不一样，因此攻击者只能确定隧道的端点，而无法知悉收发数据包真正的源和目的站点。易用性隧道模式的建立依赖与源和目的端的路由器，因此，对用户而言不用修改主机、服务器、操作系统或者任何应用程序就可以实现IPSec。传输模式VS隧道模式隧道模式胜出！10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议AH（认证报头）协议能够为IP报文提供数据完整性、身份验证和抗重放服务，但不提供数据加密服务。(1)下一个头用于标识被AH保护的真实数据是什么类型。例如，取值6表示后面跟着的是TCP报文段。(2)SPI字段：32位，用于标识安全关联（SA）。(3)序列号是一个单向递增计数器，用于抗重放攻击。(4)认证数据也叫完整性校验值。IPSec支持HMAC-SHA1-96和HMAC-MD5-96。用于计算完整性校验值的认证算法由SA指定。完整性校验的内容包括：IP包头（固定不变的字段内容）、AH头（除“认证数据”字段外其他所有字段，“认证数据”字段置0）、原始IP数据包中的payload。AH字段的含义描述如下：10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议传输模式下，IP首部中协议字段的值变为51，表示IP包头后紧跟的是AH载荷，而IP首部中原有的协议字段值被记录在AH头中的下一个头字段。隧道模式下，在AH头前面添加了一个新IP头。“内层”原始IP包中包含了通信的原始地址；“外层”新IP首部则包含了IPSec隧道端点的地址。不同工作模式下AH协议的封装格式注意：隧道模式下，AH头中的下一个头字段取值

4，表示

AH保护的是一个完整的IP数据报。10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议封装安全载荷（ESP）协议ESP提供机密性、数据源身份验证、数据完整性和抗重放服务。ESP头可插在IP头之后、上层协议头之前，或在封装的原始IP头之前（隧道模式）。传输模式下ESP报文封装格式隧道模式下ESP报文封装格式10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议ESP协议报文字段含义描述如下：(1)下一个头：标识IP载荷字段的数据类型.如果在隧道模式下应用ESP，这个值就是4，表示IP-in-IP；如果在传输模式下使用ESP，这个值表示的就是它后面紧跟的负载类型，如TCP报文对应的就是6。(2)认证数据：该字段长度可变，它包含一个完整性校验值(ICV)。认证数据是可选的，只有SA选择认证服务，才包含认证数据字段。10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议字段是否被认证IP头（外层新头）❌

不认证ESP头

（包含SPI和序列号）✅

认证初始化向量✅

认证加密后的载荷数据

（原始IP包或上层数据）✅

认证填充项（Padding）✅

认证填充长度✅

认证下一个头（NextHeader）✅

认证认证数据（ICV）❌自身不认证（存放认证值）ESP的认证是保护从ESP头开始一直到"下一个头"结束的整个ESP载荷区域。唯一没有被认证的是最外层的IP头和最后的认证数据本身。

10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议50：ESP

51：AH回忆：传输模式下，原IP首部中的协议字段内容记录在哪？1ICMPInternet控制消息

2IGMPInternet组管理

3GGP网关对网关

4IPinIP

5ST流

6TCP传输控制

7CBTCBT

8EGP外部网关协议

9IGP任何专用内部网关

10BBN-RCC-MONBBNRCC监视

11NVP-II网络语音协议

12PUPPUP

13ARGUSARGUS

14EMCONEMCON

15XNET跨网调试器

16CHAOSChaos

17UDP用户数据报10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议IKE负责的具体任务包括：协商：通过IKE协商出一套通信双方都支持的加密算法、认证方式和哈希算法。身份认证：验证通信双方的身份（如使用预共享密钥或数字证书）。密钥交换：在非安全的网络上生成和交换ESP加密的会话密钥（通常基于DH算法）。维护安全关联：建立和管理IPsec所需的SA，确保后续的数据传输有规则可循。IKE分为两个阶段：第一阶段建立IKE

SA，第二阶段建立IPSecSA。IKE使用强认证方法：①预共享密钥；②数字签名；③RSA公钥加密。IKE的全称是InternetKeyExchange（互联网密钥交换），它是一个通信双方用来协商IPSec的封装形式、加密算法、认证算法、密钥及其生命期的协议。10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议IKE具有下列功能特点：

(1)为建立IPSec隧道的两端实现安全的密钥的生成和管理。

(2)每个安全协议(AH、ESP)都有自己的安全参数索引(SPI)空间。

(3)内置保护(资源耗尽攻击、会话劫持攻击)。

(4)具有前向保密性。

(5)分阶段：先建立供密钥交换的SA，再建立供数据传输的SA。

(6)协议报文交互基于UDP协议的500端口实现。

(7)支持面向主机(IP地址)和面向用户(长期身份)的证书。

(8)ISAKMP使用强认证方法：①预共享密钥；②数字签名；③RSA公钥加密。10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议IKE工作流程第二阶段：建立IPSecSA在已建立的安全通道上协商IPSec安全参数第一阶段：建立IKESA在客户端和服务器（两个路由器）之间建立一条安全通道10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议第一阶段：建立IKESA（主模式）消息①&②：SA提议协商发起方→响应方：发送支持的安全提议（加密算法、哈希算法、认证方法、DH组等）。响应方→发起方：选择并返回一个匹配的安全提议（如AES-CBC+SHA-256+PSK+DHGroup14）消息③&④：DH密钥交换双方交换DH公开值(g^x和g^y)，生成共享会话密钥（g^xy）。消息⑤&⑥：身份认证使用共享会话密钥加密身份信息和PSK的哈希值，交换身份验证信息。若用数字签名验证，如何实现？10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议第二阶段：建立IPSecSAIKE第二阶段所有交互的消息都由第一阶段协商出的密钥进行加密和保护。第二阶段的目标是生成两个单向的IPsecSA，一共使用3条报文完成协商。10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议报文1-发起端（VPN客户端或网关的发起端）发送哈希和所需安全策略HASH1：验证消息完整性和身份认证（使用阶段1协商的密钥生成）。SA载荷：IPSec安全提议，包括ESP/AH、加密算法、哈希算法、封装模式，生命周期。Nonce-i：发起者的随机数，用于生成新鲜的密钥材料，确保每次协商的密钥不同。HASH1=PRF(SKEYID_a,消息ID∣Nonce_i∣Nonce_r∣SA载荷)SKEYID_a：认证密钥，它是一个只有通信双方知道的共享秘密，用于对所有后续IKE消息进行完整性保护。消息ID：第二阶段的唯一标识符，用于匹配请求和响应，防止重放攻击。协议：

使用ESP还是AH加密算法：

比如AES-256认证/哈希算法：

比如SHA256生存时间：

这个IPsecSA的有效期身份标识（IDci和IDcr）：

指定需要保护的具体流量。例如："保护从IP地址/24到/24的所有流量"收到报文1，接收端用自己保存的SKEYID_a，按照相同的PRF算法重新计算哈希值。如果计算结果与收到的HASH1一致，则说明：这条消息确实来自合法的对端（只有双方知道密钥SKEYID_a）。消息在传输过程中没有被篡改。10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议报文2：响应端回应确认HASH2：

完整性验证。SA载荷：IPsecSA接受，

从发起端的提议中选择一个双方都支持的策略组合。Nonce-r（随机数）：

响应端的随机数。身份标识确认（IDcr）：

确认保护哪些流量。可选的密钥交换材料（KE）：

在某些模式下，可能会再次进行Diffie-Hellman（可选，以提供完美前向安全性PFS）。如果启用了PFS，这里会包含新的公开值。VPN服务器（或网关的响应端）VPN客户端（或网关的发起端）无PFS的IKE：Phase1的DH共享密钥直接用于生成所有IPSecSA的密钥。若Phase1密钥泄露，所有IPSecSA可被解密。启用PFS的IKE：每次IPSecSA的密钥独立生成，与Phase1的密钥无关。10.3IPSec协议工作回顾IPSec概述工作模式AH协议ESP协议IKE协议VPN客户端（或网关的发起端）VPN服务器（或网关的响应端）报文3：发起端确认这个确认包告诉响应端"我已经收到了你的回应，并且协商成功了"。HASH3：

对前面所有消息的最终确认。当这三条消息交换完毕，IPsecSA就在双方的内核中成功建立了。生成密钥：

双方结合

第一阶段产生的密钥

+

第二阶段交换的两个Nonce随机数(Ni和Nr)+(如果启用PFS)新的DH交换值，通过计算得出ESP加密用户数据的对称密钥。建立两个单向的SA：SA出站：

用于发送数据。包含密钥和SPI（安全参数索引，假设为

SPI=100）。SA入站：

用于接收数据。包含密钥和SPI（假设为

SPI=200）。数据传输：

用户的数据包（例如HTTP请求）就可以被ESP协议使用已经协商好的密钥和算法进行加密，并通过网络发送。10.4SSL/TLS协议工作回顾产生背景TLS体系结构TLS记录协议TLS握手协议TLS告警协议互联网初期（如HTTP、FTP等协议）数据传输是明文的，容易被窃听、篡改或伪造。随着电子商务、在线支付等应用的普及，明文传输无法满足敏感信息（如密码、信用卡号）的保护需求。SSL由Netscape开发，用于提供互联网交易安全，经历了多个版本的演进。SSL通过加密通道、证书验证和数据完整性校验解决了明文传输问题。SSL2.0（1995年）：第一个公开发布的版本。但它存在严重设计flaws（如使用弱MD5哈希、易受截断攻击等），现已被彻底弃用。SSL3.0（1996年）：引入了现在熟知的记录层和握手协议。它奠定了现代安全协议的基础。但后来被发现存在POODLE漏洞（PaddingOracleOnDowngradedLegacyEncryption，填充预言机降级攻击），2015年后被弃用。早期互联网的安全缺陷TLS的前身：SSL协议10.4SSL/TLS协议工作回顾产生背景TLS体系结构TLS记录协议TLS握手协议TLS告警协议TLS1.0对SSL3.0进行了轻微修改；主流浏览器和PCIDSS（支付卡行业数据安全标准）2020年前后不再支持TLS1.0。1999年TLS1.1增加了对CBC攻击（如浏览器漏洞攻击套件）的防护措施。这是一个过渡性版本，目前已被淘汰。2006年TLS1.3将握手时间从两次往返减少到一次，提升了HTTPS的访问速度。强制PFS：所有密钥交换必须使用Diffie-Hellman或ECDH。2018年TLS1.2彻底摆脱了固定的哈希算法，引入了SHA-256，并支持协商；使用基于HMAC的提取-扩展密钥派生函数。它仍是互联网上使用最广泛的TLS版本之一。2008年10.4SSL/TLS协议工作回顾产生背景TLS体系结构TLS记录协议TLS握手协议TLS告警协议TLS协议由多个协议组成，采用两层协议的体系结构。应用层的各类应用(如HTTP、FTP、Telnet等)可以使用TLS协议建立的加密通道透明地传输数据。TLS协议的体系结构握手协议用于身份认证、加密算法协商和密钥交换记录协议提供分片、压缩、加密和完整性校验等功能10.4SSL/TLS协议工作回顾产生背景TLS体系结构TLS记录协议TLS握手协议TLS告警协议TLS使用对称加密来加密实际传输的数据。对称加密的密钥是通过非对称加密（如RSA或ECDHE）或Diffie-Hellman密钥交换安全协商出来的，确保只有通信双方知道共享密钥。数据加密通常使用X.509数字证书。服务器将其证书发送给客户端。客户端（如浏览器）验证证书的数字签名是否由受信任的证书颁发机构签发，以及证书中的域名是否与正在访问的网站一致。身份认证使用消息认证码。发送方在加密数据的同时会生成一个MAC标签，接收方解密密文后会重新计算MAC并进行比对。如果MAC校验失败，说明数据被篡改，TLS会直接丢弃该记录。完整性验证采用ECDHE等密钥交换算法。每次会话都会生成一个临时的会话密钥，这些临时密钥用完即弃，与服务器的长期私钥无关。即使服务器的长期私钥（证书私钥）泄露，攻击者也无法解密过去的加密通信。完美前向安全性TLS协议主要提供以下四大核心安全服务10.4SSL/TLS协议工作回顾产生背景TLS体系结构TLS记录协议TLS握手协议TLS告警协议TLS记录协议是TLS协议栈中位于传输层之上的核心封装协议。可以把它理解为所有TLS上层协议（握手协议、告警协议、变更密码规范协议以及实际的应用数据）的容器或载体。在TLS1.2及之前：先计算数据的MAC（消息认证码）并附加在后面，然后对数据+MAC一起加密。在TLS1.2及之后：

使用AEAD算法。加密和完整性校验是同时进行的，输出的是密文和一个认证标签单个记录（片段）的大小不能超过16KB10.4SSL/TLS协议工作回顾产生背景TLS体系结构TLS记录协议TLS握手协议TLS告警协议TLS握手协议是TLS协议族中最复杂的部分，它负责在客户端和服务器之间建立安全通信所需的一切参数。其主要目的是：身份认证、协商加密算法、安全地交换密钥。协商密码套件：双方确定要使用的TLS版本、加密算法、密钥交换算法（如ECDHE）、哈希算法（如SHA256）等。身份验证：验证服务器的身份（通常通过数字证书），也可选验证客户端身份。密钥交换：安全地生成共享密钥（预主密钥），并由此派生出用于加密和MAC的会话密钥。确认握手完整性：确保整个握手过程没有被篡改。TLS握手协议的核心目标10.4SSL/TLS协议工作回顾产生背景TLS体系结构TLS记录协议TLS握手协议TLS告警协议1.客户端发起协商(ClientHello)客户端发送支持的TLS版本、密码套件、随机数、会话ID等。2.服务器响应(ServerHello)服务器选择TLS版本、选择的密码套件，并返回随机数。3.Certificate

服务器发送数字证书，客户端验证证书链和签名。4.ServerKeyExchange（可选）该报文包含额外的密钥交换参数，如Diffie-Hellman密钥交换的素数和元根。5.ServerHelloDone

服务器告知客户端