SSL/TLS协议学习笔记

最新推荐文章于 2024-09-19 10:23:48 发布
最新推荐文章于 2024-09-19 10:23:48 发布
阅读量230 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 各种基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fallfeather/article/details/115310056
本文介绍了SSL/TLS协议的握手过程,通过分析CVE-2021-3449漏洞,展示了客户端和服务器如何建立加密连接。在握手过程中,客户端首先发送client_hello,接着服务器回应server_hello、server_certificate和sever_hello_done。客户端验证服务器证书后,发送client_key_exchange,并切换到加密通信。服务器验证后,双方完成握手,开始加密通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

在分析cve-2021-3449漏洞的时候接触到了SSL/TLS协议,这个漏洞的原理为:如果从客户端发送了恶意的重新协商ClientHello消息,则OpenSSL TLS服务器可能会崩溃。如果TLSv1.2重新协商ClientHello省略了signature_algorithms扩展名(在最初的ClientHello中存在),但包括了signature_algorithms_cert扩展名,则将导致NULL指针取消引用,从而导致崩溃和拒绝服务攻击。

这里不探讨这个漏洞,我简单贴一下一些协议的基础知识,仅仅作为笔记

握手

下图为握手的大致过程

协议的学习通过抓包分析是最有效率的,这里直接抓了包,可以看到我们需要关注的只是Secure Sockets Layer(SSL)就可以了,下面有一些属性之类的值,其中比较重要的有Random(一个随机数,关系到密钥生成),Extensions(拓展功能)等等,具体字段的含义可以看下我下面的参考

整个建立连接的过程大致如下

1、client_hello(客户端发起请求,以明文传输请求信息,包含版本信息,加密套件候选列表,压缩算法候选列表,随机数,扩展字段等信息)

2、server_hello+server_certificate+sever_hello_done( server_hello, 服务端返回协商的信息结果,server_certificates, 服务器端配置对应的证书链,用于身份验证与密钥交换; server_hello_done,通知客户端 server_hello 信息发送结束;)

3、证书校验(客户端验证证书的合法性,如果验证通过才会进行后续通信,否则根据错误情况不同做出提示和操作)

4、client_key_exchange+change_cipher_spec+encrypted_handshake_message(client_key_exchange,合法性验证通过之后,客户端计算产生随机数字 Pre-master,并用证书公钥加密,发送给服务器;  change_cipher_spec,客户端通知服务器后续的通信都采用协商的通信密钥和加密算法进行加密通信; encrypted_handshake_message,结合之前所有通信参数的 hash 值与其它相关信息生成一段数据,采用协商密钥 session secret 与算法进行加密,然后发送给服务器用于数据与握手验证;)

5、change_cipher_spec+encrypted_handshake_message(计算之前所有接收信息的 hash 值,然后解密客户端发送的 encrypted_handshake_message,验证数据和密钥正确性;  change_cipher_spec, 验证通过之后,服务器同样发送 change_cipher_spec 以告知客户端后续的通信都采用协商的密钥与算法进行加密通信; encrypted_handshake_message, 服务器也结合所有当前的通信参数信息生成一段数据并采用协商密钥 session secret 与算法加密并发送到客户端;)

6、握手结束

7、加密通信

 

参考文章

https://blog.csdn.net/mrpre/category_9270159.html
https://www.wosign.com/FAQ/faq2016-0309-04.htm
https://www.uedbox.com/post/9994/

【学习笔记SSL/TLS浅析
Taki_UP的博客
08-29 2157
本篇首先对SSL/TLS做了简要的概念介绍;其次阐述了SSL/TLS如何保护我们的数据;之后介绍了抗重放和不可否认性;再之后介绍了SSL/TLS中的参与玩家;最后,我们列举出SSL证书的具体类型
【学习笔记SSL/TLS互联网安全加密技术
weixin_43598739的博客
05-19 1071
【学习笔记SSL/TLS互联网安全加密技术
HTTPS
xiaoxiongxiongshi的博客
01-29 2064
HTTPS 1.1 HTTPS握手图 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jotZTyn2-1574496457026)(./6.png)]     [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZAKH4ish-1574496457031)(./7.png)] 1.2 HTTPS握手细节 1.2.1 ClientHell...
面试题-------SSL协议简介
weixin_30826761的博客
11-09 511
SSL协议简介 SSL简介 Secure Socket Layer,为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。 SSL协议位...
TLS1.2握手过程(双方都进行身份认证)
sweet_Mary的博客
07-31 2461
该证书为Server端向Client端提供的Server证书,mtlstls主要的区别即为“m(mutual)”,mtls需要双方都提供证书,而tls只需要server证书提供给client(Server证书中含有Server的公钥,tls:将Server证书交给Client,Client将自己想好的会话秘钥用Server的公钥进行加密,再传给Server,Server再用公钥进行解密,这样双方都得到了会话秘钥)Server端让Client端发来Client的证书。根据更改的协议发送示例进行测试。
SSL/TLS 通信过程
103style
03-16 3060
目录 Wireshark抓 Client Hello Server Hello、Certificate、Server Key Exchange、Server Hello Done Client 验证 Server 证书 Client Key Exchange、Change Cipher Spec、Encrypted Handshake Message Server→New Session Ti...
二、网络基础
Sola Komorebi的博客
02-07 905
二、Linux 四层和七层负载均衡区别 1.四层负载均衡工作在OSI模型中的四层,即传输层。四层负载均衡只能根据报文中目标地址和源地址对请求进行转发,而无法修改或判断所请求资源的具体类型,然后经过负载均衡内部的调度算法转发至要处理请求的服务器。四层负载均衡单纯的提供了终端到终端的可靠连接,并将请求转发至后端,连接至始至终都是同一个。LVS就是很典型的四层负载均衡。 2.七层负载均衡工作在OSI模型的第七层应用层,所以七层负载均衡可以基于请求的应用层信息进行负载均衡,例如根据请求的资源类型分配到后端服务器,而
FTP服务学习笔记ssl/tls安全认证配置(3)
weixin_33888907的博客
11-28 1397
在Redhat5.8_X64bit上配置一、实验说明操作系统:Redhat5.8_x64bit实验平台:VMware Workstation实验目的:配置ftp基于ssl/tls安全认证二、实验步骤如下:1、安装vsftpd#yuminstallvsftpd #rpm-qlvsftpd #servicevsftpdstart #chkconfigvsftp...
【学习笔记SSL/TLS安全机制之HSTS
Taki_UP的博客
09-18 1123
本篇介绍了HSTS即HTTP严格传输安全的定义以及工作原理
【学习笔记SSL/TLS证书安全机制之证书透明
Taki_UP的博客
09-19 791
本篇简单介绍了证书透明的概念、运作机制以及3个角色
https建立过程探索
superprintf的博客
02-23 3222
参考文章学习https
HTTPS篇之SSL握手过程详解
kunyus的博客
08-07 1万+
由于最近接触到的一个项目数据有些敏感,所以需要通过加密算法保证数据的安全性。由于公司之前有一套自定义传输协议并且有配套的公共代码导致客户端人员不太愿意使用 WWS 协议。且之前的协议没有协议层的数据加密。所以想参考HTTPS的加密机制使用数据加密来保证传输安全性。遂产生本篇博客。 什么是握手? 像两个人沟通一样,握手是表示一个回话的开始。对于SSL/TLS来说,通过握手建立连接,交换客户端与服务器...
HTTPS 为什么是安全的 _ (下),三年Android开发
2401_84149619的博客
04-08 761
用于随机数生成以及 HMAC 算法。
IEEE 802.1X-PEAP认证过程分析(抓
热门推荐
hanfs390的博客
02-09 2万+
IEEE 802.1X-PEAP认证过程分析(抓)本文介绍IEEE802.1X认证的PEAP认证方式,是带有radius服务器的EAP中继认证。IEEE802.1X认证是使用EAP报文格式在申请者和认证者之间交换信息。带有radius服务器,即认证者不对申请者发送的数据进行解析处理,而是封装后直接转发给radius服务器。由radius服务器进行处理。PEAP认证方式,是在此基础上,首先建...
HTTPS工作原理及报文讲解
echo
07-27 1万+
1 HTTPS 1.1 HTTPS简介 HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务..
通过抓深入分析HTTPS
SOHU_TECH的博客
09-08 2152
本文字数:6189字预计阅读时间:16分钟Https介绍https其实是在http上加了一层(SSL/TSL)加密协议,根据维基百科的解释:❝超文本传输安全协议(英语:HyperText Transfer Protocol Secure,缩写:HTTPS;常称为HTTP over TLS、HTTP over SSL或HTTP Secure)是一种通过计算机网络进行安全通信的传输协议。❝HTTP...
https原理学习笔记
yuubeka的博客
05-22 1945
https是使用tls/ssl加密的http协议。http是明文传输,存在信息窃听、信息篡改和信息劫持的风险,而tls/ssl协议具有身份验证、完整性校验和信息加密的功能,所以可以避免这些问题。
SSL/TLS 握手过程
guochaoHNU的博客
11-20 1130
目录握手过程Client HelloServer HelloCertificateServer Key ExchangeCertificate RequestServer Hello DoneCertificate VerifyClient Key ExchangeChange Cipher Spec(Client)Encrypted Handshake Message(Client)Change Cipher Spec(Server)Encrypted Handshake Message(Server)A
使用wireshark观察SSL/TLS握手过程--双向认证/单向认证
kv110的专栏
09-14 2244
SSL/TLS握手过程可以分成两种类型: 1)SSL/TLS 双向认证,就是双方都会互相认证,也就是两者之间将会交换证书。 2)SSL/TLS 单向认证,客户端会认证服务器端身份,而服务器端不会去对客户端身份进行验证。 我们知道,握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程,而且握手过程是明文的。 这个过程实际上产生三个随机数:client random, server random, pre-master secret. 参考图解SSL/TLS协议. 前两个随机数都是明文传送的,只.
如何利用STM32单片机的硬件加密处理器和PolarSSL库来完成安全的SSL/TLS通信?请提供详细步骤。
最新发布
11-10
在面对网络通信安全性的挑战时,将硬件加密处理器与SSL库如PolarSSL结合使用是确保数据传输安全性的有效手段。为了帮助你深入理解并实践这一过程,我推荐你查看这份资料:《STM32F217单片机实现SSL加密通讯指南》。这份指南不仅含理论知识,还提供了实际操作的示例,能够直接指导你完成SSL/TLS的实现。 参考资源链接:[STM32F217单片机实现SSL加密通讯指南](https://wenku.csdn.net/doc/4u5ighjchn?spm=1055.2569.3001.10343) 首先,需要在STM32单片机上集成PolarSSL库。这可以通过下载官方提供的源码并将其编译集成到你的STM32开发环境中完成。接下来,根据应用笔记,你需要理解SSL/TLS的工作原理,尤其是握手过程、加密机制和证书验证等关键步骤。 在硬件层面上,STM32F217xx系列单片机提供了硬件加密处理器,能够执行AES、DES、SHA-1、MD5等算法。为了利用这些处理器,你需要配置它们与PolarSSL库一起工作,确保它们能够无缝协作处理加密和解密任务。这括正确初始化硬件加密单元,以及在PolarSSL中设置相应的加密算法和密钥。 具体到代码实现,你需要使用PolarSSL库提供的API来初始化SSL上下文,加载服务器或客户端证书,以及配置SSL连接参数。一旦SSL上下文准备就绪,你就可以使用PolarSSL提供的函数来建立安全连接,进行数据的加密发送和接收。此外,PolarSSL还支持会话恢复机制,这有助于提高SSL通信的效率。 完成这些步骤之后,你可以利用提供的示例代码测试和验证你的SSL通信是否安全可靠。在调试过程中,确保验证SSL/TLS握手是否成功,以及数据传输是否符合预期的安全标准。通过这些实践,你将掌握在STM32单片机上实现SSL/TLS通信的关键技术。 在你成功实现了SSL/TLS通讯之后,我建议继续深入学习《STM32F217单片机实现SSL加密通讯指南》的后续章节,这些内容将帮助你更加全面地理解网络安全协议在嵌入式系统中的应用,为今后的项目打下坚实的基础。 参考资源链接:[STM32F217单片机实现SSL加密通讯指南](https://wenku.csdn.net/doc/4u5ighjchn?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值