2 SSL/TSL 运行机制

最新推荐文章于 2022-05-02 20:46:51 发布
最新推荐文章于 2022-05-02 20:46:51 发布
阅读量336 收藏 1
点赞数
分类专栏: HTTP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hukfei/article/details/72723649
版权

SSL/TLS 运行机制

互联网的通信安全,建立在 SSL/TLS 协议之上。

1 作用

不使用 SSL/TLS 的 HTTP 通信,就是不加密的通信。所有信息明文传播,带来了以下3大风险。

  1. 窃听风险:第三方可以获知通信内容
  2. 篡改风险:第三方可以修改通信内容
  3. 冒充风险:第三方可以冒充他人身份参与通信

SSL/TLS 协议就是为了解决这3大风险而设计的,希望达到:

  1. 所有信息都是加密传输的,第三方无法窃听
  2. 具有校验机制,一旦被篡改,通信双发就会立即发现
  3. 配备身份证书,防止身份被冒充

2 历史

互联网加密通信协议的历史,几乎与互联网一样长。

1994年,NetScape公司设计了SSL协议(Secure Sockets Layer)的1.0版,但是未发布。
1995年,NetScape公司发布SSL 2.0版,很快发现有严重漏洞。
1996年,SSL 3.0版问世,得到大规模应用。
1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版。
2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。最新的变动是2011年TLS 1.2的修订版。

目前,应用最广泛的是 TLS1.0,接下来是 SSL4.0,但是主流的浏览器都已经实现了 TLS1.2 的支持。(TLS 1.0通常被标示为SSL 3.1,TLS 1.1为SSL 3.2,TLS 1.2为SSL 3.3)

3 基本运行过程

SSL/TLS 协议的基本思路是采用公钥加密罚,也就是说,client 现象 server 索要公钥,然后用公钥加密信息,服务器收到加密文件后,用自己的私钥解密。

但,这里有2个问题。

  1. 如何保证公钥不被篡改

解决方法:将公钥放在数字证书中,只要证书是可信的,公钥就是可信的。

  1. 公钥加密计算量太大,如何减少耗时

每一次对话(session),client 和 server 都会生产一个 “对话密钥” (session key),用它来加密信息。由于 “对话密钥” 是对称加密,所以运算速度非常快,而服务器公钥只用于加密 “对话密钥” 本身,这样就减少了加密运算的耗时。

因此,SSL/TLS 协议的基本过程就是以下这样的:

  1. client 向 server 索要并验证公钥
  2. 双方协商生成 “对话密钥”
  3. 双方采用 “对话密钥” 进行加密通信

上面过程的前两步,又称为 “握手阶段”(handshake)。

4 handshake 过程详解

这里写图片描述

handshake 所有的通信都是明文的

4.1 客户端发出请求

首先,client(通常是浏览器)先向 server 发出加密通信的请求。

在这一步,client 主要向 server 提供以下信息:

  1. 支持的协议版本,如 TLS 1.0 版
  2. 一个 client 生产的随机数,稍后用于生产 “对话密钥”
  3. 支持的加密方法,比如 RSA 公钥加密
  4. 支持的压缩方法

这里需要注意的是,客户端发送的信息之中不包括服务器的域名。也就是说,理论上服务器只能包含一个网站,否则会分不清应该向客户端提供哪一个网站的数字证书。这就是为什么通常一台服务器只能有一张数字证书的原因。

对于虚拟主机的用户来说,这当然很不方便。2006年,TLS协议加入了一个Server Name Indication扩展,允许客户端向服务器提供它所请求的域名。

4.2 服务器回应

server 收到 client 请求后,向 client 发出回应,回应包括了一下内容:

  1. 确认使用的加密通信协议版本。如果协议版本不一致,则 server 关闭加密通信
  2. 一个 server 生成的随机数,稍后用于生成 “对话密钥”
  3. 确认使用的加密方法,比如 RSA 公钥加密
  4. 服务器证书

除了上面这些信息,如果服务器需要确认客户端的身份,就会再包含一项请求,要求客户端提供”客户端证书”。比如,金融机构往往只允许认证客户连入自己的网络,就会向正式客户提供USB密钥,里面就包含了一张客户端证书。

4.3 客户端回应

client 收到 server 回应以后,首先验证服务器证书。如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已过期,就会向访问者显示一个警告,由其选择是否还要继续通信。

如果证书没有问题,client 就会从证书中取出 server 的公钥,然后向 server 发送以下信息:

  1. 一个随机数,改随机数会用 server 公钥加密,防止被窃听
  2. 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送
  3. client 握手结束通知,表示 client 的握手阶段已经结束。这一项同时也是前面发送的所有内容的 hash 值,用来供 server 校验。

上面第一项的随机数,是整个握手阶段出现的第三个随机数,又称”pre-master key”。有了它以后,客户端和服务器就同时有了三个随机数,接着双方就用事先商定的加密方法,各自生成本次会话所用的同一把”会话密钥”。

4.4 服务器的最后回应

server 收到 client 的第三个随机数 pre-master key 之后,计算本次回话生成的 “会话密钥”。然后,向 client 最后发送下面信息:

  1. 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送
  2. 服务器握手结束通知,表示服务器的握手阶段已经结束,这一项同时也是前面发送的所有内容的 hash 值,用来供 client 端校验。
_kaifei
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加密套件在 SSL/TLS 握手中的运用
qq_37017501的博客
12-28 5418
最近负责主机漏洞扫描的工作,其实就是简单配置下主机 IP 和端口,然后静静等待扫描结束。扫描报告一出,红色漏洞(高危漏洞)和黄色漏洞(中危漏洞)一大片,其中黄色漏洞又清一色的来自 SSL/TLS 协议的不安全加密算法,从匿名加密套件到有漏洞加密算法到弱加密算法,看得我云里雾里的,于是就趁着这个机会了解了下 SSL/TLS 协议的握手流程和加密套件。 看了下网上有介绍加密套件及其背后的 SSL/T...
TSL握手过程
庸才
10-09 420
     Client Hello 由客户端发起,主要包含SSL version、Random1、Support Suites以及Session ID    Server Hello 服务器返回,主要包含Random2、Cipher Suite              Certificate 服务器下放给客户端的证书   Server Key Exch...
SSL/TSL在握手中,都发生了那些事?(SSL/TSL实现过程)
m0_52383454的博客
05-02 1800
概览 安全套接字层 (SSL) 是一种加密安全协议。它最初由 Netscape 于 1995 年开发,旨在确保 Internet 通信中的隐私、身份验证和数据完整性。SSL 是如今使用的现代 TLS 加密的前身。 实施 SSL/TLS 的网站的 URL 中带有“HTTPS”,而不是“HTTP”。 SSL/TLS 协议可以被划分为两层 第一层被称为握手协议层(The Handshake Layer),它由三个子协议组成。 握手协议(Handshake) 这个子协议是用来协商客户端和服务器写
http 2.0 以及 SSL/TLS协议
weixin_33772645的博客
01-25 1808
http 2.01.二进制协议http2.0头数据和信息体都是二进制,并且统称为“帧”(frame):头信息帧和数据帧。二进制协议还有额外的好处,可以定义额外的帧,http2就有十几种2.多工http2.0复用tcp链接,在一个连接中,浏览器和服务器可以同时发送多个请求或者回应,并且不用按照顺序一一对应,避免了“对头阻塞”,实现了实时,双向通信。3.数据流可以指定数据的优先级,优先级越高,服务器会...
netty实现SSL/TSL双向加密认证示例
09-21
一个netty建立的SSL双向加密的服务器和客户端的简单示例。工程是IDEA创建的,直接导入即可,注意需要依赖的pom文件中的包。需要的证书文件示例也在压缩包内。
Java Socket 实现SMTP邮件发送,支持SSL/TSL
10-24
Java Socket 实现SMTP邮件发送,支持SSL/TSL
SSL/TSL一键设置.7z
05-20
SSl/TSL 环境一键设置
EMQX开启SSL/TSL及生成证书流程
08-31
1.如何开启并配置EMQX的SSL\TSL模式 2.如何生成SSL模式所需的证书
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
TSL初步了解
yangyang的专栏
10-30 6041
1.概述 TSL(Transport Layer Security)安全传输层协议 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。 TSL由两层组成:TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。 由于在TCP、UDP等方式传输数据时,数据包有可能被其他人截获,并解析出信息,这就给信息安全带来了很大的挑战。最初的SSL协议被...
一篇文章看明白 HTTP,HTTPS,SSL/TLS 之间的关系
jeanboy
07-31 3万+
HTTP,HTTPS,SSL/TSL 概述 什么是 HTTP ? 超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的 WWW 文件都必须遵守这个标准。【摘自百度百科】 伴随着计算机网络和浏览器的诞生,HTTP1.0 也随之而来,处于计算机网络中的应用层,HTTP 是建立在 TCP 协议之上,所以 HTTP ...
4. Content-Disposition 详解
热门推荐
kaifei的博客
03-04 4万+
文章目录文件下载响应头的设置Server 端实现文件下载 文件下载响应头的设置 content-type 指示响应内容的格式 content-disposition 指示如何处理响应内容。 一般有两种方式: inline:直接在页面显示 attchment:以附件形式下载 Server 端实现文件下载 打开文件,将文件内容写入到 reponse 中 设置 Response header(co...
5. X-Forwarded-For 与 Remote Addr
kaifei的博客
03-14 790
文章目录简介Remote addrX-Forwarded-For配置反向代理 简介 X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器能够获取到客户端真实的 ip。(可以被伪造,客户端发送请求时可以 override 这个请求头) REMOTE_ADDR 表示与服务器进行 TCP 连接的 IP,这个值不能够被伪造。(TCP 连接会经过三次握手,如果伪造了,便没...
3 自建 HTTPS 证书
kaifei的博客
05-25 402
自建 HTTPS 证书
1 跨域资源共享 `CORS` 详解
kaifei的博客
03-30 351
跨域资源共享 CORS 详解
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
SSL/TSL协议信息泄露漏洞(CVE-2016-2183)修复下载
12-13
Options = SSL_OP_NO_SSLv2, SSL_OP_NO_SSLv3, SSL_OP_NO_COMPRESSION ``` 在Options后面添加以下内容: ```shell , SSL_OP_NO_RC4 ``` 3.重启OpenSSL服务。使用以下命令重启OpenSSL服务: ```shell systemctl ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值