SSL探索02

最新推荐文章于 2024-09-07 20:00:00 发布
最新推荐文章于 2024-09-07 20:00:00 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: Openssl 文章标签: openssl ticket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leokelly001/article/details/44307171
版权

这篇文章探索TLS -ticket 的重用机制.

完整的SSL握手过程为:

Client                                               Server

         ClientHello
        (empty SessionTicket extension)-------->
                                                         ServerHello
                                     (empty SessionTicket extension)
                                                        Certificate*
                                                  ServerKeyExchange*
                                                 CertificateRequest*
                                      <--------      ServerHelloDone
         Certificate*
         ClientKeyExchange
         CertificateVerify*
         [ChangeCipherSpec]
         Finished                     -------->
                                                    NewSessionTicket
                                                  [ChangeCipherSpec]
                                      <--------             Finished
         Application Data             <------->     Application Data
使用TLS-ticket 的session复用机制时 

 

Client                                                Server
         ClientHello
         (SessionTicket extension)      -------->
                                                          ServerHello
                                      (empty SessionTicket extension)
                                                     NewSessionTicket
                                                   [ChangeCipherSpec]
                                       <--------             Finished
         [ChangeCipherSpec]
         Finished                      -------->
         Application Data              <------->     Application Data
 可见复用session可以缩短建立连接的时间. 

 


 
 

复用session的流程:
 

在一次完整的SSL握手过程中,服务端会将ticket返回给客户端,客户端将此ticket保存,下次再进行连接时携带此ticket便可以回复session.
 

需要注意的是,ticket是ssl_st中的一个字段不能够单独保存,需要将整个session进行保存.
 

流程:
 

a. client1.cpp中建立SSL连接后,通过SSL_SESSION *session0 = SSL_get_session(ssl);得到session,然后通过PEM_write_SSL_SESSION(fp, session0);将session保存至文件中
 

b. client2.cpp若想重用上面的session,需要通过PEM_read_SSL_SESSION(fp, NULL, NULL, NULL);从文件中读取session.
 

c. 然后通过SSL_set_session(ssl, session_new);将其设置,这样便实现了连接复用.
 

注意:必须调用SSL_set_session(ssl, session_new);将其设置,否则仍是完整的连接.
 


 
 

示例代码如下:
 

client1.cpp(将session保存)
 

 

int main(int argc, char * *argv) {
	int sockfd, len;
	struct sockaddr_in dest;
	char buffer[MAXBUF + 1];
	SSL_CTX * ctx;
	SSL * ssl;

	/* SSL 库初始化*/
	SSL_library_init();
	/* 载入所有SSL 算法*/OpenSSL_add_all_algorithms();
	/* 载入所有SSL 错误消息*/
	SSL_load_error_strings();
	/* 以SSL V2 和V3 标准兼容方式产生一个SSL_CTX ,即SSL Content Text */
	ctx = SSL_CTX_new(SSLv23_client_method());
	if (ctx == NULL) {
		ERR_print_errors_fp(stdout);
		exit(1);
	}
	/* 创建一个socket 用于tcp 通信*/
	if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
		perror("Socket");
		exit(errno);
	}
	printf("socket created\n");
	/* 初始化服务器端(对方)的地址和端口信息*/
	bzero(&dest, sizeof(dest));
	dest.sin_family = AF_INET;
	//设置连接的端口
	dest.sin_port = htons(443);
	//设置连接的IP地址

	char *addr3 = "115.239.210.27";
	if (inet_aton(addr3, (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
		perror(argv[0]);
		exit(errno);
	}
	printf("address created\n");
	/* 连接服务器*/
	if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
		perror("Connect ");
		exit(errno);
	}
	printf("server connected\n");

	/* 基于ctx 产生一个新的SSL */
	ssl = SSL_new(ctx);
	/* 将新连接的socket 加入到SSL */
	SSL_set_fd(ssl, sockfd);

	/* 建立SSL 连接*/
	if (SSL_connect(ssl) == -1) {
		ERR_print_errors_fp(stderr);
	} else {
		printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
		ShowCerts(ssl);
	}

	SSL_SESSION *session0 = SSL_get_session(ssl);

	FILE * fp;
	int leng = 20;
	int numwritten = 0;
	char data[leng];
	fp = fopen("/home/shuyan/file1.txt", "w+");

	if (fp == NULL) {
		printf("can't open file \n");
	} else {
		printf("open sucess\n");

		//将session 保存至文件中
		<span style="color:#ff0000;">PEM_write_SSL_SESSION(fp, session0);</span>
		fclose(fp);
	}

	unsigned char * session_id1 = session0->session_id;
	//cout << "sessionid : " << session_id << endl;
	int len3 = session0->session_id_length;
	cout << "session length:" << len3 << endl;
	unsigned char * ticket1 = session0->tlsext_tick;
	cout << "ticket:" << ticket1 << endl;
	size_t ticklen1 = session0->tlsext_ticklen;
	cout << "ticklen:" << ticklen1 << endl;
	long tick_lifetime_hint1 = session0->tlsext_tick_lifetime_hint;
	cout << "tick_lifetime_hint:" << tick_lifetime_hint1 << endl;

	/* 关闭连接*/
	SSL_shutdown(ssl);
	SSL_free(ssl);
	close(sockfd);
	SSL_CTX_free(ctx);

	return 0;
}
 

 client2.cpp(从文件中恢复session) 

 

 

int main(int argc, char * *argv) {
	int sockfd;
	struct sockaddr_in dest;
	char buffer[MAXBUF + 1];
	SSL_CTX * ctx;
	SSL * ssl;
	FILE *fp;

	/* SSL 库初始化*/
	SSL_library_init();
	/* 载入所有SSL 算法*/OpenSSL_add_all_algorithms();
	/* 载入所有SSL 错误消息*/
	SSL_load_error_strings();

	//---------------------------再次连接--------------------------------------

	//这里从文件中恢复session
	fp = fopen("/home/shuyan/file1.txt", "r");
	<span style="color:#ff0000;">SSL_SESSION * session_new = PEM_read_SSL_SESSION(fp, NULL, NULL, NULL);</span>
	if (session_new != NULL) {
		unsigned char * ticket2 = session_new->tlsext_tick;
		cout << "new ticket :" << ticket2 << endl;
	} else {
		cout << "=======NULL========" << endl;
	}

	ctx = SSL_CTX_new(SSLv23_client_method());
	/* 基于ctx 产生一个新的SSL */
	ssl = SSL_new(ctx);

	//必须有这一步骤,否则不会进行复用.
	SSL_set_session(ssl, session_new);
	/* 创建一个socket 用于tcp 通信*/
	if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
		perror("Socket");
		exit(errno);
	}
	printf("socket created\n");
	/* 初始化服务器端(对方)的地址和端口信息*/
	bzero(&dest, sizeof(dest));
	dest.sin_family = AF_INET;
	//设置连接的端口
	dest.sin_port = htons(443);
	//设置连接的IP地址

	char *addr2 = "115.239.210.27";
	if (inet_aton(addr2, (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
		perror(argv[0]);
		exit(errno);
	}
	printf("address created\n");
	/* 连接服务器*/
	if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
		perror("Connect ");
		exit(errno);
	}
	printf("server connected\n");
	/* 将新连接的socket 加入到SSL */

	SSL_set_fd(ssl, sockfd);

	/* 建立SSL 连接*/
	if (SSL_connect(ssl) == -1) {
		ERR_print_errors_fp(stderr);
	} else {
		printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
		ShowCerts(ssl);
	}

	SSL_SESSION *session2 = SSL_get_session(ssl);

	int len2 = session2->session_id_length;
	cout << "session length:" << len2 << endl;
	unsigned char * ticket2 = session2->tlsext_tick;
	cout << "ticket:" << ticket2 << endl;
	size_t ticklen2 = session2->tlsext_ticklen;
	cout << "ticklen:" << ticklen2 << endl;
	long tick_lifetime_hint2 = session2->tlsext_tick_lifetime_hint;
	cout << "tick_lifetime_hint:" << tick_lifetime_hint2 << endl;

	/* 关闭连接*/
	SSL_shutdown(ssl);
	SSL_free(ssl);
	close(sockfd);
	SSL_CTX_free(ctx);

	return 0;
}

 

 

 

 


 
 


 

                

        

        

    

  


    

      

        

            

              
                
                  leokelly001
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
『Apisix安全篇』APISIX 加密传输实践:SSL/TLS证书的配置与管理实战指南

				
			

			

				

					老陈聊架构
				

				

					03-28
					
					2573
					
				

			

		

		

			
				
🌐 本文深入探讨了Apache APISIX在现代微服务架构中实现API安全的关键环节——身份认证。文章首先强调了API网关在连接API消费者和提供者中的作用,并介绍了APISIX支持的多种身份授权插件,如Key Authentication、Basic Authentication、JWT Authentication等。

			
		

	



                

              
                



	

		

			

				
					
Nginx 与 HTTPS:SSL 终止与 Offloading

				
			

			

				

					java专栏
				

				

					09-03
					
					1612
					
				

			

		

		

			
				
SSL 终止(SSL Termination)是指在 Nginx 这样的反向代理服务器上结束 SSL/TLS 加密连接的过程。当客户端(比如你的浏览器)通过 HTTPS 协议发起请求时,请求首先到达 Nginx,然后 Nginx 解密这些请求,并将它们转发给后端的应用服务器。这样做的好处是,后端服务器只需要处理未加密的 HTTP 请求,而不需要自己处理 SSL 加密解密的工作。

			
		

	



                


  
              

                


	

		

			

				
					
Ticket机制

				
			

			

				

					daobuxinzi的博客
				

				

					02-08
					
					582
					
				

			

		

		

			
				
Ticket简介:把一些常用的不经常改变的信息打包发送给客户端,然后客户端每次请求的时候都把这个信息带过来,这样服务端就可以减少查库或者远程调用的次数

某逛商场,理发,洗浴,住宿,店主或老板在你消费之后会给你一张所谓的“会员卡”,等你再次来消费的时候,只需出示此卡,商家就会视你为其顾客,使你享受该有之优惠并采取积分措施并计入磁卡,此事之办成,全凭一张卡,此卡商家并不保留,而全由顾客持有,为防止会员卡伪造而骗取优惠,可能会员卡上会有一条磁条,该磁条作防伪只用,商家只需将卡在其特定机器上只一刷便可知卡之真伪。

			
		

	





	

		

			

				
					
SSL握手通信详解及linux下c/c++ SSL Socket(另附SSL双向认证客户端代码)

				
			

			

				

					轻飘飞扬
				

				

					03-11
					
					3万+
					
				

			

		

		

			
				
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLSSSL在传输层对网络连接进行加密。
  安全证书既包含了用于加密数据的密钥,又包含了用于证实身份的数字签名。安全证书采用公钥加密技术。公钥加密是指使用一对非对称的密钥进行加密或解密。每一对密钥由公钥

			
		

	



		

			
		



	

		

			

				
					
OPENSSL关键数据结构之一:SSL

				
			

			

				

					w9521423的博客
				

				

					10-26
					
					1万+
					
				

			

		

		

			
				
     SSL作为OPENSSL一个关键数据结构一点都不过分,无论是在SSL初始化连接,还是在读写数据,SSL数据结构都起着重要作用。SSL这个数据结构将SSL协议复杂的连接过程都封装在内部,提供一个简单的接口让用户调用,就象调用WINSOCK的连接函数一样简单。掌握OPENSSL,了解SSL内部结构非常必要。     SSL的数据结构struct ssl_st    {    /* proto

			
		

	





	

		

			

				
					
SSL编程指南

				
			

			

				

					rzytc的博客
				

				

					02-13
					
					1万+
					
				

			

		

		

			
				
本文将介绍如何使用openssl APIs 实现一个简单的SSL 客户端和服务端虽然SSL客户端和服务端在创建和配置上有所区别,但它们本质上的步骤可以总结为如下图,具体步骤将在后面章节介绍:初始化SSL库在SSL应用程序中调用其他Openssl APIs,需要先用下面的APIs进行初始化:SSL_library_init(); /* 为SSL加载加密和哈希算法 */

			
		

	





	

		

			

				
					
SSL编程- 简单函数介绍

					
热门推荐

				
			

			

				

					裸奔的蜗牛
				

				

					12-10
					
					6万+
					
				

			

		

		

			
				
SSL编程

OpenSSL是一个开放源代码的SSL协议的产品实现,它采用C语言作为开发语言,具备了跨系统的性能。调用OpenSSL的函数就可以实现一个SSL加密的安全数据传输通道,从而保护客户端和服务器之间数据的安全。


头文件:
#include 
#include 

基于OpenSSL的程序都要遵循以下几个步骤:

(1 ) OpenSSL初始化

在使用Ope

			
		

	





	

		

			

				
					
ApacheFtpServer之ssl配置

				
			

			

				

					03-25
				

			

		

		

			
				
### ApacheFtpServer之ssl配置详解  #### 一、FTPS概述  FTPS(File Transfer Protocol Secure)...此外,还可以进一步探索更高级的SSL/TLS配置选项,如支持不同的密码套件、调整证书有效期等,以满足特定的安全需求。

			
		

	





	

		

			

				
					
Nginx与SSL/TLS:实现HTTPS安全通信的最佳实践

					
最新发布

				
			

			

				

					java专栏
				

				

					09-07
					
					1113
					
				

			

		

		

			
				
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是两个加密协议,它们是数字世界中保护信息安全的盾牌。SSL是最初的版本,后来被TLS所取代。不过,人们通常还是习惯将它们统称为SSLSSL/TLS的作用是为数据传输提供一个安全层,确保数据在传输过程中不被窃听或篡改。它们通过使用加密算法来实现这一点,只有拥有正确密钥的人才能解读加密后的数据。

			
		

	





	

		

			

				
					
Nginx 与 HTTPS 卸载:SSL 终止点大揭秘

				
			

			

				

					java专栏
				

				

					09-02
					
					1855
					
				

			

		

		

			
				
HTTPS 卸载是指在客户端与服务器之间建立 HTTPS 连接后,在服务器端将 HTTPS 流量转换为 HTTP 流量的过程。简单来说,就是把加密的 HTTPS 流量“卸载”成非加密的 HTTP 流量。这样做的好处是可以减轻后端服务器的压力,因为加密和解密操作通常比较耗时。通过这篇俏皮可爱的指南,我们不仅了解了如何在 Nginx 中实现 HTTPS 卸载(SSL 终止点),还学习了如何配置 Nginx 来处理 HTTPS 请求,并将它们卸载为 HTTP 流量。

			
		

	





	

		

			

				
					
SSL 服务器与客户端样本代码

				
			

			

				

					白袍小将的博客
				

				

					08-14
					
					2767
					
				

			

		

		

			
				
本文为了方便进行SSL编程参考而整理,SSL编程调用的大多数流程就如如下样本代码,通过本样本代码可以比较快的测试SSL相关API。

			
		

	





	

		

			

				
					
ssl协议 Session ticket关联TLS流方法分析

				
			

			

				

					tiandao321的专栏
				

				

					06-29
					
					6414
					
				

			

		

		

			
				
1

			
		

	





	

		

			

				
					
HTTPS协议详解:TLS/SSL握手过程

				
			

			

				

					麦峰强的博客
				

				

					12-14
					
					6104
					
				

			

		

		

			
				
1、握手与密钥协商过程

基于RSA握手和密钥交换的客户端验证服务器为示例详解TLS/SSL握手过程
再看一张手绘时序图(1).client_hello
在发送的 Client Hello 中会带上自己支持的加密算法,供服务端从中挑选。由于老旧客户端会支持一些不安全的加密算法,为了提高传输安全,通常会在服务端指定一个可用算法列表,最终使用的加密类型取决于二者的交集,并按服务端优先级取第一个;如果没...

			
		

	





	

		

			

				
					
TLS协议分析

				
			

			

				

					周自信的技术博客
				

				

					04-21
					
					2万+
					
				

			

		

		

			
				
TLS协议分析

2015-09-06


本文目标:


学习鉴赏TLS协议的设计,透彻理解原理和重点细节
跟进一下密码学应用领域的历史和进展
整理现代加密通信协议设计的一般思路

本文有门槛,读者需要对现代密码学有清晰而系统的理解,建议花精力补足背景知识再读。本文最后的参考文献里有一些很不错的学习资料。

目录 :





1
2
3
4
5
6
7


			
		

	





	

		

			

				
					
观察1次ssl认证的过程

				
			

			

				

					anribras的专栏
				

				

					02-02
					
					801
					
				

			

		

		

			
				
SSL
ssl的基础知识,趁最近的项目又再熟悉下:
单向的意思是仅客户端验证服务端证书,而不需要客户端也给证书给服务端去验证.
wireshark抓取, 访问微信webapi
wx.qq.com/jslogin
协议:TLSv1.2
Client hello
random: 生成会话密钥用
Cipher suites:声明支持的算法

Server hello,Certificate,Server...

			
		

	





	

		

			

				
					
linux环境给nginx配置SSL

				
			

			

				

					青春不打烊的博客
				

				

					11-09
					
					3468
					
				

			

		

		

			
				
准备工作:证书文件、有外网的环境下安装yum,无外网搭建本地yum源、我的环境准备了yum源还是报错,重装了openssl。(注意版本,我的版本一开始是用的1.1.1h,版本不对就不行。)

如果没有安装openssl修改了nginx的配置文件启动时会报错:

nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:37

安装openssl之后要重新编译nginx

			
		

	





	

		

			

				
					
openssl 函数接口

				
			

			

				

					好习惯成就伟大
				

				

					02-02
					
					1762
					
				

			

		

		

			
				
SSL_NEW(3)                                                            OpenSSL                                                           SSL_NEW(3)

NAME
       SSL_dup, SSL_new, SSL_up_ref - create an SSL structure for a connection

SYNOPSIS
        #incl.

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值