【Python】深入理解TLS协议(附Python实现)

已于 2024-01-24 16:52:09 修改
阅读量2.8k 收藏 16
点赞数 1
分类专栏: 工具 协议 文章标签: python 开发语言
于 2023-02-21 22:22:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20623849/article/details/129151577
版权
文章详细介绍了TLS/SSL协议如何利用散列函数、对称加密和非对称加密确保数据安全传输。通过非对称加密进行身份验证和密钥协商,对称加密处理数据加密,散列函数验证信息完整性。文中还提供了使用Python生成测试证书和实现TLS认证的脚本,以及客户端和服务端的示例代码,强调了不同TLS版本兼容性对通信的影响。
摘要由CSDN通过智能技术生成

前置知识

TLS/SSL构成

TLS/SSL的功能实现主要依赖于三类基本算法:散列(哈希)函数 Hash对称加密非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列(哈希)函数验证信息的完整性。
在这里插入图片描述
可以理解为,TLS/SSL干了两件事,其一是保证传输内容不被篡改,最常用保证内容不被篡改的方法就是使用散列算法,以MD5为例,通过对传输内容计算MD5值,通过对比MD5值来验证接收数据是否完整。只有MD5只能保障数据传输完整,但不能保障别人无法看到内容,所以需要对传输的数据进行加密,这就是第二件事。

加密算法

对称加密

使用一个密码对内容进行加密和解密。常见的有DES,AES,IDEA算法。

加密:密文=加密算法(明文,密码)

解密:明文=解密算法(密文,密码)

关键点在于加密和解密使用的同一密码,且加密/解密区别于对应算法的两种不同模式。需要注意的是,在安全领域中,该算法中的密码保存本身就是一个不安全的问题。

非对称加密

非对称加密算法指的是加、解密使用不同的密钥,一把为公开的公钥,另一把为私钥。公钥加密的内容只能由私钥进行解密,反之由私钥加密的内容只能由公钥进行解密。也就是说,这一对公钥、私钥都可以用来加密和解密,并且一方加密的内容只能由对方进行解密。

加密:公钥加密,私钥解密的过程,称为「加密」

签名:私钥加密,公钥解密的过程,称为「签名」

非对称加密例子:让A写下一个任意3位数,并将这个数和91相乘;然后将积的最后三位数告诉B,这样B就可以计算出A写下的是什么数字了。

加密传输:A写下的是123 (明文),并且A计算出123 * 91 (B的公钥加密)等于11193,将结果的末三位193(加密结果)传给B;

解密过程:B把接收的193再乘以11 (B的私钥),193 * 11(解密过程) = 2123 末三位123(明文)就是A需要传输的内容;

原理:91乘以11等于1001,而任何一个三位数乘以1001后,末三位显然都不变。

使用Python实现TLS认证

生成证书脚本

# Generate the certificates and keys for testing.


PROJECT_NAME="www.test.com"

# Generate the openssl configuration files.
cat > ca_cert.conf << EOF
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME Dodgy Certificate Authority
EOF

cat > server_cert.conf << EOF
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME
 CN                     = 127.0.0.1
EOF

cat > client_cert.conf << EOF
[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no

[ req_distinguished_name ]
 O                      = $PROJECT_NAME Device Certificate
 CN                     = 127.0.0.1
EOF

mkdir ca
mkdir server
mkdir client
mkdir certDER

# private key generation
openssl genrsa -out ca.key 2048
openssl genrsa -out server.key 2048
openssl genrsa -out client.key 2048

# cert requests
openssl req -out ca.req -key ca.key -new -config ./ca_cert.conf
openssl req -out server.req -key server.key -new -config ./server_cert.conf
openssl req -out client.req -key client.key -new -config ./client_cert.conf

# generate the actual certs.
openssl x509 -req -in ca.req -out ca.crt -sha1 -days 5000 -signkey ca.key
openssl x509 -req -in server.req -out server.crt -sha1 -CAcreateserial -days 5000 -CA ca.crt -CAkey ca.key
openssl x509 -req -in client.req -out client.crt -sha1 -CAcreateserial -days 5000 -CA ca.crt -CAkey ca.key

openssl x509 -in ca.crt -outform DER -out ca.der
openssl x509 -in server.crt -outform DER -out server.der
openssl x509 -in client.crt -outform DER -out client.der

mv ca.crt ca.key ca/
mv server.crt server.key server/
mv client.crt client.key client/

mv ca.der server.der client.der certDER/

rm *.conf
rm *.req
rm *.srl

服务端脚本

# 此代码仅用于分析握手阶段,后续异常请忽略
import socket
import ssl

def run_server():
    # context = ssl.create_default_context(ssl.Purpose.CLIENT_AUTH)
    context = ssl.SSLContext(ssl.PROTOCOL_TLS)
    context.set_ciphers('ALL:@SECLEVEL=0')
    # context.options = ssl.OP_NO_TLSv1_2
    
    context.load_cert_chain(certfile="server/server.crt", keyfile="server/server.key")
    context.load_verify_locations(cafile="ca/ca.crt")
    context.verify_mode = ssl.CERT_REQUIRED
    with socket.socket(socket.AF_INET, socket.SOCK_STREAM, 0) as sock:
        sock.bind(("127.0.0.1", 1443))
        sock.listen(5)
        with context.wrap_socket(sock, server_side=True) as ssock:
            conn, addr = ssock.accept()
            with conn:
                print("Connected by", addr)
                while True:
                    data = conn.recv(1024)
                    if not data:
                        break
                    conn.sendall(data)

if __name__ == '__main__':
    run_server()

客户端脚本

import socket
import ssl


def connect_to_server():
    hostname = '127.0.0.1'
    # context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2)
    # context = ssl.SSLContext(ssl.PROTOCOL_TLS)
    # context = ssl.SSLContext(ssl.PROTOCOL_TLSv1)
    context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_1)
    context.set_ciphers('ALL:@SECLEVEL=0')
    context.check_hostname = False
    context.load_cert_chain(certfile="client/client.crt", keyfile="client/client.key")
    context.load_verify_locations("ca/ca.crt")
    context.verify_mode = ssl.CERT_REQUIRED
    with socket.create_connection((hostname, 1443)) as sock:
        with context.wrap_socket(sock, server_hostname=hostname) as ssock:
            print(ssock.version())


if __name__ == '__main__':
    connect_to_server()
使用urllib3的客户端脚本
import ssl
import urllib3
from requests.packages.urllib3.util import ssl_

def urllib_req():
    SSL_OPTIONS = ssl.OP_NO_TLSv1_1
   
    ctx = ssl_.create_urllib3_context(ssl.PROTOCOL_TLS)
    ctx.options |= SSL_OPTIONS
    ctx = ssl.SSLContext(ssl.PROTOCOL_TLS)
    ctx.set_ciphers('ALL:@SECLEVEL=0')
    ctx.check_hostname = False
    ctx.load_cert_chain(certfile="client/client.crt", keyfile="client/client.key")
    ctx.load_verify_locations("ca/ca.crt")
    http = urllib3.PoolManager(
        num_pools=1,
        maxsize=1,
        block=1,
        ssl_context=ctx,
    )
    resp = http.request('GET', 'https://127.0.0.1:1443')
    print(resp.status)


if __name__ == '__main__':
    urllib_req()

实验过程

  1. 服务端使用ssl.create_default_context(ssl.Purpose.CLIENT_AUTH)

    在该模式下,启用的是TLSv1.2TLSv1.3两个安全的版本,客户端使用TLSv1.2TLSv1.3连接都能成功,但是使用TLSv1.1TLSv1.0版本会连接失败。失败时候会抛出如下异常。

    ssl.SSLError: [SSL: TLSV1_ALERT_PROTOCOL_VERSION] tlsv1 alert protocol version

  2. 服务端使用ssl.SSLContext(ssl.PROTOCOL_TLSv1_1)方式,即指定使用TLSv1.1版本。客户端只能使用TLSv1.1版本来连接,其他连接都会失败。

实验结论

通过上面实验,可以得知的结论是,如果服务端开始允许的TLS版本覆盖比较全,在后续迭代过程中,因为安全的考虑,禁用了某些版本TLS,将会直接导致采用被禁用版本TLS的客户端无法与服务端直接通信。且该过程发生在握手时候的认证过程。

EulerBlind
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python ssl_Python网络编程中的TLS/SSL。
weixin_39616477的博客
11-29 1420
传输层安全协议TLS)算是如今互联网上应用最广泛的加密方法。TLS的前身是安全套接层(SSL),现代互联网的许多协议基础协议都是使用TLS来验证服务器身份,并保护传输过程中的数据。TLS能保护的信息包括:与请求URL之间的HTTPS链接以及以及返回内容、密码或cookie等可能在套接字双向传递的认证信息。下面的信息无法使用TLS保护:本机与远程主机都是可见的,地址信息在每个数据包的IP头信息中以...
python在两台机器之间建立TLS连接,实现加密传输。
zhongbing1234的博客
12-04 8267
2.1 TLS/SSL 基本知识 SSL(Secure Sockets Layer 安全套接层)协议,及其继任者TLS(Transport Layer Security传输层安全)协议,是为网络通信提供安全及数据完整性的一种安全协议TLS与SSL在传输层对网络连接进行加密,用于保障网络数据传输安全,利用数据加密技术,确保数据在网络传输过程中不会被截取及窃听。 要建立TSL/SSL连接则需要证书文...
python关于SSL/TLS认证的实现
热门推荐
vip97yigang的专栏
12-02 6万+
最近有个客户端的需求是和服务端建立安全的链路,需要用ssl双向认证的方式实现。刚开始的时候被各种证书认证搞得晕乎乎-_-,花了好长时间才理清思路实现需求,所以写下这篇文章记录分享。接下来先介绍下啥是SSL。 参考 https://blog.csdn.net/wuliganggang/article/details/78428866 https://blog.csdn.net/duanbokan/a...
mac下pip报错[SSL: TLSV1_ALERT_PROTOCOL_VERSION] tlsv1 alert protocol version (_ssl.c:590) 的解决方法
最新发布
asmspread的专栏
07-04 131
Mac 升级 pip 报错 tlsv1
TLS,SSL,HTTPS with Python
Nicholas的专栏
09-20 2622
需要了解的背景知识: 术语 HTTPS,SSL,TLS长连接与短连接的关系了解 CA 证书基本流程 一.术语扫盲 1.什么是SSL? SSL(Secure Sockets Layer, 安全套接字),因为原先互联网上使用的 HTTP 协议是明文的,存在很多缺点——比如传输内容会被偷窥(嗅探)和篡改。发明 SSL 协议,就是为了解决这些问题。 2.那么什么是TLS呢?
Python 中的 TLS 以及 ContextVar
DooDia的博客
08-08 200
Thread Local Storage ContextVar
探索Python TLS客户端:安全通信的新维度
gitblog_00093的博客
04-16 427
探索Python TLS客户端:安全通信的新维度 Python-Tls-ClientAdvanced HTTP Library项目地址:https://gitcode.com/gh_mirrors/py/Python-Tls-Client 在网络安全日益重要的今天,是一个值得深入研究的项目,它提供了一个简洁而强大的工具,用于实现Python中的TLS(Transport Layer Securi...
python tls_适用于Python的统一TLS API
cumei1658的博客
07-09 830
python tlsI have just proposed PEP 543: A Unified TLS API for Python to the python-dev mailing list for discussion. While the bulk of the technical correspondence will happen on that mailing list, I w...
python网络编程——TLS/SSL
qq_40909772的博客
03-29 5159
1.TLS简介。        TLS的前身是 安全套接层 ,是传输层安全协议TLS能保护的信息包括: 与请求URL之间的HTTPS连接以及返回内容。 密码或cookies等可能在套接字双向传递的任意认证信息。        但TLS并不是万能的它也有不...
Python库 | python_mbedtls-1.4.1-cp39-cp39-manylinux1_x86_64.whl
03-23
这个库提供了安全套接层(SSL)和传输层安全(TLS协议实现,广泛应用于嵌入式设备和物联网(IoT)领域,因为它具有高效、小巧的特点。mbedtlsPython封装允许Python开发者利用其强大的安全功能,如数字签名、密钥...
tchannel-python:TChannel协议Python实现
05-02
**TChannel 协议Python 实现** TChannel 是一种高性能、可扩展的跨语言通信协议,最初由 Yelp 公司开发,用于构建分布式微服务系统。它支持多种传输方式,如 TCP 和 UDP,旨在提供可靠的请求/响应、双向流和广播...
python实现mqtt协议上传数据到云平台源码
04-24
本文将详细介绍如何使用Python实现MQTT协议来上传数据到云平台。 首先,我们需要导入Python的paho-mqtt库,这是一个官方支持的MQTT客户端库,由Eclipse Paho项目维护。你可以通过pip安装: ```bash pip install ...
DTPython:用Python实现的数据Trebuchet协议
03-18
Python实现使得开发者能够快速集成此协议到他们的项目中,利用Python的生态系统来处理各种复杂情况。 **2. Python在网络编程中的优势** Python提供了许多强大的网络库,如socket、asyncio、twisted等,这些库可以...
基于Python实现简化版 FTP 协议【100011289】
03-18
FTP(File Transfer Protocol)协议是互联网上用于在不同主机间传输文件的标准协议。在这个项目中,我们关注的是基于Python实现的简化版...通过实践,你可以更深入地理解FTP协议的工作机制,并提升你的Python开发能力。
python实现总体最小二乘(TLS
fitzgerald0的博客
01-25 3687
python实现总体最小二乘 导入库,读取数据(数据网址为点击打开链接) import numpy as np import matplotlib.pyplot as plt import pandas as pd data=pd.read_table("/Users/cofreewy.txt") x1=data['Traffic'] y1=data['CO'] 数据归一化 f
Python对称和非对称加密算法及网传输层安全(TLS)
跨学科知识视角展现
01-16 468
了解 AES 等分组密码的算法和模式,使用消息完整性和/或数字签名来保护消息,利用现代对称密码,例如 AES-GCM 和 CHACHA,发现如果使用不安全的填充,RSA 加密是如何被破解的,使用 TLS 连接进行安全通信。示例:AES填充。
python网络编程库_Python网络编程笔记(五):TLS和SSL
weixin_39603476的博客
11-25 255
传输层安全协议TLS),前身是安全套接层SSLTLS无法保护的信息能保护的信息包括:与请求URL之间的HTTPS连接及其返回内容、密码、cookies等可能在套接字双向传递的信息。无法保护的信息:本机和远程主机的地址端口号DNS查询数据块的大致大小一个典型的TLS交换场景客户端向服务器索取证书--表示身份的电子文件。客户端和服务器共同信任的某个机构应该对证书进行签名,证书必须包含一个公钥。服务器...
Python使用传输层安全协议TLS/SSL实现信息加密传输
Python小屋
05-26 1353
清华科技大讲堂免费直播课预告:免费直播课|Python数据可视化与科学计算可视化案例分享,5月28日晚20:00-21:30============哔哩哔哩网站免费视频观看地址:董老师在...
深入理解PythonTLS机制和Threading.local()
sinat_28375239的博客
04-19 94
深入理解PythonTLS机制和Threading.local() https://zhuanlan.zhihu.com/p/60126952
svd-tls算法python实现
11-09
SVD-TLS算法是一种基于奇异值分解(SVD)和总体最小二乘(TLS)的算法,用于解决线性方程组的最小二乘问题。在Python中,我们可以使用NumPy库来实现该算法。 首先,我们需要导入NumPy库: ```python import numpy as np ``` 然后,我们可以定义一个函数来实现SVD-TLS算法: ```python def svd_tls(A, b): U, s, V = np.linalg.svd(A) S = np.zeros((A.shape[0], A.shape[1])) S[:A.shape[0], :A.shape[0]] = np.diag(s) x_tls = V.T @ np.linalg.inv(S) @ U.T @ b return x_tls ``` 该函数接受两个参数,矩阵A和向量b,并返回通过SVD-TLS算法计算得到的解x_tls。 在函数内部,我们首先使用`np.linalg.svd()`函数对矩阵A进行奇异值分解,得到U、s和V。然后,我们创建一个与A形状相同的零矩阵S,并将奇异值填充到S的对角线上。接下来,我们使用矩阵乘法和逆运算得到x_tls的计算结果。 最后,我们可以使用该函数来解决线性方程组的最小二乘问题。例如,我们可以使用以下代码来求解方程组Ax=b: ```python A = np.array([[1, 2], [3, 4], [5, 6]]) b = np.array([7, 8, 9]) x_tls = svd_tls(A, b) print(x_tls) ``` 这将打印出通过SVD-TLS算法计算得到的方程组的最小二乘解x_tls的值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值