TLS协议简单介绍

已于 2022-11-15 12:00:25 修改
阅读量2.1k 收藏 9
点赞数 1
分类专栏: TLS 文章标签: 服务器 网络
于 2022-10-12 10:11:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41033254/article/details/127276231
版权

TLS简介

介绍

TLS(Transport Layer Security)即安全传输层协议,在两个通信应用程序之间提供保密性和数据完整性。最典型的应用就是HTTPS。HTTPS,即HTTP over TLS,就是安全的HTTP,运行在HTTP层之下,TCP层之上,为HTTP层提供数据加解密服务。也可用于email,即时通信等。

TLS协议概论

       TLS协议采用主从式架构模型,用于在两个应用程序间透过网络创建起安全的连接,防止在交换数据时受到窃听及篡改。
       TLS协议的优势是与高层的应用层协议(如HTTP、FTP、Telnet等)无耦合。应用层协议能透明地运行在TLS协议之上,由TLS协议进行创建加密通道需要的协商和认证。应用层协议传送的数据在通过TLS协议时都会被加密,从而保证通信的私密性。
       TLS协议是可选的,必须配置客户端和服务器才能使用。主要有两种方式实现这一目标:一个是使用统一的TLS协议通信端口(例如:用于HTTPS的端口443);另一个是客户端请求服务器连接到TLS时使用特定的协议机制(例如:邮件、新闻协议和STARTTLS)。一旦客户端和服务器都同意使用TLS协议,他们通过使用一个握手过程协商出一个有状态的连接以传输数据。通过握手,客户端和服务器协商各种参数用于创建安全连接:

  • 当客户端连接到支持TLS协议的服务器要求创建安全连接并列出了受支持的密码组合(加密密码算法和散列算法),握手开始;
  • 服务器从该列表中决定加密算法和散列算法,并通知客户端;
  • 服务器发回其数字证书,此证书通常包含服务器的名称、受信任的证书颁发机构(CA)和服务器的公钥;
  • 客户端验证其收到的服务器证书的有效性;
  • 为了生成会话密钥用于安全连接,客户端使用服务器的公钥加密随机生成的密钥,并将其发送到服务器,只有服务器才能使用自己的私钥解密;
  • 利用随机数,双方生成用于加密和解密的对称密钥。这就是TLS协议的握手,握手完毕后的连接是安全的,直到连接(被)关闭。如果上述任何一个步骤失败,TLS握手过程就会失败,并且断开所有的连接。

TLS报文交互过程

详细讲解:https://zhuanlan.zhihu.com/p/440612523
tls报文交互
通过上图可知,我们这里说的TLS握手主要讲的是最基本的TLS握手,即只使用服务器的证书来进行加密,具体步骤如下:
1.客户端与服务器之间通过3次握手建立连接
2.协商阶段

a.client发送一个ClientHello消息给server,这个消息包含了client支持的最高的TLS协议版本,一个随机数,当前client支持的密码组列表和建议的压缩算法
b.server发送一个ServerHello消息给client,这个消息包含了TLS协议版本,一个服务器随机数,根据客户端支持的密码组列表最终选择的密码和最终选择的压缩算法。
c.server发送Certificate(证书)消息
d.server发送ServerKeyExchange消息
e.server发送ServerHelloDone消息,表明握手协商已经完成
f.client发送ClientKeyExchange消息,这个消息包含了PreMasterSecret(这个值是根据server发送的Certificate里面的public key通过加密生成的)和 public key。(注意在发送消息之前,client会对server发送的Certificate进行验证–可参考下面的数字证书,如果验证失败,则握手失败)
g.client和server根据client的随机数,server端的随机数和PreMasterSecret计算出一个共同的密码,这个共同的密码叫做master secret)

3.client发送ChangeCipherSpec记录,告诉server我后面发送的所有消息都会是加密的了

a.client发送一个已验证并且加密的Finished消息。包含了对之前消息的hash和mac
b.server对接收的Finished消息进行解密并验证hash和mac,如果验证失败,则握手失败

4.server发送ChangeCipherSpec消息,告诉client我后面发送的所有消息都会是加密的了

a.server发送一个已验证并且加密的Finished消息。包含了对之前消息的hash和mac
b.client 对接收的Finished消息进行解密并验证hash和mac,如果验证失败,则握手失败

5.应用阶段:此阶段说明TLS握手已经完成,后面所有发送的消息都会是加密的

TLS

openssl使用

服务器使用openssl生成证书
'
生成证书以及CA根证书
1.生成CA私钥
2.生成CA根证书
3.生成私钥
4.生成证书请求
5.根据证书请求、CA根证书、CA私钥生成证书(pem格式)。
'
openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem -subj "/C=US/ST=Utah/L=Lehi/O=Your Company, Inc./OU=IT/CN=rootca.com"
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr -subj "/C=US/ST=Utah/L=Lehi/O=Your Company, Inc./OU=IT/CN=test-cert"
openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.pem -days 1000 -sha256
'
server.pem证书
server.key 证书私钥
rootCA.pem CA根证书
rootCA.key CA根证书私钥
'

Aes256加密的私钥:openssl genrsa -aes256  -passout pass:111111  -out CA.key 2048
使用私钥生成证书:openssl req -x509 -new -nodes -key CA.key -sha256 -days 1024 -out CA.pem -subj "/C=CN/ST=GD/L=SZ/O=CA/OU=dev/CN=CA.com/emailAddress=ca@ca.com" -passin pass:111111
CA签名证书:openssl x509 -req -in actor1.csr -CA CA.pem -CAkey CA.key -CAcreateserial -out actor1.pem -days 1000 -sha256 -passin pass:111111
#参考
#http://t.zoukankan.com/sxFu-p-13223332.html
#https://www.jianshu.com/p/4268191f762b
浏览器会提示证书无效,实际http报文已使用tls加密传输

在这里插入图片描述

简单的测试代码

#!/usr/bin/python3
import argparse
import socket
import ssl
import sys
import time
from http.server import HTTPServer, BaseHTTPRequestHandler
from http.client import HTTPSConnection

# 基于原生socket的tls客户端
def client(host, port, cafile=None):
        #创建tcp socket套接字客户端
    raw_sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    raw_sock.connect((host, port))

    print('Connected to host {!r} and port {}'.format(host, port))

    # 创建ssl客户端上下文
    context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
    #context.check_hostname = False         #检查服务器主机名与服务器申请证书是主机名是否一致
    #context.verify_mode = ssl.CERT_NONE    #是否关闭CA校验,此设置只能在check_hostname关闭之后才能添加,关闭之后就不检查CA证书的真实性


    context.check_hostname = False          #此处设置不检查主机名
    #if not cafile:
    #    print("not find cafile!")
    #    sys.exit()
    context.load_verify_locations(cafile) # 导入CA证书,客户端使用CA证书验证服务器的证书

    '''
    # 如果服务器开启了验证客户端证书,则此处需要导入客户端的证书和私钥,一般WEB浏览器和服务端不启用。
    context.load_cert_chain(certfile=client_certfile,keyfile=client_keyfile)
    '''
    # ssl上下文与原生socket绑定,生成ssl_socket,
    # 作为客户端wrap_socket函数的server_side参数需要设置为False
    ssl_sock = context.wrap_socket(raw_sock, server_side=False,server_hostname=host)
    while True:
        data = ssl_sock.recv(1024)
        print(repr(data))
        if not data:
            break

# 基于原生socket的tls服务端
def server(host, port,certfile, keyfile,password=None,cafile=None,):
    # 创建tcp socket套接字服务端
    listener = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    listener.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
    listener.bind((host, port))
    listener.listen(1)
    print('Listening at interface {!r} and port {}'.format(host, port))
    raw_sock, address = listener.accept()
    print('Connection from host {!r} and port {}'.format(*address))

    #创建ssl服务端上下文
    context = ssl.SSLContext(ssl.PROTOCOL_TLS_SERVER)
    if cafile:
        # 服务端是否验证客户端证书,如果需要则需要导入CA证书
        context.load_verify_locations(cafile)

    #服务端需要导入自己的证书和自己的私钥,用于客户端验证
    context.load_cert_chain(certfile=certfile,keyfile=keyfile,password=password)

    # ssl上下文与原生socket绑定,生成ssl_socket
    # 作为服务wrap_socket函数的server_side参数需要设置为True
    ssl_sock = context.wrap_socket(raw_sock, server_side=True)
    while True:
        try:
            time.sleep(2)
            ssl_sock.sendall('Simple test.'.encode('utf-8'))
        except Exception:
            break
    ssl_sock.close()


'''
# https的例子
def client(host, port, cafile=None):
    params = urllib.parse.urlencode({})
    context = ssl.SSLContext(ssl.PROTOCOL_TLS_CLIENT)
    context.check_hostname = False
    context.load_verify_locations('rootCA.pem')
    conn = HTTPSConnection(host=host,
                            port=port,
                            context=context)
    conn.request("GET", "/",params)

    r1 = conn.getresponse()
    print(r1.status)
    #print(r1.read().decode('utf-8'))
# server
class requesthandler(BaseHTTPRequestHandler):
    def do_GET(self):
        self.send_response(200)
        self.send_header("Content-type","text/html")
        self.end_headers()
        self.wfile.write("<html><body>get success</body></html>".encode('utf-8'))

    def do_POST(self):
        self.send_response(200)
        self.send_header('Content-type', 'application/json')
        self.end_headers()
        self.wfile.write("<html><body>post success</body></html>".encode('utf-8'))
def server(host, port, certfile, cafile=None):
    httpd = HTTPServer((host, port), requesthandler)
    context = ssl.SSLContext(ssl.PROTOCOL_TLS_SERVER)
    context.load_cert_chain('server.pem', 'server.key')
    httpd.socket = context.wrap_socket(httpd.socket, server_side=True)
    httpd.serve_forever()
'''

if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='Safe TLS client and server')
    parser.add_argument('host', help='hostname or IP address')
    parser.add_argument('port', type=int, help='TCP port number')
    parser.add_argument('-a', dest='cafile', metavar='CAFILE',default=None,
                        help='authority: path to CA certificate PEM file')
    parser.add_argument('-k', dest='keyfile', metavar='KEYFILE',default=None,
                        help='run as server : path to server  keyfile file')
    parser.add_argument('-s', dest='certfile',metavar='CERTFILE', default=None,
                        help='run as server: path to server certfile PEM file')
    parser.add_argument('-p', dest='password',metavar='PASSWD', default=None,
                        help='run as server: cert password!')

    args = parser.parse_args()
    if args.certfile:
        server(args.host, args.port, args.certfile, args.keyfile,args.password,args.cafile)
    else:
        client(args.host, args.port, args.cafile)
小神龙q
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于TLS协议的秘钥管理与传输
xiaoheye的专栏
02-29 1064
1,秘钥管理 加密系统最重要的环节——如何保证秘钥的安全,本方案的设计思想主要是,解密程序不进行秘钥的存储,而且是向秘钥管理中心进行申请。 秘钥管理中心存储了整个平台的核心密钥,所有的密钥都在这里经过存储密钥加密进行存储。配有管理页面,可以对接入的系统信息进行管理。 管理中心采用多节点部署,秘钥不落地,保存在内存中。各节点相互认证通信,当有一个节点重启,可向其他节点申请存储秘钥,各节点之间的...
golang简单tls协议用法完整示例
09-21
### Golang中的TLS协议简介与应用 #### 一、引言 TLS(Transport Layer Security)是一种用于加密互联网通信的安全协议,广泛应用于Web浏览器与服务器之间的数据传输加密。在Golang中,通过内置的支持可以直接实现...
TLS协议
cyynid的博客
01-29 1193
对于许多客户/服务器(Client/Server,C/S)应用结构,实现双向身份鉴别与保证相互交换的数据的保密性和完整性是非常重要的,如访问网络银行,一是需要通过双向身份鉴别防止用户登录伪造的银行网站,并因此泄漏账号、密码等私密信息;TLS建立安全连接时,实现安全连接两端应用进程之间的双向身份鉴别过程,保证经过安全连接传输的数据的保密性和完整性。客户端和服务器端通过TLS记录协议传输数据前,需要通过TLS握手协议完成双向身份鉴别过程,并约定压缩算法、加密算法、MAC算法、加密密钥、MAC密钥等安全参数。
TLS握手及其报文详细分析,服务器视角
知识改变命运的博客
06-27 1195
TLS(传输层安全协议)握手是建立安全通信通道的关键过程。这个过程涉及客户端和服务器之间交换一系列消息,以协商加密算法、验证身份并生成会话密钥。以下是TLS握手过程及其报文的详细分析
tls协议
qq_43555156的博客
09-02 2851
tls前言一、TLS 协议的组成二、ECDHE1.连接过程三、TLS1.31.过程 前言 tls是ssl协议的标准化,处于应用层(5层架构)和会话层(OSI),有着rsa方式和ecdhe两种, 一、TLS 协议的组成 握手协议:负责在客户端和服务器之间协商决定密码算法和共享密钥,包括基于证书的认证操作; 密码规格变更协议:负责向通信对象传达变更密码方式的信号,在TLS 1.3版本中不再需要该协议; 警告协议:负责在发生错误时将错误传达给对方; 记录协议:将TLS 上面承载的应用数据传达给通信对象的协议
TLS协议
吴东方的博客
10-14 424
TLS1.0 Information on RFC 2246 » RFC Editor (rfc-editor.org)https://www.rfc-editor.org/info/rfc2246中文手册:Transport Layer Security(TLS)协议 RFC2246中文版 (kipway.com)http://kipway.com/kipway_TSL.html TLS1.1 Information on RFC 4346 » RFC Editor (rfc-editor.org)
TLS/SSL协议文档,简单易懂
03-06
TLS/SSL 协议文档解析 TLS/SSL 协议是当前网络安全领域中最重要的协议之一,对互联网的安全传输起着至关重要的作用。在本文档中,我们将对 TLS/SSL 协议进行详细的分析和解析,旨在帮助初学者和对 SSL、TLS 感兴趣...
TLS java简单实现
08-08
首先,让我们深入理解TLS协议TLS的工作原理主要包括以下几个步骤: 1. **握手阶段**:客户端和服务器通过交换一系列消息来协商加密算法、创建临时密钥,并验证彼此的身份。这个阶段通常涉及以下步骤: - 客户端...
简单邮件协议实现程序
06-06
在这个“简单邮件协议实现程序”的项目中,我们看到它使用C#编程语言来创建一个邮件发送客户端。C#是微软开发的一种面向对象的、类型安全的编程语言,非常适合构建网络应用程序,包括邮件客户端。 首先,要理解SMTP...
TLSSSL协议详解
06-25
SSL/TLS协议作为互联网信息安全的重要组成部分,通过提供数据保密性、数据完整性和身份认证等功能,有效保护了用户在网络上的隐私和财产安全。随着技术的发展和安全威胁的不断演变,SSL/TLS协议也在不断地更新和完善...
你了解TLS协议吗?
了不起的盖茨比的博客
06-22 1471
前面的博客我们介绍了对应的网络的一些协议,比如说HTTP1协议,还有就是WebSocket协议,同时还HTTP2协议,今天我们要介绍对应的TLS/SSL协议TLS设计目的TLS/SSL发展TLS协议Record记录协议Handshake握手协议TLS安全密码套件解读对称加密AES对称加密在网络中的应用对称加密与XOR异或运算填充padding位填充:以bit位为单位来填充字节填充:以字节为单位为填充分组工作模式 block cipher mode of operationECB(Electronic co
TLS协议介绍
最新发布
weixin_48579910的博客
07-21 625
传输层安全协议(Transport Layer Security,TLS)是用于在两个通信应用程序之间提供保密性和数据完整性的加密协议TLS是SSL(Secure Sockets Layer)的后继者,TLS协议旨在确保在互联网等不安全网络上的数据传输安全。以下是对TLS协议的详细介绍,包括其工作原理、协议版本、握手过程和应用场景。基本概念TLS协议通过对通信数据进行加密、验证和完整性检查,确保数据在传输过程中的机密性、完整性和真实性。
TLS协议/SSL协议
衡与墨的博客
04-25 2461
历史背景 SSL(Secure Socket Layer 安全套接层)是基于HTTPS下的一个协议加密层,最初是由网景公司(Netscape)研发,后被IETF(The Internet Engineering Task Force - 互联网工程任务组)标准化后写入(RFCRequest For Comments 请求注释),RFC里包含了很多互联网技术的规范! 起初是因为HTTP在传输数据时使用的是明文(虽然说POST提交的数据时放在报体里看不到的,但是还是可以通过抓包工具窃取到)是不安全的,为了解决这
TLS协议 - Introduction
danielzhou1025的博客
02-26 105
https://tools.ietf.org/html/rfc5246#page-1
TLS协议详解!
热门推荐
weixin_46622350的博客
10-17 2万+
TLS简介 SSL 即安全套接字层,它在 OSI 七层网络模型中处于第五层,SSL 在 1999 年被 IETF(互联网工程组)更名为 TLS ,即传输安全层,直到现在,TLS 一共出现过三个版本,1.1、1.2 和 1.3 ,目前最广泛使用的是 1.2,所以接下来的探讨都是基于 TLS 1.2 的版本上的。 TLS1.2 和 TLS 1.3 的区别 在 TLS 1.2 的握手中,一般是需要 4 次握手,先要通过 Client Hello (第 1 次握手)和 Server Hello(第 2 次握手) 消
TLS协议简介
HTJOY1202的专栏
08-20 6761
这里提供一个对TLS协议简单的描述,旨在对TLS协议有一个大概的理解和概念,详细内容参考文档RFC2246 TLS协议是对SSL协议规范后协议版本,建立在可靠的传输层之上,如TCP(UDP则不行)。应用层可以透明的利用TLS协议传输各种数据,来保证数据的安全性和保密性。它包括两层: 1.TLS Record Protocol 2.handshake protocol, alert proto
TLS(v1.2)协议
qq_32076957的博客
03-02 1万+
TLS
TLS协议简述
LoongTu
04-01 7196
文章目录概述基本工作方式握手过程1. client_hello2. server_hello + server_certificate + sever_hello_done3. 证书校验4. client_key_exchange + change_cipher_spec + encrypted_handshake_message5. change_cipher_spec + encrypted_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值