【嵌入式】计算机加密SSL/TLS协议基础

已于 2022-11-23 15:06:26 修改
阅读量1.1k 收藏
点赞数
分类专栏: 嵌入式系统 文章标签: p2p gnu linq
于 2022-05-03 18:56:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tq384998430/article/details/124557903
版权

推荐一款 求职面试、刷题学习 的神器:👉*点击跳转* ,快来看看吧!

参考文章:https://www.internetsociety.org/deploy360/tls/basics/?gclid=Cj0KCQjwpcOTBhCZARIsAEAYLuXVTtaCVNbegx5XuY-WxZ7BwerSisLhr3GEhNiP-3VkXxGzPY5f6UMaAtAmEALw_wcBhttps://www.internetsociety.org/deploy360/tls/basics/?gclid=Cj0KCQjwpcOTBhCZARIsAEAYLuXVTtaCVNbegx5XuY-WxZ7BwerSisLhr3GEhNiP-3VkXxGzPY5f6UMaAtAmEALw_wcB

https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2https://www.youtube.com/watch?v=6xDGSalpPXk&list=PLkL8xqe0hJ5F0XCovSULofmZ4shDDe4-C&index=7https://www.youtube.com/watch?v=6xDGSalpPXk&list=PLkL8xqe0hJ5F0XCovSULofmZ4shDDe4-C&index=7

几个英语单词

cryptic:同义词mysterious,表示神秘的、秘密的。

encrypt: to make something mysterious,使某事变得神秘,即加密

decrypt: to make something not mysterious,解密

cryptography: the art and science of encryption,密码学

cipher: a secret way of writing, especially one in which a set of letters or symbols is used to represent others, “a cipher”可以理解为一种加密手段或加密算法

什么是TLS

TLS用于加密网络上传输的数据,以防偷窥者或者黑客看到你的数据,尤其是重要的私密数据例如账户密码、信用卡号码或者个人信件。

TLS是一个安全协议,为网络上应用之间的通信提供了端到端的数据安全保障。TLS最显著地体现在了浏览器的中,当打开一个使用了TLS协议的网页时,会显示一个锁的图标表示与该网站之间的连接是安全的。当然,TLS也可以用在其它应用中,例如收发邮件、文件传输、音视频会议、即时消息通信等等。

TLS协议发展于SSL 3.0协议,后者是由网景公司在1994年发布的标准。

为了给应用层协议例如HTTP、FTP、SMTP等提供加密服务,TLS通常基于基于传输层的TCP协议。但是TLS同样也支持在UDP协议上实现,被叫做DTLS。

"Transport Layer Security (TLS) encrypts data sent over the Internet to ensure that eavesdroppers and hackers are unable to see what you transmit which is particularly useful for private and sensitive information such as passwords, credit card numbers, and personal correspondence. This page explains what TLS is, how it works, and why you should deploy it.

TLS is a cryptographic protocol that provides end-to-end security of data sent between applications over the Internet. It is mostly familiar to users through its use in secure web browsing, and in particular the padlock icon that appears in web browsers when a secure session is established. However, it can and indeed should also be used for other applications such as e-mail, file transfers, video/audioconferencing, instant messaging and voice-over-IP, as well as Internet services such as DNS and NTP.

TLS evolved from Secure Socket Layers (SSL) which was originally developed by Netscape Communications Corporation in 1994 to secure web sessions. SSL 1.0 was never publicly released, whilst SSL 2.0 was quickly replaced by SSL 3.0 on which TLS is based.

TLS was first specified in RFC 2246 in 1999 as an applications independent protocol, and whilst was not directly interoperable with SSL 3.0, offered a fallback mode if necessary. However, SSL 3.0 is now considered insecure and was deprecated by RFC 7568 in June 2015, with the recommendation that TLS 1.2 should be used. TLS 1.3 is also currently (as of December 2015) under development and will drop support for less secure algorithms.

It should be noted that TLS does not secure data on end systems. It simply ensures the secure delivery of data over the Internet, avoiding possible eavesdropping and/or alteration of the content.

TLS is normally implemented on top of TCP in order to encrypt Application Layer protocols such as HTTP, FTP, SMTP and IMAP, although it can also be implemented on UDP, DCCP and SCTP as well (e.g. for VPN and SIP-based application uses). This is known as Datagram Transport Layer Security (DTLS) and is specified in RFCs 63475238 and 6083."

什么是Cipher suite

Cipher suite即“加密算法套件”,是指一组用于保障网络连接安全的算法集合。加密套件一般使用Transport Layer Security(TLS)协议或它的前身Secure Socket Layer(SSL)协议规范中定义的加密算法。一个加密套件一般包含:一个秘钥交换算法(key exchange algorithm)、一个批量数据加密算法(bulk encryption algorithm)和一个消息认证算法(message authentication code algorithm)。

秘钥交换算法用于在两个设备之间交换秘钥,这个秘钥在批量数据加密算法中用于加密和解密两个设备之间传输的数据。批量加密算法可以分为block cipher和stream cipher。消息认证算法用于数据完整性检测,保证数据在传输过程中没有被篡改。此外,加密套件中可以包含一个签名认证算法用于服务器的认证。

不同加密算法的组合,组成了上百种不同的加密套件,不同的加密套件的加密效果各不相同。

一个简单的Cipher

参考之前转载的一个最简单的加密算法:

一个最简单的加密解密算法(人人能懂)_好奇宝宝·权的博客-CSDN博客_简单加解密算法原文:http://blog.csdn.net/stpeace/article/details/8294980 点击打开链接[cpp] view plain copy#include     // KEY 非常重要,不能对公众泄露KEY值  // 发送端和接收端提前秘密约定好KEY值  #define KEY 1313113 //https://blog.csdn.net/tq384998430/article/details/67633916?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165157355516782390567116%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165157355516782390567116&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-67633916.nonecase&utm_term=%E5%8A%A0%E5%AF%86&spm=1018.2226.3001.4450另一种简单的加密算法:substitution cipher。这个算法的原理就是符号替换,例如26个英文字母,加密端将A用B替换,B用C替换......,解密端使用反逻辑即可将数据解密,这种方式是caesar cipher(恺撒密码)的一种实现。

对称加密和非对称加密

对称加密(Symmetric encryption)是指只使用一个秘钥(a secret key),同时用于加密和解密电子数据的加密方式。使用对称加密方法的通信实体之间需要进行秘钥交换以实现加密和解密。

非对称加密(Asymmetric encryption)也称公钥加密(Public-key encryption),是指使用两个不同但是又存在数学上的关联的钥匙,一个叫做公钥(public key)另一个叫做私钥(private key)。公钥用于加密数据,私钥用于解密数据。非对称加密可用于对称加密通讯中的秘钥交换。

常见的对称加密算法:

  • AES (Advanced Encryption Standard)

  • DES (Data Encryption Standard)

  • IDEA (International Data Encryption Algorithm)

  • Blowfish (Drop-in replacement for DES or IDEA)

  • RC4 (Rivest Cipher 4)

  • RC5 (Rivest Cipher 5)

  • RC6 (Rivest Cipher 6)

常见的非对称加密算法:

  • RSA

  • Diffie-Hellman

  • ECC

  • El Gamal

  • DSA

什么是哈希函数Hash function

哈希函数也叫散列函数,是指使用哈希算法,能够将任意大小的数据集合映射到一个固定大小的数据集合的函数。哈希函数的输出叫做哈希值、散列码、摘要或者就叫哈希,一般为固定长度且远小于输入数据的长度,可用于便捷的查找和表示原始数据。哈希算法是一种压缩映射算法,且不可逆。

对于数据存取应用,哈希函数和对应的哈希表可以保证每次的数据访问能够在固定且很短的时间内完成。存储哈希值占用的存储空间仅为原始数据占用空间的一小部分。

哈希经常与数据校验、指纹等混淆,虽然他们之间有一定的关联性,但是它们每个都是针对特定的应用有不同的优化设计。哈希函数和其它函数的最大区别在于数据的完整性。

哈希算法的要求: 

1、对两个不同的输入,不能够输出相同的哈希值,对于相同的输入,必须输出相同的哈希值

2、高效的运算速度

3、安全不可逆,微小的输入变化需要引发巨大的输出改变

摘要和签名的区别:摘要是对原文的单向映射,而数字签名一般是由摘要用私钥进行加密后生成的。摘要可以防止数据被篡改,数字签名可以确定消息是由谁发出的(是否由私钥拥有者,因为A的私钥产生的签名只能用A的公钥进行解密,也就说如果信息能用A的公钥解密则这个消息一定是A发出的)。因此摘要+签名的组合就保证了消息传输中信息放篡改、不可抵赖的问题

常用的哈希算法:

  • Secure Hash Algorithm 1 (SHA-1)
  • Secure Hash Algorithm 2 (SHA-2)
  • Secure Hash Algorithm 3 (SHA-3)
  • MD2
  • MD4
  • MD5

OpenSSL和mbedTLS

OpenSSL软件库为在网络上通讯的应用之间提供安全加密功能,防止数据被窃取同时对通讯对方进行认证,广泛用于网络服务器包括绝大部分的HTTPS网页服务器。OpenSSL实现了SSL/TLS协议,基础加密库和丰富的工具软件。

mbedTLS前身为PolarSSL,也是一个实现了SSL/TLS协议以及各类加密算法和工具的软件库,使用C语言实现,mbedTLS的宗旨为:易于理解,使用,集成和扩展。和OpenSSL不同的是,得益于mbedTLS非常小的build size和runtime memory usage,它能够被集成到小型嵌入式系统中去。

什么是信息熵information entropy

在信息学(information theory)中,一个随机数(random number)的熵(entropy)是指由该随机数所有可能的取值结果所造成的数值不确定性因素。例如一个随机数X取值范围为x1~xn,且各值的发生概率为P(x1)~P(xn),那么X的熵一般表示为:

H(X)=-\sum_{i=1}^{n}P(X_{i})logP(X_{i})

什么是PEM文件

Privacy Enhanced Mail (PEM)文件是将二进制的DER证书或秘钥通过BASE64编码得到的human readable文件。PEM文件包含了明显特征的文件头部和尾部,例如一个RSA公钥生成的PEM文件内容为:

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCfT3Jb9W4xZpALyiK4S0xFMsjl
tpXUy0r/9eIyrwraHV8RPeWvn5+pv7nr2dQHbAnvcl46Fk+bfOe9kyriOvpAFkTj
wYbNu9DT5tnJkuhbCte46YVTvBnFSJSR83L+xo9l4WyYq+ZSiz26b11W4b+TLXLj
4cYTzCg1tXvGACr5JwIDAQAB
-----END PUBLIC KEY-----

头部和尾部信息描述了文件内容的类型,但不是所有PEM文件都需要它们,其它的类型如:

-----BEGIN CERTIFICATE REQUEST----- and -----END CERTIFICATE REQUEST----- show a CSR in PEM format.
-----BEGIN RSA PRIVATE KEY----- and -----END RSA PRIVATE KEY----- show a private key in PEM format.
-----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- show a certificate file in PEM format.

推荐一款 求职面试、刷题学习 的神器:👉*点击跳转* ,快来看看吧!

Quan略略略
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机网络 - mbed TLS
InfiniteYuan
03-19 1425
计算机网络 - mbed TLS计算机网络 - mbed TLS背景SSL库是做什么的?什么是SSL?为什么用mbed TLS?SSL/TLS之间的区别?SSL库的一部分?概述SSL/TLS 客户端和服务器加密库对称加密算法散列算法公钥随机数发生X.509 证书处理测试堆栈解释(Stack explanation)SSL/TLS 说明示例客户端添加安全通信设置SSL 连接SSL/TLS 配置读写数...
TLS
03-21 1156
协议简介 TLS:安全传输层协议 TLS:Transport Layer Security 概况 安全传输层协议TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议TLS Record)和 TLS 握手协议TLS Handshake)。较低的层为 TLS 记录协议,位于某个可靠的传输协议(例如 TCP)上面。 协议结构 TLS 协议包括两
16 DTLS协议
最新发布
weixin_45842249的博客
06-12 860
非对称加密就是公钥上的锁,私钥才能打开,私钥上的锁公钥才能打开。比如说就是地下党接头的时候,把一个信息放在盒子里,然后这个盒子只有我能打开,这个盒子谁都可以放信息,但是只有要接收信息的那个人能打开。
使用openSSL和nginx搭建本地https服务
泗水长流的博客
01-01 1255
使用openSSL和nginx搭建本地https服务一.写在前面的话二、实验过程1.实验环境及物料2.证书中的信息说明3.Win64 OpenSSL v1.1.1i下载4.OpenSSL自建服务端证书请求1.生成服务端私钥2.由私钥生成待签名证书3.查看CSR文件中的信息5.OpenSSL自建CA根证书1.创建CA私钥2.生成CA待签名证书3.生成CA根证书6.OpenSSL生成服务端证书7.nginx中配置证书1.Nginx开启SSL模块2.上传证书文件到服务器3.在nginx上配置证书文件4.启动ngi
mbed-TLSSSL、 OpenSSLTLS的区别
热门推荐
crjmail的博客
01-18 1万+
一、关于PolarSSLmbed TLS(以前称为PolarSSL)是TLSSSL协议的实现,并且需要相应的加密算法和支持代码。这是双重许可与Apache许可证 2.0版(与GPLv2许可也可)。网站上指出,mbed TLS的目标是“易于理解,使用,集成和扩展”核心SSL 库用C编程语言编写,并实现SSL模块,基本加密功能并提供各种实用功能。与OpenSSLTLS的其他实现不同,mbed TL
整合重复网址
google_SEO_yang的博客
01-09 1161
如果您的某个网页可通过多个网址访问,或者您的不同网页包含类似内容(例如,某个网页既有移动版,又有桌面版),那么 Google 会将这些网页视为同一个网页的重复版本。Google 会选择一个网址作为规范版本并抓取该网址,而将所有其他网址视为重复网址并降低对这些网址的抓取频率。 如果您未明确告知 Google 哪个网址是规范网址,Google 就会替您做出选择,或将这两个版本视为同等重要,这可能会导致出现一些不当的行为,如选择规范网址的原因部分所述。 规范网址:Google 认为在网站的一组重复网页中最具代
嵌入arm开发板使用curl+openssl实现https通信
lhh2333的博客
08-14 1152
最近做一个项目,需要在arm开发板实现https post功能,一开始按照网上的教程,将curl库移植到arm开发板,但是发现我移植的curl不支持https,后面继续查才知道curl库默认是不支持https的,要支持的话需要在移植的时候加入openssl库。
curl、openssl、mbedtls的交叉编译过程
fun_tion的博客
11-08 2627
​ cURL是一个利用URL语法在命令行下工作的文件传输工具,在Linux系统中常被用来下载或上传文件。curl需依赖openssl或者mbedtls这两个加密库,可以根据实际需要选择其一。本文主要记录如何交叉编译这3个库,使之能运行在嵌入Linux设备上。
metaRTC+mbedtls实现android平台上更高效的webrtc
metaRTC的博客
08-13 4631
metaRTC支持openssl和mbedtls,安卓版本默认加密库为mbedtls,metaRTC在安卓系统中使用mbedtls将极大提升webrtc性能。注:MbedTLS前身是开源库PolarSSL,是行业内最轻量的SSL加密算法库,现已被arm公司收购并由arm技术团队进行维护更新。...............
CycloneSSL - Embedded SSL/TLS Library
12-29
2. **握手过程**:理解SSL/TLS的握手过程至关重要,它涉及到客户端和服务器之间的协商,包括协议版本、加密套件、以及密钥的生成。 3. **加密算法**:CycloneSSL支持多种加密算法,包括对称加密(如AES)、非对称...
论文研究-基于SSL/TLS嵌入网络通信安全解决方案 .pdf
08-14
基于SSL/TLS嵌入网络通信安全解决方案,吴昊,,随着嵌入技术的逐渐成熟和网络通信应用需求的不断增长,嵌入技术在网络通信领域中的应用也越来越广泛,但同时也暴露出部分嵌
mbedTLS协议
07-27
基于Visual Studio2013的C语言AES加密
使用Mbedtls包中的SSL,和服务器进行网络加密通信.rar
09-16
Mbedtls是一个轻量级的开源库,广泛应用于STM32等微控制器中,为嵌入设备提供安全套接层(SSL)和Transport Layer Security(TLS协议支持,实现网络加密通信。本篇文章将深入探讨如何利用Mbedtls库与服务器进行...
application.rar_嵌入Linux_C/C++_
08-11
4. 安全性:考虑到物联网设备可能面临的安全威胁,项目可能包含了加密技术(如SSL/TLS)、身份验证和授权机制。 这个压缩包内的"application"可能包含了源代码、编译脚本、配置文件和其他相关资源,以便在目标硬件...
mbedtls-1.3.11适用于嵌入的通信加密
07-15
mbedtls是一个广泛使用的开源库,特别为嵌入系统设计,提供了一系列安全通信所需的加密算法和协议。在本文中,我们将深入探讨mbedtls 1.3.11版本及其在嵌入领域的应用。 首先,mbedtls的核心功能是实现SSL/TLS...
VisualFreeBasic集成轻量级的https服务器及客户端的mongoose
meishow88的专栏
05-01 331
下面再编译,要特别注意的是要编译的时候,要加-I 参数,后面是mbedtls源码目录下面的include文件夹,不然编译器会找不到mbedtls/debug.h这些头文件而失败。最后生成的程序体积为858K,也就是说集成一个支持SSL/TLS的Web服务器,一共只需要707K,这已经是一个极其迷你的体积了。编译的时候,发现mbedtls的aes加密也支持的很完善,这个下面我们再抽个时间把这个也剥离来做一下测试。通过这个模块,可以实现自定义的API服务器,保证客户端和服务器之间的通信是加密的。
MbedTLS 3.0.0
seraph_hh的博客
10-25 692
MbedTLS被ARM收购以后不知不觉已经走到了3.0.0,MbedTLS库也已经从openSSL库的替代者转型成为PSA平台实现的一部分。 目前关于PSA部分的文章大多是基于官方给出的使用测试案例和trusted-firmware框架,关于PSA实现的具体实现讲的比较少,这里基于我浅薄的研究,投石问路,希望能给大家在安全产品设计设计中带来一些启发。 crypto.h是这个PSA实现部分的关键头文件,在这个头文件中定义了平台安全实现需要展现给大家的核心要素...
ESP8266 下 mbedTLS 和 wolfSSL 内存对比分析
乐鑫 Espressif
03-18 7432
1. 摘要 本文主要列举实际测试的 mbedTLS 和 wolfSSL 的内存开销对比。 2. 测试版本 wolfSSL 版本: https://github.com/wolfSSL/wolfssl/releases/tag/v3.12.2-stable ESP8266 SDK 版本:ESP8266_RTOS_SDK - c7b64043 3. 测试数据 本章主要列举各种配置参...
mbed tls嵌入使用
dongwang8688的博客
09-13 406
注:截图MBEDTLS_NET_C有定义则用mbedtls_net_connect(),mbedtls_net_dissconnect(),bio中mbedtls_net_send,mbedtls_net_recv;未定义则用me_Conn()及me_disConn()函数bio中me_send_tls,me_recv_tls为自定义实现函数。1)mbedtls\include\mbedtls下面,可以build_info.h查看版本信息,重点是宏开关配置实现裁剪代码,简化运算,适应嵌入运行。
freertos+ssl
08-18
FreeRTOS SSL是一个在嵌入系统中实现SSL/TLS协议的开源软件库。SSL(Secure Sockets Layer)和TLS(Transport Layer Security)协议用于在网络通信中提供安全的加密和认证机制。 FreeRTOS SSL被设计用于在资源有限的嵌入系统中实现SSL/TLS功能。它具有小巧、高效的特点,适用于一些低功耗、内存有限的嵌入设备。 使用FreeRTOS SSL库,开发人员可以在嵌入设备上轻松地实现SSL/TLS协议,以确保数据的安全传输。它提供了一系列的API函数,使开发人员能够快速地建立、管理和终止SSL连接,并进行SSL证书验证。 FreeRTOS SSL库支持多种加密算法和密钥长度,包括DES、AES、RSA等。它还支持多种认证方法,如密码认证、数字证书认证等。 在使用FreeRTOS SSL库时,开发人员需要在嵌入系统中包含相关的头文件,并链接相应的库文件。然后,可以使用库提供的API函数来实现SSL/TLS功能。 总之,FreeRTOS SSL是一个方便、高效的开源库,适用于资源有限的嵌入设备,可以帮助开发人员实现安全的SSL/TLS通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值