码了2000多行代码就是为了讲清楚TLS握手流程(续)

最新推荐文章于 2024-01-15 22:04:28 发布
最新推荐文章于 2024-01-15 22:04:28 发布
阅读量281 收藏 2
点赞数 2
分类专栏: 新世界杂货铺 文章标签: https golang
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014440645/article/details/111247793
版权
本文详细介绍了TLS1.2的单向认证和双向认证握手流程,通过时序图展示了数据收发过程。同时,对比了TLS1.2与TLS1.3在消息格式、类型、加密和密钥生成上的区别。通过实例代码和调试信息,揭示了TLS1.2和TLS1.3在HTTP2支持上的差异,强调实践对于深入理解的重要性。
摘要由CSDN通过智能技术生成

来自公众号:新世界杂货铺

文章目录


在“ 码了2000多行代码就是为了讲清楚TLS握手流程”这一篇文章的最后挖了一个坑,今天这篇文章就是为了填坑而来,因此本篇主要分析TLS1.2的握手流程。

在写前一篇文章时,笔者的Demo只支持解析TLS1.3握手流程中发送的消息,写本篇时,笔者的Demo已经可以解析TLS1.x握手流程中的消息,有兴趣的读者请至文末获取Demo源码。

结论先行

为保证各位读者对TLS1.2的握手流程有一个大概的框架,本篇依旧结论先行。

单向认证

单向认证客户端不需要证书,客户端验证服务端证书合法即可访问。

下面是笔者运行Demo打印的调试信息:

在这里插入图片描述

根据调试信息知,TLS1.2单向认证中总共收发数据四次,Client和Server从这四次数据中分别读取不同的信息以达到握手的目的。

笔者将调试信息转换为下述时序图,以方便各位读者理解。

在这里插入图片描述

双向认证

双向认证不仅服务端要有证书,客户端也需要证书,只有客户端和服务端证书均合法才可继续访问(笔者的Demo如何开启双向认证请参考前一篇文章中HTTPS双向认证部分)。

下面是笔者运行Demo打印的调试信息:

在这里插入图片描述

同单向认证一样,笔者将调试信息转换为下述时序图。

在这里插入图片描述

双向认证和单向认证相比,Server发消息给Client时会额外发送一个certificateRequestMsg消息,Client收到此消息后会将证书信息(certificateMsg)和签名信息(certificateVerifyMsg)发送给Server。

双向认证中,Client和Server发送的消息变多了,但是总的数据收发仍然只有四次

总结

1、单向认证和双向认证中,总的数据收发仅四次(比TLS1.3多一次数据收发),单次发送的数据中包含一个或者多个消息。

2、TLS1.2中除了finishedMsg其余消息均未加密。

3、在TLS1.2中,ChangeCipherSpec消息之后的所有数据均会做加密处理,它的作用在TLS1.2中更像是一个开启加密的开关(TLS1.3中忽略此消息,并不做任何处理)。

和TLS1.3的比较

消息格式的变化

对比本篇的时序图和前篇的时序图很容易发现部分消息格式发生了变化。下面是certificateMsgcertificateMsgTLS13的定义:

// TLS1.2
type certificateMsg struct {
   
	raw          []byte
	certificates [][]byte
}
// TLS1.3
type certificateMsgTLS13 struct {
   
	raw          []byte
	certificate  tls.Certificate
	ocspStapling bool
	scts         bool
}

其他消息的定义笔者就不一一列举了,这里仅列出格式发生变化的消息。

TLS1.2 TLS1.3
最低0.47元/天 解锁文章
Gopher指北
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS握手过程
沙沙罗曼的专栏
03-16 2964
TLS握手过程 客户端与服务器商议通信密钥的过程称为TLS握手,在握手阶段,通信内容虽然都是明文,但要保证最终商量的密钥只有客户端和服务器知道,其他中间节点无从得知。 RSA握手过程 RSA握手过程说明: “Client Hello”,客户端向服务器发送一个随机数R1 “Server Hello”,服务器给客户端回复一个随机数R2与包含公钥的证书 “Client Key Exch...
SSL/TLS握手过程
CoderAldrich的专栏
11-13 3741
SSL(Secure Socket Layer)最初是由Netscape公司开发的一个协议,其目的在于为互联网提供一个安全的通信机制。
TLS握手流程分析
最新发布
weixin_43894455的博客
01-15 2041
客户端发送:用于初始化会话消息,该消息主要包含如下信息:: 客户端发送它所支持的最高 SSL/TLS 版本;:一个 32 字节的客户端随机数,该随机数被服务端生成通信用的对称密钥(master secret);:session ID 被客户端用于恢复之前的会话: 客户端发送它所支持的加密套件列表服务端发送:服务端发送双方所支持的最高的 SSL/TLS 版本;:一个 32 字节的服务端随机数,被客户端用于生成通信用的对称密钥(master secret);:用于会话恢复;
TLS协议握手流程
卤煮小鱼的博客
12-02 1152
通过 wireshark 抓取 HTTPS 包,理解 TLS 1.2 安全通信协议的握手流程TLS 握手流程:通过 wireshark 抓取 HTTPS 包理解。协商加密:双方通过 ECDHE 椭圆曲线的密钥交换算法,协商出共享的会话密钥进行内容对称加密通信,避免传输会话密钥被中间人窃取。CA 证书:证书用来验证服务端的合法性。证书类似于身份证,可以证明某人是某人,当然身份证可以伪造,一般人可能识别不出来,但是国家相关部门可以验证你的身份合法性。
TLS 握手过程介绍
mayue_web的博客
03-30 301
TLS 了解
开源密库 mbedtls develop 分支
02-07
4. **SSL/TLS 协议**: 实现了 SSL(安全套接层)和 TLS(传输层安全)协议,用于建立安全的网络连接,确保数据在传输过程中的安全。 5. **证书管理**: 支持 X.509 证书的解析、验证和生成,用于身份认证和公钥基础...
模拟实现了TLS通信过程的全流程
08-11
流程如下(client建立与server的TLS通信): 1. client验证server证书合法性,client对server的可信验证是通过CA证书链完成。 2. client验证server证书合法后,client本地生成会话密钥(对称密钥)sk。 3. client...
HTTPS TLS1.2套件
09-25
核心代码TlsClientProtocol protocol = new TlsClientProtocol(tcpClient.GetStream(), new Org.BouncyCastle.Security.SecureRandom()); MyTlsClient client = new MyTlsClient(); protocol.Connect(client);
mbedtls流程sniffer包
08-07
mbedtls流程sniffer包mbedtls流程sniffer包mbedtls流程sniffer包mbedtls流程sniffer包mbedtls流程sniffer包mbedtls流程sniffer包
HTTPSTLS和TCP可以同时握手吗 607 - 616
05-15
所以,第一次客户端和服务器通信的时候,还是需要正常的三次握手流程。 随后,客户端就有了Cookie这个东西,它可以用来向服务器TCP证明先前与客户端IP地址的三向握手已成功完成。对于客户端与服务器的后通信,...
SSL/TLS认证握手过程
团长的专栏
05-23 2819
client读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应 CA的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法。客户端会内置信任CA的证书信息(包含公钥),如果CA不被信任,则找不到对应 CA的证书,证书也会被判定非法。哈,有人的地方就有江湖,有江湖的地方就没有绝对的安全。但SSL/TLS确实可以极大程度保证信息安全。签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用 CA的私钥对信息摘要进行加密,密文即签名。
SSL/TLS 握手过程详解
OceanWaves1993的博客
01-04 3029
SSL 和 TLS 这两个术语可以互换使用,因为这些协议以相同的方式加密信息,并且在最基本的层面上执行相同的操作。并且,如果客户端猜对了并且两者已就相同的 AEAD 协议达成一致,则服务器会发送自己的密钥共享部分,计算会话密钥并以服务器完成消息结束。4、为了提供身份验证,服务器获取客户端和服务器的随机数以及将用于计算会话密钥的 DH 参数,并使用其私钥对其进行加密。这是极其重要的一步。在此示例中,我们将研究 RSA,因此客户端将生成称为预主密钥的随机字节字符串,然后使用服务器的公钥对其进行加密并传输。
【计算机网络】TLS四次握手过程
qq_53715003的博客
01-03 5714
我们都知道HTTP是明文传输,所以存在窃听、篡改和伪装等风险。为了解决这些问题,https出现了,https在http的应用层和传输层之间增加了一个SSL/TLS层,建立连接时增加了TLS层的四次握手,实现了信息加密、报文校验和身份证书等功能。 今天,我们就来探讨一下,TLS层的信息加密是如何实现的。 https的信息加密是混合加密,也就是对称加密与非对称加密。双方通通信开始前要协商密钥,密钥协商时采用的是非对称加密,进行通信时使用的对称加密。 在密钥协商阶段主要用到以下几种算法: RSA算法 D
TLS 1.0 至 1.3 握手流程详解【转】
llzhang_fly的博客
08-29 4709
TLS 全称为 Transport Layer Security(传输层安全),其前身是 SSL,全称为 Secure Sockets Layer(安全套接字层),它的作用是为上层的应用协议提供安全的通信,比如众所周知的 HTTP + TLS = HTTPS。SSL 2.0 是该协议的第一个公开发布的版本,由于其存在的安全问题很快被升级到了 SSL 3.0,并且在 1999 年,IETF 小组将该协议标准化,因此 TLS 1.0 诞生了。...
这么理解TLS协议,以及TLS协议的握手过程
吴就业
05-29 4415
如今HTTPS已被广泛使用,但作为程序员的我们,真的理解这个'S'了吗?如果还没有,这篇入门级介绍或许能帮到你。在TLS(更早期的版本是SSL)出现之前,很多公司为了保证自家产品客户端与服务端信令交互数据安全,或通过基于TCP协议,自定义支持加解密的二进制应用协议(用于APP),或通过加密HTTP协议请求&响应的Body以确保数据安全。无论哪种,通常都是采用对称加...
TLS详解
marylgao技术专栏
04-02 9460
TLS全称是Transport Layer Security,是用来替代SSL的,是一种密协议,用来提供计算机之间交互的安全通信。主要用于https通信,也用于email,即使通信等。 TLS握手 TLS握手通常分为2种方式,一种是基本的握手(具体可参照下图),另一种是客户端服务端握手(因为这种用的少,就不细讲) 通过上图可知,我们这里说的TLS握手主要讲的是最基本的TLS握手,即只使用服务器的证书来进行加密,具体步骤如下: 1.客户端与服务器之间通过3次握手建立连接 2.协商阶段 a. client发
ecdhe秘钥交换/TLS1.2/TLS1.3
zhaojie0708的博客
04-04 1726
#、ecdhe秘钥交换过程 1)dh秘钥交换缺点:大数乘法运算,很慢 2)ecdh:基于椭圆曲线(ecc)的秘钥交换,基于“加”运算,速度快。 ##第一步:client hello 客户单吧所有秘钥套件发给服务器 ##第二步:server hello 服务器选择 TSL_ECDHE_RSA_AES_128_GCM_SHA256秘钥套件 ECDHE:秘钥交换算法 RSA:签名算法 AES_128_GCM:使用AES堆成秘钥加密,强度128,模式GCM SHA256:MAC/prf ##第三步:server
httpClient绕过ssl安全验证
qq_35642849的博客
12-09 2096
针对http的数字证书过期情况,访问该地址时ssl验证不通过,临时急救办法就是跳过ssl的安全验证。 在HTTPClient的api中提供了 setSslcontext 方法可以设置跳过ssl安全验证。 public static SSLContext createIgnoreVerifySSL() throws NoSuchAlgorithmException, KeyM...
TLS 1.2 握手过程
浮生的博客
02-09 3002
本文参考:HTTPS是什么?加密原理和证书。SSL/TLS握手过程_哔哩哔哩_bilibili 再结合本地抓包整理。 TLS 1.2 握手过程主要步骤如下图: 1.Client Hello(TLS版本,加密套件,Client随机数) Client首先发送Hello,告诉Server支持的TLS版本以及支持的加密套件,再把Client随机数发给Server。 2.Server Hello Server收到Client Hello也给Client发送Hello,并告知Server
tls1.2 握手流程
05-31
TLS1.2 握手流程包括以下步骤: 1. 客户端向服务器发送 Client Hello 消息,其中包含客户端支持的密钥交换算法、加密算法和消息摘要算法等信息。 2. 服务器收到 Client Hello 消息后,向客户端发送 Server Hello ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值