如何实现ssl在握手阶段,可以精确控制选择何种算法进行协商

最新推荐文章于 2024-05-05 14:42:21 发布
最新推荐文章于 2024-05-05 14:42:21 发布
阅读量997 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wan13141/article/details/83047448
版权

       加密原理先暂且不详说,这次只是把如何实现这个控制加载何种算法思路大致说一下,大家都知道,客户端和服务端在进行正真的应用数据通信之前,需要建立tcp三次握手连接之后,还要进行握手协商,客户端会把自己支持的算法套件,产生的随机数,还有支持的版本号,发给对端,这个阶段称为hello阶段,,在这个阶段,我们就可以控制选择把何种支持的算法套件发给服务器,大致如下:算法都有一个唯一的ID,这是可以区别不同的算法,各个不同的tls/ssl版本算法的名字可能会变化,但这个算法ID是不会变的,就像我们人类的省份证号码不会变,但自己的名字会变一样。首先,我们可以定义一个数组,使用各个算法的ID填充数组,像下面这样:

unsigned int g_ssl_cipher_support[32]=

{

0x03000002,

0x03000004,

0x03000005,

0x0300000A,

0x0300002F,

0x03000035,

0x0300003C,

0x0300003D,

0x03000067,

0x0300006B,

0x0300009C,

0x0300009E,

0x0300C027,

0x0300C02F,

};

由于是通过AT命令发送,首先是在AT命令里设置好INT32 g_ssl_cipher_flag = 0xffffffff;

g_ssl_cipher_is_support   //0不选,1选择

g_ssl_cipher_id   //相当于数组的下标,

再设置两个参数:如下

    g_ssl_cipher_flag &=(~(1 << g_ssl_cipher_id));
    g_ssl_cipher_flag |=(g_ssl_cipher_is_support <<g_ssl_cipher_id );

 

在hello阶段,在这个ssl_cipher_list_to_byte()函数中,调用自己写好的函数g_check_ssl_cipher_is_suppor()进行筛选我们想要的算法,这个函数实现如下:

extern UINT32 g_ssl_cipher_flag;

BOOL g_check_ssl_cipher_is_support(SSL_CIPHER *c)

{

    UINT32 i=0;

    int g_ssl_flag=0;

    for(i=0;i<32;i++)

    {

    if(g_ssl_cipher_support[i] == c->id)      //根据ID进行选择

    {

           g_ssl_flag=g_ssl_cipher_flag&(1 <<i);

           if(g_ssl_flag)

           {

                 return TRUE;

            }

          else

          {

                return FALSE;

          }

   }

}

 

 

return FALSE;

}

完整的ssl_cipher_list_to_bytes()函数实现如下,各个TLS或者SSL版本上都有这个函数实现:具体细节

下次找个时间不上,有时间会把SSL协议和源码都说一下。

int ssl_cipher_list_to_bytes(SSL *s,STACK_OF(SSL_CIPHER) *sk,unsigned char *p,

                             int (*put_cb)(const SSL_CIPHER *, unsigned char *))

{

 

int i,j=0;

SSL_CIPHER *c;

unsigned char *q;

#ifndef OPENSSL_NO_KRB5

        int nokrb5 = !kssl_tgt_is_available(s->kssl_ctx);

#endif /* OPENSSL_NO_KRB5 */

 

if (sk == NULL) return(0);

q=p;

for (i=0; i<sk_SSL_CIPHER_num(sk); i++)

{

CSW_TRACE(4,TSTXT("[ght]sk_SSL_CIPHER_num(sk)=%d\n"),sk_SSL_CIPHER_num(sk));

c=sk_SSL_CIPHER_value(sk,i);

if(c == NULL)

        continue;

if(FALSE == g_check_ssl_cipher_is_support(c))          //在这里调用

{

       continue;

}

/* Skip TLS v1.2 only ciphersuites if lower than v1.2 */

if ((c->algorithm_ssl & SSL_TLSV1_2) &&

(TLS1_get_client_version(s) < TLS1_2_VERSION))

continue;

#ifndef OPENSSL_NO_KRB5

if (((c->algorithm_mkey & SSL_kKRB5) || (c->algorithm_auth & SSL_aKRB5)) &&

    nokrb5)

                    continue;

#endif /* OPENSSL_NO_KRB5 */                    

 

j = put_cb ? put_cb(c,p) : ssl_put_cipher_by_char(s,c,p);

p+=j;

}

 

/* If p == q, no ciphers and caller indicates an error. Otherwise

 * add SCSV if not renegotiating.

 */

#if 0

if (p != q && !s->renegotiate)

{

static SSL_CIPHER scsv =

{

0, NULL, SSL3_CK_SCSV, 0, 0, 0, 0, 0, 0, 0, 0, 0

};

j = put_cb ? put_cb(&scsv,p) : ssl_put_cipher_by_char(s,&scsv,p);

p+=j;

#ifdef OPENSSL_RI_DEBUG

fprintf(stderr, "SCSV sent by client\n");

#endif

}

#endif

return(p-q);

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

wan13141
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SSL握手过程实例分析
07-29
SSL握手过程实例分析 SSL(Secure Sockets Layer)是一种...SSL握手过程是SSL协议中最重要的一部分,通过对SSL握手过程的深入分析,我们可以更好地理解SSL协议的工作机理,并且可以更好地应用SSL协议在实际项目中。
扫盲 HTTPS 和 SSL/TLS 协议[3]:密钥交换(密钥协商算法及其原理
andylau00j的专栏
01-17 2万+
文章目录 ★密钥交换/协商机制要达到啥目的? ★密钥交换/协商机制的几种类型 ★基于 RSA 的密钥协商 ★基于 DH 的密钥协商 ★DH 的变种 ★基于 PSK 的密钥协商 ★基于 SRP 的密钥协商 ★各种组合的一览表   先插播一个好消息:   本月初俺发了一篇《老流氓CNNIC 的接班人——聊聊“沃通/WoSign”的那些破事儿》。前2天看到新闻说,Mozi
TLS握手的OpenSSL实现(深度1)
好习惯成就伟大
11-30 2325
我们跳过握手的总状态机和读写状态机,因为我认为那是OpenSSL架构方案的一个败笔,逻辑非常的不清晰,是程序员思维,而不是正常的逻辑思维。与握手逻辑比较相关的在statem_clnt.c和statem_srv.c中。分别是客户端的握手逻辑和服务端的握手逻辑。 我们以服务端为重点来分析。 一个简单的函数列表就能看出来其中的大体逻辑。对于服务器来说,是被动的处理消息,响应客户端请求的一方。所以所有的发送都是有接收来触发,接收对应的函数典型的就是tls_process_开头的函数,而发送所对应的函数就是t
HTTPS协议的详细讲解(四次握手
最新发布
m0_52165864的博客
05-05 4963
HTTPS 协议(HyperText Transfer Protocol over Secure Socket Layer):可以理解为HTTP+SSL/TLS, 即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP 数据传输。HTTPS协议是在HTTP的基础上加上了一个协议。SSL(Secure Socket Layer,安全套接字层)
openssl 常用api的作用与使用
小x的博客
12-30 4073
服务端编写步骤 SSL_library_init SSL库的初始化 OpenSSL_add_all_algorithms 载入所有的SSL算法 SSL_load_error_strings() 载入所有SSL错误消息 SSL_CTX_new() 产生一个SSL CTX SSL_CTX_use_certificate_file 载入用户的数字证书 X509 *SSL_get_peer_certificate(const SSL *ssl);// 获取对方的数字证书 ...
带你轻松认识SSL协议中的加密套件
蔚可云的博客
03-07 8008
什么是加密套件 加密套件(CipherList)是指在ssl通信中,服务器和客户端所使用的加密算法的组合。在ssl握手初期,客户端将自身支持的加密套件列表发送给服务器;在握手阶段,服务器根据自己的配置从中尽可能的选出一个套件,作为之后所要使用的加密方式。这些算法包括:认证算法、密钥交换算法、对称算法和摘要算法等。 加密的组成 每种加密套件的名字里包含了四部分信息,分别是 第一部分是密钥交换,用于决定客户端与服务器之间在握手的过程中如何认证。使用非对称加密算法来生成会话密钥,因为非对称算法不.
用OpenSSL编写SSL,TLS程序(2)
远方客的专栏
02-07 8938
简介SSL(Secure Socket Layer)是netscape公司提出的主要用于web的安全通信标准,分为2.0版和3.0版.TLS(Transport Layer Security)是IETF的TLS 工作组在SSL3.0基础之上提出的安全通信标准,目前版本是1.0,即RFC2246.SSL/TLS提供的安全机制可以保证应用层数据在互联网络传输 不 被监听,伪造和窜改.openssl(ww
非常全且非常好用的国密算法DoubleCA-JCE完整实现,0.94版本,含国密SSL的SM2密钥协商,(附详细测试和应用代码)
04-09
国密SM2 ECDHE密钥协商算法实现 摘要算法 SM3摘要算法实现 X509数字证书 国密数字证书工厂及SM2数字证书基础功能的实现 KeyStore功能 SM2算法数字证书、SM2密钥对加密保护与存储功能的实现 国密SSL功能 国密...
openssl实现ssl握手调试工具
07-21
在IT行业中,SSL(Secure Sockets Layer)安全通信协议是互联网上广泛采用的一种安全机制,用于保护网络数据传输。SSL握手SSL协议的核心部分,它确保了客户端与服务器之间的安全连接建立。本教程将深入探讨如何...
ssl证书生成工具(sha256算法
12-28
弱哈希算法签名SSL证书(CVE-2004-2761)。 远程服务使用SSL证书链,该证书链已使用加密弱哈希算法(例如MD2、MD4、MD5或SHA1)签名。这些签名算法很容易受到碰撞攻击。攻击者可以利用这一点生成另一个具有相同数字...
Qt实现SSL通信客户端和服务器
06-24
在提供的文件中,"sslserver"可能是一个实现SSL服务器的示例代码,"securesocketclient"可能是SSL客户端的代码。"sslcert"文件可能包含了服务器的SSL证书或者相关的密钥文件,例如PEM格式的公钥和私钥,或者是CSR...
解决 Field 'ssl_cipher' doesn't have a default value的错误
07-17
最近在向mysql插入用户的时候,突然出现了Field 'ssl_cipher' doesn't have a default value的错误,现已解决,步骤如下
SSL安全漏洞解决方案
公子公子的博客
08-21 1万+
文章目录前言一、 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)1.详细描述2.解决办法二、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)1.详细描述2.解决办法三、SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)1.详细描述2.解决办法总结 前言 上周公司对公网系统进行了安全检查,扫描出了SSL相关漏洞,主要有SSL/TLS协议信息泄露漏洞(CVE-2016-2183)、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CV
TLS ciphers 配置说明参考网址
MashiMaroJ的专栏
09-13 1078
起因:项目代码给一个security Lab检测安全性,告知我们要丢弃CBC ciphers suits. 我们就开始分析如何只丢弃CBCciphers suits. 首先我们要能配置server的ciphers suits,我们使用的第三方库是libwebsocket来搭建嵌入式的server. struct lws_context_creation_info info; ... info.ssl_cipher_list = "XXX" 可以通过给lws_context_creation_.
OPENSSL关键数据结构之一:SSL
w9521423的博客
10-26 1万+
     SSL作为OPENSSL一个关键数据结构一点都不过分,无论是在SSL初始化连接,还是在读写数据,SSL数据结构都起着重要作用。SSL这个数据结构将SSL协议复杂的连接过程都封装在内部,提供一个简单的接口让用户调用,就象调用WINSOCK的连接函数一样简单。掌握OPENSSL,了解SSL内部结构非常必要。     SSL的数据结构struct ssl_st    {    /* proto
openssl源码分析(一)
thinker
11-24 2700
我们跳过握手的总状态机和读写状态机,因为我认为那是OpenSSL架构方案的一个败笔,逻辑非常的不清晰,是程序员思维,而不是正常的逻辑思维。与握手逻辑比较相关的在statem_clnt.c和statem_srv.c中。分别是客户端的握手逻辑和服务端的握手逻辑。 我们以服务端为重点来分析。 一个简单的函数列表就能看出来其中的大体逻辑。对于服务器来说,是被动的处理消息,响应客户端请求的一方。所以所有的发送都是有接收来触发,接收对应的函数典型的就是tls_process_开头的函数,而发送所对应的函数就是t
python3.7.1 提示 ModuleNotFoundError: No module named ‘_ssl‘ 模块问题 ;
淡漠Vip的博客
05-23 3788
>>> import ssl Traceback (most recent call last): File "<stdin>", line 1, in <module> File "/usr/local/python37/lib/python3.7/ssl.py", line 60, in <module> import _ssl # if we can't import it, let the error propagate ImportError.
nignx web服务器中ssl_ciphers配置项的配置
热门推荐
aa1382525的专栏
12-05 7万+
ssl_ciphers配置项的可选值由openssl 的ciphers定义 查看openssl支持的加密套件 opensslciphers[-v][-ssl2][-ssl3][-tls1][cipherlist] -v:详细列出所有加密套件。包括ssl版本(SSLv2、SSLv3以及TLS)、密钥交换算法、身份验证算法、对称算法、摘要算法以及该算法是否可以出口。 -ssl...
SSL 协议分析:ClientHello 过程分析
流媒体巅峰之路
11-06 1796
最近在分析某个PC端程序的登录过程,发现它用的是openssl进行https通讯的。 由于以前没有openssl的使用经验,遂开始学习这个库,在这里记录一些TLS协议的原理, 以及openssl实现TLS协议的代码分析。(TLS 相当于 SSL 协议的后续版本。) 画了一个丑陋的简图: 首先是客户端先发起 客户端发起tcp链接,然后,发起TLS 请求, 即ClientHel...
SSL双向认证握手过程 非常详细
08-03
SSL双向认证是一种常用的网络通信加密机制,可以确保客户端与服务器之间的通信安全和可信。在SSL双向认证握手过程中,客户端和服务器之间会交换一系列的信息来建立安全连接。 首先,客户端的浏览器向服务器发送...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值