TLS详解

最新推荐文章于 2023-11-11 10:45:21 发布
最新推荐文章于 2023-11-11 10:45:21 发布
阅读量348 收藏 1
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/xinxianquan/p/10784626.html
版权

TLS加密通信,

开始使用协商的秘钥进行加密通信

  1、服务器也可以要求验证客户端,即实现双向的验证,

  2、会话缓存握手过程,为了建立握手的速度,减少协议带来的性能方面的降低和资源方面的消耗,TLS协议有两类会话缓存机制,分别是会话session ID 和会话记录session titcket 。

     Session ID有服务器端支持,协议中的标准字段,因此基本的所有服务都支持,服务区段保存会话 ID 以及协商的通信信息, Nginx中的IM内存约保存4000个session ID机器相关的信息,占服务器资源较多。 另一种就是Session ticket需要服务器和客户端都支持,术语一个扩展字段,将协商的通信信息加密之后发送给客户端保存,秘钥只有服务器知道,占用服务器的资源最少。这两者对比,主要是保存协商信息位置的不同,类似http中session与从cookie。二者都存在的情况下,(nginx实现)优先使用session_ticket

   握手过程如下:

  

(1)会话标识SessionID 

      如果客户端和服务器之间之前建立了连接,服务器会在握手成功之后返回SessionID ,并且保存默认的参数在服务器中

    如果客户端再次需要和该服务器建立连接,则在Client_hello中 session_id中携带记录信息,发送给服务器。

    服务器根据收到的session Id 检索缓存的记录,如果没有检索到缓存过期,则按照正常的握手进程进行。

    如果检索到对应点缓存激励,则返回change_cipher_spec与 encrypted_handshake_message信息,两个信息作用类似,encrypted_handshack_messag是到当前通信参数与 master_sercet的hash值。但是如果客户能够验证通过服务器加密数据,则客户端同样发送change_spec和encrypted_handshake_message信息。服务器验证数据通过,则握手建立连接成功,开始进行征程的数据加密通信。

(2)会话记录session_ticket

    如果客户端和服务器支架之前建立可连接,服务器会在new_session_ticket数据中携带加密的session_ticket信息,客户端保存。

    如果客户端再次需要和服务器建立连接,则在client_hello 中扩展字段session_ticket中携带加密信息,一起发送给服务器,服务器解密session_ticket数据,如果解密失败按照正常的握手进行。

   如果解密成功,session-ticket则返回 change_cipher_spec和encrypted_handshake_message信息,两个信息作用于session Id中类似。

    如果客户端能工验证通过服务器加密数据,则客户端同样发送change_cipher_spec和encrypted_handshake_message信息。

   服务器验证数据通过,则我哦手建立成功,开始进行正常的数据加密通信。

3、重新连接

重新建立连接,就是放弃之前建立的连接,(TLS连接) 从新进行身份认证和秘钥写上个的过程,特点是不需要断开当前的数据传输就可以重新身份认证,更新秘钥和算法,因此服务端存储和缓存的信息都可以保存,

服务器端重新建立一般情况是客户端访问受保护的数据发生,基本过程如下:

    客户端和服务端建立了有效TLS连接 ,并开始通信。

   客户端访问受保护的信息

   服务器端返回helo-request信息

   客户端收到hello_request 信息之后发送client-helo 信息,开始建立连接

(4)秘钥计算

涉及的参数 random client   random_server  Pre_master  Master sercet  key material 计算秘钥时,服务器和客户端都具体有这些基本的信息 ,计算流程如下:

 

客户端使用RSA或者Diffe-Hellman等加密算法生成Pre-Master

Pre-Master结合Random sercet 和Random-server 两个随机数进行迭代生成 ker material 下面是详细的内容解释:

   PreMaster sercet 前面两个字节是TLS的版本号,这是一个比较重要的用来核对握手数据的版本号,因为在 Client hello 阶段,客户端会发送一份加密套件列表和当前支持的TLS协议的版本号给服务端  ,而且使用的是明文传输,如果握手数据包被破解之后,攻击者很可能篡改数据包,选择一个安全性较低的加密套件和版本给服务端,从而对数据进行破解,所以服务端要对密文中解密出来的对 PerMaster 版本号跟之前的Client hello阶段版本号进行对比, 如果版本号变低,则说明数据被篡改,则立即日内至发送任何消息。

 不管是客户端还是服务器端都要使用随机数,这样生成的随机秘钥每次都会不一样,对于RAS秘钥来说,pre-master-key 本身就是一个随机数,再加上helo消息中的随随机数三个随机数通过一个秘钥导出器最终生成一个对称秘钥。一个伪随机可能不完全是伪随机,但是三个伪随机加起来可能十分接近伪随机数,

 

转载于:https://www.cnblogs.com/xinxianquan/p/10784626.html

weixin_33772645
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通讯加密证书 TLS详解.pdf
11-14
通讯加密证书 TLS详解.pdf
TLS/SSL 协议详解 (22)会话复用
叼哥的博客
11-19 6271
由于SSL握手的非对称运算无论是RSA还是ECDHE,都会消耗性能,故为了提高性能,对于之前已经进行过握手的SSL连接,尽可能减少握手round time trip以及运算。   SSL提供2中不同的会话复用机制。 1:session id会话复用   对于已经建立的SSL会话,使用session id为key(session id来自第一次请求的server hello中的session...
Session会话恢复:两种简短的握手总结SessionID&SessionTicket
好习惯成就伟大
11-29 925
目录 完整的握手 会话恢复 Session ID会话恢复流程 回退攻击 Session ID分布式负载均衡问题 SessionTicket 恢复过程 NewSessionTicket子消息 完整的握手 当客户端和服务器端初次建立TLS握手时(例如浏览器访问HTTPS网站),需要双方建立一个完整的TLS连接,该过程为了保证数据的传输具有完整性和机密性,需要做很多事情,密钥协商出会话密钥,数字签名身份验证,消息验证码MAC等,整个握手阶段比较耗时的地方是密钥协商,需要密集的CPU处理。当客
10、SSL协议
安全学习笔记
07-23 2326
SSL协议 SSL(Secure Sockets Layer)为“安全套接层协议 ”,它是网景(Netscape)公司提出的基于 WEB 应用的安全协议。SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL可以和应用层的http协议配合形成https,也可以保证邮件协议的安全。当前版本为3.0。 SSL协议主要用于提高应用程序之间数据的安全性。
Tengine TLSv1.3最佳实践
weixin_33696106的博客
08-31 323
TLSv1.3 概述 背景 SSL 是1994年网景公司提出,主要解决安全传输从0到1的过程,真正被大规模应用是1996年发布的 SSLv3,经过了几年的发展,在1999年被IETF纳入标准化,改名叫 TLS,其实本质是一样的,TLSv1.0 跟 SSLv3 没有太多差异,TLSv1.1 做了一些 bug 修复和支持更多的参数,TLSv1.2 基于 TL...
详解TLS SSL技术.docx
10-30
本节介绍了TLS和SSL是什么,TLS和SSL如何使用安全支持提供程序接口(SSPI)和Schannel SSP来保护数据传输,以及哪些工具和设置可用于配置TLS和SSL。 在这个部分 什么是TLS / SSL? TLS / SSL如何工作 TLS / SSL工具...
SSL&TLS 协议详解
07-25
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 安全传输层协议(TLS)...
TLSSSL协议详解
06-25
很多人把SSL和 HTTPS混为一谈,认为SSL就是HTTPS,其实不尽然。SSL全称是“Secure Socket Layer”,字面上可以从“Secure”单词可以看出,SSL是负责“安全”传输的,并不关心传输的内容是什么。...
SSL&TLS认证原理详解
07-01
加密方式分为对称加密和不对称加密。...本文章会详细讲解SSL/TLS密钥签发与公钥分发过程,SSL/TLS基本的运行过程(客户端发出请求、服务器回应、客户端回应过程、服务器的最后回应过程及整个过程图解)
TLS 详解
热门推荐
summer_fish的专栏
06-15 2万+
SSL(Secure Sockets Layer) 安全套接层,是一种安全协议,经历了 SSL 1.0、2.0、3.0 版本后发展成了标准安全协议 - TLS(Transport Layer Security) 传输层安全性协议。TLS 有 1.0 (RFC 2246)、1.1(RFC 4346)、1.2(RFC 5246)、1.3(RFC 8446) 版本。TLS 在实现上分为 记录层 和 握手层 两层,其中握手层又含四个子协议: 握手协议 (handshake protocol)、更改加密规范协议 (c
HTTPS协议详解TLS/SSL握手过程
麦峰强的博客
12-14 5853
1、握手与密钥协商过程 基于RSA握手和密钥交换的客户端验证服务器为示例详解TLS/SSL握手过程 再看一张手绘时序图(1).client_hello 在发送的 Client Hello 中会带上自己支持的加密算法,供服务端从中挑选。由于老旧客户端会支持一些不安全的加密算法,为了提高传输安全,通常会在服务端指定一个可用算法列表,最终使用的加密类型取决于二者的交集,并按服务端优先级取第一个;如果没...
TLS协议详解,一文带你了解TLS协议
weixin_74021557的博客
06-18 8302
本文介绍了TLS的概论、工作原理、发展历史、算法和参考资料。TLS是一种加密协议,用于保护网络通信的安全性和隐私性。它使用公钥加密和对称密钥加密两种加密方式来保护通信的安全性,可以防止黑客窃取用户的敏感信息。TLS的发展历史可以追溯到SSL 1.0,但由于存在安全漏洞而被废弃。TLS 1.0、TLS 1.1和TLS 1.2分别于1999年、2006年和2008年发布,进一步增强了安全性和性能。常用的加密算法包括AES、RSA、MD5等。
TLS/SSL 详解
zhuguanlin121的博客
10-13 2161
基础入门 HTTPS 对称加密 非对称加密 证书 TLS握手过程 握手总结 TLS 定义 HTTPS = HTTP over TLS. 加密 记录层 分片 (Fragmentation) 记录压缩和解压缩 (Record compression and decompression) 空或标准流加密 (Null or standard stream cipher) CBC 块加密 (分组加密) 记录有效载荷保护 (Record payload protection) 密钥计算 (Key calculation
TLS加密协议详解
最新发布
u013349377的博客
11-11 2357
SSL/TLS是一种密码通信框架,他是世界上使用最广泛的密码通信方法。SSL/TLS综合运用了密码学中的对称密码,消息认证码,公钥密码,数字签名,伪随机数生成器等,可以说是密码学中的集大成者。SSL(Secure Socket Layer)安全套接层,是1994年由Netscape公司设计的一套协议,并与1995年发布了3.0版本。TLS(Transport Layer Security)传输层安全是IETF在SSL3.0基础上设计的协议,实际上相当于SSL的后续版本。消息摘要算法即HASH算法。
SSL/TLS协议简介
haiziccc的专栏
10-09 1025
SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。 SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
yygr的博客
02-13 1532
什么是 SSL, 什么是 TLS 呢?官话说 SSL 是安全套接层 (secure sockets layer), TLS 是 SSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层和 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
数据库MySQL最大连接数、最大活跃连接数、最大并发数、并发会话数区别
Lee_Natuo的博客
08-19 4525
这里写自定义目录标题) 数据库MySQL最大连接数、最大活跃连接数、最大并发数、并发会话数区别 最大连接数:基于IP建立连接数。 最大活跃连接/并发连接/并发会话:最大活跃连接是并发连接数,但和并发会话数不是一个概念,连接数是数据链路层,而会话是指数据库业务上的。建立一个数据库会话一般会占用多个连接。 (连接数与并发会话在实际用户场景中会基本上有个比例,大概连接数与会话数是5:1的关系) ...
https全面讲解——TLS/SSL协议解析
zhbgreat的博客
02-21 2000
第一部分:什么是https协议? 由于安全方面的考虑目前大部分站点尤其是知名的大站点都是采用https,来代替之前的http。https的广泛使用也被很多人关注和学习。http "调用" SSL/TLS 中的加密算法与协议逻辑实现保密传输。https不能说是一个协议,只能说是一种应用,不过这种应用占绝大部分比例;SSL加密http内容默认使用443端口,SSL还可以加密Email 默认使用995...
https启用tls1.2
07-28
要启用TLS 1.2协议,您可以按照以下步骤进行操作: 1. 打开注册表编辑器,可以通过运行命令regedit来打开。 2. 导航到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols路径。 3. 在Protocols下右键,选择新建,然后选择项,创建一个名为TLS 1.2的新项。 4. 在TLS 1.2下右键,选择新建,然后选择项,创建一个名为Server的新项。 5. 在Server下右键,选择新建,然后选择DWORD值,创建一个名为Enabled的新DWORD值。 6. 双击Enabled,将数值数据设置为1,表示启用TLS 1.2协议。 7. 同样,在TLS 1.2下右键,选择新建,然后选择项,创建一个名为Client的新项。 8. 在Client下右键,选择新建,然后选择DWORD值,创建一个名为Enabled的新DWORD值。 9. 双击Enabled,将数值数据设置为1,表示启用TLS 1.2协议。 10. 完成后,关闭注册表编辑器。 通过以上步骤,您已经成功启用了TLS 1.2协议。请注意,这些步骤是为了在Windows操作系统中启用TLS 1.2协议。\[1\]同时,启用TLS 1.2协议可以提高安全性,因为它使用了ECDHE来增强随机性,并且具有前向安全性。与RSA相比,ECDHE在服务器密钥泄露的情况下更加安全,因为之前的连接对应密钥无法被解密,从而保护了数据的安全性。此外,进行Finished校验也是非常必要的,以防止传输过程中的篡改。\[2\]\[3\] #### 引用[.reference_title] - *1* [windows server 2008 r2 中IIS启用TLS 1.2(安装SSL后用TLS 1.2)](https://blog.csdn.net/weixin_32210881/article/details/119262828)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [HTTPS之TLS1.2连接详解](https://blog.csdn.net/qq_40276626/article/details/120396330)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值