报文加解密原理_通讯安全 - TLS基本原理

最新推荐文章于 2024-08-23 17:31:24 发布
最新推荐文章于 2024-08-23 17:31:24 发布
阅读量543 收藏
点赞数 1
文章标签: 报文加解密原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39720181/article/details/112203171
版权
本文介绍了TLS(Transport Layer Security)的发展历程,从SSL1.0到TLS1.3的主要改进。TLS旨在建立安全的通信通道,其握手过程包括协商密码算法、生成主密钥和验证身份。TLS协议由记录层、握手协议等子协议组成,握手阶段确保了加密算法的一致性和双方的信任建立。
摘要由CSDN通过智能技术生成

ec193f8b0f6f8078ee5f6443954a738f.png

㈠ TLS 的成长史

TLS 全称为Transport Layer Security,意指传输层安全,是解决网络安全的重量级武器。传输层安全最早由网景公司所开发,那时的名字还不叫TLS,而是SSL Secure Sockets Layer,即安全套接字层。

TCP/IP 的四层模型,如下图所示。

429220fe78ecb63e62752eba8df2b200.png

从SSL 字面意思,安全套接字,我们可以理解 SSL 是位于传输层之上,也就是传输层和应用层之间。从这个设计我们也可以看出,SSL/TLS 非常灵活。所有应用层的协议,如上网用的 http, 传输文件的 FTP,收发邮件的 POP3 以及 SMTP,都可以透明地使用 SSL/TLS 所提供的安全服务。举例说明:我们经常看到的 HTTPS,就是上层应用 HTTP 直接调用 TLS 所提供的加密传输服务,从而让我们的上网行为不会被他人轻易的监听修改。 同样,SMTPS、FTPS 都是过去不安全的应用层协议,通过TLS 中间层,进行对方身份认证,从而达到对数据进行保密及认证的作用。

SSL1.0 是个不成熟的版本,并未对外发布。 1995 年网景公司对外发布了 SSL2.0 版本,但是 SSL2.0 被认为是一个不安全的协议版本,具体表现在:

- 哈希函数使用了 MD5;

- 握手消息没有做保护,易遭受中间人攻击;

- 消息完整性检查和消息加密使用了同一个密钥;

- 可以很容易中断会话。

1996 年网景发布了 SSL3.0。1999 年 TLS1.0 发布,它基于SSL3.0 之上,可看成是 SSL3.1版。SSL3.0 和 TLS1.0 使用非常广泛。之后,2006 年 TLS1.1 发布,主要是BugFix;2008 年 TLS1.2 发布。TLS1.1 和TLS1.2 都没有发现明显的安全缺陷。但是仅 TLS1.2 提供了较先进的带认证的加解密方式 (AEAD) 。上述版本一直使用到 2015 年6 月,IETF 互联网工作小组提议废除 SSL3.0。

2018 年 TLS1.3 发布,将之前协议中加密传输前,额外的两个来回的握手简化为1 个来回。还根据安全通讯的一些研究,大大减少了密码套件的选择,比如不再有3DES, RC4, AES-CBC, SHA1, MD5 选择,同时取消了使用RSA 作为密钥交换的方式。关于密钥交换的方式,这个我们后面会详细提到。

㈡ TLS 的一般原理

两阶段协议

TLS 的目的是建立起一个安全的通道。在建立安全通道、可以安全地传输数据之前,我们要经历一个TLS 握手过程。我们可以理解 TLS 协议是一个两阶段的协议,如下图所示。一个是握手阶段,一个是应用数据加密传输阶段。

08d68e1c59c859edeec2d41c64f91c51.png

TLS 子协议

同时,TLS 的协议又具有层次结构,如下图所示,所有的报文都会通过记录层协议 Record Layer Protocol 进行打包传输。

8c9edccf34746703c7f166f34bda017c.png

在记录层协议之上,又分为握手协议 Handshake Protocol,改变密码规格协议 ChangeCipherSpec Protocol,警告协议 Alert Protocol,以及应用数据协议 Application Data Protocol。本课程重点在于使用 TLS 以及调试 TLS 相关的握手协议。

TLS 握手

握手阶段有三个目标:① 关于密码算法达成一致;② 关于密码算法的参数达成一致,因为密码算法的参数时一个主密钥分割而成,这里是如何形成主密钥;③ 验证对方身份,建立信任。

如下图所示,以 TLS1.3 之前的握手协议为例:

9e8f9c5cbca3a0941ec7b73341f2e2ba.png

首先,客户端向服务器端打招呼,发送Hello 消息。Hello 消息包括:① 自己的版本号;② 会话ID;③ 随机数(这个随机数是一个输入,用来创建会话的对称密钥,初始化向量以及消息验证码密钥);④ 一些建议的密码套件,包括什么样的密钥协商算法、签名算法、哈希算法、会话对称密钥算法以及验证码算法。

服务器端看到客户端向它打招呼,要根据客户端打招呼的信息,决定选择那种加密算法。虽然客户端是有它的喜好,但是服务器也要根据自己的实际情况作出选择。然后同样要发送 Hello 消息。Hello 消息与客户端发送的类似,包括:① 自己的版本号;② 会话ID;③ 服务器生成的随机数(这个随机是一个输入,和客户端的随机数一道,作为输入,用来创建会话的对称密钥,初始化向量,以及消息验证码密钥);④ 如果服务器返回所选择的算法;⑤ 同时返回给客户端服务器的证书;⑥ 如有必要,服务器可以要求客户端提供证书。

双方打了招呼,则需要进一步双方协商生成一个主密钥的前密钥,英文叫pre-master secret。这个密钥生成方式又有两种,一种是由客户端生成,通过证书的公钥加密发送给服务器端;另外一种是客户端与服务器基于DH 协议的各种变种,各自生成。密钥生成方式是在Hello 消息中选择并达到一致的。

一旦双方有了生成主密钥的基础 --- 主密钥的前密钥、客户端随机数、服务器端随机数。双方可以根据一致的算法 PRF 生成主密钥。主密钥拆分成三组密钥:① 消息验证码密钥;② 初始化向量;③ 用来加密的对称密钥。

这时客户端可以向服务器表示要改变加密方式,进行加密通讯。同样服务器端也可以做同样的表示。

于是握手阶段完成,双方达到了同一个状态,同时获得了所有进行加密通讯的参数,就可以进行第二阶段应用加密。

93020f39f4373b084b5719e7d87a4184.png

点击链接观看更多相关课程

电堂科技​c.51diantang.com
weixin_39720181
关注
报文加解密
qingwei201314的专栏
08-20 310
2. 客户端使用对称加密对报文加密成密文message后,再对密文提取摘要,然后用私钥对密文进行签名得到sign,再把message和sign通过请求传给服务端。4. 服务端处理完业务后,将返回结果用对称加密的key加密完成,提取摘要,用服务端的私钥对摘要进行签名,然后返回客户端。对接外部系统,为了安全,需要对请求和响应的报文进行加密和解密。3. 服务端接收后用客户端的公钥验证签名,签名通过后,用对称加密的密钥key进行解密。1. 客户端和服务端各自生成非对称密钥对,并交换公钥;再约定对称加密的key。
vue配置加密_vue 参数的简单AES加密
weixin_39649478的博客
12-19 493
java 代码,Aes加密解密工具类/*** AES 128bit 加密解密工具类* @author dufy*/import org.apache.commons.codec.binary.Base64;import javax.crypto.Cipher;import javax.crypto.spec.IvParameterSpec;import javax.crypto.spec.Secr...
8583报文传输加解密
06-06
该8583报文加解密是本人在与银联和银行做系统开发时,总结出来的公用包,直接解压调用就可以了,不需要关心如何使用8583的规范 对于不熟悉8583报文的同学,是一个福音。 里面是源代码。
TLS认证流程及报文解析
最新发布
qq_42288975的博客
08-23 1485
介绍了TLS单向认证、双向认证、会话恢复流程,根据报文解析深入理解上述流程。
对称加密与非对称加密的区别_https原理及对称加密、非对称加密、数字证书、数字签名的含义...
weixin_39713805的博客
11-24 358
一、为什么要使用https使用https的原因其实很简单,就是因为http的不安全。当我们往服务器发送比较隐私的数据(比如说你的银行卡,身份证)时,如果使用http进行通信。那么安全性将得不到保障。首先数据在传输的过程中,数据可能被中间人抓包拿到,那么数据就会被中间人窃取。其次数据被中间人拿到后,中间人可能对数据进行修改或者替换,然后发往服务器。最后服务器收到数据后,也无法确定数据有没有被修改或替...
IP网络报文透明加解密系统
07-19
IP网络报文透明加解密系统测试版 一、简介: IP网络报文透明加解密系统采用内核级实现透明加解密保证程序性能达到最 佳,加密IP报文保证数据在网络传输过程安全性。 一、运行环境 1. fedora 13 系统(内核版本:2.6.33.3-85.fc13.i686.PAE)下运行。 二、功能说明 1.测试版本不支持指定特定IP加密,密码协商,密钥的定期自动更换等功能 2.测试版本加密算法采用与0x01异或来模块AES分组加密,正式版本可以支持 AES,DES等多种密码算法,根据需求也可以支持硬件加密算法。 3.正式版本TCP性能可以做进一步优化,提高TCP传输的效率 。 使用说明: ./start.sh #加载IP网络报文透明加解密模块 ./stop.sh #卸载IP网络报文透明加解密模块 机器A(加密模块)《-------------------》机器B(加密模块) 两台机器同时加载IP网络报文透明加解密模块,此时机器A和机器B之间网络通信的IP报文将采用密文形式传输防止别人窃取数据,从而保证数据传输过程中的安全。 需要其它linux系统测试,欢迎把系统版本和内核版本留给我。
HTTPS工作原理报文讲解
热门推荐
echo
07-27 1万+
1 HTTPS 1.1 HTTPS简介 HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。 SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯安全。主要任务..
例说图解TCP/IP协议族--TLS篇(2)对称加密密钥的形成
123¥567
05-23 1268
我们知道,要加密数据,有对称加密算法和非对称加密算法。而非对称加密算法,由于对设备性能要求高,一般用来加密少量的数据。而在网络中我们传输的数据可是很大的,因此用对称加密算法来加密。不过对称加密算法的安全性,完全取决于对称加密密钥【后面简称密钥】。对密钥我们需要保证几点: (1)通讯双方的密钥得一致,因为加解密都是用同一个密钥; (2)不能被外界所知,也就是防止被窃取; ...
安全套接层协议(SSL_TLS)的工作原理与演化
SSL(Secure Sockets Layer,安全套接层)和TLS(Transport Layer Security,传输层安全协议是一种用于在网络上保护信息安全传输的加密通信协议。SSL最初由网景公司(Netscape)开发,后来逐渐演化为TLS协议。SSL/...
Base64加密算法的原理以及SSL和TLS的区别
马一凡的博客
08-15 712
Base64加密算法的原理 Base64的加密原理: 利用Base64算法把字节数组转为字符串的这个过程称为编码,把字符串转为字节数组的的过程称为解码。编码的过程以三个字节为单位进行转化,总共有24位,分为4个部分,每个部分有6位。6位的二进制可以表示64种可见的字符(可打印)。因此,把6位的二进制高位补两个0就可以得到8位的字节,这个字节可以表示64种可打印的字符。为什么要采用这64种可打印字节...
SSL/TLS原理和通信过程分析
luoyaxing0812的专栏
03-11 1071
TLS传输层安全协议(英语:Transport Layer Security),及其前身SSL安全套接层(Secure Sockets Layer)是一种安全协议,目的是为互联网通信提供安全及数据完整保障。TLS是SSL发展而来。 发展历史: 定义 协议 年份 SSL 1.0 未知 SSL 2.0 1995 SSL 3.0 ..
warden_报文解密
08-08
warden_报文解密warden_报文解密warden_报文解密warden_报文解密warden_报文解密warden_报文解密warden_报文解密warden_报文解密
多渠道报文加解密流程
10-13
多渠道报文加解密流程 多渠道报文加解密流程 多渠道报文加解密流程 多渠道报文加解密流程
加解密报文签名与加解密,MD5,RSA,AES使用案例(基于 Java)
大胡子老哥的博客
12-17 620
MD5,RSA,AES使用案例(基于 Java)
解密报文
weixin_30292745的博客
06-25 694
1、要把\n\r 替换成空字符串 转载于:https://www.cnblogs.com/zsongs/p/7077639.html
TLS握手及其报文详细分析,服务器视角
知识改变命运的博客
06-27 1380
TLS(传输层安全协议)握手是建立安全通信通道的关键过程。这个过程涉及客户端和服务器之间交换一系列消息,以协商加密算法、验证身份并生成会话密钥。以下是TLS握手过程及其报文的详细分析
SSL/TLS介绍以及wireshark抓包TLS Handshake报文
weixin_52018852的博客
10-01 5374
SSL/TLS是在应用层和传输层之间的一个安全协议,通信的双方在进行通信前需要握手,通过在通信的两端建立一个安全的通道,保护数据在传输过程中的安全性。Session Identifier 的优点是它很简单,但它的缺点是,如果服务器重新启动或者会话超时,之前的Session Identifier就会失效,需要重新建立会话。Session Ticket 的优点是它可以在服务器重启后仍然保持会话的有效性,但需要确保会话票据的安全性,以防止被恶意利用。因为这是一次单向认证的Handshake过程,故比较简单。
报文加解密原理_SSL的加密原理
weixin_39630762的博客
12-19 662
预备知识我们在了解ssl的加密原理之前,首先要系统地了解密码学的基本原理,以及密码学的发展历程,产生的相应的机制。之后才能彻底弄懂为什么ssl是网络安全中最为重要的一种应用。密码学的原则密码学的漫长历史可以追溯到古罗马的凯撒时代,本文这里不做赘述,密码技术的本质其实就是使得发送方可以伪装数据,可以使入侵者不会从截取到的信息获得任何有帮助的信息,接收方可以从伪装的数据中,获得初始的数据。从上述的本质...
openssl s_client -connect 指定-tls1_1、-tls1_2、-tls1都能连接,代表什么?
07-13
当您使用 openssl s_client -connect 命令时,可以通过指定 -tls1_1、-tls1_2 或 -tls1 来选择连接时使用的...请注意,某些较旧的 TLS 版本可能存在安全漏洞,因此建议使用较新的 TLS 版本(如 TLS 1.2)来确保安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值