ssl双向认证_详解TLS/SSL运行机制

最新推荐文章于 2024-03-09 16:28:26 发布
最新推荐文章于 2024-03-09 16:28:26 发布
阅读量436 收藏
点赞数
文章标签: ssl双向认证

1a4b15b07b3c25ac4f368656ba210e2b.png

TLS传输层安全性协议(Transport Layer Security)及其前身SSL安全套接层(Secure Sockets Layer)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障,TLS/SSL协议位于网络OSI七层模型的会话层,用来加密通信。

TLS/SSL握手过程

第一步,客户端(Client)以明文的形式发起请求信息(client_hello),其中信息包含;

  • 客户端生成的随机数random_C
  • 支持的最高TLS协议版本
  • 客户端支持的加密套件cipher suites
  • 支持的压缩算法列表
  • 扩展字段
身份加密套件包括: 身份认证算法Au ,采用的密钥交换算法(密钥协商),对称加密算法,信息摘要算法Mac(校验信息的完整性)

第二步,服务端(Server)收到客户端发来的请求以后,返回协商的信息(server_hello),其中包括

  • 服务端生成的随机数random_S
  • 使用TLS协议的版本
  • 使用的压缩算法版本
  • 选择的加密套件cipher suites
  • 服务端配置的对应的证书链

第三步,客户端(Server)收到服务端发来的请求以后,首先会检查服务端证书的合法性,如果合法就会进行如下操作;

  • 客户端生成第三个随机数字pre-master
  • 计算协商秘钥enc_key=Func(random_C, random_S, pre-master)
  • 计算之前通信的所有参数的hash作为sessionSecret

sessionSecret和用证书携带的公钥加密pre-master发送给服务器(Server)

第四步,服务端(Server)收到客户端发来的请求后,会进行如下操作

  • 用私钥解密或者pre-master的值 - 基于random_Srandom_Cpre-master计算协商秘钥enc_key=Func(random_C, random_S, pre-master)
  • 验证sessionSecret

服务端进行完上面的操作以后,会用协商秘钥加密sessionSecret作为encrypted_handshake_message消息发送给客户端。

第五步,客户端(Client)接收到encrypted_handshake_message消息以后,会用自己计算出的协商秘钥解密encrypted_handshake_message查看里面sessionSecret是否和自己生成的一致,如果一致则用协商出来的秘钥加密后续的通信。

双向认证

上面的整个过程,都是客户端单向认证服务端,也是最为常用的场景。同时,服务端也可以要求验证客户端,比较常见的场景就是大额网银汇款转账会需要在电脑上插入U盾

U盾中包含银行签发的证书用来验证客户端。 双向认证在单向认证第二步的时候,服务器会要求客户端发送证书,来校验客户端证书有效性。

欢迎关注我的博客(qyuan.top),不定期分享一些区块链底层技术文章,博客排版要比知乎好一点(ㄟ( ▔, ▔ )ㄏ)。

weixin_39827850
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tls.rar_ tls protocol_TLS_ssl_ssl/tls_tls pdf
09-19
一个关于ssl通信协议的文档,需要的可以下载
ssl_android.zip_TLS_android_android ssl_application_ssl/tls
09-20
Android applications for SSL/TLS
gRPC — SSL/TLS单向认证双向认证、Token认证
最新发布
qq_56639722的博客
03-09 1739
传输层安全性协议(Transport Layer Security,缩写作 TLS ),其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。根据传输层安全协议的规范,客户端与服务端的连接安全应该具备连接是私密的或连接是可靠的一种以上的特性。SSL/TLS 协议通过 X.509 证书的数字文档将网站的公司实体信息绑定到加密密钥,每一个密钥对都有一个私有密钥和一个公有密钥。
gRPC教程 — TLS单向认证双向认证、Token认证、拦截器
Mr_XiMu的博客
05-23 3180
gRPC教程 — TLS单向认证双向认证、Token认证、拦截器
HTTPS双向认证(Mutual TLS authentication)
猥琐的刚的博客
03-10 7515
HTTPS双向认证(Mutual TLS authentication) 双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立Https连接的过程中,握手的流程比单向认证多了几步。单向认证过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。 原理 单向认证流程中,服务器端保存着公钥证书和私钥
ESP32 SSL/TLS 双向认证实践
ESP 技术分享,推动万物互联
06-20 3377
ESP32 SSL/TLS 双向认证实践
TLS及CA证书申请流程
阿里云专家博主,51CTO专家博主、2022年博客之星Top96,嵌入式与物联网赛道Top2
12-04 2436
TLS及CA证书申请流程
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
yygr的博客
02-13 1522
什么是 SSL, 什么是 TLS 呢?官话说 SSL 是安全套接层 (secure sockets layer), TLSSSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层和 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
SSL/TLS单向认证双向认证介绍
网络资源是无限的
06-19 9929
为了便于理解SSL/TLS的单向认证双向认证执行流程,这里先介绍一些术语。 1. 散列函数(Hash function):又称散列算法、哈希函数,是一种从任何一种数据中创建小的数字”指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来。该函数将数据打乱混合,重新创建一个叫做散列值(hash values, hash codes, hash sums)的指纹。散列值通常用一个短的随机字母和数字组成的字符串代表。好的散列函数在输入域中很少出现散列冲突。 散列函数的工作原理如下
使用wireshark观察SSL/TLS握手过程--双向认证/单向认证
热门推荐
NowOrNever
11-11 6万+
SSL/TLS握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程。 这个过程实际上产生三个随机数:client random, server random, pre-master secret。 前两个随机数都是明文传送的,只有pre-master secret是加密的(RSA或者DH)。 一般生成证书的时候,签名算法可以选择RSA或者DSA算法。 如果server使用RSA证书,RSA即可以用作签名也可以用作不对称加密,pre-master secret就是用server的RSA证书中包含的公
SSL双向认证握手过程 非常详细
08-03
SSL双向认证握手过程 非常详细
JAVA实现的SSL/TLS双向认证源代码
02-02
压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内附测试 wss的测试例子, 需要生成PKCS12的证书,导入浏览器才可以测试。
netty实现SSL/TSL双向加密认证示例
09-21
一个netty建立的SSL双向加密的服务器和客户端的简单示例。工程是IDEA创建的,直接导入即可,注意需要依赖的pom文件中的包。需要的证书文件示例也在压缩包内。
C# TLS SSL TCP双向认证 X509Store SslStream Certificate
09-25
C# TLS SSL TCP双向认证 X509Store SslStream Certificate Visual Studio 2017 命令提示 键入: makecert -r -pe -n “CN=TestServer” -ss Root -sky exchange 等待来自客户端的连接... 显示安全等级 密钥套件: Aes...
SSL/TSL双向认证过程与Wireshark抓包分析
区块链之美
07-12 1万+
1、 SSL/TSL基本知识 (1)SSL/TLS协议运行机制:https://blog.csdn.net/fw0124/article/details/40873253 (2)图解SSL/TLS协议:https://blog.csdn.net/fw0124/article/details/40875629 (3)SSL/TLS 双向认证(一) -- SSL/TLS工作原理:https://bl...
SSL 双向认证过程
u013399759的专栏
11-01 4744
结合日志,我们来看一下SSL双向认证的全过程:    第一步: 客户端发送ClientHello消息,发起SSL连接请求,告诉服务器自己支持的SSL选项(加密方式等)。  Bash代码   *** ClientHello, TLSv1   第二步: 服务器响应请求,回复ServerHello消息,和客户端确认SSL加密方式:  B
SSL/TLS单向双向认证原理
self_examination的专栏
07-26 6962
最近在搞一个项目,其中要用到安全传输,研究了下SSL/TLS单向双向认证。 1. SSL/TLS单向认证:客户端会认证服务器端身份,服务器端不对客户端进行认证 2. SSL/TLS双向认证:客户端和服务端都会互相认证,即双发之间要证书交换 一般的应用都是单向认证,如果场景中要求对客户源做认证可以实现双向认证,下边介绍双向认证过程认证过程SSL消息按如下顺序发送: 1. Clien
TLS1.2握手过程(双方都进行身份认证
sweet_Mary的博客
07-31 540
该证书为Server端向Client端提供的Server证书,mtlstls主要的区别即为“m(mutual)”,mtls需要双方都提供证书,而tls只需要server证书提供给client(Server证书中含有Server的公钥,tls:将Server证书交给Client,Client将自己想好的会话秘钥用Server的公钥进行加密,再传给Server,Server再用公钥进行解密,这样双方都得到了会话秘钥)Server端让Client端发来Client的证书。根据更改的协议发送示例进行测试。
java ssl 双向认证_java实现 SSL双向认证
05-25
SSL双向认证是指在SSL连接中,不仅客户端要验证服务器的身份,服务器也要验证客户端的身份。Java实现SSL双向认证一般需要以下步骤: 1. 创建KeyStore和TrustStore,分别存储客户端和服务器的证书和私钥。可以使用keytool工具来创建这些文件。 2. 在服务器端,创建SSLContext对象,并为其指定KeyManagerFactory和TrustManagerFactory。这些工厂类可以使用KeyStore和TrustStore来初始化。 3. 在客户端,创建SSLContext对象,并为其指定TrustManagerFactory。这个工厂类可以使用TrustStore来初始化。 4. 在服务器端,创建ServerSocket并开始监听客户端连接。当客户端连接到服务器时,服务器会为客户端创建一个SSLSocket并开始SSL握手。 5. 在客户端,创建SSLSocket并连接到服务器。客户端和服务器会进行SSL握手,包括交换证书和验证身份等步骤。 6. 客户端和服务器建立SSL连接后,可以开始进行安全通信。 下面是一个简单的Java SSL双向认证的示例代码: 服务器端: ```java KeyStore keyStore = KeyStore.getInstance("JKS"); keyStore.load(new FileInputStream("server.jks"), "password".toCharArray()); KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); kmf.init(keyStore, "password".toCharArray()); TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); tmf.init(keyStore); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); SSLServerSocketFactory sslServerSocketFactory = sslContext.getServerSocketFactory(); SSLServerSocket sslServerSocket = (SSLServerSocket) sslServerSocketFactory.createServerSocket(8443); while (true) { SSLSocket sslSocket = (SSLSocket) sslServerSocket.accept(); // 处理客户端连接 } ``` 客户端: ```java KeyStore keyStore = KeyStore.getInstance("JKS"); keyStore.load(new FileInputStream("client.jks"), "password".toCharArray()); TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); tmf.init(keyStore); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, tmf.getTrustManagers(), null); SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory(); SSLSocket sslSocket = (SSLSocket) sslSocketFactory.createSocket("localhost", 8443); // 发送和接收数据 ``` 需要注意的是,这只是一个简单的示例代码,实际中还需要考虑证书的管理、密码的安全等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值