深入理解SSLcontext和SSL/TLS 协议通信原理

已于 2024-01-26 09:46:47 修改
阅读量1.2k 收藏 26
点赞数 27
分类专栏: 🎈日常输出 文章标签: ssl 网络协议 网络 java
于 2024-01-26 09:39:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57780057/article/details/135858568
版权

👽System.out.println(“👋🏼嗨,大家好,我是代码不会敲的小符,双非大四,Java实习中…”);
📚System.out.println(“🎈如果文章中有错误的地方,恳请大家指正!共同进步,共同成长✊”);
🌟System.out.println(“💡如果文章对您有所帮助,希望您可以三连支持一下博主噢🔥”);
🌈System.out.println("🚀正在完成计划中:接下来的三个月里,对梦想的追逐 ");

文章目录

SSL/TSL 协议通信原理

会话握手的四个阶段,"握手阶段"的所有通信都是明文的
image.png

  1. 客户端发出请求(ClientHello):客户端(通常是浏览器、sso的客户端)先向服务器发出加密通信的请求,这被叫做ClientHello请求。在这一步,客户端主要向服务器提供以下信息

  • 产生一个随机数,这个随机数一方面需要在客户端保存,另一方面需要传送给服务端

    1. 支持的协议版本,比如TLS 1.2版。
    2. 一个客户端生成的随机数,稍后用于生成"对话密钥"。
    3. 支持的加密方法,比如RSA公钥加密。
    4. 支持的压缩方法。

注意: 客户端发送的信息之中不包括服务器的域名。也就是说,理论上服务器只能包含一个网站,否则会分不清应该向客户端提供哪一个网站的数字证书。这就是为什么通常一台服务器只能有一张数字证书的原因。

  1. 服务器回应(SeverHello):服务器收到客户端请求后,向客户端发出回应,这叫做SeverHello。服务器的回应包含以下内容。

  • 服务端也需要产生一个随机数发送给客户端。客户端和服务端都需要使用这两个随机数来产生 Master Secret

    1. 确认使用的加密通信协议版本,比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信。
    2. 一个服务器生成的随机数,稍后用于生成"对话密钥"。
    3. 确认使用的加密方法,比如RSA公钥加密。
    4. 服务器证书。(如X509)
    5. 索要客户端证书(非必须),银行金融系统会需要,其它很少有网点会索取
  1. 客户端回应:客户端收到服务器回应以后,首先验证服务器证书。如果证书不是可信机构颁布、或者证书中的域名与实际域名不一致、或者证书已经过期,就会向访问者显示一个警告,由其选择是否还要继续通信。如果证书没有问题,客户端就会从证书中取出服务器的公钥。然后,向服务器发送下面三项信息。
    1. 一个随机数。该随机数用服务器公钥加密,防止被窃听。
    2. 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。
    3. 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验。

上面第一项的随机数,是整个握手阶段出现的第三个随机数,又称"pre-master key"。有了它以后,客户端和服务器就同时有了三个随机数【三个随机数通过一个密钥导出器最终导出一个对称密钥。安全性】,接着双方就用事先商定的加密方法,各自生成本次会话所用的同一把"会话密钥"。

  1. 服务器的最后回应:服务器收到客户端的第三个随机数 pre-master key 之后,计算生成本次会话所用的"会话密钥"。然后,向客户端最后发送下面信息。
    1. 编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送。
    2. 服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供客户端校验。

至此,整个握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的HTTP协议,只不过用"会话密钥"加密内容。

SSLContext

SSLContext SSL SSLv3 TSL TSLv1.2等协议版本解释
这里先梳理一下SSL/TSL 协议通信原理
第一次会话:客户端告诉服务端我支持的【协议版本、加密算法、压缩算法】并生成一个随机数
第二次会话:服务端根据客户端发过来的信息确认要使用的【协议版本、加密算法、压缩算法】并生成一个随机数
第三次会话:客户端生成一个随机数对消息编码加密(会话密钥 改变编码格式),并把改随机数告诉服务端。客户端握手完成
第四次会话:服务端收到客户端发来的随机数,生成会话密钥对消息编码加密(改变编码格式)。服务端握手完成
整个握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的HTTP协议,只不过用"会话密钥"加密内容。

SSLContext.getInstance("SSL");
SSLContext.getInstance("SSLv2");
SSLContext.getInstance("SSLv3");

SSLContext.getInstance("TLS");
SSLContext.getInstance("TLSv1");
SSLContext.getInstance("TLSv1.1");
SSLContext.getInstance("TLSv1.2");

image.png

关于SSL/TSL兼容性问题

客户端发送支持的最大版本;服务器选择将使用的版本,并将其发送到客户端。
要使握手成功,必须有一个客户端和服务器都支持的协议版本。如果客户端仅支持 SSL 3.0,而服务器仅支持 TLS 1.2 ,则没有通用协议版本,并且不会发生通信。
对于 Java 实现的所有协议(protocol)(SSLv3 和三个 TLS) 客户端声明它支持的_最大_协议(protocol)版本,服务器选择它自己的_最大_或客户端提供的较低者, 给出双方都支持的最高版本。如果客户端提供的最大值对于服务器而言低得无法接受,则服务器会拒绝该问候。 如果服务器选择的最大值对于客户端而言低得无法接受,则客户端中止握手。特别是 Java 客户端会抛出类似“不允许使用服务器协议(protocol) x”的异常,并且套接字未连接。

SSL/TSL兼容性的测试结果

如何进行SSL/TSL的测试

客户端SSL/TSL版本客户端发送数据时支持的版本服务端SSL/TSL版本及测试结果
SSLv3TLSv1TLSv1 TLSv1.1 × TLSv1.2 ×
SSLTLSv1、TLSv1.1、TLSv1.2TLSv1 TLSv1.1 TLSv1.2
TLSv1TLSv1TLSv1 TLSv1.1 × TLSv1.2 ×
TLSv1.1TLSv1、TLSv1.1TLSv1 TLSv1.1 TLSv1.2 ×
TLSv1.2TLSv1、TLSv1.1、TLSv1.2TLSv1 TLSv1.1 TLSv1.2
TLSTLSv1、TLSv1.1、TLSv1.2TLSv1 TLSv1.1 TLSv1.2

最后

慢慢的来,别着急!学会有质量的走过每一步


我是代码不会敲的小符,希望认识更多有经验的大佬,也在努力摸索出自己的道路
欢迎添加小符微信:A13781678921,一起加油

代码不会敲
关注
  • 27
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
Java Secure(SSL/TLS) Socket实现
热门推荐
怀揣梦想,努力前行
09-30 3万+
SSL(Secure Socket Layer:安全套接层)为网景研发,通过为数据加密的方式保障数据在网络上的安全,主要版本为:SSL1.0、SSL2.0以及SSL3.0 TLS(Transport Layer Security:传输层安全协议)在SSL3.0的基础上提出 文章主要包含2部分:1,证书生成部分 2,代码示例部分
ssl_android.zip_TLS_android_android ssl_application_ssl/tls
09-20
Android applications for SSL/TLS
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
基于SSL/TLS协议的FTP客户端和服务器端
06-15
本程序基于SSL/TLS协议的三元组认证的安全文件传输系统的设计和实现。采用java实现,javaSSL/TLS协议和加密技术封装的比较好,有兴趣可以下下来看一下
Netty和SSL/TLS应用例子
12-22
本源代码例子实现了Socket服务端和客户端,以及Http服务端和客户端;采用了Netty框架,实现SSL/TLS支持。
java SSLContext创建
shuxiaohua的博客
07-04 8569
概述 HTTPS相对于HTTP多了SSL(security sock layer),应用层将数据丢给TCP时,需要经过SSL层的加密处理;TCP层的数据丢给应用层时,需要经过SSL层的解密处理。因此网络中传输的都是加密后的数据,提高的通信的安全性。 HTTPS除了拥有传输加密的功能,还提供身份认证,防止对端伪造身份。这个是通过HTTPS证书实现。 注下图中对HTTPS握手过程进行简化,握手过程的关键步骤就是证书校验及对称加密秘钥的协商,另外客户端证书的校验是可选的。 问题 标准证书都是第三方机构颁发
ssl认证、证书】java中的ssl语法API说明(SSLContext)、与keytool 工具的联系
m0_45406092的博客
04-04 2868
java中,我们经常需要使用SSL/TLS连接,这种连接是加密连接,https之类的基于TCP/IP协议的应用层协议加密传输,也经常基于这种加密连接,这种连接jdk底层已经提供了默认的实现,并且是基于jdk中的keystroe证书库实现的认证。默认的SocketFactory实现ssl连接时,是基于这个默认的证书库的实现,因此当遇到证书库中不存在的证书时,就会出现ssl连接异常的问题。或者将不信任的证书安装到中解决问题。
java网络学习之 JSSE 介绍 包含sslcontext(15)
xiaoliuliu2050的专栏
03-30 4079
java 安全套接字扩展 是 在原有的socket之上 封装了一层SSL/TLS 这样的高级网络协议的实现,使得原有的socket 通讯变得安全。 1 SSL/TLS 协议介绍: SSL 是洋文“Secure Sockets Layer”的缩写,中文叫做“安全套接层”。为啥要发明 SSL 这个协议捏?因为原先互联网上使用的 HTTP 协议是明文的,存在很多缺点——比如传输内容会被偷窥(嗅探)和...
Java SSLSocket的使用
chen_410063005的专栏
12-20 2036
1. 什么是SSLSocket JDK文档指出,SSLSocket扩展Socket并提供使用SSLTLS协议的安全套接字。 这种套接字是正常的流套接字,但是它们在基础网络传输协议(如TCP)上添加了安全保护层。 具体安全方面的讨论见下一篇。本篇重点关注SSLSocket及相关几个类的使用。   2. SSLSocket和相关类 SSLSocket来自jsse(Java Secure ...
Java使用SSLContext请求https链接
大魔王技术之家
01-19 2494
Java使用SSLContext请求https链接 先了解几个关键类 SSLContext 安全套接字协议的实现核心类 SSLSocket 扩展自Socket用户客户端 SSLSocketFactory 工厂类 SSLServerSocket 扩展自ServerSocket用于服务端 SSLServerSocketFactory SSLServerSocket的工厂 KeyStore 密钥证书 KeyManager 密钥管理器 TrustManager 信任管理器 X590TrustedManager
支持GM SSL/TLS解析的wireshark
10-12
GM/T 没有单独规范 SSL协议的文件,而是在SSL 技术规范中定义了国密SSL协议TLS协议号为0x0301 0x0302 0x0303,分别表示TLS1.0 1.1 1.2,而国密SSL版本号为0x0101,其参考了TLS1.1 本Wireshark支持解析该报文
tls.rar_ tls protocol_TLS_ssl_ssl/tls_tls pdf
09-19
一个关于ssl通信协议的文档,需要的可以下载
SSL/TLS一键配置工具下载
02-08
1、IIS Crypto 是一个免费工具,使管理员能够在 Windows Server 2008、2012、2016、2019 和 2022 上启用或禁用协议、密码、哈希和密钥交换算法。 2、允许您重新排序 IIS 提供的 SSL/TLS 密码套件、更改高级设置、通过单击实施最佳实践、创建自定义模板和测试您的网站。
TLS/SSL协议文档,简单易懂
03-06
本文档对ssl/tls协议进行了分析和梳理,内容清晰明了,简单易懂,适合初学者,和对ssltls有兴趣的人。
IISCrypto 解决SSL/TLS协议信息泄露漏洞的工具
最新发布
03-22
Windows 2008、2012、2016 服务器版本 SSL/TLS协议信息泄露漏洞(CVE-2016-2183),SSL 配置工具
从编程角度看SSL协议(2)ssl库--SSLContext
123¥567
08-11 3142
1 SSLContext类介绍 ssl库中除了提供SSLSocket类以外,还提供了SSLContext类。相比于SSLSocket类,SSLContext提供了丰富的属性,供我们修改和查看SSL握手时的参数。 我们可以通过以下命令来实例化SSLContext实例context context = ssl.SSLContext(ssl.PROTOCOL_TLSv1_2) ...
JAVA实现发送HTTPS请求(SSL双向认证)
qq_36313856的博客
12-20 2万+
一、项目背景 Java项目需要作为客户端发起HTTPS请求访问服务端,并且需要携带证书进行SSL双向认证,当前提供的证书相关文件有:ca.crt、ca.key、client.crt、client.key、server.crt、server.key 二、实现步骤 1、对客户端证书和私钥进行打包处理(需要输入密码,之后在代码中需要用到该密码) openssl pkcs12 -export clcerts -in client.crt -inkey client.key -out client.p12 2、.p
TSL 传输层安全性协议
ScorpC的博客
05-08 4334
一. 介绍 传输层安全性协议 Transport Layer Security,TLS 及其前身安全套接层 Secure Sockets Layer,SSL是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器-网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布第一版TL...
netty ssl/tls加密
08-23
Netty是一款高性能的网络应用框架,支持SSL/TLS加密来保护网络通信的安全性。SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是网络通信中广泛使用的加密协议,用于在客户端和服务器之间建立安全的通信信道。 Netty提供了一些组件和类来实现SSL/TLS加密。首先,我们需要使用javax.net.ssl包中的类来创建SSLContext对象。SSLContextSSL/TLS协议的入口点,它包含用于加密和解密数据的加密算法和密钥。我们需要为SSLContext对象配置密钥库和信任库,密钥库用于存储证书和私钥,而信任库用于存储可信的证书。 接下来,我们需要创建SslHandler对象,将其添加到Netty的ChannelPipeline中。SslHandler作为一个ChannelHandler,负责处理SSL/TLS握手过程和数据的加密解密。当建立连接时,SslHandler会自动执行握手过程,包括协商加密算法、验证证书以及生成会话密钥等。 一旦握手完成,SslHandler会将数据加密后发送到网络,并将接收到的密文解密成明文。这样可以确保在网络传输过程中的数据保密性和完整性。此外,SslHandler还提供了一些方法来获取会话信息,如远程主机的证书和协商的加密算法。 使用Netty的SSL/TLS加密功能能够有效地提高网络通信的安全性。通过配置SSLContext和添加SslHandler,我们可以方便地实现对网络通信的加密和解密。无论是在客户端还是服务器端,都可以使用Netty的SSL/TLS加密功能来保护数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码不会敲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值