国密双向认证抓包及分析

已于 2022-05-20 14:07:32 修改
阅读量2.9k 收藏 13
点赞数 2
分类专栏: TLS及PKI 文章标签: https 服务器 ssl
于 2022-05-17 22:20:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xihuanyuye/article/details/124831325
版权

基于TASSL双向认证握手协议

说明

C->S表示报文从client端发送到server端
S->C表示报文从server端发送到client端。
采用国密版本wirshark进行抓包操作。

1 client hello (C->S)

在这里插入图片描述
客户端发起握手协商操作,它将发送一个 Client Hello 消息给服务器,消息中明确了其所支持的SSL/TLS版本、Cipher suite加密算法组合等,可以让服务器选择,并提供了一个客户端随机数,用于以后生成会话密钥使用。

2 server hello (S->C)

在这里插入图片描述
服务器将返回一个 Server Hello 消息,该消息包含了服务器选择的协议版本、加密算法,以及服务器随机数、会话ID等内容。其中,服务器选择的协议版本应小于等于客户端Client Hello中的协议版本。

3 Certificate (S->C)

服务器发送Server Hello消息,选择好协议版本和加密算法组合后,将发送 Certificate 消息,该消息包含了服务器的证书等信息,可通过证书链认证该证书的真实性。根据选择的加密算法组合的不同,服务器证书中的公钥也可被用于加密后面握手过程中生成的Premaster secret。
在这里插入图片描述

4 Server Key Exchange(S->C)

对于标准协议来说是用来进行椭圆曲线协调的,但是国密并不会真正采用椭圆曲线的秘钥协商算法。仍旧是采用传统的DH秘钥协商算法。
在这里插入图片描述

5 Certificate request (S->C)

双向认证要求客户端发来证书
在这里插入图片描述

6 Server Hello Done(S->C)

在这里插入图片描述

7 Certificate(C->S)

因为server要求验证证书,发送了Certificate request ,client在收到该报文后,将自己的证书发送到了服务端。
在这里插入图片描述

8 Client Key Exchange(C->S)

客户端发送 Client Key Exchange消息,将自己的Diffie-Hellman协议中的Pub Key发送到服务端。
在这里插入图片描述

9 Certificate verify C->S

发送这个类型的握手需要2个前提条件

服务器端请求了客户端证书
客户端发送了非0长的证书

此时,客户端想要证明自己拥有该证书,必然需要私钥签名一段数据发给服务器验证。
签名的数据是客户端发送certificate verify前,所有收到和发送的握手信息(不包括5字节的record)。其实这个流程和签名server key exchange基本一样。计算摘要,然后签名运算。
在这里插入图片描述

10 Change Cipher Spec(C->S)

加密传输中每隔一段时间必须改变其加解密参数的协议,因为后续的报文都会采用刚刚协商好的加密秘钥进行加密传输,因此会发送该报文。
在这里插入图片描述

11 Encrypted handshake Message(C->S)

该报文的目的就是,客户端告诉服务端,自己在整个握手过程中收到了什么数据,发送了什么数据。来保证中间没人篡改报文。
该数据采用刚才协商好的秘钥进行加密,顺带验证秘钥。
在这里插入图片描述

12 New Session ticket(S->C)

一种控制后续交互数据量和数据有效值的session设置,这里可能不会生效。
在这里插入图片描述
参考阅读

13 Change Cipher Spec (S->C)

加密传输中每隔一段时间必须改变其加解密参数的协议,因为后续的报文都会采用刚刚协商好的加密秘钥进行加密传输,因此会发送该报文。
在后续的连续发送过程中,服务端都可以采用该报文通知客户端,后续将采用新秘钥进行数据加密通信。
在这里插入图片描述

14 Encrypted handshake Message (S->C)

该报文的目的就是,服务端告诉客户端,自己在整个握手过程中收到了什么数据,发送了什么数据。来保证中间没人篡改报文。
该数据采用刚才协商好的秘钥进行加密,顺带验证秘钥。
在这里插入图片描述

15 Application Data

后续采用加密方式进行数据通信。
在这里插入图片描述

分手包:
https://blog.csdn.net/qq78442761/article/details/120716143

xihuanyuye
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tongsuo(铜锁)项目介绍 - 实现国密SSL协议
new9232的博客
06-22 182
本文章主要介绍了铜锁项目的编译,以及使用铜锁项目实现国密SSL通信、搭建支持国密SSL协议的Nginx服务器、支持国密SSL协议的libcurl的使用。
国密https握手协议抓包及流程详解
ryanzzzzz的博客
03-08 3407
使用的密码套件清单-Cipher Suite,这里服务器端选择了ECC_SM4_CBC_SM3密码套件,也就是SM2公钥算法、SM4-CBC分组密码算法和SM3杂凑算法。具体来说,这里SM2算法密钥交换算法,SM4是加密算法(SM4-CBC)、SM3是校验算法(国标要求为HMAC-SM3)。服务器的加密证书:加密证书中在同样在扩展字段中KeyUsage标识出KeyEncipherment为true和dataEncipherment为true,即数字证书中包含的公钥可用来做密钥加密密钥和数据密钥。
Android平台HTTPS抓包全方案
2401_84132565的博客
05-11 435
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此我收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!
HTTPS双向认证流程详解与联想
2401_84466316的博客
05-29 1253
理解HTTPS协议的认证流程,可以增加对安全的理解,HTTPS认证的过程,核心思想与Kerberos协议的认证也是互通的,是具有相似性的。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取。
IOS之https请求认证双向认证
showmyself
12-23 5689
一、背景: 苹果从IOS9.0以后就要求使用https,今年发布说的是在2017年1月1日后,所有上架的APP必须使用HTTPS(貌似目前推迟了)。不论怎么说,使用https时迟早的事情,之前通过在info.plist文件中设置 NSAppTransportSecurity为NSAllowsArbitraryLoads的方式不起作用了。这篇文章主要就是介绍在IOS中如何将http改造成https
HTTPS|SSL笔记-SSL双向认证失败(客户端证书信任库不含服务端证书)握手过程(含wireshark分析
IT1995的博客
09-07 1646
这里我把客户端证书信任库里面清空,及没放服务端证书,Java报错不一样,但抓包是一样的,在此记录下过程。 1. 前3个包是TCP三次握手,在此不解析,对应的包如下: 2.握手成功后,客户端发送自己支持的加密套,和随机数给服务端,也就是Client Hello 具体内容如下: 其中Random为随机数,其Handshake Type为Client Hello。CIpher Suites为加密套。signature_algorithms为签名算法这里可以。 3. 服务...
双向认证时客户端没有发送身份证书给服务端
Terisadeng的博客
05-14 654
场景: 双向认证的客户端身份证书快要过期了,因此更换了客户端证书的证书库中的身份证书。 调服务端报找不到证书或者证书验证失败,经过抓包,发现,服务端发送了服务端身份证书,且请求客户端发送客户端身份证书,但是客户端没有发送身份证书。 原因: 双向认证场景,服务端发送身份证书的同时,告诉客户端服务端运行接受的CA列表,然后客户端根据这个列表在证书文件(导入的双向认证证书文件)找这个证书,如果没找到就发送空证书 导致这种情况出现的原因是,客户端更换了身份证书,但是服务端证书库却没有导入更新的证书,导致发
ssl认证、证书】SSL双向认证SSL单向认证的区别(示意图)
m0_45406092的博客
03-10 2892
双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书,具体的过程相对于上面的步骤,只需将服务器端验证客户证书的过程去掉,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户的是没有加过密的(这并不影响 SSL 过程的安全性)密码方案。这样,双方具体的通讯内容,就是加过密的数据,如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长,
GB35114双向身份认证(A级)学习笔记
yjkhtddx的专栏
07-14 4745
摘录自:https://blog.csdn.net/qq_45759354/article/details/128672828SSL协议用到了对称加密和非对称加密,在建立连接时,SSL首先对对称加密密钥使用非对称加密。连接建立好后,SSL对传输内容使用对称加密。单向认证是客户端不携带证书,服务端存在证书,在认证过程中,仅验证服务端的身份,当客户端访问服务器时,浏览器会去检查服务器SSL证书,来验证网站服务器的合法性。一般web端应用都是采用单向认证的。单向认证过程。
Wireshark-win32-2.9.0(国密版密评抓包工具)
10-21
国密版密评抓包工具Wireshark-win32-2.9.0,用于软件系统商密测评抓包时使用。Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。...
Java实现SSL双向认证的方法
09-01
Java中的SSL双向认证是一种安全通信机制,用于确保服务器和客户端之间的通信不仅加密,而且双方的身份都得到验证。这种机制在需要高安全性交互的应用场景中,如金融交易、企业内部网络通信等,尤其重要。 SSL...
GMSSL双向认证分析.docx
12-17
在GMSSL双向认证中,由于其开源的特性,开发者可以直接分析代码来理解这个过程。这有助于学习和调试,也可以增强用户对协议安全性的信心。通过对GMSSL的源码分析,我们可以深入理解国密算法如何与TLS协议结合,...
国密SSL握手协议抓包
09-04
国密SSL握手协议抓包
最新国密jar包及网上可用的测试demo
02-17
包含jar包有: bcmail-jdk15on bcpkix-jdk15on bcprov-jdk15on bcprov-jdk15to18 bcprov-jdk16 bcutil-jdk15on
HTTP与HTTPS
weixin_47503016的博客
07-14 528
是一种网络攻击方式,其中攻击者在通信双方之间秘密地中转和可能篡改他们的通信内容。攻击者可以拦截、窃听、修改或伪造信息,从而获取敏感数据或破坏通信的完整性。是用于在客户端(如浏览器)和服务器之间传输数据的两种协议。它们有一些相似点,但也有关键的区别。
js 请求blob:https:// 图片
lwdfzr的博客
07-12 621
方式164>c;for(c=0;t-t%3>c;xhr.send();""", uri)方式2xhr.send();});if(img){}else{
阿里云CDN- https(设计支付宝春节开奖业务)
最新发布
2302_78067597的博客
07-16 872
https是安全超文本协议(Hyper Text Transfer Protocol over Secure Socket Layer),安全为目标的HTTP通道(http的升级版),工作原理将http用SSL、TLS协议进行封装分为:1. 建立一种一个信息安全通道 2.确认网站的真实性ssl(Secure Sockets Layer)一个安全套接层,在TCP之上的安全协定,有效帮助internet提升通讯时的资料完整性及安全性;
国密https握手协议抓包分析Wireshark
06-19
HTTPS (Hypertext Transfer Protocol Secure) 是HTTP协议的一个安全版本,通过SSL/TLS协议加密数据,提供数据传输的安全性和隐私保护。当你使用Wireshark抓包分析HTTPS流量时,你会看到实际的网络通信被包装在一个加密套接字中,这使得直接查看数据内容变得困难。 抓包分析HTTPS的主要步骤如下: 1. **启动Wireshark**:首先,打开Wireshark,并确保已经安装了SSL/TLS解密插件(如SSL dissector),以便正确解析加密流量。 2. **选择接口和过滤器**:选择你的网络接口,通常选择“Any”来捕获所有流量,然后添加过滤器`tcp.port == 443`,这样只会显示HTTPS流量。 3. **截取流量**:开始抓包,等待一段连接时间,确保捕获到完整的HTTPS会话,包括三次握手(TCP连接建立)和后续的数据交换。 4. **解密流量**:Wireshark会自动对SSL/TLS包进行解密,但解密过程可能会因为证书问题、私钥缺失等原因失败,这时可能需要手动导入相应的证书或信任链。 5. **查看会话信息**:在捕获的包中,你可以看到TLS/SSL连接的详细信息,如版本、加密算法、认证方法等。HTTP请求和响应会被转换为明文显示。 6. **分析数据**:通过查看HTTP请求头和响应头,可以了解请求的URL、方法、HTTP状态码以及任何附加的身份验证信息。 相关问题: 1. 如何在Wireshark中导入自定义的SSL证书来解密HTTPS会话? 2. HTTPS握手过程中,三次握手具体指什么? 3. Wireshark如何处理SSL/TLS连接失败的情况?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值