SSL工作过程

已于 2023-01-05 17:23:44 修改
阅读量7.5k 收藏 19
点赞数 9
分类专栏: RHCE 文章标签: ssl 服务器 https linux 网络协议
于 2021-12-03 20:58:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xnasda/article/details/121706649
版权

SSL介绍:

SSL 是“Secure Sockets Layer”的缩写,中文叫做“安全套接层”。它是在上世纪90年代中期,由网景公司设计的。到了1999年,SSL 应用广泛,已经成为互联网上的事实标准。IETF 就把SSL 标准化。标准化之后SSL被改为 TLS(Transport Layer Security传输层安全协议)。
SSL协议分为两层:
SSL记录协议 (SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能。
SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL协议提供的服务:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器
2)加密数据以防止数据中途被窃取
3)维护数据的完整性,确保数据在传输过程中不被改变。

工作流程

在这里插入图片描述
ssl握手协议

SSL握手协议的协议字段:

​ Type: 10中消息类型之一

​ Length:消息字节长度

​ Content: 与消息相关参数
image-20210906111548011

SSL握手协议总过程:

image-20210906110806176
SSL建立过程总共有13个包,第一次建立至少需要9个包。

SSL握手第一阶段:

image-20210906105042933
image-20210908095620723

SSLclient通过Client Hello消息将它支持的SSL版本号、加密算法、密钥交换算法、MAC算法等信息发送给SSLserver

客户端发送的密码套件的格式:

密码套件格式:每个套件都以“SSL”开头,紧跟着的是密钥交换算法。用“With”这个词把密钥交换算法、加密算法、散列算法分开,
例如:SSL_DHE_RSA_WITH_DES_CBC_SHA,
DHE_RSA(带有RSA数字签名的暂时Diffie-HellMan)定义为密钥交换算法; DES_CBC定义为加密算法;
SHA定义为散列算法。

SSL握手第二阶段:

image-20210908101219662
服务器启动SSL握手的第二阶段,是本阶段唯一的发送方,客户机是唯一的接收方。

​ 证书:服务器将证书和根CA整个链发给客户端。使客户端能用服务器证书中的服务器公钥认证服务器。

​ 服务器密钥交换: 由密钥交换算法决定的。

​ 证书请求: 服务端可能会要求客户自身验证。

​ 服务器握手完成:第二阶段结束,第三阶段开始。

Certificate消息(可选):第一次建立必须要有证书。

​ 一般情况下,除了会话恢复时不需要发送该消息,在SSL握手的全流程中,都需要包含该消息。

​ 消息包含一个X.509证书,证书中包含公钥,发给客户端用来验证签名或在密钥交换的时候给消息加密。

​ 这一步是服务器端将自己的证书下发给客户端,让客户端验证自己的身份,客户端验证通过后取出证书中的公钥。

Server Key Exchange(可选):

​ 根据之前在ClientHello消息中包含的CipherSuite消息,决定了密钥交换方式。

​ 因此在Server Key Exchange消息中便会包含完成密钥交换所需的一系列参数。
image-20210908111128350
这里使用的是Diffi-Hellman算法,所以需要发送服务器使用的DH参数,RSA算法不需要。
在Diffie-Hellman中,客户端无法自行计算预主密钥;双方都有助于计算它,因此客户端需要从服务器获取Diffie-Hellman公钥。

Certificate Request(可选): 可以是单向的身份验证,也可以是双向的身份验证

​ 服务器用来验证客户端,服务器发送Certificate Request消息,要求客户端发它自己的证书过来进行验证。

​ 该消息中包含服务器支持的证书类型(RSA,DSA,ECDSA)和服务器端所信任的所有证书发行机构的CA列表。

​ 客户端会用这些信息来筛选证书。

Server Hello Done

​ 该消息表示服务器已经将所有信息发送完毕,接下来等待客户端的消息。
image-20210908113243161

SSL握手第三阶段:

image-20210908113353373
客户端启动SSL握手的第三阶段,客户端使本阶段唯一的发送方,服务器端是唯一接收方

​ 证书(可选):为了对服务器证明自身,客户端要发送一个证书消息,这是可选的。

​ 客户机密钥交换(Pre-master-secret): 这里客户端要将预备主密钥发送给服务器,使用服务器端的公钥进行加密。

​ 证书验证(可选):对预备主密钥和随机数进行签名,证明拥有证书的密钥

Certificate(可选):

如果在第二阶段服务器端要求发送客户端证书,客户端便会在该阶段将自己的证书发送过去。服务器端在之前发送的Certificate
Request消息中包含了服务器端所支持的证书类型和CA列表,因此客户端会在自己的证书中选择满足这两个条件的第一个证书发送过去。若客户端没有证书,则发送一个no_certificate警告。


Client Key Exchange:

> 根据之前从服务器端收到的随机数,按照不同的密钥交换算法(RSA,Diffie-Hellman)产生的一个48字节的key,算出一个pre-master(是整个握手阶段第三个随机数),发送给服务器,服务器端收到pre-master算出main
> master。而客户端当然也能自己通过pre-master算出main master。如此以来双方就算出了对称密钥。
> 如果是RSA算法,会生成一个48字节的随机数,然后用server的公钥加密后再放入报文中。


如果是DH算法,发送的就是客户端的DH参数,之后服务器和客户端根据DH算法,各自计算出相同的pre-master secret.`
![image-20210908114317139](https://img-blog.csdnimg.cn/img_convert/975743c3b22280866dde128ead70bf3b.png)
本消息在给服务器发送的过程中,使用了服务器的公钥加密。服务器用自己的私钥解密后才能得到pre-master key.(向服务器证明自己的确持有客户端证书私钥。)

Certificate Verify(可选):

```java
`只有在客户端发送了自己证书到服务器端,这个消息才需要发送。其中包含一个签名,对从第一条消息以来的所有握手消息的HMAC值(用master_secret)进行签名。`

SSL握手第四阶段:

image-20210908114727453
客户端启动SSL握手的第四个阶段,使服务器结束。该阶段分为四步,前两个消息来自客户机,后2个消息来自服务器。

​ 建立起一个安全的连接,客户端发送一个Change Cipher Spec消息,并且把协商得到的CipherSuite拷贝到当前连接的状态之中。

​ 客户端用新的算法、密钥参数发送一个Finished消息, 这条消息可以检查密钥交换和认证过程是否已经成功。其中包括一个校验值,

​ 对客户端整个握手过程的消息进行校验。服务器同样发送Change Cipher Spec消息和Finished消息。握手过程完成,客户端和服务器

​ 可以交换应用层数据进行通信。
ChangeCipherSpec:

编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥发送(ChangeCipherSpec是一个独立的协议,体现在数据包中就是一个字节的数据,用于告知服务端,客户端已经切换到之前协商好的加密套件(Cipher
Suite)的状态,准备使用之前协商好的加密套件加密数据并传输了)。 Clinet Finished:客户端握手结束通知,
表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验(使用HMAC算法计算收到和发送的所有握手消息的摘要,然后通过RFC5246中定义的一个伪函数PRF计算出结果,加密后发送。此数据是为了在正式传输应用数据之前对刚刚握手建立起来的加解密通道进行验证。)

Server Finished:

`服务端握手结束通知。
1.使用私钥解密加密的Pre-master数据,基于之前(Client Hello 和 Server Hello)交换的两个明文随机数 random_C 和 random_S,计算得到协商密钥:enc_key=Fuc(random_C, random_S,
Pre-Master);
2.计算之前所有接收信息的 hash 值,然后解密客户端发送的 encrypted_handshake_message,验证数据和密钥正确性;
3.发送一个 ChangeCipherSpec(告知客户端已经切换到协商过的加密套件状态,准备使用加密套件和 Session Secret加密数据了)
4.服务端也会使用 Session Secret 加密一段 Finish 消息发送给客户端,以验证之前通过握手建立起来的加解密通道是否成功。

根据之前的握手信息,如果客户端和服务端都能对Finish信息进行正常加解密且消息正确的被验证,则说明握手通道已经建立成功,接下来,双方可以使用上面产生的Session Secret对数据进行加密传输了。 `

消息验证代码(HMAC)和TLS数据完整性:

当服务器或客户端使用主密钥加密数据时,它还会计算明文数据的校验和(哈希值),这个校验和称为消息验证代码(MAC)。然后在发送之前将MAC包含在加密数据中。密钥用于从数据中生成MAC,以确保传输过程中攻击者无法从数据中生成相同的MAC,故而MAC被称为HMAC(哈希消息认证码)。另一方面,在接收到消息时,解密器将MAC与明文分开,然后用它的密钥计算明文的校验和,并将其与接收到的MAC进行比较,如果匹配,那我们就可以得出结论:数据在传输过程中没有被篡改。

重要的secret key

​ PreMaster secret

PreMaster Secret是在客户端使用RSA或者Diffie-Hellman等加密算法生成的。它将用来跟服务端和客户端在Hello阶段产生的随机数结合在一起生成 Master Secret。PreMaster secret前两个字节是TLS的版本号,这是一个比较重要的用来核对握手数据的版本号。服务端需要对密文中解密出来对的PreMaster版本号跟之前Client Hello阶段的版本号进行对比,如果版本号变低,则说明被串改,则立即停止发送任何消息。

        Master secret

由于最后通过交换,客户端和服务端都会有Pre-master和随机数,这个随机数将作为后面产生Master secret的种子,结合PreMaster secret,客户端和服务端将计算出同样的Master secret。

image-20211015115939892

配置不同端的虚拟主机访问apache服务器

1.创建一个目录,里面有两个不同端

mkdir -p /www/ip/{100,200}

2.增加内容

[root@localhost ~]#  echo this is 100 > /www/ip/100/index.html
[root@localhost ~]# echo this is 200 > /www/ip/200/index.html

3.配置文件vim /etc/httpd/conf.d/myhosts.conf

<Directory "/www/ip">
AllowOverride none
Require all granted
</Directory>
Listen 100
<VirtualHost 192.168.155.100:100 >
    DocumentRoot "/www/ip/100"
    ServerName 192.168.233.100
</VirtualHost>

Listen 200

<VirtualHost 192.168.155.100:200>
    DocumentRoot "/www/ip/200"
   ServerName 192.168.155.200
</VirtualHost>

结果:
在这里插入图片描述
在这里插入图片描述

配置用户控制和虚拟目录访问apache服务器

1.先创建一个密码

 htpasswd -c /usr/local/etc/passwd
(-c表示创建)
输入密码

2.创建浏览器首页

/www/baohu
echo this is my secret > /www/baohu/index.html

3.vim /etc/httpd/conf.d/myhosts.conf

Listen 8001
<Directory "/www/baohu">
AuthType Basic
AuthName "hello"
AuthBasicProvider file
AuthUserFile "/usr/local/etc/passwd"
require user lsj

</Directory>

<VirtualHost 192.168.155.200:8001>

alias /xuni /www/baohu
ServerName 192.168.155.200
</VirtualHost>

结果:
在这里插入图片描述
在这里插入图片描述

配置使用ssl完成https访问apache服务器

1.安装ssl# yum install mod_ssl -y

[root@localhost https]# yum install mod_ssl -y

2.在www目录下创建https目录
3.vim /etc/httpd/conf.d/myhosts.conf

<Directory "www/https">
AllowOverride none
Require all granted

</Directory>
#Listen 443
<VirtualHost 192.168.155.200:443>
DocumentRoot "/www/https"
ServerName 192.168.155.200
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA
SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
</VirtualHost>

最后启动服务

systemctl restart httpd

结果
在这里插入图片描述

配置访问apache的cgi程序

1.创建一个cgi的目录: /www/cgi

mkdir -p /www/cgi

2.在这个目录下创建一个cgi程序: 注意设置test.cgi程序的权限具备可执行权限

vim test.cgi
#!/bin/bash
printf "Context-type:text/html\n\n"
printf "Hello World for CGI"

3.配置目录权限(让这个目录具有可执行cgi权限的权限,设定cgi的后缀名)
设置虚拟主机(执行cgi程序的虚拟目录)
vim /etc/httpd/conf.d/myhosts.conf

Listen 8001
<Directory "/www/cgi/">
AllowOverride none
Options +ExecCGI
AddHandler cgi-script .cgi .py .pl
require all granted
</Directory>

<VirtualHost 192.168.155.200:8001>
ScriptAlias "/cgi/" "/www/cgi/"
ServerName 192.168.155.200
</VirtualHost>

记得更改权限:chamd +x test.cgi
结果:在这里插入图片描述

xnasda
关注
专栏目录
TLS/SSL 工作原理及握手过程详解
aliyun3的博客
04-21 2527
前言 本文是对 HTTPS 安全基础、TLS/SSL 工作原理及握手过程的总结。第一部分介绍为 HTTPS 提供安全基础的 TLS/SSL 的基础概念,及数据传输过程中密钥协商的原因。第二部分介绍密钥协商过程中存在的问题,及解决办法,其中会涉及 PKI、CA 等概念。最后介绍 TLS/SSL 的握手过程。 HTTP 和 HTTPS 的区别:https://blog.csdn.net/qq_38289815/article/details/80969419 TLS/SSL 基础概念 概念源自百
SSL证书是如何工作的
qq_31397725的博客
04-29 523
SSL证书(Secure Socket Layer,现已升级为Transport Layer Security,TLS)的工作机制旨在为互联网上的通信提供端到端的安全保障,尤其是针对Web浏览器与Web服务器之间的数据传输。总之,SSL/TLS证书通过非对称加密技术和证书体系,确保了客户端与服务器间能够安全地协商出一个对称密钥,进而利用这个密钥来加密数据,防止数据在传输过程中被窃取或篡改,从而实现了网络通信的安全性。
SSL连接建立过程分析
06-18
SSL连接建立过程分析 包括应用程序接口和SSL实现过程分析 非常详细
SSL是如何工作的?
经营人生
09-09 1290
文章导读这是一篇比较好的文章,深入浅出介绍了SSL -- 安全套接层的工作原理密钥密码系统介绍  这篇文章向大家阐述了Netscape公司是如何使用RSA的公用密钥密码系统来实现因特网安全的。Netscape的安全套接层的实现就利用了这篇文章中所讨论的技术。  RSA的公用密钥密码系统广泛地应用于计算机工业的认证和加密方面。Netscape得到RSA数据安全公司的许可可以使用公用密钥密码系统以及其
ssl 协议工作过程
最新发布
qq_25467441的博客
09-10 748
SSL工作过程主要分为握手阶段和加密通信阶段。在握手阶段,客户端和服务器协商加密算法,验证服务器身份,并生成共享的对称加密密钥。接下来,在加密通信阶段,使用该对称密钥对后续数据进行加密传输,确保数据的安全性。
ssl工作流程
m0_55753980的博客
12-04 3292
1.ssl工作流程 SSL位于应用层和传输层之间,它能够为基于TCP等可靠连接的应用层协议提供安全性保证。SSL协议本身分为两层: 上层为SSL握手协议(SSL handshake protocol)、SSLpassword变化协议(SSL change cipher spec protocol)和SSL警告协议(SSL alert protocol)。 底层为SSL记录协议(SSL record protocol)。 1.SSL握手协议:是SSL协议很重要的组成部分。用来协商通信过程中使用的加密套件(加
SSL协议工作过程
weixin_60719780的博客
10-29 4599
1、客户端首先发送client hello消息到服务端,服务端收到客户端的消息后,再发送sever hello消息到客户端(用来协商),其中所发的hello包中包含所支持的版本号,加密套件列表,压缩算法列表,客户端、服务端随机数还有会话id。通过该过程产生的客户端随机数与服务器端随机数以及预主密钥,他们组合计算得出主密钥,然后会通过主密钥分别生成共享密钥(对称加密的密钥)、Hmac认证密钥(认证)以及初始化向量。终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清除。
SSL工作原理详解
11-08
SSL的工作原理涉及到多个关键概念和技术。 首先,SSL的核心在于加密,它使用了公钥加密算法,如RSA,这是一种非对称加密技术。在公钥密码系统中,每个用户有一对密钥:公钥和私钥。公钥是可以公开的,用于加密数据...
SSL握手过程实例分析
07-29
SSL握手过程实例分析 SSL(Secure Sockets Layer)是一种...SSL握手过程SSL协议中最重要的一部分,通过对SSL握手过程的深入分析,我们可以更好地理解SSL协议的工作机理,并且可以更好地应用SSL协议在实际项目中。
SSL的通信工作过程
03-20
SSL(Secure Socket Layer)协议是一种广泛使用的安全协议,它的主要目标是为网络通信提供加密处理,确保数据在传输过程中的安全性和完整性。SSL位于HTTP协议和TCP协议之间,通过使用数字证书来实现加密通信。 SSL...
ssl建立连接全过程
05-04
ssl建立连接全过程,中文版!
ssl流程
yinchangxin的专栏
11-09 1103
网上看的,之前看源码糊里糊涂的,看过这篇,然后对着源码看,顿时茅塞顿开,不是说写的多好,只能说,配合代码看,这篇文章算是最合适的。 一、概述       SSL协议是最早Netscape公司开发的安全通信协议,用于浏览器安全通信。到SSL Version3,提交作为IFTF草案,已经广泛的应用Intetnet通信。之后IETF对SSLv3稍作改动并更名为TL
SSL协议的握手过程
chris
07-30 1037
为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议的握手协议。SSL 协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:   ①客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,...
SSL过程
海绵汽水的博客
10-19 2508
会话(Session)和连接(Connection)是SSL中两个重要的概念,在规范中定义如下。 (1)SSL连接:用于提供某种类型的服务数据的传输,是一种点对点的关系。一般来说,连接的维持时间比较短暂,并且每个连接一定与某一个会话相关联。 (2)SSL会话:是指客户和服务器之间的一个关联关系。会话通过握手协议来创建。它定义了一组安全参数。 一次会话过程通常会发起多个SSL连接来完成任务,例
SSL工作原理
weixin_33720956的博客
06-18 309
关键词:SSL,PKI,MAC 挑    希望:SSL使用数据加密、身份验证和消息完整性验证机制,基于TCP和其他的应用层协议提供可靠的连接安全保障。本文介绍了SSL后台、安全机制、工作过程和典型网络应用。 缩略语: 缩略语 英文全名 中文解释 AES Advanced Encryption Standard...
ssl证书传输工作过程是什么?
蔚可云的博客
08-12 534
随着互联网在人们的生活当中应用的范围越来越广泛,对于互联网的安全问题也受到了越来越多人的重视,给网站安装SSL证书,在当下受到了很多人的重视,毕竟网站安装了SSL证书,那么网站之间的数据传输就是加密的,但是网站是明文传输,容易受到第三方以及黑客的篡改,对网站的核心数据和用户的隐私信息都是不利的,那么ssl传输是怎么样?ssl工作过程是什么? ssl传输怎么样? ssl协议在当下的应用是很普遍的,SSL协议被广泛的应用是因为它主要是保护网络上数据传输的安全,通过数据传输加密的工具,对网络的数据安全进行
SSL交互(握手)过程详解
热门推荐
volcan1987的专栏
05-30 1万+
原文:http://www.cpplive.com/html/1387.html 普通的TCP通信无法保证数据的安全,它随时可能被第三方截获而泄漏通信双方之间的隐私,这显然是我们不希望看到的,尤其在跟用户名、密码、个人信息息息相关的通信过程(如网上银行交易、机密文件传输等等)尤其看重数据交互的隐秘性,所以我们常常用SSL协议来建立安全保密的通信,SSL协议能够保证交互双方的数据按
SSL协议的工作流程
weixin_30548917的博客
04-19 342
SSL协议的工作流程 服务器认证阶段: 1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接; 2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息; 3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器; 4)服务器恢复该主密钥,并返回给...
SSL记录协议工作过程
06-09
SSL记录协议(SSL Record Protocol)是SSL/TLS协议的基础,它提供了一个可靠的消息传递机制,用于在SSL/TLS连接中传输加密和未加密的数据。SSL记录协议的工作过程如下: 1. 分段:SSL记录协议将应用层数据分成适当大小的数据块,并将每个数据块封装在SSL记录中。 2. 压缩:如果启用了压缩,则SSL记录协议将使用压缩算法对记录数据进行压缩。 3. 加密:SSL记录协议将使用所选的加密算法对记录数据进行加密。加密算法由协议双方协商确定。 4. 计算MAC:SSL记录协议将使用消息认证码(MAC)算法对记录数据进行计算,以确保完整性和认证。 5. 封装:SSL记录协议将加密、MAC和压缩后的记录数据封装在SSL记录中,并添加头部信息。 6. 传输:SSL记录协议将SSL记录通过TCP/IP协议栈传输到对方。 7. 接收:对方SSL记录协议接收到SSL记录后,将按照相反的顺序进行解封、解密、解压缩和验证MAC,然后将明文数据传递给应用程序。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值