中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

怎么徹底弄懂SSL/TLS協議

發布時間:2021-12-14 17:32:59 來源:億速云 閱讀:151 作者:柒染 欄目:互聯網科技

這篇文章給大家介紹怎么徹底弄懂SSL/TLS協議,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。

SSL/TLS是一種密碼通信框架,他是世界上使用最廣泛的密碼通信方法。SSL/TLS綜合運用了密碼學中的對稱密碼,消息認證碼,公鑰密碼,數字簽名,偽隨機數生成器等,可以說是密碼學中的集大成者。

SSL(Secure Socket Layer)安全套接層,是1994年由Netscape公司設計的一套協議,并與1995年發布了3.0版本。

TLS(Transport Layer Security)傳輸層安全是IETF在SSL3.0基礎上設計的協議,實際上相當于SSL的后續版本。

SSL/TLS的應用

怎么徹底弄懂SSL/TLS協議

SSL/TLS是一個安全通信框架,上面可以承載HTTP協議或者SMTP/POP3協議等。

TLS協議的架構

怎么徹底弄懂SSL/TLS協議

TLS主要分為兩層,底層的是TLS記錄協議,主要負責使用對稱密碼對消息進行加密。

上層的是TLS握手協議,主要分為握手協議,密碼規格變更協議和應用數據協議4個部分。

  • 握手協議負責在客戶端和服務器端商定密碼算法和共享密鑰,包括證書認證,是4個協議中最最復雜的部分。

  • 密碼規格變更協議負責向通信對象傳達變更密碼方式的信號

  • 警告協議負責在發生錯誤的時候將錯誤傳達給對方

  • 應用數據協議負責將TLS承載的應用數據傳達給通信對象的協議。

握手協議

握手協議是TLS協議中非常重要的協議,通過客戶端和服務器端的交互,和共享一些必要信息,從而生成共享密鑰和交互證書。

不說話,先上圖:

怎么徹底弄懂SSL/TLS協議

接下來我們一步步的介紹每一步的含義:

  1. client hello

    客戶端向服務器端發送一個client hello的消息,包含下面內容:

    • 可用版本號

    • 當前時間

    • 客戶端隨機數

    • 會話ID

    • 可用的密碼套件清單

    • 可用的壓縮方式清單

我們之前提到了TLS其實是一套加密框架,其中的有些組件其實是可以替換的,這里可用版本號,可用的密碼套件清單,可用的壓縮方式清單就是向服務器詢問對方支持哪些服務。

客戶端隨機數是一個由客戶端生成的隨機數,用來生成對稱密鑰。

  1. server hello

    服務器端收到client hello消息后,會向客戶端返回一個server hello消息,包含如下內容:

    • 使用的版本號

    • 當前時間

    • 服務器隨機數

    • 會話ID

    • 使用的密碼套件

    • 使用的壓縮方式

使用的版本號,使用的密碼套件,使用的壓縮方式是對步驟1的回答。

服務器隨機數是一個由服務器端生成的隨機數,用來生成對稱密鑰。

  1. 可選步驟:certificate

    服務器端發送自己的證書清單,因為證書可能是層級結構的,所以處理服務器自己的證書之外,還需要發送為服務器簽名的證書。 客戶端將會對服務器端的證書進行驗證。如果是以匿名的方式通信則不需要證書。

  2. 可選步驟:ServerKeyExchange

    如果第三步的證書信息不足,則可以發送ServerKeyExchange用來構建加密通道。

    ServerKeyExchange的內容可能包含兩種形式:

    • 如果選擇的是RSA協議,那么傳遞的就是RSA構建公鑰密碼的參數(E,N)。我們回想一下RSA中構建公鑰的公式:$密文=明文^E\ mod\ N$, 只要知道了E和N,那么就知道了RSA的公鑰,這里傳遞的就是E,N兩個數字。具體內容可以參考RSA算法詳解

    • 如果選擇的是Diff-Hellman密鑰交換協議,那么傳遞的就是密鑰交換的參數,具體內容可以參考更加安全的密鑰生成方法Diffie-Hellman

  3. 可選步驟:CertificateRequest

    如果是在一個受限訪問的環境,比如fabric中,服務器端也需要向客戶端索要證書。 如果并不需要客戶端認證,則不需要此步驟。

  4. server hello done 服務器端發送server hello done的消息告訴客戶端自己的消息結束了。

  5. 可選步驟:Certificate

    對步驟5的回應,客戶端發送客戶端證書給服務器

  6. ClientKeyExchange

    還是分兩種情況:

    • 如果是公鑰或者RSA模式情況下,客戶端將根據客戶端生成的隨機數和服務器端生成的隨機數,生成預備主密碼,通過該公鑰進行加密,返送給服務器端。

    • 如果使用的是Diff-Hellman密鑰交換協議,則客戶端會發送自己這一方要生成Diff-Hellman密鑰而需要公開的值。具體內容可以參考更加安全的密鑰生成方法Diffie-Hellman,這樣服務器端可以根據這個公開值計算出預備主密碼。

  7. 可選步驟:CertificateVerify

    客戶端向服務器端證明自己是客戶端證書的持有者。

  8. ChangeCipherSpec(準備切換密碼)

    ChangeCipherSpec是密碼規格變更協議的消息,表示后面的消息將會以前面協商過的密鑰進行加密。

  9. finished(握手協議結束)

    客戶端告訴服務器端握手協議結束了。

  10. ChangeCipherSpec(準備切換密碼)

    服務器端告訴客戶端自己要切換密碼了。

  11. finished(握手協議結束)

    服務器端告訴客戶端,握手協議結束了。

  12. 切換到應用數據協議

    這之后服務器和客戶端就是以加密的方式進行溝通了。

主密碼和預備主密碼

上面的步驟8生成了預備主密碼,主密碼是根據密碼套件中定義的單向散列函數實現的偽隨機數生成器+預備主密碼+客戶端隨機數+服務器端隨機數生成的。

主密碼主要用來生成稱密碼的密鑰,消息認證碼的密鑰和對稱密碼的CBC模式所使用的初始化向量。詳見分組密碼和模式

TLS記錄協議

TLS記錄協議主要負責消息的壓縮,加密及數據的認證:

怎么徹底弄懂SSL/TLS協議

先上圖。

消息首先將會被分段,然后壓縮,再計算其消息驗證碼,然后使用對稱密碼進行加密,加密使用的是CBC模式,CBC模式的初始向量是通過主密碼來生成的。

得到密文之后會附加類型,版本和長度等其他信息,最終組成最后的報文數據。

關于怎么徹底弄懂SSL/TLS協議就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

昆明市| 公安县| 翁源县| 囊谦县| 简阳市| 尚志市| 鄂伦春自治旗| 格尔木市| 凤凰县| 乌海市| 普安县| 大同县| 黎川县| 柞水县| 乐平市| 广宁县| 称多县| 内丘县| 鹤壁市| 陇西县| 公主岭市| 肇东市| 都江堰市| 潼关县| 鲜城| 民丰县| 霍城县| 神木县| 蒙自县| 香格里拉县| 白水县| 简阳市| 济阳县| 海林市| 哈密市| 东方市| 边坝县| 漯河市| 河西区| 蓬莱市| 双牌县|