2. 程式人生 > >SSL/TLS 互動說明

SSL/TLS 互動說明

阿新 發佈:2019-01-08

一、SSL/TLS說明

1.1、說明:

安全傳輸層協議(TLS)用於在兩個通訊應用程式之間提供保密性和資料完整性,是ssl的後續版本。

該協議由兩層組成: TLS 記錄協議(TLS Record)和 TLS 握手協議(TLS Handshake)。

Record協議:包括對訊息的分段、壓縮、訊息認證和完整性保護、加密等 。

Handshake協議:包括協商安全引數和密碼套件、伺服器身份認證(客戶端身份認證可選)、金鑰交換等。

 

主要用於解決:

 

二、TLS互動說明:

2.1、TLS 1.2 協議互動過程:

流程簡要說明:

具體可以參見:https://tools.ietf.org/html/draft-whyte-qsh-tls12-02

1、2:TLS執行在TCP基礎之上,需要一個完整的來回互動(RTT),完成TCP 三次握手“ 。

3:TCP連線建立後,客戶端傳送ClientHello,包括:

(1)客戶端支援的ssl的最高版本號,如TLS1.2版。

(2)客戶端支援的加密套件列表,如RSA公鑰加密。

(3)確定的會話ID(用於恢復會話使用,server端會儲存關於session id的對應的通訊祕鑰,當匹配的時候,會使用快取的對稱祕鑰)

(4)客戶端所支援的壓縮演算法列表

(5)一個用於生成對話祕鑰的32位隨機數

 

4:伺服器傳送ServerHello,包含:

(1)服務端選擇的ssl的版本(選擇方式為選擇客戶端和服務端最高版本中的較低的那一個)

(2)服務端選擇的加密套件,如RSA公鑰加密。

(3)會話ID(用於恢復會話使用,server端會儲存關於session id的對應的通訊祕鑰,當匹配的時候,會使用快取的對稱祕鑰)

(4)客戶端選擇的壓縮演算法

(5)一個用於生成對話祕鑰的32位隨機數

 

5:雙方協商好一個共同的TLS版本和加密演算法,客戶端使用伺服器提供的證書,生成新的對稱金鑰,並用伺服器的公鑰進行加密,通知伺服器切換到加密通訊流程。

以上,除了對稱金鑰是伺服器端的公鑰加密,其他都是明文。

 

6:伺服器用自己的私鑰解密客戶端發過來的對稱金鑰,通過驗證MAC檢查訊息的完整性,並返回給客戶端一個加密的“Finished”的訊息。客戶端採用對稱金鑰解密訊息,並驗證MAC,如果一切OK,加密隧道就建立好了。

7:使用加密隧道傳輸資料

 

注: TLS1.2 基於RSA加密,TLS1.3 基於ECDH,減少了一個RTT互動過程。

RSA說明 見:RSA原理說明

 

2.2、TLS 1.3 協議互動過程:

2.2.1、ECDH:

2.2.1.1、簡要說明:

ECDH是基於ECC(Elliptic Curve Cryptosystems,橢圓曲線密碼體制,參看ECC)的DH( Diffie-Hellman)金鑰交換演算法。交換雙方可以在不共享任何祕密的情況下協商出一個金鑰。

ECC是建立在基於橢圓曲線的離散對數問題上的密碼體制,給定橢圓曲線上的一個點P,一個整數k,求解Q=kP很容易;給定一個點P、Q,知道Q=kP,求整數k確是一個難題。ECDH即建立在此數學難題之上。

2.2.1.2、祕鑰交換過程:

假設金鑰交換雙方為Alice、Bob,其有共享曲線引數(橢圓曲線E、階N、基點G)。

1.Alice生成隨機整數a,計算A=a*G。Bob生成隨機整數b,計算B=b*G。

2.Alice將A傳遞給Bob。A的傳遞可以公開,即攻擊者可以獲取A。由於橢圓曲線的離散對數問題是難題,所以攻擊者不可以通過A、G計算出a。Bob將B傳遞給Alice。同理,B的傳遞可以公開。

3.Bob收到Alice傳遞的A,計算Q=b*A

4.Alice收到Bob傳遞的B,計算Q‘=a*B

Alice、Bob雙方即得Q=b*A=b*(a*G)=(b*a)*G=(a*b)*G=a*(b*G)=a*B=Q' (交換律和結合律),即雙方得到一致的金鑰Q。

 

2.2.2、協議互動過程:

 

流程簡要說明:

具體可以參見:https://tools.ietf.org/html/draft-ietf-tls-tls13-28

1、2:TLS執行在TCP基礎之上,需要一個完整的來回互動(RTT),完成TCP 三次握手“ 。

3:TCP連線建立後,客戶端傳送ClientHello,包括:

(1)客戶端支援的ssl的最高版本號

(2)客戶端支援的加密套件列表

(3)確定的會話ID

(4)客戶端所支援的壓縮演算法列表

其中key_share記錄了a*G,其中G是一個大家都知道的大數。伺服器拿到a*G,計算得到Q=b*a*G(核心思想,實際邏輯要比這複雜),得到對稱祕鑰。

 

4:伺服器傳送ServerHello,包含:

(1)服務端選擇的ssl的版本(選擇方式為選擇客戶端和服務端最高版本中的較低的那一個)

(2)服務端選擇的密碼套件

(3)會話ID

(4)客戶端選擇的壓縮演算法

其中key_share記錄了b*G,客戶端拿到b*G就可以計算得到Q=a*b*G(核心思想,實際邏輯要比這複雜),得到對稱祕鑰。

 

5:客戶端會返回驗證資訊、證書資訊等給伺服器。

 

6:使用加密隧道傳輸資料

相關推薦

SSL/TLS 互動說明

一、SSL/TLS說明 1.1、說明: 安全傳輸層協議(TLS)用於在兩個通訊應用程式之間提供保密性和資料完整性,是ssl的後續版本。 該協議由兩層組成: TLS 記錄協議(TLS Record)和 TLS 握手協議(TLS Handshake)。 Record協議:包括

AWS Certificate Manager(SSL/TLS書を無料で作成)

AWS Certificate Manager は、AWS のサービスとお客様の內部接続リソースで使用するパブリックとプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理、デプロイを簡単

SSL/TLS協議互動流程分析

本文參考 tls執行機制,這裡不細說,建議細看 ssl/tls基礎介紹 SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通訊提供安全及資

聊聊HTTPS和SSL/TLS協議

常用 電信 hellip 以及 設有 可擴展 地址 玩意兒 winrar 要說清楚 HTTPS 協議的實現原理,至少需要如下幾個背景知識。 大致了解幾個基本術語(HTTPS、SSL、TLS)的含義 大致了解 HTTP 和 TCP 的關系(尤其是“短連接&

圖解SSL/TLS協議

.html ssl detail png nbsp tick 技術 我們 ticket 本周,CloudFlare宣布,開始提供Keyless服務,即你把網站放到它們的CDN上,不用提供自己的私鑰,也能使用SSL加密鏈接。 我看了CloudFlare的說明(這裏和這裏),

(轉) HTTP & HTTPS網絡協議重點總結(基於SSL/TLS的握手、TCP/IP協議基礎、加密學)

重點總結 csdn .net https clas 加密 網絡 tls spa HTTP & HTTPS網絡協議重點總結(基於SSL/TLS的握手、TCP/IP協議基礎、加密學) 原文:http://blog.csdn.net/itermeng/article/

基於 Confluence 6 數據中心的 SAML 單點登錄設置 SSL/TLS

Confluence請確定 SAML 授權是安全和私有的,你需要在你的應用程序中設置SSL/TLS。 請參考in the application. See Running Confluence Over SSL or HTTPS 頁面中的內容。一旦上面的設置完成,你需要確定你的應用程序的 configured

【密碼技術】Part 4 SSL/TLS

font tls協議 流程 密碼 img nbsp AR mage info 01 SSL/TLS基本概念 02 TLS協議流程圖 【密碼技術】Part 4 SSL/TLS

SSL/TLS

hang 公鑰 lse finish RF while tar span turn 在前文中,我們通過實例了解了使用java加密的一些技術,它們各自具有一些優缺點,由於它們的一些局限性,在網絡傳輸中,需要綜合使用這些技術來保證高強度的傳輸安全性。本單元將討論SSL/TLS,

Windows server 2012遠程桌面服務(RDP)存在SSL / TLS漏洞的解決辦法

b2c .com 計算 img tro TE 工具 ca認證 是否 1、 前言為了提高遠程桌面的安全級別,保證數據不被×××竊取,在Windows2003的最新補丁包SP1中添加了一個安全認證方式的遠程桌面功能。通過這個功能我們可以使用SSL加密信息來傳輸控制遠程服務器的

SSL/TLS 配置

保存 tcp 返回 b2b 主頁 listener some 組織 小寫 Quick Start 下列說明將使用變量名 $CATALINA_BASE 來表示多數相對路徑所基於的基本目錄。如果沒有為 Tomcat 多個實例設置 CATALINA_BASE 目錄,則 $CATA

【原創】C# API 未能創建 SSL/TLS 安全通道 問題解決

分享圖片 proto 執行 manager ima com 添加 poi ssl 在調用執行API之前添加以下代碼就行了 System.Net.ServicePointManager.SecurityProtocol = SecurityProtocolType.Tls1

HTTPS(SSL / TLS)免費證書申請及網站證書部署實戰總結

oracl 小夥伴 重啟tomcat 域名 .net cer strong smi ssl證書 服務器環境:windows server 2008 + tomcat7 廢話不多說,先看部署效果: 一、免費證書申請 Let‘s Encrypt 簡介:let‘s

SSL/TLS深度解析--OpenSSL的基本使用

with xiv ppc mes fall ble 默認 bcg otl 摘要算法 [root@localhost ~]# openssl dgst -help #默認sha256 Usage: dgst [options] [file...] file..

SSL/TLS深度解析--OpenSSL s_client測試子命令

gad images record .com dmv none block http warning #下載第三方的最新的PEM(privacy-enhanced mail)格式的可信證書庫 [root@localhost ~]# wget --no-check-certi

微信小程式需求IIS伺服器配置https關於SSL,TLS的綜合解決方案

1.伺服器安裝證書:必須確保證書是sha256RSA簽名演算法的,反正sha1是肯定出問題。 2.為了保證小程式在IOS上正常執行,必須保證伺服器的TLS為1.2及以上版本,下面網址可以測試你伺服器的證書等情況:  https://www.ssllabs.com/ssltes

The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure

在Windows 2003 R2(Sp1)上,用HttpWebRequest訪問Https時出現“The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure c

System.Net.WebException: 基礎連線已經關閉: 未能為 SSL/TLS 安全通道建立信任關係。 ---> System.Security.Authentication.AuthenticationException: 根據驗證過程,遠端證書無效。

今天寫程式的時候呼叫到一個第三方提供的https地址,訪問此地址去獲取加密的json格式資料,出現BUG c#報錯 :  System.Net.WebException: 基礎連線已經關閉: 未能為 SSL/TLS 安全通道建立信任關係。 ---> System.Security.Authe

hexo 託管到coding,pages申請ssl/tls證書失敗

首先這個證書有效期為三個月,到期了就需要重新申請。 這個證書申請時候有如下錯誤: 錯誤型別:金塔:極致:錯誤:未授權 1,錯誤資訊:來自http://exmaple.com/.well-known/acme-challenge/xxxxxxxxxxxxxxxxxxxxxxx

(轉)SSL/TLS協議執行機制的概述

原文:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html 網際網路的通訊安全,建立在SSL/TLS協議之上。 本文簡要介紹SSL/TLS協議的執行機制。文章的重點是設計思想和執行過程,不涉及具體的實現細節。如果想了解這方面的內容,請參閱RF