前段时间项目的关系学习了下SSL,有一些心得体会和疑惑打算一并记录下来和大家分享和讨论一下。
这部分内容打算分成如下一些章节来写:
-
第一章. 对SSL的基本概念和框架的介绍
-
第二章.对SSL握手协议的研究(part-1
)
-
第三章.对SSL握手协议的研究(part-2)
-
第四章.对SSL握手协议细节和实现的介绍
-
第五章.对SSL记录协议细节和实现的介绍
-
第六章.对SSL的安全性分析
-
第七章.举例一种将usbkey融入java JSSE框架的解决方案
先写第一章内容,后面的慢慢写,在学习过程中也遇到一些困惑,希望大家也能给点提示。
SSL
缩写
Secure Socket Layer
,是几十年前网景公司制定的保证服务器和客户端安全通信的一种协议,大量使用在http的安全通信中,这里的安全通信有两层含义:
简单说就是首先要对通信两端的身份进行认证确保是真实的,接下来就是确保通信双方交换的数据进行加密确保只有真实的对手方才能看到,任何其他的人即便拿到数据也无法获得有效信息。这里要注意,
SSL
并不包含或实现身份认证的方法和数据加密方法,
SSL
只是制定了一套可靠的
C-S
之间的协商办法,来确定通信双方如何身份认证和加密。现在
SSL
里头基本使用
PKI
数字证书方式认证,加密的算法很多,对称非对称,这些网上资料很多自己
google
之。
SSL
是如何工作的呢?基本上
SSL
的工作分为两个阶段:握手阶段和数据传输阶段,若通信期间检测到不安全因素,比如握手时候发现另一端无法支持选择的协议或加密算法,或者发现数据被篡改,这时通信一方会发送警告消息,不安全因素影响比较大两端之间的通信就会终止,必须重新协商建立连接。
SSL
协议结构如下:
通过
SSL
分成三个子协议,
HandShake(
握手)
ChangeCipherSpec(
更改密钥规格
), Alert(
告警
)
。
SSL
的告警协议是用来为通信对方发送一条告警消息,告警分为两个层次:
fatal
和
warning,
如果是
fatal
级别的如
MAC
计算出错或协商密钥算法失败则马上断开连接,要建立连接的话需要重新握手;
warning
类型的消息一般只会记录日志,并不会断开连接。
SSL
更换密钥规格
(change cipher
spec)
协议独立于握手协议,单独属于一类,也是其中最简单的一个。协议由单个消息组成
,
该消息只包含一个值为
1
的单个字节。该消息由客户端和服务器端各自发出用来通知对方,从这个消息以后要开始使用之前协商好的密钥套件了,这个消息一般是在握手到发出
Finish
消息之前发出。
SSL
握手协议主要负责如下工作:
――
算法协商:首次通信时,双方通过握手协议协商密钥加密算法,数据加密算法和文摘算法。
――
身份验证:在密钥协商完成后,客户端与服务器端通过证书互相验证对方的身份。
――
确定密钥:最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户端和服务器各自根据这个秘密信息计算出加密密钥,在接下来的记录协议中用来对应用数据进行加密;
如果说握手协议是
C/S
双方的协商的话记录协议就是利用协商结果对上层应用提供两种服务:
――
机密性:使用协商好的通信密钥对业务数据加解密;
――
数据完整性:利用协商好的
MAC
算法计算消息
HASH
,防止消息被篡改;
协议规定每个记录层的协议数据包长度不能超过
2^14(16K)
,因此记录协议接收到层应用业务数据若超长会将业务数据分块,压缩
(
可选
)
,计算
MAC
,加密,按上记录层协议头发出去。
疑问:
1.SSL协议中为什么change cipher spec消息要单独属于一类而不归类到握手消息中?
2.若将change cipher spec消息去掉,服务器端和客户端可以直接根据收到或发送Finished消息来让通信双方切换到使用协商好的密钥通信的状态中去好像也没什么影响,为什么一定要整出这么个change cipher spec协议来?
分享到:
相关推荐
mongodb-win32-x86_64-2008plus-ssl-v4.0-latest-signed.msi 资源收集不易
mongodb-win32-x86_64-2008plus-ssl-v3.0-latest-signed.msi
mongodb-win32-x86_64-2008plus-ssl-v3.2-latest-signed.msi
windows平台mongodb安装文件下载,mongodb-win32-x86_64-2008plus-ssl-v3.4-latest-signed.msi,32位64位一体版
一款ddos辅助测试工具,利用它ssl拒绝服务可以测试网站的承受压力
ssl-kill-switch2-release.zip
mongodb-win32-x86_64-2008plus-ssl-v3.2-latest.zip mongodb-win32-x86_64-2008plus-ssl-v3.2-latest.zip
sslclient-win-1.1.4.177.rar sslclient-win-1.1.4.177.rar
弱哈希算法签名的SSL证书(CVE-2004-2761)。 远程服务使用SSL证书链,该证书链已使用加密弱哈希算法(例如MD2、MD4、MD5或SHA1)签名。这些签名算法很容易受到碰撞攻击。攻击者可以利用这一点生成另一个具有相同数字...
弱哈希算法签名的SSL证书(CVE-2004-2761)。 远程服务使用SSL证书链,该证书链已使用加密弱哈希算法(例如MD2、MD4、MD5或SHA1)签名。这些签名算法很容易受到碰撞攻击。攻击者可以利用这一点生成另一个具有相同数字...
赠送jar包:ssl-config-core_2.11-0.3.7.jar; 赠送原API文档:ssl-config-core_2.11-0.3.7-javadoc.jar; 赠送源代码:ssl-config-core_2.11-0.3.7-sources.jar; 赠送Maven依赖信息文件:ssl-config-core_2.11-...
struts2-ssl-plugin-1.2.1.jar
赠送jar包:ssl-config-core_2.11-0.3.7.jar; 赠送原API文档:ssl-config-core_2.11-0.3.7-javadoc.jar; 赠送源代码:ssl-config-core_2.11-0.3.7-sources.jar; 赠送Maven依赖信息文件:ssl-config-core_2.11-...
MongoDB 是一个基于分布式文件存储的数据库。由 C++ 语言编写。旨在为 WEB 应用提供可扩展的高性能数据存储解决方案。MongoDB 是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像...
tomcat6-dta-ssl-1.0.0.jar 此类文件将有助于tomcat支持ssl协议
mongodb-win32-x86_64-2008plus-ssl-4.0.12-signed.msi
mongodb-win32-x86_64-2008plus-ssl-4.0.10,windows版,官网下载太慢,保存一份
深入理解SSL-TLS技术内幕
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602