SSL协议分析「建议收藏」

SSL协议分析「建议收藏」SecureSocketsLayerSSL协议概述SSL解决的问题(功能)协议的使用SSL在协议栈的位置SSL协议的分层模型SSL体系结构SSL的两个重要概念主要工作流程SSL握手协议的握手过程SSL记录层的功能SSL协议脆弱性分析SSL协议概述SecureSocketsLayer安全套接字协议SSL协议可用于保护正常运行于TCP之上的任何应用协议,如HTTP、FTP、SMTP或Telnet的通信,最常见的是用SSL来保护HTTP的通信。SSL协议的优点在于它是与应用层协议无关的。

大家好,又见面了,我是你们的朋友全栈君。

SSL协议概述

Secure Sockets Layer 安全套接字协议
在这里插入图片描述

鉴于SSL协议的脆弱性 升级出了它的爸爸TSL 所以Wrieshark抓不出SSL以前的数据包

在这里插入图片描述
TLS(Transport Layer Security)是更为安全的升级版 SSL。

  • SSL协议可用于保护正常运行于TCP之上的任何应用协议,如HTTP、FTP、SMTP或Telnet的通信,最常见的是用SSL来保护HTTP的通信。

  • SSL协议的优点在于它是与应用层协议无关的。高层的应用协议(如HTTP、FTP、Telnet等)能透明地建立于SSL协议之上。

  • SSL协议在应用层协议之前就已经完成加密算法、通信密钥的协商以及服务器的认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的安全性。

SSL解决的问题(功能)

客户对服务器的身份认证
SSL服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心(CA)的证书,来确认服务器的合法性。

服务器对客户的身份认证
也可通过公钥技术和证书进行认证,也可通过用户名,password来认证。

建立服务器与客户之间安全的数据通道
SSL要求客户与服务器之间的所有发送的数据都被发送端加密、接收端解密,同时还检查数据的完整性

协议的使用

https://

在这里插入图片描述

SSL在协议栈的位置

在这里插入图片描述

SSL协议的分层模型

SSL协议是一个分层的协议,共有两层组成。处于SSL协议的底层的是SSL记录层协议(SSL Record Protocol),它位于可靠的传输层协议(如TCP)之上,用于封装高层协议的数据。其中SSL握手协议(SSL Handshake Protocol)允许服务方和客户方互相认证,并在应用层协议传送数据之前协商出一个加密算法和会话密钥。

在这里插入图片描述

SSL体系结构

在这里插入图片描述

SSL的两个重要概念

SSL连接(connection)
一个连接是一个提供一种合适类型服务的传输(OSI分层的定义)。
SSL的连接是点对点的关系。
连接是暂时的,每一个连接和一个会话关联。

SSL会话(session)
一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的密码安全参数。
会话用以避免为每一个连接提供新的安全参数所需昂贵的协商代价。

在这里插入图片描述

主要工作流程

1.网络连接建立,SSL客户端发送消息,消息中包含SSL版本号、密码设置、可实现的算法列表、随机数以及服务器使用SSL协议通信所需的其它信息;
2.SSL服务器端回应消息,确定SSL版本号、加密算法和压缩算法;
3.SSL服务器发出服务器数字证书;
4.SSL客户端的身份认证是可选的;
5.客户端生成预主密钥pre_master_secret,用服务器的公钥加密后返回服务器,服务器利用自己的私钥解密后得到会话密钥;
5. 若服务器要求客户认证,客户机会向服务器随加密的pre_master_secret一起发送签名的数据和客户自己的证书。
7. 服务器若认证客户成功,使用私钥加密pre_master_secret,然后执行一系列步骤生成master secret。否则会话终止。
8. 客户机与服务器使用master secret生成会话密钥。该密钥是对称密钥,用于加密和解密在SSL会话期间交换的信息,检验信息完整性。
9. CS:发送消息通知以后从客户机来的消息将用会话密钥加密。客户机然后发送一条独立的(加密的)消息表明握手的客户机部分已经完成。

应用数据的传输过程为 :
1)应用程序把应用数据提交给本地的SSL;
2)发送端的SSL根据需要 :
a)使用指定的压缩算法 ,压缩应用数据;
b)使用散列算法对压缩后的数据计算散列值;
c)把散列值和压缩数据一起用加密算法加密;
3) 密文通过网络传给对方;
4)接收方的SSL
用相同的加密算法对密文解密 ,得到明文;
用相同的散列算法对明文中的应用数据散列;
计算得到的散列值与明文中的散列值比较;
5)如果一致 ,则明文有效 ,接收方的SSL把明文解压后得到应用数据上交给应用层。否则就丢弃数据,并向发方发出告警信息。严重的错误有可能引起再次的协商或连接中断。

SSL握手协议的握手过程

无客户端认证的全握手过程

在这里插入图片描述
有客户端认证的全握手过程

在这里插入图片描述
会话恢复过程

在这里插入图片描述

SSL记录层的功能

  • 保护传输数据的私密性,对数据进行加密和解密
  • 验证传输数据的完整性,计算报文的摘要
  • 提高传输数据的效率,对报文进行压缩
  • 保证数据传输的可靠和有序

报文格式
在这里插入图片描述

SSL协议脆弱性分析

客户端假冒

  • 因为SSL协议设计初衷是对Web站点及网上交易进行安全性保护,使消费者明白正在和谁进行交易要比使商家知道谁正在付费更为重要,为了不致于由于安全协议的使用而导致网络性能大幅下降, SSL协议并不是默认地要求进行客户鉴别,这样做虽然有悖于安全策略,但却促进了SSL的广泛应用。

  • 针对这个问题,可在必要的时候配置SSL协议,使其选择对客户端进行认证鉴别。

无法保护UDP应用

  • SSL协议需要在握手之前建立TCP连接,因此不能对UDP应用进行保护。如果要兼顾UDP协议层之上的安全保护,可以采用IP层的安全解决方案。

SSL协议不能对抗流量分析

  • 由于SSL只对应用数据进行保护,数据包的IP头和TCP头仍然暴露在外,通过检查没有加密的IP源和目的地址以及TCP端口号或者检查通信数据量,一个通信分析者依然可以揭示哪一方在使用什么服务,有时甚至揭露商业或私人关系的秘密。

进程中主密钥泄漏

  • 除非SSL的工程实现大部分驻留在硬件中,否则主密钥将会存留在主机的主存储器中,这就意味着任何可以读取SSL进程存储空间的攻击者都能读取主密钥,因此,不可能面对掌握机器管理特权的攻击者而保护SSL连接,这个问题要依靠用户管理策略来解决。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/137094.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Java中的八种基本数据类型「建议收藏」

    Java中的八种基本数据类型「建议收藏」Java中主要有八种基本数据类型:byte、short、int、long、float、double、boolean、char。各种数据类型作用:1、byte:8位、有符号的以二进制补码表示的整数。min:-128(-2^7)。max:127(2^7-1)。default:0。对应包装类:Byte。2、short:16位…

  • Sublime插件:增强篇

    Sublime插件:增强篇

  • Android开发—-简单几步教你制作一个简易的音乐播放器

    Android开发—-简单几步教你制作一个简易的音乐播放器前言:本博文只教你编程的思想,就举一个简单的例子来实现我们的简易的音乐播放器,大家不喜勿喷啊友情提示:本博文用到的是AndroidStudio进行开发的,软件安装教程:AndroidStudio安装教程:文章目录:一.缓冲界面实现:二:播放音乐界面:一.缓冲界面实现:在前面的博客中也讲到了关于界面缓冲跳转的方法,详情请查:3种方式实现界面缓冲,为什么要设置这个呢?自我感觉当用户点进应用后,至少有一个缓冲时间,不仅仅是让用户缓冲也是为了让程序内部进行缓冲缓冲,话不多说一起来看看设计:当然首先是界

  • JAVA实现贪吃蛇游戏

    JAVA实现贪吃蛇游戏最近在学GUI,然后又有读者希望我写一下相关的实战。刚好我又在B站上找到了一个关于GUI的学习视频,然后里面又刚好有这个实战,我便写了下来。注:代码来源为B站的一个up主:狂神。游戏主启动类:importjavax.swing.*;//游戏主启动类publicclassstartGame{publicstaticvoidmain(String[]args){JFrameframe=newJFrame();frame..

  • sql: 分组后按照分组规则拼接字符串 — group by与 group_concat()

    sql: 分组后按照分组规则拼接字符串 — group by与 group_concat()Markdown编辑器写博客小技巧本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦:Markdown和扩展Markdown简洁的语法代码块高亮图片链接和图片上传LaTex数学公式UML序列图和流程图离线写博客导入导出Markdown文件丰富的快捷键快捷键加粗Ctrl+B斜体Ctrl+I引…

  • Java贪吃蛇全代码

    Java贪吃蛇全代码用Java编写精典小游戏——贪吃蛇!前言  我想贪吃蛇应该是不少90后和00后的童年(我本人是01年的),回想起从前偷偷拿着我爹的诺基亚在被窝里玩贪吃蛇,不禁感慨万分,时间飞逝,没想到10年后的我也可以自己做一个贪吃蛇了。    该程序主要实现了以下功能:  1.按空格开始游戏、暂停游戏或重新开始游戏。  2.方向键控制蛇移动的方向。  3.蛇吃掉食物可以增长,并增加游戏分数(不会加快游戏速度)。  4.蛇咬到自己会结束游戏。  5.蛇撞到游戏区域外会结束游戏。    接下来放

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号