SSL協議分析

原創 heibaikong6 2020-06-17 09:34

文章目錄

SSL協議簡介

SSL協議概述

  • SSL協議可用於保護正常運行於TCP之上的任何應用協議,如HTTP、FTP、SMTP或Telnet的通信,最常見的是用SSL來保護HTTP的通信
  • SSL協議的優點在於它是與應用層協議無關的。高層的應用協議(如HTTP、FTP、Telnet等)能透明的建立於SSL協議之上。
  • SSL協議在應用層協議之前就已經完成加密算法、通信密鑰的協商以及服務器的認證工作。在此之後應用層協議所傳輸的數據都會被加密,從而保證通信的安全性。

SSL解決的問題(功能)

  • 客戶對服務器的身份認證
    SSL服務器允許客戶的瀏覽器使用標準的公鑰加密技術和一些可靠的認證中心(CA)的證書,來確認服務器的合法性。
  • 服務器對客戶的身份認證
    也可通過公鑰技術和證書進行認證,也可通過用戶名,password來認證。
  • 建立服務器與客戶之間安全的數據通道
    SSL要求客戶與服務器之間的所有發送的數據都被髮送端加密、接收端解密,同時還檢查數據的完整性。

SSL在協議棧的位置

在這裏插入圖片描述

SSL協議工作原理

SSL協議的分層模型

SSL協議是一個分層的協議,共有兩層組成。處於SSL協議的底層的是SSL記錄層協議(SSL Record Protocol),它位於可靠的傳輸層協議(TCP)之上,用於封裝高層協議的數據。其中SSL握手協議(SSL Handshake Protocol)允許服務方和客戶方互相認證,並在應用層協議傳輸數據之前協商出一個加密算法和會話密鑰

SSL體系結構

在這裏插入圖片描述

SSL連接(connection)

  • 一個連接是一個提供一種合適類型服務的傳輸(OSI分層的定義)
  • SSL的連接是點對點的關係
  • 連接時暫時的,每一個連接和一個會話關聯

SSL會話(session)

  • 一個SSL會話是在客戶與服務器之間的一個關聯。會話由Handshake Protocol創建。會話定義了一組可供多個連接共享的密碼安全參數
  • 會話用以避免爲每一個連接提供新的安全參數所需昂貴的協商代價

在這裏插入圖片描述
在任意一對通信主體之間,可以有多個安全連接

工作流程

  1. 網絡連接建立、SSL客戶端發送消息,消息中包含SSL版本號、密碼設置、可實現的算法列表、隨機數以及服務器使用SSL協議通信所需的其他信息
  2. SSL服務器端迴應消息,確定SSL 版本號、加密算法和壓縮算法
  3. SSL服務器發出服務器數字證書
  4. SSL客戶端的身份認證是可選的
  5. 客戶端生成預主密鑰pre_master_secret,用服務器的公鑰加密後返回服務器,服務器利用自己的私鑰解密後得到會話密鑰
  6. 若服務器要求客戶認證,客戶機會向服務器隨機加密的pre_master_secret一起發送簽名的數據和客戶自己的證書
  7. 服務器若認證成功,使用私鑰加密pre_master_secret,然後執行一系列步驟生成master secret。否則會話終止
  8. 客戶機與服務器使用master secret 生成會話密鑰該密鑰是對稱密鑰,用於加密和解密在SSL會話期間交換的信息,檢驗信息完整性
  9. C→S:發送消息通知以後從客戶機來的消息將會用會話密鑰加密。客戶機然後發送一條獨立的(加密的)消息表明握手的客戶機部分已經完成
  • 應用數據的傳輸過程爲

1)應用程序把應用數據提交給本地的SSL

2)發送端的SSL根據需要:
a)使用指定的壓縮算法,壓縮應用數據
b)使用散列算法對壓縮後的數據計算散列值
c)把散列值和壓縮數據一起用加密算法加密

3)密文通過網絡傳給對方

4)接收方的SSL
用相同的加密算法對密文解密,得到明文
用相同的散列算法對明文中的應用數據散列
計算得到的散列值與銘文中的散列值比較

5)如果一致,則明文有效,接收方的SSL把明文解壓後得到應用數據上交給應用層。否則就丟棄數據,並向發送方發出告警信息。嚴重的錯誤有可能引起再次的協商或連接中斷。

SSL握手協議的功能

  • 協商SSL協議的版本
  • 協商加密套件
  • 協商密鑰參數
  • 驗證通訊雙方的身份(可選)
  • 建立SSL連接

SSL握手協議的握手過程

  • 無客戶端認證的全握手過程
    在這裏插入圖片描述
  • 有客戶端認證的全握手過程
    在這裏插入圖片描述
  • 會話恢復過程
    在這裏插入圖片描述

SSL記錄層的功能

  • 保護傳輸數據的私密性,對數據進行加密和解密
  • 驗證傳輸數據的完整性,計算報文的摘要
  • 提高傳輸數據的效率,對報文進行壓縮
  • 保證數據傳輸的可靠和有序

SSL記錄層的報文格式

在這裏插入圖片描述

協議脆弱性分析

客戶端假冒

  • 因爲SSL協議設計初衷是對Web站點及網上交易進行安全性保護,使消費者明白正在和誰進行交易要比使商家知道誰正在付費更爲重要,爲了不至於由於安全協議的使用而導致網絡性能大幅度下降,SSL協議並不是默認地要求客戶鑑別,這樣做雖然有悖於安全策略,但卻促進了SSL的廣泛應用。
  • 針對這個問題,可在必要的時候配置SSL協議,使其選擇對客戶端進行認證鑑別。

無法保護UDP應用

  • SSL協議需要在握手之前建立TCP連接,因此不能對UDP應用進行保護。如果要兼顧UDP協議層之上的安全保護,可以採用IP層的安全解決方案。

SSL協議不能對抗流量分析

  • 由於SSL只對應用數據進行保護,數據包的IP包和TCP頭仍然暴露在外,通過檢查沒有加密的IP源和目的地址以及TCP端口號或者檢查通信數據量,一個通信分析者依然可以揭示哪一方在使用什麼服務,有時甚至揭露商業或私人關係的祕密。

進程中主密鑰泄露

  • 除非SSL的工程實現大部分駐留在硬件中,否則主密鑰將會存留在主機的主儲存器中,這就意味着任何可以讀取SSL進程存儲空間的攻擊者都能讀取主密鑰,因此,不可能面對掌握機器管理特權的攻擊者而保護SSL連接。這個問題要依靠用戶管理策略來解決。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

TIME_WAIT 2MSL保持的必要性

Q: 在客戶機/服務器編程中(TCP/SOCK_STREAM),如何理解TCP自動機 TIME_WAIT 狀     態?    A: W. R

arcslee 2020-07-05 23:11:50

【Http】加解密 生成 X.509格式,DER編碼,後綴名.cer 加密公鑰證書

1. 背景 因爲遇到了問題:參考 【Https】keytool 導入證書到 本地 Exception: Input not an X.509 certificate 然後就想查查這個怎麼解決搜到瞭如下博客: 加解密 生成 X.5

九师兄 2020-07-08 08:38:02

【Https】keytool 導入證書到 本地 Exception: Input not an X.509 certificate

1.背景 首先參考這篇文章:【Spring】Spring Boot 支持 Https 根據這篇文章生成了這個文件,然後根絕這個文件想導入到java環境中。之所以想導入是因爲報錯了這個【Http】PKIX(PKIX path b

九师兄 2020-07-08 07:52:40

【https】keystore was tampered with or password was incorrect

1.背景 原因參考:【Http】加解密 生成 X.509格式,DER編碼,後綴名.cer 加密公鑰證書 這裏再windows下生成https的證書報錯 [lcc@lcc ~/soft/ssl]$ keytool -import

九师兄 2020-07-08 07:52:40

【http】http https蒐集的好文章

Java 和 HTTP 的那些事(一) 模擬 HTTP 請求 Java 和 HTTP 的那些事(四) HTTPS 和 證書

九师兄 2020-07-08 07:52:40

轉載---TCP/IP數據包格式詳解-包括數據鏈路層的頭部

圖中括號中的數字代表的是當前域所佔的空間大小,單位是bit位。 黃色的是數據鏈路層的頭部,一共14字節 綠色的部分是IP頭部,一般是20字節 紫色部分是TCP頭部,一般是20字節 最內部的是數據包內容 黃色部分:鏈路層

信仰的力量 2020-07-08 00:24:49

轉載---TCP/IP數據包結構具體解釋

一般來說,網絡編程我們僅僅須要調用一些封裝好的函數或者組件就能完畢大部分的工作,可是一些特殊的情況下,就須要深入的理解網絡數據包的結構,以及協議分析。如:網絡監控,故障排查等…… IP包是不安全的,可是它是互聯網的基礎,在各方面都有廣

信仰的力量 2020-07-08 00:24:49

serialport的readline()方法(注意timeout問題)

https://www.cnblogs.com/achao123456/p/6036543.html 在最近的小項目中,單片機中斷優先級的問題,串口發送到上位機的數據有時會出現發送的數據被中斷打斷的問題。 於是,在上位機機上就容易

写写代码想想她 2020-07-07 21:33:31

一篇文章瞭解網絡相關知識——網絡基礎知識彙總

什麼是鏈接? 鏈接是指兩個設備之間的連接。它包括用於一個設備能夠與另一個設備通信的電纜類型和協議。 OSI參考類型的層次是什麼? OSI7層:應用層、表示層、會話層、傳輸層、網絡層、數據鏈路層、物理層。 什麼是骨幹網? 骨幹網絡是

海盗船长没有船y 2020-07-07 11:10:21

IP地址、子網掩碼、默認網關、DHCP服務器、DNS服務器、WINS服務器

一、IP地址與子網掩碼 1、IP地址 ipv4下,ip地址=網絡號+主機號。 2、子網掩碼         子網掩碼(subnet mask)又叫網絡掩碼、地址掩碼、子網絡遮罩,它是一種用來指明一個IP地址的哪些位標識的是主機所在的子網,

ZHANGJNWEI 2020-07-07 10:38:07

【Http】Apache HttpClient 4.5實現https

全部信任的 import org.apache.commons.collections.MapUtils; import org.apache.http.*; import org.apache.http.client.enti

九师兄 2020-07-07 07:48:10

【Spring】Spring Boot 支持 Https

1.美圖 2.概述 https 現在已經越來越普及了,特別是做一些小程序或者公衆號開發的時候,https 基本上都是剛需了。 不過一個 https 證書還是挺費錢的,個人開發者可以在各個雲服務提供商那裏申請一個免費的證書。我印象

九师兄 2020-07-07 07:48:10

AutoJsl佈署(一)

一、目標 Auto.js  聯合起來可以實現免root的Android羣控。 Tip: Auto.js 網址 https://www.autojs.org/ https://github.com/hyb1996/Auto.js   支持羣

feelsyt 2020-07-05 23:21:51

MQTT協議之中國移動ONENET

oneNET 免費服務器。 MQTT服務器ip地址和端口 183.230.40.39:6002  MQTT協議的14個命令 名字 值 流向 描述 CONNECT 1 C->S 客戶端請求與服務端建立連接 CONNACK 2 S->C 服務

想当诸侯的小蚂蚁 2020-07-05 17:02:50

ST官方代碼——YModem協議部分c代碼分析

ST官方代碼——YModem協議部分c代碼分析   1-實驗結論: 對比標準Ymodem協議,ST官方IAP代碼中YModem協議少了以下部分: 發送端(secureCRT)                      接收端(開發板) E

EmbededCoder 2020-07-05 14:24:33