1、前言

最近在倒騰SSL方面的項目,之前只是雖然對SSL了解過,但是不夠深入,正好有機會,認真學習一下。開始了解SSL的是從https開始的,自從百度支持https以后,如今全站https的趨勢越來越強烈,互聯(lián)網(wǎng)對安全的認識越來越深入。本文根據(jù)自己的實際情況,對SSL鏈接建立做個總結。SSL相關的非對稱加密和加密,涉及到公鑰、私鑰、證書、對稱密鑰,這些非常復雜,本文不會涉及。本文重點介紹SSL的握手過程,客戶端和服務端的步驟,通過wireshark抓包分析整個過程。

2、基本概念

SSL:(Secure Socket Layer,安全套接字層),位于可靠的面向連接的網(wǎng)絡層協(xié)議和應用層協(xié)議之間的一種協(xié)議層。SSL通過互相認證、使用數(shù)字簽名確保完整性、使用加密確保私密性,以實現(xiàn)客戶端和服務器之間的安全通訊。該協(xié)議由兩層組成:SSL記錄協(xié)議和SSL握手協(xié)議。

TLS:(Transport Layer Security,傳輸層安全協(xié)議),用于兩個應用程序之間提供保密性和數(shù)據(jù)完整性。該協(xié)議由兩層組成:TLS記錄協(xié)議和TLS握手協(xié)議。

TLS是在SSL的基礎上標準化的產(chǎn)物,目前SSL3.0與TLS1.0保持一致的,二者是并列關系,只是大家習慣稱呼SSL。注明的web服務nginx默認支持的就是TLS1.0、TLS1.1、TLS1.2協(xié)議。調用的openssl庫中,對應的就是ssl3_acceptt函數(shù)。

SSL/TLS位于傳輸層和應用層之間,應用層數(shù)據(jù)不再直接傳遞給傳輸層,而是傳遞給SSL層,SSL層對從應用層收到的數(shù)據(jù)進行加密,并增加自己的SSL頭。

3、握手過程

我使用nginx搭建了一個https的服務,nginx的默認ssl cipher為HIGH:!aNULL:!MD5; 不同的cipher 決定了握手的交互過程。chrome瀏覽器支持的cipher如下所示:

cipher的格式為:認證算法_密鑰交換算法_加密算法_ 摘要算法

首先看看最基本的基于RSA的密鑰協(xié)商算法,配置的ssl sipher為 AES256-GCM-SHA256。

使用wireshark抓包分析,抓包如下所示:

 從上面報文可以看出,SSL建立過程如下圖所示:

 使用橢圓曲線(ECDHE)算法作為密鑰交換算法,配置ssl ciper為:,交互流程如下所示:

抓包看如下:

延伸閱讀

學習是年輕人改變自己的最好方式-Java培訓,做最負責任的教育,學習改變命運,軟件學習,再就業(yè),大學生如何就業(yè),幫大學生找到好工作,lphotoshop培訓,電腦培訓,電腦維修培訓,移動軟件開發(fā)培訓,網(wǎng)站設計培訓,網(wǎng)站建設培訓學習是年輕人改變自己的最好方式

我想了解如何學習

姓名:
手機:
留言: