SSL安全套接層
SSL安全套接層(Secure Socket Layer) 為Netspace所研發(fā),用以保證在Internet上數(shù)據(jù)傳輸?shù)耐暾院捅C苄园剖。壳鞍姹緸?.0陪腌,最新版本為TLS1.2安全傳輸層協(xié)議(Transport Layer Security)幌蚊。TLS和SSL兩者差別極小可以將其理解為SSL的更新版本万栅。
通信過程
SSL介于應用層和網(wǎng)絡層之間匪补,位于傳輸層伞辛。應用的數(shù)據(jù)經(jīng)過傳輸層中的SSL進行加密,并增加自己的SSL頭夯缺,在將加密后的數(shù)據(jù)傳向網(wǎng)絡層蚤氏。
通過openssl可以自行簽發(fā)證書,有了證書和私鑰后就可以進行SSL安全通信了踊兜。
調(diào)用SSL提供的接口流程如下圖所示:
客戶端的瀏覽器向服務器傳送其所支持的SSL協(xié)議的版本號竿滨,加密算法,隨機數(shù)捏境,已經(jīng)其他通訊所需的信息于游;
服務端根據(jù)客戶端傳送的信息選擇雙方都支持的SSL協(xié)議版本,加密算法等信息和自己的證書傳送到客戶端(該步驟中可能會存在安全隱患垫言,例如偽造客戶端可支持的SSL協(xié)議版本過低贰剥,可能會導致服務端采取安全等級過低的SSL版本來進行通信);
客戶端利用服務器傳送過來的信息來驗證服務器的合法性筷频,包括證書是否已經(jīng)過期蚌成、證書的頒發(fā)機構是否可靠前痘、公鑰是否匹配、證書上的域名和服務器端的是否匹配等担忧,如果驗證不通過則斷開通訊芹缔,驗證通過則繼續(xù)通訊;
客戶端隨機產(chǎn)生一個用于通訊加密的對稱密碼瓶盛,通過公鑰對其進行加密乖菱,然后將加密后的預主密碼傳給服務器;
服務器通過自己的私鑰進行解密來獲得通訊加密所使用的預主密碼蓬网,然后使用一系列算法來產(chǎn)生主通訊密碼(客戶端也將通過相同的方式來產(chǎn)生相同的主通訊密碼)窒所;
客戶端向服務器發(fā)出信息,指明后續(xù)的數(shù)據(jù)通訊將使用加解密的主密碼為上以階段生成的主通訊密碼帆锋,同時通知服務端客戶端的握手過程結(jié)束吵取;
服務端同樣想客戶端指明通訊密碼并確認握手過程結(jié)束;
握手過程結(jié)束锯厢。SSL安全通道數(shù)據(jù)通訊開始皮官,客戶端和服務器開始使用相同的對稱秘鑰進行數(shù)據(jù)通訊,同時進行通訊完整性校驗实辑。
SSL通訊建立后
從上述通訊過程可以看出捺氢,在ssl通訊建立起來之后,不考慮ssl版本上的一些漏洞剪撬,通信過程是很安全的摄乒,可以有效的防止中間人攻擊和運營商劫持等問題,通訊數(shù)據(jù)的保密性和完整性得到了有效保證残黑。所以針對SSL的相關攻擊必須建立在其會話的初始化階段馍佑,例如進行中間人攻擊必須在會話建立過程中實現(xiàn),即在通訊過程中攻擊者偽造一個證書梨水,對客戶端聲稱該證書就是服務器證書來騙過客戶端拭荤,使其信任該證書,并使用該證書來進行通訊疫诽,這樣用戶通訊的信息就會被第三監(jiān)聽舅世,通訊保密性和完整性就被破壞。這種攻擊方式也有一定的局限奇徒,當使用偽造的證書來建立通訊時雏亚,一般攻擊者不會獲得經(jīng)過官方機構認證的證書,客戶端的瀏覽器就會發(fā)過警告逼龟,提醒通信不安全评凝,可以參考訪問12306時的瀏覽器的提示(因為12306使用的是其自建的ca頒發(fā)的證書追葡,沒有經(jīng)過官方機構的認證腺律,所以瀏覽器就默認會認為其證書不安全奕短,并提出告警)。
繞過瀏覽器校驗
盡管通過瀏覽器去檢驗證書的合法性會提高攻擊的成本匀钧,但在某些特殊情況下翎碑,還是會繞過瀏覽器的校驗。例如:當我們使用fiddler和Charles這一類的抓包工具時之斯,可以手動將他們的證書添加成為可信證書日杈,所以當我們利用這些工具在本地對相關的系統(tǒng)進行邏輯分析時,并不會收到瀏覽器的告警佑刷。而且瀏覽器的校驗僅僅針對的是web端的應用莉擒,對于移動端和其他非web端的應用只能通過其他方式來進行防護,一種比較通用的實現(xiàn)方式是使用SSL Pinning即證書綁定瘫絮。
SSL的工作原理中包含三個協(xié)議
1涨冀、握手協(xié)議
握手協(xié)議是客戶端和服務器用于與SSL連接通信的第一個子協(xié)議。握手協(xié)議包括客戶端和服務器之間的一系列消息麦萤。SSL中最復雜的協(xié)議是握手協(xié)議鹿鳖。該協(xié)議允許服務器和客戶端相互進行身份驗證,協(xié)商加密和MAC算法壮莹,以及保密SSL密鑰以保護SSL記錄中發(fā)送的數(shù)據(jù)翅帜。在應用程序的數(shù)據(jù)傳輸之前使用握手協(xié)議。
2命满、記錄協(xié)議
在客戶端和服務器握手成功之后使用記錄協(xié)議涝滴,即客戶端和服務器相互認證并確定安全信息交換使用的算法,并輸入SSL記錄協(xié)議胶台,該協(xié)議為SSL提供兩種服務連接:
- (1)保密性:使用握手協(xié)議定義的秘密密鑰實現(xiàn)
- (2)完整性:握手協(xié)議定義了MAC狭莱,用于保證消息完整性
3、警報協(xié)議
客戶機和服務器發(fā)現(xiàn)錯誤時概作,向?qū)Ψ桨l(fā)送一個警報消息腋妙。如果是致命錯誤,則算法立即關閉SSL連接讯榕,雙方還會先刪除相關的會話號骤素,秘密和密鑰。每個警報消息共2個字節(jié)愚屁,第1個字節(jié)表示錯誤類型济竹,如果是警報,則值為1霎槐,如果是致命錯誤送浊,則值為2;第2個字節(jié)制定實際錯誤類型。
證書的工作流程
用戶連接到你的Web站點丘跌,該Web站點受服務器證書所保護袭景。(可由查看URL的開頭是否為"https:"來進行辯識唁桩,或瀏覽器會提供你相關的信息)。
你的服務器進行響應耸棒,并自動傳送你網(wǎng)站的數(shù)字證書給用戶荒澡,用于鑒別你的網(wǎng)站。
用戶的網(wǎng)頁瀏覽器程序產(chǎn)生一把唯一的“會話鑰匙碼与殃,用以跟網(wǎng)站之間所有的通訊過程進行加密单山。
使用者的瀏覽器以網(wǎng)站的公鑰對交談鑰匙碼進行加密,以便只有讓你的網(wǎng)站得以閱讀此交談鑰匙碼幅疼。
服務器端代碼實現(xiàn)
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <unistd.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <netinet/in.h>
#define CERT_FILE "./cert/server.crt"
#define KEY_FILE "./cert/server.key"
int main(int argc, char *argv[]) {
SSL_CTX *ctx;
int listenfd, newfd;
struct sockaddr_in ser, cli;
SSL_library_init();
OpenSSL_add_all_algorithms();
SSL_load_error_strings();
if (NULL == (ctx = SSL_CTX_new(SSLv23_server_method()))) {
ERR_print_errors_fp(stderr);
exit(-1);
}
if (SSL_CTX_use_certificate_file(ctx, CERT_FILE, SSL_FILETYPE_PEM) != 1) {
ERR_print_errors_fp(stderr);
exit(-1);
}
if (SSL_CTX_use_PrivateKey_file(ctx, KEY_FILE, SSL_FILETYPE_PEM) != 1) {
ERR_print_errors_fp(stderr);
exit(-1);
}
if (1 != SSL_CTX_check_private_key(ctx)) {
ERR_print_errors_fp(stderr);
exit(-1);
}
listenfd = socket(AF_INET, SOCK_STREAM, 0);
memset(&ser, 0, sizeof(ser));
ser.sin_family = AF_INET;
ser.sin_addr.s_addr = htonl(INADDR_ANY);
ser.sin_port = htons(atoi(argv[1]));
if (-1 == bind(listenfd, (struct sockaddr*)&ser, sizeof(struct sockaddr))) {
perror("bind");
exit(-1);
}
if (-1 == listen(listenfd, 5)) {
perror("listen");
exit(-1);
}
for (;;) {
socklen_t size = sizeof(struct sockaddr);
if (-1 == (newfd = accept(listenfd, (struct sockaddr*)&cli, &size))) {
perror("accept");
break;
}
SSL *ssl = SSL_new(ctx);
SSL_set_fd(ssl, newfd);
if (-1 == SSL_accept(ssl)) {
ERR_print_errors_fp(stderr);
close(newfd);
break;
}
{
char buf[256]; int len;
while ((len = SSL_read(ssl, buf, sizeof(buf))) > 0) {
buf[len] = 0;
printf("%s", buf);
SSL_write(ssl, buf, len);
}
SSL_shutdown(ssl);
SSL_free(ssl);
close(newfd);
}
}
SSL_CTX_free(ctx);
close(listenfd);
return 0;
}
客服端代碼實現(xiàn)
#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <netinet/in.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
int main(int argc, char *argv[]) {
SSL_CTX *ctx;
int sockfd;
struct sockaddr_in ser;
SSL_library_init();
OpenSSL_add_all_algorithms();
SSL_load_error_strings();
if (NULL == (ctx = SSL_CTX_new(SSLv23_client_method()))) {
ERR_print_errors_fp(stderr);
exit(-1);
}
sockfd = socket(AF_INET, SOCK_STREAM, 0);
memset(&ser, 0, sizeof(ser));
ser.sin_family = AF_INET;
ser.sin_addr.s_addr = inet_addr(argv[1]);
ser.sin_port = htons(atoi(argv[2]));
if (-1 == connect(sockfd, (struct sockaddr*)&ser, sizeof(ser))) {
perror("connect");
exit(-1);
}
SSL *ssl = SSL_new(ctx);
SSL_set_fd(ssl, sockfd);
if (-1 == SSL_connect(ssl)) {
ERR_print_errors_fp(stderr);
exit(-1);
}
{
char buf[256]; int len;
freopen("/etc/passwd", "r", stdin);
while (fgets(buf, sizeof(buf), stdin)) {
len = strlen(buf);
if (SSL_write(ssl, buf, len) > 0) {
buf[0] = 0;
len = SSL_read(ssl, buf, sizeof(buf));
if (len > 0) {
buf[len] = 0;
printf("%s", buf);
}
}
}
SSL_shutdown(ssl);
SSL_free(ssl);
}
close(sockfd);
SSL_CTX_free(ctx);
return 0;
}
資源傳送門
- L關注【做一個柔情的程序猿】公眾號
- 在【做一個柔情的程序猿】公眾號后臺回復 【python資料】【2020秋招】 即可獲取相應的驚喜哦米奸!
- 自己搭建的博客地址:夢魘回生的博客
「?? 感謝大家」
- 點贊支持下吧,讓更多的人也能看到這篇內(nèi)容(收藏不點贊爽篷,都是耍流氓 -_-)
- 歡迎在留言區(qū)與我分享你的想法躏升,也歡迎你在留言區(qū)記錄你的思考過程
