TLS:接近TCP协议底层的记录层

最新推荐文章于 2025-09-15 15:36:08 发布
原创 最新推荐文章于 2025-09-15 15:36:08 发布 · 2.3k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了TLS协议中的记录层,包括记录层消息头的结构、连接状态的演变、加密参数的设定以及记录层处理过程,如数据分块、数据压缩(TLS1.3中已删除)、加密和添加消息头。记录层在确保应用层协议(如HTTP、FTP等)数据的加密和可靠性方面起着关键作用。

作为构建在TCP之上应用层之下的协议,TLS是独立开来的协议,任何应用层协议都可以直接引入使用它,其最重要的作用就是将应用层协议,如FTP,HTTP或SMTP等加密处理后,再传递给下层的TCP协议来保证数据传输的可靠性。TLS将来自高层的协议数据进行封装,过程中分有两层结构,握手层和记录层,握手层在上,记录层在下,所以握手层更接近应用层,记录层更接近传输层TCP。记录层协议的作用大致有,将上层协议封装,将数据分块,数据压缩(通常不使用),最重要的数据加密解密,验证,这篇日志就来总结下TLS协议的记录层。

 

记录层消息头

记录层协议将上层的握手层一条或多条子消息,添加上自己的消息头,最终封装成一条消息,再往下传递给TCP处理,那么记录层的消息头里都有些什么呢?来看看:

记录层协议的消息头一共5个字节组成,分为三部分,首先是消息类型,占一个字节,消息类型有四种,对应的是上一层握手层的四种自协议:Change Cipher Spec Protocol密码切换协议、Alert Protocol警告协议,TLS Handshaking Protocols握手协议和Application Data Protocol应用层协议,对应的十六进制编号按顺序分别为0x14到0x17。接着是两个字节的版本号,版本号标志的是TLS协议的版本号,TLS1.0—TLS1.3,最新的版本是2018年更新的TLS1.3。再往下是两个字节的消息长度,故名思意是标识本条消息的长度,但是注意,不是指记录层消息头的长度,消息头长度是固定5个字节的(当然未来可能会扩展消息类型的字节长度),记录层消息头里的消息长度标识的是记录层将上层协议封装成一条消息后的消息长度。

 

连接状态

HTTPS里客户端和服务器端每次建立连接,也就是建立一个session会话时,都会有一个连接状态,一个TLS连接状态标识的就是一个记录层的环境,连接状态的不同标识着LTS协议的不同过程,一共有四种:

pending read states(待读状态)

pending write states(待写状态)

current read states(可读状态)

current write states(可写状态)

加密参数

在客户端和服务器端一开始建立连接时,双方都处于待读状态和待写状态,等待加密参数准备好(加密参数填充到密码套件中),加密参数中指定了加密函数(如aes算法),加密模式(流密码,块密码或者aead),还有密钥长度,MAC消息验证码算法,主密钥等。这些加密参数都由记录层的上一层握手层协议提供,TLS记录层得到加密参数后,客户端和服务器端就可以改变连接状态,使用加密参数的值进行加密和解密操作。客户端和服务器端互相发送Change Cipher Spec Protocol密码切换协议消息给对方,提示可以进行连接状态的切换,随后双方都切换为可读状态和可写状态,使用加密参数进行加密解密。

记录层处理过程

连接状态完成后,TLS记录层协议的主要工作还没完,前面说到,TLS记录层会将上层的消息添加消息头,封装处理后再交给下层TCP传输层,除了添加消息头外,记录层还做了数据分块,数据压缩和数据加密的工作,总的来说,TLS记录层协议的主要工作就是这四部分。

数据分块

当上层的握手层协议消息进入TLS记录层后,首先进行数据分块,分块成大小不超过2^14字节的TLSPlaintext数据结构:

//TLS协议协商得到的版本号
struct {
	uint8 major;
	uint8 minor;
} ProtocolVersion;

//TLS上层协议的四个子协议
enum {
	  change_cipher_spec(20), 
	  alert(21), 
	  handshake(22),
	  application_data(23), 
} ContentType;

struct {
	  ContentType type;
	  ProtocolVersion version;
	  uint16 length;
	  opaque fragment[TLSPlaintext.length];
} TLSPlaintext;

从TLSPlaintext结构中可以看到,ContentType标示的是上层的协议的类型,ProtocolVersion标识的是TLS协议的版本号,length标识的是数据分块后的块大小,长度不超过2^14字节,最后一个fragment是上层协议消息,此时还没有进行机密性保护,属于明文处理。

数据压缩

数据压缩的数据结构TLSCompressed如下:

struct {
	  ContentType type;
	  ProtocolVersion version;
	  uint16 length;
	  opaque fragment[TLSCompressed.length];
} TLSCompressed;

数据压缩算法将TLSPlaintext数据结构转换成TLSCompressed结构,如果不选择进行数据压缩,那么TLSPlaintext结构就不会被转换成TLSCompressed结构。在TLS1.2版本协议中,压缩算法一般不会被使用,因为安全问题,在TLS1.3版本里直接将数据压缩操作给删除了,增加了一个数据填充操作,数据发送方可以选择在数据加密前为消息填充一段零值字节,之后再进行加密,目的是为了隐藏真实消息长度,如果选择填充,那么TLSPlaintext结构会被转换成TLSInnerPlaintext结构。

加密

数据加密部分,消息进行压缩(通常不使用),填充之后,接下来进行加密,上述的TLSPlaintext,TLSCompressed或者TLSInnerPlaintex结构会被转换为TLSCiphertext结构:

struct {
	ContentType type;
	ProtocolVersion version;
	uint16 length;
	select (SecurityParamters.cipher_type) {
		case stream: GenericStreamCipher;
		case block: GenericBlockCipher;
		case aead: GenericAEADCipher;
	} fragment;
} TLSCiphertext;

      前面三个属性不用多加解释了,fragment是最终加密后的数据,加密方式有三种,流密码,块密码和AEAD三种。加密后的消息末尾还要加上MAC值,里面包含了一个序列号,序列号十分重要,用来检测消息是否有丢失或者重复等,具体的做法是:

  1. 初始化时客户端和服务器端都各自维护一个序列号,序列号初值为0。
  2. 客户端与服务器端建立连接,客户端生成client_recv和client_send两个变量,分别用来记录客户端处接收的数据块总量和发送数据块总量,服务器端同理。
  3. 客户端发送一个消息后,client_send加一,服务器端接收到一个客户端消息后,对MAC值进行校验,记录serve_recv。如果客户端和服务器端之间消息发送没有出现丢失或者重复的错误,那么client_send的值就会等于server_recv的值,server_send的值等于client_recv的值。

添加消息头

最后,经过加密处理的LSCiphertext结构添加记录层消息头,就可以传递给下层TCP传输层了,消息头的内容,上面已经总结,包含了一个字节的消息类型,两个字节的版本号和消息长度。

AI反爬识别新突破:TCP重传率+TLS指纹构建18维特征工程,破解90%爬虫伪装难题
专注于Python爬虫开发,分享爬虫技巧、项目实战与反爬经验,使用Scrapy、BeautifulSoup等工具,解决数据抓取难题。
11-03 1991
爬虫可以伪装表层的HTTP行为,但很难伪装底层的网络通信规律。在反爬爬虫的对抗中,“底层特征”会成为AI反爬的核心护城河——因为这些特征根植于网络协议的本质,爬虫要完全模拟,需要重写底层网络模块,成本极高。而对于反爬方,只要持续挖掘这些“难伪装的特征”,并用AI模型整合,就能在这场“猫鼠游戏”中持续占据主动。如果你所在的团队也在面临爬虫困扰,不妨从TCP/TLS层的特征入手——这套方案的落地成本不高(基于eBPF+Flink,无需改造源站),但效果远超传统反爬,值得一试。
TCPTLS/SSL会话细节
热门推荐
joye123的博客
10-08 1万+
TCPTLS/SSL会话细节 TCP数据段格式说明 TCP建立连接和断开连接细节 Https如何保证通信安全 一次Https网络请求通信细节 网络数据包分析工具wireshark的使用 问题: SYN、ACK、FIN具体含义是什么? TCP建立连接超时的表现? 为什么需要证书来下发服务端公钥? 客户端是如何验证证书合法性的? 对称秘钥是如何协商出来的? 为什么不直接让客户端自己生成一个秘钥发...
HTTP协议/HTTPS协议/TLS/TCP原理及介绍
qq_45218334的博客
06-28 5046
Http协议 1.什么是Http协议? ​ HTTP(HyperText Transfer Protocol)即超文本传输协议,是一种详细规定了浏览器和万维网服务器之间互相 通信的规则,它是万维网交换信息的基础,它允许将HTML(超文本标记语言)文档从Web服务器传送到Web浏览 器。 ​ HTTP是一种无状态的协议,无状态是指Web浏览器Web服务器之间不需要建立持久的连接,这意味着当一个 客户端向服务器端发出请求,然后Web服务器返回响应(Response),连接就被关闭了,在服务器端不保留连接的
HTTPS握手全流程解析:从TCPTLS的安全之旅
最新发布
qqlsz147369的博客
09-15 1480
你知道浏览器和服务器之间的“握手”是怎么保证安全的吗?本文带你深入理解HTTPS握手的全过程。通过拆解TCP三次握手TLS握手的细节,帮助你弄清楚浏览器如何服务器建立一条安全的加密通道,从而保证数据传输的机密性完整性。
面试专栏:TCPTLS连接专栏
weixin_62827806的博客
11-25 1964
客户端向服务器发送一个TCP报文,其中包含SYN(同步)标志位,以及客户端的初始序列号。这表示客户端请求建立连接,并希望开始通信。服务器接收到客户端的SYN报文后,会发送一个带有SYN和ACK(确认)标志位的报文,其中ACK用于确认客户端的请求,并同时向客户端发起自己的序列号。这表示服务器接受了连接请求,并同意建立连接。客户端接收到服务器的确认报文后,会发送一个带有ACK标志位的报文,用于确认服务器的接受。至此,连接建立完成,双方可以开始进行数据传输。
TCP TLS
dianqicyuyan的博客
03-22 989
它在应用层和传输层之间提供了一层安全性,通过使用加密算法和数字证书来保护数据的机密性和完整性。TLS通常用于保护HTTP(超文本传输协议)通信,创建HTTPS(安全HTTP)连接。TCP(传输控制协议)是一种面向连接的协议,用于在网络上可靠地传输数据。它提供了数据分段、重传、流量控制和拥塞控制等功能,以确保数据的可靠传输。TCP仅提供了数据的可靠传输,但不提供加密和身份验证。而TLS通过使用加密算法和数字证书,确保数据在传输过程中的机密性和完整性,并对通信双方进行身份验证。
消息队列篇--通信协议篇--理解HTTP、TLSTCP如何协同工作
weisian的博客
03-30 2176
TCP提供了底层的可靠传输服务,确保数据包按顺序到达且不丢失。TLSTCP之上增加了加密和身份验证功能,确保数据的安全性和完整性。HTTP是应用层协议,负责定义客户端和服务器之间的请求和响应格式。通过这种分层结构,HTTP、TLSTCP协同工作,确保了网络通信的可靠性、安全性和效率。如果你使用的是HTTPS,那么所有的HTTP请求和响应都会在TLS加密通道中传输,从而保护数据免受窃听和篡改。逆风翻盘,Dare To Be!!!
简述http/https、tcp/ip、SSL/TLS介绍
我愿化作繁星
06-21 2398
(安全套接层/传输层安全)是一种用于网络通信的安全协议,它主要提供身份认证、数据机密性和完整性的保护。定义历史 ()最初由公司在年提出,并经历了多个版本的更新,最终在年发布了。 随后,互联网工程任务组()在SSL 3.0的基础上设计了()协议,并在年发布了正式的行业标准。 SSL的所有版本现在都已被弃用,但人们仍然习惯使用SSL这个名称,实际上通常指的是TLS协议组成: 国际互联网工程任务组 ↩︎: 最大传输单元 ↩︎
Eterm故障排查全景图:从TCP层到应用层逐级诊断的8步精准定位法
![Eterm故障排查全景图:从TCP层到...本文构建了以分层诊断为核心的故障排查框架,系统阐述了从TCP连接异常、中间链路干扰到应用层协议行为失常的全链路问题识别方法。通过深入分析三次握手失败、防火墙静默丢包、负载
【ESP32网络编程终极指南】:掌握TCP_IP协议栈的5大核心机制性能优化秘籍
本章将系统讲解ESP32网络编程的底层基础开发环境的完整搭建流程,为后续深入理解TCP/IP协议栈及高级网络应用打下坚实基础。 首先,需配置基于ESP-IDF(Espressif IoT Development Framework)的开发环境,推荐...
HTTP/UDP/TCP/IP网络协议
Gabriel的博客
04-03 1993
同时呢,4位值的是4个bit位,四个比特位的取值范围0-15.因此,这里的首部长度的单位也是4字节,比如:4个bit位 1111 == 15,实际表示的首部长就是60(4*15)字节。发送端可以是一K一K地发送数据,而接收端的应用程序可以两K两K地提走数据,当然也有可能一次提走3K或6K数据,或者一次只提走几个字节的数据,也就是说,应用程序所看到的数据是一个整体,或说是一个流(stream),一条消息有多少字节对应用程序是不可见的,因此TCP协议是面向流的协议,这也是容易出现粘包问题的原因。
网络协议栈完整验证:TCP_IP over Ethernet在仿真环境中链路测试全记录
![嵌入式仿真环境构建调试实践]...# 1. 网络协议栈基础仿真环境搭建 ## 仿真环境架构设计工具选型 为深入理解网络协议栈的分层协作机制,需构建可观察、可控制、可扩展的仿真环境。推荐采用 **Mini
TCPTLS为即时通讯搭建通信通道
weixin_34380781的博客
05-18 544
在上一篇文章中我们搭建了即时通讯服务器LCS,今天我们为用户启用即时通讯服务,并为即时通讯用户搭建基于TCP和基于TLS的通信通道。 试验拓扑图如下: 试验拓扑介绍:Florence为域控制器、DNS服务器、CA服务器。 Firenze为LCS服务器。 Istanbul为测试客户机。 所有计算机都处于LCSTEST.COM域中 首先我们为客户启用即时通讯服务。...
这种公司不去也罢!
程序员小灰的博客
08-03 467
大家好,上周有位读者在面试的时候,碰到这么个问题:面试官跟他说HTTPS 中的 TLS 握手过程可以同时进行三次握手,然后读者之前看我的文章是说「先进行 TCP 三次握手,再进行 TLS...
TCPTLS\SSL、JSSE、HTTPS杂烩笔记
xyjy11的博客
09-04 2126
以目前我的理解以及这两天的各种百度写个总结笔记,有不对的请指正 TCP 简介 全名Transmission Control Protocol,传输控制协议,是网络层IP协议和链路层Ethernet协议之上,Ethernet协议实现链路层的数据传输和地址封装(源方和目标方的MAC地址),解决局域网的点对点通信,而不同局域网之间的两台机子则需要IP协议进行地址的路由中转,TCP则面向的是端口到端口,保证数据传输的完整和可靠,包括数据包的确认、失败重发、流量控制,数据量大的情况TCP会将数据拆分为有
https——TCP+TLS
dkmknjk的博客
07-11 652
设备PC验证TLS会话复用。——附件附带wireshark抓包
TCP和SSL/TLS 协议通信原理
代码不会敲的博客
01-23 2465
访问网站时,以HTTPS开头的表示你和服务器之间传输的数据经过了加密,这里所使用的加密协议就是SSL(Secure Sockets Layer,后来又推出了它的后续版本,改名叫TLS)。把HTTP协议经过一层SSL协议进行加密包装,就变成了HTTPS。当然,SSL/TLS还用在很多协议中,例如VPN、加密的电子邮件协议等。
TCP/TLS/UDP 有什么区别?
Jenny_yu1025的专栏
08-28 7112
TCP和UDP都是网络层上的协议,是建立在IP层之上的。 TCP是有连接的传输,它通过对它下层IP包的冲突、错误检测和重传,保证了最终接收到的数据是可靠的;UDP是无连接的,数据包发出去就不管了,没有数据包是否成功并且正确发送的检查,不能保证数据传输100%正确,但是开销会比较小。 TLS是在更上一层的协议,他必须建立在可靠的数据传输基础上,所以一般是在TCP之上,当然也可以建立在SCTP之上,
TLS协议
CATCH A FIRE
10-18 2164
TLS简介TLS协议基于面向连接的TCP协议,它可被看作由两个主要部分组成:TLS记录协议(TLS Record Protocol)和TLS握手协议(TLS Handshake Protocol)。它可以实现传输应用数据前的通信双方身份的认证,加密套件(对称加密算法,签名算法等)的协商,会话密钥的协商,以及握手完成后的数据加密、压缩传输、以及数据完整性的校验。TLS握手具体的过程1.TCP三次握手T
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值