别家厂商用来控标的HTTPS加密协议,我们把它开源了

最新推荐文章于 2024-11-12 21:35:05 发布
原创 最新推荐文章于 2024-11-12 21:35:05 发布 · 459 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#开源 #TLS1.0 #HTTPS加密协议 #青松资讯 #网络安全

本文介绍了TLS1.0在HTTPS加密中的作用,虽然已经被更安全的TLS1.3取代,但在某项目投标中被用作控标参数。作者开源了TLS1.0的技术原理和解密细节,提醒业界关注TLS1.0的安全问题,并敦促仍使用TLS1.0的厂商尽快升级以提升安全性。项目源码已上传至GitHub,鼓励社区参与。

写在前面:

TLS(安全传输层协议)是HTTPS使用的加密协议,用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议因其保密性、完整性及认证性,至今仍在互联网底层架构中占据重要地位。但随着网络技术的快速更新,TLS也已升级到1.3版本。此版本支持0-rtt,砍掉了aead之外的加密方式,安全性大幅增强。

前段时间在某个项目的投标过程中,我们发现有厂商将TLS1.0技术作为控标参数。虚心请教才知道是将我们半年前已经开源的TLS1.0协议还原而成。哭笑不得之余,我们花了点时间将TLS1.0的技术原理及旁路解密的技术细节完完整整分享出来。尽管到目前为止,这类解密方法已经很少有使用场景,但技术总是基于旧版本做新迭代的,希望这个分享可以给大家提供一点技术思路。

需要特别注意的是,TLS 1.0于1999年发行,至今将近有20年。业内都知道该版本易受各种攻击(如BEAST和POODLE),除此之外,支持较弱加密也是它的弱项,对当今网络连接的安全已失去应有的保护效力。因此,我们恳切建议仍在使用已淘汰的TLS1.0作为“核心技术”的厂商,请尽快升级以提高产品安全性。

此外,我们也已将其开源信息上传至github平台,后续我们也将在网络安全这块进行更多的技术开源,欢迎大家为我们的开源项目点亮小星星:)

上传文档图片可能有遗漏,需了解详细信息可直达本项目GitHub地址:

https://github.com/qssec/TSL-1.0-protocol-bypass-resolution

正文如下:

 

 

 

 

最低0.47元/天 解锁文章
2万字长文看懂蓝牙低能耗(BLE)及开发优化
大模型大数据攻城狮的专栏
01-17 1252
蓝牙低能耗(BLE),是一种短距离、低成本且具备可互操作性的无线技术 ,专为满足低功耗设备的通信需求打造。作为蓝牙 4.0 规范的关键构成部分,它在传统蓝牙基础上优化升级,以契合物联网时代对低功耗、高效能通信的严苛要求。低功耗:运用先进的节能机制,像自适应跳频、快速连接建立以及间歇性通信等手段,极大地延长了电池的使用时长。举个例子,常见的一颗纽扣电池,就能支撑 BLE 设备稳定运行数年之久。这一特性使得 BLE 设备在一些对电池续航要求极高的场景,如可穿戴设备中得以广泛应用。
使用openSSL和开源httplib库搭建本地https代理服务器及https客户端
苞米地里捉小鸡的博客
05-21 6344
第一部分原理及环境搭建 参考 httplib库原理 httplib搭建简单服务器与浏览器交互 httplib GitHub 1.0certmgr证书管理工具 该项目本部分需要实现本地客户端与远端服务器进行通信(例如国外网站),那么如果直接进行Socket连接将会非常慢或者撞墙,那么这个时候考虑使用本地客户端先与本地代理服务器进行通信,然后本地客户端每次访问一次URL地址,都需要将证书添加到受信任的根证书颁发机构,不然证书以及私钥对不上服务器将不允许访问。查看证书可以通过cmd命令行certm..
国内5家云服务厂商 HTTPS 安全性测试横向对比
weixin_33672400的博客
08-15 622
随着 Chrome、Firefox 等浏览器对 HTTPS 的重视,国内众多云服务厂商都相继提供 SSL 证书申购服务,但是大家有没有注意到一个细节,不同厂家申请的 SSL 证书,由于证书性能、功能差异的原因,开启 HTTPS 后的安全性并不相同。 其中影响 HTTPS 安全度,关键的一项是 HSTS,它可以在用户首次访问网站后,默认优先...
深入解析:如何修复SSL / TLS握手失败错误(上)
peipei890819的博客
12-17 3060
接下来的三篇内容我们来讨论SSL / TLS握手失败错误及其修复方法。 针对互联网用户和网站所有者的SSL / TLS握手失败错误修复程序 像许多SSL错误消息一样,SSL握手错误可以从客户端和服务器端触发导致,有时候我们可以由常规的互联网用户进行修复,但有时候它表示网站的配置问题。 无论什么原因,这都可能是令人感到沮丧的SSL错误,因为它会阻止你与尝试访问的网站建立安全连接。这无论对用户或者网站来说都是不利的。对网站而言,它会驱散掉企业的业务(可能使客户直接推向竞争对手的怀抱)。 所以这几期的内容我们将来
一次 TLS 协商失败问题分析
围炉夜话
05-28 1690
个人博客 微软官宣 6.16 全面抛弃 IE,但对身处风险厌恶、技术保守型行业或者企业的 IT 工程师来说——夹在激进的 IT 行业和保守的业内环境之间,替换之路并不容易走,时常感到左右为难。 距离推动生产环境部署 Openshift 已近一年,负责的第一个运行其上的应用最近也正式投入使用,在兼容 IE 的过程中也踩了几个坑,拣有意思的记录一下。 遇到的其中一个问题是 IE11 访问 Openshift Router 暴露的 https 地址无法打开,提示启用相关安全协议,进 Internet 选项高级里确
https免费正式开源软件
weixin_33881140的博客
01-10 836
开始安装https 假设运行环境为centos7.1,Web 服务器是 Nginx 1.12.0(因为我的生产环境是),当前工作目录为 /root获取certbot客户端wget https://dl.eff.org/certbot-autochmod a+x certbot-auto单个域名下发./certbot-auto certonly --standalone --email 你的邮箱地址...
HTTPS认证四:使用开源libcurl进行SSL双向认证
egbert123的博客
01-04 5208
官网:https://curl.haxx.se/libcurl/c/libcurl.html libcurl参数说明: CURLOPT_SSLCERTTYPE:证书的格式,支持PEM, DER格式 CURLOPT_SSLCERT:客户端证书的名字,加密传输下默认格式是P12,其它方式下是PEM,使用时候用./filename避免混淆,当使用client证书的时候,很大可能需要使用privat...
蓝牙协议栈软件设计原理与实现方法
在协议栈架构方面,文档详细解析了蓝牙协议栈的核心组成部分,主要包括:主机制器接口(HCI)、逻辑链路制与适配协议(L2CAP)、安全管理协议(SM)、属性协议(ATT)、通用属性规范(GATT)、通用访问规范(GAP...
阅读引言: 最近在复习之前做过的项目, 所以向将zigbee这个协议分享出来, 一方面可以给需要的人看到, 一方面也方便自己整理zigbee的知识。 目录 一、什么是 ZigBee? 二、Zigbee 通信频段和信道 三、Zigbee协议和Zigbee协议栈 四、ZigBee 联盟与 IEEE 802.15.4 标准的关系 五、Zigbee协议体系结构 六、Zigbee设备在zigbee网络中的角色 七、ZigBee 网络拓补 八、Zigbee寻址方式 九、WIFI、BLE、Zigbee的区别联系 十、Zigbee特点总结 一、什么是 ZigBee? Zigbee是一个短距离的无线通信协议,类似于wifi蓝牙, 在文章的末尾会给出wifi、蓝牙、zigbee协议三者的区别和联系。 ZigBee 标准是基于IEEE802.15.4标准的个域网、低数据速率、短距离无线通信定义的一系列通信协议。基于 ZigBee 的无线设备工作在2.4GHz(全球流行)、915MHz(美国流行)和868MHz(欧洲流行)3个频段上,分别具有最高250kbit/s、40kbit/s和20kbit/s的传输速率。 二、Zigbee 通信频段和信道 频段就是设备在工作时可以使用的一定范围的频率段,信道是在这个频段内可供选择、用于传输信息的通道。ZigBee 物理层工作在 868MHz、915MHz 和 2.4GHz 这三个频段上,这三个频段共计分为 27 个信道,且分别拥有 1 个、10 个、16 个信道。 三、Zigbee协议和Zigbee协议栈 简单来说, 协议栈就是协议的具体实现, 就是有zigbee联盟和ieee组织将zigbee各个层次的功能用代码写好了, 我们可以直接使用, 我们只需要在应用层调用地城封装好的API接口即可完成数据无线传输的功能。我们采用的 Z-Stack 协议栈是 ZigBee 规范的一种具体实现,应用开发人员可在应用层完成代码编写,实现应用项目的相关功能 虽然用起来比较简单, 但是作为嵌入式软件开发者, 我们不需要深入了解底层的射频芯片的工作原理, 但是对嵌入式开发中常见的协议理论基础还是需要的, 而今天的内容就是为这个准备的。 四、ZigBee 联盟与 IEEE 802.15.4 标准的关系 ZigBee 联盟? IEEE 802.15.4是? IEEE 802.15.4是一种针对无线个域网(WPAN)的通信标准,主要用于设备之间的低成本、低速率和低功耗的通信。IEEE 802.15.4的主要特点包括: 1. **低速率**:该标准的传输速率为250 kbit/s,最初定义了更低的速率,如20 kbit/s和40 kbit/s,以满足不同应用场景的需求。在当前版本中,还增加了100 kbit/s的速率选项。 2. **短距离**:设计目标是支持大约10米的通信范围,适用于个人空间内的设备互联互通。 3. **低功耗**:IEEE 802.15.4旨在降低设备的功耗,使得设备能够在电池供电的情况下长时间运行,特别适合于嵌入式设备和传感器网络。 4. **多种物理层**:标准定义了多个物理层选项,以适应不同的应用需求和环境条件,通过权衡传输速率和功耗来支持更多的基础嵌入式设备。 值得一提的是,IEEE 802.15.4常用于智能家居、穿戴设备、工业自动化和物联网等领域,它为这些领域提供了一个稳定、可靠且节能的通信基础。与Wi-Fi等其他无线通信技术相比,IEEE 802.15.4更注重于低成本和低功耗,而不是高带宽或长距离通信。因此,它在需要大量部署且电池寿命要求较长的场景中尤为适用。 Zigbee 的诞生和生长与两个组织密不可分,这两个组织分别是 IEEE 802.15 工作组和 zigbee 联盟。 如下图所示,网络的最下面两层是由 IEEE 802.15.4 标准所定义的, 该标准是由 IEEE802 标准委员会所开发并于 2003 年最初发布的,IEEE 802.15.4 标准定义了无线网络 PHY 层和 MAC 层的详细信息,但它没有为更高的层规定任何要求。 ZigBee 标准仅仅定义了协议的网络层、应用层和安全层,并采用 IEEE 802.15.4 的 PHY 层和 MAC 层作为其部分协议。因此,任何遵循 ZigBee 标准的设备也同样遵循 IEEE 802.15.4 标准。 五、Zigbee协议体系结构 可以结合TCP/IP协议的体系结构来看 (1)APP:应用层,用户创建应用工程的地方。项目的主要内容由应用框架层(AF)、Zigbee设备对象层(ZDO)、应用支持子层(APS)组成。 - 应用框架层(AF):提供了一个如何在Zigbee协议栈上及案例一个规范的描述。它规定了规范的一系列的标准数据类型,协助服务发现的描述符,传输数据的帧格式等等。 - Zigbee设备对象层(ZDO):定义了一个设备在网络中的角色(协调器、路由器或者终端节点),发起或者应答绑定和发现请求,并在网络设备间建立一个安全关系。它同时也提供定义了Zigbee设备规范里的一套丰富的管理指令。位于应用框架和应用支持子层之间。它描述了一个基本的功能函数类,在应用对象、配置文件(Profile)和应用支持子层之间提供了一个接口,满足了ZigBee协议栈所有操作的一般要求。同时,ZDO还具备初始化应用支持子层、网络层、安全服务文档。 - 应用支持子层(APS):负责提供了一个数据服务给应用和Zigbee设备规范。它也提供一个管理服务以维护绑定链接和它字节绑定表的存储。 注意:应用层是ZigBee无线网络中的最高协议层和承载应用的实体。单个设备最多可拥有240个应用实体(应用任务)。 ZigBee协议标准在开发应用时会提供应用协议,应用协议是一组统一的消息格式和处理方法。对某个特定应用而言,使用应用协议可使产品开发者能够在不同厂商生产的产品上使用该应用。比如说,如果两个厂商使用相同的应用协议开发产品,那么一个厂商生产的产品就可以与另一个厂商生产的产品相互交互,这就好像它们都是同一个制造商生产的一样。 (2)NWK:网络层,半开源,核心代码不开源,比如路由算法不开源。 这一层包含有网络层配置参数文件及网络层库的函数接口文件,APS层库的函数接口。主要负责路径选择和数据转发。 - 网络层对MAC和应用层提供接口并管理网络结构和路由。 - 路由通俗的说就是选择一条路径将数据传输到目的设备。在ZigBee网络中,终端设备并没有路由转发的能力,但Zigbee协调器和ZigBee路由器具此功能。 - ZigBee协调器的网络层建立并维持整个网络的正常工作,选择网络的拓扑结构(树状,星型或者对等),保持和终端设备间的通讯。此外,Zigbee协调器还能给设备分配标识码的功能。 - 网络层首先确保MAC层具备正常的工作的能力,同时为应用层提供服务接口。 - 网络层包含网络数据实体(NLDE)和网络管理实体(MLME)在内的两个服务实体。 - 其中NLDE提供的服务有:生成网络数据单元:也就是对上层的数据进行分段、封装,以及指定路由拓扑和安全支持。 - MLME提供的服务有:配置新设备,建立新网络,允许设备加入或离开网络,路由的发现邻居寻址。 (3)MAC:包含MAC层的参数配置文件以及MAC的LIB库的函数接口文件。 - 它负责为节点和它的直接邻居之间提供可靠的通信链路,提供冲突避免以提高通信效率。帮助避免碰撞和提高效率,MAC层还负责打包和分解数据。 - MAC层主负责产生信标(Beacon)和为信标(beacon-enable网络)同步设备。 - MAC层包含一个管理实体,称为MLME(MAC Layer Management Entity) 。 - MLME负责维护和MAC子层相关的管理目标数据库,也就是MAC子层的PAN信息数据库。 六、Zigbee设备在zigbee网络中的角色 ZigBee 标准将网络节点按照功能划分为三种类型:PAN协调器(Personal Area Network Zigbee Coordinator, ZC)、路由器(ZigBee Router, ZR)和终端设备(ZigBee EndDevice, ZE)。 协调器:一个 ZigBee 网络中仅有一个协调器,是 PAN 的总制器。其职责包括: - 为网络中每个设备分配一个唯一地址; - 初始化、终止、转发网络中的消息; - 为网络选择一个唯一的 PAN 标识符,使得网络中的设备可以使用 16 位短地址进行通信。 路由器:主要负责允许设备加入网络、扩展网络覆盖的物理范围以及数据包路由的功能。 终端设备:主要负责无线网络数据的采集。 注意: - 协调器启动并建立网络后,首先选择网络标识符,并将自己短地址设置为0x0000,然后开始向邻近的设备发送信标,接受其他设备的连接,形成树的第一级。协调器与这些设备之间形成父子关系。 - 与协调器建立了连接的设备都会被分配一个16位的网络地址,称为短地址。如果设备以终端设备的身份接入网络,则协调器会为它分配一个唯一的16位网络地址;如果设备以路由器的身份与网络建立连接,则协调器会为它分配一个地址块,包含有若干16位短地址。 - 路由器根据接收到的协调器信标的信息,配置并发送它自己的信标,允许其他设备与自己建立连接,成为其子设备。这些子设备中可以有路由器,它们可以有自己的子设备,如此下去形成多级树簇型结构的网络。 七、ZigBee 网络拓补 ZigBee 网络支持星状、树(簇)状、网状三种网络拓补结构 星状网络:在星状网络中,所有的终端设备都只与 PAN 协调器通信。且只允许 PAN 协调器与终端设备通信,终端设备和终端设备不能直接通信,终端设备间的消息通信需通过 PAN协调器进行转发。 簇(树)状网络:由一个 PAN 协调器和一个或多个星状网络结构组成。终端设备可以选择加入 PAN 协调器或者路由器。设备能与自己的父节点或子节点直接通信,但与其他设备的通信只能依靠树状节点组织路由进行。 网状网络:网状网络中任意两个路由器能够直接通信,且具有路由功能的节点不用沿着树来通信而可以直接把消息发送给其它的路由节点。 八、Zigbee寻址方式 Zigbee 网络有两种类型的地址:扩展地址、短地址。 扩展地址:又称 IEEE 地址、MAC 地址。扩展地址位数为 64 位,由设备商固化在设备里。任何 zigbee 网络设备都具有全球唯一的扩展地址,在 PAN 网络中,此地址可以直接用于通信。 短地址:又称为网络地址,它用于在本地网络中标识设备节点。 短地址位数为 16 位。在协调器建立网络后,使用 0x0000 作为 自己的短地址,在设备需要关联得时候,由父设备分配 16 位短地址。设备可以使用 16 位短地址在网络中进行通信。不同的zigbee 网络可能具有相同的短地址。 OK, 关于zigbee的理论知识分享到此结束,希望对需要的人有所帮助。哦还有wifi, 蓝牙, zigbee三者的对比每写。 九、WIFI、BLE、Zigbee的区别联系 WiFi、BLE(蓝牙低功耗技术)和Zigbee都是无线通信技术,但它们在应用场景和技术特性上存在一些差异。 - **WiFi**:传输速率高,通常用于大规模数据传输和宽带网络接入。它的覆盖范围较大,非常适合家庭和办公室环境内的网络连接。WiFi适用于高速上网、视频流媒体、大文件传输等带宽密集型活动。 - **BLE**:是一种专为低功耗应用设计的无线通信协议,主要针对需要长时间待机和使用电池供电的设备。BLE的通信距离较短,适合近距离通信,如智能手表、健康监测设备和一些物联网设备之间的数据同步。 - **Zigbee**:是低速、低功耗、低成本的短距离无线通信技术,特别适合于大规模的传感器网络和自组织网状网络。Zigbee的传输速率相对较低,但可以提供稳定可靠的通信,因此常被用于智能家居、工业制等领域。 十、Zigbee特点总结 学习这个zigbee知识的心得体会2500字用专业的语句描述
最新发布
06-30
### Zigbee协议技术总结 Zigbee是一种基于IEEE 802.15.4标准的低功耗、短距离无线通信协议,广泛应用于物联网(IoT)和智能家居领域。其设计目标是实现低复杂度、低成本和低功耗的无线网络连接[^3]。 #### 协议...
蓝牙core_v5.2协议进阶指南:打造高效通信网络的必备技巧
[蓝牙core_v5.2协议进阶指南:打造高效通信网络的必备技巧](https://d2g2p0i8cc2bmh.cloudfront.net/2021-03/whats-new-bluetooth-5.2.png) # 1. 蓝牙技术概述与核心协议 蓝牙技术自诞生以来,已经演变成了一个广泛...
49.3k star,本地 SSL 证书生成神器,轻松解决 HTTPS 配置痛点
11-12 974
它能让你快速生成本地受信任的SSL/TLS证书,轻松打造安全的HTTPS开发环境,成为许多开发者的首选。除了基本的SSL证书,mkcert还可以生成客户端认证证书、ECDSA密钥、PKCS#12文件等,为复杂场景下的开发提供更高的安全性。相比传统的SSL证书生成方式,它完全摆脱了繁杂的手动配置。不论是本地的localhost,还是特定的IP地址和自定义域名,mkcert都可以生成对应的证书,支持多样化的开发测试环境。这个命令会在你的系统信任存储中安装一个本地CA证书,mkcert生成的所有证书都会被信任。
tls-技术原理与旁路解密实现方法 (1).pdf
07-30
TLS(安全传输层协议)是HTTPS使用的加密协议,用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议因其保密性、完整性及认证性,至今仍在互联网底层架构中占据重要地位。本文档为TLS1.0的技术原理及旁路解密的技术细节。
如何用https协议支持小程序 —— 开源 | 慧哥· 慧知开源充电桩平台 V2.5.2【支持 汽车 电动自行车 云快充1.5、云快充1.6 微服务】
李文慧 中国开源充电桩平台第一人;李文慧 国内知名开源工作者 全栈工程师 华为云最具价值专家
07-08 2915
该目录为手动编译安装Nginx时的默认目录,如果您修改过默认安装目录或使用其他方式安装,请根据实际配置调整。将证书文件和私钥文件上传到Nginx服务器的证书目录(/usr/local/nginx/conf/cert)。在Nginx独立服务器、Nginx虚拟主机上安装证书的操作不同,请根据您的实际环境,选择对应的安装步骤。转换证书格式的具体操作,请参见。根据您在提交证书申请时选择的CSR生成方式,解压缩获得的文件不同,具体如下表所示。如果您使用的是其他品牌的虚拟主机,请参考对应的虚拟主机安装证书的操作指南。
基于OpenSSL设计旁路解密HTTPS流量
心梦无痕
04-23 4192
文章目录1 引言1.1 编写目的1.2 背景1.3 参考资料2 总体设计2.1 需求概述2.2 总体设计图2.3 流程设计2.4 功能描述2.5 功能设计2.5.1 SSL/TLS协议解析2.5.2 SSL/TLS建立连接解析ServerHello扩展信息计算主密钥的消息验证2.5.3 TLS数据解密2.5.4 TLS密文重组和解密 1 引言 1.1 编写目的 记录本次开发SSL/TLS加解密功能...
hihttps教你在wireshark中提取旁路https解密源码
corpcorp的博客
09-30 1566
大家好,我是hihttps,专注SSL web安全研究,今天本文就是教大家怎样从wireshark源码中,提取旁路https解密的源码,非常值得学习和商业应用。 一、旁路https解密条件 众所周知,都知道wireshark中设置一定的条件,可以解密出https的通信成明文。 https是加密传输的,旁路一般情况是无法解密的,但为什么服务器和客户端可以解密成明文呢,那就是双方都有密钥。所以旁路ht...
走进JavaWeb技术世界17:web安全攻防详解
Java技术江湖
03-17 3674
安全要素与 STRIDE 威胁 今天,来分享下安全要素与 STRIDE 威胁。 STRIDE 威胁 STRIDE 威胁,代表六种安全威胁:身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、特权提升(Elevation of Priv...
用mpg123播放https协议的URL MP3
暗日
10-24 3926
mpg123本身是支持URL MP3的,可惜它只支持http协议的url mp3.好在mpg123还支持从standard input中读取MPEG data,这样以来我们可以通过组合curl与mpg123来实现播放https协议的URL MP3.#!/bin/bash# play https mp3 using mpg123function https_url_p () { local u
AC——对HTTPS数据进行行为审计时的解密方式
m0_49864110的博客
01-02 4275
在客户端安装准入插件,通过准入插件将客户端生成的主秘钥在还没有通过公钥加密发给SSL服务器时,将其“偷”出来交给AC(即:使得AC获得数据加密的对称密钥),然后进行数据传输的时候,通过镜像将数据复制一份交给AC,AC就可以进行解密看到明文数据。当内网PC端发起SSL连接请求的时候,AC会以代理服务器的身份,去代理SSL客户端发出访问请求给SSL服务器,AC以SSL客户端的身份跟SSL服务器完成交互后,AC再以SSL服务器的身份回应内网PC的SSL访问请求。启用解密策略,选择【解密方式】和【解密范围】
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值