证书的应用之一 —— TCP&SSL通信实例及协议分析(下)

最新推荐文章于 2024-03-15 10:07:23 发布
转载 最新推荐文章于 2024-03-15 10:07:23 发布 · 2.7k 阅读 · 3

本文通过一个demo模拟SSL协议,在TCP基础上实现自定义的安全通信。包括证书创建、TCP连接建立、证书交换、session key交换及数据加密签名过程。

原文链接:http://www.cnblogs.com/piyeyong/archive/2010/07/07/1773086.html

前面两部分分别讲解了如何在.net程序中使用SSL实现安全通信以及SSL的通信过程,并通过抓包工具具体分析了ssl的握手过程,本文通过一个demo来模拟ssl协议,在TCP之上实现自己的安全通信。

 

创建证书

为了实现安全的通信,必须使用证书对传输的数据进行加密,有两种方法可以得到证书,一是安装CA服务器,使用CA来发放证书,二是通过makecert.exe工具自己创建。

创建服务器证书:

cmd>makecert.exe -r -pe -n "CN=MySslServer" -sky Exchange -ss My

创建客户端证书

cmd>makecert.exe -r -pe -n "CN=MySslClient" -sky Exchange -ss My

关于makecert.exe的更多信息可以操作这里

 

建立TCP连接

使用普通的Socket类来建立TCP连接即可。后续的握手,传输数据都是在TCP之上的,在这里,定义每条信息的第一个字节是类型,0x01是整数,0x02是session key,0x03是应用层数据,0x04是错误信息,未使用。

我们知道TCP通信是stream的,消息没有边界,有可能发送方发送的数据,在接收方两次才能接收完,或者发送方连续发送两次数据,接收方一次就全部接受,这就要求应用层自己对消息的边界进行区分,常用的有3种方法,一是固定长度,所有消息长度一样,不够就填充,显然不够实用而且浪费带宽;二是定义消息边界,每条消息以固定字节流结尾如<EOF>,如果传输的数据刚好含有这样的字节流,就必须进行转义;三是消息的起始处使用固定字节来描述本消息的长度。本文为方便起见,没有进行消息边界处理,每两次发送有个间隔。


交换证书

在TCP连接建立之后,开始进行握手过程,主要是交换证书,交换session key。

server与client各自将自己的证书发送给对方,证书被export成.cer格式,只含有public key。证书的作用一是交换session key,二是发送数据时签名。

复制代码 
   

     1 
                
    byte
    [] certBytes 
    =
     so.localCert.Export(X509ContentType.Cert);

     2 
                
    byte
    [] sentBytes 
    =
     AddType(certBytes, type);

     3 
                so.workSocket.Send(sentBytes, 
    0
    , sentBytes.Length, SocketFlags.None);

     4 
                Console.WriteLine(
    "
    Send>>>>>>>>>>>>>>>>>>>>>
    "
    );

     5 
                PrintCert(so.localCert);

     6 
    。。。。。。

     7 
                
    byte
    [] data 
    =
     RemoveType(so.buffer, read);

     8 
                so.remoteCert 
    =
     
    new
     X509Certificate2(data);

     9 
                Console.WriteLine(
    "
    Recv<<<<<<<<<<<<<<<<<<<<<<
    "
    );

    10 
                PrintCert(so.remoteCert);
复制代码


交换session key

本demo使用DES对称算法来加密,必须在发送应用层数据之前交换算法的key,使用双方约定固定的IV。

其中一方生成随机的key,用对方的证书加密,调用RSA的Encrypt方法,会使用Public key,将加密后的数据发送给对方,由于只有对方才有证书的private key,所以也只有对方才能解密出key,第三方即使中途截获了数据也不能破解出key。

 

复制代码
生成session key 
   

    1 
                RSACryptoServiceProvider rsa 
    =
     (RSACryptoServiceProvider)so.remoteCert.PublicKey.Key;

    2 
                
    byte
    [] encrypedSessionKey 
    =
     rsa.Encrypt(so.localSessionKey, 
    false
    );

    3 
                
    byte
    [] sentBytes 
    =
     AddType(encrypedSessionKey, type);

    4 
                so.workSocket.Send(sentBytes, 
    0
    , sentBytes.Length, SocketFlags.None);

    5 
                Console.WriteLine(
    "
    Send>>>>>>>>>>>>>>>>>>>>>
    "
    );

    6 
                PrintSessionKey(so.localSessionKey);
复制代码

 

解析session key 
   

    1 
                
    byte
    [] data 
    =
     RemoveType(so.buffer, read);

    2 
                RSACryptoServiceProvider rsa 
    =
     (RSACryptoServiceProvider)so.localCert.PrivateKey;

    3 
                so.remoteSessionKey 
    =
     rsa.Decrypt(data, 
    false
    );

    4 
                Console.WriteLine(
    "
    Recv<<<<<<<<<<<<<<<<<<<<<<
    "
    );

    5 
                PrintSessionKey(so.remoteSessionKey);


发送加密和签名数据

发送数据使用DES算法加密,防止被第三方截获;同时对发送的数据签名,让对方确认数据没有被篡改并且确认数据是自己发送的。

数据格式:

0x03

密文长度

密文

签名长度

签名

密文使用DES算法机密得到。
对原文使用hash算法,并使用自己的证明对hash进行签名,签名是使用的private key,接收方收到数据后,用DES解密出原文,对原文计算hash,然后对收到的签名使用对方的证书的public key还原,比较与hash是否一致。
复制代码
复制代码
加密数据并签名 
     

       1 
                  MemoryStream memoryStream 
      =
       
      new
       MemoryStream();

       2 
      

       3 
                  
      //
       encrypt
      

       4 
       
                  DESCryptoServiceProvider des 
      =
       
      new
       DESCryptoServiceProvider();

       5 
                  ICryptoTransform cTransform 
      =
       des.CreateEncryptor(so.remoteSessionKey, 
      new
       
      byte
      [
      8
      ]);

       6 
                  MemoryStream ms 
      =
       
      new
       MemoryStream();

       7 
                  CryptoStream encStream 
      =
       
      new
       CryptoStream(ms, cTransform, CryptoStreamMode.Write);

       8 
                  encStream.Write(so.sentData, 
      0
      , so.sentData.Length);

       9 
                  encStream.FlushFinalBlock();

      10 
      

      11 
                  
      byte
      [] temp 
      =
       ms.ToArray();

      12 
                  memoryStream.Write(BitConverter.GetBytes(temp.Length), 
      0
      , 
      4
      );

      13 
                  memoryStream.Write(temp, 
      0
      , temp.Length);

      14 
      

      15 
                  
      //
       hash
      

      16 
       
                  MD5CryptoServiceProvider md5 
      =
       
      new
       MD5CryptoServiceProvider();

      17 
                  
      byte
      [] hash 
      =
       md5.ComputeHash(so.sentData);

      18 
      

      19 
                  
      //
       sign
      

      20 
       
                  RSACryptoServiceProvider rsa 
      =
       (RSACryptoServiceProvider) so.localCert.PrivateKey;

      21 
                  
      byte
      [] sign 
      =
       rsa.SignHash(hash, CryptoConfig.MapNameToOID(
      "
      MD5
      "
      ));

      22 
      

      23 
                  memoryStream.Write(BitConverter.GetBytes(sign.Length), 
      0
      , 
      4
      );

      24 
                  memoryStream.Write(sign, 
      0
      , sign.Length);

      25 
      

      26 
                  
      byte
      [] sentBytes 
      =
       AddType(memoryStream.ToArray(), type);

      27 
                  so.workSocket.Send(sentBytes, 
      0
      , sentBytes.Length, SocketFlags.None);

      28 
                  Console.WriteLine(
      "
      Send>>>>>>>>>>>>>>>>>>>>>
      "
      );

      29 
                  PrintData(so.sentData);
复制代码

 

复制代码
复制代码
复制代码
解密数据并验证 
     

       1 
                  
      byte
      [] data 
      =
       RemoveType(so.buffer, read);

       2 
      

       3 
                  
      //
       Decrypt
      

       4 
       
                  DESCryptoServiceProvider des 
      =
       
      new
       DESCryptoServiceProvider();

       5 
                  ICryptoTransform cTransform 
      =
       des.CreateDecryptor(so.localSessionKey, 
      new
       
      byte
      [
      8
      ]);

       6 
                  
      int
       len 
      =
       BitConverter.ToInt32(data, 
      0
      );

       7 
                  
      byte
      [] cipherText 
      =
       
      new
       
      byte
      [len];

       8 
                  Array.Copy(data, 
      4
      , cipherText, 
      0
      , len);

       9 
                  MemoryStream ms2 
      =
       
      new
       MemoryStream(cipherText);

      10 
                  CryptoStream decStream 
      =
       
      new
       CryptoStream(ms2, cTransform, CryptoStreamMode.Read);

      11 
      

      12 
                  Byte[] tempBuffer 
      =
       
      new
       Byte[
      1024
      ];

      13 
                  Byte[] outputBytes 
      =
       
      new
       
      byte
      [
      0
      ];

      14 
                  
      int
       nRead 
      =
       decStream.Read(tempBuffer, 
      0
      , tempBuffer.Length);

      15 
                  
      int
       nLength 
      =
       
      0
      ;

      16 
                  
      while
       (
      0
       
      !=
       nRead)

      17 
                  {

      18 
                    nLength 
      =
       outputBytes.Length;

      19 
                    Array.Resize(
      ref
       outputBytes, nLength 
      +
       nRead);

      20 
                    Array.Copy(tempBuffer, 
      0
      , outputBytes, nLength, nRead);

      21 
                    nRead 
      =
       decStream.Read(tempBuffer, 
      0
      , tempBuffer.Length);

      22 
                  }

      23 
                  so.recvData 
      =
       outputBytes;

      24 
                  Console.WriteLine(
      "
      Recv<<<<<<<<<<<<<<<<<<<<<<
      "
      );

      25 
                  PrintData(so.recvData);

      26 
      

      27 
                  
      //
       hash
      

      28 
       
                  MD5CryptoServiceProvider md5 
      =
       
      new
       MD5CryptoServiceProvider();

      29 
                  
      byte
      [] hash 
      =
       md5.ComputeHash(so.recvData);

      30 
      

      31 
                  
      //
       verify
      

      32 
       
                  
      int
       signlen 
      =
       BitConverter.ToInt32(data, len 
      +
       
      4
      );

      33 
                  
      byte
      [] sign 
      =
       
      new
       
      byte
      [signlen];

      34 
                  Array.Copy(data, 
      4
      +
      len
      +
      4
      ,sign, 
      0
      , signlen);

      35 
                  RSACryptoServiceProvider rsa 
      =
       (RSACryptoServiceProvider)so.remoteCert.PublicKey.Key;

      36 
                  
      try
      

      37 
                  {

      38 
                    
      bool
       verify 
      =
       rsa.VerifyHash(hash, CryptoConfig.MapNameToOID(
      "
      MD5
      "
      ), sign);

      39 
                    
      if
       (verify)

      40 
                    {

      41 
                      Console.WriteLine(
      "
      verify correct!
      "
      );

      42 
                    }

      43 
                    
      else
      

      44 
                    {

      45 
                      Console.WriteLine(
      "
      verify error!
      "
      );

      46 
                    }

      47 
                  }

      48 
                  
      catch
      

      49 
                  {

      50 
                    Console.WriteLine(
      "
      verify error!
      "
      );

      51 
                    
      return
       PackageType.Error;

      52 
                  }
复制代码

 

复制代码
运行结果
服务器端输出

 

客户端输出


下载代码


基于SSL协议的双向认证 - 数字证书 [2]
weixin_30314793的博客
03-26 302
1.1数字证书 1.1.1 概念理解 一种文件的名称,例如一个机构或人的签名,能够证明这个机构或人的真实性。简而言之数字证书是一种网络上证明持有者身份的文件,同时还包括有公钥。证书是由国际上公认的证书机构颁发,这些机构是公认的信任机构。要想请这些机构颁发证书是要给钱的。客户端程序通过维护一个“根授信机构列表”,当收到一个证书时,查看这个证书是否在该列表中,如果是则这个证书是...
超详细TCP协议讲解!!!
最新发布
2301_80042078的博客
10-01 994
TCP是一个为可靠性而生的复杂协议体系。它通过确认与重传实现可靠性,通过滑动窗口实现端到端的流量控制,通过拥塞窗口和四大算法实现网络全局的拥塞控制。所有这些机制,都建立在面向连接(三次握手/四次挥手)和面向字节流的基础之上。掌握好TCP的相关知识有助于我们更好地理解网络,对我们做工程项目、求职都有极大的好处。如果想了解TCP协议的使用,可以参考如下文章TCP协议使用-优快云博客以上就是我分享的网络TCP使用的全部内容了,希望对大家有些帮助,也希望与一样喜欢编程的朋友们共进步。
证书应用之一 —— TCP&SSL通信实例协议分析()
weixin_30653023的博客
06-20 650
SSL(Security Socket Layer)是TLS(Transport Layer Security)的前身,是一种加解密协议,它提供了再网络上的安全传输,它介于网络通信协议的传输层与应用层之间。 为实现TCP层之上的ssl通信,需要用到数字证书。本文通过具体例子来说明如何使用数字证书来实现网络上的安全传输。需要用到.net提供的SslStream, TcpListener,...
关于TCP+SSL协议通讯问题
weixin_30498921的博客
11-23 502
由于客户的临时要求,需要将原有TCP/IP通讯改成TCP+SSL协议的通讯模式。但是测试服务后台的证书是过期的,因此我方得取消SSL的身份验证。 说真的,我从来没接触过SSL,而现有通讯是使用C++编写,真的是赶着鸭子上架,一头雾水没有方向。同事同学能够远水救近火帮上忙的也很少,只能零星的从网上查找资料。而客户方一天N个电话追问什么时候能够完成,极度烦躁。 网上可以找到不少完整的代码...
TCP/IP协议二十二:HTTPS/SSL协议详解(2)HTTPS三次握手及其详解
哈尼的博客
06-21 2873
TCP/IP协议二十二:HTTPS/SSL协议详解(2)HTTPS三次握手及其详解
【SSL协议介绍】
qq_55213436的博客
07-19 3735
SSL协议,即安全套接字层。可用于保护正常运行于TCP之上的任何应用协议,如HTTP、FTP、SMTP或Telnet的通信,最常见的是用SSL来保护HTTP的通信。SSL协议的优点在于它是与应用协议无关的。高层的应用协议(如HTTP、FTP、Telnet等)能透明地建立于SSL协议之上。SSL协议应用协议之前就已经完成加密算法、通信密钥的协商以及服务器的认证工作。在此之后应用协议所传送的数据都会被加密,从而保证通信的安全性。客户对服务器的身份认证。...
C#基于TCP协议的Socket通信编程实例
标题“C#网络编程TCP通信实例”明确指出了该资源的核心内容:通过C#语言实现基于TCP协议的网络通信功能,并以实际代码示例的方式展示其具体应用方法。描述部分与标题一致,进一步强调了其实用性和教学意义,说明该...
VB实例源文件-tcp协议传输文件(含客户端与服务器端)
04-14
TCP(Transmission Control Protocol)传输控制协议是互联网上广泛使用的面向连接的、可靠的传输协议,它在数据通信中扮演着至关重要的角色。VB(Visual Basic)是Microsoft开发的一种面向对象的编程语言,它允许...
Delphi实现P2P文件传输:基于TCP协议的点对点通信实例
此外,由于TCP提供的是字节流服务,开发者需要自行设计应用协议来界定消息边界——在此例中,可以通过先发送文件名长度、文件名、文件总大小等元信息,再进入循环发送数据块的方式完成结构化通信。 值得注意的是...
Socket TCP/IP通信源码实例详解
Socket是计算机网络编程中的核心概念之一,广泛应用于实现不同主机或同一主机上进程之间的通信。标题“Socket源码Demo”明确指出该文件包含的是关于Socket编程的示例代码,重点在于展示如何使用TCP/IP协议栈实现...
Tomcat 8.5——配置阿里云免费SSL证书(PFX格式证书)[启用HTTPS协议]
无限迭代中......
02-20 2389
基本概念 SSL证书:SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。 SSL 证书就是遵守 SSL协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。 SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL)安全协议...
通俗易懂的TCP,SSL以及HTTPS的连接建立过程详解
热门推荐
yxg520s的博客
12-17 1万+
可以参考B站的一个视频,把TLS/SSL的连接建立过程降解的非常透彻。配合这篇博客食用更佳。 1 说明 HTTPS是建立在SSL/TCL协议之上,而SSL/TLS是建立在TCP协议之上。 所以HTTPS的建立过程可以分解为TCP + SSL/TLS + HTTP协议依次建立连接的过程 2 SSL和TLS 2.1 什么是数字证书? 服务端可以向证书颁发机构CA申请证书,以避免中间人攻击(防止证书被篡改)。证书包含三部分内容:tbsCertificate(to be signed certificate)待签名
TCP,SSL以及HTTPS的连接建立过程详解
qq_64162562的博客
03-15 3770
—以上就是历史背景。合法但不受信任的证书:一个证书可能是完全合法的(比如它是有效的、未过期的、并且正确地签名的),但如果它不是由客户端已知的受信任的CA签发的,客户端还是不会信任它。服务端收到客户端的报文后,会使用私钥进行解密,这样就得到了预主密钥,而且只有客户端和服务端知道这个预主密钥,没有其他人知道(因为预主密钥一旦被公钥加密,只能由私钥加密,反之同理,所以除非私钥泄露了,否则没有人会知道预主密钥)。这个校验确保与客户端交互的服务器是它声称的服务器,并且其证书是受信任的证书颁发机构(CA)签发的。
tcp ssl连接例程
weixin_35749796的博客
12-22 721
TCP SSL 连接是一种使用 SSL(Secure Sockets Layer)协议的方式来保证在 TCP(Transmission Control Protocol)连接之间传输数据的安全性的方法。 下面是一个使用 Python 进行 TCP SSL 连接的简单例程: import ssl import socket # 创建 socket 对象 s = socket.socket(sock...
证书应用之一 —— TCP&SSL通信实例协议分析()
weixin_30319097的博客
07-02 938
SSL建立握手连接目的: 1.身份的验证,client与server确认对方是它相连接的,而不是第三方冒充的,通过证书实现 2.client与server交换session key,用于连接后数据的传输加密和hash校验 简单的SSL握手连接过程(仅Server端交换证书给client): 1.client发送ClientHello,指定版本,随机数(RN),所有支持的...
【转】证书应用之一 —— TCP&SSL通信实例协议分析()
diaodia9980的博客
04-01 291
原文链接 SSL(Security Socket Layer)是TLS(Transport Layer Security)的前身,是一种加解密协议,它提供了再网络上的安全传输,它介于网络通信协议的传输层与应用层之间。 为实现TCP层之上的ssl通信,需要用到数字证书。本文通过具体例子来说明如何使用数字证书来实现网络上的安全传输。需要用到.net提供的SslStream, T...
SSL是什么,与TCP的关系是什么
weixin_45230066的博客
07-10 8103
无论是TCP还是UDP都是没有提供任何加密机制的,即明文传输。在传输过程中很可能被嗅探和发现。因此为了应对这种安全问题,因特网研制了TCP的加强版,称为安全套接字层(Secure Sockets Layer,SSL)。用SSL加强后的TCP不仅能够做到传统TCP能做的一切,而且提供了关键的进程到到进程的安全性服务,包括加密、数据完整性和端点鉴别。需要强调,SSL不是与TCP和UDP在相同层次的第三种因特网协议,而是对TCP的加强,这种强化是在应用层上实现的。因此,应用程序要使用SSL服务,它需要在该应用程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值