和记娱乐


网站导航

联系我们

和记娱乐

联系人: 

电 话:021-64057486

公司网址:http://www.happy123456789.com

   址:成都市松江区漕河泾松江新兴产业园区研展路丰产支路55号B座803室

邮编:201165


通信知识

您的当前位置: 和记娱乐主页 > 通信知识 >

通信网络协议之TLS技术概念原理及其网络优化

发布日期:2021-02-08 20:46 来源:和记h88 发布人:和记娱乐 点击:

  由于在TCP、UDP等方式传输数据时,数据包有可能被其他人截获,并解析出信息,这就给信息安全带来了很大的挑战。最初的SSL协议被网景公司提出,它不会影响上层协议(如HTTP、电子邮件等),但可以上层协议的通信安全。如果正确的使用SSL,第三方只能推断连接的两端地址、加密类型,以及数据频率和发送的大概数据量,但无法读取或修改任何实际数据。IETF后来在标准化SSL协议时,将其改为了TLS。很多人会混用SSL与TLS,但严格来说它们指代的协议版本不同(SSL3.0的升级版才是TLS1.0)。本文重在讲述TLS的概念和原理及其网络优化。

  TLS协议的目标是为信息传输提供三个基本的:加密、身份验证和数据完整性。这三种服务并不是必须的,可以根据具体的应用场景进行选择。

  客户端与服务器在通过TLS交换数据之前,必须协商建立加密信道。协商内容包括:TLS版本、加密套件,必要时还要验证证书。其每次协商,都需要在客户端和服务端往返,大致过程如下:

  0ms:TLS运行在TCP基础之上,这意味着我们必须首先完成TCP三次握手“,这需要一个完整的来回交互(RTT)。

  56ms:TCP连接建立后,客户端发送一些协商信息,如TLS协议版本,支持的密码套件的列表,和其他TLS选项。

  84ms:服务器挑选TLS协议版本,在加密套件列表中挑选一个密码套件,附带自己的证书,并将响应返回给客户端。可选的,服务器也可以发送对客户端的证书认证请求和其他TLS扩展参数。

  112ms:假设双方协商好一个共同的TLS版本和加密算法,客户端使用服务器提供的证书,生成新的对称密钥,并用服务器的公钥进行加密,并告诉服务器切换到加密通信流程。到现在为止,所有被交换的数据都是以方式传输,除了对称密钥外,它采用的是服务器端的公钥加密。

  140ms:服务器用自己的私钥解密客户端发过来的对称密钥,并通过验证MAC检查消息的完整性,并返回给客户端一个加密的“Finished”的消息。

  168ms:客户端采用对称密钥解密消息,并验证MAC,如果一切OK,加密隧道就建立好了。应用程序数据就可以发送了。

  理论上,两个网络节点可能使用一个自定义的应用程序协议进行互相通信。解决这个问题的方法之一是在确定协议的前期,给它分配一个众所周知的端口(例如,端口80用于HTTP,TLS的端口443),并配置所有客户端和服务器使用它。然而,在实践中,这是一个缓慢和不切实际的过程:每个端口的分配必须批准,更糟的是防火墙及其他中间服务器往往只允许使用80和443进行通信。为了简化自定义协议的部署,需要重用80或443端口,再通过额外的机制协商确定协议。80端口被保留用于HTTP,HTTP规范提供了一个特殊的Upgrade流程来完成这个目标。然而,使用Upgrade可能带来额外的网络往返延迟,并在实际应用中往往因为许多中间服务器的存在是不可靠的。

  既然80端口不太适合用来协商协议,那就使用443端口,这是给安全HTTPS会话保留的。端到端的加密隧道对中间设备模糊了数据,因此这就成为了一种可以快速和可靠的方式实现和部署任意的应用程序协议。然而,使用TLS解决了可靠性,我们仍然需要一种方式来协商应用协议!作为HTTPS会话,当然可以复用了HTTP的Upgrade机制来协商,但这会带来一个额外完整的往返延迟(RTT)。如果在把TLS握手的同时协商确定协议可行吗?

  应用层协议谈判(ALPN)是一个TLS扩展,支持在TLS握手过程中进行协议协商,从而省去通过HTTP的Upgrade机制所需的额外往返延迟。过程如下:

  服务器可能只响应其中一个协议,如果它不支持任何客户端要求的协议,那么它可能选择中止连接。其结果是,TLS握手完成后,安全隧道建立好了,客户端和服务端也协商好了所使用的应用协议-它们可以立即开始通信。

  任意两个TCP端之间都可以建立加密的TLS隧道:客户端只需要知道对端的IP地址就可以建立连接,并执行TLS握手。但是,如果服务器需要部署多个的网站,每个与自己的TLS证书,但使用同一个IP地址-请问如何处理?为了解决上述问题,SNI(服务器名称)扩展被引入到TLS协议中,它允许客户端在握手开始他想要连接的主机名。服务器检查SNI主机名,选择适当的证书,并继续握手。

  注:TLS+SNI工作流程和HTTP的Host头域宣告流程是相同的,客户端在头域中它要请求的Host:同一IP地址可能会部署许多不同domain,SNI和Host都是用来区分不同的Host或者Domain。

  完整的TLS握手需要额外延迟和计算,为所有需要安全通信的应用带来了严重的性能损耗。为了帮助减少一些性能损耗,TLS提供恢复机制,即多个连接之间共享相同的协商密钥数据。

  会线中首次被引入,支持服务器端创建32字节的会话标识符,并将其作为“ServerHello”消息的一部分进行发送。在服务器内部,服务器保存一个会话ID和其对应的协商参数。对应地,客户端也同时存储会话ID信息,在后续的会话中,可以在“ClientHello”消息中携带sessionID信息,告诉服务器客户端还记着sessionID对应的密钥和加密算法等信息,并且可以重用这些信息。假设在客户端和服务器都能在它们各自的缓存中找到共享的会话ID参数,那么就可以缩减握手了,如下图所示。否则,开始一个新的会话协商,生成新的会话ID。

  借助会话标识符,我们能够减少一个完整的往返,以及用于协商的共享密钥的公钥加密算法开销。这让我们能快速的建立安全连接,而不损失安全性。然而,“会话标识符”机制的一个就是要求服务器为每个客户端创建和一个会话缓存。这会为服务器上带来几个问题,对于一些每天同时几万,甚至几百万的单独连接的服务器来说:由于缓存sessionID所需要的内存消耗将非常大,同时还有sessionID清除策略的问题。这对一些流量大的网站来说不是一个简单的任务,理想的情况下,使用一个共享的TLS会话缓存可以获得最佳性能。上述问题没有是不可能解决的,许多高流量的网站成功的使用了会话标识符。但是,对任何多服务主机的部署,会话标识符方案需要一些认真的思考和好的系统架构,以确保良好的的会话缓存。

  由于在服务器访问量很大的情况下,缓存会话信息是一个很大的负担,为消除服务器需要每个客户端的会话状态缓存的要求,“SesionTicket”机制被引入--服务器端不再需要保存客户端的会话状态。如果客户端表明它支持SessionTicket,则在服务器完成TLS握手的最后一步中将包含一个“NewSessionTicket”信息,这个信息包含一个加密通信所需要的信息,这些数据采用一个只有服务器知道的密钥进行加密。这个SessionTicket由客户端进行存储,并可以在随后的会话中添加到ClientHello消息的SessionTicket扩展中。因此,所有的会话信息只存储在客户端上,SessionTicket仍然是安全的,因为它是由只有服务器知道的密钥加密的。

  会话标识符和会话记录单机制,通常分别被称为“会话缓存”和“无状态恢复”机制。无状态恢复的主要改进是消除服务器端的会话缓存,从而简化了部署,它要求客户在每一个新的会话开始时提供SessionTicket,直到Ticket过期。注:在实际应用中,在一组负载平衡服务器中部署SessionTicket,也需要仔细考虑:所有的服务器都必须用相同的会话密钥,或者可能需要额外的机制,定期轮流在所有服务器上的共享密钥。

  身份验证是建立每个TLS连接一个重要的组成部分。毕竟,TLS可以与任何端通过一个加密的隧道进行通信,包括者,除非我们可以确信和我们通信的对方是可信任的,不然所有的加密工作都是无效的。如何证明某个主机是可信的呢?这就需要用证书,只有具有证书的主机才是可信。证书的来源有哪些呢?

  :每一个浏览器和操作系统都提供了手动导入任何您信任的证书的机制。如何获得证书,并验证其完整性完全取决于你。

  浏览器和操作系统:每个操作系统和大多数浏览器都包含了知名的证书颁发机构的列表。因此,你也可以信任这个软件的供应商,提供并的信任列表。

  在实际应用中,手动验证为每一个网站的证书(尽管你可以,如果你是这样的倾向)是不切实际。因此,最常见的解决方案是借助证书颁发机构(CA)做这项工作(如下图):在浏览器中指定哪些CA是可信任(根CA证书),CA负责验证你访问的每个网站,并进行审核,以确认这些证书没有被或受损害。如果任何网站违反了CA的证书的安全性,那么CA有责任撤销其证书。

  偶尔证书的颁发机构可能需要撤销或作废证书,这可能由于证书的私钥被攻破了,证书颁发机构本身被攻破,或者其他一些正常的原因譬如证书替换、证发机构发生变化,等等。为了解决这个问题,证书本身包含了检查是否已吊销的逻辑。因此,为了确保信任链不会受到影响,每个节点都可以检查每个证书的状态,连同签名。

  :每个证书颁发机构并定期发布一份吊销证书序列号列表。要想验证证书的可靠性,直接查询CRL名单即可。

  CRL文件本身可以定期公布,或在每次更新时都公布,CRL文件可以通过HTTP,或任何其他文件传输协议传输。该名单也是由CA签名,通常允许以指定的时间间隔缓存。在实际应用中,这个流程运行得很好,但也有一些场景CRL机制可能存在缺陷:越来越多的撤销意味着CRL列表只会越来越长,每个客户端必须获取整个序列号列表

  没有证书吊销即时通知机制-如果在客户端缓存期间,证书被吊销,客户端将认为证书是有效的,直到缓存过期。

  中的序列号,从而验证证书是否有效。OSCP占用带宽更少,支持实时验证,也带来了一些问题。如下:CA必须能够处理实时查询的实时性和负荷。

  ntType”字段的数据来识别握手,或数据),以及每个消息的完整性和验证。交付应用数据的典型流程如下:

  一旦上述步骤完成后,加密的数据被向下传递到TCP层进行传输。在接收端,采用反向相同的工作流程:使用协商的加密算法对数据进行解密,验证MAC,提取的应用数据给应用层。另一个好消息,所有上述的处理都是TLS层本身处理,对大多数应用程序是完全透明的。

  每个记录包含一个5字节的头部,MAC(SSLv3,TLS1.0,TLS1.1最多20个字节,TLS1.2的多达32个字节),如果采用块加密算还有填充块(

  前不久,华为推出了FTTR真千兆全光房间解决方案。所谓“全光”,就是利用光纤取代传统的电力线、电话线....

  早在1990年,国际互联网工程任务组就开始规划下一代协议,以解决IPv4地址枯竭的问题,如果从那年算....

  UDP英文全拼UserDatagramProtocol,简称用户数据报协议。它是传输层的协议,功能即....

  本文给出了一种在Windows NT下基于TCP/IP协议的多线程通信的基本方法,根据该方法进行修改和扩充,便可设计出符合具体应...

  问题描述 起因:最近公司要做一个4G模块带GNSS(全球卫星系统)定位功能的产品,上传传感器数据....

  在每个人的手机上,必然都显示着运营商的名称,用谁的SIM卡给谁交钱,就显示谁的名称,国内一般就是移动....

  2月1日,中国联通宣布,异地同享业务全新升级,全国“一家亲”组合套餐、共享套餐、亲情付三大产品业务重....

  近日有手机用户发现,三大通信运营商公布的套餐显示,不同价格的5G套餐不仅流量有所不同,而且网速服务也....

  近日,长达近8小时的5G直播,让中国大熊猫研究中心都江堰内两只憨态可掬的大熊猫,吸引了国内外....

  据知情人士透露,巴西将要求在5G频谱拍卖中获胜的运营商建立一个高度安全的无线网络,以供其专门使用....

  (1)所有综合工具都支持的结构always, assign, begin, end, case, w....

  Chrome 浏览器再次屏蔽 8 个 TCP 端口,防止被利用 NAT Slipstreaming 2.0 漏洞进行

  1月31日消息 据外媒 ZDNet 今日消息,谷歌工程师近日宣布,为 Chrome 浏览器再次屏蔽了....

  @font-ce{ font-mily:Times New Roman; } @....

  近日,工业和信息化部副部长刘烈宏在全国5G服务工作电视电线G在发展中存在的问题,“....

  内容介绍: 1、8-28V输入 2、W5500硬协议TCP通讯,通过SPI与STM32通讯; 3、双....

  单片机如何控制以太网网卡进行传输数据,如何加载TCP/IP协议连接到互联网,这些都是一些令人感兴趣的....

  近日,工信部发布的《2020年通信业统计公报》显示,截至2020年底,全国农村宽带用户总数达1.42....

  2020年疫情拖延全球5G建设之际,中国5G建设仍力度不减。2021年,中国5G建设将在稳投资、促消....

  恒星物联消防水鹤监测系统主要在原消防水鹤阀门井内安装无线压力变送器,实现对消防水鹤压力监测与报警,通....

  去年9月2日,话说ROG发布了一款高端电竞由器,配备了2.5Gbps的LAN口以及功率放大器,使其....

  短波软件无线电是软件无线电技术在短波通信领域的应用,它不仅为短波通信的发展提供了较好的理论基础,而且....

  物理层位于OSI参考模型的最底层,它直接面向实际承担数据传输的物理(即信道)。物理层的传输单位为....

  中国联通公告称,2020年12月份,公司移动出账用户累计到达数3.0581亿户,其中:4G用户累计到....

  据外媒,美国联邦通信委员会(FCC)欲将12GHz频段用于5G服务,并展开了意见征询,FCC在声....

  纵观全国,当前,我国的通信基础设施建设、网络覆盖率、网民规模及结构、互联网应用等都走在全球前列。截至....

  无论是OSI七层模型还是DoD模型,都是用来描述网络通信的一个过程,以让我们对网络数据的发送和接收有....

  1月18日消息 据工业和信息化部网站,为强化疫情防控举措,加快加大隔离场所建设,省决定在市....

  日前,在2021中国信通院ICT+深度观察报告会上,工业和信息化部副部长刘烈宏介绍,我国目前已累计建....

  透社援引巴西《圣保罗州报》的消息称,巴西很可能允许华为参加将于6月举行的5G网络供应商拍卖会。此前....

  双击插入的SIMATIC 400 Station的“Hardware”,打开硬件组态,在硬件组态界面....

  本报告是应美国空军要求美国国家科学院(NAS)审查地波应急网络(GWEN)发射的电对健康的潜在影....

  据韩联社报道,韩国电信运营商 LG U+(LG Uplus)本周五表示,该公司将于今年6月底之前终止....

  对于不少用户来说,你要当心你的手机流量了,因为即便你不开通5G套餐,你也是可以使用5G网络的。

  近日,工业和信息化部组织召开全国5G服务工作电视电线G服务工作情况,安排部署下阶段工....

  据国际学术期刊Nature网站1月6日内容,中国科技大学等机构联合发表的一篇《跨越4600公里的天地....

  中国经济进入新旧动能转换时期,数字经济正在加速向传统制造业渗透。“十四五”规划中明确提出系统布局....

  在英国决定逐步在5G电信网络中移除华为设备后,曾与英国电信(BT)合作、致力于为英格兰-苏格兰边....

  边缘计算可以在云和客户之间形成一个缓冲区,进行协同数据存储、计算分析以及网络传输等程序运行,以提升网....

  各种网络优化手段资料: 包括RF问题优化;参数修改;网络结构调整;设备配置调整 解决越区覆盖,切换不....

  西门子将SD-WAN置于其数字化网络(SDN)的核心,该网络旨在增强IT基础架构并提高整个组织的....

  研究公司IDC的数据表明,支持Wi-Fi 6E的新款手机、PC、笔记本电脑,有望于2021年的头几个....

  2020年12月4日,中国科学技术大学宣布,由潘建伟领衔的研究团队构建了76个光子100个模式的量子....

  中国科学家利用量子保密通信“京沪干线”和“墨子号”量子科学实验卫星,成功组建了世界上首个集成700多....

  为了进一步探索月球,NASA推出了阿尔忒弥斯计划,这是该宇航局新的载人航天项目。在阿尔忒弥斯计划计划....

  日前,Verizon发言人Kevin King对外表示,该公司的3G网络正在运行,目前没有关闭的计划....

  1  Modbus TCP通讯概述 MODBUS/TCP是简单的、中立厂商的用于管理和控制自动化设备....

  三点法设置方法 DETAIL–METHOD–回车进入三点法界面: 三点法操作步骤: 记录接近点1 a....

  创新是亨通集团应变突围的“法宝”。“今年,公司在的帮助下,2月底就已经正常生产。我们还抓住5G机....

  OSI和TCP/IP是很基础但又非常重要的网络基础知识,理解得透彻对运维工程师来说非常有帮助。 ...

  【HarmonyOS HiSpark Wi-Fi IoT 套件试用连载】MODBUS TCP

  在工业场景,modbus还是比较常用的通信协议。 modbus协议可以去下载。 在传统串口模式中,modbus都是分主机和从...

  IGT-DSER智能网关模块,支持各种PLC、智能仪表、远程IO与数据库之间双向通讯,既可以读取设备的数据到MySQL...

  HarmonyOS物联网编程第四讲——HarmonyOS网络编程 本讲包含以下内容,具体代码、课件、代码实验指南请下载附件: ...

  【HarmonyOS HiSpark Wi-Fi IoT 套件试用连载】TCP/IP编程简述和TCP客户端demo

  该例程是基于网上搜索到的实例进行修改而来的,也都是基本实例,复制粘贴的比较快速,将发送接收部分进行修改就得到下面的代码了...

      和记娱乐,和记h88,h88平台官网