2024年最全TLS、运输层安全协议(4)，2024年最新最新整理

给大家的福利

零基础入门

对于从未接触过网络安全的同学来说，在线课程为我们提供了详细的课程规划。这个系统全面的学习路径能够确保大家在网络安全领域获得扎实的基础知识

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网上丰富的网络学习资源很多很多存在。然而如果所学知识缺乏系统性的话**，“遇到问题时仅仅停留在表面”。那么就难以实现真正的技术进步。**

希望获得系统化资料的朋友可以直接点击该链接获取

单个个体的能力不可小觑；而一个团队合作的力量则更加显著。无论你是IT行业的资深从业者还是对此领域充满热情的新手，均热忱欢迎加入我们的技术交流圈（涵盖技术分享、学习资源下载、职场感悟交流、大厂内推机会及面试辅导），共同进步成长！

---

运输层安全协议

现在广泛使用以下两个协议：

-安全套接字层 SSL (Secure Socket Layer)

-运输层安全 TLS (Transport Layer Security)

1 协议 TLS 的要点

SSL安全套接层被Netscape在1994年推出，并被广泛应用在基于万维网的各种网络环境中（不限于万维网应用）。

SSL 跨越HTTP与TCP协议之间的接口，在TCP之上建立了安全通道以确保数据传输的安全性

1999 年，在遵循 SSL 3.0 的框架之上，IETF 开发出了 TLS 1.0 标准，并为此确保了所有基于 TCP/IP 网络的应用能够实现安全的数据传输。

2018年8月日，《基于RFC 8446的建议标准》版本TL...

·2020 年，旧版本 TLS 1.0/1.1 均被废弃。

1.1 协议 TLS 的位置

位于发送端的 TLS 对接收的应用层数据流进行处理，并对该获取到的数据进行加密编码后，在通过 TCP 传输通道将这些加密后的信息传递给下一层协议处理。

·在接收方，TSL 从 TCP 套接字读取数据，解密后把数据交给应用层。

1.2 TLS 与应用层协议独立无关

·TLS 提供了一个简单的带有套接字的应用程序接口 API，与 TCP 的API 相似。

·应用层使用 TLS 最多的就是 HTTP。TLS 可用于任何应用层协议。

应用程序采用 TLS 加密机制对整个网页进行加密时，在访问 URL 圀所时会显示为 HTTPS 地址。

·s标识为security,表示当前采用的是保障数据安全传输的HTTP协议（通常采用端口号443进行加密传输,与传统HTTP协议使用的端口号80不同）。

1.3 协议 TLS 具有双向鉴别的功能

常用单向鉴别：客户端（浏览器）需确认目标网站所属服务器身份，并确保该服务器的安全可靠性。

·两个前提 ：

必须拥有一个经过认证的 CA 证书才能自证身份。作为支撑运输层安全协议 TLS 的核心技术组件之一，CA 证书扮演着不可或缺的角色。

2.浏览器应具有一些手段来证明服务器是安全和可信的。

·建立安全会话两个阶段 ：

1.握手阶段：使用握手协议

2.会话阶段：使用记录协议

1.4 TLS 建立安全会话的工作原理

TLS 的握手阶段

·验证服务器，生成会话阶段所需的共享密钥

1. 双方选择合适的加密算法。
   （1）浏览器 A 提交其 TLS 版本信息及可选的安全协议列表。
   （2）服务器 B 根据自身支持的情况确定适用的安全协议，并通知 A；同时将自身的CA证书提交给A。

2.服务器鉴别。（3）客户 A 用数字证书中 CA 的公钥对数字证书进行验证鉴别。

3.制作主密钥。（4）客户 A 基于双方已确认的密钥交换方案制作主密钥匙 MS（Master Secret）。（5）客户 A 通过使用 B 的公钥 PKB 对主密度 MS 进行加密，得到加密后的主密度 PKB(MS)，传输至服务器 B。

服务器 B 使用自己的私钥通过解密过程获取了主密钥 ：SKB(PKB(MS)) = MS 。这样使得客户 A 和服务器 B 共同拥有的主密钥匙 MS 可用于后续的数据传输

5. 创建会话密钥（7）与（8）。为确保双方通信的安全性，在线服务提供商A与其后端服务提供者B之间建议各自持有不同的主秘钥副本。该主秘钥会被划分为四个独立的部分，并由四个不同的实体分别持有完整拷贝；每个实体都能获得四份完整的主秘钥副本，并且这些副本均为对称加密所需的秘钥

·客户 A 发送数据时使用的会话密钥 KA

·客户 A 发送数据时使用的 MAC 密钥 MA

·服务器 B 发送数据时使用的会话密钥 KB

·服务器 B 发送数据时使用的 MAC 密钥 MB

TLS 的会话阶段

·保证传送数据的机密性和完整性

将长度较长的数据分割为较小的若干数据块，并将其称为记录 (record)。随后对每个记录依次执行鉴别运算及加密运算。

该协议会对每个条目按照发送顺序分配一个编号，并规定编号的最大值不得超越2^{64}-1。每次发送新的条目时会将当前编号加一，并确保在任何情况下都不会出现循环或越界的情况。

在执行散列计算的过程中，在没有将序号记录下来的情况下，在发送给服务器B之前就已经包含到了这个值中去。
当客户A发送一个明文记录给服务器B时，在发送前会对MAC密钥MA、当前记录的序号以及明文信息本身进行哈希计算。
这些计算操作是为了确保该数据包的内容和顺序均无误。
为了保证传输的安全性与完整性，在接收端会对这些计算结果再做一次验证。
最后系统会根据会话密钥KA来进行加密解密操作以恢复原始数据。

这种对记录进行加密的方法被称为带相关数据认证的异构体AEAD方案。

1.5 TLS 传送的记录格式

学习路线：

该方向在初期阶段相对容易上手，在掌握了基础技术后可以利用各种现有的工具进行攻击操作。随着这一方向的发展深入下去，则会面临的挑战与所需学习和掌握的内容也会随之增多。
以下是一些关于网络渗透的技术与知识：

丰富的网上学习资料浩如烟海，
若所学知识缺乏系统性，
则遇到问题仅停留在表面理解，
不进行深入的研究，
难以实现真正技术上的进步。

希望获取系统化资料的朋友们，请点此链接下载

单兵作战效率高，但集体合作才能走得更远！无论你是IT行业的资深从业者还是充满热情的新手初学者，请随时加入我们的交流群（提供技术分享与讨论区、丰富的学习资料库以及职场生活指南），共同提升技能与职业发展