1、引言
1.1 为什么要加密
互联网是开放环境,通信双方都是未知身份,为通信双方的有效信息不被第三方窃听、篡改或者被冒充身份进行通信,需要为信息加上保护措施。也就是对所有信息都进行加密,避免被第三方窃听;采用校验机制,可以识别出信息是否被篡改,配备身份认证防止被冒充身份。互联网的通信安全,就是建立在SSL/TLS协议之上。
1.2 SSL/TLS协议的历史
1996年,在前面的基础上,SSL 3.0版问世并得到大规模应用;
1999年,互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版,也称为SSL 3.1;SSL和TLS指的是同一套加密协议,只是不同时期的名字差异。
2006年和2008年,TLS进行了两次升级,分别为TLS 1.1版和TLS 1.2版。
一般推荐使用TLS 1.2,主流的浏览器都支持。
2、SSL/TLS演化
熟悉一套技术的演进步骤,比直接看最新版本,更容量理解。
2.1 明文时代
小帅向小美发送信息,直接以明文形式发送。
缺点显而易见,第三方小黑很容易就窃取到信息,也可以进行篡改后发给小美,而且小美收到后并不知情,以为是小帅发来的。
2.2 对称加密时代
小帅和小美保存一份相同的秘钥,小帅发出的信息先经过加密,小美收到后使用同样的密码进行解密。这种加密和解密使用同一个密钥的算法称为对称加密算法。
短期内小黑对加密数据无能为力,但是每次变更秘钥需要事先协商,如果协商出问题,小帅告知小美新秘钥时,秘钥被小黑截取,那后续的密文对小黑来说,他也可以解密成明文。也可以篡改明文信息后,再使用同样的秘钥加密后发给小美。
2.3 非对称加密时代
既然进行秘钥交换存在风险,小帅和小美采用非对称加密算法。双方各自保存私钥、公钥,两者配对,私钥自己保存,公钥由私钥运算生成发给对方,不能由公钥反推算出私钥;但是使用公钥加密的密文,却可以使用私钥解密;使用私钥签名,使用公钥验证;这种加密和解密使用不同的密钥的算法成为非对称加密算法。
通信前,双发先将自己的公钥发给对方,私钥保密;小帅先使用小美提供的公钥加密数据,同时也使用自己的私钥进行签名标记,一起打包后发给小美,小美使用自己的私钥进行解密,再使用小帅的公钥进行验证,确认收到的信息是否来自小帅。
这种形式的加密通信,协商传输的是公钥,即使被小黑截取,他也不能解密后续的信息,因为解密得使用私钥。
但是百密一疏,如果小黑子在最初交互公钥时,截取公钥,把小帅发给小美的公钥截取,把自己的假公钥发给小美;截取小美发出的数据,小黑用自己的私钥解密,然后再使用自己的私钥加密后发给小帅。
整了这么复杂的一套加密协议,结果还是存在隐患。
2.4 公证时代
问题就出在公钥交换,小美收到一份公钥,如何证明这公钥确实是小帅发出的?譬如买房,只有房管局确认盖章导入系统的房产证,才是真的房产证,才能放心进行交易。通过CA(Certificate Authority)证书颁发机构来保证公钥的真实性,为公钥的真实性进行担保公证。
CA也是基于非对称加密算法,小帅先先把自己的公钥交给CA,CA用自己的私钥加密这些数据,加密完的数据称为小帅的数字证书,先前小帅发给小美的公钥,改为发送CA加密之后的数字证书。小美收到以后,通过CA发布的CA证书(包含了CA的公钥),来解密小帅的数字证书,从而获得小帅的公钥。
问题是小美怎么确保CA证书不是小黑伪造的?CA证书是提前预置在浏览器或操作系统,或者嵌入式设备内,不需要联网获取,自然也不存在劫持篡改的问题。
虽然小黑还是可以拦截带公钥的数字签名证书,可以用CA公钥解密看到内容;但是他没CA的秘钥,无法伪造出正确的数字签名证书,也就是小帅的真实公钥小黑可见不可改,改了小美会发现异常,但只有公钥并没什么价值。
2.5 TLS协议时代
公证时代的解决方案就是SSL/TLS协议加密通信基础。因为使用非对称加密算法比对称加密算法要复杂,消耗运算资源,为考虑效率,非对称加密只会用来传递一条信息,即对称加密的密钥。对称加密的密钥确定,后续有效信息使用对称加密算法进行网络传输。既保证了网络通信的安全性,又不影响效率。
SSL/TLS协议的基本过程:
1、通过CA体系交换公钥
2、使用非对称加密算法,交换用于对称加密的密钥
3、有效数据使用对称加密算法,进行密文传输
前两步又称为”握手阶段”(handshake),是SSL/TLS加密通信的基础。
2.6 TLS的应用
在SSL/TLS出现之前,很多应用层协议(http、ftp、smtp等)都存在着网络安全问题。最常见的http协议,在传输过程中使用的是明文信息,传输报文一旦被截获便会泄露传输内容;传输过程中报文如果被篡改,对方无法轻易发现;无法保证消息交换的对端身份的可靠性。为了解决此类安全问题,在应用层和传输层之间加入了SSL/TLS协议,升级为https。SSL/TLS目前已经广泛用于数据安全协议。关于SSL/TLS有很多开源软件包,如openSSL,mbedtls等。openSSL功能更强大,mbedtls小巧更适合嵌入式设备。
随着物联网的发展,设备节点的安全问题也越来越重要,相比互联网的openSSL,物联网的嵌入式设备适合小巧灵活的MbedTLS,曾用名PolarSSL,可以根据需求进行配置,降低对硬件资源的消耗。mbedtls内置了非常多的加密解密,散列算法源码,即使不使用tls加密,也从里面挖掘各种算法,诸如AES/RSA/MD5等。但是openSSL功能更强大,
mbedtls是一款采用Apache 2.0许可证协议开源软件加密库,使用标准C语言编写;独立的模块设计,降低模块之间的耦合度。从功能上看,主要包括加密库、X509证书、SSL/TLS协议三部分。
3.1 软件包
进入,点击download,在下载源码。
Git下载界面有说明编译方式
目前个人接触的芯片SDK内置mbedtls有v2.4.0,v2.4.2和v2.14.1三种,将git版本切到v2.14.1,最后提交是2018年。前期先在电脑模拟测试,选择Visual Studio 2013。
3.2 软件结构
mbedtls源码结构如下图
mbedtls\include\mbedtls下面,可以version.h查看版本信息,重点是config.h配置,mbedtls是一套加密集合,实际项目使用中仅需选择少部分即可,配置功能宏裁剪代码,简化运算,毕竟mbedtls跑一遍,一般的arm单片机不一定扛得住。
programs\ssl下是参考范例,TLS的客户端和服务端范例,以及UDP版本的DTLS。嵌入式设备以客户端应用居多,主要参考ssl_client2.c里面很多配置参数可选,也可以针对应用替换ssl_client1.c。
测试TLS客户端首先要准备3个文件,CA证书,客户端公钥数字证书以及私钥。一般情况下命名后缀如下:
.crt CA证书 .pem 公钥,经CA加密后的公钥,也称为数字证书 .key 私钥 有时crt和pem混用,其本质都是CA公钥加密后的文件
如果没有 服务器 联调,也可以使用自身的ssl_server2.c做服务器。
3.3 demo流程分析
ssl_client2.c范例都在main函数,其大体流程如下:
4、mbedtls移植
先在电脑端模拟测试,确定参数,简化范例里的赋值,因为实际项目参数不会经常变更,优化代码,尤其是秘钥加载,嵌入式都是以数组保存文件内容,而不会使用文件形式加载。另外结合加密等级,确定加密套件类型。
模拟测试正常后,再移植到ARM平台,主要改动涉及网络连接、内存管理和定时器三个方面。
4.1 网络接口
mbedtls默认的网络接口mbedtls/library/net_socket.c,可以在windows下运行,特别注意,默认的socket操作都是阻塞模式;一般不适合ARM平台,关闭MBEDTLS_NET_C,结合硬件平台重新实现网络接口。主要包括以下函数:
若需要DUP版本的DTLS,还需要实现该文件下另外几个接口,具体流程参考dtls_client.c。
自定义实现的网络收发接口,需要注册mbedtls_ssl_set_bio告知底层。
4.2 内存管理
自定义实现类型如下内存的申请和释放接口:
实现后将函数注册给底层
4.3 定时器
对DTLS定时器接口,并注册到底层。
4.4 网络阻塞与非阻塞机制
mbedtls在电脑模拟测试时其网络连接非常顺畅,而且测试只是跑这一项功能,即使采用阻塞模式也不会有其它问题。实际嵌入式设备在联网时,肯定还有其他任务需要执行。
如果设备支持操作系统,可以为mbedtls单独分配一个线程或者任务,推荐使用阻塞机制实现接口,而且容易调试,尤其是https下载这种场景。但是特殊情况下不支持阻塞的,在改写网络接口时,需要特殊处理。
例如范例mbedtls_net_connect进行域名解析、连接服务器,嵌入式设备的无线网络在这个步骤,基本会返回异常表示阻塞等待中,要解决这个问题,需要将后续的握手流程拆分执行。原本联网后执行mbedtls_ssl_handshake,在while里面等待握手流程MBEDTLS_SSL_HANDSHAKE_OVER结束或者错误,改为每次收到读消息的事件,执行一次或多次mbedtls_ssl_handshake_step。(这个并没亲自验证)
mbedtls_ssl_set_bio注册的读写接口支持设为非阻塞,mbedtls_ssl_write和mbedtls_ssl_read对应用层接口,在底层socket上报read_ready之后,判断当前握手已经完成,再执行mbedtls_ssl_read。
4.5 证书与密钥
测试可以使用mbedtls范例自带的证书和公钥、私钥,但实际项目需要自己根据服务器域名生成ca证书,以及双方的公钥、私钥。在源码programs\pkey下有秘钥生成的代码,作为客户端,需要验证服务器提供的公钥证书,因此本地还要CA证书,类似首次登录12306提示要下载的证书,再加上客户端自身的公钥和私钥,一共3个文件。gen_key.c生成keyfile.key私钥,默认秘钥长度是4096,虽然1024理论上有风险,但是运算更快;后面再使用openSSL 命令行生成公钥。
openSSL下载地址,安装后提示使用收费,实际使用未见异常。秘钥也可使用openSSL生成
如果使用未知,使用help查看说明。至于CA证书,需要平台侧生成再提供给设备端。
4.6 加密套件与配置裁剪
确定合适的加密套件,未使用的算法就可以屏蔽;在电脑运行瞬间完成,在实际arm硬件可能需要较长时间,比如使用RSA在握手阶段可能需要较长时间,可以选择ECDSA或者减小秘钥长度。
5、小节
目前的物联网对数据安全不是很关注,使用自定义协议近似明文的方式交互,或者使用单一加密方式,未来智能家居、涉及财物计费的、特殊行业的设备节点,可能会逐渐使用加密通信,而mbedtls则是较好的选择之一。即使不使用TLS,也可以选择简单的对称加密,mbedtls也是一个加密算法库,可根据需求提取合适的源码集成。
男友说,跟我聊天学浪费表情是什么意思,我该分手吗
你和男友在一起的时间是不是对他讲的话一知半解,不知如何回应,如果是这样的话,你两可能没有共同的爱好,也就是你不解风情,想逗你乐,你乐不起来,你让他不知所措!他觉的很累!本身爱情就是在快乐的基础上,你和他没有…………所以他选择分手了……希望采纳
请结合实际谈谈人生态度对人生的影响?
人生目的构成了人生观的核心问题,因为人生目的的确立是人们实践活动的前提和根由,它左右人生道路的方向,又在根本上决定着人生态度和人生价值的取向。 人生态度作为一种稳定的心理倾向和人们处理人生问题的方式,对人生目的的实现起着重要的制约作用,需要大学生有一个正确的把握;而树立正确的人生目的,则首先应对“人的本质”等问题作比较深入的理论把握。 伴随着关于人生的思考,人又总是会从价值的角度对人怎样生活算是有意义、才算是“值得”的问题加以把握,确立自己的人生价值观。 因而,弄清人生价值的涵义、内容、评价标准、实现方式等问题,以便指导青年学生树立起正确的人生价值观,乃至对个体人的一生生活都有着十分重要的意义。 一、世界观与人生观 世界观来源于人的生产和生活实践。 从人类诞生之日起,为了自身的生存主和发展,就必须进行物质资料和生产,关在改造自然和改造社会的实践中形成了人与人之间的各种社会关系。 在实践过程中,人们逐渐形成了对世界以及人与世界的关系的看法。 这就是世界观。 ⒈世界观:就是人们对于生活在其中的整个世界以及人与世界的关系的总体看法和根本观点。 ⒉人生观:是指人们对人生目的和意义的根本看法和态度。 它涉及人生目的、人生态度和人生价值等问题。 人生观主要包含三个方面:第一,人生目的,即人为什么活着。 第二,人生态度,即怎样做人和做怎样的一个人。 第三,人生价值,即怎样的人生才有意义。 其中,人生目的是人生观的核心,有什么样的人生目的就会有什么样的人生态度和人生价值尺度。 ⒊世界观与人生观的辩证关系:世界观决定人生观,有什么样的世界观,就会有什么样的人生观,从而形成对人生的理想、态度、人生道路等问题的基本看法。 二、追求高尚的人生目的(一)人生目的是人生观的核心 1、人生目的的内涵 人生目的:就是人们在实践过程中以认识为基础,形成的一种行为指向和结果。 它要解决的是“人为什么活着”这一人生的根本问题。 首先, 人生目的是在一定的社会物质条件基础上由人所处的社会关系决定的。 其次,人生目的是人们自觉选择的结果。 2、人生目的的作用①人生目的决定人生的根本方向和道路②人生目的决定人生态度③人生目的决定人生价值(二)树立正确的人生目的人生格言一个人的生命是宝贵的,但是一代的真理更珍贵,生命牺牲了而真理昭然于天下,这死是值得的------ 鲁迅 生命的长短以时间来计算,生命的意义以贡献来计算------裴多菲⒈错误人生目的剖析⒉为人民服务的人生目的⒊将为人民服务落实到实际工作和学习中去三、确立积极进取的人生态度人生的道路并非平坦笔直,有光明也有黑暗,有成功也有失败。 人生中充满了矛盾。 面对人生,每个人都会产生和保持带有个性色彩的人生态度。 一个人的人生观必然通过一定的人生态度表现出来,并对人生实践及其结果产生直接影响。 一人生态度与人生观 ⒈人生态度的涵义及类型 ⑴人生态度的涵义 人生态度:它是指人们在一定社会环境的影响和教育引导下,通过生活实践和自身体验所形成的对人生问题的一种稳定的心理倾向和基本看法。 ⑵人生态度的类型 ①积极进取的人生态度。 ②自我中心的人生态度。 ③知足常乐的人生态度。 ④虚无主义的人生态度。 ⒉人生态度是人生观的命脉 人生态度是人生观的重要范畴,它反映一个人的生活基调,有力地影响着人生目标的实现和人生道路的选择,对人的一生有重大影响。 人在确定了人生理想以后,就得通过实践来实现它。 人生态度是人生理想通向实践的关键环节,所以说,人生态度是人生观的命脉。 ⑴人生态度是人生观的重要内容。 ⑵人生态度是人生观的表现和反映二端正人生态度 ⒈正确对待人生境遇 人生对环境具有依赖性,环境是人生存发展的条件,人们在不同的环境中演绎着人生,然而,千差万别的人生经历有着某种共同的可能性,即都有可能经历人生的逆境和顺境,这是人无法选择的,也不是固定不变的。 ⑴正确对待顺境⑵正视人生挫折 ①挫折及其产生的原因。 挫折的定义:挫折是指在个体从事有目的活动的过程中,遇到的障碍和干扰,致使个人动机不能实现、需要不能满足的情绪状态。 产生挫折的原因是多方面的,概括起来可分为以下三类: 第一, 来自自然环境的挫折。 第二, 来自社会环境的挫折。 第三, 社会环境因素的影响和制约使个人的目标无法实现。 第四,来自个人自身原因的挫折。 ②正确对待人生挫折。 应该以正确的态度面对人生挫折。 首先,要笑迎挫折。 其次,要科学地分析产生挫折的原因。 再次,积极寻求提高抗挫折能力的方法。 一是确立恰当的抱负水平。 二是寻求积极的补偿。 三是提高思想境界,提高对挫折的认识判断能力,增强身心健康水平。 ⒉树立科学的人生态度⑴大学生应有的人生态度 时机可能是如召集军队打仗的号角, 但号角的鸣叫永远不能制造出士兵和胜利。 ------加富尔今天你如果不生活在未来,那么,明天你将生活在过去。 -------澳大利亚组织会长彼得·伊利亚德⑵大学生科学人生态度的培养 ①树立正确的世界观人生观。 ②树立道德榜样。 ③积极投身社会实践。 四、用科学高尚的人生观指引人生 尽管在人类社会长河中涌现过形形色色的人生观,但是只有以为人民服务为核心内容的人生观,才是科学高尚的人生观,才值得同学们终生遵奉和践行。 ⒈为人民服务思想的由来和发展⑴内涵:①是强调以他人,对社会的奉献。 ②是在对他人对社会奉献时尊重和保护个人的正当利益。 ③是强调为他人,为社会服务有不同层次的要求。 ⑵层次:①对于党员干部来说,要提倡全心全意为人民服务,提倡无私奉献精神。 ②对广大群众来说,主要强调为他人为社会服务。 同时,爱岗敬业,勤勤恳恳做发本职工作。 ⒉为人民服务的基本内容和要求⑴坚持人民的利益高于一切,是全心全意为人民服务的重要内容。 ⑵献身精神是指为某一理想或事业,不惜任何代价地贡献自己的一切、及至生命的精神。
怎样才能学习好?我从小学到初中都很爱玩,到高中我希望改变自己。要怎样做呢?
呵呵,想要学习这就是最好的基础之一。 但是这个过程是很艰难的,所以第二个学习好的条件就是持之以恒。 第三:好的学习方法:这个你应该从小就听说很多了,每个人都有适合自己的学习方法,你可以找同学们聊聊看看别人的经验,再总结出适合自己的。 只要你能坚持,就一定能够达成愿望哦。 我记得我高中有个男同学,到了高三才奋发图强,虽然当年落榜,结果第二年就听说考上了北京的大学,现在人家都在北京的大学教书了。 所以你要相信自己,只要肯努力,肯坚持,没有什么是不可能的。
发表评论