golang https server分析

https:

HTTPS是http安全版本的实现,在http与tcp之间加了一层ssl/tls安全传输协议

为了防止请求被监听、篡改、冒充,在tls实现过程中引入了数字证书机制,数字证书由第三方权威机构提供保证。

数字证书原理是采用非对称加密生成一对公钥、私钥,服务端保存私钥,下发公钥给客户端,由于非对称加密计算量比较大,

所以https通信过程中,通过客户端与服务端的握手交互产生三次随机码,从而生成一个相对安全的对称加密密码,密码通过非对称加密下发给客户端,从而完成加密通信

https本质上还是tcp通信,所以https的捂手是在建立tcp连接后,进行的一系列校验而已,

在处理tcp conn连接的过程中,会判断连接类型是不是tls类型,如果是会进入tlsConn.serverHandshake()握手过程。详细流程如下:

下面分析一下golang中如何实现的https握手

在建立tlsConn连接后,服务端新起一个goroutine处理,

1. config.serverInitOnce.Do(config.serverInit) // 产生一个随机数作为通信凭证,下次通信时凭证校验通过后直接通信,校验不通过重新建立连接
2. msg, err := c.readHandshake() // 解析clientHello信息,此时获取到由客户端生成的第一个随机数

3. c.vers, ok = config.mutualVersion(hs.clientHello.vers) // 检查客户端与服务端tls版本是否一致

4. _, err = io.ReadFull(config.rand(), hs.hello.random) // 服务端产生第二个随机数
5. hs.setCipherSuite(id, supportedList, c.vers) // 确认加密算法
6. 设置服务器证书

hs.cert, err = config.getCertificate(&ClientHelloInfo{
CipherSuites: hs.clientHello.cipherSuites,
ServerName: hs.clientHello.serverName,
SupportedCurves: hs.clientHello.supportedCurves,
SupportedPoints: hs.clientHello.supportedPoints,
});

7. skx, err := keyAgreement.generateServerKeyExchange(config, hs.cert, hs.clientHello, hs.hello) // 生成服务端摘要信息
8. c.writeRecord(recordTypeHandshake, helloDone.marshal()) //发送helloDone信息
9. preMasterSecret, err := keyAgreement.processClientKeyExchange(config, hs.cert, ckx, c.vers) // 处理获取由客户端生成的第三个随机数
10. hs.masterSecret = masterFromPreMasterSecret(c.vers, hs.suite, preMasterSecret, hs.clientHello.random, hs.hello.random) // 生成通信秘钥
11. hs.finishedHash.Write() // 服务端发送最后一次确认请求

时间: 2024-10-27 00:56:17

golang https server分析的相关文章

Golang HTTP Server 分析(1) -- Overview

Golang 精简直观的设计,让Web 开发和写 print ”Hello World”毫无二致.同时也让我有机会一窥 HTTP Server 的设计与实现.至此,以前Tomcat,  Apache 等web 容器给我的神秘感一扫而光. 1. 基础知识 HTTP Server的目的即是实现HTTP Protocol, 下面我们简要介绍一下HTTP Protocol. HTTP报文由一行行的简单字符串组成.HTTP报文都是纯文本,是Web信息传递的载体.下面由一个简单场景来表示HTTP报文格式.

golang slice性能分析

golang在gc这块的做得比较弱,频繁地申请和释放内存会消耗很多的资源.另外slice使用数组实现,有一个容量和长度的问题,当slice的容量用完再继续添加元素时需要扩容,而这个扩容会把申请新的空间,把老的内容复制到新的空间,这是一个非常耗时的操作.有两种方式可以减少这个问题带来的性能开销: 在slice初始化的时候设置capacity(但更多的时候我们可能并不知道capacity的大小) 复用slice 下面就针对这两个优化设计了如下的benchmark,代码在: https://githu

golang pprof 性能分析工具

性能优化是个永恒的话题,而很多时候我们在作性能优化的时候,往往基于代码上面的直觉,把所有能想到的优化都优化了一遍,不错过任何小的优化点,结果整个代码的逻辑变得极其复杂,而性能上面并没有太大的提升.事实上,性能问题往往集中在某些小点,有时候很小的改动就能有巨大的提升,所以问题的关键是是怎么去找出这些优化点,幸运的是 golang 在设计的时候就考虑了这个问题,原生提供了性能分析的工具,可以很方便地帮我们找到性能瓶颈 pprof 简介 golang 的性能分析库在 runtime/pprof 里,主

MS SQL Server分析数据库的I/O性能

系统有的时候响应会明显很慢,有的时候可以是因为访问人数增加导致,有的时候可能因为数据库的磁盘I/O访问次数频繁导致.MS SQL Server提供了一些动态管理视图和函数供我们分析磁盘I/O性能. 1.sys.dm_io_virtual_file_stats SELECT DB_NAME(vfs.database_id) AS database_name , vfs.database_id , vfs.FILE_ID , io_stall_read_ms / NULLIF(num_of_read

[译]SQL Server分析服务的权限配置

简介: 本文介绍如何配置SSAS数据库和cube相关维度的安全设置. 相对数据引擎来说,在Management Studio中配置分析服务的安全设置基本没什么区别.但是也会有一些限制,比如SSAS的权限配置都是围绕角色进行的,其次,角色的成员必须是基于windows或者ad环境的,SQL Server用户(比如sa)是无法使用的.还有,权限是无法直接授予给windows或者ad用户或者组的,这些用户或者组必须填加到角色中才可以.另外,如果UAC处于打开的状态,那么比如要以"Run as Admi

SQL Server分析服务的权限配置

 简介: 本文介绍如何配置SSAS数据库和cube相关维度的安全设置. 相对数据引擎来说,在Management Studio中配置分析服务的安全设置基本没什么区别.但是也会有一些限制,比如SSAS的权限配置都是围绕角色进行的,其次,角色的成员必须是基于windows或者ad环境的,SQL Server用户(比如sa)是无法使用的.还有,权限是无法直接授予给windows或者ad用户或者组的,这些用户或者组必须填加到角色中才可以.另外,如果UAC处于打开的状态,那么比如要以"Run as A

关于Nginx配置Https server后,乱跳的问题解决记录

大部分的服务器上,我们会在一个Nginx服务下配置多个vhost,以最大化运用服务器资源.然而,为其中一个vhost域名启用 HTTPS 之后,发现百度统计的实时访客或入口页中,存在一些来自其它域名的请求.即通过 https://some-other-domain.com/some-url 来访问对应的 https://www.domain.com/some-url 结果就是 Google 浏览器显示了一个安全警告页面,认为这是一个不安全的网页.因为我只配置了 www.domain.com 的

使用loki+ mtail + grafana + prometheus server分析应用问题

loki 是一个方便的类似prometheus 的log 系统,mtail 是一个方便的日志提取工具, 可以暴露为http 服务——支持导出prometheus metrics 环境准备 docker-compose 文件 version: "3" services:  nginx-log:    build: ./    ports:    - "8090:80"    - "3903:3903"    volumes:    - "

HTTPS协议分析

实验目的 1.https的基本概念和工作流程 2.学会捕获https封包 3.学会筛选重要的https封包 4.学会解密https数据包 实验工具 ?wireshark 实验环境 ?操作机:Windows XP 实验步骤 HTTPS的工作流程 使用HTTPS协议工作时,服务端和客户端的信息传输都会进行加密,所以传输的数据都是加密后的数据.HTTPS的工作流程如下: 1.客户端使用HTTPS的URL访问Web服务器,要求与Web服务器建立SSL连接. 2.Web服务器收到客户端的请求后,会将网站包