Go 语言快速入门指南:什么是 TLS 安全传输层协议

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 安全问题,让人既爱又恨,不管是云原生应用还是本地或其他,安全是任何应用程序的一个重要特性。但往往很多时候,安全问题被忽视,成为最后考虑的问题,这样的结果就是:一旦出现问题,就会带来灾难性结果。

安全问题,让人既爱又恨,不管是云原生应用还是本地或其他,安全是任何应用程序的一个重要特性。但往往很多时候,安全问题被忽视,成为最后考虑的问题,这样的结果就是:一旦出现问题,就会带来灾难性结果。


传统环境有丰富的工具和既定的安全最佳实践,但对于云原生应用来说,情况就不一样了,云原生应用往往采取几个小的、往往是短暂的微服务的形式。虽然这种架构提供了巨大的灵活性和可扩展性优势,但它也为潜在的攻击者创造了一个明显的机会:服务之间的每一次通信都是通过网络传输的,从而使其被窃听和篡改。


TLS 简要介绍


TLS(Transport Layer Security,安全传输层),是一种加密协议,旨在通过计算机网络提供通信安全。TLS 是建立在传输层 TCP 协议之上的协议,服务于应用层,它的前身是 SSL(Secure Socket Layer,安全套接字层),它实现了将应用层的报文进行加密后再交由 TCP 进行传输的功能。


TLS 确保没有第三方可以窃听或篡改任何消息。它的使用是无处不在和广泛的,它在 RFC 8446 中进行了描述。


当客户端通过普通 HTTP 连接到服务器时,它开始在完成标准 TCP 握手(SYN-> SYN -ACK-> ACK)后立即发送 TCP 数据包包裹的明文数据。使用 TLS ,情况更加复杂。


image.png

如上图中,完成 TCP 握手后,服务器和客户端执行 TLS 握手,以接收双方共同的私钥并以此进行特定的会话。然后,利用公钥加密来保证它们之间交换的所有数据安全。尽管这个过程发生了很多事情,但这是 TLS 层为我们实现的东西。我们只需要正确设置 TLS 服务器(或客户端)即可;


GO 中 HTTP 和 HTTPS 服务器之间的实际差异很小。


TLS 的优点

  • 加密: TLS/SSL 可以帮助使用加密保护传输的数据
  • 互操作性:TLS/SSL 适用于大多数 Web 浏览器,包括 Microsoft Internet Explorer 以及大多数操作系统和 Web 服务器
  • 算法灵活性:TLS/SSL 为安全会话期间使用的身份验证机制、加密算法和散列算法提供操作
  • 易于部署:许多应用程序 TLS/SSL 临时在 windows server 2003 操作系统上
  • 使用方便:因为我们在应用层下实现了 TLS/SSL,所以它的大部分操作对客户端是完全不可见的

公钥加密技术


在介绍 Go 使用 TLS 中如何设置 HTTPS 服务器的代码之前,让我们谈谈证书。在上面的图中,您会注意到服务器是其第一个 ServerHello 消息的一部分,将证书发送给客户端。正式地,这些被称为 X.509 证书,由 RFC 5280 描述。


证书是将服务器的公钥及其身份和受信任机构(通常是证书授权)签名的标准方法。举个例子,在以前通过网上银行进行支付时,需要一个安全的双方都信任的机构颁发一个凭证。


比如当访问 www.xxbank.com 时,它带有 xxbank 的公钥证书——被受信任的机构(Certificate Authority,简称 CA),这个证书签名可以有多个。(由 A 签名的银行 key 可以由 B 签名,该 key 可以由 C 签名,等等)


TLS 依赖公钥加密法对信息进行加密,在这种情况下,双方都拥有自己的密钥对。其中包括一个免费公开的公钥,和一个只有其所有者知道的私钥。


任何人都可以使用公钥对信息进行加密,但只有用相应的私钥才能对其进行解密。使用该协议,希望进行私密通信的双方可以交换他们的公钥,然后可以用公钥来保证所有后续通信的安全,而这种方式只能由持有相应私钥的预定收件人的主人来阅读。


image.png


服务器检查它们都支持的最高 SSL/TLS 版本,从一个客户端选项(如果它支持一个)中选择一个密码套件,并可选择选择一种压缩方法。在此基本设置完成后,服务器提供其证书。此证书必须由客户端本身或客户端信任的一方信任。在验证了证书并确定该服务器确实是他声称的人(而不是中间人)之后,交换了一个密钥。这可以是一个公钥,“PreMasterSecret”,也可以是任何东西,具体取决于密码套件。


服务器和客户端现在都可以计算对称加密的密钥。握手完成,两台主机可以安全通信。通过完成来关闭连接。 TCP 连接双方都会知道连接被不当终止。连接不会因此而受到损害,只会中断。


Go 内置的安全服务函数

net/http 的设计者友好地提供了一个我们熟悉的 TLS 的变体:ListenAndServe 函数,我们已经很熟悉了。

func ListenAndServeTLS(addr, certFile, keyFile string, handler Handler) error

ListenAndServeTLS 的使用和感觉几乎与 ListenAnd Serve 完全一样,只是它有两个额外的参数:certFilekeyFile。如果你碰巧有证书和私钥的 PEM 文件,那么服务 HTTPS 加密连接只是将这些文件的名称传递给 ListenAndServeTLS 的问题。

http.ListenAndServeTLS(":8080", "cert.pem", "key.pem", nil)

这看起来超级方便。为了能够本地测试,使用自签名证书通常非常有用。自签名证书是带有公共密钥 P 的某些实体 E 的证书,但该密钥不是由已知证书授权签名,而是由 P 本身签名。虽然自签名的证书还有一些其他合法用途,但我们将重点介绍它们在这里进行测试的用途。


GO 的标准库对与加密,TLS 和证书相关的所有内容都有很好的支持。让我们看看如何在 GO 中生成自签名的证书!


  1. 使用 crypto/ecdsacrypto/ellipticcrypto/rand 包生成一对密钥对:
privateKey, err := ecdsa.GenerateKey(elliptic.P256(), rand.Reader)
if err != nil {
  log.Fatalf("Failed to generate private key: %v", err)
}


  1. 创建 证书模板:
serialNumberLimit := new(big.Int).Lsh(big.NewInt(1), 128)
serialNumber, err := rand.Int(rand.Reader, serialNumberLimit)
if err != nil {
  log.Fatalf("Failed to generate serial number: %v", err)
}
template := x509.Certificate{
  SerialNumber: serialNumber,
  Subject: pkix.Name{
    Organization: []string{"My Corp"},
  },
  DNSNames:  []string{"localhost"},
  NotBefore: time.Now(),
  NotAfter:  time.Now().Add(3 * time.Hour),
  KeyUsage:              x509.KeyUsageDigitalSignature,
  ExtKeyUsage:           []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},
  BasicConstraintsValid: true,
}

每个证书都需要一个唯一的序列号;通常,证书局将将这些存储在某些数据库中,但是对于我们本地的需求,将有一个随机的 128 位编号可以做到。这是摘要的前几行所做的。


接下来是 x509.certificate 模板。有关字段含义的更多信息,请参见 Crypto/X509 包文档以及 RFC5280 。我们只需注意,证书有效期为 3 小时,仅对 localhost 域有效。

derBytes, err := x509.CreateCertificate(rand.Reader, &template, &template, &privateKey.PublicKey, privateKey)
if err != nil {
  log.Fatalf("Failed to create certificate: %v", err)
}

该证书是由模板创建的,并用我们之前生成的私钥签名。请注意,&template  都在 createCertificatetemplateparent 参数中传递。后者是使该证书自我签名的原因。


我们拥有服务器及其证书的私钥(其中包含公共密钥等)。现在剩下的就是将它们序列化为文件。首先,证书:

pemCert := pem.EncodeToMemory(&pem.Block{Type: "CERTIFICATE", Bytes: derBytes})
if pemCert == nil {
  log.Fatal("Failed to encode certificate to PEM")
}
if err := os.WriteFile("cert.pem", pemCert, 0644); err != nil {
  log.Fatal(err)
}
log.Print("wrote cert.pem\n")


然后,生成私钥:

privBytes, err := x509.MarshalPKCS8PrivateKey(privateKey)
if err != nil {
  log.Fatalf("Unable to marshal private key: %v", err)
}
pemKey := pem.EncodeToMemory(&pem.Block{Type: "PRIVATE KEY", Bytes: privBytes})
if pemKey == nil {
  log.Fatal("Failed to encode key to PEM")
}
if err := os.WriteFile("key.pem", pemKey, 0600); err != nil {
  log.Fatal(err)
}
log.Print("wrote key.pem\n")


我们将证书和密钥序列化为 PEM 文件,看起来像这样(用于证书):

-----BEGIN CERTIFICATE-----
MIIBbjCCARSgAwIBAgIRALBCBgLhD1I/4S0fRZv6yfcwCgYIKoZIzj0EAwIwEjEQ
MA4GA1UEChMHTXkgQ29ycDAeFw0yMTAzMjcxNDI1NDlaFw0yMTAzMjcxNzI1NDla
MBIxEDAOBgNVBAoTB015IENvcnAwWTATBgcqhkjOPQIBBggqhkjOPQMBBwNCAASf
wNSifB2LWDeb6xUAWbwnBQ2raSQTqqpaR1C1eEiy6cgqUiiOlr4jUDDiFCly+AS9
pNNe8o63/Gab/98dwFNQo0swSTAOBgNVHQ8BAf8EBAMCB4AwEwYDVR0lBAwwCgYI
KwYBBQUHAwEwDAYDVR0TAQH/BAIwADAUBgNVHREEDTALgglsb2NhbGhvc3QwCgYI
KoZIzj0EAwIDSAAwRQIgYlJYGIwSvA+AmsHe8P34B5+hlfWEK4+kBmydJ65XJZMC
IQCzg5aihUXh7Rm0L1K3JrG7eRuTuFSkHoAhzk4cy6FqfQ==
-----END CERTIFICATE-----


HTTPS 服务器

例如:

package main
import (
  "io"
  "log"
  "net/http"
)
func main() {
  http.HandleFunc("/", func(w http.ResponseWriter, req *http.Request) {
    io.WriteString(w, "Hello, TLS!\n")
  })
  // One can use generate_cert.go in crypto/tls to generate cert.pem and key.pem.
  log.Printf("About to listen on 8080. Go to https://127.0.0.1:8080/")
  err := http.ListenAndServeTLS(":8080", "cert.pem", "key.pem", nil)
  log.Fatal(err)
}


相关文章
|
3天前
|
存储 Go
Go 语言入门指南:切片
Golang中的切片(Slice)是基于数组的动态序列,支持变长操作。它由指针、长度和容量三部分组成,底层引用一个连续的数组片段。切片提供灵活的增减元素功能,语法形式为`[]T`,其中T为元素类型。相比固定长度的数组,切片更常用,允许动态调整大小,并且多个切片可以共享同一底层数组。通过内置的`make`函数可创建指定长度和容量的切片。需要注意的是,切片不能直接比较,只能与`nil`比较,且空切片的长度为0。
Go 语言入门指南:切片
|
2天前
|
开发框架 前端开发 Go
eino — 基于go语言的大模型应用开发框架(二)
本文介绍了如何使用Eino框架实现一个基本的LLM(大语言模型)应用。Eino中的`ChatModel`接口提供了与不同大模型服务(如OpenAI、Ollama等)交互的统一方式,支持生成完整响应、流式响应和绑定工具等功能。`Generate`方法用于生成完整的模型响应,`Stream`方法以流式方式返回结果,`BindTools`方法为模型绑定工具。此外,还介绍了通过`Option`模式配置模型参数及模板功能,支持基于前端和用户自定义的角色及Prompt。目前主要聚焦于`ChatModel`的`Generate`方法,后续将继续深入学习。
65 6
|
3天前
|
存储 开发框架 Devops
eino — 基于go语言的大模型应用开发框架(一)
Eino 是一个受开源社区优秀LLM应用开发框架(如LangChain和LlamaIndex)启发的Go语言框架,强调简洁性、可扩展性和可靠性。它提供了易于复用的组件、强大的编排框架、简洁明了的API、最佳实践集合及实用的DevOps工具,支持快速构建和部署LLM应用。Eino不仅兼容多种模型库(如OpenAI、Ollama、Ark),还提供详细的官方文档和活跃的社区支持,便于开发者上手使用。
44 6
|
3天前
|
存储 算法 Go
Go语言实战:错误处理和panic_recover之自定义错误类型
本文深入探讨了Go语言中的错误处理和panic/recover机制,涵盖错误处理的基本概念、自定义错误类型的定义、panic和recover的工作原理及应用场景。通过具体代码示例介绍了如何定义自定义错误类型、检查和处理错误值,并使用panic和recover处理运行时错误。文章还讨论了错误处理在实际开发中的应用,如网络编程、文件操作和并发编程,并推荐了一些学习资源。最后展望了未来Go语言在错误处理方面的优化方向。
|
2月前
|
存储 监控 算法
员工上网行为监控中的Go语言算法:布隆过滤器的应用
在信息化高速发展的时代,企业上网行为监管至关重要。布隆过滤器作为一种高效、节省空间的概率性数据结构,适用于大规模URL查询与匹配,是实现精准上网行为管理的理想选择。本文探讨了布隆过滤器的原理及其优缺点,并展示了如何使用Go语言实现该算法,以提升企业网络管理效率和安全性。尽管存在误报等局限性,但合理配置下,布隆过滤器为企业提供了经济有效的解决方案。
100 8
员工上网行为监控中的Go语言算法:布隆过滤器的应用
|
7天前
|
算法 安全 Go
公司局域网管理系统里的 Go 语言 Bloom Filter 算法,太值得深挖了
本文探讨了如何利用 Go 语言中的 Bloom Filter 算法提升公司局域网管理系统的性能。Bloom Filter 是一种高效的空间节省型数据结构,适用于快速判断元素是否存在于集合中。文中通过具体代码示例展示了如何在 Go 中实现 Bloom Filter,并应用于局域网的 IP 访问控制,显著提高系统响应速度和安全性。随着网络规模扩大和技术进步,持续优化算法和结合其他安全技术将是企业维持网络竞争力的关键。
24 2
公司局域网管理系统里的 Go 语言 Bloom Filter 算法,太值得深挖了
|
13天前
|
监控 Linux PHP
【02】客户端服务端C语言-go语言-web端PHP语言整合内容发布-优雅草网络设备监控系统-2月12日优雅草简化Centos stream8安装zabbix7教程-本搭建教程非docker搭建教程-优雅草solution
【02】客户端服务端C语言-go语言-web端PHP语言整合内容发布-优雅草网络设备监控系统-2月12日优雅草简化Centos stream8安装zabbix7教程-本搭建教程非docker搭建教程-优雅草solution
64 20
|
3天前
|
网络协议 算法 安全
Go语言的网络编程与TCP_UDP
Go语言由Google开发,旨在简单、高效和可扩展。本文深入探讨Go语言的网络编程,涵盖TCP/UDP的基本概念、核心算法(如滑动窗口、流量控制等)、最佳实践及应用场景。通过代码示例展示了TCP和UDP的实现,并讨论了其在HTTP、DNS等协议中的应用。最后,总结了Go语言网络编程的未来发展趋势与挑战,推荐了相关工具和资源。
|
11天前
|
存储 监控 算法
探秘员工泄密行为防线:基于Go语言的布隆过滤器算法解析
在信息爆炸时代,员工泄密行为对企业构成重大威胁。本文聚焦布隆过滤器(Bloom Filter)这一高效数据结构,结合Go语言实现算法,帮助企业识别和预防泄密风险。通过构建正常操作“指纹库”,实时监测员工操作,快速筛查可疑行为。示例代码展示了如何利用布隆过滤器检测异常操作,并提出优化建议,如调整参数、结合日志分析系统等,全方位筑牢企业信息安全防线,守护核心竞争力。
|
19天前
|
Go C语言
Go语言入门:分支结构
本文介绍了Go语言中的条件语句,包括`if...else`、`if...else if`和`switch`结构,并通过多个练习详细解释了它们的用法。`if...else`用于简单的条件判断;`if...else if`处理多条件分支;`switch`则适用于基于不同值的选择逻辑。特别地,文章还介绍了`fallthrough`关键字,用于优化重复代码。通过实例如判断年龄、奇偶数、公交乘车及成绩等级等,帮助读者更好地理解和应用这些结构。
37 15

热门文章

最新文章