大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，在網(wǎng)絡(luò)中，存在著大量網(wǎng)絡(luò)攻擊，相對(duì)安全就很重要了，這里跟大家介紹一種安全連接技術(shù)SSL。

SSL概述

概述

SSL協(xié)議是在Internet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。它能使客戶端與服務(wù)器之間的通信不被攻擊者竊聽(tīng)，并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證，還可選擇對(duì)客戶端進(jìn)行認(rèn)證。目前，SSL協(xié)議廣泛應(yīng)用于電子商務(wù)、網(wǎng)上銀行等領(lǐng)域。SSL具有以下優(yōu)點(diǎn)：

· 提供較高的安全性保證。SSL利用數(shù)據(jù)加密、身份驗(yàn)證和消息完整性驗(yàn)證機(jī)制，保證網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)陌踩浴?/p>

· 支持各種應(yīng)用層協(xié)議。雖然SSL設(shè)計(jì)的初衷是為了解決萬(wàn)維網(wǎng)安全性問(wèn)題，但是由于SSL位于應(yīng)用層和傳輸層之間，它可以為任何基于TCP可靠連接的應(yīng)用層協(xié)議提供安全性保證。

· 部署簡(jiǎn)單。目前SSL已經(jīng)成為網(wǎng)絡(luò)中用來(lái)鑒別網(wǎng)站和網(wǎng)頁(yè)瀏覽者身份，在瀏覽器使用者及Web服務(wù)器之間進(jìn)行加密通信的全球化標(biāo)準(zhǔn)。

SSL從以下幾方面提高了設(shè)備的安全性：

· 通過(guò)SSL協(xié)議保證合法客戶端可以安全地訪問(wèn)服務(wù)器，禁止非法的客戶端訪問(wèn)服務(wù)器。

· 客戶端與服務(wù)器之間交互的數(shù)據(jù)需要經(jīng)過(guò)加密和摘要，加密保證了傳輸?shù)陌踩?，摘要保證了數(shù)據(jù)的完整性，從而實(shí)現(xiàn)了對(duì)設(shè)備的安全管理。

· 為設(shè)備制定基于證書屬性的訪問(wèn)控制策略，對(duì)客戶端的訪問(wèn)權(quán)限進(jìn)行控制，進(jìn)一步避免了非法客戶對(duì)設(shè)備進(jìn)行攻擊。

基本概念

· CA（Certificate Authority）

CA是發(fā)放、管理、廢除數(shù)字證書的機(jī)構(gòu)。CA的作用是檢查數(shù)字證書持有者身份的合法性，并簽發(fā)數(shù)字證書（在證書上簽字），以防證書被偽造或篡改，以及對(duì)證書和密鑰進(jìn)行管理。國(guó)際上被廣泛信任的CA，被稱之為根CA。根CA可授權(quán)其它CA為其下級(jí)CA。CA的身份也需要證明，而證明信息在信任證書機(jī)構(gòu)文件中描述。

例如：CA1作為最上級(jí)CA也叫根證書，簽發(fā)下一級(jí)CA2證書，CA2又可以給它的下一級(jí)CA3簽發(fā)證書，以此下去，最終由CAn簽發(fā)服務(wù)器的證書。

如果服務(wù)器端的證書由CA3簽發(fā)，則在客戶端驗(yàn)證證書的過(guò)程從服務(wù)器端的證書有效性驗(yàn)證開始。先由CA3證書驗(yàn)證服務(wù)器端證書的有效性，如果通過(guò)則再由CA2證書驗(yàn)證CA3證書的有效性，最后由最上級(jí)CA1證書驗(yàn)證CA2證書的有效性。只有通過(guò)最上級(jí)CA證書即根證書的驗(yàn)證，服務(wù)器證書才會(huì)驗(yàn)證成功。

證書簽發(fā)過(guò)程與證書驗(yàn)證過(guò)程如圖1所示。

圖1證書簽發(fā)過(guò)程與證書驗(yàn)證過(guò)程示意圖

· 數(shù)字證書

數(shù)字證書實(shí)際上是存于計(jì)算機(jī)上的一個(gè)記錄，是由CA簽發(fā)的一個(gè)聲明，證明證書主體（證書申請(qǐng)者擁有了證書后即成為證書主體）與證書中所包含的公鑰的惟一對(duì)應(yīng)關(guān)系。數(shù)字證書中包括證書申請(qǐng)者的名稱及相關(guān)信息、申請(qǐng)者的公鑰、簽發(fā)數(shù)字證書的CA的數(shù)字簽名及數(shù)字證書的有效期等內(nèi)容。數(shù)字證書的作用使網(wǎng)上通信雙方的身份得到了互相驗(yàn)證，提高了通信的可靠性。

用戶必須事先獲取信息發(fā)送者的公鑰證書，以便對(duì)信息進(jìn)行解碼認(rèn)證，同時(shí)還需要CA發(fā)送給發(fā)送者的證書，以便用戶驗(yàn)證發(fā)送者的身份。

· 證書撤銷列表CRL（Certificate Revocation List）

CRL由CA發(fā)布，它指定了一套證書發(fā)布者認(rèn)為無(wú)效的證書。

數(shù)字證書的壽命是有限的，但CA可通過(guò)證書撤銷過(guò)程縮短證書的壽命。CRL指定的壽命通常比數(shù)字證書指定的壽命要短。由CA撤銷數(shù)字證書，意味著CA在數(shù)字證書正常到期之前撤銷允許使用密鑰對(duì)的有關(guān)聲明。在撤銷證書到期后，CRL中的有關(guān)數(shù)據(jù)被刪除，以縮短CRL列表的大小。

任何一個(gè)證書被廢除以后，證書機(jī)構(gòu)CA就要發(fā)布CRL來(lái)聲明該證書是無(wú)效的，并列出所有被廢除證書的簽發(fā)者和序列號(hào)、CRL的簽發(fā)日期、證書被撤銷的日期、CRL下次發(fā)布時(shí)間等信息。

CRL提供了一種檢驗(yàn)證書有效性的方式，當(dāng)終端實(shí)體需要驗(yàn)證對(duì)端證書合法性時(shí)，通常需要檢查對(duì)端證書的CRL，判斷該證書是否被撤銷。

協(xié)議安全機(jī)制

SSL協(xié)議提供的安全機(jī)制如下：

· 連接的私密性

SSL利用對(duì)稱加密算法對(duì)傳輸數(shù)據(jù)進(jìn)行加密，并利用密鑰交換算法—RSA（Rivest Shamir and Adleman，非對(duì)稱密鑰算法的一種）加密傳輸對(duì)稱密鑰算法中使用的密鑰。

· 身份驗(yàn)證機(jī)制

基于證書利用數(shù)字簽名方法對(duì)服務(wù)器和客戶端進(jìn)行身份驗(yàn)證。SSL服務(wù)器和客戶端通過(guò)公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）提供的機(jī)制從CA獲取證書。

· 內(nèi)容的可靠性

消息傳輸過(guò)程中使用基于密鑰的消息驗(yàn)證碼MAC（Message Authentication Code）來(lái)檢驗(yàn)消息的完整性。

MAC算法是將密鑰和任意長(zhǎng)度的數(shù)據(jù)轉(zhuǎn)換為固定長(zhǎng)度數(shù)據(jù)的一種算法。

§ 發(fā)送端在密鑰參與下，利用MAC算法計(jì)算出消息的MAC值，并將其加在消息之后發(fā)送給接收端。

§ 接收端利用同樣的密鑰和MAC算法計(jì)算出消息的MAC值，并與接收到的MAC值比較。

如果二者相同，則報(bào)文沒(méi)有改變。否則，報(bào)文在傳輸過(guò)程中被修改，接收端將丟棄該報(bào)文。