网络运维|安全连接SSL

| 2020-05-05 12:47:35    标签:

大家好,我是一枚从事IT外包网络运维工程师,在网络中,存在着大量网络攻击,相对安全就很重要了,这里跟大家介绍一种安全连接技术SSL。

SSL概述

概述

SSL协议是在Internet基础上提供的一种保证私密性的安全协议。它能使客户端与服务器之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户端进行认证。目前,SSL协议广泛应用于电子商务、网上银行等领域。SSL具有以下优点:

·提供较高的安全性保证。SSL利用数据加密、身份验证和消息完整性验证机制,保证网络上数据传输的安全性。

·支持各种应用层协议。虽然SSL设计的初衷是为了解决万维网安全性问题,但是由于SSL位于应用层和传输层之间,它可以为任何基于TCP可靠连接的应用层协议提供安全性保证。

·部署简单。目前SSL已经成为网络中用来鉴别网站和网页浏览者身份,在浏览器使用者及Web服务器之间进行加密通信的全球化标准。


SSL从以下几方面提高了设备的安全性:

·通过SSL协议保证合法客户端可以安全地访问服务器,禁止非法的客户端访问服务器。

·客户端与服务器之间交互的数据需要经过加密和摘要,加密保证了传输的安全性,摘要保证了数据的完整性,从而实现了对设备的安全管理。

·为设备制定基于证书属性的访问控制策略,对客户端的访问权限进行控制,进一步避免了非法客户对设备进行攻击。

基本概念

·CA(Certificate Authority)

CA是发放、管理、废除数字证书的机构。CA的作用是检查数字证书持有者身份的合法性,并签发数字证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。国际上被广泛信任的CA,被称之为根CA。根CA可授权其它CA为其下级CA。CA的身份也需要证明,而证明信息在信任证书机构文件中描述。

例如:CA1作为最上级CA也叫根证书,签发下一级CA2证书,CA2又可以给它的下一级CA3签发证书,以此下去,最终由CAn签发服务器的证书。

如果服务器端的证书由CA3签发,则在客户端验证证书的过程从服务器端的证书有效性验证开始。先由CA3证书验证服务器端证书的有效性,如果通过则再由CA2证书验证CA3证书的有效性,最后由最上级CA1证书验证CA2证书的有效性。只有通过最上级CA证书即根证书的验证,服务器证书才会验证成功。

证书签发过程与证书验证过程如图1所示。

图1  证书签发过程与证书验证过程示意图 

·数字证书

数字证书实际上是存于计算机上的一个记录,是由CA签发的一个声明,证明证书主体(证书申请者拥有了证书后即成为证书主体)与证书中所包含的公钥的惟一对应关系。数字证书中包括证书申请者的名称及相关信息、申请者的公钥、签发数字证书的CA的数字签名及数字证书的有效期等内容。数字证书的作用使网上通信双方的身份得到了互相验证,提高了通信的可靠性。

用户必须事先获取信息发送者的公钥证书,以便对信息进行解码认证,同时还需要CA发送给发送者的证书,以便用户验证发送者的身份。

·证书撤销列表CRL(Certificate Revocation List)

CRL由CA发布,它指定了一套证书发布者认为无效的证书。

数字证书的寿命是有限的,但CA可通过证书撤销过程缩短证书的寿命。CRL指定的寿命通常比数字证书指定的寿命要短。由CA撤销数字证书,意味着CA在数字证书正常到期之前撤销允许使用密钥对的有关声明。在撤销证书到期后,CRL中的有关数据被删除,以缩短CRL列表的大小。

任何一个证书被废除以后,证书机构CA就要发布CRL来声明该证书是无效的,并列出所有被废除证书的签发者和序列号、CRL的签发日期、证书被撤销的日期、CRL下次发布时间等信息。

CRL提供了一种检验证书有效性的方式,当终端实体需要验证对端证书合法性时,通常需要检查对端证书的CRL,判断该证书是否被撤销。


协议安全机制

SSL协议提供的安全机制如下:

·连接的私密性

SSL利用对称加密算法对传输数据进行加密,并利用密钥交换算法—RSA(Rivest Shamir and Adleman,非对称密钥算法的一种)加密传输对称密钥算法中使用的密钥。

·身份验证机制

基于证书利用数字签名方法对服务器和客户端进行身份验证。SSL服务器和客户端通过公钥基础设施PKI(Public Key Infrastructure)提供的机制从CA获取证书。

·内容的可靠性

消息传输过程中使用基于密钥的消息验证码MAC(Message Authentication Code)来检验消息的完整性。

MAC算法是将密钥和任意长度的数据转换为固定长度数据的一种算法。

§发送端在密钥参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收端。

§接收端利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较。

如果二者相同,则报文没有改变。否则,报文在传输过程中被修改,接收端将丢弃该报文。


以上文章由北京艾锑无限科技发展有限公司整理