大家好，我是一枚從事IT外包的網絡運維工程師，在網絡中，存在著大量網絡攻擊，相對安全就很重要了，這里跟大家介紹一種安全連接技術SSL。

SSL概述

概述

SSL協議是在Internet基礎上提供的一種保證私密性的安全協議。它能使客戶端與服務器之間的通信不被攻擊者竊聽，并且始終對服務器進行認證，還可選擇對客戶端進行認證。目前，SSL協議廣泛應用于電子商務、網上銀行等領域。SSL具有以下優點：

· 提供較高的安全性保證。SSL利用數據加密、身份驗證和消息完整性驗證機制，保證網絡上數據傳輸的安全性。

· 支持各種應用層協議。雖然SSL設計的初衷是為了解決萬維網安全性問題，但是由于SSL位于應用層和傳輸層之間，它可以為任何基于TCP可靠連接的應用層協議提供安全性保證。

· 部署簡單。目前SSL已經成為網絡中用來鑒別網站和網頁瀏覽者身份，在瀏覽器使用者及Web服務器之間進行加密通信的全球化標準。

SSL從以下幾方面提高了設備的安全性：

· 通過SSL協議保證合法客戶端可以安全地訪問服務器，禁止非法的客戶端訪問服務器。

· 客戶端與服務器之間交互的數據需要經過加密和摘要，加密保證了傳輸的安全性，摘要保證了數據的完整性，從而實現了對設備的安全管理。

· 為設備制定基于證書屬性的訪問控制策略，對客戶端的訪問權限進行控制，進一步避免了非法客戶對設備進行攻擊。

基本概念

· CA（Certificate Authority）

CA是發放、管理、廢除數字證書的機構。CA的作用是檢查數字證書持有者身份的合法性，并簽發數字證書（在證書上簽字），以防證書被偽造或篡改，以及對證書和密鑰進行管理。國際上被廣泛信任的CA，被稱之為根CA。根CA可授權其它CA為其下級CA。CA的身份也需要證明，而證明信息在信任證書機構文件中描述。

例如：CA1作為最上級CA也叫根證書，簽發下一級CA2證書，CA2又可以給它的下一級CA3簽發證書，以此下去，最終由CAn簽發服務器的證書。

如果服務器端的證書由CA3簽發，則在客戶端驗證證書的過程從服務器端的證書有效性驗證開始。先由CA3證書驗證服務器端證書的有效性，如果通過則再由CA2證書驗證CA3證書的有效性，最后由最上級CA1證書驗證CA2證書的有效性。只有通過最上級CA證書即根證書的驗證，服務器證書才會驗證成功。

證書簽發過程與證書驗證過程如圖1所示。

圖1證書簽發過程與證書驗證過程示意圖

· 數字證書

數字證書實際上是存于計算機上的一個記錄，是由CA簽發的一個聲明，證明證書主體（證書申請者擁有了證書后即成為證書主體）與證書中所包含的公鑰的惟一對應關系。數字證書中包括證書申請者的名稱及相關信息、申請者的公鑰、簽發數字證書的CA的數字簽名及數字證書的有效期等內容。數字證書的作用使網上通信雙方的身份得到了互相驗證，提高了通信的可靠性。

用戶必須事先獲取信息發送者的公鑰證書，以便對信息進行解碼認證，同時還需要CA發送給發送者的證書，以便用戶驗證發送者的身份。

· 證書撤銷列表CRL（Certificate Revocation List）

CRL由CA發布，它指定了一套證書發布者認為無效的證書。

數字證書的壽命是有限的，但CA可通過證書撤銷過程縮短證書的壽命。CRL指定的壽命通常比數字證書指定的壽命要短。由CA撤銷數字證書，意味著CA在數字證書正常到期之前撤銷允許使用密鑰對的有關聲明。在撤銷證書到期后，CRL中的有關數據被刪除，以縮短CRL列表的大小。

任何一個證書被廢除以后，證書機構CA就要發布CRL來聲明該證書是無效的，并列出所有被廢除證書的簽發者和序列號、CRL的簽發日期、證書被撤銷的日期、CRL下次發布時間等信息。

CRL提供了一種檢驗證書有效性的方式，當終端實體需要驗證對端證書合法性時，通常需要檢查對端證書的CRL，判斷該證書是否被撤銷。

協議安全機制

SSL協議提供的安全機制如下：

· 連接的私密性

SSL利用對稱加密算法對傳輸數據進行加密，并利用密鑰交換算法—RSA（Rivest Shamir and Adleman，非對稱密鑰算法的一種）加密傳輸對稱密鑰算法中使用的密鑰。

· 身份驗證機制

基于證書利用數字簽名方法對服務器和客戶端進行身份驗證。SSL服務器和客戶端通過公鑰基礎設施PKI（Public Key Infrastructure）提供的機制從CA獲取證書。

· 內容的可靠性

消息傳輸過程中使用基于密鑰的消息驗證碼MAC（Message Authentication Code）來檢驗消息的完整性。

MAC算法是將密鑰和任意長度的數據轉換為固定長度數據的一種算法。

§ 發送端在密鑰參與下，利用MAC算法計算出消息的MAC值，并將其加在消息之后發送給接收端。

§ 接收端利用同樣的密鑰和MAC算法計算出消息的MAC值，并與接收到的MAC值比較。

如果二者相同，則報文沒有改變。否則，報文在傳輸過程中被修改，接收端將丟棄該報文。