網絡運維|安全連接SSL
2020-05-05 18:46 作者:艾銻無限 瀏覽量:
大家好,我是一枚從事IT外包的網絡運維工程師,在網絡中,存在著大量網絡攻擊,相對安全就很重要了,這里跟大家介紹一種安全連接技術SSL。
SSL概述
概述
SSL協議是在Internet基礎上提供的一種保證私密性的安全協議。它能使客戶端與服務器之間的通信不被攻擊者竊聽,并且始終對服務器進行認證,還可選擇對客戶端進行認證。目前,SSL協議廣泛應用于電子商務、網上銀行等領域。SSL具有以下優點:
· 提供較高的安全性保證。SSL利用數據加密、身份驗證和消息完整性驗證機制,保證網絡上數據傳輸的安全性。
· 支持各種應用層協議。雖然SSL設計的初衷是為了解決萬維網安全性問題,但是由于SSL位于應用層和傳輸層之間,它可以為任何基于TCP可靠連接的應用層協議提供安全性保證。
· 部署簡單。目前SSL已經成為網絡中用來鑒別網站和網頁瀏覽者身份,在瀏覽器使用者及Web服務器之間進行加密通信的全球化標準。
SSL從以下幾方面提高了設備的安全性:
· 通過SSL協議保證合法客戶端可以安全地訪問服務器,禁止非法的客戶端訪問服務器。
· 客戶端與服務器之間交互的數據需要經過加密和摘要,加密保證了傳輸的安全性,摘要保證了數據的完整性,從而實現了對設備的安全管理。
· 為設備制定基于證書屬性的訪問控制策略,對客戶端的訪問權限進行控制,進一步避免了非法客戶對設備進行攻擊。
基本概念
· CA(Certificate Authority)CA是發放、管理、廢除數字證書的機構。CA的作用是檢查數字證書持有者身份的合法性,并簽發數字證書(在證書上簽字),以防證書被偽造或篡改,以及對證書和密鑰進行管理。國際上被廣泛信任的CA,被稱之為根CA。根
CA可授權其它CA為其下級CA。CA的身份也需要證明,而證明信息在信任證書機構文件中描述。
例如:CA1作為最上級CA也叫根證書,簽發下一級CA2證書,CA2又可以給它的下一級CA3簽發證書,以此下去,最終由CAn簽發服務器的證書。
如果服務器端的證書由CA3簽發,則在客戶端驗證證書的過程從服務器端的證書有效性驗證開始。先由CA3證書驗證服務器端證書的有效性,如果通過則再由CA2證書驗證CA3證書的有效性,最后由最上級CA1證書驗證CA2證書
的有效性。只有通過最上級CA證書即根證書的驗證,服務器證書才會驗證成功。
證書簽發過程與證書驗證過程如圖1所示。
圖1 證書簽發過程與證書驗證過程示意圖
· 數字證書
數字證書實際上是存于計算機上的一個記錄,是由CA簽發的一個聲明,證明證書主體(證書申請者擁有了證書后即成為證書主體)與證書中所包含的公鑰的惟一對應關系。數字證書中包括證書申請者的名稱及相關信息、申請者
的公鑰、簽發數字證書的CA的數字簽名及數字證書的有效期等內容。數字證書的作用使網上通信雙方的身份得到了互相驗證,提高了通信的可靠性。
用戶必須事先獲取信息發送者的公鑰證書,以便對信息進行解碼認證,同時還需要CA發送給發送者的證書,以便用戶驗證發送者的身份。
· 證書撤銷列表CRL(Certificate Revocation List)
CRL由CA發布,它指定了一套證書發布者認為無效的證書。
數字證書的壽命是有限的,但CA可通過證書撤銷過程縮短證書的壽命。CRL指定的壽命通常比數字證書指定的壽命要短。由CA撤銷數字證書,意味著CA在數字證書正常到期之前撤銷允許使用密鑰對的有關聲明。在撤銷證書到
期后,CRL中的有關數據被刪除,以縮短CRL列表的大小。
任何一個證書被廢除以后,證書機構CA就要發布CRL來聲明該證書是無效的,并列出所有被廢除證書的簽發者和序列號、CRL的簽發日期、證書被撤銷的日期、CRL下次發布時間等信息。
CRL提供了一種檢驗證書有效性的方式,當終端實體需要驗證對端證書合法性時,通常需要檢查對端證書的CRL,判斷該證書是否被撤銷。
協議安全機制
SSL協議提供的安全機制如下:· 連接的私密性
SSL利用對稱加密算法對傳輸數據進行加密,并利用密鑰交換算法—RSA(Rivest Shamir and Adleman,非對稱密鑰算法的一種)加密傳輸對稱密鑰算法中使用的密鑰。
· 身份驗證機制
基于證書利用數字簽名方法對服務器和客戶端進行身份驗證。SSL服務器和客戶端通過公鑰基礎設施PKI(Public Key Infrastructure)提供的機制從CA獲取證書。
· 內容的可靠性
消息傳輸過程中使用基于密鑰的消息驗證碼MAC(Message Authentication Code)來檢驗消息的完整性。
MAC算法是將密鑰和任意長度的數據轉換為固定長度數據的一種算法。
§ 發送端在密鑰參與下,利用MAC算法計算出消息的MAC值,并將其加在消息之后發送給接收端。
§ 接收端利用同樣的密鑰和MAC算法計算出消息的MAC值,并與接收到的MAC值比較。
如果二者相同,則報文沒有改變。否則,報文在傳輸過程中被修改,接收端將丟棄該報文。
艾銻無限科技專業:IT外包、企業外包、北京IT外包、桌面運維、弱電工程、網站開發、wifi覆蓋方案,網絡外包,網絡管理服務,網管外包,綜合布線,服務器運維服務,中小企業it外包服務,服務器維保公司,硬件運維,網站運維服務
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉