解读SSL ***技术(一)

最新推荐文章于 2024-03-10 13:55:49 发布

weixin_33756418

最新推荐文章于 2024-03-10 13:55:49 发布

阅读量142

点赞数

文章标签：后端操作系统网络

本文链接：https://blog.csdn.net/weixin_33756418/article/details/85029288

版权

就在当前大多数远程访问解决方案是利用基于IPSec安全协议的***网络的情况下，一种最新的研究表明近近呼90%的企业利用***进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信，另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用，属非因特网应用。这些90%的应用有研究表明可以利用一种更加简单的***技术——SSL ***来提供更加有效的解决方案。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

基于SSL协议的***远程访问方案的更加容易配置和管理，网络配置成本比起目前主流的IPSec ***还要低许多，所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现***通信了。

一、 SSL基础

***技术可以扩展企业的内部网络，使在外工作的员工和合作伙伴通过标准、公用的因特网访问他们的内部网络。它相对传统的专线网络方案的主要优势是各项费用将大大降低。专线网络需要在合作伙伴或者远程员工与公司总部之间有一个物理封闭的网络连接，或者采用远程拨号访问方案，或者采用T1之类的数字专线连接。***是一个非常实用的技术，它允许客户（包括员工）和合作伙伴利用标准的因特网进行廉价连接，它允许采用IPSec安全协议方案。事实上，在***技术中包括许多加密和安全协议，SSL就是其中一个，同样主流***应用的IPSec也是其中的一种。所以总的来说IPSec ***与SSL ***是***技术在两种不同的安全协议下实现***通信的两种平等方案。所以理解SSL ***的关键就在于理解SSL这一安全协议。

SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”，它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。有鉴于此，网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作“Form Signing”（表单签名）的功能，在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名，从而保证交易信息的不可否认性。综上所述，在电子商务中采用单一的SSL协议来保证交易的安全是不够的，但采用"SSL+表单签名"模式能够为电子商务提供较好的安全性保证。因它是一个应用层协议，所以通常SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。

SSL与IPSec安全协议一样，也可提供加密和身份验证安全方法。但是不管怎样，SSL协议只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密。因为绝大多数客户应用，是不必加密从一个系统到另一个系统的整个通道的，仅加密应用数据这一方案更显恰当。

“加密”和“安全”协议都是属于传输协议，它们是用来确保重要数据的安全转输。加密是任何安全协议的核心技术，它相对采用明文密码加密或者不经过加密数据有3方面的优势：

·数据的私密性：在传输过程中可以使数据保持隐藏，不被非法查看；

·数据的真实性和完整性：因为在有关数字加密、安全协议有关的技术可以确保数据在传输过程中不被修改或者损坏；

·连接的可靠性：数据加密的另一个数学特征是可以证明事件的发生。

在使用SSL协议的通信中，每一个应用是一个安全的独立体，而不像IPSec那样，操作与应用脱节。要使用SSL协议进行***通信，则所进行的远程通信应用必须能识别SSL技术，不过现在常见的应用一般都能识别SSL技术的，如IE、Netscape浏览器，OutLook、 Eudora 邮件应用等。

目前SSL ***的主要应用于采用***与远程网络进行通信的应用主要是基于Web的客户，这些Web应用目前主要是内部网页游览、电子邮件及其它基于Web的查询工作。

在SSL ***通信中通常还合用一种SSL Proxy（SSL代理）的技术来提高***服务器的通信性能和安全身验证能力，主要表面在以下两个方面：

（1）增加通信连接的性能

SSL本身就是一种非常快的协议，像所有加密协议一样，在安全的通信建立之前它必须采用专门的CPU来提高数学运算速度。其中的一个运算法则就是RSA，RSA运算法则是采用SSL协议在客户端和服务器端传递密钥的。许多Modem拨号Web服务器，大约每秒可经接受75个新的SSL连接，每一个新的连接RSA都必须完成翻译和检验工作。如果系统每秒所有接受超过75个，CPU的利用率就会超过可接受有极限而停止对新的网络连接请求进行响应。

为了提高服务器的接受能力，SSL代理可以采用SSL加速器技术。一个SSL加速器就像一个486SX/DXPC机上的核心处理器一样。SSL加速器就可以分担服务器CPU的计算任务，通过加速后，一部只能完成接受每秒75个SSL连接的服务器，就可达到接受每秒800个以上连接的性能。

你可能对如果在你的服务器有一个SSL加速器时，为什么还需要SSL代理产生疑惑。事实上理解起来非常简单，还是一个节省资金的问题。对于一个大、中型企业，或者网络服务提供商，通常可能有多台接入服务器，如果没有SSL代理技术，则你有多少服务器需要SSL加速器，就得需要大笔的资金为每一台服务器都配置SSL加速器S。SL代理的好处就是可以使多台服务器共用一个SSL加速器。

从安全代理到网络代理，例如你现在可以开通每钞800条SSL连接来访问你的资源，而只需要维护后端服务器的一个SSL代理连接。注意安全代理可以减少在后端服务器中打开的SLL连接数量，尽管服务器每秒的连接达到800个。这样的好处就是使你的服务器的SSL连接永远不会超出负荷。

（2）内置身份验证

商业SSL协议的另一个优势就是内置身份验证方法。SSL协议的身份验证方法包括在服务器端和客户端进行的密码身份验证方法。不管怎样，所有安全都是基于一个理论：客户端的私钥密码要求安全保管。如果这个密钥遭到破坏或者丢失，你就不可能再得到客户的信任。这样就需要在SSL顶级授权机构申请添加一个新的身份验证方法，以使您的用户或者客户承认你的身份。不管怎样，SSL代理都可为客户在连接后端网络资源前提供强大的身份验证。SSL代理可以执行比后端资源自身的身份验证方法更加强大的身份验证，许多Web服务器自身并不支持比SSL更加强大的身份验证方法。

二、SSL通信的工作原理
    SSL 协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过程通过3个元素来完成：
     （1）握手协议：这个协议负责被子用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法和认证方式，并使用公钥技术来生成共享密钥。
     （2）记录协议：这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块，还可以压缩，并产生一个MAC（消息认证代码），然后结果被加密并传输。接受方接受数据并对它解密，校验MAC，解压并重新组合，把结果提供给应用程序协议。
     （3）警告协议：这个协议用于每时示在什么时候发生了错误或两个主机之间的会话在什么时候终止。

SSL协议通信的握手步骤如下：

第1步，SSL客户机连接至SSL服务器，并要求服务器验证它自身的身份；

第2步，服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链，直到某个根证书颁发机构（CA）。通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性。

第3步，服务器发出一个请求，对客户端的证书进行验证，但是由于缺乏公钥体系结构，当今的大多数服务器不进行客户端认证。

第4步，协商用于加密的消息加密算法和用于完整性检查的哈希函数，通常由客户端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法。

第5步，客户机和服务器通过以下步骤生成会话密钥：

·客户机生成一个随机数，并使用服务器的公钥（从服务器证书中获取）对它加密，以送到服务器上。

·服务器用更加随机的数据（客户机的密钥可用时则使用客户机密钥，否则以明文方式发送数据）响应。

·使用哈希函数从随机数据中生成密钥。

三、SSL ***的主要优势和不足

上面我们介绍了有关SSL ***的一些基本情况，但是就像任何新技术的产生一样，相对传统的技术肯定会存在一些重要的优点，当然不足之处通常也是有的，下面就分别予以介绍。

1．SSL ***的主要优点