SSL技術背景
隨著Internet的普及,各種電子商務活動和電子政務活動發展迅速,數字證書也開始應用到各個領域中,說到SSL大家可能有點陌生,但是以SSL進行加密的應用層協議HTTPS大家應該就比較熟悉了,在標準HTTP協議下,客戶端與服務端直接通過TCP進行連接,以明文方式互動資料,當傳輸一些普通網頁資料時并沒有什么問題,但是若用戶在瀏覽網頁的程序中,需要向服務端傳輸一些如密碼,真實姓名,住址等敏感資訊,我們不希望敏感資訊被他人獲取,也不希望其遭到篡改或偽造,
舉一個網上購物的例子:B用戶此時在瀏覽A公司的站點,這個站點正在出售香水,B用戶只需向站點A提供一個包含下單數量,識訓地址和支付卡號等資訊的訂單,就能順利收到A公司寄來的香水,但是如果在此程序中不采取一些安全措施,這個購物程序也許并不能順利進行,一個安全的通信需要滿足三個特性:機密性、資料完整性、身份認證,三者缺一不可,如果沒有機密性,入侵者可能截取B的訂單并獲取他的支付密碼等敏感資訊;如果不能保證資料完整性,入侵者可以隨便篡改B的訂單資訊,比如將識訓地址改成自己地址;如果沒有身份認證,這個聲稱A公司的網站實際可能就是一個專門收集用戶資訊的釣魚網站,
SSL
SSL作業程序
SSL協議作業主要分為三個階段,分別是握手連接,密鑰匯出,資料傳輸,
第一階段
握手連接
通信雙方需要完成三個作業:
01
建立一條TCP連接
客戶端B發起一條去往服務端A的TCP連接,隨后所有的資料傳輸都基于這條TCP連接,
02
驗證服務端身份
TCP建立完成后,客戶端B向服務端A發送Hello報文,服務端A使用其證書回應,客戶端B收到證書后,可以明確通信服務端身份的合法性,
03
分發pre-master key
客戶端B從收到的證書中提取公鑰,并本地結合Hello報文中的亂數生成pre-master key,使用服務端A的公鑰加密pre-master key,發送給服務端A,服務端A使用本地私鑰解密,獲取pre-master key,從而實作通信雙方pre-master key的分發,這一程序也稱為“數字信封”,
第二階段
密鑰匯出
通信雙方使用相同方法,使用pre-master key結合密鑰互動演算法和Hello報文中的亂數再次生成兩種對稱密鑰master key,作用分別如下:
兩種密鑰作用分別如下
會話加密密鑰:用來保護報文傳輸程序中的資料安全,
HMAC密鑰:用來檢查報文在傳輸程序中是否被篡改,
生成四個密鑰分別如下:(EA=EB,MA=MB)
EA:用于從A到B發送資料的會話加密密鑰
MA:用于從A到B發送資料的會話HMAC密鑰
EB:用于從B到A發送資料的會話加密密鑰
MB:用于從B到A發送資料的會話HMAC密鑰
第三階段
資料傳輸
本階段主要包含三個程序:
01
資料加解密
當完成SSL隧道建立后,所有的安全協商包括密鑰互動和資料傳輸都處于一個安全的連接中,并且客戶端也完成了服務端的合法身份檢查,通信雙方在不安全的環境中建立出一條安全連接,此時客戶端通過SSL隧道傳輸資料時,對資料進行加密處理,服務端收到加密后的資料,通過對稱密鑰進行解密,從而獲取資料實際傳輸內容,
02
完整性檢查
SSL資料流被分割成多個記錄,針對每個記錄附加一個加密密鑰和HMAC密鑰,客戶端B將加密后的資料包發送給服務端A,服務端A收到資料包后,分別進行資料解密和HMAC完整性檢查,查看資料包在傳輸程序中是否被篡改,
03
防重放檢查
發送方需要維護一個計數器,每發送一條記錄,則將自己的計數器增1,并且在計算HMAC值時,需要將該序號包含在HMAC記錄中,接收方也會跟蹤自己收到所有記錄的序號,并也記錄在HMAC校驗中,如果兩者計算相同,那么則說明SSL記錄在傳輸程序中并沒有被惡意篡改順序,
SSL
SSL應用場景
SSL技術作為目前廣泛應用的一種傳輸加密產品,適用場景多,那么舉例以下幾大應用場景:
通過部署企業網站安全加密,可以激活企業綠色安全標識域名,為潛在客戶帶來更可信的訪問體驗;通過部署企業應用安全加密,越來越多的中小企業可以將OA、CRM、ERP等系統部署在云端,從而享受云計算的高效與便捷性;通過部署支付體系安全加密,避免非法用戶對支付資訊的劫持或欺詐;通過部署政務資訊安全加密,避免釣魚網站或資訊劫持,可以更加保證政務平臺的公信力,通過部署SSL VPN技術,可以讓遠程用戶安全便捷訪問公司內網服務器,保證正常業務穩定運行,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/295095.html
標籤:其他
上一篇:ctfshow-WEB-web2