魏小梅 傅林

國網(wǎng)安徽省電力有限公司宿州供電公司 安徽 宿州 234000

引言

SSL指的是安全套接字層，是一種利用數(shù)據(jù)加密技術(shù)來保障互聯(lián)網(wǎng)信息傳輸安全的技術(shù)，在應(yīng)用過程中能夠利用數(shù)據(jù)加密預(yù)防黑客竊聽；利用信息摘要檢測通信完整性；利用數(shù)字證書技術(shù)檢驗(yàn)通信雙方身份真實(shí)可靠。使用SSL技術(shù)能夠保護(hù)互聯(lián)網(wǎng)用戶的敏感數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)陌踩?，個(gè)人網(wǎng)站、企業(yè)網(wǎng)站都可以使用，是一種較為方便快捷且搭建安全的網(wǎng)絡(luò)安全保護(hù)技術(shù)，對(duì)用戶個(gè)人隱私信息和商業(yè)信息都有很好的加密傳輸效果。

1 SSL加密技術(shù)概述

SSL加密技術(shù)屬于一種保護(hù)網(wǎng)絡(luò)安全的網(wǎng)絡(luò)協(xié)議，能夠保護(hù)數(shù)據(jù)在傳輸過程中不會(huì)受到網(wǎng)絡(luò)不法分子的竊取與破壞。這是一種安全套階層網(wǎng)絡(luò)保護(hù)協(xié)議，網(wǎng)站需要獲取相關(guān)機(jī)構(gòu)頒發(fā)的證書，并安裝在網(wǎng)站上，才能確保用戶在網(wǎng)絡(luò)瀏覽過程中與網(wǎng)絡(luò)服務(wù)器之間交換的所有信息都能被加密。若客戶在使用網(wǎng)站的過程中提交了有關(guān)個(gè)人隱私或其他內(nèi)容的敏感信息，SSL網(wǎng)絡(luò)協(xié)議就會(huì)對(duì)這些用戶數(shù)據(jù)自動(dòng)進(jìn)行加密，能夠避免用戶數(shù)據(jù)被惡意竊取或是破壞，包括互聯(lián)網(wǎng)竊聽和黑客攻擊等都能被防御。

用戶在登錄互聯(lián)網(wǎng)時(shí)，在瀏覽器上瀏覽網(wǎng)頁，若看到網(wǎng)址前方有一個(gè)鎖形狀的標(biāo)記，則表明該網(wǎng)頁受到SSL網(wǎng)絡(luò)協(xié)議的加密，在這一網(wǎng)站上瀏覽信息或是輸入內(nèi)容都是非常安全的，能夠保證個(gè)人隱私信息不會(huì)向外泄露。部分網(wǎng)頁的網(wǎng)址顯示HTTP：//，這是HTTP over SSL的簡稱，這也能標(biāo)明這一網(wǎng)頁已經(jīng)被SSL協(xié)議進(jìn)行了加密處理。但SSL協(xié)議的加密原理并不在于保護(hù)數(shù)據(jù)信息本身，而是保證對(duì)整個(gè)設(shè)備的數(shù)據(jù)中心進(jìn)行加密，保證其運(yùn)行安全，能夠用于監(jiān)控企業(yè)的數(shù)據(jù)中心用戶流量往來，這也就意味著技術(shù)人員和管理人員可以將加密協(xié)議與加密裝置直接安裝在網(wǎng)站中，需要使用時(shí)將其開啟，從而達(dá)到為所有數(shù)據(jù)信息的安全提供保障的目的。

2 網(wǎng)絡(luò)協(xié)議在網(wǎng)絡(luò)安全保護(hù)中的作用

安全套間層協(xié)議本身也是一種基于Web應(yīng)用的安全協(xié)議，SSL協(xié)議能夠指定在一種應(yīng)用程序協(xié)議中提供數(shù)據(jù)安全性分層的機(jī)制，在應(yīng)用過程中，SSL協(xié)議能夠?qū)崿F(xiàn)的基礎(chǔ)功能與其他網(wǎng)絡(luò)安全協(xié)議較為一致。

首先是要具有很高的保密性，也就是搭建SSL協(xié)議的網(wǎng)站在為用戶提供服務(wù)的過程中，能夠保證傳輸?shù)臄?shù)據(jù)信息內(nèi)容不被泄露，不被竊取，能夠有效維護(hù)用戶的個(gè)人利益和隱私信息，能夠保證信息通過指定的路徑發(fā)送給指定的終端或用戶，這樣就能防止其他還有特殊目的的人在網(wǎng)站中攔截竊聽，能夠最大程度保證數(shù)據(jù)信息的安全。

其次則是保證數(shù)據(jù)信息在發(fā)送過程中始終處于完整狀態(tài)，保證指定用戶能夠接收到完整全面的信息，將數(shù)據(jù)內(nèi)容原封不動(dòng)的傳輸出去，SSL協(xié)議能夠?qū)⑼ㄐ诺膬?nèi)容按照其自身的算法和組網(wǎng)結(jié)構(gòu)進(jìn)行加密，將其生成密碼文件是數(shù)據(jù)信息轉(zhuǎn)換成密文模式進(jìn)行傳輸，在接收端再對(duì)通信內(nèi)容進(jìn)行破譯，破譯后的內(nèi)容與加密前的內(nèi)容應(yīng)當(dāng)完全一致，這樣既能保證數(shù)據(jù)信息傳輸安全，又能保證數(shù)據(jù)信息傳輸完整。

最后則是為使用者增加身份認(rèn)證，從而防止不法分子和非法通信者在信息傳輸途中竊取信息或是攔截信息。在通信時(shí)，網(wǎng)絡(luò)安全協(xié)議能夠?qū)νㄐ烹p方的身份進(jìn)行確認(rèn)與判定，若雙方有通信需求，網(wǎng)絡(luò)協(xié)議需要對(duì)雙方的身份進(jìn)行鑒別，保證信息由一方只傳輸給另一方，避免在此途中有非法分子介入或是防止發(fā)送接收信息的雙方由其他人冒充身份?？偠灾W(wǎng)絡(luò)安全協(xié)議能夠防止通信內(nèi)容泄露，保證通信內(nèi)容完整，并確保通信雙方身份合法合規(guī)。

3 SSL協(xié)議在網(wǎng)絡(luò)安全保護(hù)中的應(yīng)用

3.1 SSL證書的分類

目前常見的SSL證書分為3種類型。第一種是DV SSL證書，這種SSL證書屬于簡易型的網(wǎng)絡(luò)驗(yàn)證，只能夠?qū)W(wǎng)站中的機(jī)密信息進(jìn)行加密，只通過驗(yàn)證網(wǎng)站域名所有權(quán)的方式對(duì)網(wǎng)站信息進(jìn)行保護(hù)，并不能向使用者證明網(wǎng)站的身份，也不能對(duì)使用者的更多信息進(jìn)行保密。第二種是OV SSL證書，這種證書需要對(duì)網(wǎng)站的所有單位正式身份進(jìn)行驗(yàn)證，這樣就能再對(duì)網(wǎng)站全部機(jī)密信息進(jìn)行加密的同時(shí)，向使用者證明網(wǎng)站背后的真實(shí)身份，也能夠使使用者對(duì)網(wǎng)站有更多了解，是標(biāo)準(zhǔn)型的SSL證書。第三種是EV SSL證書，這種證書是網(wǎng)絡(luò)安全保護(hù)領(lǐng)域內(nèi)安全級(jí)別最高的SSL證書，其辦理與頒發(fā)都遵循全球統(tǒng)一的身份驗(yàn)證標(biāo)準(zhǔn)，按照最嚴(yán)格的規(guī)格進(jìn)行檢測與評(píng)估，安全系數(shù)最高，但申請(qǐng)也最困難。

因此在日常生活中較為常見的正式證書通常是DV SSL證書和OV SSL證書，這兩種證書的申請(qǐng)門檻比較低，大多數(shù)網(wǎng)站都能夠辦理，但這也使得許多欺詐網(wǎng)站濫用證書欺騙使用者。DV SSL證書由于能夠被個(gè)人網(wǎng)站辦理，因此更加容易被低端欺詐網(wǎng)站隨意使用，目前許多網(wǎng)站通過為證書綁定IP地址的方式來進(jìn)行再次加密提高SSL證書對(duì)網(wǎng)絡(luò)安全的保護(hù)作用，這樣既能夠保證SSL證書可以溯源，又能夠預(yù)防欺詐網(wǎng)站的攻擊。

3.2 SSL證書綁定IP地址

為了進(jìn)一步提高網(wǎng)絡(luò)保護(hù)的作用，提高網(wǎng)絡(luò)使用的安全性，無論使用DV SSL證書還是OV SSL證書，都可以通過綁定IP地址的方式來對(duì)用戶信息進(jìn)行更深層次的保密。DV SSL證書的申請(qǐng)非常簡便，在綁定IP地址時(shí)操作也更加便利，只需要對(duì)IP地址的管理權(quán)限進(jìn)行驗(yàn)證即可綁定成功，也能夠支持多個(gè)IP地址同時(shí)綁定在一個(gè)證書上，整個(gè)頒發(fā)流程只需要30min左右即可辦理完成。而OV SSL證書多數(shù)是企業(yè)、公司等單位性質(zhì)申請(qǐng)使用，相比于DV SSL證書而言申請(qǐng)流程更加復(fù)雜，需要對(duì)網(wǎng)站所有者的真實(shí)身份進(jìn)行驗(yàn)證與審核。在申請(qǐng)IP地址綁定時(shí)，不僅要驗(yàn)證IP地址的管理權(quán)限，還要對(duì)企業(yè)單位的真實(shí)身份進(jìn)行更深層層次的驗(yàn)證。以O(shè)V SSL證書為基礎(chǔ)取得的IP地址綁定審核更嚴(yán)格，遞交申請(qǐng)后需要等待1-3個(gè)工作日才能審批完成，取得的證書也比DV SSL證書更加高級(jí)。

而公網(wǎng)IP地址本身作為互聯(lián)網(wǎng)入口，只要能使用互聯(lián)網(wǎng)的地方就存在IP地址，因此使用場景和涉及的范圍更廣，僅僅通過保護(hù)SSL證書或是利用協(xié)議對(duì)網(wǎng)絡(luò)信息進(jìn)行加密，顯然是不完善的，對(duì)IP地址也提供同樣的安全防護(hù)才能夠進(jìn)一步提高網(wǎng)絡(luò)安全等級(jí)。在對(duì)SSL證書進(jìn)行IP地址綁定的過程中，SSL證書的使用權(quán)限也得到了限制，這樣一來IP地址就會(huì)被SSL證書加密，IP地址就取得了一層網(wǎng)絡(luò)協(xié)議保護(hù)。已經(jīng)與IP地址綁定的SSL證書幾乎不會(huì)出現(xiàn)不受網(wǎng)站信任的提示，這就證明SSL證書與IP地址的綁定能夠在保證網(wǎng)絡(luò)安全的同時(shí)保證IP地址的安全，同時(shí)也能夠?yàn)镾SL證書提供溯源。因此通過SSL證書與IP地址綁定的方式能夠進(jìn)一步加強(qiáng)SSL網(wǎng)絡(luò)協(xié)議對(duì)網(wǎng)絡(luò)安全的保障作用，能夠?yàn)槭褂谜咛峁└踩男畔鬏敪h(huán)境。

3.3 SSL安全通道創(chuàng)建

SSL協(xié)議對(duì)網(wǎng)站進(jìn)行加密后，能夠抵抗黑客和不法分子的攔截，使數(shù)據(jù)的安全得到了保障，而SSL功能本身是在瀏覽網(wǎng)頁的過程中為數(shù)據(jù)和信息的傳輸創(chuàng)建一個(gè)安全通道，保證用戶的敏感數(shù)據(jù)和通信信息能夠得到安全防護(hù)。具有SSL功能的瀏覽器和服務(wù)器能夠利用數(shù)字證書確認(rèn)息，傳輸雙方的身份。網(wǎng)站需要從第三方機(jī)構(gòu)獲取相應(yīng)的數(shù)字證書并生成可以解密數(shù)據(jù)信息的公共密鑰，協(xié)議通過對(duì)數(shù)字證書的解碼來完成身份認(rèn)證，瀏覽器在完成初步認(rèn)證之后會(huì)向服務(wù)器發(fā)送48字節(jié)長度的密鑰，這個(gè)密鑰是利用服務(wù)器公共密鑰進(jìn)行再次加密的主密鑰，可以實(shí)現(xiàn)Web服務(wù)器利用自己私有密鑰解密的功能，從而使密鑰只在安全瀏覽范圍內(nèi)進(jìn)行加密與解密處理，從而保證數(shù)據(jù)信息的傳輸也處于完全安全的范圍之內(nèi)。

瀏覽器和服務(wù)器在解密完成之后，會(huì)通過對(duì)話的方式將數(shù)據(jù)加密解密的過程生成一個(gè)對(duì)稱的加密集合，加密算法生成的每次對(duì)話都會(huì)進(jìn)行相應(yīng)的協(xié)議配置與通信協(xié)商，目前較為廣泛使用的加密標(biāo)準(zhǔn)為DES和RC4算法。經(jīng)歷以上通信與協(xié)商啟動(dòng)建立過程的客戶端和web服務(wù)器之間會(huì)生成更安全的協(xié)議保護(hù)的網(wǎng)絡(luò)信息安全通道數(shù)據(jù)能夠在該通道內(nèi)進(jìn)行加密傳輸，能夠保證不被互聯(lián)網(wǎng)不法分子竊取信息，也能夠保證信息準(zhǔn)確傳輸?shù)较鄳?yīng)的安全身份用戶手中，在進(jìn)行數(shù)據(jù)傳輸時(shí)，即便有黑客使用嗅探軟件和竊聽軟件對(duì)信息進(jìn)行攔截和分析，也不能破譯安全密鑰，從而保證數(shù)據(jù)信息在傳輸過程中的完整性與安全性。SSL協(xié)議在加密保護(hù)時(shí)只需要對(duì)網(wǎng)站中的關(guān)鍵部分進(jìn)行防護(hù)，而不需要對(duì)所有Web端點(diǎn)作加密驗(yàn)證處理，這是為了利用信息傳輸通道效果實(shí)現(xiàn)節(jié)能和提高效率，可以說目前使用SSL證書對(duì)網(wǎng)站加密是目前解決網(wǎng)站信息傳輸安全問題的最有效的方式[1]。

3.4 SSL協(xié)議的結(jié)構(gòu)模型創(chuàng)建

SSL協(xié)議在創(chuàng)建過程中需要與網(wǎng)站持有者和使用者之間進(jìn)行聯(lián)通，因此協(xié)議并不是一個(gè)單獨(dú)創(chuàng)建的協(xié)議，而是由4個(gè)子協(xié)議共同組成，位于tcp層和應(yīng)層之間的結(jié)構(gòu)性協(xié)議，在應(yīng)用層數(shù)據(jù)可以直接傳輸?shù)絊SL層進(jìn)行封裝與加密，通過SSL協(xié)議的安全運(yùn)輸通道進(jìn)行信息傳輸，SSL通信的每一個(gè)連接都會(huì)關(guān)聯(lián)另一個(gè)對(duì)話實(shí)現(xiàn)息數(shù)據(jù)的點(diǎn)對(duì)點(diǎn)連接和傳輸，為服務(wù)器和客戶端之間創(chuàng)建唯一的關(guān)聯(lián)，使兩端將會(huì)話、算法等信息緩存保存，從而實(shí)現(xiàn)對(duì)信息傳輸進(jìn)行一定程度上的備份。從結(jié)構(gòu)層次上來看，SSL協(xié)議是分層結(jié)構(gòu)的結(jié)構(gòu)模型分為上下兩層，上層的SSL協(xié)議可以稱之為握手層，其中包含的子協(xié)議主要有握手協(xié)議、警告協(xié)議、密碼協(xié)議等，這一層的協(xié)議可以用于管理通信傳輸使用的口令密碼，并向使用者和網(wǎng)站持有者發(fā)送錯(cuò)誤警告進(jìn)行故障上報(bào)，位于SSL下層的則稱為記錄層協(xié)議，主要作用是將上層協(xié)議傳輸?shù)臄?shù)據(jù)單元進(jìn)行封裝，從而立體化保障數(shù)據(jù)傳輸安全[2]。

SSL協(xié)議上層的握手協(xié)議創(chuàng)建目的在于保證雙方在信息傳輸之前能夠建立安全的鏈接，從而對(duì)服務(wù)器和客戶端的身份進(jìn)行認(rèn)證。SSL握手協(xié)議進(jìn)行3次之后才能進(jìn)行雙方安全鏈接的建立，在這一過程中主要包括4個(gè)階段，第一階段是SSL的客戶端將一個(gè)數(shù)據(jù)包整合用于發(fā)起握手?jǐn)?shù)據(jù)包中包含協(xié)議的使用版本和加密壓縮方法，并生成一套隨機(jī)數(shù)[3]。在第二階段服務(wù)端會(huì)返回一個(gè)數(shù)據(jù)包，數(shù)據(jù)包中包含服務(wù)端的通信協(xié)議，使用版本加密方法和服務(wù)端的SSL協(xié)議證書，并返回相應(yīng)的生成隨機(jī)數(shù)。第三階段客戶端將會(huì)驗(yàn)證雙方證書的有效性，并使用發(fā)送生成隨機(jī)數(shù)的方式對(duì)服務(wù)端進(jìn)行握手協(xié)議結(jié)束的通知，第四階段服務(wù)端在對(duì)客戶端進(jìn)行握手協(xié)議結(jié)束的回應(yīng)。在這4個(gè)階段中，每一階段都要生成隨機(jī)數(shù)，上傳隨機(jī)數(shù)，是客戶端和服務(wù)端進(jìn)行商議的對(duì)稱加密過程，能夠充分保障數(shù)據(jù)信息的安全性和完整性。

而警告協(xié)議則是為通信雙方提供可認(rèn)證的鍛煉方式，從而防止在通信傳輸過程中產(chǎn)生階段攻擊，這也是SSL協(xié)議在網(wǎng)絡(luò)通信安全保障中使用的主要針對(duì)連接狀態(tài)的加密方式。常見的警告內(nèi)容包括MAC錯(cuò)誤、證書失效、握手協(xié)議傳輸失敗等。警告協(xié)議發(fā)生在鏈接建立完成之后，一旦在鏈接建立的任意一階段發(fā)生錯(cuò)誤，都會(huì)發(fā)出告警信息，提示客戶端和服務(wù)器端處理相應(yīng)的傳輸問題。

4 結(jié)束語

SSL加密技術(shù)經(jīng)過多年使用已經(jīng)日趨成熟，其證書辦理方便快捷，能夠保證信息數(shù)據(jù)傳輸?shù)耐暾裕哂姓J(rèn)證使用者身份和為使用者提供網(wǎng)站的背后真實(shí)身份，網(wǎng)站可以根據(jù)使用目的和搭建類型選擇適宜的SSL協(xié)議，從而更具有針對(duì)性地利用SSL協(xié)議的安全防護(hù)作用，在使用中也要建立相應(yīng)的網(wǎng)站防火墻，為協(xié)議和IP地址提供更具有現(xiàn)實(shí)意義的安全保障。在申請(qǐng)SSL協(xié)議時(shí)，網(wǎng)站持有者應(yīng)當(dāng)做好IP地址綁定，為互聯(lián)網(wǎng)用戶提供更充分的評(píng)估依據(jù)，保證SSL證書可以溯源的同時(shí)更全面地預(yù)防不良網(wǎng)站欺詐與信息竊取。