SSL/TLS
新型防火墙使用 SSL(安全套接字层)或TLS(传输层安全性)通过 Web 门户提供 VPN 访问。本质上,TLS 和 SSL 是用于保护网站安全的协议。如果您看到以 HTTPS 开头的网站,则表明进出该网站的流量是使用 SSL 或 TLS 加密的。如今,当我们说 SSL 时,几乎总是指 TLS。只是很多人习惯了说 SSL,这个词就一直沿用下来了。从此处介绍的 SSL/TLS 简史中应该可以明显看出这一点:
·未发布的 SSL v1 (Netscape)。
·第 2 版于 1995 年发布,但存在许多缺陷。
·版本 3 于 1996 年发布(RFC 6101)。
·标准 TLS 1.0,RFC 2246,于 1999 年发布。
·2006 年 4 月在 RFC 4346 中定义的TLS 1.1。
·2008 年 8 月在 RFC 5246 中定义的TLS 1.2。它基于早期的 TLS 1.1 规范。
·当前最新版本为发布于2018年8月的TLS 1.3。
在某些 VPN 解决方案中,用户登录到受SSL 或 TLS 保护的网站,然后获得虚拟专用网络的访问权限。但是,访问使用 SSL 或 TLS 的网站并不意味着您使用的是 VPN。一般来说,大多数网站(例如银行网站)仅允许您访问非常有限的数据集,例如您的账户余额。VPN 使您可以访问网络,与您实际位于该网络上时所拥有的访问权限相同或相似。
无论您是使用 SSL 连接电子商务网站还是建立 VPN,都需要 SSL 握手过程来建立安全/加密的连接:
1.客户端向服务器发送客户端的 SSL 版本号、密码设置、会话特定数据以及服务器使用 SSL 与客户端通信所需的其他信息。
2.服务器向客户端发送服务器的 SSL 版本号、密码设置、会话特定数据以及客户端通过 SSL 与服务器通信所需的其他信息。服务器还发送自己的证书,如果客户端请求的服务器资源需要客户端身份验证,则服务器会请求客户端的证书。
3.客户端使用服务器发送的信息来验证服务器,例如,在 Web 浏览器连接到 Web 服务器的情况下,浏览器检查接收到的证书的主题名称是否与正在联系的服务器的名称实际匹配,证书的颁发者是受信任的证书颁发机构,证书是否已过期,以及(理想情况下)证书是否已被吊销。如果无法对服务器进行身份验证,则会向用户发出该问题的警告,并告知无法建立加密且经过身份验证的连接。如果服务器能够成功验证,则客户端继续下一步。
4.使用迄今为止握手中生成的所有数据,客户端(在服务器的配合下,取决于所使用的密码)为会话创建预主密钥,并使用服务器的公钥(从服务器的证书获得)对其进行加密,在步骤2)中发送,然后将加密的预主密钥发送到服务器。
5.如果服务器已请求客户端身份验证(握手中的可选步骤),则客户端还会对本次握手唯一且客户端和服务器都知道的另一条数据进行签名。在这种情况下,客户端将签名的数据和客户端自己的证书以及加密的预主密钥一起发送到服务器。
6.如果服务器已请求客户端身份验证,则服务器会尝试对客户端进行身份验证。如果客户端无法通过身份验证,则会话结束。如果客户端能够成功通过身份验证,则服务器使用其私钥来解密预主密钥,然后执行一系列步骤(客户端也执行这些步骤,从相同的预主密钥开始)来生成主密钥。
7.客户端和服务器都使用主密钥来生成会话密钥,会话密钥是对称密钥,用于加密和解密 SSL 会话期间交换的信息并验证其完整性(即检测时间间隔内数据的任何更改)它是通过SSL 连接发送的和接收的时间)。
8.客户端向服务器发送一条消息,通知服务器将来来自客户端的消息将使用会话密钥进行加密。然后,它发送一条单独的(加密的)消息,指示握手的客户端部分已完成。
9.服务器向客户端发送一条消息,通知客户端将来来自服务器的消息将使用会话密钥进行加密。然后,它发送一条单独的(加密的)消息,指示握手的服务器部分已完成。
下图总结了这个过程。
图 SSL/TLS 握手
请注意,步骤 3 通常不会在今天发生。相反,大多数商业销售的计算机都有一个证书存储,其中包含主要证书颁发机构的数字证书(回想一下,对数字证书的讨论)。只需使用该证书来验证服务器的数字签名。
原文始发于微信公众号(祺印说信安):网络安全等级保护:VPN之SSL/TLS及握手
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论