基于SSL加密技術保護網絡安全研究

魏小梅 傅林

國網安徽省電力有限公司宿州供電公司 安徽 宿州 234000

引言

SSL指的是安全套接字層，是一種利用數據加密技術來保障互聯網信息傳輸安全的技術，在應用過程中能夠利用數據加密預防黑客竊聽；利用信息摘要檢測通信完整性；利用數字證書技術檢驗通信雙方身份真實可靠。使用SSL技術能夠保護互聯網用戶的敏感數據在互聯網上傳輸的安全，個人網站、企業網站都可以使用，是一種較為方便快捷且搭建安全的網絡安全保護技術，對用戶個人隱私信息和商業信息都有很好的加密傳輸效果。

1 SSL加密技術概述

SSL加密技術屬于一種保護網絡安全的網絡協議，能夠保護數據在傳輸過程中不會受到網絡不法分子的竊取與破壞。這是一種安全套階層網絡保護協議，網站需要獲取相關機構頒發的證書，并安裝在網站上，才能確保用戶在網絡瀏覽過程中與網絡服務器之間交換的所有信息都能被加密。若客戶在使用網站的過程中提交了有關個人隱私或其他內容的敏感信息，SSL網絡協議就會對這些用戶數據自動進行加密，能夠避免用戶數據被惡意竊取或是破壞，包括互聯網竊聽和黑客攻擊等都能被防御。

用戶在登錄互聯網時，在瀏覽器上瀏覽網頁，若看到網址前方有一個鎖形狀的標記，則表明該網頁受到SSL網絡協議的加密，在這一網站上瀏覽信息或是輸入內容都是非常安全的，能夠保證個人隱私信息不會向外泄露。部分網頁的網址顯示HTTP：//，這是HTTP over SSL的簡稱，這也能標明這一網頁已經被SSL協議進行了加密處理。但SSL協議的加密原理并不在于保護數據信息本身，而是保證對整個設備的數據中心進行加密，保證其運行安全，能夠用于監控企業的數據中心用戶流量往來，這也就意味著技術人員和管理人員可以將加密協議與加密裝置直接安裝在網站中，需要使用時將其開啟，從而達到為所有數據信息的安全提供保障的目的。

2 網絡協議在網絡安全保護中的作用

安全套間層協議本身也是一種基于Web應用的安全協議，SSL協議能夠指定在一種應用程序協議中提供數據安全性分層的機制，在應用過程中，SSL協議能夠實現的基礎功能與其他網絡安全協議較為一致。

首先是要具有很高的保密性，也就是搭建SSL協議的網站在為用戶提供服務的過程中，能夠保證傳輸的數據信息內容不被泄露，不被竊取，能夠有效維護用戶的個人利益和隱私信息，能夠保證信息通過指定的路徑發送給指定的終端或用戶，這樣就能防止其他還有特殊目的的人在網站中攔截竊聽，能夠最大程度保證數據信息的安全。

其次則是保證數據信息在發送過程中始終處于完整狀態，保證指定用戶能夠接收到完整全面的信息，將數據內容原封不動的傳輸出去，SSL協議能夠將通信的內容按照其自身的算法和組網結構進行加密，將其生成密碼文件是數據信息轉換成密文模式進行傳輸，在接收端再對通信內容進行破譯，破譯后的內容與加密前的內容應當完全一致，這樣既能保證數據信息傳輸安全，又能保證數據信息傳輸完整。

最后則是為使用者增加身份認證，從而防止不法分子和非法通信者在信息傳輸途中竊取信息或是攔截信息。在通信時，網絡安全協議能夠對通信雙方的身份進行確認與判定，若雙方有通信需求，網絡協議需要對雙方的身份進行鑒別，保證信息由一方只傳輸給另一方，避免在此途中有非法分子介入或是防止發送接收信息的雙方由其他人冒充身份。總而言之，網絡安全協議能夠防止通信內容泄露，保證通信內容完整，并確保通信雙方身份合法合規。

3 SSL協議在網絡安全保護中的應用

3.1 SSL證書的分類

目前常見的SSL證書分為3種類型。第一種是DV SSL證書，這種SSL證書屬于簡易型的網絡驗證，只能夠對網站中的機密信息進行加密，只通過驗證網站域名所有權的方式對網站信息進行保護，并不能向使用者證明網站的身份，也不能對使用者的更多信息進行保密。第二種是OV SSL證書，這種證書需要對網站的所有單位正式身份進行驗證，這樣就能再對網站全部機密信息進行加密的同時，向使用者證明網站背后的真實身份，也能夠使使用者對網站有更多了解，是標準型的SSL證書。第三種是EV SSL證書，這種證書是網絡安全保護領域內安全級別最高的SSL證書，其辦理與頒發都遵循全球統一的身份驗證標準，按照最嚴格的規格進行檢測與評估，安全系數最高，但申請也最困難。

因此在日常生活中較為常見的正式證書通常是DV SSL證書和OV SSL證書，這兩種證書的申請門檻比較低，大多數網站都能夠辦理，但這也使得許多欺詐網站濫用證書欺騙使用者。DV SSL證書由于能夠被個人網站辦理，因此更加容易被低端欺詐網站隨意使用，目前許多網站通過為證書綁定IP地址的方式來進行再次加密提高SSL證書對網絡安全的保護作用，這樣既能夠保證SSL證書可以溯源，又能夠預防欺詐網站的攻擊。

3.2 SSL證書綁定IP地址

為了進一步提高網絡保護的作用，提高網絡使用的安全性，無論使用DV SSL證書還是OV SSL證書，都可以通過綁定IP地址的方式來對用戶信息進行更深層次的保密。DV SSL證書的申請非常簡便，在綁定IP地址時操作也更加便利，只需要對IP地址的管理權限進行驗證即可綁定成功，也能夠支持多個IP地址同時綁定在一個證書上，整個頒發流程只需要30min左右即可辦理完成。而OV SSL證書多數是企業、公司等單位性質申請使用，相比于DV SSL證書而言申請流程更加復雜，需要對網站所有者的真實身份進行驗證與審核。在申請IP地址綁定時，不僅要驗證IP地址的管理權限，還要對企業單位的真實身份進行更深層層次的驗證。以OV SSL證書為基礎取得的IP地址綁定審核更嚴格，遞交申請后需要等待1-3個工作日才能審批完成，取得的證書也比DV SSL證書更加高級。

而公網IP地址本身作為互聯網入口，只要能使用互聯網的地方就存在IP地址，因此使用場景和涉及的范圍更廣，僅僅通過保護SSL證書或是利用協議對網絡信息進行加密，顯然是不完善的，對IP地址也提供同樣的安全防護才能夠進一步提高網絡安全等級。在對SSL證書進行IP地址綁定的過程中，SSL證書的使用權限也得到了限制，這樣一來IP地址就會被SSL證書加密，IP地址就取得了一層網絡協議保護。已經與IP地址綁定的SSL證書幾乎不會出現不受網站信任的提示，這就證明SSL證書與IP地址的綁定能夠在保證網絡安全的同時保證IP地址的安全，同時也能夠為SSL證書提供溯源。因此通過SSL證書與IP地址綁定的方式能夠進一步加強SSL網絡協議對網絡安全的保障作用，能夠為使用者提供更安全的信息傳輸環境。

3.3 SSL安全通道創建

SSL協議對網站進行加密后，能夠抵抗黑客和不法分子的攔截，使數據的安全得到了保障，而SSL功能本身是在瀏覽網頁的過程中為數據和信息的傳輸創建一個安全通道，保證用戶的敏感數據和通信信息能夠得到安全防護。具有SSL功能的瀏覽器和服務器能夠利用數字證書確認息，傳輸雙方的身份。網站需要從第三方機構獲取相應的數字證書并生成可以解密數據信息的公共密鑰，協議通過對數字證書的解碼來完成身份認證，瀏覽器在完成初步認證之后會向服務器發送48字節長度的密鑰，這個密鑰是利用服務器公共密鑰進行再次加密的主密鑰，可以實現Web服務器利用自己私有密鑰解密的功能，從而使密鑰只在安全瀏覽范圍內進行加密與解密處理，從而保證數據信息的傳輸也處于完全安全的范圍之內。

瀏覽器和服務器在解密完成之后，會通過對話的方式將數據加密解密的過程生成一個對稱的加密集合，加密算法生成的每次對話都會進行相應的協議配置與通信協商，目前較為廣泛使用的加密標準為DES和RC4算法。經歷以上通信與協商啟動建立過程的客戶端和web服務器之間會生成更安全的協議保護的網絡信息安全通道數據能夠在該通道內進行加密傳輸，能夠保證不被互聯網不法分子竊取信息，也能夠保證信息準確傳輸到相應的安全身份用戶手中，在進行數據傳輸時，即便有黑客使用嗅探軟件和竊聽軟件對信息進行攔截和分析，也不能破譯安全密鑰，從而保證數據信息在傳輸過程中的完整性與安全性。SSL協議在加密保護時只需要對網站中的關鍵部分進行防護，而不需要對所有Web端點作加密驗證處理，這是為了利用信息傳輸通道效果實現節能和提高效率，可以說目前使用SSL證書對網站加密是目前解決網站信息傳輸安全問題的最有效的方式[1]。

3.4 SSL協議的結構模型創建

SSL協議在創建過程中需要與網站持有者和使用者之間進行聯通，因此協議并不是一個單獨創建的協議，而是由4個子協議共同組成，位于tcp層和應層之間的結構性協議，在應用層數據可以直接傳輸到SSL層進行封裝與加密，通過SSL協議的安全運輸通道進行信息傳輸，SSL通信的每一個連接都會關聯另一個對話實現息數據的點對點連接和傳輸，為服務器和客戶端之間創建唯一的關聯，使兩端將會話、算法等信息緩存保存，從而實現對信息傳輸進行一定程度上的備份。從結構層次上來看，SSL協議是分層結構的結構模型分為上下兩層，上層的SSL協議可以稱之為握手層，其中包含的子協議主要有握手協議、警告協議、密碼協議等，這一層的協議可以用于管理通信傳輸使用的口令密碼，并向使用者和網站持有者發送錯誤警告進行故障上報，位于SSL下層的則稱為記錄層協議，主要作用是將上層協議傳輸的數據單元進行封裝，從而立體化保障數據傳輸安全[2]。

SSL協議上層的握手協議創建目的在于保證雙方在信息傳輸之前能夠建立安全的鏈接，從而對服務器和客戶端的身份進行認證。SSL握手協議進行3次之后才能進行雙方安全鏈接的建立，在這一過程中主要包括4個階段，第一階段是SSL的客戶端將一個數據包整合用于發起握手數據包中包含協議的使用版本和加密壓縮方法，并生成一套隨機數[3]。在第二階段服務端會返回一個數據包，數據包中包含服務端的通信協議，使用版本加密方法和服務端的SSL協議證書，并返回相應的生成隨機數。第三階段客戶端將會驗證雙方證書的有效性，并使用發送生成隨機數的方式對服務端進行握手協議結束的通知，第四階段服務端在對客戶端進行握手協議結束的回應。在這4個階段中，每一階段都要生成隨機數，上傳隨機數，是客戶端和服務端進行商議的對稱加密過程，能夠充分保障數據信息的安全性和完整性。

而警告協議則是為通信雙方提供可認證的鍛煉方式，從而防止在通信傳輸過程中產生階段攻擊，這也是SSL協議在網絡通信安全保障中使用的主要針對連接狀態的加密方式。常見的警告內容包括MAC錯誤、證書失效、握手協議傳輸失敗等。警告協議發生在鏈接建立完成之后，一旦在鏈接建立的任意一階段發生錯誤，都會發出告警信息，提示客戶端和服務器端處理相應的傳輸問題。

4 結束語

SSL加密技術經過多年使用已經日趨成熟，其證書辦理方便快捷，能夠保證信息數據傳輸的完整性，具有認證使用者身份和為使用者提供網站的背后真實身份，網站可以根據使用目的和搭建類型選擇適宜的SSL協議，從而更具有針對性地利用SSL協議的安全防護作用，在使用中也要建立相應的網站防火墻，為協議和IP地址提供更具有現實意義的安全保障。在申請SSL協議時，網站持有者應當做好IP地址綁定，為互聯網用戶提供更充分的評估依據，保證SSL證書可以溯源的同時更全面地預防不良網站欺詐與信息竊取。