ssl網路加密設備

① 請問什麼是SSL及SSL2

一、什麼是SSL？

SSL(Secure Sockets Layer安全套接字協議),及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網路通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層與應用層之間對網路連接進行加密。

SSL證書

SSL優勢特點：

1、瀏覽器地址欄顯示醒目、獨特的視覺效果——綠色地址欄、顯示單位名稱、https、綠色安全鎖。

2、保密性：利用握手協議所定義的共享密鑰對SSL凈荷（Payload）加密。

3、完整性：利用握手協議所定義的共享的MAC密鑰來生成報文的鑒別碼（MAC）。

二、什麼是SSL2？

SSL2其實是SSL證書其中的一個版本，就好比除了SSL2之外，還有SSL3版本等等。

② 解析｜國密SSL特性 ：屬於中國的密碼演算法和傳輸層安全協議

國密SSL產生背景

隨著互聯網技術的興盛和網路應用的普及，網路安全問題日益突出，大量的數據在網路上傳遞並遭受攻擊和威脅，數據的安全性受到越來越多人的重視，因此產生了多種安全協議和相關規范。SSL協議就是在這種背景下由Netscape提出的，其中SSLv3.0自1996提出並得到大規模應用成為了業界標准，在2015年才被棄用。1999年，IETF收納了SSLv3.0並以此為基礎提出TLS規范，版本已由TLS1.0發展到如今的TLS3.0，是被應用最廣泛的安全協議之一。

安全協議的核心和基礎就是密碼演算法，為了確保我國的信息安全，國內的相關安全產品以及協議如HTTPS、SSL VPN、STMPS等就不能直接使用TLS標准規范和密碼演算法，因此必須要有一個屬於中國的密碼演算法和傳輸層安全協議，國密SSL協議順勢產生。

國密SSL協議概述

目前TLS版本包含TLS1.0、TLS1.1、TLS1.2、TLS1.3以及GMTLS1.1。

國密 SSL協議在GM/T中不是一個獨立的協議標准[1]，而是按照相關密碼政策、法規結合我國實際情況並參照RFC4346 TLS1.1規范，在GM/T 0024-2014《SSLVPN技術規范》中對其進行了相關定義。主要不同體現在以下幾方面：

注[1]：隨著國家越發重視信息安全，在2020年11月1日正式實施了《GB/T38636-2020信息安全技術傳輸層密碼協議（TLCP）》，現階段使用者相對較少，因此本文依舊按照《SSL VPN技術規范》進行介紹。

國密SSL協議包括記錄層協議、握手協議族（握手協議、密碼規格變更協議、報警協議）和網關到網關協議。

記錄層協議是分層次的，每一層都包括長度欄位、描述欄位和內容欄位；其會接收將要被傳輸的消息，將數據分段、壓縮（可選）、計算HMAC、加密，然後傳輸，接收到的數據經過解密、驗證、解壓縮（可選）、重新封裝然後傳送給高層應用。

國密SSL握手協議族由密碼規格變更協議、握手協議和報警協議3個子協議組成，用於通信雙方協商出供記錄層使用的安全參數，進行身份驗證以及向對方報告錯誤等。

密碼規格變更協議用於通知密碼規格的改變，即通知對方使用剛協商好的安全參數來保護揭曉了的數據。客戶端和服務端都要在安全參數協商完畢之後、握手結束消息之前發送此消息。

報警協議用於關閉連接的通知以及對整個連接過程中出現的錯誤行為進行報警，其中關閉通知由發起者發送，錯誤報警由錯誤的發現者發送。報警消息的長度為兩個位元組，分別為報警級別和報警內容。

握手協議是在記錄層協議之上的協議，用於協商安全參數，是通過記錄層協議傳輸的。握手消息應當按照規定流程順序進行發送，否則將會導致致命錯誤，不需要的握手消息可以被接收方忽略。

在Client支持的密碼套件列表中，Client會按照密碼套件使用的優先順序順序進行排列，優先順序最高的密碼套件會排在首位。國密SSL支持的密碼套件列表如下所示：

在國密SSL標准中實現ECC和ECDHE的演算法是SM2，實現IBC和IBSDH的演算法是SM9，RSA演算法的使用需要符合國家密碼管理主管部門的要求。

注[2]：在《GB/T38636-2020信息安全技術傳輸層密碼協議（TLCP）》標准中增加了GCM的密碼套件，並且刪除了涉及SM1和RSA的密碼套件。

網關到網關協議定義了SSL VPN之間建立網關到網關的傳輸層隧道，對IP數據報文進行安全傳輸時所採用的報文格式（包括控制報文與數據報文）以及控制報文交換過程和數據報文封裝過程。

國密SSL測試的需求

為了保障數據安全，國家密碼管理局要求相關系統均要進行國密改造，改用國密的密碼演算法，目前國密演算法已經成為了數據安全保障的基礎。因此國密設備在實驗室的概念設計、研發設計、生產、部署驗收都有測試的必要。

在概念設計和研發階段需要確定設備是否符合相關要求，能否正常的進行國密SSL加密以對數據進行保護；設備研發成型階段還需要進行整機測試，驗證設備各項功能和性能是否滿足實際應用；在部署驗收階段也需要進行整體測試，驗證國密設備在真實網路環境中能否正常對數據進行傳輸以及與整網的兼容適配。

國密測試分為功能測試和性能測試，目前市場上針對功能測試主要採用的是利用具備同樣國密功能的設備與被測設備對接測試，而性能測試則是採用自研類軟體模擬多終端進行測試，測試能力相對較弱且操作復雜，因此專業的測試工具在國密SSL的研發和推廣過程中就愈發重要。

信而泰國密SSL測試方案

信而泰經過多年潛心研製，推出了基於PCT架構的新一代B/S架構測試平台ALPS，該平台支持真實的應用層流量模擬。HTTPS /SMTPS Application Simulator是一個7層測試組件，可基於國密SSL模擬現實網路環境中的HTTPS/SMTPS協議流量，進而測試設備處理客戶端應用層流量的能力。該平台可以針對防火牆、負載均衡、VPN、網關等應用層安全設備進行相關測試，測試拓撲如下圖所示：

信而泰國密SSL支持以下測試功能和特性：

HTTPS/SMTPS應用流配置界面：

SSL Client Session統計界面：

SSL Server Session統計界面：

③ SSL加密是干什麼用的

SSL 協議指定了一種在應用程序協議（如 HTTP 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 協議之間提供數據安全性分層的機制，它為 TCP/IP 連接提供數據加密、伺服器認證、消息完整性以及可選的客戶機認證。 VPN SSL 200 設備網關適合應用於中小企業規模，滿足其企業移動用戶、分支機構、供應商、合作夥伴等企業資源（如基於 Web 的應用、企業郵件系統、文件伺服器、 C/S 應用系統等）安全接入服務。企業利用自身的網路平台，創建一個增強安全性的企業私有網路。 SSL VPN 客戶端的應用是基於標准 Web 瀏覽器內置的加密套件與伺服器協議出相應的加密方法，即經過授權用戶只要能上網就能夠通過瀏覽器接入伺服器建立 SSL 安全隧道。 SSL VPN 利用三種客戶端接入方式來協助用戶在任何地方任何時間安全第訪問公司的任何資源： ◇ 遠程桌面共享 ◇ Web Browser 基於瀏覽器的接入 ( 可以訪問 Web 應用程序和文件共享 ) ◇ 即時下載的 Java 小應用程序 ( 可訪問客戶 / 伺服器應用程序 )應用領域：SSL VPN 提供下述情況的解決方案：企業需要通過互聯網（筆記本型計算機、移動個人計算機、遠程用戶接入）達到廣泛而全面性的信息存取。 SSL VPN 能滿足所有你的遠程接入需要。 SSL VPN 技術為你提供增強的靈活性，以便更好地配合你公司的安全性和基礎結構需要，同時給你的用戶一個統一的、容易的界面和一個簡化的用戶經驗。

④ 什麼是SSL加密

SSL是一個安全協議，它提供使用 TCP/IP 的通信應用程序間的隱私與完整性。網際網路的 超文本傳輸協議（HTTP）使用 SSL 來實現安全的通信。

在客戶端與伺服器間傳輸的數據是通過使用對稱演算法（如 DES 或 RC4）進行加密的。公用密鑰演算法（通常為 RSA）是用來獲得加密密鑰交換和數字簽名的，此演算法使用伺服器的SSL數字證書中的公用密鑰。有了伺服器的SSL數字證書，客戶端也可以驗證伺服器的身份。SSL 協議的版本 1 和 2 只提供伺服器認證。版本 3 添加了客戶端認證，此認證同時需要客戶端和伺服器的數字證書。

非對稱加密

那麼什麼是SSL使它對在線安全如此重要？應該探索的一個方面稱為非對稱加密。當您訪問網站時，瀏覽器會與網站建立連接。目標是在站點和瀏覽器之間的任何數據流之前確定SSL證書是否有效。所有這一切發生得如此之快，以至於您沒有發現延遲。

換句話說，連接的加密是在您看到任何內容之前確定的。如果出現問題，瀏覽器會阻止您進入您的軌道並讓您有機會從網站遷移。

什麼是非對稱加密很重要？它使用私鑰和公鑰。公鑰加密數據，而私有密鑰解密數據。只有在兩個鍵確定功能後才能繼續。

對稱加密

那麼對稱加密呢？這對驗證SSL證書的過程也很重要。在安全會話建立後，一旦瀏覽器和站點相互通信，這就是保持連接的原因。

由於使用了這種類型的加密，會話密鑰能夠加密和解密數據。你看到的是來回的數據流暢，仍然是安全的。

他們如何共同合作形成SSL

將非對稱加密視為檢查，確認和驗證瀏覽器和網站可以通信的手段。從某種意義上說，它會檢查SSL證書並確保通信安全。從那裡開始，對稱加密接管並允許通信流動不減，直到一方或另一方結束對話。

深入挖掘：RSA和ECC

當您了解有關SSL和加密的更多信息時，您可能會聽到兩個術語。其中之一稱為RSA加密。

這個名字基於提出這種加密理念的三個人：Rivest，Shamir和Adelman。它側重於公鑰加密，並且只要使用瀏覽器連接網站，就會使用特定的數學公式生成兩個大的素數。素數在任何時候都是保密的，最終導致公鑰和私鑰的發展。一旦完成該過程，就不再需要兩個素數。

這是瀏覽器和站點之間「握手」的另一層保護。與一般的加密一樣，它發生得如此之快，以至於您沒有時間看到它發生。它做的是保持連接安全。

您還將聽到ECC加密。這代表Elliptic Curve Cryptography。它已經使用了十多年，通常被認為比SSL的其他方面更復雜。它是如何參與建立連接的驗證過程的。

與RSA一樣，ECC也是關於評估和確定站點與瀏覽器之間的連接是安全可靠的。一旦驗證，就會有來回溝通的基礎。將其視為防止第三方闖入用戶與您訪問的網站之間的對話的另一種方式。

⑤ 什麼是SSL加密，什麼是TLS加密

SSL加密是Netscape公司所提出的安全保密協議，在瀏覽器和Web伺服器之間構造安全通道來進行數據傳輸，SSL運行在TCP/IP層之上、應用層之下，為應用程序提供加密數據通道，它採用了RC4、MD5以及RSA等加密演算法，使用40 位的密鑰，適用於商業信息的加密。

TLS是安全傳輸層協議。安全傳輸層協議（TLS）用於在兩個通信應用程序之間提供保密性和數據完整性。該協議由兩層組成： TLS 記錄協議（TLS Record）和 TLS 握手協議（TLS Handshake）。較低的層為 TLS 記錄協議，位於某個可靠的傳輸協議上面。

(5)ssl網路加密設備擴展閱讀：

SSL加密並不保護數據中心本身，而是確保了SSL加密設備的數據中心安全，可以監控企業中來往於數據中心的最終用戶流量。

從某個角度來看，數據中心管理員可以放心將加密裝置放在某個地方，需要使用時再進行應用，數據中心應該會有更合理的方法來應對利用SSL的惡意攻擊，需要找到SSL加密應用的最佳實踐。

TLS協議是可選的，必須配置客戶端和伺服器才能使用。主要有兩種方式實現這一目標：一個是使用統一的TLS協議通信埠（例如：用於HTTPS的埠443）。另一個是客戶端請求伺服器連接到TLS時使用特定的協議機制（例如：郵件、新聞協議和STARTTLS）。

一旦客戶端和伺服器都同意使用TLS協議，他們通過使用一個握手過程協商出一個有狀態的連接以傳輸數據。通過握手，客戶端和伺服器協商各種參數用於創建安全連接。

參考資料來源：網路-SSL加密技術

參考資料來源：網路-TLS

⑥ SSL是什麼東西

SSL證書是數字證書的一種，類似於駕駛證、護照和營業執照的電子副本。因為配置在伺服器上，也被稱為SSL伺服器證書。簡單來說，安裝SSL證書後，將http協議訪問網站改為使用http加密協議訪問網站，在數據發送者與接收者之間建立安全、可靠的加密通道。數據傳輸過程中，網站會向瀏覽器發送SSL證書，證書包含網站域名，證書有效期，證書的頒發機構以及用於加密傳輸密碼的公鑰等信息，由於公鑰加密的密碼只能被在申請證書時生成的私鑰解密，因此瀏覽器在生成密碼之前，需要先核對當前訪問域名與證書上綁定的域名是否一致，同時還要對證書的頒發機構進行驗證，如果驗證失敗，瀏覽器會給出證書錯誤的提示