ssl网络加密设备

① 请问什么是SSL及SSL2

一、什么是SSL？

SSL(Secure Sockets Layer安全套接字协议),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。

SSL证书

SSL优势特点：

1、浏览器地址栏显示醒目、独特的视觉效果——绿色地址栏、显示单位名称、https、绿色安全锁。

2、保密性：利用握手协议所定义的共享密钥对SSL净荷（Payload）加密。

3、完整性：利用握手协议所定义的共享的MAC密钥来生成报文的鉴别码（MAC）。

二、什么是SSL2？

SSL2其实是SSL证书其中的一个版本，就好比除了SSL2之外，还有SSL3版本等等。

② 解析｜国密SSL特性 ：属于中国的密码算法和传输层安全协议

国密SSL产生背景

随着互联网技术的兴盛和网络应用的普及，网络安全问题日益突出，大量的数据在网络上传递并遭受攻击和威胁，数据的安全性受到越来越多人的重视，因此产生了多种安全协议和相关规范。SSL协议就是在这种背景下由Netscape提出的，其中SSLv3.0自1996提出并得到大规模应用成为了业界标准，在2015年才被弃用。1999年，IETF收纳了SSLv3.0并以此为基础提出TLS规范，版本已由TLS1.0发展到如今的TLS3.0，是被应用最广泛的安全协议之一。

安全协议的核心和基础就是密码算法，为了确保我国的信息安全，国内的相关安全产品以及协议如HTTPS、SSL VPN、STMPS等就不能直接使用TLS标准规范和密码算法，因此必须要有一个属于中国的密码算法和传输层安全协议，国密SSL协议顺势产生。

国密SSL协议概述

目前TLS版本包含TLS1.0、TLS1.1、TLS1.2、TLS1.3以及GMTLS1.1。

国密 SSL协议在GM/T中不是一个独立的协议标准[1]，而是按照相关密码政策、法规结合我国实际情况并参照RFC4346 TLS1.1规范，在GM/T 0024-2014《SSLVPN技术规范》中对其进行了相关定义。主要不同体现在以下几方面：

注[1]：随着国家越发重视信息安全，在2020年11月1日正式实施了《GB/T38636-2020信息安全技术传输层密码协议（TLCP）》，现阶段使用者相对较少，因此本文依旧按照《SSL VPN技术规范》进行介绍。

国密SSL协议包括记录层协议、握手协议族（握手协议、密码规格变更协议、报警协议）和网关到网关协议。

记录层协议是分层次的，每一层都包括长度字段、描述字段和内容字段；其会接收将要被传输的消息，将数据分段、压缩（可选）、计算HMAC、加密，然后传输，接收到的数据经过解密、验证、解压缩（可选）、重新封装然后传送给高层应用。

国密SSL握手协议族由密码规格变更协议、握手协议和报警协议3个子协议组成，用于通信双方协商出供记录层使用的安全参数，进行身份验证以及向对方报告错误等。

密码规格变更协议用于通知密码规格的改变，即通知对方使用刚协商好的安全参数来保护揭晓了的数据。客户端和服务端都要在安全参数协商完毕之后、握手结束消息之前发送此消息。

报警协议用于关闭连接的通知以及对整个连接过程中出现的错误行为进行报警，其中关闭通知由发起者发送，错误报警由错误的发现者发送。报警消息的长度为两个字节，分别为报警级别和报警内容。

握手协议是在记录层协议之上的协议，用于协商安全参数，是通过记录层协议传输的。握手消息应当按照规定流程顺序进行发送，否则将会导致致命错误，不需要的握手消息可以被接收方忽略。

在Client支持的密码套件列表中，Client会按照密码套件使用的优先级顺序进行排列，优先级最高的密码套件会排在首位。国密SSL支持的密码套件列表如下所示：

在国密SSL标准中实现ECC和ECDHE的算法是SM2，实现IBC和IBSDH的算法是SM9，RSA算法的使用需要符合国家密码管理主管部门的要求。

注[2]：在《GB/T38636-2020信息安全技术传输层密码协议（TLCP）》标准中增加了GCM的密码套件，并且删除了涉及SM1和RSA的密码套件。

网关到网关协议定义了SSL VPN之间建立网关到网关的传输层隧道，对IP数据报文进行安全传输时所采用的报文格式（包括控制报文与数据报文）以及控制报文交换过程和数据报文封装过程。

国密SSL测试的需求

为了保障数据安全，国家密码管理局要求相关系统均要进行国密改造，改用国密的密码算法，目前国密算法已经成为了数据安全保障的基础。因此国密设备在实验室的概念设计、研发设计、生产、部署验收都有测试的必要。

在概念设计和研发阶段需要确定设备是否符合相关要求，能否正常的进行国密SSL加密以对数据进行保护；设备研发成型阶段还需要进行整机测试，验证设备各项功能和性能是否满足实际应用；在部署验收阶段也需要进行整体测试，验证国密设备在真实网络环境中能否正常对数据进行传输以及与整网的兼容适配。

国密测试分为功能测试和性能测试，目前市场上针对功能测试主要采用的是利用具备同样国密功能的设备与被测设备对接测试，而性能测试则是采用自研类软件模拟多终端进行测试，测试能力相对较弱且操作复杂，因此专业的测试工具在国密SSL的研发和推广过程中就愈发重要。

信而泰国密SSL测试方案

信而泰经过多年潜心研制，推出了基于PCT架构的新一代B/S架构测试平台ALPS，该平台支持真实的应用层流量仿真。HTTPS /SMTPS Application Simulator是一个7层测试组件，可基于国密SSL模拟现实网络环境中的HTTPS/SMTPS协议流量，进而测试设备处理客户端应用层流量的能力。该平台可以针对防火墙、负载均衡、VPN、网关等应用层安全设备进行相关测试，测试拓扑如下图所示：

信而泰国密SSL支持以下测试功能和特性：

HTTPS/SMTPS应用流配置界面：

SSL Client Session统计界面：

SSL Server Session统计界面：

③ SSL加密是干什么用的

SSL 协议指定了一种在应用程序协议（如 HTTP 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。 VPN SSL 200 设备网关适合应用于中小企业规模，满足其企业移动用户、分支机构、供应商、合作伙伴等企业资源（如基于 Web 的应用、企业邮件系统、文件服务器、 C/S 应用系统等）安全接入服务。企业利用自身的网络平台，创建一个增强安全性的企业私有网络。 SSL VPN 客户端的应用是基于标准 Web 浏览器内置的加密套件与服务器协议出相应的加密方法，即经过授权用户只要能上网就能够通过浏览器接入服务器建立 SSL 安全隧道。 SSL VPN 利用三种客户端接入方式来协助用户在任何地方任何时间安全第访问公司的任何资源： ◇ 远程桌面共享 ◇ Web Browser 基于浏览器的接入 ( 可以访问 Web 应用程序和文件共享 ) ◇ 即时下载的 Java 小应用程序 ( 可访问客户 / 服务器应用程序 )应用领域：SSL VPN 提供下述情况的解决方案：企业需要通过互联网（笔记本型计算机、移动个人计算机、远程用户接入）达到广泛而全面性的信息存取。 SSL VPN 能满足所有你的远程接入需要。 SSL VPN 技术为你提供增强的灵活性，以便更好地配合你公司的安全性和基础结构需要，同时给你的用户一个统一的、容易的界面和一个简化的用户经验。

④ 什么是SSL加密

SSL是一个安全协议，它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。因特网的 超文本传输协议（HTTP）使用 SSL 来实现安全的通信。

在客户端与服务器间传输的数据是通过使用对称算法（如 DES 或 RC4）进行加密的。公用密钥算法（通常为 RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证，此认证同时需要客户端和服务器的数字证书。

非对称加密

那么什么是SSL使它对在线安全如此重要？应该探索的一个方面称为非对称加密。当您访问网站时，浏览器会与网站建立连接。目标是在站点和浏览器之间的任何数据流之前确定SSL证书是否有效。所有这一切发生得如此之快，以至于您没有发现延迟。

换句话说，连接的加密是在您看到任何内容之前确定的。如果出现问题，浏览器会阻止您进入您的轨道并让您有机会从网站迁移。

什么是非对称加密很重要？它使用私钥和公钥。公钥加密数据，而私有密钥解密数据。只有在两个键确定功能后才能继续。

对称加密

那么对称加密呢？这对验证SSL证书的过程也很重要。在安全会话建立后，一旦浏览器和站点相互通信，这就是保持连接的原因。

由于使用了这种类型的加密，会话密钥能够加密和解密数据。你看到的是来回的数据流畅，仍然是安全的。

他们如何共同合作形成SSL

将非对称加密视为检查，确认和验证浏览器和网站可以通信的手段。从某种意义上说，它会检查SSL证书并确保通信安全。从那里开始，对称加密接管并允许通信流动不减，直到一方或另一方结束对话。

深入挖掘：RSA和ECC

当您了解有关SSL和加密的更多信息时，您可能会听到两个术语。其中之一称为RSA加密。

这个名字基于提出这种加密理念的三个人：Rivest，Shamir和Adelman。它侧重于公钥加密，并且只要使用浏览器连接网站，就会使用特定的数学公式生成两个大的素数。素数在任何时候都是保密的，最终导致公钥和私钥的发展。一旦完成该过程，就不再需要两个素数。

这是浏览器和站点之间“握手”的另一层保护。与一般的加密一样，它发生得如此之快，以至于您没有时间看到它发生。它做的是保持连接安全。

您还将听到ECC加密。这代表Elliptic Curve Cryptography。它已经使用了十多年，通常被认为比SSL的其他方面更复杂。它是如何参与建立连接的验证过程的。

与RSA一样，ECC也是关于评估和确定站点与浏览器之间的连接是安全可靠的。一旦验证，就会有来回沟通的基础。将其视为防止第三方闯入用户与您访问的网站之间的对话的另一种方式。

⑤ 什么是SSL加密，什么是TLS加密

SSL加密是Netscape公司所提出的安全保密协议，在浏览器和Web服务器之间构造安全通道来进行数据传输，SSL运行在TCP/IP层之上、应用层之下，为应用程序提供加密数据通道，它采用了RC4、MD5以及RSA等加密算法，使用40 位的密钥，适用于商业信息的加密。

TLS是安全传输层协议。安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成： TLS 记录协议（TLS Record）和 TLS 握手协议（TLS Handshake）。较低的层为 TLS 记录协议，位于某个可靠的传输协议上面。

(5)ssl网络加密设备扩展阅读：

SSL加密并不保护数据中心本身，而是确保了SSL加密设备的数据中心安全，可以监控企业中来往于数据中心的最终用户流量。

从某个角度来看，数据中心管理员可以放心将加密装置放在某个地方，需要使用时再进行应用，数据中心应该会有更合理的方法来应对利用SSL的恶意攻击，需要找到SSL加密应用的最佳实践。

TLS协议是可选的，必须配置客户端和服务器才能使用。主要有两种方式实现这一目标：一个是使用统一的TLS协议通信端口（例如：用于HTTPS的端口443）。另一个是客户端请求服务器连接到TLS时使用特定的协议机制（例如：邮件、新闻协议和STARTTLS）。

一旦客户端和服务器都同意使用TLS协议，他们通过使用一个握手过程协商出一个有状态的连接以传输数据。通过握手，客户端和服务器协商各种参数用于创建安全连接。

参考资料来源：网络-SSL加密技术

参考资料来源：网络-TLS

⑥ SSL是什么东西

SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也被称为SSL服务器证书。简单来说，安装SSL证书后，将http协议访问网站改为使用http加密协议访问网站，在数据发送者与接收者之间建立安全、可靠的加密通道。数据传输过程中，网站会向浏览器发送SSL证书，证书包含网站域名，证书有效期，证书的颁发机构以及用于加密传输密码的公钥等信息，由于公钥加密的密码只能被在申请证书时生成的私钥解密，因此浏览器在生成密码之前，需要先核对当前访问域名与证书上绑定的域名是否一致，同时还要对证书的颁发机构进行验证，如果验证失败，浏览器会给出证书错误的提示