加密是密码学的基本应用之一。它用于使数据难以理解,以确保机密性。此外,加密已成为许多产品和服务不可或缺的一部分。通过使用SSL/TLS等现代加密技术,它也在互联网上广泛使用。
SSL/TLS是标准安全技术之一,在客户端(浏览器)和服务器(网站)或邮件客户端(如Outlook)之间提供加密链接,以安全地传输敏感信息,如信用卡详细信息,登录详细信息,社会安全号码。
但这一切是如何实现的呢?让我们了解一下SSL加密背后的技术,以提供安全连接,即公钥(非对称)加密和对称密钥加密。
月度归档: 2022年2月
身份验证是身份确认最简单的术语之一。它是用于网络交互的过程之一,它还涉及一方对另一方的识别。此外,有多种方法可以通过网络使用身份验证,证书就是其中之一。
网络通信通常在两个客户端之间完成,例如,Web 浏览器和服务器。这里,客户端身份验证是由服务器对客户端的标识,而服务器身份验证是由客户端对服务器的标识。(例如,客户端是使用软件/Web 浏览器的人员,服务器是在网络地址上运行其服务器的组织。
服务器和客户端身份验证不限于证书支持的身份验证形式,而且还确保了不可否认性。例如,具有数字签名和证书相结合的电子邮件可识别并验证邮件的发件人,同时使签名者难以判断该电子邮件不是由该人发送的。
需要注意的一点是,基于证书的客户端身份验证是 SSL 协议的一部分。在这里,客户端对随机生成的一段数据进行数字签名,并将该签名数据以及证书发送到网络。最后,服务器在验证签名后确认证书的有效性。
以下是说明如何通过服务器对客户端进行身份验证的步骤:
1. 客户端软件管理一个数据库,该数据库由与为该客户端颁发的所有证书中发布的公钥相对应的私钥组成。在这里,客户端要求输入数据库的密码,以便首次访问任何给定会话的数据库。例如,尝试访问启用了 SSL 的服务器的用户需要对基于证书的客户端进行身份验证。
注意: 输入密码后,在整个会话期间不会再次询问密码,甚至无法访问其他启用了SSL的服务器。
1. 之后,客户端解锁由私钥组成的数据库,并将其检索为用户的证书,并使用该私钥对从服务器和客户端输入中随机生成的数据进行签名。作为回报,数据和数字签名可以作为私钥有效的证据。此外,数字签名仅使用私钥创建,并使用相应的公钥根据已签名的数据进行验证,并且它对SSL会话保持唯一。
3.随机生成的数据以及用户的证书都由客户端通过网络发送
4. 为了验证用户的身份,服务器同时使用签名数据和证书。
5. 服务器还可以执行其他身份验证任务,例如检查证书是否存储在客户端显示的用户条目中的 LDAP 目录中。一旦检查,它还会评估是否允许已识别的用户访问请求的资源。此外,评估过程可以使用其他授权机制,可能是公司数据库或由LDAP目录组成的信息。如果评估结果为正,则服务器将允许客户端访问请求的资源。
在这里,客户端和服务器交互的身份验证部分被证书所取代。不是请求用户频繁地通过网络发送密码,而是使用单一登录功能。在这里,用户首次输入私钥数据库的密码,而不通过网络发送。完成整个会话后,客户端将提供用户的证书,以对用户遇到的每个新服务器进行身份验证。最后,现有授权不受影响,这是基于经过身份验证的用户标识。
SSL记录协议负责处理所有消息的加密。此协议提供了一种通用格式,用于构建握手、警报、ChangeCiperSpec和应用程序协议的所有消息。换句话说,它为其他更高层协议(即握手协议,更改密码规范协议和警报协议)提供了基本安全性。
该协议由汇总的数据,消息类型,版本,长度和数字签名组成,使其长度为8个字节。但是,有时帧可能会具有填充和填充长度,因为存在固定的记录长度。
SSL 警报协议
此协议提供与 SSL 相关的警报,因为它负责处理可疑类型的数据包。
通常,它处理三种不同类型的警报消息:
- 警告
- 危急
- 致命
在这里,会话根据接收到的消息(即警告或严重)或者终止(致命)进一步限制。
更改密码规范协议
更改密码规范协议用于向密码策略中的转换发出信号。它包含一条消息,该消息的单个值字节为 1。此协议的目的是在连接状态下压缩和加密该消息。同样,此协议的消息由参与方服务器和客户端发送,用于通知接收方连续记录将受到新交换的CipherSpec和密钥的保护。
SSL握手协议是建立HTTPS连接的进程的技术名称。几乎所有重要的工作都是在这个协议中完成的。换句话说,它在服务器和客户端之间建立安全通道。
SSL握手协议的主要目的是执行具有安全连接所需的所有加密工作,例如检查SSL证书的真实性,它们是否由受信任的证书颁发机构创建和签名,证明服务器拥有的私钥与证书相关联,并且整个SSL握手是在几百毫秒内完成的。此外,SSL握手是HTTPS连接中发生的第一件事,甚至在网页完全加载之前。
每个软件彼此不同。因此,握手协议的第一步允许客户端和服务器共享其功能,以找出相互支持的加密功能。例如,Web浏览器是典型的客户端之一,但它们的功能因Microsoft Internet Explorer,GoogleChrome和Mozilla Firefox等浏览器而异。同样,当涉及到服务器时,如Windows Server,Apache和NGINX,它们的功能彼此不同。
虽然有一点需要注意,SSL握手是一系列几个步骤,这些步骤是为了完成以下三个主要任务而完成的。
- 交换加密功能
- SSL/TLS证书的身份验证
- 交换或生成会话密钥
如果您有兴趣了解确切的过程是什么,以下是完整的说明步骤。(请注意,在即将推出的协议版本TLS1.3中,握手设计已更改。因此,这些步骤与TLS1.2相关。
| 步骤编号 | 消息 | 行动 |
|---|---|---|
| 1 | 客户你好 | 这是第一步。在这里,客户端通过发送消息”ClientHello”来启动握手,该消息推荐将在整个 SSL 会话期间使用的 SSL 参数。 |
| 2 | 服务器你好 | 在这里,服务器使用消息”ServerHello”响应客户端,其中包含从提供的列表中选定的 SSL 参数,这些参数将在 SSL 会话期间使用。如果客户端和服务器无法共享公共参数,则连接将立即终止。 |
| 3 | 证书 | 在这里,服务器将向客户端发送 SSL 证书链(包括叶证书和中间证书)。然后,客户端将通过验证证书和证书链的数字签名并检查证书数据是否存在任何潜在问题(证书是否过期,域名错误等)来开始检查证书是否合法。客户端还将确保服务器拥有证书的私钥,并且整个过程在密钥交换/生成期间完成。 |
| 4 | ServerKeyExchange | 这是一条可选消息,当某些密钥交换方法要求服务器提供其他数据时,需要该消息。 |
| 5 | 服务器HelloDone | 在这里,服务器完成了 SSL 协商的一部分。换句话说,此消息”ServerHelloDone”告诉客户端所有消息都已发送过来。 |
| 6 | 客户端密钥交换 | 在这里,客户端发送有关会话密钥的信息,该密钥是使用服务器的公钥加密的。 |
| 7 | 更改密码规格 | 在这里,客户端向服务器提供指令,指示它为将来发送的所有消息激活所有协商的 SSL 参数。 |
| 8 | 完成 | 客户端指示服务器验证 SSL 协商是否成功。 |
| 9 | 更改密码规格 | 在这里,服务器向客户端发出指令,以激活所有协商的 SSL 参数,以便将来发送消息。 |
| 10 | 完成 | 最后,服务器指示客户端验证 SSL 协商是否成功。 |
完成上述步骤表示完成SSL握手。现在,双方将拥有会话密钥,并将开始与加密和经过身份验证的连接进行通信。此时,可以发送”应用程序”数据的第一个字节(属于双方将通信的实际服务的数据-即网站的HTML,Javascript等)。
分类
SSL/TLS架构和协议
SSL/TLS是一种直接在TCP上运行的协议(尽管对于基于数据报的协议(如UDP)还有其他一些实现。这就是在提供安全连接(例如,HTTP)时,更高级别的协议保持不变的原因。需要注意的一件事是,HTTP与SSL层下的HTTPS相同。
如果正确安装了SSL/TLS,攻击者将只能看到您与哪个端口和IP相关、发送了多少数据、使用了哪些加密和压缩。此外,攻击者可以终止连接,但积极的一面是双方都会知道连接已被第三方中断。
SSL涉及两个实体:服务器和客户端。在这里,客户端是启动事务的一个,另一个实体服务器是响应它。(客户端是Web浏览器,网站服务器是服务器。
SSL旨在利用TCP提供可靠的端到端安全服务。而且,它不是一个单一的协议,而是一个双层协议,其中SSL记录协议为不同的高级协议提供基本的安全服务。具体来说,HTTP为Web客户端和服务器之间的交互提供传输服务,可以在SSL之上运行。其他三个较高级别的协议被定义为SSL的一部分,即警报协议,握手协议和更改密码规范协议,用于管理SSL交换。让我们了解它们中的每一个。
分类
SSL/TLS如何工作?
随着我们了解SSL/TLS证书如何成为数据加密过程的重要组成部分之一,以使互联网交易安全可靠,现在让我们了解SSL/TLS证书的工作原理。
随着我们了解SSL/TLS证书如何成为数据加密过程的重要组成部分之一,以使互联网交易安全可靠,现在让我们了解SSL/TLS证书的工作原理。
根据外行人的观点,
- 首先,服务器或浏览器尝试与SSL安全网站(即Web服务器)连接。服务器或浏览器发出请求以识别Web服务器。
- Web服务器将SSL/TLS证书的副本发送到Web浏览器或服务器。
- Web服务器或浏览器会检查SSL证书是否可信。如果它值得信赖,它将向Web服务器发送一条消息。
- 要启动SSL加密会话,Web服务器会发回经过数字签名的确认。
- 最后,加密会话开始,加密数据在服务器/浏览器之间共享。
此外,SSL的工作可能看起来像一个无缝的过程。但是,在后台有几件事使SSL连接成功。例如,加密的不同类型的是什么,消息的身份验证是如何完成的,使用哪些密码和算法等等。
如果未安装SSL/TLS证书,则很容易发生APT(高级持续性威胁)、中间人(MIM)和协议攻击等攻击。
APT(高级持续性威胁)
顾名思义,这是一种”高级”攻击,这意味着由精通技术并由外部实体资助充足的人进行的攻击。还使用了各种技术,如偷渡式下载和MicrosoftSQL注入。
此外,这是一种有针对性的攻击,是有目的的。但是,这并不意味着所有针对性攻击都是APT,因为它使用自定义的攻击方法,例如零日漏洞利用,病毒,蠕虫和许多其他技术。这是一种需要时间的攻击,并且通常在很长一段时间后(即在损害造成后)被注意到。
中间人(MITM)攻击
MITM是一个严重的问题,这是对身份验证功能的威胁。这是攻击者能够秘密更改两个认为他们直接相互通信的人之间的数据的攻击之一,并且由于它是使用假地址远程完成的,因此非常具有挑战性。换句话说,它是当两个系统被未经授权的实体拦截时发生的攻击之一。
协议攻击
它是专注于服务器资源的攻击之一。像Slowloris和HTTPFlood这样的攻击就是这种攻击的例子。HTTP洪水是一种攻击,通过描绘虚假的GET或POST请求而发生,使其看起来是合法的。此外,用于HTTP泛洪攻击的带宽较少,这会迫使服务器使用最大资源。另一方面,Slowloris是Robert”RSnake”Hansen的发明,是一种拒绝服务攻击工具,用于以最少的资源攻击Web服务器。换句话说,Slowloris试图通过HTTP泛洪保持多个连接的打开状态。所需的目标与HTTP标头的部分请求连接,该请求永远不会完成,导致拒绝来自客户端的任何其他连接尝试,因为攻击它充满了最大并发连接池。
SSL通过加密保护数据
SSL/TLS证书通过在客户端(Web浏览器)和服务器之间建立安全的加密隧道来保护网站访问者的敏感信息,包括他们的登录详细信息,密码,帐户详细信息和信用卡号。SSL/TLS证书配备了强大的256位加密标准,无法轻易破解。
SSL确认您的身份
在互联网上信任某人并不容易,您也无法确定您正在访问的网站是真实的。许多虚假网站通过使用他人的姓名欺骗访问者并获得敏感信息。SSL证书可以帮助避免这种情况。获取SSL证书的第一步是完成验证过程。SSL提供商通过基于CA/B(CA和Web浏览器的联合论坛)设置的某些规则和法规的过程来验证购买SSL证书的个人或组织的合法性。
SSL提供不可否认性
加密、完整性和身份验证的组合可建立不可否认性。这意味着担保交易中的任何一方当事人都不能合法地说他们的通信来自其他人。SSL删除了一方拒绝或换句话说”收回”他们在线传达的信息的选项。
有助于避免”不安全”警告消息
2014年早些时候,搜索引擎的领导者谷歌宣布,安装了SSL/TLS证书的网站将在搜索结果中获得更多的偏好,这是他们使整个网络安全和加密的使命的一部分。自2018年以来,谷歌Chrome和其他流行的网络浏览器(如Mozilla Firefox)已经朝着它迈出了更严肃的一步。随着他们最新的Web浏览器版本的发布,他们甚至开始在非SSL网站上显示”不安全”警告。有些网站甚至无法在这些流行的浏览器上加载。因此,如果您希望访问者访问您的网站,则必须使用SSL。
数字经济时代
保障自家网站数据安全
防诈骗、防钓鱼、防窃听
SSL证书少不了
现而今,企业在网络安全方面的意识逐渐增强,可以将http协议转换成https加密传输协议的SSL证书已成为建设网站的标配。
虽然大家对SSL证书的作用已很清楚,但在选择SSL证书的时候,却不免有一些犯难:那个……我的网站该用什么类型的证书呢?
SO easy~
只要明确了这三个问题
你也可以秒变SSL证书“专家”
明确网站类型
如果是高度安全和信任的企业网站,如金融证券、银行、第三方支付、网上商城等,涉及到交易支付、客户隐私信息和账号密码的传输,那就不用考虑了,直接选择EV型 SSL证书。它支持国际主流浏览器绿色地址栏,安全锁旁显示企业名称,强制256位加密,是最高级别的SSL证书,没有之一。
如果是普通企业网站,如电子商务网站、企业网站等,但其中涉及注册、登录、会员中心等页面,那选择OV 型SSL证书准没错儿了,证书可显示中文单位名称和中文域名,利于品牌推广,更容易赢得客户信赖。
如果是个人品牌网站,如博客、信息、文章展示等,建议选购DV型 SSL证书,可以保证信息在传输过程中不会被非法窃取和篡改,而且无须审核信息,可快速签发(网站标配)。
明确域名数量
单域型:一般而言,一张ssl证书对应的是一个域名,如果只有单个域名需要使用SSL证书,那就可以选择网站单域名SSL证书。
多域型:如果有多个顶级域名完全不同的域名需要使用SSL证书,那就选择支持多域名的SSL证书进行保护,最多支持250个域名哦。
通配型:如果拥有多个子域名网站,那就选择通配符型SSL证书,它不限制子域名数量,可实现全站https安全加密。
明确加密强度
刚才提到的DV、OV、EV三种类型SSL证书,它们的加密强度是逐级提升的。对于涉及到资金、机密信息传输等对安全性要求高的网站,那么支持256位加密的EV型SSL证书自然是最合适的选择。如果对安全性要求没那么高的网站,那选择DV、OV型SSL证书都可以,但是如果网站涉及用户密码信息的,最好选择OV型SSL证书。
最后需要强调的是,无论您选择哪种SSL证书,一定要通过正规渠道,简单来说,必须是国家授牌CA认证机构(天威诚信)签发的SSL证书才可以,不然不仅会白白浪费金钱,甚至还会造成企业和用户信息泄露的严重后果。
近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),自2022年2月15日起施行。
国家互联网信息办公室有关负责人表示,网络安全审查是网络安全领域的重要法律制度,原《办法》自2020年6月1日施行以来,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。为落实《数据安全法》等法律法规要求,国家互联网信息办公室联合相关部门修订了《办法》。
《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。
国家互联网信息办公室有关负责人表示,《办法》修订对保障国家网络安全和数据安全具有重要意义。
正文:
国家互联网信息办公室
中华人民共和国国家发展和改革委员会
中华人民共和国工业和信息化部
中华人民共和国公安部
中华人民共和国国家安全部
中华人民共和国财政部
中华人民共和国商务部
中国人民银行
国家市场监督管理总局
国家广播电视总局
中国证券监督管理委员会
国家保密局
国家密码管理局令
第8号
《网络安全审查办法》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意,现予公布,自2022年2月15日起施行。
国家互联网信息办公室主任 庄荣文
国家发展和改革委员会主任 何立峰
工业和信息化部部长 肖亚庆
公安部部长 赵克志
国家安全部部长 陈文清
财政部部长 刘 昆
商务部部长 王文涛
中国人民银行行长 易 纲
国家市场监督管理总局局长 张 工
国家广播电视总局局长 聂辰席
中国证券监督管理委员会主席 易会满
国家保密局局长 李兆宗
国家密码管理局局长 刘东方
2021年12月28日
网络安全审查办法
第一条 为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。
第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。
前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。
第五条 关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。
第六条 对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。
第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
第八条 当事人申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或者可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;
(四)网络安全审查工作需要的其他材料。
第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。
第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。
第十四条 特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
第十五条 网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工作中知悉的商业秘密、个人信息,当事人、产品和服务提供者提交的未公开材料,以及其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或者用于审查以外的目的。
第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正,或者未能对审查工作中知悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。
第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。
网络安全审查办公室通过接受举报等形式加强事前事中事后监督。
第二十条 当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。
第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。
国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。
第二十三条 本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号)同时废止。
