背景
为了使不同的设备或系统能够相互通信,让旧有系统和新的系统可以集成,通信更加灵活和可靠。以及将数据从不同的来源收集并传输到不同的目的地,实现数据的集中管理和分发。
通信网关完美克服了这一难题,485或者网口的设备能通过以太网或者4G无线,上传至智能物联网云平台。与计算平台相比,通信网关性价比也更高。以太网等设备的通信问题得到解决,但另一个问题也随之出现:通信链路易受网络攻击的威胁,使升级保护网络安全成为首要问题。
作为基于现代密码学公钥算法的安全协议,TLS/SSL能在工业通讯网络上保证传输安全,钡铼网关产品内置对TLS/SSL的支持,包括支持单/双向认证、X.509证书、密钥加密等多种安全认证。本文将介绍HTTPS、TLS/SSL相关知识。
1、什么是HTTPS?
超文本传输协议(HTTP)是设计用于在Web上传输内容的协议。HTTP是一种简单协议,它利用可靠的传输控制协议 (TCP) 服务来执行其内容传输功能。由于数据在传输过程中是明文传输,因此无法保证网络通信在传输过程中不被篡改,安全性受到限制。
超文本传输安全协议 (HTTPS)是在HTTP协议基础上实施TLS加密,以提高数据传输的安全性。所有网站以及其他部分web服务都使用该协议。因此,任何使用HTTPS的网站都使用 TLS加密。不同版本的TLS协议内容约定不一样,这也会给 HTTPS建立连接时需要握手协商的信息造成差异。
2、什么是SSL/TLS?
SSL/TLS协议SSL是指安全套接字层,是由网景公司在1990年推出的一种标准安全协议,简而言之,它是一项标准技术,可确保互联网连接安全,保护两个系统之间发送的任何敏感数据,防止网络犯罪分子读取和修改任何传输信息,包括个人资料,用于在网络通信中建立Web浏览器和Web服务器之间的加密链接。
TLS(传输层安全)是IETF组织(工程任务组)在1999年将SSL3.0协议规范进行了标准化。由于SSL和TLS之间存在加密算法上的差异,因此不能互相操作,所以是两个不同的协议,可以说,是更为安全的升级版 SSL。
两者主要工作在应用层与传输层之间,可以与多种应用层协议配合。
为什么需要 SSL/TLS?
两者创建的目的都是提高网络中数据访问的安全性,因为在 http 携带需要传送的数据,数据没有任何的保护,是容易被黑客拦截下来的;使用了 SSL/TLS 之后,因为数据包经过加密,即使被黑客截获,由于黑客不知道密钥,也无法获取数据包中的信息。
3、SSL/TLS 带来的安全优势
▲机密性:TLS通讯的每次会话都会由会话密钥加密,会话密钥通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。
▲完整性:使用MAC算法来保证消息的完整性,加密通讯中的数据很难被篡改而不被发现。
▲真实性是指通信的对方是可信的,利用了PKI(Public Key Infrastructure即「公钥基础设施」来保证公钥的真实性。
▲不可否认性,用TLS建立连接的时候,通讯双方可以互相检查对方的身份。在实践中,很常见的一种身份检查方式是检查对方持有的X.509数字证书。这样的数字证书通常是由一个授信机构颁发的,不可伪造。
- SSL/TLS协议流程
SSL/TLS协议流程用一句话来概括:其用非对称加密的手段来传递密钥,然后用密钥进行对称加密来传递应用数据;可以最大限度保证数据传输的安全性,可以保证数据不被窃听,不会导致数据安全问题。
具体来说,SSL/TLS在工作流程有以下几步:
▲先进行一个握手阶段:
1)客户端发出请求:这一步客户端会生成一个随机数传给服务器。
2)服务器回应:这一步服务器会返回给客户端一个服务器数字证书(证书中包含用于加密的公钥),另外服务器也会生成一个随机数给客户端。
3)客户端回应:这一步客户端首先会校验数字证书的合法性,然后会再生成一个随机数,这个随机数会使用第2步中的公钥采用非对称加密算法(例如RSA算法)进行加密后传给服务器,密文只能通过服务器的私钥来解密。
4)服务器最后回应:握手结束。
▲握手结束后,客户端和服务器都有上面握手阶段的三个随机数。客户端和服务器都通过这三个随机生成一个密钥,接下来所有的通信内容都使用这个密钥通过对称加密算法加密传输,服务器和客户端才开始进行安全的通信。
5、SSL和TLS的关系与区别
TLS的主要目标是使SSL更安全,并使协议的规范更精确和完善。TLS在SSL v3.0的基础上,提供了以下增加内容:
(1)更安全的MAC算法
(2)更严密的警报
(3)"灰色区域"规范的更明确的定义
还有人问过小编什么标准X.509证书,这次一同说吧。
X.509是密码学里公钥证书的格式标准。X.509证书已应用在包括TLS/SSL在内的众多网络协议里,同时它也用在很多非在线应用场景里,比如电子签名服务。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。我们所说的CA颁发的证书或者SSL/TLS证书指的都是符合X.509格式的证书。