眾所周知，不同主機之間的網絡數據傳輸主要是通過TCP/IP網絡協議來完成的。無論是企業局域網數據傳輸，還是互聯網上的數據傳輸，都是如此。但是，令人想不通的是，在當初TCP/IP協議的設計過程中，并沒有提供任何安全性。也就是說，光憑TCP/IP協議，并不能過保障數據在網絡中的安全與穩定的傳輸。為此，數據在網絡中的安全性要依賴于高層的應用程序?；ヂ摼W技術發展到現在，已經有不少提高網絡運輸穩定與安全的解決方案。筆者今天結合Cisco技術談談如何通過SSL來實現這個需求。

SSL中文名字叫做安全套接層協議，他使用TCP/IP為高層協議建立安全連接。它運行在TCP/IP和高層協議之上，提供數據傳輸的安全性。SSL協議其包括兩個分支，分別為SSL紀錄協議與SSL握手協議。

一、三步完成SSL紀錄協議

SSL紀錄協議相對來說，比較簡單。它定義了數據在網絡中傳輸的格式，并對此采取加密處理。同時還提供了一些驗證手段，防止在傳輸過程中數據被人為的破壞，從而影響數據傳輸的穩定性。要實現這些目的，只需要簡單的三步即可。

第一步：分塊。當上層的數據被轉移到SSL協議所在的層之后，數據將會被分塊。從上層傳遞下來的數據往往是以明文形式傳送的。通常情況下，分塊過后的數據不會超過214字節。分塊的時候，一般不會考慮數據的內容形式，而只考慮大小。即具有同樣類型的不同紀錄消息會被組合為一個紀錄;而如果一個紀錄容量比較大的話，也會被分割為多個塊。

第二步：壓縮并加密。分塊之后，SSL協議就會對要傳輸的數據使用壓縮算法進行壓縮，并且在壓縮過程中同時進行加密處理。壓縮算法必須保證數據在壓縮后不會被丟失。當另外一端接收到數據之后，就會采用對應的解壓算法對數據進行解壓縮，同時完成數據的解密過程。

第三步：紀錄有效載荷的保護。在數據傳輸過程中，另外一個需要關注的問題，就是傳輸數據的穩定性。也就是說，傳輸的數據有沒有被意外的更改等等。SSL協議也提供這方面的保護。當完成對數據壓縮與加密之后，SSL紀錄協議會計算出完整的校驗值，也就是所謂的消息鑒別碼。在傳輸數據的時候，這個消息鑒別碼會隨同上面的塊一同被加密傳送。在接收端，數據被解密、解壓縮;然后也會重新計算著消息鑒別碼，以驗證數據是否在傳輸過程中被意外修改。

二、SSL握手協議

SSL紀錄協議只是在單機上對信息進行重新分塊并進行壓縮與加密，而沒有涉及到網絡連接。SSL握手協議則主要用來解決主機之間的連接問題。SSL握手協議使用SSL紀錄協議，在兩臺支持SSL的設備之間通過交換一系列信息，以建立SSL連接。SSL握手協議在建立連接的過程中，主要完成對服務器與客戶之間的相互鑒別、確定所要采用的加密算法、通過使用公開密鑰加密技術產生共享的加密信息、建立加密的SSL連接等等。

建立一個SSL會話要比SSL紀錄協議復雜的多，往往需要通過多個步驟才能夠完成。這里出于篇幅的限制，也就不再展開了。大家若有需要可以去參考相關的書籍。筆者這里主要對幾個容易搞混的地方做一些說明，以便于大家應用SSL協議。

一是加密方法的選擇。在SSL建立會話傳遞數據的過程中，要確保其路過的每一個網絡設備都支持SSL協議。否則的話，就會出現數據傳輸上的問題。而現在包括思科在內的網絡設備，大部分已經都支持SSL協議。但是，SSL協議所采用的加密方法有上十種。雖然現在的網絡設備基本都支持SSL協議，可是不一定會支持所有的加密算法。為此，SSL協議會在建立會話的過程中，選擇大家都支持的一種加密算法。在對于一些安全性級別要求比較高的場合中，網絡管理員要對其具體采用的加密算法進行監控。若無法滿足企業的安全性需求，則要及時的更換設備或者對設備進行升級，以滿足比較高的加密算法以及安全性需求。#p#

二是要注意加密并不等于不能夠破解。SSL的連接是加密的。在客戶機、服務器之間的所有傳送數據通過SSL協議處理之后，都是加密的，這為數據傳輸提供了很高的機密性。SSL協議在確定了所使用的加密算法之后，一個初始化的握手過程會產生密鑰，加密算法就會采用這個密鑰。但是，要值得注意的就是，并不是說加密之后的數據就不能夠被破解。而只是說，增加了這個破譯的難度。而這個難度系數到底達到多少，又是由這個加密算法說決定的。雖然說在SSL會話過程中，SSL協議會自主選擇一個大家都支持的加密算法。

但是，出于某些特殊性安全的需要，有時候網絡管理員要對這個進行干預。如網絡管理員可以禁用某些網絡設備上的級別低的加密方法。從而在數據傳輸中，要么不傳，要傳就要用一些高級加密方法處理。這雖然不利于網絡傳輸的穩定性，但是可以滿足一些對于數據安全有特殊需要的客戶。

三是可以通過配置SSL協議為其他不安全的服務提供身份驗證等功能。如在實際工作中，采用Telnet協議遠程管理服務器或者網絡設備，不怎么安全。這主要是因為Telnet協議在數據傳輸過程中，無論是用戶名口令，還是執行命令，都是明文傳輸的。很顯然，這會給入侵者一個可乘之機。另外，諸如TFTP(簡單文本傳輸協議)也是不安全的，因為其沒有提供身份驗證機制。在這種情況下，網絡管理員就可以把SSL協議與這些不安全的協議結合起來，在享受它們便利的同時，又保障他們的安全性。

另外，IPSec技術也可以起到類似的作用。簡單的原理就是把路由器等關鍵設備當作服務器，而把用戶的主機當作客戶端。在服務期上可以設置安全策略，必須要采用加密技術。如此的話，在客戶端跟服務器端進行協商的時候，服務起就會告訴客戶端，你如果想跟我通信，必須要采用我指定的加密技術，否則的話，休想跟我通話。通過這種措施，就可以在客戶機與服務器之間強制建立起一個安全通道。

如此，即使HTTP等協議采用明文形式傳輸數據，也不用擔心。因為雖然HTTP協議沒有采取安全策略，但是當HTTP報文在網絡中傳輸的時候，諸如SSL或者Ipsec等安全技術為其保駕護航，通過加密等技術保障其傳輸過程中的安全性。

四是在VPN技術上與SSL協議集成，提高遠程訪問的安全性。雖然傳統的VPN技術也提供了一些安全身份認證機制，但是普遍認為其自帶的安全解決方案是不安全的。傳統的VPN技術下，黑客入侵、身份欺詐等攻擊行為時有發生，而且得逞的案例也不在少數。而如果在VPN技術上實現SSL協議，則其遠程訪問的安全性會發生根本的改變。也許會有人說，采用IPSec技術同樣可以取得類似的效果。

確實如此，但是如果企業采用IPSec技術來保障VPN安全的話，則必須要滿足一個前提條件，即企業的網絡架構不能夠經常變化。也就是說，IPSec技術確實在安全性方面具有杰出的表現，但是其靈活性就不如SSL那么高了。若企業的網絡還是處于變革中，那么筆者建議網絡管理員還是利用SSL協議來武裝VPN，來實現一個相對安全的遠程訪問。

五是在WEB服務上集成SSL協議，以實現安全性。我們都知道，WEB服務一向被認為是一種不安全的網絡訪問行為。但是，若果在WEB服務器上能夠實現SSL協議，那么，其就可以變得很安全。如現在有不少的電子商務網站，其在訪問時需要使用HTTPS來進行訪問，而不是傳統的HTTP。他們就是采用了SSL協議。

如果需要WEB服務器支持SSL通信，就必須要為WEB服務器設置SSL證書。如在微軟的服務器架構中，WEB服務器可以向證書頒發機構申請證書。安裝證書之后，網絡管理員就可以通過Internet服務管理器，將WEB服務器下面的虛擬目錄配置為要求采用SSL訪問。注意，此時可以制定一些特定的文件、目錄或者虛擬目錄采用SSL協議，而不需要所有的目錄。如此配置后，當客戶要訪問這些WEB服務器中的內容時，服務器就會告訴用戶要利用SSL協議進行通信。如果客戶的主機不支持SSL協議(如已經被認為的禁用掉)，則服務器會拒絕與其進行通信。從而爆炸功能WEB服務器資源的安全性。

【編輯推薦】

1. SSL協議讓網絡上的數據傳輸更安全
2. SSL VPN安全的協議以及功能