新版本思科CCIE EI 认证价值和体系，新版思科ei全新学习必备知识详解网络安全SSL协议

新版本思科CCIE EI 认证价值和体系，新版思科ei全新学习必备知识详解网络安全SSL协议SSL（Secure Sockets Layer，安全套接层）是一个安全协议，为基于TCP的应用层协议提供安全连接，如SSL可以为HTTP协议提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域，为网络上数据的传输提供安全性保证。是由Netscape公司于1990年开发，用于保障Word Wide Web（WWW）通讯的安全。主要任务是提供私密性，信息完整性和身份认证。1994年改版为SSLv2,1995年改版为SSLv3。

SSL是一个不依赖于平台和运用程序的协议，位于TCP/IP协议与各种应用层协议之间，为数据通信提高安全支持。

安全机制：

SSL提供的安全连接可以实现：

连接的私密性：利用对称密钥算法对传输数据进行加密，并利用密钥交换算法——RSA（Rivest Shamir and Adleman，非对称密钥算法的一种）加密传输对称密钥算法中使用的密钥。

身份验证：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的。SSL服务器和客户端通过PKI（Public Key Infrastructure，公钥基础设施）提供的机制从CA（Certificate Authority，认证机构）获取证书。

连接的可靠性：消息传输过程中使用基于密钥的MAC（Message Authentication Code，消息验证码）来检验消息的完整性。MAC是将密钥和任意长度的数据转换为固定长度数据的一种算法。利用MAC算法验证消息完整性的过程如图1所示。发送者在密钥的参与下，利用MAC算法计算出消息的MAC值，并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值，并与接收到的MAC值比较。如果二者相同，则报文没有改变；否则，报文在传输过程中被修改，接收者将丢弃该报文。

SSL协议结构：

Application layer protocol
SSL handshake protocol	SSL change cipher spec protocol	SSL alert protocal
SSL record protocol
TCP
IP

协议本身分为两层：底层为SSL记录协议（SSL record protocol）；上层为SSL握手协议（SSL handshake protocol）、SSL密码变化协议（SSL change cipher spec protocol）和SSL警告协议（SSL alert protocol）。新版本思科CCIE EI 认证价值和体系，新版思科ei全新学习必备知识详解网络安全SSL协议

SSL工作流程：

服务器认证阶段：

1. 客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；
2. 服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；
3. 客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；
4. 服务器回复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。新版本思科CCIE EI 认证价值和体系，新版思科ei全新学习必备知识详解网络安全SSL协议

extended validation ssl certificates翻译为中文即扩展验证（EV）SSL证书，该证书经过最彻底的身份验证，确保证书持有组织的真实性。独有的绿色地址栏技术将循环显示组织名称和作为CA的GlobalSign名称，从而最大限度上确保网站的安全性。

对线上购物者来说，绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在新一代高安全浏览器下，使用扩展验证（EV）SSL证书的网站的浏览器地址栏会自动呈现绿色，从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称，这些均向客户传递同一信息，该网站身份可信，信息传递安全可靠，而非钓鱼网站。