眾所周知，不同主機之間的網(wǎng)絡數(shù)據(jù)傳輸主要是通過TCP/IP來完成的。無論是企業(yè)局域網(wǎng)數(shù)據(jù)傳輸，還是互聯(lián)網(wǎng)上的數(shù)據(jù)傳輸，都是如此。但是，令人想不通的是，在當初TCP/IP協(xié)議的設計過程中，并沒有提供任何安全性。也就是說，光憑TCP/IP協(xié)議，并不能過保障數(shù)據(jù)在網(wǎng)絡中的安全與穩(wěn)定的傳輸。為此，數(shù)據(jù)在網(wǎng)絡中的安全性要依賴于高層的應用程序�；ヂ�(lián)網(wǎng)技術發(fā)展到現(xiàn)在，已經(jīng)有不少提高網(wǎng)絡運輸穩(wěn)定與安全的解決方案。筆者今天結合Cisco技術談談如何通過SSL來實現(xiàn)這個需求。

SSL中文名字叫做安全套接層協(xié)議，他使用TCP/IP為高層協(xié)議建立安全連接。它運行在TCP/IP和高層協(xié)議之上，提供數(shù)據(jù)傳輸?shù)陌踩�性。SSL協(xié)議其包括兩個分支，分別為SSL紀錄協(xié)議與SSL握手協(xié)議。

一、三步完成SSL紀錄協(xié)議

SSL紀錄協(xié)議相對來說，比較簡單。它定義了數(shù)據(jù)在網(wǎng)絡中傳輸?shù)母袷剑�并對此采取加密處理。同時還提供了一些驗證手段，防止在傳輸過程中數(shù)據(jù)被人為的破壞，從而影響數(shù)據(jù)傳輸?shù)姆�(wěn)定性。要實現(xiàn)這些目的，只需要簡單的三步即可。

第一步：分塊。當上層的數(shù)據(jù)被轉移到SSL協(xié)議所在的層之后，數(shù)據(jù)將會被分塊。從上層傳遞下來的數(shù)據(jù)往往是以明文形式傳送的。通常情況下，分塊過后的數(shù)據(jù)不會超過214字節(jié)。分塊的時候，一般不會考慮數(shù)據(jù)的內容形式，而只考慮大小。即具有同樣類型的不同紀錄消息會被組合為一個紀錄;而如果一個紀錄容量比較大的話，也會被分割為多個塊。

第二步：壓縮并加密。分塊之后，SSL協(xié)議就會對要傳輸?shù)臄?shù)據(jù)使用壓縮算法進行壓縮，并且在壓縮過程中同時進行加密處理。壓縮算法必須保證數(shù)據(jù)在壓縮后不會被丟失。當另外一端接收到數(shù)據(jù)之后，就會采用對應的解壓算法對數(shù)據(jù)進行解壓縮，同時完成數(shù)據(jù)的解密過程。

第三步：紀錄有效載荷的保護。在數(shù)據(jù)傳輸過程中，另外一個需要關注的問題，就是傳輸數(shù)據(jù)的穩(wěn)定性。也就是說，傳輸?shù)臄?shù)據(jù)有沒有被意外的更改等等。SSL協(xié)議也提供這方面的保護。當完成對數(shù)據(jù)壓縮與加密之后，SSL紀錄協(xié)議會計算出完整的校驗值，也就是所謂的消息鑒別碼。在傳輸數(shù)據(jù)的時候，這個消息鑒別碼會隨同上面的塊一同被加密傳送。在接收端，數(shù)據(jù)被解密、解壓縮;然后也會重新計算著消息鑒別碼，以驗證數(shù)據(jù)是否在傳輸過程中被意外修改。

二、SSL握手協(xié)議

SSL紀錄協(xié)議只是在單機上對信息進行重新分塊并進行壓縮與加密，而沒有涉及到網(wǎng)絡連接。SSL握手協(xié)議則主要用來解決主機之間的連接問題。SSL握手協(xié)議使用SSL紀錄協(xié)議，在兩臺支持SSL的設備之間通過交換一系列信息，以建立SSL連接。SSL握手協(xié)議在建立連接的過程中，主要完成對服務器與客戶之間的相互鑒別、確定所要采用的加密算法、通過使用公開密鑰加密技術產(chǎn)生共享的加密信息、建立加密的SSL連接等等。

建立一個SSL會話要比SSL紀錄協(xié)議復雜的多，往往需要通過多個步驟才能夠完成。這里出于篇幅的限制，也就不再展開了。大家若有需要可以去參考相關的書籍。筆者這里主要對幾個容易搞混的地方做一些說明，以便于大家應用SSL協(xié)議。

一是加密方法的選擇。在SSL建立會話傳遞數(shù)據(jù)的過程中，要確保其路過的每一個網(wǎng)絡設備都支持SSL協(xié)議。否則的話，就會出現(xiàn)數(shù)據(jù)傳輸上的問題。而現(xiàn)在包括思科在內的網(wǎng)絡設備，大部分已經(jīng)都支持SSL協(xié)議。但是，SSL協(xié)議所采用的加密方法有上十種。雖然現(xiàn)在的網(wǎng)絡設備基本都支持SSL協(xié)議，可是不一定會支持所有的加密算法。為此，SSL協(xié)議會在建立會話的過程中，選擇大家都支持的一種加密算法。在對于一些安全性級別要求比較高的場合中，網(wǎng)絡管理員要對其具體采用的加密算法進行監(jiān)控。若無法滿足企業(yè)的安全性需求，則要及時的更換設備或者對設備進行升級，以滿足比較高的加密算法以及安全性需求。