眾所周知，不同主機之間的網絡數據傳輸主要是通過TCP/IP來完成的。無論是企業(yè)局域網數據傳輸，還是互聯(lián)網上的數據傳輸，都是如此。但是，令人想不通的是，在當初TCP/IP協(xié)議的設計過程中，并沒有提供任何安全性。也就是說，光憑TCP/IP協(xié)議，并不能過保障數據在網絡中的安全與穩(wěn)定的傳輸。為此，數據在網絡中的安全性要依賴于高層的應用程序。互聯(lián)網技術發(fā)展到現(xiàn)在，已經有不少提高網絡運輸穩(wěn)定與安全的解決方案。筆者今天結合Cisco技術談談如何通過SSL來實現(xiàn)這個需求。

SSL中文名字叫做安全套接層協(xié)議，他使用TCP/IP為高層協(xié)議建立安全連接。它運行在TCP/IP和高層協(xié)議之上，提供數據傳輸的安全性。SSL協(xié)議其包括兩個分支，分別為SSL紀錄協(xié)議與SSL握手協(xié)議。

一、三步完成SSL紀錄協(xié)議

SSL紀錄協(xié)議相對來說，比較簡單。它定義了數據在網絡中傳輸的格式，并對此采取加密處理。同時還提供了一些驗證手段，防止在傳輸過程中數據被人為的破壞，從而影響數據傳輸的穩(wěn)定性。要實現(xiàn)這些目的，只需要簡單的三步即可。

第一步：分塊。當上層的數據被轉移到SSL協(xié)議所在的層之后，數據將會被分塊。從上層傳遞下來的數據往往是以明文形式傳送的。通常情況下，分塊過后的數據不會超過214字節(jié)。分塊的時候，一般不會考慮數據的內容形式，而只考慮大小。即具有同樣類型的不同紀錄消息會被組合為一個紀錄;而如果一個紀錄容量比較大的話，也會被分割為多個塊。

第二步：壓縮并加密。分塊之后，SSL協(xié)議就會對要傳輸的數據使用壓縮算法進行壓縮，并且在壓縮過程中同時進行加密處理。壓縮算法必須保證數據在壓縮后不會被丟失。當另外一端接收到數據之后，就會采用對應的解壓算法對數據進行解壓縮，同時完成數據的解密過程。

第三步：紀錄有效載荷的保護。在數據傳輸過程中，另外一個需要關注的問題，就是傳輸數據的穩(wěn)定性。也就是說，傳輸的數據有沒有被意外的更改等等。SSL協(xié)議也提供這方面的保護。當完成對數據壓縮與加密之后，SSL紀錄協(xié)議會計算出完整的校驗值，也就是所謂的消息鑒別碼。在傳輸數據的時候，這個消息鑒別碼會隨同上面的塊一同被加密傳送。在接收端，數據被解密、解壓縮;然后也會重新計算著消息鑒別碼，以驗證數據是否在傳輸過程中被意外修改。

二、SSL握手協(xié)議

SSL紀錄協(xié)議只是在單機上對信息進行重新分塊并進行壓縮與加密，而沒有涉及到網絡連接。SSL握手協(xié)議則主要用來解決主機之間的連接問題。SSL握手協(xié)議使用SSL紀錄協(xié)議，在兩臺支持SSL的設備之間通過交換一系列信息，以建立SSL連接。SSL握手協(xié)議在建立連接的過程中，主要完成對服務器與客戶之間的相互鑒別、確定所要采用的加密算法、通過使用公開密鑰加密技術產生共享的加密信息、建立加密的SSL連接等等。

建立一個SSL會話要比SSL紀錄協(xié)議復雜的多，往往需要通過多個步驟才能夠完成。這里出于篇幅的限制，也就不再展開了。大家若有需要可以去參考相關的書籍。筆者這里主要對幾個容易搞混的地方做一些說明，以便于大家應用SSL協(xié)議。

一是加密方法的選擇。在SSL建立會話傳遞數據的過程中，要確保其路過的每一個網絡設備都支持SSL協(xié)議。否則的話，就會出現(xiàn)數據傳輸上的問題。而現(xiàn)在包括思科在內的網絡設備，大部分已經都支持SSL協(xié)議。但是，SSL協(xié)議所采用的加密方法有上十種。雖然現(xiàn)在的網絡設備基本都支持SSL協(xié)議，可是不一定會支持所有的加密算法。為此，SSL協(xié)議會在建立會話的過程中，選擇大家都支持的一種加密算法。在對于一些安全性級別要求比較高的場合中，網絡管理員要對其具體采用的加密算法進行監(jiān)控。若無法滿足企業(yè)的安全性需求，則要及時的更換設備或者對設備進行升級，以滿足比較高的加密算法以及安全性需求。