什么是相互 TLS (mTLS)？

相互 TLS 簡(jiǎn)稱(chēng) mTLS，是一種相互身份驗(yàn)證的方法。mTLS 通過(guò)驗(yàn)證他們都擁有正確的私人密鑰來(lái)確保網(wǎng)絡(luò)連接兩端的各方都是他們聲稱(chēng)的身份。他們各自的 TLS 證書(shū)中的信息提供了額外的驗(yàn)證。

mTLS 通常被用于零信任安全框架*，以驗(yàn)證組織內(nèi)的用戶、設(shè)備和服務(wù)器。它也可以幫助保持 API 的安全。

*零信任意味著默認(rèn)情況下不信任任何用戶、設(shè)備或網(wǎng)絡(luò)流量，這種方法有助于消除許多安全漏洞。

什么是 TLS？

傳輸層安全 (TLS) 是互聯(lián)網(wǎng)上廣泛使用的一種加密協(xié)議。TLS 的前身是 SSL，在客戶端-服務(wù)器連接中對(duì)服務(wù)器進(jìn)行身份驗(yàn)證，并對(duì)客戶和服務(wù)器之間的通信進(jìn)行加密，以便外部各方無(wú)法窺視通信。

關(guān)于 TLS 的運(yùn)作原理，需要了解三件重要的事情：

1. 公鑰和私鑰

TLS 使用一種叫做公鑰加密的技術(shù)運(yùn)作，它依賴于一對(duì)密鑰，即公鑰和私鑰。任何用公鑰加密的內(nèi)容都只能用私鑰解密。

因此，一個(gè)服務(wù)器如果解密了用公鑰加密的信息，就證明它擁有私鑰。任何人都可以通過(guò)查看域或服務(wù)器的 TLS 證書(shū)來(lái)查看公鑰。

2. TLS 證書(shū)

TLS 證書(shū)是一個(gè)數(shù)據(jù)文件，其中包含用于驗(yàn)證服務(wù)器或設(shè)備身份的重要信息，包括公鑰、證書(shū)頒發(fā)者聲明（TLS 證書(shū)由證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)）以及證書(shū)的到期日期。

3. TLS 握手

TLS 握手是驗(yàn)證 TLS 證書(shū)和服務(wù)器擁有私鑰的過(guò)程。TLS 握手還會(huì)確定握手結(jié)束后如何進(jìn)行加密。

mTLS 如何運(yùn)作？

通常在 TLS 中，服務(wù)器有一個(gè) TLS 證書(shū)和一個(gè)公鑰/私鑰對(duì)，而客戶端沒(méi)有。典型的 TLS 流程是這樣運(yùn)作的：

• 客戶端連接到服務(wù)器
• 服務(wù)器出示其 TLS 證書(shū)
• 客戶端驗(yàn)證服務(wù)器的證書(shū)
• 客戶端和服務(wù)器通過(guò)加密的 TLS 連接交換信息

然而，在 mTLS 中，客戶端和服務(wù)器都有一個(gè)證書(shū)，并且雙方都使用它們的公鑰/私鑰對(duì)進(jìn)行身份驗(yàn)證。與常規(guī) TLS 相比，mTLS 中有一些額外步驟來(lái)驗(yàn)證雙方（額外的步驟加粗顯示）。

• 客戶端連接到服務(wù)器
• 服務(wù)器出示其 TLS 證書(shū)
• 客戶端驗(yàn)證服務(wù)器的證書(shū)
• 客戶端出示其 TLS 證書(shū)
• 服務(wù)器驗(yàn)證客戶端的證書(shū)
• 服務(wù)器授予訪問(wèn)權(quán)限
• 客戶端和服務(wù)器通過(guò)加密的 TLS 連接交換信息

mTLS 中的證書(shū)頒發(fā)機(jī)構(gòu)

實(shí)施 mTLS 的組織充當(dāng)其自己的證書(shū)頒發(fā)機(jī)構(gòu)。這與標(biāo)準(zhǔn) TLS 相反，標(biāo)準(zhǔn) TLS 的證書(shū)頒發(fā)機(jī)構(gòu)是一個(gè)外部組織，負(fù)責(zé)檢查證書(shū)所有者是否合法擁有關(guān)聯(lián)域。

mTLS 需要“根”TLS 證書(shū)；這使組織能夠成為他們自己的證書(shū)頒發(fā)機(jī)構(gòu)。授權(quán)客戶端和服務(wù)器使用的證書(shū)必須與此根證書(shū)相對(duì)應(yīng)。根證書(shū)是自簽名的，這意味著組織自己創(chuàng)建它。（這種方法不適用于公共互聯(lián)網(wǎng)上的單向 TLS，因?yàn)楸仨氂赏獠孔C書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)這些證書(shū)。）

為什么使用 mTLS？

mTLS 有助于確?？蛻舳撕头?wù)器之間的流量是安全和可信的。這為登錄到組織網(wǎng)絡(luò)或應(yīng)用程序的用戶提供了一個(gè)額外的安全層。它還可以驗(yàn)證與不遵循登錄過(guò)程的客戶端設(shè)備的連接，如物聯(lián)網(wǎng) (IoT) 設(shè)備。

mTLS 可以防止各種類(lèi)型的攻擊，包括：

• 在途攻擊：在途攻擊者把自己放在客戶端和服務(wù)器之間，攔截或修改兩者之間的通信。當(dāng)使用 mTLS 時(shí)，在途攻擊者不能對(duì)客戶端或服務(wù)器進(jìn)行身份驗(yàn)證，使這種攻擊幾乎不可能進(jìn)行。
• 欺騙攻擊：攻擊者可以試圖在用戶面前“偽裝”（模仿）Web 服務(wù)器，或在 Web 服務(wù)器面前偽裝用戶。當(dāng)雙方都必須用 TLS 證書(shū)進(jìn)行身份驗(yàn)證時(shí)，欺騙攻擊就會(huì)困難得多。
• 憑證填充：攻擊者使用從數(shù)據(jù)泄露中泄露的憑證集，試圖以合法用戶身份登錄。如果沒(méi)有合法頒發(fā)的 TLS 證書(shū)，憑證填充對(duì)使用 mTLS 的組織的攻擊就無(wú)法成功。
• 暴力攻擊：暴力攻擊通常由機(jī)器人執(zhí)行，是指攻擊者使用快速試錯(cuò)法來(lái)猜測(cè)用戶的密碼。mTLS 確保一個(gè)密碼不足以獲得對(duì)組織網(wǎng)絡(luò)的訪問(wèn)權(quán)。（速率限制是處理這種類(lèi)型的機(jī)器人攻擊的另一種方法。）
• 網(wǎng)絡(luò)釣魚(yú)攻擊：網(wǎng)絡(luò)釣魚(yú)攻擊的目的通常是為了竊取用戶的憑證，然后利用這些憑證入侵網(wǎng)絡(luò)或應(yīng)用程序。即使用戶上當(dāng)受騙，攻擊者仍然需要 TLS 證書(shū)和相應(yīng)的私鑰才能使用這些憑證。
• 惡意 API 請(qǐng)求：當(dāng)用于 API 安全時(shí)，mTLS 可確保 API 請(qǐng)求只來(lái)自合法的、經(jīng)過(guò)身份驗(yàn)證的用戶。這可以阻止攻擊者發(fā)送惡意的 API 請(qǐng)求來(lái)利用漏洞或破壞 API 的預(yù)期運(yùn)作方式。

網(wǎng)站已經(jīng)使用 TLS，那為什么沒(méi)有在整個(gè)互聯(lián)網(wǎng)上使用 mTLS？

對(duì)于日常用途，單向身份驗(yàn)證提供了足夠的保護(hù)。公共互聯(lián)網(wǎng)上 TLS 的目標(biāo)是：1) 確保人們不會(huì)訪問(wèn)欺騙性網(wǎng)站，2) 確保私有數(shù)據(jù)在通過(guò)包含互聯(lián)網(wǎng)的各種網(wǎng)絡(luò)時(shí)安全且加密，以及 3) 確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有改變。客戶端僅驗(yàn)證服務(wù)器身份的單向 TLS 足以實(shí)現(xiàn)這些目標(biāo)。

此外，將 TLS 證書(shū)分發(fā)到所有最終用戶設(shè)備將非常困難。生成、管理和驗(yàn)證為此所需的數(shù)十億證書(shū)幾乎是不可能的任務(wù)。

但在較小的規(guī)模上，mTLS 對(duì)單個(gè)組織非常有用且非常實(shí)用，尤其是當(dāng)這些組織采用零信任方法來(lái)確保網(wǎng)絡(luò)安全時(shí)。由于零信任方法默認(rèn)不信任任何用戶、設(shè)備或請(qǐng)求，因此組織必須能夠在每次嘗試訪問(wèn)網(wǎng)絡(luò)中的任何時(shí)間對(duì)每個(gè)用戶、設(shè)備和請(qǐng)求進(jìn)行身份驗(yàn)證。mTLS 通過(guò)驗(yàn)證用戶和驗(yàn)證設(shè)備來(lái)幫助實(shí)現(xiàn)這一點(diǎn)。

以上就是什么是相互身份驗(yàn)證TLS(mTLS)？mTLS如何運(yùn)作、如何使用？的詳細(xì)內(nèi)容，更多關(guān)于TLS(mTLS)全面介紹的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

你可能感興趣的文章

• 

  什么是zkSync？zkSync有哪些優(yōu)缺點(diǎn)？如何運(yùn)作？

  這篇文章主要介紹了什么是zkSync？zkSync有哪些優(yōu)缺點(diǎn)？如何運(yùn)作？的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-06-29
• 

  一文讀懂什么是區(qū)塊鏈?如何運(yùn)作?如何選擇區(qū)塊鏈

  這篇文章主要介紹了一文讀懂什么是區(qū)塊鏈?如何運(yùn)作?如何選擇區(qū)塊鏈的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-06-05
• 

  什么是ZK-STARK以及有哪些技術(shù)優(yōu)勢(shì)?如何運(yùn)作?

  這篇文章主要介紹了什么是ZK-STARK以及有哪些技術(shù)優(yōu)勢(shì)?如何運(yùn)作?的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-06-01
• 

  加密貨幣借貸運(yùn)作模式有哪些?加密貨幣借貸的優(yōu)劣分析

  這篇文章主要介紹了加密貨幣借貸運(yùn)作模式有哪些?加密貨幣借貸的優(yōu)劣分析的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-01-28
• 

  通俗解釋加密貨幣恐慌與貪婪指數(shù)是什么?如何運(yùn)作?

  這篇文章主要介紹了通俗解釋加密貨幣恐慌與貪婪指數(shù)是什么?如何運(yùn)作?的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2023-01-28
• 

  defi的核心是什么?一文詳解defi的核心及如何運(yùn)作

  這篇文章主要介紹了defi的核心是什么?一文詳解defi的核心及如何運(yùn)作的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2022-12-28
• 

  挖礦的本質(zhì)是什么?一文了解挖礦本質(zhì)及挖礦如何運(yùn)作

  這篇文章主要介紹了挖礦的本質(zhì)是什么?一文了解挖礦本質(zhì)及挖礦如何運(yùn)作的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2022-12-13
• 

  比特幣信托基金是什么?比特幣信托基金怎么運(yùn)作的?

  這篇文章主要介紹了比特幣信托基金是什么?比特幣信托基金怎么運(yùn)作的?的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2024-11-15
• 

  中本聰為什么要發(fā)明比特幣?比特幣如何運(yùn)作的?

  這篇文章主要介紹了中本聰為什么要發(fā)明比特幣?比特幣如何運(yùn)作的?的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2022-11-08
• 

  什么是Aptos公鏈?一文全面解讀Aptos公鏈?zhǔn)窃趺催\(yùn)作的

  這篇文章主要介紹了什么是Aptos公鏈?一文全面解讀Aptos公鏈?zhǔn)窃趺催\(yùn)作的的相關(guān)資料,需要的朋友可以參考下本文詳細(xì)內(nèi)容介紹…

  2022-10-24