互TLS(简称mTLS)是一种用于服务之间相互身份验证的机制。也称为双向身份验证,它确保连接两端的各方都是他们声称的身份。它在零信任安全框架的前提下运行,以验证设备、服务器和API连接。
零信任验证假设网络内部和外部都存在威胁。因此,不应该自动信任任何连接。它还遵循最小特权访问原则,即只给予各方所需的访问权限。这种方法将每个用户的访问权限限制在他们被允许查看的内容上。
在这种相互TLS安排中,只有当每一方交换、验证和信任彼此的证书时,才能发生连接。mTLS有用的常见示例包括:
- 对企业网络中的用户设备进行认证
- 通过api进行B2B通信
- 物联网设备
mTLS涉及的证书类型
如前所述,mTLS依赖于证书。证书代表各方的身份。没有它,他们就无法证明他们被批准访问所请求的资源。万博手机登录平台握手依赖于被称为X.509的加密标准。它是定义公钥证书格式的标准。有三种类型的证书,每一种都符合这个标准。
根CA证书
该证书用于确定哪个证书颁发机构签署了客户端证书。服务器使用它来确定客户机是否值得信任。证书符合X.509标准。
客户端和服务器证书
客户端和服务器都使用符合X.509标准的安全证书。
mTLS是如何工作的?
通过这种方法进行身份验证是一个复杂的过程,涉及的每一方都必须相互证明自己的身份。该过程基于证书交换的概念。在mTLS中,客户端和服务器端都有一个证书。双方必须出示证件以核实身份。交换通过加密连接进行。
- 客户端通过向服务器发送“hello”消息来启动该流程。
- 服务器用“hello”消息和有关其SSL证书的信息响应客户端。它还会发送一个随机文本字符串,称为“server random”。
- 客户端使用颁发证书的证书颁发机构验证服务器的证书
- 客户端从服务器的SSL证书中检索公钥。
- 客户端向服务器发送另一条带有随机文本字符串的消息,该文本字符串被称为“premaster secret”。它还将公钥与此消息一起发送
- 服务器验证公钥是否正确并解密消息
- 双方根据服务器随机和预主密钥生成会话密钥
- 客户端发送一个“完成”消息
- 服务器响应一条“finished”消息
- 握手完成,交流开始。
此流程的例外情况
上述过程是理想的场景。然而,有些事情可能会出错,导致握手无法成功完成。
- 证书过期—在验证客户端证书时,服务器会检查当前日期,并与客户端证书的有效期进行比较。如果证书已过期,则握手失败。
- 证书被吊销—服务器检查客户端证书,确保该证书不在系统已吊销证书列表中。如果是,握手失败。
- 不在证书链中的证书—服务器维护一个受信任的证书颁发机构(CA)列表,该列表指定哪些证书将被接受。如果客户端证书不在该列表中,则握手失败。
为什么mTLS很重要?
使用mTLS对于确保网络上服务器或服务之间的双向身份验证至关重要。它有助于最大限度地减少每一方之间传输的数据被拦截的机会。
与第三方客户端更安全的通信
使用mTLS对内部请求进行身份验证可以相对确定事务中的每一方都是有效的。但是,当您引入外部客户端时会发生什么呢?他们可信任的信心水平下降。使用mTLS可以帮助您更自信地提供对这些外部请求的访问。
减少对不安全的静态登录方法的依赖
静态登录方法管理更密集。您必须定期更改密码,监控其使用情况,并确保其受到适当保护。
黑客更难模拟远程API调用
这种方法中使用的凭据仍然容易被泄露。但是,这种复杂性需要更复杂的技能来模拟身份验证尝试。
使用较少的网络资源万博手机登录平台
使用mTLS意味着你的api可以直接相互通信。因此,您不需要使用网络隧道进行通信。
mTLS的用例
安全的双向通信对于云环境是必要的。他们需要通过互联网进行通信,这使得他们之间的数据传输容易被拦截。下面是在云环境中使用这种类型的安全通信的两个示例。
连接云服务与内部服务器
使用CDN交付内容的电子商务网站是mTLS的完美用例。站点访问者建立到服务器的标准TLS连接。CDN服务器不希望与每个站点访问者执行加密通信。需要维护的证书太多了。相反,CDN与源服务器建立mTLS连接以返回所请求的内容。
服务网格环境
微服务架构现在是应用程序部署的首选方法。离散的代码块使公司能够保持敏捷所需的可维护性、可伸缩性和可重用性。这些代码块中的每个都必须通过网络进行通信,并且必须使用可信连接进行通信。使用服务网格来集中管理微服务,使开发人员能够控制服务之间通信的两端。
