相互传输层安全或 mTLS 是一个启动TLS 连接的过程，该连接由双方使用 X.509 数字证书进行加密以相互验证。mTLS 还有助于降低将服务迁移到云实例的风险，并有助于防止恶意第三方进行缓解。

什么是 TLS？

传输层安全性 (TLS)是一种加密协议，旨在通过计算机网络提供通信安全性。Web 服务使用此协议来保护服务器和 Web 浏览器之间的所有通信。该协议有多种应用，例如网页浏览、电子邮件、即时消息和 IP 语音 (VoIP)。

TLS 是如何工作的？

TLS 是 Web 浏览器创建与 Web 服务器的安全连接的方式。由于第三方（证书颁发机构）的信任，Web 浏览器可以信任 Web 服务器。但是要使这种信任起作用，Web 浏览器必须具有该 CA 的现有知识。这也是为什么用户的设备和 Web 浏览器预装了许多公共 CA 的证书的原因。这些预加载的 CA 形成了 Web 浏览器和用户访问或希望访问的网站之间的信任连接或锚点。

以下步骤对于 Web 浏览器信任 Web 服务器成功提供的证书是必不可少的：

• CA 的公共证书应存在于操作系统或 Web 浏览器中。因此，提供了建立所有信任关系的锚。

• Web 浏览器必须向站点的域名所有权提供请求的证书。验证权限后，CA 会颁发一个新证书，并在使用其私钥对其进行数字签名后将其安装在 Web 浏览器上。

• 当 Web 浏览器访问网站并启动 TLS 连接时，Web 服务器会将其证书发送到 Web 浏览器。

• 现在，Web 浏览器使用 CA 的公共证书来检查接收到的证书的签名。一旦验证成功，Web 浏览器就知道它已连接到具有已证明域所有权的 Web 服务器。

什么是双向 TLS（mTLS） 身份验证？

相互或双向身份验证是一种安全过程，其中实体在实际通信之前相互进行身份验证。在相互身份验证中，只有在客户端和服务器都信任并验证彼此的凭据时才能建立连接。客户端和服务器必须提供数字证书来证明身份。此证书交换通过TLS 协议进行，以确保客户端与合法服务器通信，并且服务器仅响应出于公平目的尝试访问的客户端。

mTLS 是新协议吗？

相互身份验证是 TLS 标准的一部分，并且自从它被称为安全套接字层 (SSL) 以来一直是该规范的一部分。使用 TLS 来保护其流量的 Web 服务器可以进行相互身份验证。服务器需要向客户端请求其证书以实现相互身份验证，但大多数 Web 浏览器默认未配置为执行此操作。

mTLS 在哪里有用？

• 在服务器需要确保特定用户或设备的真实性和有效性的任何时候，都可以使用相互认证。在实际应用中，mTLS 可用于以下方面：

• 用户在应用程序中进行身份验证

• 设备到公司或专用网络

• 后端服务器上的内容交付网络 (CDN) 或云安全服务

• 物联网 (IoT)传感器

• 使用各种 API 的企业对企业 (B2B) 数据交换。

• 微服务架构，其中每个微服务必须确保每个组件都可以通信且有效。

相互身份验证如何促进应用程序安全？

许多企业正在迁移到云端以利用多云平台的优势。但是这些通信正在产生有关各种云实例安全性的问题。因此，确保只有经过批准的应用程序或进程才能访问这些内容至关重要。这个问题可以通过利用双向 TLS 身份验证来解决。相互身份验证与密码/身份提供者结合使用或单独使用，以限制特定证书颁发机构可接受的证书范围。客户端通过验证服务器和客户端的凭据来验证网站的身份。对于基于云的实例，HTTP 是API的传输，支持组件的相互身份验证。

mTLS 的好处

mTLS 是一种流行的东西，因为 SSL 已经过时了。像 Skype 这样的几家公司使用 mTLS 来保护他们的业务服务器，这对于用户希望通过加密来保护双向流量的情况更为重要。很多时候，设备会自动登录到某个网络并可以访问资源。使用 TLS 将确保正确加密，并且在没有身份验证的情况下，任何机器都无法访问资源，以防止“中间人攻击”或其他网络攻击。这意味着提供可以通过加密方式验证的设备或服务器身份，或者使用户的资源更加灵活，同时保持这些资源的安全。

HSM与TLS

安全的CA密钥是在PKI（公钥基础设施）最为关键。如果CA密钥被泄露，则整个基础架构的安全性将受到威胁。CA密钥主要存储在专用HSM上，以提供对未授权实体的篡改和公开保护。普通CA部署包括一个根CA和一个颁发或子CA。根CA始终保持脱机状态，并且从不连接到任何网络。颁发/子CA保持联机状态，并负责所有证书和密钥管理。部署了高级物理控件和安全机制来保护根和子CA服务器。

揽阁信息所提供的Thales Luna HSM（加密机），拥有FIPS 140-2 Level 3、CC EAL 4+等多项国际认证，是专业的用于保护密钥的产品。其最高性能可实现RAS 2048每秒10000次签名运算，是最为理想的密钥安全存储和使用设备。您可以联系揽阁信息获取更多产品和解决方案的资料与信息。

结论

没有技术是完美的，因此 TLS 更新频繁，用户应该始终选择受信任的 CA。用户名和密码是一个不错的选择，但它们不可靠且容易被利用。为了寻求更好的安全方法，首先使用加密标识来识别可验证的设备。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 从398天到90天：Google缩短TLS证书有效期的提议 – 您准备好了吗？

• 代码签名的最佳实践？以及如何实施它们？

• 正式发布：SafeNet 身份验证客户端 (SAC) 10.8 R1 for Mac

• 通配符证书——危险还是更容易使用？

• 基于硬件的 PKI，可提供强大的无密码身份验证