申論題

SSL/TLS（Secure Socket Layer/Transport Layer Security）協定確保網絡通訊的安全和數據的完整性，它採用了數種機制來確定連線通訊的對象是否為本尊，主要機制包括：

1. 數字證書

SSL/TLS 使用數字證書來驗證身份。數字證書通常由受信任的第三方機構（稱為證書授權機構，CA）簽發。這些證書包含了證書持有者（例如網站）的公開密鑰和身份信息（如組織名稱和網站地址）。

2. 公開密鑰基礎設施（PKI）

公開密鑰基礎設施（PKI）是一種安全架構，用於管理公開密鑰和私有密鑰的生成、發佈、儲存、使用以及撤銷。在 SSL/TLS 中，服務器和客戶端會使用證書中的公開密鑰來進行加密通訊，確保只有持有對應私鑰的證書持有者才能解密這些信息。

3. 握手協議

SSL/TLS 協定的一個關鍵部分是握手協議，它在通信雙方開始傳送數據之前確立安全參數。握手過程包括：

• 客戶端和服務器交換支持的協議版本、加密算法和其他安全設定。
• 服務器向客戶端發送其數字證書。
• 客戶端驗證服務器證書的有效性，確保它是由可信的 CA 簽發並且與服務器的域名匹配。
• 可選的客戶端證書驗證（在雙向認證的情況下）。
• 使用證書中的公鑰來加密一個生成的對稱密鑰，並將其安全地傳送給服務器。只有擁有對應私鑰的服務器才能解密並使用這個對稱密鑰。

4. 完整性檢查

在握手過程中，通過使用消息認證碼（MAC）或類似機制來確保傳輸的數據未被篡改。這有助於驗證數據的完整性和證書持有者的身份。

這些機制共同工作，確保 SSL/TLS 連接的安全性，並驗證通信對象的真實性。這樣一來，用戶可以信任他們所連接的服務器或客戶端確實是他們所聲稱的身份，有效防止了中間人攻擊和其他安全威脅。