11.6 安全套接层 SSL 协议SSL(Secure Sockets Layer)协议最先是由著名的 Netscape 企业开发的,目前被广泛用于 Internet 上的身份认证与 Web 服务器和顾客端浏览器之间的数据安全通信。制定 SSL 协议的宗旨是为通信双方提供安全可靠的通信协议服务,在通信双方间建立一种传播层安全通道。SSL 使用对称加密来保证通信保密性,使用消息认证码(MAC)来保证数据完整性。SSL 重要使用 PKI 在建立连接时对通信双方进行身份认证。IETF 的传播层安全(TLS)协议(RFC 2246 1999)及无线访问协议(WAP)论坛的无线传播层安全协议(WTIS)都是 SSI 的后续发展。协议包括两个层次:其较低的 SSL 记录层协议位于传播协议 TCP/IP 之上。SSL 记录协议用来对其上层的协议进行封装。握手协议就在这些被封装的上层协议之中,它容许客户端与服务器彼此认证对方;并且在应用协议发出或收到第一种数据之前协商加密算法和加密密钥。这样做的原因就是保证应用协议的独立性,使低级协议对高级协议是透明的。目前,Internet 上对 7 层网络模型的每一层都已提出了对应的加密协议。在所有的这些协议中,会话层的 SSL 和应用层的 SET 与电子商务的应用关系最为亲密。因此,SSL 已成为顾客与 Internet 之间进行保密通信的事实原则,支持 SSL也已经成为每个浏览器的内置功能。SSL 包括握手和记录两个子协议。这两个子协议均可以提供与应用尤其是与 HTTP 的连接。这种连接通过了认证和保密,可以防止篡改。SSL 可以嵌入 Internet 的处理栈内,位于 TCP/IP 之上和应用层之下,而不会对其他协议层导致太大影响。SSL 同样可以与其他 Internet 应用一起使用,如 Intranet 和 Extranet 访问、应用安全、无线应用及 Web 服务等。通过对离开浏览器的数据进行加密,并在其进入数据中心之后进行解密,SSL 实现对Internet 的数据通信进行保护。SSL 对话是由连接和应用构成的。在连接对话期间,客户机和服务器互换证书并就安全参数进行磋商。假如客户机接受服务器的证书,就会建立一种主密钥,这个主密钥将被用来对随即进行的通信进行加密。在应用对话期间,客户机和服务器之间可以安全地传递信息,如信用卡号、股票交易数据、个人医疗数据以及其他敏感数据。SSL 提供如下三种机制以保证安全:认证,可以对服务器或连接各端的客户机和服务器进行认证;保密,可以对信息进行加密,只有交流信息的双方才能访问并理解加密信息;...
