安全套接层SSL协议VIP免费

11.6安全套接层SSL协议SSL（SecureSocketsLayer）协议最先是由著名的Netscape公司开发的，现在被广泛用于Internet上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。制定SSL协议的宗旨是为通信双方提供安全可靠的通信协议服务，在通信双方间建立一个传输层安全通道。SSL使用对称加密来保证通信保密性，使用消息认证码（MAC）来保证数据完整性。SSL主要使用PKI在建立连接时对通信双方进行身份认证。IETF的传输层安全（TLS）协议（RFC22461999）及无线访问协议（WAP）论坛的无线传输层安全协议（WTIS）都是SSI的后续发展。协议包括两个层次：其较低的SSL记录层协议位于传输协议TCP/IP之上。SSL记录协议用来对其上层的协议进行封装。握手协议就在这些被封装的上层协议之中，它允许客户端与服务器彼此认证对方；并且在应用协议发出或收到第一个数据之前协商加密算法和加密密钥。这样做的原因就是保证应用协议的独立性，使低级协议对高级协议是透明的。目前，Internet上对7层网络模型的每一层都已提出了相应的加密协议。在所有的这些协议中，会话层的SSL和应用层的SET与电子商务的应用关系最为密切。因此，SSL已成为用户与Internet之间进行保密通信的事实标准，支持SSL也已经成为每个浏览器的内置功能。SSL包括握手和记录两个子协议。这两个子协议均可以提供与应用尤其是与HTTP的连接。这种连接经过了认证和保密，可以防止篡改。SSL可以嵌入Internet的处理栈内，位于TCP/IP之上和应用层之下，而不会对其他协议层造成太大影响。SSL同样能够与其他Internet应用一起使用，如Intranet和Extranet访问、应用安全、无线应用及Web服务等。通过对离开浏览器的数据进行加密，并在其进入数据中心之后进行解密，SSL实现对Internet的数据通信进行保护。SSL对话是由连接和应用组成的。在连接对话期间，客户机和服务器交换证书并就安全参数进行磋商。如果客户机接受服务器的证书，就会建立一个主密钥，这个主密钥将被用来对随后进行的通信进行加密。在应用对话期间，客户机和服务器之间可以安全地传递信息，如信用卡号、股票交易数据、个人医疗数据以及其他敏感数据。SSL提供以下三种机制以确保安全：认证，能够对服务器或连接各端的客户机和服务器进行认证；保密，能够对信息进行加密，只有交流信息的双方才能访问并理解加密信息；完整性，可以防止信息内容在未经检测的情况下被修改，接收方可以确信他们收到的是无法进行修改的信息。保密通信过程中的一个关键步骤就是对双方身份进行认证。SSL握手子协议就具有之一功能。服务器与客户机之间的以下举动可以使认证动作变得更快捷：客户机对服务器进行认证；让客户机和服务器选择所需要的密码算法和安全水平；服务器有选择地对客户机进行认证；使用公共密钥密码生成可以共享的密钥，随后利用这些密钥传输真正的保密数据；建立SSL连接。SSL记录子协议负责加密数据的传送。以下动作可以使数据传送变得更快捷：数据被分解成小的可以使用的块，称作片断；通过一个具有完整性的“包装纸”使数据不被修改；数据加密后就可以贴上“包装纸”了。以往，电子商务的许多应用是不进行客户机认证的。不过，目前各公司都将SSL作为一项协议供数据中心里的新应用使用。对于基于SSL的VPN，以及那些需要对终端用户进行额外认证的应用而言，客户机认证正在成为一种趋势。客户机认证使得服务器可以使用与允许客户机对服务器进行认证相同的技术，在协议之内对用户身份进行确认。尽管两者认证的信息流极为不同，但是从概念上来看，其过程与服务器认证是相同的。这一过程同样也会在SSL握手子协议之内进行。在这种情况下，客户机必须向服务器提供有效的证书。服务器可以通过使用公共密钥密码学的标准技术对终端用户的有效性进行认证。SSL所具有的灵活性和强劲的生命力使其无所不在。可以预言的是，在SSL成为企业应用、无线访问设备、Web服务以及安全访问管理的关键性协议的同时，SSL的应用将继续大幅度增长。下面论述SSL原理和工作过程。11.6.1SSL协议概述1．SSL协议的作用SSL是提供Internet上的通信隐私性的安全协议。该协议允许客户端/服务器应用之间进行防窃听、防消...