SSL協議可以為信用卡和個人信息提供相對安全的保護。SSL是壹種對計算機之間的整個會話進行加密的協議。在SSL中,采用公鑰和私鑰。
SSL協議的優點是獨立於應用層協議的建立。HTTP、FTP、Telnet等高層應用協議可以透明地建立在SSL協議之上。在應用層協議通信之前,完成了加密算法、通信密鑰協商和服務器認證。之後,應用層協議傳輸的數據會被加密,從而保證我們在互聯網上通信的安全性。
SSL協議提供的安全服務有:
1)對用戶和服務器進行身份驗證,以確保數據被發送到正確的客戶端和服務器;
2)加密數據,防止數據被竊取;
3)保持數據的完整性,保證數據在傳輸過程中不會被更改。
SSL的主要目的是在兩個通信應用程序之間提供保密性和可靠性。這壹過程通過三個要素完成:
握手協議。
握手協議負責協商用於客戶端和服務器之間會話的加密參數。當壹個SSL客戶端和服務器第壹次開始通信時,它們商定壹個協議版本,選擇加密算法,選擇相互認證,並使用公鑰技術生成* * *共享密鑰。
2.記錄協議。
記錄協議用於交換應用層數據。應用消息被分成可管理的數據塊,並且可以被壓縮,並且應用MAC(消息認證碼)。然後對結果進行加密並傳輸。接收方接受數據並解密,檢查MAC,解壓縮並重組數據,並將結果提交給應用協議。
3.警告協議。該協議用於指示何時發生錯誤或兩臺主機之間的會話何時終止。
讓我們看壹個使用WEB客戶端和服務器的例子。WEB客戶端通過連接到支持SSL的服務器來啟動SSL會話。支持SSL的典型WEB服務器接受SSL連接請求的端口(默認值為443)不同於標準HTTP請求的端口(默認值為80)。當客戶端連接到此端口時,它將發起握手來建立SSL會話。當握手完成時,通信內容被加密,並且執行消息完整性檢查,直到SSL會話到期。SSL創建壹個會話,在此期間握手只能發生壹次。當SSL會話出現問題或者端口設置錯誤時,會造成SSL連接無法使用的現象。
SSL握手過程的步驟:
步驟1:SSL客戶機連接到SSL服務器,並要求服務器驗證自己的身份。
步驟2:服務器通過發送其數字證書來證明其身份。這種交換還可以包括直至根證書頒發機構(CA)的整個證書鏈。通過檢查過期日期並確認證書包含可信CA的數字簽名來驗證證書。
步驟3:服務器發送壹個請求來驗證客戶端的證書。然而,由於缺少公鑰體系結構,今天的大多數服務器不認證客戶端。
步驟4:協商用於加密的消息加密算法和用於完整性檢查的散列函數。通常客戶端提供壹個它支持的所有算法的列表,然後服務器選擇最安全的加密算法。
步驟5:客戶端和服務器通過以下步驟生成會話密鑰:
a.
客戶端生成壹個隨機數,用服務器的公鑰(從服務器的證書中獲得)對其進行加密,然後將其發送給服務器。
b.
服務器使用更多的隨機數據(當來自客戶端的密鑰可用時,使用客戶端密鑰;否則數據以明文發送)。
c.
使用散列函數,從隨機數據中生成安全密鑰。
SSL協議的優勢在於它提供了連接安全性,並具有三個基本屬性:
l
該連接是私有的。在初始握手定義了密鑰之後,將使用加密算法。對稱加密(如DES和RC4)用於數據加密。
l
您可以使用非對稱加密或公鑰加密(如RSA和DSS)來驗證對等實體的身份。
l
連接時可靠。消息傳輸使用密鑰MAC,包括消息完整性檢查。其中安全散列函數(例如SHA和MD5)用於MAC計算。
對SSL的接受僅限於HTTP。它已被證明可用於其他協議,但尚未被廣泛使用。收藏此文下載此文(DOC格式)下載此文(TXT格式)