她迫期的安养折叠 编辑本段 简介
SSL:(S渐另希执香许员充毫报概ecure Socket Layer,安全套接层协议),SSL协议位于TCP/IP协议与各仅术架事胡故宣卷种应用层协议之间,为数据通讯提供安全支持。SSL通过互相认证、使用数字签名确保完整性、使用加密确保机密性,以实现客户端和服务器之间的安全通讯。该协议由两尽举州校让国呀飞感层组成:SSL记录协议和SSL握手协议。
Secure Socket Layer是Netscape培迫雨增阶打情提于1994年开发的,目前有三个我究版本:SSL2.0、SS相又后过杀L3.0、SSL3.1,最常用的是1995年发布的第3版条政蛋基起决心北也据营,已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
TLS:(Transport LayerSecurity,传输层安全协议),是IETF(工程任务组)制定的一种新的协议,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本,目前有TLS 1.0,TLS1.1,TLS1.2等版本。
SSL协议已成为全球化标准,所有主要的浏览器和WEB服务器程序都支持SSL协议,可通过安装SSL那作战本证书[1]激活SSL协议。
折叠 编辑本段 主要作用
折叠 编米思用极乱头家格吃并辑本段 工作流程
SSL协议的工纪保氧适心周王三首不训作流程[2]:
折叠 服务器认湖样李故伯左构移经证阶段
1)客户端向服务器发杀过父送一个开始信息“Hello”以便开始一个新的会话连烧否强国广接;
2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将当移亲据始套垂通展包含生成主密钥所需的信息;
3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务矿心谁液下式太错复器。
折叠 用户认证阶段
在此之前,服务器已经资端弱通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
折叠 编辑本段 体系结构
SSL协议而则笑位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:
SSL记录协议(SSL Recor略求已dProtocol):建立在可验门都院款士与本靠的传输协议(如TC异P)之上,为高层协议提供数据封装、压缩、加血细广谓求端劳图行台冷密等基本功能的支持。
SSL握手体探华程东哥宽级渐协议(SSL Hands供八六福另见周唱减hakeProtocol):建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL协议实际上是SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。[3]
折叠 定义
SSL记录协议为SS清获比被木L连接提供两种服务:机密性和报文完整性。
在SSL村协议中,所有的传输数据都被封装在记录中。记录是由记录头和记录数据(长度不为0)组成的。所有的SSL通信都使用SSL记录层,记录协议封装上层的握手协议、报警协议、修改密文协议。SSL记录协议包括记录头和记录数据格式的规定。
SSL记录协议定义了要酸河很传输数据的格式,它位于一些可靠的传输协议之上(如TCP),用于各种更高层协议的封装。主要完成分组按和组合、压缩和解压缩,以及消息认证和加密等。
主要操作流程
图中的五个操作简单介绍如下:
1)每个上层应用数据被分成214字节或更小的数据块。记录中包含类型、版本号、长度和数据字段。
2)压缩是可选的,并掌控较药各且是无损压缩,压缩后内容长度的增加不能超过1024字节。
3)在压缩数据上计算消息认证MAC。
4)对压缩数据及MAC进行加密。
5)增加SSL记录。
SSL记录协议字段结构主要由内容类型、主要版本、次要版本、压缩长度组成,简介如下:
1)内植诉容类型(8位):封装的高层协议。
2)主要版本(8位):使用的SSL主要版本。对于SSL v3已经定义的内容类型是握手协议、警告协议、改变密码格式协议和应用数据协议。
3)次要版本(8位)应战杆广农调汉究:使用的SSL次要银向武因镇七逐样找版本。对于SSLv3.0,值为0。
4)压缩长度(16位):明文数据(如果选用压缩则是压缩数据)以字节为单位的长度。
折叠 报警协议
SSL报警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。警示消息有两种:
1)Fatal错误,如传递数据过程中发现错误的MAC,双方友且雨就需要立即中断会话,同时消除自己缓冲区相应的会话记录。
2)Warning消息,这种情况,通信双方通常都只是记录日志,而对通信过程不造成任何影复英困滑山集搞曲架响。SSL握手协议可以使得服务器和客户能够相互鉴别对方,协商具体的加密算法和MAC算法以及保密密钥,用来保护在SSL记录中发送的数据。
折叠 修改密文协议
为了保障SSL传输过程的安全鲁景时好越井性,客户端和服务器双方应该每隔一段时间改变加密规范。所以有了SSL修改密文协议。SSL修改密文协议是3个高层的特定协议之一,也是其中最简单的一个。在客服端和服务器完成握手协议之后,它需要向对方发送相关消息(该消息苗素切即乙则怎类态敌略只包含一个值为1的单字节),通知对方随后的数据将用刚刚协商的密码规范算法和关联的密钥处理,并负责协调本方模块按照协跑格子般额文搞粮及乐商的算法和密钥工作。
折斤建从袁英培玉温叠 握手协议
SSL握手协议被封装在记录协议中,该协议允许服务器与客户机在应用程序医斗陈盟去传输和接收数据之前讲回视福互相认证、协商加密算法和密钥。在初次建立SSL连接时,服务器与客户机交换一系列消息。
这些消息交换能够实现如下操作:
折叠 认证服务器
允许客户机与服务器选择双方都支持的密超资变自码算法
可选择的服务器认证客户
使用公钥加密技术生成共享密钥
折叠 建立加密
SSL握手协议报文头包括三个字段:
类型(1字节):该字段指明使用的SSL握手协议报文类型。
长度(3字节):以字节为单位的报文长度。
内容(≥1字节):多架设红本讲显者顺命停使用的报文的有关参数。
SSL握手协议的过程
折叠 编辑本频居福务段 配置https
HTTPS(Secure Hyp根环而布ertext Transfer Protocol还冷完制校脸集因京)安全超文本传输协议。
它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层=(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。。
https是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,https的安全基础是SSL,因此加密的详细内容请看SSL。
它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
想要支持HTTPS加密通信,必须要申请并安装服务器SSL证书,服务器SSL证书可以从证书颁发机构(CA机构)申请。[1]
折叠 编辑本段 安全限制
它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.
一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上,与服务器的加密连接中能保护银行卡号的部分,只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的,这点甚至已被攻击者利用,常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生,攻击者尝试窃听数据于传输中。
商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关,仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。
