SSL简介

gwh_08

浏览: 335358 次
性别:
来自: 北京

最近访客更多访客>>

u012363178

zjy_369

dai1989516

a464290459

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

在网络上，信息在由源主机到达目的主机的传输过程中会经过其他计算机。一般情况下，中间的计算机不会监听路过的信息。但在访问网上银行或者进行信用卡交易时，网络上的信息有可能被非法分子监听，从而导致个人隐私的泄露。由于Internet和Internet体系结构存在一些安全漏洞，总会有某些人能够截获并替换用户发出的原始信息。随着电子商务的不断发展，人们对信息安全的要求也越来越高，于是Netscape公司提出了SSL（Server Socket Layer）协议，旨在达到在开发网络（Internet）上安全、保密地传输信息的目的，这种协议在Web上获得了广泛的应用。
SSL简介

SSL（Server Socket Layer）是一种保证网络上的两个节点进行安全通信的协议。IETF（Internet Engineering Task Force）组织对SSL作了标准化，制订了RFC2246规范，并将其称为TLS（Transport Layer Security）。从技术上讲，目前TLS 1.0与TLS 3.0的差别非常微小。

如下表所示，SSL和TLS建立在TCP/IP协议的基础上，一些应用层协议，如HTTP和IMAP协议都可以采用SSL来保证通信的安全。建立在SSL协议上的HTTP被称为HTTPS协议。HTTP使用的默认端口为80，而HTTPS使用的默认端口为443.

协议层 					协议
应用层 			HTTP、IMAP、NNTP、Telnet、FTP等
安全套接字层 	        SSL、TLS
传输层 			TCP
网络层 			IP

当用户在网上商店购物时输入信用卡信息，进行网上支付交易时，存在以下不安全因素：

    用户的信用卡信息在网络上传输时有可能被他人截获。
    用户发送的信息在网络上传输时可能被非法篡改，数据完整性被破坏。
    用户正在访问的Web站点是个非法站点，专门从事网上欺诈活动，比如骗取客户的资金。
    非法用户访问一个合法的Web站点，该非法用户试图窃取Web站点的机密信息。
    其它的可能存在的不安全因素。

SSL采用加密技术来实现安全通信，保证通信数据的保密性和完整性，并且保证通信双方可以验证对方的身份。
加密通信

当客户与服务器进行通信时，通信数据有可能被网络上的其它计算机非法监听，SSL使用加密技术实现会话双方信息的安全传递。加密技术的基本原理是：数据从一端发送到另一端时，发送者先对数据加密，然后再把它发送给接收者。这样，在网络上传输的是经过加密的数据。如果有人在网络上非法截获了这些数据，由于没有解密的密钥，就无法获得真正的原始数据。接收者收到加密的数据后，先对数据进行解密，然后再处理。客户机和服务器的加密通信需要在两端同时进行。下图显示了采用SSL加密的通信过程：

安全证书

除了对数据加密通信，SSL还采用了身份认证机制，确保通信双方都可以验证对方的真实身份。它和现时日常生活中我们使用身份证来证明自己的身份很相似。比如你到银行去取钱，你自称自己叫张三，如何让银行相信你的真实身份呢？最有效的方法就是出示你的身份证。每个人都拥有唯一的身份证，这个身份证上记录了你的真实信息，身份证由国家权威机构颁发，不允许伪造。在身份证不能被别人假冒复制的前提下，只要你出示身份证，就可以证明你的确是你自称的那个人。

个人可以通过身份证来证明自己的身份，对于一个单位，比如商场，可以通过营业执照来表明身份，营业执照也是由国家权威机构颁发，不允许伪造，它保证了营业执照的可信性。

SSL通过安全证书来证明客户或服务器的身份。当客户通过安全的连接和服务器通信时，服务器会先向客户出示它的安全证书，这个证书声明该服务器是安全的，而且的确是这个服务器。每一个证书在全球范围内都是唯一的，其他非法服务器无法假冒原始服务器的身份。可以把安全证书比做电子身份证。

获取安全证书是一件麻烦的事情。一些服务器会向客户出示自己的安全证书，但另一方面，为了扩大客户群并且便于客户访问，许多服务器不要求客户出示安全证书。在某些情况下，服务器也会要求客户出示安全证书，以便核实客户的身份，这主要用于B2B（Business to Business）事务中。

获取安全证书有两种方式，一种方式是从权威机构购买证书，还有一种方式是创建自我签名的证书。

1、从权威机构获得证书

安全证书可以有效地保证通信双方身份的可信性。安全证书采用加密技术制作而成，他人几乎无法伪造。安全证书由国际权威的证书机构（Certificate Authority，CA）如VeriSign（www.verisign.com）和Thawte（www.thawte.com）颁发，它们保证了证书的可信性。申请安全证书时，必须支付一定的费用。一个安全证书只对一个IP地址有效，如果用户的系统环境中有多个IP，那么必须为每个IP地址购买安全证书。

2、创建自我签名证书

在某些场合，通信双方只关心数据在网络上可以安全传输，并不需要对对方进行身份验证，在这种情况下，可以创建自我签名（self-assign）的证书，比如通过SUN公司提供的keytool工具就可以创建这样的证书。这样证书就像用户自己制作的名片，缺乏权威性，达不到身份认证的目的。当你向对方递交你的名片，声称自己是某个大公司的老总，信不信只能由对方自己去判断。

既然自我签名证书不能有效地证明自己的身份，那么有何意义呢？在技术上，无论是从权威机构获得的证书，还是自己制作的证书，采用的加密技术都是一样的，使用这些证书，都可以实现安全的加密通信。