SSL简介

引言
安全性是阻碍移动商务在行业获得迅速发展的最大瓶颈之一。消费者在进行手机购物等移动商务行为时,考虑最多的就是安全信用问题。所以,针对移动终端的安全解决方案d-SSL的提出,具有很重要的意义。

d-SSL采用的主要安全技术及其标准规范
d- SSL完整地实现了Internet主要的安全协议：SSL协议。SSL协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审 查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。d-SSL中采用了两类加密技 术。
对称加密技术
在对称加密方法中,对信息的加密和解密都使用相同的密钥。也就是说,一把钥匙开一把锁。使用对称加密方法将简化加密的处 理,每个贸易方都不必彼此研究和交换专用的加密算法,而是采用相同的加密算法并只交换共享的专用密钥。如果进行通信的贸易方能够确保专用密钥在密钥交换阶 段未曾泄露,那么机密性和报文完整性就可以通过对称加密方法加密机密信息和通过随报文一起发送报文摘要或报文散列值来实现。
非对称加密/公开密钥加密
在 非对称加密体系中,密钥被分解为一对(即一把公开密钥或加密密钥和一把专用密钥或解密密钥)。这对密钥中的任何一把都可作为公开密钥(加密密钥)通过非保 密方式向他人公开,而另一把则作为专用密钥(解密密钥)加以保存。公开密钥用于对机密性信息加密,专用密钥则用于对加密信息的解密。专用密钥只能由生成密 钥对的贸易方掌握,公开密钥可广泛发布,但它只对应于生成该密钥的贸易方。
d-SSL的设计
SSL协议简述
SSL协议由SSL记录协议和SSL握手协议两部分组成。
SSL记录协议
在 SSL协议中,所有的传输数据都被封装在记录中。记录是由记录头和记录数据组成的。所有的SSL通信消息,包括握手消息、告警消息和应用数据等,都使用 SSL记录协议进行封装。同一时刻同一方向的所有握手协议可以封装在同一个记录中传输。SSL记录协议有四种类型：ChangeCipherSpec、 Alert、Handshake和ApplicationData。
SSL握手协议
在通信的初始化阶段,客户方先发出 ClientHello消息,服务器方也应返回一个ServerHello消息。这两个消息用来协商双方的安全能力,包括协议版本、会话ID、交换密钥算 法、对称加密算法、压缩算法等。接着服务器方应发送服务器证书(包含了服务器的公钥等),如果服务器要求验证客户方,则要发送 CertificateRequest消息。最后服务器方发送ServerHelloDone消息,表示hello阶段的结束,服务器等待客户方的响应。
如 果服务器要求验证客户方,则客户方先发送Certificate消息,然后产生会话密钥,并用服务器的公钥加密,封装在 ClientKeyExchange消息中。如果客户方发送了自己的证书,则再发送一个数字签名CertificateVerify消息来对证书进行校 验。
随后,客户方发送一个Change CipherSpec消息,通知服务器以后发送的消息将采用先前协商好的安全参数加密,最后再发送一个加密后的Finish消息。服务器在收到上述两个消 息后,也发送自己的Change CipherSpec消息和Finish消息。至此,握手全部完成,双方可以开始传输应用数据。