简单.生活

　　SSL(Secure Socket Layer)

　　安全套接层(Secure Sockets Layer，SSL)是网景公司(Netscape)在推出Web浏览器首版的同时，提出的协议。 SSL采用公开密钥技术，保证两个应用间通信的保密性和可靠性，使客户与服务器应用之间的通信不被攻击者窃听。可在服务器和客户机两端同时实现支持，目前已成为网际网路上保密通讯的工业标准，现行Web浏览器亦普遍将Http和SSL相结合，从而实现安全通信。

　　SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。

　　协议结构

　　SSL协议可分为两层：SSL记录协议(SSL Record Protocol)和SSL握手协议(SSL Handshake Protocol)

　　SSL记录协议(SSL Record Protocol)它建立在可靠的传输协议(如TCP)之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol)：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

　　SSL协议提供的服务主要有：

　　1)认证用户和服务器，确保数据发送到正确的客户机和服务器；

　　2)加密数据以防止数据中途被窃取；

　　3)维护数据的完整性，确保数据在传输过程中不被改变。

　　SSL协议的握手过程
　　
　　1)客户端的浏览器向服务器传送客户端SSL协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。

　　2)服务器向客户端传送SSL协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。

　　3)客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过期，发行服务器证书的 CA 是否可靠，发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证通过，将继续进行第四步。

　　4)用户端随机产生一个用于后面通讯的“对称密码”，然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密，然后将加密后的“预主密码”传给服务器。

　　5)如果服务器要求客户的身份认证(在握手过程中为可选)，用户可以建立一个随机数然后对其进行数据签名，将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。

　　6)如果服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA是否可靠，发行CA的公钥能否正确解开客户证书的发行CA的数字签名，检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过，通讯立刻中断；如果验证通过，服务器将用自己的私钥解开加密的“预主密码”，然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。

　　7)服务器和客户端用相同的主密码即“通话密码”，一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性，防止数据通讯中的任何变化。

　　8)客户端向服务器端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知服务器客户端的握手过程结束。

　　9)服务器向客户端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知客户端服务器端的握手过程结束。

　　10)SSL的握手部分结束，SSL 安全通道的数据通讯开始，客户和服务器开始使用相同的对称密钥进行数据通讯，同时进行通讯完整性的检验。

　　从SSL协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。

　　虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下，Visa和MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。

　　SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如：Http、FTP、Telnet等等)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

　　TLS(Transport Layer Security)
　　
　　概况

　　最新版本的TLS(Transport Layer Security，传输层安全协议)是IETF(Internet Engineering Task Force，Internet工程任务组)制定的一种新的协议，它建立在SSL 3.0协议规范之上，是SSL 3.0的后续版本。可以理解为SSL 3.1，它是写入了RFC的。
　　　　
　　安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。

　　TLS利用密钥算法在互联网上提供端点身份认证与通讯保密，其基础是公钥基础设施(public key infrastructure，PKI)。不过在实现的典型例子中，只有网络服务者被可靠身份验证，而其客户端则不一定。这是因为公钥基础设施普遍商业运营，电子签名证书相当昂贵，普通大众很难买得起证书。协议的设计在某种程度上能够使主从式架构应用程序通讯本身预防窃听、干扰(Tampering)、和消息伪造。

　　协议结构

　　TLS记录协议

　　该协议由两层组成：TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。较低的层为TLS记录协议，位于某个可靠的传输协议(例如 TCP)上面。

Pages: 1 2