没有合适的资源?快使用搜索试试~ 我知道了~
ssl协议详解及其应用
5星 · 超过95%的资源 需积分: 9 17 下载量 29 浏览量
2011-07-19
22:59:26
上传
评论
收藏 74KB DOC 举报
温馨提示
试读
11页
ssl协议,包括ssl协议作用的位置,传输时的格式,过程详解,还有安全性分析等
资源推荐
资源详情
资源评论
11.6 安全套接层 SSL 协议
SSL(Secure Sockets Layer)协议最先是由著名的 Netscape 公司开发
的,现在被广泛用于 Internet 上的身份认证与 Web 服务器和用户端浏览器之
间的数据安全通信。
制定 SSL 协议的宗旨是为通信双方提供安全可靠的通信协议服务,在通信
双方间建立一个传输层安全通道。SSL 使用对称加密来保证通信保密性,使用
消息认证码(MAC)来保证数据完整性。SSL 主要使用 PKI 在建立连接时对通
信双方进行身份认证。IETF 的传输层安全(TLS)协议(RFC 2246 1999)
及无线访问协议(WAP)论坛的无线传输层安全协议(WTIS)都是 SSI 的后
续发展。协议包括两个层次:其较低的 SSL 记录层协议位于传输协议 TCP/IP
之上。SSL 记录协议用来对其上层的协议进行封装。握手协议就在这些被封装
的上层协议之中,它允许客户端与服务器彼此认证对方;并且在应用协议发出
或收到第一个数据之前协商加密算法和加密密钥。这样做的原因就是保证应用
协议的独立性,使低级协议对高级协议是透明的。
目前,Internet 上对 7 层网络模型的每一层都已提出了相应的加密协议。
在所有的这些协议中,会话层的 SSL 和应用层的 SET 与电子商务的应用关系最
为密切。
因此,SSL 已成为用户与 Internet 之间进行保密通信的事实标准,支持
SSL 也已经成为每个浏览器的内置功能。SSL 包括握手和记录两个子协议。这
两个子协议均可以提供与应用尤其是与 HTTP 的连接。这种连接经过了认证和
保密,可以防止篡改。
SSL 可以嵌入 Internet 的处理栈内,位于 TCP/IP 之上和应用层之下,而
不会对其他协议层造成太大影响。SSL 同样能够与其他 Internet 应用一起使用,
如 Intranet 和 Extranet 访问、应用安全、无线应用及 Web 服务等。通过对
离开浏览器的数据进行加密,并在其进入数据中心之后进行解密,SSL 实现对
Internet 的数据通信进行保护。
SSL 对话是由连接和应用组成的。在连接对话期间,客户机和服务器交换
证书并就安全参数进行磋商。如果客户机接受服务器的证书,就会建立一个主
密钥,这个主密钥将被用来对随后进行的通信进行加密。
在应用对话期间,客户机和服务器之间可以安全地传递信息,如信用卡号、
股票交易数据、个人医疗数据以及其他敏感数据。SSL 提供以下三种机制以确
保安全:认证,能够对服务器或连接各端的客户机和服务器进行认证;保密,
能够对信息进行加密,只有交流信息的双方才能访问并理解加密信息;完整性,
可以防止信息内容在未经检测的情况下被修改,接收方可以确信他们收到的是
无法进行修改的信息。
保密通信过程中的一个关键步骤就是对双方身份进行认证。SSL 握手子协
议就具有之一功能。服务器与客户机之间的以下举动可以使认证动作变得更快
捷:客户机对服务器进行认证;让客户机和服务器选择所需要的密码算法和安
全水平;服务器有选择地对客户机进行认证;使用公共密钥密码生成可以共享
的密钥,随后利用这些密钥传输真正的保密数据;建立 SSL 连接。
SSL 记录子协议负责加密数据的传送。以下动作可以使数据传送变得更快
捷:数据被分解成小的可以使用的块,称作片断;通过一个具有完整性的“包装
纸”使数据不被修改;数据加密后就可以贴上“包装纸”了。
以往,电子商务的许多应用是不进行客户机认证的。不过,目前各公司都
将 SSL 作为一项协议供数据中心里的新应用使用。对于基于 SSL 的 VPN,以
及那些需要对终端用户进行额外认证的应用而言,客户机认证正在成为一种趋
势。
客户机认证使得服务器可以使用与允许客户机对服务器进行认证相同的技
术,在协议之内对用户身份进行确认。尽管两者认证的信息流极为不同,但是
从概念上来看,其过程与服务器认证是相同的。这一过程同样也会在 SSL 握手
子协议之内进行。在这种情况下,客户机必须向服务器提供有效的证书。服务
器可以通过使用公共密钥密码学的标准技术对终端用户的有效性进行认证。
SSL 所具有的灵活性和强劲的生命力使其无所不在。可以预言的是,在
SSL 成为企业应用、无线访问设备、Web 服务以及安全访问管理的关键性协议
的同时,SSL 的应用将继续大幅度增长。下面论述 SSL 原理和工作过程。
11.6.1 SSL 协议概述
1.SSL 协议的作用
SSL 是提供 Internet 上的通信隐私性的安全协议。该协议允许客户端/服务
器应用之间进行防窃听、防消息篡改及防消息伪造的安全的通信。
TCP/IP 是整个 Internet 数据传输和通信所使用的最基本的控制协议,在它
之上还有 HTTP(Hypertext Transfer Protocol)、LDAP(Lightweight
Directory Access Protoco1)、IMAP(Internet Messaging Access
Protocol)等应用层传输协议。而 SSL 是位于 TCP/IP 和各种应用层协议之间
的一种数据安全协议(如图 1l-8 所示)。SSL 协议可以有效地避免网上信息的
偷听、篡改及信息的伪造。
图 11-80 SSL 协议的位置
SSL 标准的关键是要解决以下几个问题。
(1)客户对服务器的身份确认:SSL 服务器允许客户的浏览器使用标准的
公钥加密技术和一些可靠的认证中心(CA)的证书,来确认服务器的合法性
(检验服务器的证书和 ID 的合法性)。对于用户服务器身份的确认与否是非常
重要的,因为客户可能向服务器发送自己的信用卡密码。
(2)服务器对客户的身份确认:允许 SSL 服务器确认客户的身份,SSL
协议允许客户服务器的软件通过公钥技术和可信赖的证书来确认客户的身份
(客户的证书)。对于服务器客户身份的确认与否是非常重要的,因为网上银
行可能要向客户发送机密的金融信息。
(3)建立起服务器和客户之间安全的数据通道:SSL 要求客户和服务器之
间所有的发送数据都被发送端加密,所有的接收数据都被接收端解密,这样才
能提供一个高水平的安全保证。同时 SSL 协议会在传输过程中检查数据是否被
中途修改。
2.SSL 协议的目标
按它们的优先级,SSL 协议的目标如下。
(1)在通信双方之间利用加密的 SSL 消息建立安全的连接。
(2)互操作性。通信双方的程序是独立的,即一方可以在不知道对方程序
编码的情况下,利用 SSL 成功地交换加密参数。
注意:并不是所有的 SSL 实例(甚至在同一应用程序内)都可以成功地
连接。例如,如果服务器支持一特定的硬件令牌(token),而客户端不能访
问此令牌,则连接不会成功。
(3)可扩展性。SSL 寻求提供一种框架结构,在此框架结构中,在不对协
议进行大的修改的情况下,可以在必要时加入新的公钥算法和单钥算法。这样
做还可以实现两个子目标:
— 避免产生新协议的需要,因而进一步避免了产生新的不足的可能性;
— 避免了实现一完整的安全协议的需要。
相对于有效性加密操作,尤其是公钥加密,对 CPU 来说是一种很耗时的事,
因此 SSL 协议引入一个可选的对话缓存(Cache)来减少从头开始的连接数目。
同时,它还注意减少网络的活动。
3.SSL 主要组成
SSL 协议由两层组成,分别是握手协议层和记录协议层。握手协议建立在
记录协议之上,此外,还有警告协议、更改密码说明协议和应用数据协议等对
话协议和管理提供支持的子协议。SSL 协议的组成及其 TCP/IP 中的位置如图
11-9 所示。
图 11-90 SSL 协议的组成及其在 TCP/IP 中的位置
剩余10页未读,继续阅读
资源评论
- wangshilh2014-07-02评论的有点晚,但是很实用
- 呱呱叫的老章2013-11-08好东西,值得参考
- JJYYU2012-12-21基本符合科普论文格式,概论部分有点冗长,但其他部分详细实用。
- vision662014-07-09纯粹的分析性文档, 和我想要的有些不一样
- 三鬼王子2012-11-28说的很详细,还有实例
三只鹿的鹿
- 粉丝: 0
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功