| 安全套接层(Secure Socket Layer, SSL)协议是Netscape公司设计的主要用于Web的安全传输协议。这种协议在Web上获得了广泛的应用。
|
|
|
| SSL是介于HTTP与TCP之间的可选层。当发送访问请求时,在SSL层,借助下层协议的信道安全协商出一份加密密钥,并用此密钥来加密HTTP请求。在TCP层,与服务器端口建立连接,传递SSL处理后的数据。接收端与此过程相反。这样,SSL在TCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此达到保密的效果。
|
|
|
| SSL协议分为两部分:握手协议(Handshake Protocol)和记录协议(Record Protocol)。其中握手协议用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全地协商出一份密钥;记录协议则定义了传输的格式。
|
|
|
|
|
| 握手协议是SSL的客户端,也是TCP的客户端,在TCP连接建立之后,发出一个Clienthello来发起握手,这个消息中包含了客户端自己可实现的算法列表和其他一些需要的消息;SSL的服务器端会回应一个Serverhello,其中确定了通信所需要的算法,然后发过去自己的证书,里面包含了身份和自己的公钥。客户端在收到这个消息后会生成一个秘密消息,用SSL服务器的公钥加密后传过去,SSL服务器端用自己的私钥解密后,会话密钥协商成功,双方可以用同一份会话密钥进行通信。
|
|
|
| 例如,一个用户通过浏览器访问SSL的Web服务器的过程如下。
|
|
|
| (1)浏览器和Web服务器开始建立一次SSL握手:双方协商使用的加密算法;浏览器端验证Web服务器提交的证书;双方协商生成会话密钥。
|
|
|
| (2)Web服务器向浏览器发送所请求的数据:Web服务器计算原始数据的散列值;用会话密钥加密散列值;将密文发送给浏览器。
|
|
|
| (3)浏览器接收处理并显示数据:用会话密钥解密得到原始数据和散列值;使用相同的散列函数计算散列值;比较收到的散列值和计算出的散列值,如果相同则显示数据。
|
|
|
|
|
| SSL记录协议是一个可相对独立工作的协议。记录协议定义了传输的格式,其报文包含长度、描述符和用户数据等内容。记录协议完成的工作包括信息传输、数据分段、可选择的数据压缩、提供信息鉴别码和加密。
|
|
|
| SSL记录层从上层接收任意长的用户数据,然后进行合适的分段,之后再使用压缩状态信息来压缩和解压缩记录。记录的另一个功能是负载保护,就是加密和完整性保护。
|
|
|
|
|
| IETF将SSL作了标准化,标准文献是RFC 2246,并将其称为传输层安全性(Transport Layer Security, TLS)。从技术上讲,TLS与SSL的差别非常微小。TLS提供了客户机与服务器之间的安全连接。TLS协议运行于TCP/IP之上,在高层协议(如HTTP)之下,因此它可以为高层协议数据提供机密性。安全连接所提供的信任、机密性和性能的级别各有不同,并且都取决于客户机和服务器的TLS配置。
|
|
|
