SSL安全協(xié)議最初是由Netscape Communication公司設(shè)計(jì)開(kāi)發(fā)的��,又叫“安全套接層(Secure Sockets Layer)協(xié)議”���,主要用于提高應(yīng)用程序之間的數(shù)據(jù)的傳輸安全。SSL協(xié)議的整個(gè)概念可以被總結(jié)為:一個(gè)保證安裝了安全套接字的客戶(hù)和服務(wù)器間事務(wù)安全的協(xié)議����。
SSL安全協(xié)議主要提供三方面的服務(wù):
用戶(hù)和服務(wù)器的合法性認(rèn)證
認(rèn)證用戶(hù)和服務(wù)器的合法性,使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶(hù)機(jī)和服務(wù)器上?�?蛻?hù)機(jī)和服務(wù)器都是有各自的識(shí)別號(hào)��,這些識(shí)別號(hào)由公開(kāi)密鑰進(jìn)行編號(hào)��,為了驗(yàn)證用戶(hù)是否合法����,安全套接層協(xié)議要求在握手交換數(shù)據(jù)進(jìn)行數(shù)字認(rèn)證�����,以此來(lái)確保用戶(hù)的合法性�����。
加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)
安全套接層協(xié)議所采用的加密技術(shù)既有對(duì)稱(chēng)密鑰技術(shù)����,也有公開(kāi)密鑰技術(shù)。在客戶(hù)機(jī)與服務(wù)器進(jìn)行數(shù)據(jù)交換之前��,交換SSL初始握手信息�����,在SSL握手情息中采用了各種加密技術(shù)對(duì)其加密,以保證其機(jī)密性和數(shù)據(jù)的完整性����,并且用數(shù)字證書(shū)進(jìn)行鑒別。這樣就可以防止非法用戶(hù)進(jìn)行破譯���。
護(hù)數(shù)據(jù)的完整性
安全套接層協(xié)議采用Hash函數(shù)和機(jī)密共享的方法來(lái)提供信息的完整性服務(wù)�,建立客戶(hù)機(jī)與服務(wù)器之間的安全通道�,使所有經(jīng)過(guò)安全套接層協(xié)議處理的業(yè)務(wù)在傳輸過(guò)程中能全部完整準(zhǔn)確無(wú)誤地到達(dá)目的地。
要說(shuō)明的是����,安全套接層協(xié)議是一個(gè)保證計(jì)算機(jī)通信安全的協(xié)議,對(duì)通信對(duì)話過(guò)程進(jìn)行安全保護(hù)��。例如���,一臺(tái)客戶(hù)機(jī)與一臺(tái)主機(jī)連接上了�,首先是要初始化握手協(xié)議��,然后就建立了一個(gè)SSL�����。對(duì)話進(jìn)段。直到對(duì)話結(jié)束�����,安全套接層協(xié)議都會(huì)對(duì)整個(gè)通信過(guò)程加密����,并且檢查其完整性����。這樣一個(gè)對(duì)話時(shí)段算一次握手。而HTTP協(xié)議中的每一次連接就是一次握手��,因此����,與HTTP相比。安全套接層協(xié)議的通信效率會(huì)高一些��。
(1)接通階段:客戶(hù)通過(guò)網(wǎng)絡(luò)向服務(wù)商打招呼���,服務(wù)商回應(yīng)����;
(2)密碼交換階段:客戶(hù)與服務(wù)器之間交換雙方認(rèn)可的密碼,一般選用RSA密碼算法�����,也有的選用Diffie-Hellmanf和Fortezza-KEA密碼算法����;
(3)會(huì)談密碼階段:客戶(hù)與服務(wù)商間產(chǎn)生彼此交談的會(huì)談密碼;
(4)檢驗(yàn)階段:檢驗(yàn)服務(wù)商取得的密碼�����;
(5)客戶(hù)認(rèn)證階段:驗(yàn)證客戶(hù)的可信度�����;
(6)結(jié)束階段���,客戶(hù)與服務(wù)商之間相互交換結(jié)束的信息��。
當(dāng)上述動(dòng)作完成之后���,兩者間的資料傳送就會(huì)加密��,另外一方收到資料后��,再將編碼資料還原�。即使盜竊者在網(wǎng)絡(luò)上取得編碼后的資料����,如果沒(méi)有原先編制的密碼算法,也不能獲得可讀的有用資料�。
發(fā)送時(shí)信息用對(duì)稱(chēng)密鑰加密,對(duì)稱(chēng)密鑰用非對(duì)稱(chēng)算法加密����,再把兩個(gè)包綁在一起傳送過(guò)去����。
接收的過(guò)程與發(fā)送正好相反,先打開(kāi)有對(duì)稱(chēng)密鑰的加密包���,再用對(duì)稱(chēng)密鑰解密��。
在電子商務(wù)交易過(guò)程中�����,由于有銀行參與���,按照SSL協(xié)議�,客戶(hù)的購(gòu)買(mǎi)信息首先發(fā)往商家��,商家再將信息轉(zhuǎn)發(fā)銀行���,銀行驗(yàn)證客戶(hù)信息的合法性后�,通知商家付款成功���,商家再通知客戶(hù)購(gòu)買(mǎi)成功��,并將商品寄送客戶(hù)����。
SSL 安全協(xié)議是國(guó)際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議����,至今仍然有很多網(wǎng)上商店使用。在傳統(tǒng)的郵購(gòu)活動(dòng)中�,客戶(hù)首先尋找商品信息,然后匯款給商家���,商家將商品寄給客戶(hù)��。這里����,商家是可以信賴(lài)的,所以客戶(hù)先付款給商家�����。在電子商務(wù)的開(kāi)始階段���,商家也是擔(dān)心客戶(hù)購(gòu)買(mǎi)后不付款��,或使用過(guò)期的信用卡,因而希望銀行給予認(rèn)證��。SSL安全協(xié)議正是在這種背景下產(chǎn)生的����。
SSL協(xié)議運(yùn)行的基點(diǎn)是商家對(duì)客戶(hù)信息保密的承諾。但在上述流程中我們也可以注意到����,SSL協(xié)議有利于商家而不利于客戶(hù)�?���?蛻?hù)的信息首先傳到商家,商家閱讀后再傳至(銀行���,這樣����,客戶(hù)資料的安全性便受到威脅�����。商家認(rèn)證客戶(hù)是必要的�,但整個(gè)過(guò)程中,缺少了客戶(hù)對(duì)商家的認(rèn)證��。在電子商務(wù)的開(kāi)始階段�,由于參與電子商務(wù)的公司大都是一些大公司,信譽(yù)較高����,這個(gè)問(wèn)題沒(méi)有引起人們的重視。隨著電子商務(wù)參與的廠商迅速增加,對(duì)廠商的認(rèn)證問(wèn)題越來(lái)越突出���,SSL協(xié)議的缺點(diǎn)完全暴露出來(lái)�。SSL協(xié)議將逐漸被新的電子商務(wù)協(xié)議(例如SET)所取代����。
