什么是SSL?
SSL(Secure Sockets Layer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型的网络,同时提供三种基本的安全服务,它们都使用公开密钥技术。
SSL协议的优势
SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如:HTTP、FTP、Telnet等等)能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
SSL提供的安全服务
信息保密:通过使用公开密钥和对称密钥技术以达到信息保密。SSL客户机和服务器之间的信息都会被加密,防止了某些用户通过使用IP数据包嗅探工具非法窃听。尽管数据包嗅探仍能捕捉到通信的内容,但却无法破译。
信息完整性:确保SSL业务全部达到目的。应确保服务器和客户机之间的信息内容免受破坏。SSL利用机密共享和hash函数组提供信息完整***。
双向认证:客户机和服务器相互识别的过程。它们的识别号用公开密钥编码,并在SSL握手时交换各自的识别号。为了验证证明持有者是其合法用户(而不是冒名用户),SSL要求证明持有者在握手时对交换数据进行数字式标识。证明持有者对包括证明的所有信息数据进行标识,以说明自己是证明的合法拥有者。这样就防止了其他用户冒名使用证明。证明本身并不提供认证,只有证明和密钥一起才起作用。
SSL的工作原理
SSL工作原理概述如下:
传输数据的机密性:利用对称密钥算法对传输的数据进行加密。发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方。接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文。没有解密密钥的第三方,无法将密文恢复为明文,从而保证传输数据的机密性。
身份验证机制:基于证书利用数字签名方法对server和client进行身份验证,当中client的身份验证是可选的。非对称密钥算法能够用来实现数字签名。如同发送者对数据进行了签名。Alice使用自己的私钥对一段固定的信息加密后发给Bob,Bob利用Alice的公钥解密,假设解密结果与固定信息同样。那么就能够确认信息的发送者为Alice,这个过程就称为数字签名。
消息完整性验证:为了避免网络中传输的数据被非法篡改,SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。MAC算法是在密钥参与下的数据摘要算法,能将密钥和随意长度的数据转换为固定长度的数据。利用MAC算法验证消息完整性的过程如图2所看到的。发送者在密钥的参与下,利用MAC算法计算出消息的MAC值。
SSL证书的类型
SSL证书根据验证级别主要分为六种类型:扩展验证证书(EVSSL)、组织验证证书(OVSSL)、域验证证书(DVSSL)、通配符SSL证书、多域SSL证书(MDC)、和统一通信证书(UCC)。每种证书类型都有其特定的用途和验证强度,例如EVSSL是等级最高、最昂贵的SSL证书类型,适用于高知名度网站;而DVSSL验证过程最简单,适用于不涉及数据收集或在线支付的网站。
综上所述,SSL是一种重要的网络安全协议,它通过加密技术和身份验证机制来保障网络通信的安全性和数据的保密性。
