江苏龙网

  1. 主页 > 生活百科 > >

SSL工作原理( 三 )

SSL


Netscape公司提出的安全协议SSL , 利用数据加密、身份验证和消息完整性验证机制 , 为网络上数据的传输提供安全性保证 。SSL可以为HTTP提供安全连接 , 从而很大程度上改善了万维网的安全性问题 。
1.2 技术优点SSL具有如下优点:
l 提供较高的安全性保证 。SSL利用数据加密、身份验证和消息完整性验证机制 , 保证网络上数据传输的安全性 。
l 支持各种应用层协议 。虽然SSL设计的初衷是为了解决万维网安全性问题 , 但是由于SSL位于应用层和传输层之间 , 它可以为任何基于TCP等可靠连接的应用层协议提供安全性保证 。
l 部署简单 。目前SSL已经成为网络中用来鉴别网站和网页浏览者身份 , 在浏览器使用者及Web服务器之间进行加密通信的全球化标准 。SSL协议已被集成到大部分的浏览器中 , 如IE、Netscape、Firefox等 。这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接 , 不需要安装额外的客户端软件 。
2 协议安全机制SSL协议实现的安全机制包括:
l 数据传输的机密性:利用对称密钥算法对传输的数据进行加密 。
【SSL工作原理】l 身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证 , 其中客户端的身份验证是可选的 。
l 消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性 。
2.1 数据传输的机密性网络上传输的数据很容易被非法用户窃取 , SSL采用在通信双方之间建立加密通道的方法保证数据传输的机密性 。
所谓加密通道 , 是指发送方在发送数据前 , 使用加密算法和加密密钥对数据进行加密 , 然后将数据发送给对方;接收方接收到数据后 , 利用解密算法和解密密钥从密文中获取明文 。没有解密密钥的第三方 , 无法将密文恢复为明文 , 从而保证数据传输的机密性 。
加解密算法分为两类:
l 对称密钥算法:数据加密和解密时使用相同的密钥 。
l 非对称密钥算法:数据加密和解密时使用不同的密钥 , 一个是公开的公钥 , 一个是由用户秘密保存的私钥 。利用公钥(或私钥)加密的数据只能用相应的私钥(或公钥)才能解密 。
与非对称密钥算法相比 , 对称密钥算法具有计算速度快的优点 , 通常用于对大量信息进行加密(如对所有报文加密);而非对称密钥算法 , 一般用于数字签名和对较少的信息进行加密 。
SSL加密通道上的数据加解密使用对称密钥算法 , 目前主要支持的算法有DES、3DES、AES等 , 这些算法都可以有效地防止交互数据被窃听 。
对称密钥算法要求解密密钥和加密密钥完全一致 。因此 , 利用对称密钥算法加密传输数据之前 , 需要在通信两端部署相同的密钥 。对称密钥的部署方法请参见“2.4 利用非对称密钥算法保证密钥本身的安全” 。
2.2 身份验证机制电子商务和网上银行等应用中必须保证要登录的Web服务器是真实的 , 以免重要信息被非法窃取 。SSL利用数字签名来验证通信对端的身份 。
非对称密钥算法可以用来实现数字签名 。由于通过私钥加密后的数据只能利用对应的公钥进行解密 , 因此根据解密是否成功 , 就可以判断发送者的身份 , 如同发送者对数据进行了“签名” 。例如 , Alice使用自己的私钥对一段固定的信息加密后发给Bob , Bob利用Alice的公钥解密 , 如果解密结果与固定信息相同 , 那么就能够确认信息的发送者为Alice , 这个过程就称为数字签名 。
SSL客户端必须验证SSL服务器的身份 , SSL服务器是否验证SSL客户端的身份 , 则由SSL服务器决定 。SSL客户端和SSL服务器的身份验证过程 , 请参见“3.2 SSL握手过程” 。
使用数字签名验证身份时 , 需要确保被验证者的公钥是真实的 , 否则 , 非法用户可能会冒充被验证者与验证者通信 。如图1所示 , Cindy冒充Bob , 将自己的公钥发给Alice , 并利用自己的私钥计算出签名发送给Alice , Alice利用“Bob”的公钥(实际上为Cindy的公钥)成功验证该签名 , 则Alice认为Bob的身份验证成功 , 而实际上与Alice通信的是冒充Bob的Cindy 。SSL利用PKI提供的机制保证公钥的真实性 , 详细介绍请参见“2.5 利用PKI保证公钥的真实性” 。


推荐阅读


上一篇:大红袍喝了对肝脏好吗,大红袍茶好不好呢

下一篇:CentOS7下部署漏洞扫描与分析软件Nessus