SSL协议工作原理简述及相关应用

SSL协议工作原理简述及相关应用

SSL是一种安全传输协议,其全称是Secure Socket Layer(安全套接层)。该协议最初由Netscape企业发展而来,现已成为网络上用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。由于SSL技术已建立到了所有主要的浏览器和WEB服务器程序中,因此,仅需安装数字证书,或服务器证书就可以激活服务器功能了。

SSL的工作原理

SSL协议分为两部分:Handshake Protocol和RecordProtocol。其中Handshake Protocol用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。RecordProtocol则定义了传输的格式。
SSL是一个介于HTTP协议与TCP之间的一个可选层,如果利用SSL协议来访问网页,其步骤如下:

1、用户:
在浏览器的地址栏里输入https://www.sslserver.com
2、HTTP层:将用户需求翻译成HTTP请求,如:
GET/index.htmHTTP/1.1
Host http://www.sslserver.com
3、SSL层:借助下层协议的的信道,安全的协商出一份加密密钥,并用此密钥来加密HTTP请求。
4、TCP层:与服务器的443端口建立连接,传递SSL处理后的数据。
5、接收端(即服务器)与此过程相反。

SSL在TCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此达到保密的效果。
如果上面你看得不太懂的话,我们来看一个更形象的比喻,我们假设A与B通信,A是SSL客户端,B是SSL服务器端,加密后的消息放在方括号[]里,以突出和明文消息的区别。双方的处理动作的说明用圆括号()括起。

A:我想和你安全的通话,我这里的对称加密算法有DES,RC5,密钥交换算法有RSA和DH,摘要算法有MD5和SHA。
B:我们用DES-RSA-SHA这对组合好了。这是我的证书,里面有我的名字和公钥,你拿去验证一下我的身份(把证书发给A)。目前没有别的可说的了。
A:(查看证书上B的名字是否无误,并通过手头早已有的CA的证书验证了B的证书的真实性,如果其中一项有误,发出警告并断开连接,这一步保证了B的公钥的真实性)
(产生一份秘密消息,这份秘密消息处理后将用作加密密钥,加密初始化向量和hmac的密钥。将这份秘密消息-协议中称为per_mas ter_secret-用B的公钥加密,封装成称作ClientKeyExchange的消息。由于用了B的公钥,保证了第三方无法窃听)
我生成了一份秘密消息,并用你的公钥加密了,给你(把ClientKeyExchange发给B)
注意,下面我就要用加密的办法给你发消息了!
(将秘密消息进行处理,生成加密密钥,加密初始化向量和hmac的密钥)
[我说完了]
B:(用自己的私钥将C lientKeyExchange中的秘密消息解密出来,然后将秘密消息进行处理,生成加密密钥,加密初始化向量和hmac的密钥,这时双方已经安全的协商出一套加密办法了)。
注意,我也要开始用加密的办法给你发消息了!
[我说完了]
A:[我的秘密是……]
B:[其它人不会听到的……]

 SSL可以应用在哪些场合

通过原理的介绍,我们可以知道,利用SSL协议可以有效加强我们的信息传输保密性。利用这一点,我们就可以将其应用到WEB服务器的安全访问上,邮件的安全传输上等。
识别一个网站是否启用了SSL安全协议最简单最直接的办法就是看它的网址信息,通常的我们看到的都是以http://开头的网址,而采用了该安全协议后,网址的开头是:https://,多了一个S。
对于网站经营者来说,提升网站知名度,增加网站访问量意味着更多的商机。但不时出现的欺诈钓鱼网站总给人以防不胜防的感觉。如何更好的发挥SSL证书的作用,提升网站的可信度,降低欺诈钓鱼的风险?网站可以采用以下几种方法。

第一:在敏感交易界面,高端SSL证书
    对于网站来说,并不是说所有的页面均需部署SSL证书。网站只需在一些需要提交关键数据的交易页面提供SSL证书安全保护。但关键页面的SSL证书,一定要选择经过身份验证、拥有良好品牌信誉的SSL证书,否则客户将无法对网站身份进行有效判断。
第二:网站提供识别欺诈钓鱼网站的方法
鉴于国内客户网站安全知识匮乏的现状,网站在部署SSL证书后,最佳的方式是在交易页面同时以文字或图片的方式告知客户SSL证书功能及识别欺诈钓鱼网站的简单方法,从而提升网民继续完成交易的信心。
第三:放置VeriSign信任签章    为了让更多的客户了解网站采用了SSL证书安全技术,网站安全值得信赖。拥有VeriSign SSL证书的网站可以各页面或交易页面的显著位置放置VeriSign信任签章(VeriSign Trust Seal)。作为世界范围内最被认可的安全标记,其应对欺诈钓鱼方面的作用显著。VeriSign SSL证书客户,不需要支付任何额外费用。
第四:升级绿色地址栏
绿色地址栏技术是VeriSign扩展验证EV SSL证书特有功能,是目前反击钓鱼网站最为先进的武器,没有客户不会对地址栏颜色的变化无动于衷。对于拥有强烈安全需求、客户群庞大、品牌知名度极高的网站,绿色地址栏一定是最好的选择。

SSL服务器证书的使用过程

随着互联网的发展,网络钓鱼事件的不断发生,让很多网民和企业都开始注重交易安全问题,SSL服务器证书不断得到认可,逐渐被人们熟知,下面就为大家介绍SSL服务器证书的使用过程。
假设一个Web网站安装了一个SSL服务器证书,一个用户通过浏览器使用SSL安全协议(即安全超链协议HTTPS)访问该网站(即浏览器地址栏输入的URL是https开头的),这时,浏览器和网站的Web服务器程序之间将发生如下交互:
1)Web服务器程序将服务器上安装的SSL证书,以及它能构造的该SSL证书的证书链中的、除根CA证书以外的中级CA证书发送到浏览器端;
2)浏览器调用本地的密码服务接口(如CryptoAPI、PKCS#11),利用接收到的中级CA证书以及本地的中级CA证书、根CA证书,按前面提到的方法,构造证书信任链,验证证书的可信性、有效性;
3)若证书验证不通过,则浏览器提示用户验证失败的原因,如证书签名无效、证书超过了有效期或证书上的域名与网站的域名不符,又或者证书不是由可信的CA签发(即证书不能链接到一个本地的可信根CA证书)等;
4)若证书验证通过,则浏览器会发送一个随机字串到Web服务器;
5)Web服务器用其SSL证书的私钥对该随机字串签名,然后将签名的字串返回到浏览器;
6)浏览器用Web服务器传递过来的SSL证书上的公钥,验证随机字串签名的有效性,若签名验证通过,则说明Web服务器确实是该SSL数字证书(私钥)的拥有者,浏览器完成对Web服务器的身份鉴别;否则,网络链接失败;
7)可选的(对双向SSL身份鉴别),浏览器也可将客户端的用户证书(及其证书链上的中级CA证书)发送到Web服务器端,Web服务器端用类似的方式,完成对客户端的身份鉴别;
8)在身份鉴别(单向或双向)完成后,浏览器和Web服务器交换密钥信息(keying materials),建立加密通道,然后进行数据传送和交换。

发表评论