目錄
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是爲網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層與應用層之間對網絡連接進行加密。
一、SSL簡介
SSL和TLS:
SSL (Secure Sockets Layer)安全套接層。是由Netscape公司於1990年開發,用於保障Word Wide Web(WWW)通訊的安全。主要任務是提供私密性,信息完整性和身份認證。1994年改版爲SSLv2,1995年改版爲SSLv3.
TLS(Transport Layer Security)安全傳輸層協議,用於在兩個通信應用程序之間提供保密性和數據完整性。該標準協議是由IETF於1999年頒佈,整體來說TLS非常類似SSLv3,只是對SSLv3做了些增加和修改。
二、SSL協議介紹
SSL是一個不依賴於平臺和運用程序的協議,位於TCP/IP協議與各種應用層協議之間,爲數據通信提高安全支持。
SSL協議提供的安全通道有以下三個特性:
- 機密性:SSL協議使用密鑰加密通信數據。
- 可靠性:服務器和客戶都會被認證,客戶的認證是可選的。
- 完整性:SSL協議會對傳送的數據進行完整性檢查。
SSL加密知名協議:
HTTP over SSL:
簡寫https,加密網頁瀏覽是設計SSL的初衷,HTTP也是第一個使用SSL保障安全的應用層協議。
當Netscape在它的Navigator裏面運用HTTP over SSL的時候,使用https://來標識HTTP over SSL,因此我常見的https的全稱就是HTTP over SSL。後來HTTPS在RFC2818被標準化。HTTPS工作在443端口,而HTTP默認工作在80端口。
Email over SSL:
類似於HTTP over SSL,郵件協議例如:
- SMTP,POP3、IMAP也能支持SSL。
- SMTP over TLS的標準文檔在RFC2487
- POP3和IMAP over TLS的標準化文檔在RFC2595.
三、SSL提供服務
(1)認證用戶和服務器,確保數據發送到正確的客戶機和服務器;
(2)加密數據以防止數據中途被竊取;
(3)維護數據的完整性,確保數據在傳輸過程中不被改變。
四、SSL原理詳解
SSL協議結構:
中間藍色部分就是SSL協議格式
SSL的體系結構中包含兩個協議子層,其中高層是SSL握手協議層(SSL HandShake Protocol Layer);底層是SSL記錄協議層(SSL Record Protocol Layer)。
SSL協議主要分爲兩層:
- SSL握手協議層包括SSL握手協議(SSL HandShake Protocol)、SSL密碼參數修改協議(SSL Change Cipher Spec Protocol)和SSL告警協議(SSL Alert Protocol)。握手層的這些協議用於SSL管理信息的交換,允許應用協議傳送數據之間相互驗證,協商加密算法和生成密鑰等。
- SSL記錄協議層的作用是爲高層協議提供基本的安全服務。SSL紀錄協議針對HTTP協議進行了特別的設計,使得超文本的傳輸協議HTTP能夠在SSL運行。紀錄封裝各種高層協議,具體實施壓縮解壓縮、加密解密、計算和校驗MAC等與安全有關的操作。
SSL握手協議的作用是協調客戶和服務器的狀態,使雙方能夠達到狀態的同步。
其中最重要的是握手協議和記錄協議:
- SSL握手協議:它建立在SSL記錄協議之上,用於在實際的數據傳輸開始之前,通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。
- SSL記錄協議:它建立在可靠的傳輸(如TCP)之上,爲高層協議提供數據分塊、數據封裝、壓縮、解壓縮、加密、解密等基本功能。
SSL工作流程
1、服務器認證階段:
(1)客戶端向服務器發送一個開始信息“Hello”以便開始一個新的會話連接;
(2)服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;
(3)客戶根據收到的服務器響應信息,產生一個主密鑰,並用服務器的公開密鑰加密後傳給服務器;
(4)服務器回覆該主密鑰,並返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。
2、用戶認證階段:在此之前,服務器已經通過了客戶認證,這一階段主要完成對客戶的認證。經認證的服務器發送一個提問給客戶,客戶則返回(數字)簽名後的提問和其公開密鑰,從而向服務器提供認證。