SSL 協(xié)議簡介SSL 是由Netscape 開發(fā)出來的一種在讓可持有證書的瀏覽器軟件（比如Internet Explorer 、Netacpe Navigator ）和WWW 服務器（如Netsca

SSL 協(xié)議簡介

SSL 是由Netscape 開發(fā)出來的一種在讓可持有證書的瀏覽器軟件（比如Internet Explorer 、Netacpe Navigator ）和WWW 服務器（如Netscape 的Netscape Enterprise Server 、ColdFusion Server等等）之間構造的安全通道中傳輸數(shù)據(jù)的協(xié)議，它運行在TCP/IP層之上、應用層之下（如圖一），用TCP/IP代表高級協(xié)議在數(shù)據(jù)通信過程中允許一個支持SSL 的

WWW 服務器在支持SSL 的客戶端使協(xié)議本身獲得信任、使客戶端得到服務器的信任，從而在兩臺機器間建立一個可靠的加密傳輸連接。

SSL 服務器端驗證 使用戶獲得服務器端的信息。支持SSL 的客戶端軟件可以用標準的公共密鑰算法驗證服務器的證書和公開ID 是否合法和是否已經(jīng)被客戶端信任的CA 機構頒發(fā)了證書。這種確認在網(wǎng)上交易中，比如用戶把信用卡號通過網(wǎng)絡傳輸出去，希望了解接受服務器的身份信息這種活動中就得到體現(xiàn)。 SSL 客戶端驗證 使服務器獲得用戶的個人信息。支持SSL 的服務器端軟件可以用標準的公共密鑰算法驗證用戶的證書和公開ID 是否合法和是否已經(jīng)被服務器端信任的CA 機構頒發(fā)了證書。如果一家銀行需要通過網(wǎng)絡將客戶的帳戶信息傳遞出去，自然就需要檢查接受端的身份信息。

一條加密的數(shù)據(jù)通道 將雙方機器間傳輸?shù)乃袛?shù)據(jù)都以加密的形式傳送，這樣，就提供了非常高的可信任程度。

SSL 協(xié)議包括兩個子協(xié)議：SSL 記錄協(xié)議和SSL 握手協(xié)議。前者定制了傳輸數(shù)據(jù)的格式。后者利用前者在支持SSL 的客戶端和服務器端之間建立安全傳輸通道之后提供一系列消息，用來實現(xiàn)：

● 在客戶端驗證服務器；

● 允許客戶端和服務器選擇雙方都支持的加密算法、密鑰算子

● 在服務器端驗證客戶（可選的）

● 用公鑰加密算法產(chǎn)生" 共享秘密"

● 建立加密SSL 連接。

SSL 握手過程：

SSL 協(xié)議同時使用對稱密鑰算法和公鑰加密算法。前者在速度上比后者要快很多，但是后者可以實現(xiàn)更好的安全驗證。一個SSL 傳輸過程需要先握手：用公鑰加密算法使服務器端在客戶端得到驗證，以后就可以使雙方用商議成功的對稱密鑰來更快速的加密、解密數(shù)據(jù)。

過程描述如下：

1． 客戶端向Server 段發(fā)送客戶端SSL 版本號、加密算法設置、隨機產(chǎn)生的數(shù)據(jù)和其他服務器需要用于跟客戶端通訊的數(shù)據(jù)。

2． 服務器向客戶端發(fā)送服務器的SSL 版本號、加密算法設置、隨機產(chǎn)生的數(shù)據(jù)和其他客戶端需要用于跟服務器通訊的數(shù)據(jù)。另外，服務器還要發(fā)送自己的證書，如果客戶端正在請求需要認證的信息，那么服務器同時也要請求獲得客戶端的證書。

3． 客戶端用服務器發(fā)送的信息驗證服務器身份。如果認證不成功，用戶就將得到一個警告，然后加密數(shù)據(jù)連接將無法建立。如果成功，則繼續(xù)下一步

4． 用戶用握手過程至今產(chǎn)生的所有數(shù)據(jù)，創(chuàng)建連接所用的Premaster secret ，用服務器的公鑰加密（在第二步中傳送的服務器證書中得到），傳送給服務器。

5． 如果服務器也請求客戶端驗證，那么客戶端將對另外一份不同于上次用于建立加密連接使用的數(shù)據(jù)進行簽名。在這種情況下，客戶端會把這次產(chǎn)生的加密數(shù)據(jù)和自己的證書同時傳送給服務器用來產(chǎn)生Premaster Secret.

6． 如果服務器也請求客戶端驗證，服務器將試圖驗證客戶端身份。如果客戶端不能獲得認證，連接將被中止。如果被成功認證，服務器用自己的私鑰加密Premaster Secret，然后執(zhí)行一系列步驟產(chǎn)生Master Secret.

7． 服務器和客戶端同時產(chǎn)生Session Key ，之后的所有數(shù)據(jù)傳輸都用對稱密鑰算法來交流數(shù)據(jù)。

8． 客戶端向服務器發(fā)送信息說明以后的所有信息都將用Session Key 加密。

至此，它會傳送一個單獨的信息標示客戶端的握手部分已經(jīng)宣告結束。

9． 服務器也向客戶端發(fā)送信息說明以后的所有信息都將用Session Key加密。至此，它會傳送一個單獨的信息標示服務器端的握手部分已經(jīng)宣告結束。

10． SSL握手過程就成功結束，一個SSL 數(shù)據(jù)傳送過程建立。客戶端和服務器開始用Session Key加密、解密雙方交互的所有數(shù)據(jù)。

一個SSL 傳輸過程大致就是這樣，但是很重要的一點不要忽略：利用證書在客戶端和服務器端進行的身分驗證過程。

一個支持SSL 的客戶端軟件通過下列步驟認證服務器的身份：

1． 服務器端傳送的證書中獲得相關信息（在SSL 中有函數(shù)支持，在程序中有相關例子）；

2． 當天的時間是否在證書的合法期限內(nèi)；

3． 簽發(fā)證書的機關是否客戶端信任的；

4． 簽發(fā)證書的公鑰是否符合簽發(fā)者的數(shù)字簽名

5． 證書中的服務器域名是否符合服務器自己真正的域名？

6． 服務器被驗證成功，客戶繼續(xù)進行握手過程。

一個支持SSL 的服務器通過下列步驟認證客戶端的身份：

1． 客戶端傳送的證書中獲得相關信息；

2． 用戶的公鑰是否符合用戶的數(shù)字簽名；

3． 當天的時間是否在證書的合法期限內(nèi)；

4． 簽發(fā)證書的機關是否服務器端信任的；

5． 用戶的證書是否被列在服務器的LDAP 里用戶的信息中

6． 得到驗證的用戶是否仍然又權限訪問請求的服務器資源