SSL簡介
在網絡上,信息在由源主機到達目的主機的傳輸過程中會經過其他計算機。一般情況下,中間的計算機不會監聽路過的信息。但在訪問網上銀行或者進行信用卡交易時,網絡上的信息有可能被非法分子監聽,從而導致個人隱私的泄露。由於Internet和Internet體系結構存在一些安全漏洞,總會有某些人能夠截獲並替換用戶發出的原始信息。隨着電子商務的不斷髮展,人們對信息安全的要求也越來越高,於是Netscape公司提出了SSL(Server Socket Layer)協議,旨在達到在開發網絡(Internet)上安全、保密地傳輸信息的目的,這種協議在Web上獲得了廣泛的應用。
SSL簡介
SSL(Server Socket Layer)是一種保證網絡上的兩個節點進行安全通信的協議。IETF(Internet Engineering Task Force)組織對SSL作了標準化,制訂了RFC2246規範,並將其稱爲TLS(Transport Layer Security)。從技術上講,目前TLS 1.0與TLS 3.0的差別非常微小。
如下表所示,SSL和TLS建立在TCP/IP協議的基礎上,一些應用層協議,如HTTP和IMAP協議都可以採用SSL來保證通信的安全。建立在SSL協議上的HTTP被稱爲HTTPS協議。HTTP使用的默認端口爲80,而HTTPS使用的默認端口爲443.
| 協 議 層 | 協 議 |
| 應用層 | HTTP、IMAP、NNTP、Telnet、FTP等 |
| 安全套接字層 | SSL、TLS |
| 傳輸層 | TCP |
| 網絡層 | IP |
當用戶在網上商店購物時輸入信用卡信息,進行網上支付交易時,存在以下不安全因素:
- 用戶的信用卡信息在網絡上傳輸時有可能被他人截獲。
- 用戶發送的信息在網絡上傳輸時可能被非法篡改,數據完整性被破壞。
- 用戶正在訪問的Web站點是個非法站點,專門從事網上欺詐活動,比如騙取客戶的資金。
- 非法用戶訪問一個合法的Web站點,該非法用戶試圖竊取Web站點的機密信息。
- 其它的可能存在的不安全因素。
SSL採用加密技術來實現安全通信,保證通信數據的保密性和完整性,並且保證通信雙方可以驗證對方的身份。
加密通信
當客戶與服務器進行通信時,通信數據有可能被網絡上的其它計算機非法監聽,SSL使用加密技術實現會話雙方信息的安全傳遞。加密技術的基本原理是:數據從一端發送到另一端時,發送者先對數據加密,然後再把它發送給接收者。這樣,在網絡上傳輸的是經過加密的數據。如果有人在網絡上非法截獲了這些數據,由於沒有解密的密鑰,就無法獲得真正的原始數據。接收者收到加密的數據後,先對數據進行解密,然後再處理。客戶機和服務器的加密通信需要在兩端同時進行。下圖顯示了採用SSL加密的通信過程:
安全證書
除了對數據加密通信,SSL還採用了身份認證機制,確保通信雙方都可以驗證對方的真實身份。它和現時日常生活中我們使用身份證來證明自己的身份很相似。比如你到銀行去取錢,你自稱自己叫張三,如何讓銀行相信你的真實身份呢?最有效的方法就是出示你的身份證。每個人都擁有唯一的身份證,這個身份證上記錄了你的真實信息,身份證由國家權威機構頒發,不允許僞造。在身份證不能被別人假冒複製的前提下,只要你出示身份證,就可以證明你的確是你自稱的那個人。
個人可以通過身份證來證明自己的身份,對於一個單位,比如商場,可以通過營業執照來表明身份,營業執照也是由國家權威機構頒發,不允許僞造,它保證了營業執照的可信性。
SSL通過安全證書來證明客戶或服務器的身份。當客戶通過安全的連接和服務器通信時,服務器會先向客戶出示它的安全證書,這個證書聲明該服務器是安全的,而且的確是這個服務器。每一個證書在全球範圍內都是唯一的,其他非法服務器無法假冒原始服務器的身份。可以把安全證書比做電子身份證。
獲取安全證書是一件麻煩的事情。一些服務器會向客戶出示自己的安全證書,但另一方面,爲了擴大客戶羣並且便於客戶訪問,許多服務器不要求客戶出示安全證書。在某些情況下,服務器也會要求客戶出示安全證書,以便覈實客戶的身份,這主要用於B2B(Business to Business)事務中。
獲取安全證書有兩種方式,一種方式是從權威機構購買證書,還有一種方式是創建自我簽名的證書。
1、從權威機構獲得證書
安全證書可以有效地保證通信雙方身份的可信性。安全證書採用加密技術製作而成,他人幾乎無法僞造。安全證書由國際權威的證書機構(Certificate Authority,CA)如VeriSign(www.verisign.com)和Thawte(www.thawte.com)頒發,它們保證了證書的可信性。申請安全證書時,必須支付一定的費用。一個安全證書只對一個IP地址有效,如果用戶的系統環境中有多個IP,那麼必須爲每個IP地址購買安全證書。
2、創建自我簽名證書
在某些場合,通信雙方只關心數據在網絡上可以安全傳輸,並不需要對對方進行身份驗證,在這種情況下,可以創建自我簽名(self-assign)的證書,比如通過SUN公司提供的keytool工具就可以創建這樣的證書。這樣證書就像用戶自己製作的名片,缺乏權威性,達不到身份認證的目的。當你向對方遞交你的名片,聲稱自己是某個大公司的老總,信不信只能由對方自己去判斷。
既然自我簽名證書不能有效地證明自己的身份,那麼有何意義呢?在技術上,無論是從權威機構獲得的證書,還是自己製作的證書,採用的加密技術都是一樣的,使用這些證書,都可以實現安全的加密通信。