今夜IT网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1384|回复: 1

ssl连接 详解

[复制链接]

4

主题

4

帖子

0

积分

新手上路

积分
0
发表于 2012-8-15 11:48:33 | 显示全部楼层 |阅读模式
  在百度知道、天涯论坛及搜搜问题等问答平台上,经常有朋友问题这样一个问题:ssl连接什么意思?并且我们在日常应用中也会遇到无法使用ssl连接相关的问题,在没搞明白它是什么意思的前体下,总是感觉故障无从下手解决。

  什么是ssl连接

  SSL 的英文全称是 “Secure Sockets Layer” ,中文名为 “ 安全套接层协议层 ” ,它是网景( Netscape )公司提出的基于 WEB 应用的安全协议。 SSL 协议指定了一种在应用程序协议(如 HTTP 、 Telenet 、 NMTP 和 FTP 等)和 TCP/IP 协议之间提供数据安全性分层的机制,它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

  SSL是在Web服务器和Web客户机之间建立经过身份验证和加密会话的Web协议。SSI。以首先建立TCP/IP连接的握手例行程序开始。接着,通过验证服务器的公钥为客户机验证服务器。一旦通过验证,服务器即会选择客户机和服务器都支持的并在具体的国家/地区所实施的限制内的最强密码算法。下一步将生成用来对上述客户机和服务器之间的所有数据流进行加密的共享密钥。最终,一个加密的SSL,连接便建立了。 如上所述,在客户机和服务器之间发送的所有信息都经过加密,包括所有的HTTP请求和响应以及客户机请求的URL。该级别的加密可确保信用卡号、访问授权信息(用户名)以及服务器返回的敏感数据等敏感信息的保护。 因为加密需要大量的计算,所以SSL.会话通常仅用于敏感信息的传输。

  典型的会话按以下方式进行

  用户决定在线购买商品并单击了被称作“通过我们的安全服务器在线购买”的超链接。

  该超链接建立SSI_。连接。SSI_。连接可在“浏览器地址”字段中以“https”(而不是“http”)开头的URL表示。

  一旦交易完成,用户单击另一个超链接即可返回正常的HTTP模式,上述加密的SSL。会话也随之终止。

  SSL历史和版本 SSL最初由Netscape开发,然后交给IETF(因特网工程任务组)进行标准化SSL,有好几种版本和两个相似的协议。Microsoft认为原始的SSL协议缺少某些安全功能,因此它创建了PCT(专用通信技术)。后来,Netscape和其他公司创建了包含Microsoft新增功能的SSI。3.00目前,SSL3.0是最常用的协议,虽然Microsoft仍然支持PCT,,一个不如SSL,流行的相关协议是s -HTTP(安全HTTP),在本书的其他地方有关于它的介绍。 IETF曾力图将SSI_。标准化,但不愿意使用RSA Security的专利加密技术,所以它开始致力于使用Diffie—Hellman公钥密码技术的TLS(传输层安全)。TLS基本上就是SSL3.0,只不过它仅保证传输层的安全性。更高层的协议可在TLS之上运行,但不能从TLS的安全性获益。在RFC 2246和其他地方有关于TLS的大概介绍。请参阅“TLS(传输层安全)”。

  目前,美国政府允许在浏览器中使用128位加密,.从而可使银行业务和金融交易获得高度的安全性。一些产品,如Microsoft的SGC(服务器控制密码技术,属SSL,的一种扩展),可支持这种更高水平的加密。此外,也有其他的交易安全协议存在,比如为商业交易提供较高安全等级的SET(安全电子交易)。 Netscape当初开发SSI。的目的是保证因特网上的信用卡交易的安全,但该协议在保证一般性Web连接的安全上变得很流行。当然,SSIL仍存在某些局限性,其他协议在建立公司连接和外联网上更实用。诸如PPTP和L2TP等隧道协议更适用于为远程用户建立拨号连接或建立站点对站点的连接。mTF新开发的IPSec协议在建立跨越因特网或内联网的安全隧道时尤其有用,特别是它可以加密和封装整个数据分组一因此可对偷听者隐藏所有信息。

  有关更多信息,请参阅“IPSec(IP安全)。 其典型配置可能包括Web客户机(使用SSL访问Web服务器)和Web服务器(使用IPSec访问后端数据库和应用程序服务器)。SSL功能及优点SSL通过保护传送中的数据不被偷听和窜改而有利于电子商务和其他Web通信。通过SSI。,浏览器和服务器可以先相互进行身份验证,然后加密在会话期间传输的数据。

  SSL (和PCT)提供以下服务

  机密性

  创建了客户机和服务器用于加密所交换的数据的会话密钥。

  完整性

  为确保消息的真实性以及在传送过程中未被修改,可能要对它们进行单独签名(使用散列例行程序)。

  散列算法可创建随传送的数据发送并由接收者验证的消息摘要。签名还可以防止发送者否认该消息(否认曾发送过它)。SSL和证书 SSL依赖于数字证书。证书将公钥和公钥所属的个人、公司或服务器组合起来。认证机构(CA)颁发证书,用它们自己的私钥对证书签名,因此可对证书进行验证。有关详细信息,请参考“证书和认证系统”、“数字签名”和“公共密钥密码技术”。

  SSL要求Web服务器具有证书。当用户连接到Web服务器时,服务器向用户发送它的证书。用户可验证该证书是否真实(这实际上是在后台自动处理的),一旦得到证实,证书中的公钥即被用于加密,只有服务器使用其私钥才能解密的消息。 请注意,证书是“绑定”到Web站点的。换言之,证书言明它只对特定的II)地址(或地址范围)有效。使用证书的初衷是客户机必须知道它们被连接到真实的Web站点,而不是该站点的假冒者。证书将公钥与指名的实体绑定在一起。可将这同一证书绑定到特定的Web站点,这样,如果有人盗取该证书并企图建立新的Web站点时,该站点必须要有已分配给真实站点的II)地址,所以只要黑客试图这样做,就会发生错误。

  Microsoft Windows 2000支持SSL公钥证书身份验证。通过将证书映射到现有的帐户,证书可以方便地存储在Microsoft的Active Directory中。用户通过自己的证书和公钥得到验证后,服务器还需要确定客户机对系统的访问权限。该权限可从Active Directory获得,但也可作为一个确定资源授权的映射定义在客户机证书中。

  ssl连接加密支持

  当客户机和服务器首次连接时,它们会协商要使用的加密技术类型和等级。因为在某些国家,地区加密强度受到限制,所以服务器将选择客户机和服务器都支持的最高级别的加密技术。SSL支持DES(数据加密标准)、TIjple—DES、DSA(数字签名算法)、RSA Security RC2和RC4、MD5(5号消息摘要)、、SHA-1(安全散列算法-1)以及SKIPJACK。这些会在本书的“密码技术”下作进一步的讨论。 SSL3.0握手和连接例行程序 在SSI。协议集中有两个子协议,即握手协议(SSI。握手协议或称SSI_J-IP)和记录协议(SSI。记录协议或称SSI。RP)。SSI。RP定义数据交换的消息格式,并执行将数据打包和进行MAC (消息验证码)。SSI。I-IP定义在客户机和服务器之间的消息动态交换。在握手期间,服务器向客户机证实身份、选择加密算法、客户机向服务器证实身份(选项)、生成公用会话密钥以及建立加密的SSL连接。 握手从客户机与服务器连接时开始。

  服务器的证书和公钥用于初始身份验证。经过验证后,将创建客户机和服务器用以加密随后所有数据的一次性对称会话密钥。使用对称算法的原因是,它们的加密解密速度比公钥/私钥加快的多。上述步骤假定仅客户挑要求对服务器进行身份验证。如果服务器也要求对客户机进行身份验证。

  则客户机必须具有证书并在步骤5中将其发送到服务器。

  1.客户机:“服务器,你好;:我要使用SSL。这是我的SSL版本号,一些随机生成的数据,我的加密设置和其他一些有用信息。”

  2.服务器:“客户机,你好。这是我的证书、SSL版本号、一些随机生成的数据、我的加密设置和其他一些有用信息。顺便问一下,你有证书吗?”

  3.客户机通过查验服务器的证书对它进行身份验证。查验证书的步骤在“证书和证书系统”主题下作了概述。请参阅其中的子标题“查验证书”。

  4.客户机和服务器准备建立会话密钥。客户端生成所谓的“预主密钥(premaster secret)”,然后用服务器的公钥对其加密并将它发送到服务器。

  5.服务器使用自己的私钥将从客户机收到的预主密钥(premaster secret)解密。现在,客户机和服务器按照相同步骤从预主密钥(premaster secret)创建主密钥。

  6.客户机和服务器相互发送一个“完成”消息以表明协商过程的完成。为创建该消息,主密钥与此前发送的消息组合起来进行散列化处理。如果双方都能证实从对方接收的完成消息,则建立SSL连接,并使用从主密钥导出来的密钥来安全地传输所有随后的数据。



  VPN SSL 200 设备网关适合应用于中小企业规模,满足其企业移动用户、分支机构、供应商、合作伙伴等企业资源(如基于 Web 的应用、企业邮件系统、文件服务器、 C/S 应用系统等)安全接入服务。企业利用自身的网络平台,创建一个增强安全性的企业私有网络。 SSL VPN 客户端的应用是基于标准 Web 浏览器内置的加密套件与服务器协议出相应的加密方法,即经过授权用户只要能上网就能够通过浏览器接入服务器建立 SSL 安全隧道。

  SSL VPN 利用三种客户端接入方式来协助用户在任何地方任何时间安全第访问公司的任何资源

  ◇ 远程桌面共享
  ◇ Web Browser 基于浏览器的接入 ( 可以访问 Web 应用程序和文件共享 )
  ◇ 即时下载的 Java 小应用程序 ( 可访问客户 / 服务器应用程序 )

  ssl连接应用领域

  SSL VPN 提供下述情况的解决方案:企业需要通过互联网(笔记本型计算机、移动个人计算机、远程用户接入)达到广泛而全面性的信息存取。 SSL VPN 能满足所有你的远程接入需要。 SSL VPN 技术为你提供增强的灵活性,以便更好地配合你公司的安全性和基础结构需要,同时给你的用户一个统一的、容易的界面和一个简化的用户经验。 SSL VPN0 还提供了高可用性,它具有可靠的冗余能力,排除了单点故障的可能性,减少系统停机时间,另外它还具有负载均衡的能力,提高系统的整体性能。

2

主题

5

帖子

0

积分

新手上路

积分
0
发表于 2013-5-8 11:17:23 | 显示全部楼层
谢谢楼主分享不错!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回列表 官方QQ群

QQ|小黑屋|手机版|今夜IT网 (京ICP备11034012号) 

Powered by Discuz! X3.2

快速回复 返回顶部 返回列表