在网络上,信息在由源主机到达目的主机的传输过程中会经过其他计算机。一般情况下,中间的计算机不会监听路过的信息。但在访问网上银行或者进行信用卡交易时,网络上的信息有可能被非法分子监听,从而导致个人隐私的泄露。由于Internet和Internet体系结构存在一些安全漏洞,总会有某些人能够截获并替换用户发出的原始信息。随着电子商务的不断发展,人们对信息安全的要求也越来越高,于是Netscape公司提出了SSL(Server Socket Layer)协议,旨在达到在开发网络(Internet)上安全、保密地传输信息的目的,这种协议在Web上获得了广泛的应用。
SSL简介
SSL(Server Socket Layer)是一种保证网络上的两个节点进行安全通信的协议。IETF(Internet Engineering Task Force)组织对SSL作了标准化,制订了RFC2246规范,并将其称为TLS(Transport Layer Security)。从技术上讲,目前TLS 1.0与TLS 3.0的差别非常微小。
如下表所示,SSL和TLS建立在TCP/IP协议的基础上,一些应用层协议,如HTTP和IMAP协议都可以采用SSL来保证通信的安全。建立在SSL协议上的HTTP被称为HTTPS协议。HTTP使用的默认端口为80,而HTTPS使用的默认端口为443.
协议层 协议
应用层 HTTP、IMAP、NNTP、Telnet、FTP等
安全套接字层 SSL、TLS
传输层 TCP
网络层 IP
当用户在网上商店购物时输入信用卡信息,进行网上支付交易时,存在以下不安全因素:
用户的信用卡信息在网络上传输时有可能被他人截获。
用户发送的信息在网络上传输时可能被非法篡改,数据完整性被破坏。
用户正在访问的Web站点是个非法站点,专门从事网上欺诈活动,比如骗取客户的资金。
非法用户访问一个合法的Web站点,该非法用户试图窃取Web站点的机密信息。
其它的可能存在的不安全因素。
SSL采用加密技术来实现安全通信,保证通信数据的保密性和完整性,并且保证通信双方可以验证对方的身份。
加密通信
当客户与服务器进行通信时,通信数据有可能被网络上的其它计算机非法监听,SSL使用加密技术实现会话双方信息的安全传递。加密技术的基本原理是:数据从一端发送到另一端时,发送者先对数据加密,然后再把它发送给接收者。这样,在网络上传输的是经过加密的数据。如果有人在网络上非法截获了这些数据,由于没有解密的密钥,就无法获得真正的原始数据。接收者收到加密的数据后,先对数据进行解密,然后再处理。客户机和服务器的加密通信需要在两端同时进行。下图显示了采用SSL加密的通信过程:
安全证书
除了对数据加密通信,SSL还采用了身份认证机制,确保通信双方都可以验证对方的真实身份。它和现时日常生活中我们使用身份证来证明自己的身份很相似。比如你到银行去取钱,你自称自己叫张三,如何让银行相信你的真实身份呢?最有效的方法就是出示你的身份证。每个人都拥有唯一的身份证,这个身份证上记录了你的真实信息,身份证由国家权威机构颁发,不允许伪造。在身份证不能被别人假冒复制的前提下,只要你出示身份证,就可以证明你的确是你自称的那个人。
个人可以通过身份证来证明自己的身份,对于一个单位,比如商场,可以通过营业执照来表明身份,营业执照也是由国家权威机构颁发,不允许伪造,它保证了营业执照的可信性。
SSL通过安全证书来证明客户或服务器的身份。当客户通过安全的连接和服务器通信时,服务器会先向客户出示它的安全证书,这个证书声明该服务器是安全的,而且的确是这个服务器。每一个证书在全球范围内都是唯一的,其他非法服务器无法假冒原始服务器的身份。可以把安全证书比做电子身份证。
获取安全证书是一件麻烦的事情。一些服务器会向客户出示自己的安全证书,但另一方面,为了扩大客户群并且便于客户访问,许多服务器不要求客户出示安全证书。在某些情况下,服务器也会要求客户出示安全证书,以便核实客户的身份,这主要用于B2B(Business to Business)事务中。
获取安全证书有两种方式,一种方式是从权威机构购买证书,还有一种方式是创建自我签名的证书。
1、从权威机构获得证书
安全证书可以有效地保证通信双方身份的可信性。安全证书采用加密技术制作而成,他人几乎无法伪造。安全证书由国际权威的证书机构(Certificate Authority,CA)如VeriSign(www.verisign.com)和Thawte(www.thawte.com)颁发,它们保证了证书的可信性。申请安全证书时,必须支付一定的费用。一个安全证书只对一个IP地址有效,如果用户的系统环境中有多个IP,那么必须为每个IP地址购买安全证书。
2、创建自我签名证书
在某些场合,通信双方只关心数据在网络上可以安全传输,并不需要对对方进行身份验证,在这种情况下,可以创建自我签名(self-assign)的证书,比如通过SUN公司提供的keytool工具就可以创建这样的证书。这样证书就像用户自己制作的名片,缺乏权威性,达不到身份认证的目的。当你向对方递交你的名片,声称自己是某个大公司的老总,信不信只能由对方自己去判断。
既然自我签名证书不能有效地证明自己的身份,那么有何意义呢?在技术上,无论是从权威机构获得的证书,还是自己制作的证书,采用的加密技术都是一样的,使用这些证书,都可以实现安全的加密通信。
- 大小: 41 KB
分享到:
相关推荐
SSL/TLS简介PPT
ssl加密技术方法及SSL协议提供的安全信道的三个特性
安全套接层(Secure Sockets Layer,SSL)是网景公司(Netscape)在推出Web浏览器首版的同时,提出的协议。SSL采用公开密钥技术,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被...协议简介
使用OpenSSL和KYRTool 配置Domino SSL SSL 简介 • 生成密钥文件(Keyring file)的方式 • OpenSSL、 KYRTool 生成文件逻辑图 • 使用OpenSSL和 KYRTool配置Domino SSL • 官方参考文档
SSL协议简介、握手过程、工作原理、及其面临的安全问题和安全威胁
江南天安SSL加速方案简介1
安全套接层SSL协议简介.doc
5、进入证书服务简介界面,点击【下一步】 SSL实验报告全文共24页,当前为第4页。SSL实验报告全文共24页,当前为第4页。 SSL实验报告全文共24页,当前为第4页。 SSL实验报告全文共24页,当前为第4页。 6、将证书...
【软件名字】:SSL抓包神器 【软件版本】:V1.1.0 【软件语言】:中文 【软件大小】:3.11MB 【支持系统】:安卓2.2之上 【软件简介】:安卓最牛抓包神器,N多技术达人的最爱,此版本为破解专业版,强烈推荐一波。
提供相互SSL身份验证及其握手消息的简要介绍
1、经典安全/数字证书方面的题目讲解,加强基础知识; 2、SSL协议的工作原理详解; 3、常见的数据安全通信场景;
本文简介了SSL、TSL,并讨论了基于openssl的程序设计的细节
SSL安全协议简介;;SSL安全协议简介;SSL安全协议简介;SSL安全协议简介;SSL安全协议简介;SSL安全协议简介;
NXP 公司的SSL1623PH是开关电源(SMPS)控制器,能直接从通用电压火线(80V-276V)整流电压工作,它集成了6.5Ω和650 V的功率开关,可调频率以方便设计,具有可调过流保护,以及欠压保护,温度保护和短路保护,主要...
简介 OpenSSL管理平台为OpenSSL操作提供可视化的界面,方便快捷地完成对称算法、哈希校验、非对称算法、证书管理、SSL安全等操作。 功能模块: 对称算法:AES、DES、Triple DES。 哈希校验:MD2、MD4、MD5、SHA1、...
软件简介: WinWebMail邮件服务器是一款稳定高效的电子邮件系统,提供专业的企业邮件系统解决方案。支持 WebMail,数字签名及数字加密 S/MIME(4096位DH/DSS加密或2048位RSA加密),SMTP,SSL-SMTP,POP3,SSL-POP3,...
【插件简介】 MySSL的Chrome插件,是一款用来检测页面内部链接了哪些域名的检测工具,通过插件可以查看该网页内部链接了的域名的评级、签发者、过期时间及IP地址信息,同时可以点击任意一条内部链接去详细查看该...
tlsfuzzer tlsfuzzer是针对SSLv2,SSLv3,TLS 1.0,TLS 1.1,TLS 1.2和TLS 1.3实施的测试套件。 它处于开发的早期阶段,因此没有API稳定性保证。 尽管它使用模糊测试技术进行测试(传递的输入随机化),但是脚本...
website-ssl.sh:低门云跨入Https大门一,简介网站https化已是大势所趋,个人blog也都可以把https玩儿起来! 大神研究的很深,我把自己的操作步骤整合了一下,放置一个小工具,也许对大家有用!二,使用方式1,下载#...
Evan Coury的Sslurp v1.0简介在PHP中正确处理SSL是一件痛苦的事情,默认情况下完全不安全。 Sslurp的目标是使在安全可靠PHP中更轻松地使用SSL。 Sslurp可以使用Evan Coury的Sslurp v1.0简介在PHP中正确处理SSL是一个...