SSL (Secure Socket Layer)
為Netscape所研發(fā)�,用以保障在Internet上數(shù)據(jù)傳輸之安全����,利用數(shù)據(jù)加密(Encryption)技術��,可確保數(shù)據(jù)在網(wǎng)絡上之傳輸過程中不會被截取及竊聽����。目前一般通用之規(guī)格為40 bit之安全標準,美國則已推出128 bit之更高安全標準��,但限制出境���。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL��。
當前版本為3.0��。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸��。
SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間����,為數(shù)據(jù)通訊提供安全支持�����。SSL協(xié)議可分為兩層: SSL記錄協(xié)議(SSL Record Protocol):它建立在可靠的傳輸協(xié)議(如TCP)之上,為高層協(xié)議提供數(shù)據(jù)封裝���、壓縮���、加密等基本功能的支持。 SSL握手協(xié)議(SSL Handshake Protocol):它建立在SSL記錄協(xié)議之上��,用于在實際的數(shù)據(jù)傳輸開始前��,通訊雙方進行身份認證����、協(xié)商加密算法、交換加密密鑰等��。
SSL協(xié)議提供的服務主要有:
1)認證用戶和服務器��,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器�;
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取���;
3)維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。
SSL協(xié)議的工作流程:
服務器認證階段:1)客戶端向服務器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接����;2)服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息�����;3)客戶根據(jù)收到的服務器響應信息��,產(chǎn)生一個主密鑰�,并用服務器的公開密鑰加密后傳給服務器;4)服務器恢復該主密鑰��,并返回給客戶一個用主密鑰認證的信息����,以此讓客戶認證服務器。
用戶認證階段:在此之前����,服務器已經(jīng)通過了客戶認證,這一階段主要完成對客戶的認證�����。經(jīng)認證的服務器發(fā)送一個提問給客戶,客戶則返回(數(shù)字)簽名后的提問和其公開密鑰����,從而向服務器提供認證。
從SSL 協(xié)議所提供的服務及其工作流程可以看出�����,SSL協(xié)議運行的基礎是商家對消費者信息保密的承諾�,這就有利于商家而不利于消費者。在電子商務初級階段���,由于運作電子商務的企業(yè)大多是信譽較高的大公司��,因此這問題還沒有充分暴露出來�。但隨著電子商務的發(fā)展��,各中小型公司也參與進來���,這樣在電子支付過程中的單一認證問題就越來越突出���。雖然在SSL3.0中通過數(shù)字簽名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務器雙方的身份驗證,但是SSL協(xié)議仍存在一些問題�����,比如�����,只能提供交易中客戶與服務器間的雙方認證�����,在涉及多方的電子交易中�,SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關系。在這種情況下��,Visa和 MasterCard兩大信用卡公組織制定了SET協(xié)議�,為網(wǎng)上信用卡支付提供了全球性的標準。
https介紹
HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協(xié)議
它是由Netscape開發(fā)并內(nèi)置于其瀏覽器中�,用于對數(shù)據(jù)進行壓縮和解壓操作,并返回網(wǎng)絡上傳送回的結(jié)果�。HTTPS實際上應用了Netscape的完全套接字層(SSL)作為HTTP應用層的子層。(HTTPS使用端口443��,而不是象HTTP那樣使用端口80來和TCP/IP進行通信��。)SSL使用40 位關鍵字作為RC4流加密算法���,這對于商業(yè)信息的加密是合適的�。HTTPS和SSL支持使用X.509數(shù)字認證,如果需要的話用戶可以確認發(fā)送者是誰���。�。
https是以安全為目標的HTTP通道����,簡單講是HTTP的安全版。即HTTP下加入SSL層���,https的安全基礎是SSL���,因此加密的詳細內(nèi)容請看SSL。
它是一個URI scheme(抽象標識符體系)��,句法類同http:體系����。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP����,但HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層(在HTTP與TCP之間)�。這個系統(tǒng)的最初研發(fā)由網(wǎng)景公司進行���,提供了身份驗證與加密通訊方法�����,現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊,例如交易支付方面�。
限制
它的安全保護依賴瀏覽器的正確實現(xiàn)以及服務器軟件、實際加密算法的支持.
一種常見的誤解是“銀行用戶在線使用https:就能充分徹底保障他們的銀行卡號不被偷竊��。”實際上���,與服務器的加密連接中能保護銀行卡號的部分�,只有用戶到服務器之間的連接及服務器自身�����。并不能絕對確保服務器自己是安全的��,這點甚至已被攻擊者利用�����,常見例子是模仿銀行域名的釣魚攻擊。少數(shù)罕見攻擊在網(wǎng)站傳輸客戶數(shù)據(jù)時發(fā)生�,攻擊者嘗試竊聽數(shù)據(jù)于傳輸中。
商業(yè)網(wǎng)站被人們期望迅速盡早引入新的特殊處理程序到金融網(wǎng)關�,僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個數(shù)據(jù)庫里��。那些數(shù)據(jù)庫和服務器少數(shù)情況有可能被未授權(quán)用戶攻擊和損害����。
SSL在web訪問上的體現(xiàn)就是https
