OpenSSL原理.pptxVIP

SSL工作原理 什么是SSL？ SSL是Security Socket Layer的缩写，技术上称为安全套接字，可以简称为加密通讯协议。 SSL是一种在客户端和服务器端之间建立安全通道的协议。 一、SSL协议概述 二、SSL协议的体系结构 三、SSL协议的工作流程 四、SSL协议的实现 一、SSL协议概述 SSL协议是指使用公钥和私钥技术组合的安全网络通讯协议。是由著名的Netscape公司开发的，一种基于Web应用的安全协议，保护存有敏感信息Web的服务器的安全，消除用户SSL在Internet上数据传输的安全顾虑。 SSL一经提出，就在Internet上得到广泛的应用。现 在被广泛用于Internet上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。 SSL协议指定了一种在应用程序协议（如Http）和TCP/IP协议之间提供数据安全性分层的机制。 SSL协议提供的服务主要有： 1）认证用户和服务器，确保数据发送到正确的客户机和服务器； 2）加密数据以防止数据中途被窃取； 3）维护数据的完整性，确保数据在传输过程中不被改变。 SSL以对称密码技术和公开密码技术相结合，可以完成以下三个通信目标： 1.秘密性 2.完整性 3.认证性 认证：是一个身份的验证的过程，是为了确保数据发送到正确的客户机和服务器。 每对密钥包含一个公钥和一个私钥，公钥是公开且广泛分布的，而私钥只有自己知道。用公钥加密的数据只有私钥才能解密，相反的，用私钥加密的数据只有公钥才能解密，正是这种不对称性才使得公用密钥密码系统那么有用。 如：假设A要认证B，B有一个密钥对，即一个公钥和 一个私钥，B透露给A他的公钥，然后验证如下： 1.AB random--message 2.BA B--private—key 3.AB B—public--key 证书是一种把公钥绑定到名字的标准方式，从而就无法冒充他人的公钥。 一个证书包括下面的一些内容： 1.证书发行者的名字 2.证书发送给的团体 3.主题的公钥 4.一些时间戳 二、SSL协议的体系结构 SSL协议位于TCP/IP协议模型的网络层和应用层之间，使用TCP来提供一种可靠的端到端的安全服务，它使客户/服务器应用之间的通信不被窃听，并且始终对服务器进行认证，还可以选择对客户进行认证。 SSL协议在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作，在此之后，应用层协议所传送的数据都被加密。 SSL协议体系结构图 从上图可以看出SSL安全协议实际是SSL握手协议、SSL修改密文协议、SSL警告协议和SSL记录协议组成的一个协议族。 SSL记录协议为SSL连接提供了两种服务：一是机密性，二是信息完整性。 SSL修改密文协议是使用SSL记录协议服务的SSL高层协议的3个特定协议之一，也是其中最简单的一个。协议由单个消息组成，该消息只包含一个值为1的单个字节。 SSL告警协议是用来为对等实体传递SSL的相关警告。如果在通信过程中某一方发现任何异常，就需要给对方发送一条警示消息通告。 SSL握手协议 SSL握手协议 SSL握手协议允许通信实体在交换应用数据之前协商密钥的算法、加密密钥和对客户端进行认证的协议，为下一步记录协议要使用的密钥信息进行协商。 其中，SSL握手协议是在任何应用程序数据传输之前使用的。 SSL握手协议包含四个阶段： 第一个阶段是建立安全能力； 第二个阶段服务器鉴别和密钥交换； 第三个阶段客户鉴别和密钥交换； 第四个阶段完成握手协议。 三、SSL协议的工作流程 服务器认证阶段： 1.客户端向服务器发送一个开始信息“HELLO”以便开始一个新的会话连接； 2.服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“HELLO”信息时将包含生成主密钥所需的信息； 3.客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器； 4.服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。 用户认证阶段： 在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户，客户则返回签名后的提问和其公开密钥，从而向服务器提供认证。 SSL存在的问题： 从SSL协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。在电子商务初级阶段，由于运作电子