SSL网络安全技术白皮书.docx

SSL 网络安全技术白皮书  关键词：SSL，PKI，MAC 摘 要：SSL利用数据加密、身份验证和消息完整性验证机制，为基于TCP等可靠连接的应用层协议提供安全性保证。本文介绍了SSL的产生背景、安全机制、工作过程及典型组网应用。 缩略语： 缩略语 英文全名 中文解释 AES Advanced Encryption Standard 高级加密标准 CA Certificate Authority 证书机构 DES Data Encryption Standard 数据加密标准 HTTPS Hypertext Transfer Protocol Secure 安全超文本传输协议 MAC Message Authentication Code 消息验证码 MD5 Message Digest 5 消息摘要算法5 PKI Public Key Infrastructure 公钥基础设施 RSA Rivest Shamir and Adleman 非对称密钥算法的一种 SHA Secure Hash Algorithm 安全散列算法 SSL Secure Sockets Layer 安全套接层 VPN Virtual Private Network 虚拟专有网络 目 录 概述 3 产生背景 3 技术优点 3 协议安全机制 3 数据传输的机密性 4 身份验证机制 4 消息完整性验证 5 利用非对称密钥算法保证密钥本身的安全 6 利用PKI保证公钥的真实性 7 协议工作过程 8 SSL的分层结构 8 SSL握手过程 8 只验证服务器的SSL握手过程 9 验证服务器和客户端的SSL握手过程 11 恢复原有会话的SSL握手过程 12 典型组网应用 13 HTTPS 13 SSL VPN 13 参考文献 14 概述 产生背景 基于万维网的电子商务和网上银行等新兴应用，极大地方便了人们的日常生活，受到人们的青睐。由于这些应用都需要在网络上进行在线交易，它们对网络通信的安全性提出了更高的要求。传统的万维网协议HTTP不具备安全机制——采用明文的形式传输数据、不能验证通信双方的身份、无法防止传输的数据被篡改等，导致HTTP无法满足电子商务和网上银行等应用的安全性要求。 Netscape公司提出的安全协议SSL，利用数据加密、身份验证和消息完整性验证机制，为网络上数据的传输提供安全性保证。SSL可以为HTTP提供安全连接，从而很大程度上改善了万维网的安全性问题。 技术优点 SSL具有如下优点： 提供较高的安全性保证。SSL 利用数据加密、身份验证和消息完整性验证机制，保证网络上数据传输的安全性。 支持各种应用层协议。虽然 SSL 设计的初衷是为了解决万维网安全性问题， 但是由于 SSL 位于应用层和传输层之间，它可以为任何基于 TCP 等可靠连接的应用层协议提供安全性保证。 部署简单。目前 SSL 已经成为网络中用来鉴别网站和网页浏览者身份，在浏览器使用者及 Web 服务器之间进行加密通信的全球化标准。SSL 协议已被集成到大部分的浏览器中，如 IE、Netscape、Firefox 等。这就意味着几乎任意一台装有浏览器的计算机都支持 SSL 连接，不需要安装额外的客户端软件。 协议安全机制 SSL协议实现的安全机制包括： 数据传输的机密性：利用对称密钥算法对传输的数据进行加密。 身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验证是可选的。 消息完整性验证：消息传输过程中使用 MAC 算法来检验消息的完整性。 数据传输的机密性 网络上传输的数据很容易被非法用户窃取，SSL采用在通信双方之间建立加密通道的方法保证数据传输的机密性。 所谓加密通道，是指发送方在发送数据前，使用加密算法和加密密钥对数据进行加密，然后将数据发送给对方；接收方接收到数据后，利用解密算法和解密密钥从密文中获取明文。没有解密密钥的第三方，无法将密文恢复为明文，从而保证数据传输的机密性。 加解密算法分为两类： 对称密钥算法：数据加密和解密时使用相同的密钥。 非对称密钥算法：数据加密和解密时使用不同的密钥，一个是公开的公钥， 一个是由用户秘密保存的私钥。利用公钥（或私钥）加密的数据只能用相应的私钥（或公钥）才能解密。 与非对称密钥算法相比，对称密钥算法具有计算速度快的优点，通常用于对大量信息进行加密（如对所有报文加密）；而非对称密钥算法，一般用于数字签名和对较少的信息进行加密。 SSL加密通道上的数据加解密使用对称密钥算法，目前主要支持的算法有DES、3DES、AES等，这些算法都可以有效地防