ssl協議棧
A. HTTP,SSL/TLS和HTTPS協議的區別與聯系
一、「HTTP」是幹嘛用滴?
首先,HTTP 是一個網路協議,是專門用來幫你傳輸 Web 內容滴。 大部分網站都是通過 HTTP 協議來傳輸 Web 頁面、以及 Web 頁面上包含的各種東東(圖片、CSS 樣式、JS 腳本)。
二、「SSL/TLS」是幹嘛用滴?
SSL 是洋文「Secure Sockets Layer」的縮寫,中文叫做「安全套接層」。它是在上世紀90年代中期,由網景公司設計的。(順便插一句,網景公司不光發明了 SSL,還發明了很多 Web 的基礎設施——比如「CSS 樣式表」和「JS 腳本」)
增加說明:為啥要發明 SSL 這個協議捏?因為原先互聯網上使用的 HTTP 協議是明文的,存在很多缺點——比如傳輸內容會被偷窺(嗅探)和篡改。發明 SSL 協議,就是為了解決這些問題。到了1999年,SSL 因為應用廣泛,已經成為互聯網上的事實標准。IETF 就在那年把 SSL 標准化。標准化之後的名稱改為 TLS(是「Transport Layer Security」的縮寫),中文叫做「傳輸層安全協議」。很多相關的文章都把這兩者並列稱呼(SSL/TLS),因為這兩者可以視作同一個東西的不同階段。
三、「HTTPS」是啥意思?
解析玩HTTP和SSL/TLS,現在就可以來解釋HTTPS 啦。咱們通常所說的HTTPS協議,說白了就是「HTTP 協議」和「SSL/TLS 協議」的組合。你可以把HTTPS大致理解為「HTTP over SSL」或「HTTP over TLS」(反正SSL和TLS差不多)。
四、如何實現HTTPS?
HTTPS實現有一定門檻的,首先有獨立的域名、伺服器,然後淘寶:Gworg獲取SSL證書安裝到伺服器才可以實現,其中包括簽發、認證手續的。
B. ssl在tcp/ip協議的哪一層被提供
SSL協議位於TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。回SSL協議可分為兩層:答 SSL記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。 SSL握手協議(SSL Handshake Protocol):它建立在SSL記錄協議之上,用於在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密演算法、交換加密密鑰等。訪問沃通官網了解SSL工作原理。
C. 電腦管家殺毒顯示SSL協議未開啟是什麼意思
意思是:Internet explorer瀏覽器的網路功能中的SSL協議未開啟。
解決方法:
1、首先打開電腦中的Internet explorer瀏覽器並點擊瀏覽器左上角的齒輪按鈕。
(3)ssl協議棧擴展閱讀
SSL協議提供的安全通道有以下三個特性:
機密性:SSL協議使用密鑰加密通信數據。
可靠性:伺服器和客戶都會被認證,客戶的認證是可選的。
完整性:SSL協議會對傳送的數據進行完整性檢查。
從SSL 協議所提供的服務及其工作流程可以看出,SSL協議運行的基礎是商家對消費者信息保密的承諾,這就有利於商家而不利於消費者。在電子商務初級階段,由於運作電子商務的企業大多是信譽較高的大公司,因此這問題還沒有充分暴露出來。
隨著電子商務的發展,各中小型公司也參與進來,這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web伺服器雙方的身份驗證,但是SSL協議仍存在一些問題。
比如,只能提供交易中客戶與伺服器間的雙方認證,在涉及多方的電子交易中,SSL協議並不能協調各方間的安全傳輸和信任關系。在這種情況下,Visa和 MasterCard兩大信用卡公組織制定了SET協議,為網上信用卡支付提供了全球性的標准。
SSL的體系結構中包含兩個協議子層,其中底層是SSL記錄協議層(SSL Record Protocol Layer);高層是SSL握手協議層(SSL HandShake Protocol Layer)。SSL的協議棧如圖所示,其中陰影部分即SSL協議。
SSL記錄協議層的作用是為高層協議提供基本的安全服務。SSL紀錄協議針對HTTP協議進行了特別的設計,使得超文本的傳輸協議HTTP能夠在SSL運行。紀錄封裝各種高層協議,具體實施壓縮解壓縮、加密解密、計算和校驗MAC等與安全有關的操作。
SSL握手協議層包括SSL握手協議(SSL HandShake Protocol)、SSL密碼參數修改協議(SSL Change Cipher Spec Protocol)、應用數據協議(Application Data Protocol)和SSL告警協議(SSL Alert Protocol)。
握手層的這些協議用於SSL管理信息的交換,允許應用協議傳送數據之間相互驗證,協商加密演算法和生成密鑰等。SSL握手協議的作用是協調客戶和伺服器的狀態,使雙方能夠達到狀態的同步。
D. 什麼叫SSL
Secure Socket Layer,為Netscape所研發,用以保障在Internet上數據傳輸的安全,利用數據加密(Encryption)技術,可確保數據在網路上的傳輸過程中不會被截取及竊聽。
SSL提供的服務包括
1)認證用戶和伺服器,確保數據發送到正確的客戶機和伺服器;
2)加密數據以防止數據中途被竊取;
3)維護數據的完整性,確保數據在傳輸過程中不被改變。
(4)ssl協議棧擴展閱讀:
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層與應用層之間對網路連接進行加密。
SSL的體系結構中包含兩個協議子層,其中底層是SSL記錄協議層(SSL Record Protocol Layer);高層是SSL握手協議層(SSL HandShake Protocol Layer)
SSL記錄協議層的作用是為高層協議提供基本的安全服務。SSL紀錄協議針對HTTP協議進行了特別的設計,使得超文本的傳輸協議HTTP能夠在SSL運行。
紀錄封裝各種高層協議,具體實施壓縮解壓縮、加密解密、計算和校驗MAC等與安全有關的操作。
SSL握手協議層包括SSL握手協議(SSL HandShake Protocol)、SSL密碼參數修改協議(SSL Change Cipher Spec Protocol)、應用數據協議(Application Data Protocol)和SSL告警協議(SSL Alert Protocol)。
握手層的這些協議用於SSL管理信息的交換,允許應用協議傳送數據之間相互驗證,協商加密演算法和生成密鑰等。SSL握手協議的作用是協調客戶和伺服器的狀態,使雙方能夠達到狀態的同步。
E. TR-069的協議
TR-069協議和規程
TR-069協議的基本思路是利用了在新一代服務中廣泛使用的基於SOAP的RPC方法。其會話協議使用的是HTTP1.1協議,因此TR-069可以方便地使用在Web中使用的傳送層安全技術,比如SSL/TLS。
TR-069協議棧的下面幾層充分利用了現在Internet上廣泛使用的通信協議,比如TCP、HTTP、SOAP等。通過這些成熟的協議,ACS和用戶設備之間可以方便地建立通信的基本通道。TR-069在SOAP之上定義了用於配置、查詢、診斷等操作的特定的RPC方法,通信的兩端(ACS和用戶設備)都可以通過RPC調用來完成某個特定功能的執行和得到返回的結果。
用戶設備和ACS之間的通信分為ACS發現階段和連接建立階段。在ACS發現階段,用戶設備需要得知ACS的URL或地址,這些信息可以是預配置在用戶設備中的,也可以通過DHCP的選項來傳送給用戶設備。一旦用戶設備得到ACS的URL或地址,用戶設備可以在任何時候發起對ACS的連接。
在連接過程中,用戶設備作為HTTP的客戶端,其SOAP請求通過HTTPPOST發送給ACS;而ACS作為HTTP的服務端,其SOAP請求通過HTTPResponse發送給用戶設備。在每一個HTTP請求中可以包含多個SOAP請求或響應。為了確保管理配置系統的安全,TR-069建議使用SSL/TLS對用戶設備進行認證。如果不使用SSL/TLS,也應使用HTTP1.1中定義的認證方式對用戶設備進行認證。
除了上面提到的方式,TR-069還明確了ACS可以向用戶設備發起連接請求的規定,用於完成網路側發起的非同步配置動作等。
F. IPsec在協議棧 哪層
IPsec在網路層。
SSL在傳輸層。。它們都是網路安全體系結構中所包含的內容。
G. 手機出現SSL怎麼解決
升級版本。
SSL(Secure Sockets Layer安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為 網路通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網路連接進行加密。
H. MatrixSSL的SSL協議實現
在過去幾年裡Internet和嵌入式技術發展迅速,Internet在伺服器、桌面機和包括PDA和小型電話的攜帶型電腦上應用迅速增長。隨著更簡單、資源更受限制連接到WEB的設備(探測器、家居設備、個人醫療設備)數量增長,這種趨勢將會繼續。具有感測和通信功能的嵌入式設備將計算機技術應用於今天不尋常的設備(現場監控,醫療緊急響應、戰場管理和家居自動化)中變成可能。這些嵌入式應用都具有安全需要,沒有足夠的安全,攻擊者可以控制這些嵌入式設備並引發災難性的反應。
SSL[1]是今天在Internet上最流行的安全協議,它內建於很多流行的應用程序里,包括所有著名的WEB瀏覽器,並且廣泛被信任用於加強敏感信息傳輸包括:在線銀行,證券交易和電子商務。SSL 採用數字證書、對稱/ 非對稱密鑰加密、消息摘要和數字簽名等技術提供身份認證、數據保密、數據完整性三大安全服務,可以為嵌入式系統提供一個完善的安全解決方案。但現有大多數SSL協議實現都沒有針對嵌入式系統,不適合於嵌入式Internet要求。
MatrixSSL[3]是針對小型應用程序和設備設計的嵌入式、開放源碼SSLv3協議棧(商業版支持TLS協議)。它減少了將SSL整合進嵌入式工程的復雜性,使用一個簡單的API和安全層,用戶可以很容易地將MatrixSSL整合到它們的應用程序。Matrixssl使用工業界標準的加密演算法(RC4、DES3、AES、RSA)和協議,它確保用戶獲得一個編譯不到50K(Openssl[2]需要1M左右)的提供強大和可靠安全解決方案的庫函數,並具有可插拔密碼套件、演算法和可移植性強等特點,可以方便定製密碼套件和演算法以及平滑地向多平台移植,非常適合在資源受限的嵌入式環境中使用。
I. 國際互聯網路的協議棧層
人們已經進行了一些討論關於如何將TCP/IP參考模型映射到到OSI模型。由於TCP/IP和OSI模型組不能精確地匹配,還沒有一個完全正確的答案。
另外,OSI模型下層還不具備能夠真正占據真正層的位置的能力,在傳輸層和網路層之間還需要另外一個層(網路互連層)。特定網路類型專用的一些協議應該運行在網路層上,但是卻運行在基本的硬體幀交換上。類似協議的例子有地址解析協議和生成樹協議(用來保持冗餘網橋的空閑狀態直到真正需要它們)。然而,它們是本地協議並且在網路互連功能下面運行。不可否認,將兩個組(更不用說它們只是運行在如ICMP等不同的互連網路協議上的邏輯上的網路層的一部分)整個放在同一層會引起混淆,但是OSI模型還沒有復雜到能夠做更好的工作。
下面的圖表試圖顯示不同的TCP/IP和其他的協議在最初OSI模型中的位置:
1 、應用層例如HTTP、SMTP、SNMP、FTP、Telnet、SIP、SSH、NFS、RTSP、XMPP、Whois、ENRP
2 、表示層例如XDR、ASN.1、SMB、AFP、NCP
3 、會話層例如ASAP、TLS、SSH、ISO 8327 / CCITT X.225、RPC、NetBIOS、ASP、Winsock、BSD sockets
4 、傳輸層 例如TCP、UDP、RTP、SCTP、SPX、ATP、IL
5 、 網路層 例如IP、ICMP、IGMP、IPX、BGP、OSPF、RIP、IGRP、EIGRP、ARP、RARP、 X.25
6 、數據鏈路層例如乙太網、令牌環、HDLC、幀中繼、ISDN、ATM、IEEE 802.11、FDDI、PPP
7 、實體層 例如線路、無線電、光纖
通常人們認為OSI模型的最上面三層(應用層、表示層和會話層)在TCP/IP組中是一個應用層。由於TCP/IP有一個相對較弱的會話層,由TCP和RTP下的打開和關閉連接組成,並且在TCP和UDP下的各種應用提供不同的埠號,這些功能能夠被單個的應用程序(或者那些應用程序所使用的庫)增加。與此相似的是,IP是按照將它下面的網路當作一個黑盒子的思想設計的,這樣在討論TCP/IP的時候就可以把它當作一個獨立的層。
(1)應用層(OSI 5 到 7層) 例如HTTP、FTP、DNS(如BGP和RIP這樣的路由協議,盡管由於各種各樣的原因它們分別運行在TCP和UDP上,仍然可以將它們看作網路層的一部分)
(2) 傳輸層(OSI 4層) 例如TCP、UDP、RTP、SCTP(如OSPF這樣的路由協議,盡管運行在IP上也可以看作是網路層的一部分)
(3)網路互連層(OSI 3層) 對於TCP/IP來說這是網際網路協議(IP)(如ICMP和IGMP這樣的必須協議盡管運行在IP上,也仍然可以看作是網路互連層的一部分;ARP不運行在IP上)
(4)網路介面層(OSI1和2層) 例如乙太網、Wi-Fi、MPLS等。
[編輯]應用層該層包括所有和應用程序協同工作,利用基礎網路交換應用程序專用的數據的協議。應用層是大多數普通與網路相關的程序為了通過網路與其他程序通信所使用的層。這個層的處理過程是應用特有的;數據從網路相關的程序以這種應用內部使用的格式進行傳送,然後被編碼成標准協議的格式。
一些特定的程序被認為運行在這個層上。它們提供服務直接支持用戶應用。這些程序和它們對應的協議包括HTTP(萬維網服務)、FTP(文件傳輸)、SMTP(電子郵件)、SSH(安全遠程登陸)、DNS(名稱<-> IP 地址尋找)以及許多其他協議。
一旦從應用程序來的數據被編碼成一個標準的應用層協議,它將被傳送到IP棧的下一層。
在傳輸層,應用程序最常用的是TCP或者UDP,並且伺服器應用程序經常與一個公開的埠號相聯系。伺服器應用程序的埠由互聯網號碼分配局(IANA)正式地分配,但是現今一些新協議的開發者經常選擇它們自己的埠號。由於在同一個系統上很少超過少數幾個的伺服器應用,埠沖突引起的問題很少。應用軟體通常也允許用戶強制性地指定埠號作為運行參數。
連結外部的客戶端程序通常使用系統分配的一個隨機埠號。監聽一個埠並且通過伺服器將那個埠發送到應用的另外一個副本以建立對等連結(如IRC上的dcc文件傳輸)的應用也可以使用一個隨機埠,但是應用程序通常允許定義一個特定的埠范圍的規范以允許埠能夠通過實現網路地址轉換(NAT)的路由器映射到內部。
每一個應用層(TCP/IP參考模型的最高層)協議一般都會使用到兩個傳輸層協議之一: 面向連接的TCP傳輸控制協議和無連接的包傳輸的UDP用戶數據報文協議。 常用的應用層協議:
運行在TCP協議上的協議:HTTP(Hypertext Transfer Protocol,超文本傳輸協議),主要用於普通瀏覽。
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer, or HTTP over SSL,安全超文本傳輸協議),HTTP協議的安全版本。
FTP(File Transfer Protocol,文件傳輸協議),由名知義,用於文件傳輸。
POP3(Post Office Protocol, version 3,郵局協議),收郵件用。
SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協議),用來發送電子郵件 。
TELNET(Teletype over the Network,網路電傳),通過一個終端(terminal)登陸到網路。
SSH(Secure Shell,用於替代安全性差的TELNET),用於加密安全登陸用。
運行在UDP協議上的協議:BOOTP(Boot Protocol,啟動協議),應用於無盤設備。
NTP(Network Time Protocol,網路時間協議),用於網路同步。
其他:DNS(Domain Name Service,域名服務),用於完成地址查找,郵件轉發等工作(運行在TCP和UDP協議上)。
ECHO(Echo Protocol,回繞協議),用於查錯及測量應答時間(運行在TCP和UDP協議上)。
SNMP(Simple Network Management Protocol,簡單網路管理協議),用於網路信息的收集和網路管理。
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議),動態配置IP地址。
ARP(Address Resolution Protocol,地址解析協議),用於動態解析乙太網硬體的地址。
[編輯]傳輸層傳輸層的協議,能夠解決諸如端到端可靠性(「數據是否已經到達目的地?」)和保證數據按照正確的順序到達這樣的問題。在TCP/IP協議組中,傳輸協議也包括所給數據應該送給哪個應用程序。
在TCP/IP協議組中技術上位於這個層的動態路由協議通常被認為是網路層的一部分;一個例子就是OSPF(IP協議89)。
TCP(IP協議6)是一個「可靠的」、面向連結的傳輸機制,它提供一種可靠的位元組流保證數據完整、無損並且按順序到達。TCP盡量連續不斷地測試網路的負載並且控制發送數據的速度以避免網路過載。另外,TCP試圖將數據按照規定的順序發送。這是它與UDP不同之處,這在實時數據流或者路由高網路層丟失率應用的時候可能成為一個缺陷。
較新的SCTP也是一個「可靠的」、面向連結的傳輸機制。它是面向紀錄而不是面向位元組的,它在一個單獨的連結上提供了通過多路復用提供的多個子流。它也提供了多路自定址支持,其中連結終端能夠被多個IP地址表示(代表多個實體介面),這樣即使其中一個連接失敗了也不中斷。它最初是為電話應用開發的(在IP上傳輸SS7),但是也可以用於其他的應用。
UDP(IP協議號17)是一個無連結的數據報協議。它是一個「best effort」或者「不可靠」協議——不是因為它特別不可靠,而是因為它不檢查數據包是否已經到達目的地,並且不保證它們按順序到達。如果一個應用程序需要這些特點,它必須自己提供或者使用TCP。
UDP的典型性應用是如流媒體(音頻和視頻等)這樣按時到達比可靠性更重要的應用,或者如DNS查找這樣的簡單查詢/響應應用,如果建立可靠的連結所作的額外工作將是不成比例地大。
DCCP當前正由IEFT開發。它提供TCP流動控制語義,但對於用戶來說保留了UDP的數據報服務模型。
TCP和UDP都用來支持一些高層的應用。任何給定網路地址的應用通過它們的TCP或者UDP埠號區分。根據慣例使一些大眾所知的埠與特定的應用相聯系。
RTP是為如音頻和視頻流這樣的實時數據設計的數據報協議。RTP是使用UDP包格式作為基礎的會話層,然而據說它位於網際網路協議棧的傳輸層。 [編輯]網路互連層正如最初所定義的,網路層解決在一個單一網路上傳輸數據包的問題。類似的協議有X.25和ARPANET的Host/IMP Protocol。
隨著網際網路思想的出現,在這個層上添加了附加的功能,也就是將數據從源網路傳輸到目的網路。這就牽涉到在網路組成的網上選擇路徑將數據包傳輸,也就是網際網路。
在網際網路協議組中,IP完成數據從源發送到目的的基本任務。IP能夠承載多種不同的高層協議的數據;這些協議使用一個唯一的IP協議號進行標識。ICMP和IGMP分別是1和2。
一些IP承載的協議,如ICMP(用來發送關於IP發送的診斷信息)和IGMP(用來管理多播數據),它們位於IP層之上但是完成網路層的功能,這表明了網際網路和OSI模型之間的不兼容性。所有的路由協議,如BGP、OSPF、和RIP實際上也是網路層的一部分,盡管它們似乎應該屬於更高的協議棧。
[編輯]網路介面層網路介面層實際上並不是網際網路協議組中的一部分,但是它是數據包從一個設備的網路層傳輸到另外一個設備的網路層的方法。這個過程能夠在網卡的軟體驅動程序中控制,也可以在韌體或者專用晶元中控制。這將完成如添加報頭准備發送、通過實體媒介實際發送這樣一些數據鏈路功能。另一端,鏈路層將完成數據幀接收、去除報頭並且將接收到的包傳到網路層。
然而,鏈路層並不經常這樣簡單。它也可能是一個虛擬專有網路(VPN)或者隧道,在這里從網路層來的包使用隧道協議和其他(或者同樣的)協議組發送而不是發送到實體的介面上。VPN和隧道通常預先建好,並且它們有一些直接發送到實體介面所沒有的特殊特點(例如,它可以加密經過它的數據)。由於鏈路「層」是一個完整的網路,這種協議組的遞歸使用可能引起混淆。但是它是一個實現常見復雜功能的一個優秀方法。(盡管需要注意預防一個已經封裝並且經隧道發送下去的數據包進行再次地封裝和發送)。