ssl協議
❶ SSL協議和SET協議的特點及區別
SSL協議是1994年網景公司NetScape於1994年開發的加密協議,被稱為安全套接層,後被國際互聯網工程任務組IETF接手並更名為TLS協議,SSL/TLS協議被廣泛應用於Web瀏覽器與Web伺服器之間的數據加密和身份認證:對通信的數據進行加密來防止信息在傳輸過程中被泄露或篡改,對通信方進行身份認證來確保信息來自於正確的發送者且傳送給正確的接收者。總的來說SSL協議是為了保護用戶和網站之間傳輸信息和數據的安全而誕生的。
SET協議是Master Card和Visa聯合Netscape,Microsoft等公司,於1997年6月1日開發的協議,被稱為安全電子交易協議,保證了用戶在互聯網上使用信用卡進行交易時,信息和數據的安全。
共同點是,都採用公鑰密碼體制和X.509數字證書標准來進行數據加密和認證,區別是SET主要用於B2C,而SSL用於所有web瀏覽器和web伺服器之間的通信。
❷ ssl協議和http協議的區別
http協議是明文協議,ssl協議是數據加密協議,通過安裝ssl證書就可以實現從http到https,加密信息更安全。ssl證書可以找GDCA,是專門這個的
❸ 什麼是SSL協議,SSL協議是什麼意思
什麼是SSL協議? SSL協議是一種安全傳輸協議,SSL是SecureSocketLayer的縮寫,即安全套接層協議。該協議最初由Netscape企業發展而來,目前已經成為互聯網上用來鑒別網站和網頁瀏覽者的身份,以及在瀏覽器使用者及網頁伺服器之間進行加密通訊的全球化標准協議。由於SSL技術已建立到了所有主要的瀏覽器和WEB伺服器程序當中,因此,僅需安裝數字證書,或伺服器證書就可以激活伺服器功能了。 SSL協議能夠對信用卡和個人信息提供較安全的保護。SSL是對計算機之間整個會話進行加密的協議。在SSL中,採用了公開密鑰和私有密鑰兩種加密方法。 SSL協議的優勢在於它是應用層協議確立無關的。高層的應用協議如HTTP、FTP、Telnet等能透明地建立於SSL協議之上。其在應用層協議通信之前就已經完成加密演算法、通信密鑰的協商以及伺服器認證工作。在此之後應用層協議所傳送的數據都會被加密,從而保證我們在互聯網上通信的安全。 SSL協議提供的安全服務有: 1)認證用戶和伺服器,確保數據發送到正確的客戶機和伺服器; 2)加密數據以防止數據中途被竊取; 3)維護數據的完整性,確保數據在傳輸過程中不被改變。 SSL的主要目的是在兩個通信應用程序之間提供私密信和可靠性。這個過程通過3個元素來完成: 1、握手協議。 握手協議負責協商被用於客戶機和伺服器之間會話的加密參數。當一個SSL客戶機和伺服器第一次開始通信時,它們在一個協議版本上達成一致,選擇加密演算法,選擇相互認證,並使用公鑰技術來生成共享密鑰。 2、記錄協議。 記錄協議用於交換應用層數據。應用程序消息被分割成可管理的數據塊,還可以壓縮,並應用一個MAC(消息認證代碼);然後結果被加密並傳輸。接受方接受數據並對它解密,校驗MAC,解壓縮並重新組合它,並把結果提交給應用程序協議。 3、警告協議。這個協議用於指示在什麼時候發生了錯誤或兩個主機之間的會話在什麼時候終止。 下面我們來看一個使用WEB客戶機和伺服器的範例。WEB客戶機通過連接到一個支持SSL的伺服器,啟動一次SSL會話。支持SSL的典型WEB伺服器在一個與標准HTTP請求(默認為埠80)不同的埠(默認為443)上接受SSL連接請求。當客戶機連接到這個埠上時,它將啟動一次建立SSL會話的握手。當握手完成之後,通信內容被加密,並且執行消息完整性檢查,知道SSL會話過期。SSL創建一個會話,在此期間,握手必須只發生過一次。當SSL會話過程中出現了問題或埠設置出了問題,就會造成無法使用SSL連接現象。 SSL握手過程步驟: 步驟1:SSL客戶機連接到SSL伺服器,並要求伺服器驗證它自身的身份。 步驟2:伺服器通過發送它的數字證書證明其身份。這個交換還可以包括整個證書鏈,直到某個根證書權威機構(CA)。通過檢查有效日期並確認證書包含有可信任CA的數字簽名,來驗證證書。 步驟3:伺服器發出一個請求,對客戶端的證書進行驗證。但是,因為缺乏公鑰體系結構,當今的大多數伺服器不進行客戶端認證。 步驟4:協商用於加密的消息加密演算法和用於完整性檢查的哈希函數。通常由客戶機提供它支持的所有演算法列表,然後由伺服器選擇最安全的加密演算法。 步驟5:客戶機和伺服器通過下列步驟生成會話密鑰: a. 客戶機生成一個隨機數,並使用伺服器的公鑰(從伺服器的證書中獲得)對它加密,然後發送到伺服器上 b. 伺服器用更加隨機的數據(從客戶機的密鑰可用時則使用客戶機密鑰;否則以明文方式發送數據)響應。 c. 使用哈希函數,從隨機數據生成安全密鑰。 SSL協議的優點是它提供了連接安全,具有3個基本屬性: l 連接是私有的。在初始握手定義了一個密鑰之後,將使用加密演算法。對於數據加密使用了對稱加密(例如DES和RC4)。 l 可以使用非對稱加密或公鑰加密(例如RSA和DSS)來驗證對等實體的身份。 l 連接時可靠的。消息傳輸使用一個密鑰的MAC,包括了消息完整性檢查。其中使用了安全哈希函數(例如SHA和MD5)來進行MAC計算。 對於SSL的接受程度僅僅限於HTTP內。它在其他協議中曾被表明可以使用,但還沒有被廣泛應用。
❹ SSL協議的具體有哪些內容
1)、SSL協議位於TCP/IP協議與各種應用層協議之間,為數據通訊提供安全內支持。
2)、SSL協議容可分為兩層:SSL記錄協議:它建立在可靠的傳輸協議上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持;SSL握手協議:它簡歷在SSL記錄協議上,用於在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密演算法、交換加密密鑰等。
❺ SSL協議有什麼特性
SSL協議由Netscape Communication公司設計開發,主要用於提高應用程序之間數據的安全性。該安全協議主要提供對用戶和伺服器的認證;對傳送的數據進行加密和隱藏;確保數據在傳送中不被改變。它能使客戶一伺服器應用之間的通信不被攻擊者竊聽。
SSL協議的特性
SSL提供了兩台機器間的安全連接。支付系統通過在SSL連接上傳輸信用卡卡號的方式來構建,在線銀行和其他金融系統也常常構建在SSL之上。大部分Web瀏覽器和Web伺服器都內置了SSL協議,比較容易應用。SSL協議建立在可靠的傳輸層協議(如TCP)之上,與應用層協議無關。它在應用層協議通信之前就已經完成加密演算法、通信密鑰的協商以及伺服器認證工作。高層的應用層協議(如HTTP,FTP,TELNET等)可以透明地建立於SSL協議之上。應用層協議所傳送的數據都會被加密,從而保證通信的私密性。SSL協議提供的安全信道有以下三種特性:
私密性:在握手協議定義了會話密鑰後,所有的消息都被加密。
確認性:盡管會話的客戶端認證是可選的,但是伺服器端始終是被認證的。
可靠性:傳送的消息包括消息完整性檢查。
SSL協議規范
SSL協議由SSL記錄協議和SSL握手協議兩部分組成。
①SSL記錄協議
在SSL協議中,所有的傳輸數據都被封裝在記錄中。記錄是由記錄頭和記錄數據組成的。所有的SSL通信包括握手消息、安全空白記錄和應用數據都使用SSL記錄層。
②SSL握手協議
SSL握手協議包含兩個階段,第一個階段用於建立私密性通信信道,第二個階段用於客戶認證。
第一階段是通信的初始化階段,首先SSL要求伺服器向瀏覽器出示證書。證書包含有一個公鑰,這個公鑰是由一家可信證書授權機構簽發的。通過內置的一些基礎公共密鑰,客戶的瀏覽器可以判斷伺服器證書正確與否。然後,瀏覽器中的SSL軟體發給伺服器一
個隨機產生的傳輸密鑰,此密鑰由已驗證過的公鑰加密。由於傳輸密鑰只能由對應的私有密鑰來解密,這證實了該伺服器屬於一個認證過的公司。隨機產生的傳輸密鑰是核心機密,只有客戶的瀏覽器和此公司的Web伺服器知道這個數字序列。這個兩方共享密鑰的密文可以通過瀏覽器安全地抵達Web伺服器,Internet上的其他人無法解開它。
第二階段的主要任務是對客戶進行認證,此時伺服器已經被認證了。伺服器方向客戶發出認證請求消息。客戶收到伺服器方的認證請求消息後,發出自己的證書,並且監聽對方回送的認證結果。而當伺服器收到客戶的證書後,給客戶回送認證成功消息,否則返回錯誤消息。到此為止,握手協議全部結束。
❻ SSL協議的工作原理
SSL通信的工作原理
SSL協議的主要用途是在兩個通信應用程序之間提供私密性和可靠性,這個過程通過3個元素來完成:
(1)握手協議:這個協議負責被子用於客戶機和伺服器之間會話的加密參數。當一個SSL客戶機和伺服器第一次開始通信時,它們在一個協議版本上達成一致,選擇加密演算法和認證方式,並使用公鑰技術來生成共享密鑰。
(2)記錄協議:這個協議用於交換應用數據。應用程序消息被分割成可管理的數據塊,還可以壓縮,並產生一個MAC(消息認證代碼),然後結果被加密並傳輸。接受方接受數據並對它解密,校驗MAC,解壓並重新組合,把結果提供給應用程序協議。
(3)警告協議:這個協議用於每時示在什麼時候發生了錯誤或兩個主機之間的會話在什麼時候終止。
SSL協議通信的握手步驟如下:
第1步,SSL客戶機連接至SSL伺服器,並要求伺服器驗證它自身的身份;
第2步,伺服器通過發送它的數字證書證明其身份。這個交換還可以包括整個證書鏈,直到某個根證書頒發機構(CA)。通過檢查有效日期並確認證書包含可信任CA的數字簽名來驗證證書的有效性。
第3步,伺服器發出一個請求,對客戶端的證書進行驗證,但是由於缺乏公鑰體系結構,當今的大多數伺服器不進行客戶端認證。
第4步,協商用於加密的消息加密演算法和用於完整性檢查的哈希函數,通常由客戶端提供它支持的所有演算法列表,然後由伺服器選擇最強大的加密演算法。
第5步,客戶機和伺服器通過以下步驟生成會話密鑰:
·客戶機生成一個隨機數,並使用伺服器的公鑰(從伺服器證書中獲取)對它加密,以送到伺服器上。
·伺服器用更加隨機的數據(客戶機的密鑰可用時則使用客戶機密鑰,否則以明文方式發送數據)響應。
·使用哈希函數從隨機數據中生成密鑰。
SSL VPN的主要優勢和不足
上面我們介紹了有關SSL VPN的一些基本情況,但是就像任何新技術的產生一樣,相對傳統的技術肯定會存在一些重要的優點,當然不足之處通常也是有的,下面就分別予以介紹。
1.SSL VPN的主要優點
這樣一種新型的VPN技術主要優勢體現在哪裡呢?目前這種VPN技術的應用正逐漸呈上升趨勢,原因何在呢?下面就是幾個主要的方面:
(1)無需安裝客戶端軟體:在大多數執行基於SSL協議的遠程訪問是不需要在遠程客戶端設備上安裝軟體。只需通過標準的Web瀏覽器連接網際網路,即可以通過網頁訪問到企業總部的網路資源。這樣無論是從軟體協議購買成本上,還是從維護、管理成本上都可以節省一大筆資金,特別是對於大、中型企業和網路服務提供商。
(2)適用大多數設備:基於Web訪問的開放體系可以在運行標準的瀏覽器下可以訪問任何設備,包括非傳統設備,如可以上網的電話和PDA通訊產品。這些產品目前正在逐漸普及,因為它們在不進行遠程訪問時也是一種非常理想的現代時尚產品。
(3)適用於大多數操作系統:可以運行標準的網際網路瀏覽器的大多數操作系統都可以用來進行基於Web的遠程訪問,不管操作系統是Windows、Macintosh、UNIX還是 Linux。可以對企業內部網站和Web站點進行全面的訪問。用戶可以非常容易地得到基於企業內部網站的資源,並進行應用。
(4)支持網路驅動器訪問:用戶通過SSL VPN通信可以訪問在網路驅動器上的資源。
(5)良好的安全性:用戶通過基於SSL的Web訪問並不是網路的真實節點,就像IPSec安全協議一樣。而且還可代理訪問公司內部資源。因此,這種方法可以非常安全的,特別是對於外部用戶的訪問。
(6)較強的資源控制能力:基於Web的代理訪問允許公司為遠程訪問用戶進行詳盡的資源訪問控制。
(7)減少費用:為那些簡單遠程訪問用戶(僅需進入公司內部網站或者進行Email通信),基於SSL 的VPN網路可以非常經濟地提供遠程訪問服務。
(8)可以繞過防火牆和代理伺服器進行訪問:基於SSL的遠程訪問方案中,使用NAT(網路地址轉換)服務的遠程用戶或者網際網路代理服務的用戶可以從中受益,因為這種方案可以繞過防火牆和代理伺服器進行訪問公司資源,這是採用基於IPSec安全協議的遠程訪問所很難或者根本做不到的。
2.SSL VPN的主要不足之處
上面介紹SSL VPN技術這么多優勢,那麼為什麼現在不是所有用戶都使用SSL VPN,且據權威調查機構調查顯示目前絕大多部分企業仍採用IPSec VPN呢?SSL VPN的主要不足在哪裡呢?
(1)必須依靠網際網路進行訪問:為了通過基於SSL VPN進行遠程工作,當前必須與網際網路保持連通性。因為此時Web瀏覽器實質上是扮演客戶伺服器的角色,遠程用戶的Web瀏覽器依靠公司的伺服器進行所有進程。正因如此,如果網際網路沒有連通,遠程用戶就不能與總部網路進行連接,只能單獨工作。
(2)對新的或者復雜的Web技術提供有限支持:基於SSL的VPN方案是依賴於反代理技術來訪問公司網路的。因為遠程用戶是從公用網際網路來訪問公司網路的,而公司內部網路信息通常不僅是處於防火牆後面,而且通常是處於沒有內部網IP地址路由表的空間中。反代理的工作就是翻譯出遠程用戶Web瀏覽器的需求,通常使用常見的URL地址重寫方法,例如,內部網站也許使用內部DNS伺服器地址鏈接到其他的內部網鏈接,而URL地址重寫必需完全正確地讀出以上鏈接信息,並且重寫這些URL地址,以便這些鏈接可以通過反代理技術獲得路由,當有需要時,遠程用戶可以輕松地通過點擊路由進入公司內部網路。對於URL地址重寫器完全正確理解所傳輸的網頁結構是極其重要的,只有這樣才可正確顯示重寫後的網頁,並在遠程用戶計算機瀏覽器上進行正確地操作。
(3)只能有限地支持Windows應用或者其它非Web系統:因為大多數基於SSL的VPN都是基Web瀏覽器工作的,遠程用戶不能在Windows,、UNIX、Linux、AS400或者大型系統上進行非基於Web界面的應用。雖然有些SSL提供商已經開始合並終端服務來提供上述非Web應用,但不管如何,目前SSL VPN還未正式提出全面支持,這一技術還有待討論,也可算是一個挑戰。
(4)只能為訪問資源提供有限安全保障:當使用基於SSL協議通過Web瀏覽器進行VPN通信時,對用戶來說外部環境並不是完全安全、可達到無縫連接的。因為SSL VPN只對通信雙方的某個應用通道進行加密,而不是對在通信雙方的主機之間的整個通道進行加密。在通信時,在Web頁面中呈現的文件很難也基本上無法保證只出現類似於上傳的文件和郵件附件等簡單的文件,這樣就很難保證其它文件不被暴露在外部,存在一定的安全隱患
❼ 簡述SSL協議與SET協議的區別
兩種都是應用於電子商務用的網路安全協議。都能保證交易數據的安全性、保密性和完整性。
SSL叫安全套接層協議,是國際上最早用的,已成工業標准,但它的基點是商家對客戶信息保密的承諾,因此有利於商家而不利於客戶。
SET叫安全電子交易協議,是為了在互聯網上進行在線交易時保證信用卡支付的安全而設立的一個開放的規范。因它的對象包括消費者、商家、發卡銀行、收單銀行、支付網關、認證中心,所以對消費者與商家同樣有利。它越來越得到眾人認同,將會成為未來電子商務的規范
近年來,IT業界與金融行業一起,推出不少更有效的安全交易標准。主要有:
(1) 安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
(2) 安全套接層協議(SSL協議:Secure Socket Layer)是由網景(Netscape)公司推出的一種安全通信協議,是對計算機之間整個會話進行加密的協議,提供了加密、認證服務和報文完整性。它能夠對信用卡和個人信息提供較強的保護。SSL被用於Netscape Communicator和Microsoft IE瀏覽器,用以完成需要的安全交易操作。在SSL中,採用了公開密鑰和私有密鑰兩種加密方法。
(3) 安全交易技術協議(STT:Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft將在Internet Explorer中採用這一技術。
(4) 安全電子交易協議(SET:Secure Electronic Transaction):SET協議是由VISA和MasterCard兩大信用卡公司於1997年5月聯合推出的規范。SET主要是為了解決用戶、商家和銀行之間通過信用卡支付的交易而設計的,以保證支付信息的機密、支付過程的完整、商戶及持卡人的合法身份、以及可操作性。SET中的核心技術主要有公開密匙加密、電子數字簽名、電子信封、電子安全證書等。
目前公布的SET正式文本涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數字認證、數字簽名等。這一標准被公認為全球網際網路的標准,其交易形態將成為未來「電子商務」的規范。
支付系統是電子商務的關鍵,但支持支付系統的關鍵技術的未來走向尚未確定。安全套接層(SSL)和安全電子交易(SET)是兩種重要的通信協議,每一種都提供了通過Internet進行支付的手段。但是,兩者之中誰將領導未來呢?SET將立刻替換SSL嗎?SET會因其復雜性而消亡嗎?SSL真的能完全滿足電子商務的需要嗎?我們可以從以下幾點對比作管中一窺:
SSL提供了兩台機器間的安全連接。支付系統經常通過在SSL連接上傳輸信用卡卡號的方式來構建,在線銀行和其他金融系統也常常構建在SSL之上。雖然基於SSL的信用卡支付方式促進了電子商務的發展,但如果想要電子商務得以成功地廣泛開展的話,必須採用更先進的支付系統。SSL被廣泛應用的原因在於它被大部分Web瀏覽器和Web伺服器所內置,比較容易被應用。
SET和SSL除了都採用RSA公鑰演算法以外,二者在其他技術方面沒有任何相似之處。而RSA在二者中也被用來實現不同的安全目標。
SET是一種基於消息流的協議,它主要由MasterCard和Visa以及其他一些業界主流廠商設計發布,用來保證公共網路上銀行卡支付交易的安全性。SET已經在國際上被大量實驗性地使用並經受了考驗,但大多數在Internet上購的消費者並沒有真正使用SET。
SET是一個非常復雜的協議,因為它非常詳細而准確地反映了卡交易各方之間存在的各種關系。SET還定義了加密信息的格式和完成一筆卡支付交易過程中各方傳輸信息的規則。事實上,SET遠遠不止是一個技術方面的協議,它還說明了每一方所持有的數字證書的合法含義,希望得到數字證書以及響應信息的各方應有的動作,與一筆交易緊密相關的責任分擔。
❽ 什麼叫SSL
Secure Socket Layer,為Netscape所研發,用以保障在Internet上數據傳輸的安全,利用數據加密(Encryption)技術,可確保數據在網路上的傳輸過程中不會被截取及竊聽。
SSL提供的服務包括
1)認證用戶和伺服器,確保數據發送到正確的客戶機和伺服器;
2)加密數據以防止數據中途被竊取;
3)維護數據的完整性,確保數據在傳輸過程中不被改變。
(8)ssl協議擴展閱讀:
SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層與應用層之間對網路連接進行加密。
SSL的體系結構中包含兩個協議子層,其中底層是SSL記錄協議層(SSL Record Protocol Layer);高層是SSL握手協議層(SSL HandShake Protocol Layer)
SSL記錄協議層的作用是為高層協議提供基本的安全服務。SSL紀錄協議針對HTTP協議進行了特別的設計,使得超文本的傳輸協議HTTP能夠在SSL運行。
紀錄封裝各種高層協議,具體實施壓縮解壓縮、加密解密、計算和校驗MAC等與安全有關的操作。
SSL握手協議層包括SSL握手協議(SSL HandShake Protocol)、SSL密碼參數修改協議(SSL Change Cipher Spec Protocol)、應用數據協議(Application Data Protocol)和SSL告警協議(SSL Alert Protocol)。
握手層的這些協議用於SSL管理信息的交換,允許應用協議傳送數據之間相互驗證,協商加密演算法和生成密鑰等。SSL握手協議的作用是協調客戶和伺服器的狀態,使雙方能夠達到狀態的同步。
❾ 什麼是 SSL 和 TLS 協議
SSL(Secure Sockets Layer安全套接層),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網路連接進行加密。
SSL協議位於TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。SSL協議可分為兩層: SSL記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。
安全傳輸層協議(TLS)用於在兩個通信應用程序之間提供保密性和數據完整性。該協議由兩層組成: TLS 記錄協議(TLS Record)和 TLS握手協議(TLS Handshake)。較低的層為 TLS 記錄協議,位於某個可靠的傳輸協議(例如 TCP)上面,與具體的應用無關,所以,一般把TLS協議歸為傳輸層安全協議。
(9)ssl協議擴展閱讀:
TLS握手協議使用該層中的公鑰和證書來處理對等用戶的認證,以及協商演算法和加密實際數據傳輸的密鑰。這個過程是在TLS記錄協議的頂部執行的。
TLS握手協議是TLS協議中最復雜的部分。它定義了10種消息。客戶端和伺服器使用這10種消息相互驗證,協商散列函數和加密演算法,並為彼此提供機密數據以生成加密密鑰。TLS記錄協議在加密演算法中使用這些加密密鑰來提供數據保密性和一致性保護。
TLS的最大優點在於TLS獨立於應用協議。高級協議可以在TLS協議上透明地分發。然而,TLS標准沒有指定應用程序如何向TLS添加安全性,它留下了關於如何啟動TLS握手協議以及如何向協議設計者和實現者解釋交換的認證證書的決定。