SSL协议是一套根据Web应用的 Internet安全协议,该协议根据TCP/IP协议,供给服务器和浏览器之间的认证和安全通讯。SSL经过在应用程序进行数据交换前交换SSL初始握手信息,来完成有关身份认证等安全特性的检查。然后在SSL握手协议中采用DES、MD5等加密技术实现数据完整性和机密性,这样,数据在传送出去之前就自动被加密了。
SSL协议第一个成熟版本是SSL2.0版, Netscape公司集成到Navigator浏览器和Web服务器等产品中。1996年, Netscape发布了SSL3.0版,该版本除RSA算法以外,增加了对其他算法的支持和一些新的安全特性,并且修正了前一版中的安全缺陷,因此其很快成为了工业标准。1997年IETF基于SSL3.0协议发布了TLS,即传输层安全协议。1999年正式发布了RFC2246,使也被称为SSL3.1的TLS1.0成为了工业标准。因此TLS协议可看成是协议的升级版本。
SSL协议分为SSL握手协议和SSL记录协议两层,SSL握手协议用于通信双方的身份认证和密钥协商;SSL记录协议用于加密传输数据和对数据完整性的保证。由于SSL位于传输层和应用层之间,因此一般称它为传输层安全协议,也可称为会话层安全协议。SSL协议与TCP/IP协议间的关系如下图所示:
SSL协议结合对称密码技术和公钥密码技术,提供了如下3种基本的安全服务:
(1)身份认证。在浏览器和服务器进行通讯之前,必须先验证对方的身份。SSL利用数字证书和可信第三方CA,使客户端和服务器相互辨认对方的身份,以避免冒充的网站或用户。
(2)秘密性。SSL客户机和服务器之间经过密码算法和密钥的协商,建立起一个安全通道,今后在安全通道中传输的一切信息都将使用协商的会话密钥进行加密处理。
(3)完整性。SSL使用密码算法和散列函数,经过对传输信息提取散列值并生成MAC的方法来确保传输信息的完整性。
