SSL及HTTP协议

时间：2021-12-05 09:54:19

关键字： SSL HTTP SSL会话

手机看文章

扫描二维码
随时随地手机看文章

[导读]SSL连接：用于提供某种类型的服务数据的传输，是一种点对点的关系。一般来说，连接的维持时间比较短暂，并且每个连接一定与某一个会话相关联。

会话(Session)和连接(Connection)是SSL中两个重要的概念，在规范中定义如下。

(1)SSL连接：用于提供某种类型的服务数据的传输，是一种点对点的关系。一般来说，连接的维持时间比较短暂，并且每个连接一定与某一个会话相关联。(2)SSL会话：是指客户和服务器之间的一个关联关系。会话通过握手协议来创建。它定义了一组安全参数。一次会话过程通常会发起多个SSL连接来完成任务，例如一次网站的访问可能需要多个HTTP/SSL/TCP连接来下载其中的多个页面，这些连接共享会话定义的安全参数。这种共享方式可以避免为每个SSL连接单独进行安全参数的协商，而只需在会话建立时进行一次协商，提高了效率。每一个会话(或连接)都存在一组与之相对应的状态，会话(或连接)的状态表现为一组与其相关的参数集合，最主要的内容是与会话(或连接)相关的安全参数的集合，用会话(或连接)中的加密解密、认证等安全功能的实现。在SSL通信过程中，通信算法的状态通过SSL握手协议实现同步。根据SSL协议的约定，会话状态由以下参数来定义：(1)会话标识符：是由服务器选择的任意字节序列，用于标识活动的会话或可恢复的会话状态。(2)对方的证书：会话对方的X.509v3证书。该参数可为空。(3)压缩算法：在加密之前用来压缩数据的算法。

SSL及HTTP协议

(4)加密规约(Cipher Spec)：用于说明对大块数据进行加密采用的算法，以及计算MAC所采用的散列算法。(5)主密值：一个48字节长的秘密值，由客户和服务器共享。(6)可重新开始的标识：用于指示会话是否可以用于初始化新的连接。连接状态由以下参数来定义：(1)服务器和客户器的随机数：是服务器和客户为每个连接选择的用于标识连接的字节序列。(2)服务器写MAC密值：服务器发送数据时，生成MAC使用的密钥，长度为128 bit。(3)客户写MAC密值，服务器发送数据时，用于数据加密的密钥，长度为128 bit 。(4)客户写密钥：客户发送数据时，用于数据加密的密钥，长度为128 bit。(5)初始化向量：当使用CBC模式的分组密文算法是=时，需要为每个密钥维护初始化向量。(6)序列号：通信的每一端都为每个连接中的发送和接收报文维持着一个序列号。

HTTPS(Hypertext Transfer Protocol Secure)安全超文本传输协议它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443，而不是像HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。限制它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。

extended validation ssl certificates翻译为中文即扩展验证(EV)SSL证书，该证书经过最彻底的身份验证，确保证书持有组织的真实性。独有的绿色地址栏技术将循环显示组织名称和作为CA的GlobalSign名称，从而最大限度上确保网站的安全性，树立网站可信形象，不给欺诈钓鱼网站以可乘之机。对线上购物者来说，绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下，使用扩展验证(EV)SSL证书的网站的浏览器地址栏会自动呈现绿色，从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称，这些均向客户传递同一信息，该网站身份可信，信息传递安全可靠，而非钓鱼网站。