安全套阶层协议SSL[编辑]

一、SSL的定义：

安全套接层SSL(Secure Sockets Layer)为Netscape所研发，用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。目前一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

二、SSL协议提供的服务：

　　1）认证用户和服务器，确保数据发送到正确的客户机和服务器；

　　2）加密数据以防止数据中途被窃取；

　　3）维护数据的完整性，确保数据在传输过程中不被改变。

三、SSL的组成：
　　SSL协议由两层组成，分别是握手协议层和记录协议层，握手协议建立在记录协议之上，此外还有警告协议，更改密码说明协议和应用数据协议等对话协议和管理提供支持的子协议。

SSL发出消息是将数据分为可管理的块、压缩、使用MAC和加密并发出加密的结果。接受消息需要解密、验证、解压和重组，再把结果发往更高一层的客户。

1、记录协议：
具体实现压缩/解压缩、加密/解密，计算机MAC等与安全有关的操作。建立之上的还有：
――更改密码说明协议：此协议由一条消息组成，可由客户端或服务器发送，通知接收方后面的记录将被新协商的密码说明和密钥保护，接收方得此消息后，立即指示记录层把即将读状态变成当前读状态，发送方发送此消息后，应立即指示记录层把即将写状态变成当前写状态。
――警告协议：警告消息传达消息的严重性并描述警告。一个致命的警告将立即终止连接。与其他消息一样。警告消息在当前状态下被加密和压缩。警告消息有以下几种：
关闭通知消息，意外消息，错误记录MAC消息，解压失败消息，握手失败消息，无证书消息，错误证书消息，不支持的证书消息，证书撤回消息，证收过期消息，证书未知和参数非法消息等等。
――应用数据协议：将应用数据直接传递给记录协议。

2、握手协议
SSL握手协议是用来在客户端和服务和服务器端传输应用数据而建立的安全通信机制
――算法协商：首次通信时，双方通过握手协议协商密钥加密算法。数据加密算法和文摘算法。
――身份验证：在密钥协商完成后，客户端与服务器端通过证书互相验证对方的身份。
――确定密钥：最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户端和服务器各自根据这个秘密信息确定数据加密算法的参数（一般是密钥）。

四．SSL的应用：
1．单向认证：又称匿名SSL连接，这是SSL安全连接的最基本模式，它便于使用，主要的浏览器都支持这种方式，适合单向数据安全传输应用。在这种模式下客户端没有数字证书，只是服务器端具有证书，以不在认用户访问的是自己要访问的站点。典型的应用就是用户进行网站注册时彩ID＋口令的匿名认证，过去网上银行的所谓“大众版”就是这种?? 因子认证。
2．双方认证：是对等的安全认证，这种模式通信双方都可以发起和接收SSL连接请求。通信双方可以利用安全应用程序（控键）或安全代理软件，前者一般适合于B/S结构，而后者适用于C/S结构，安全代理相当于一个加密/解密的网关，这种模式双方皆需安装证书，进行双向认证。这就是网上银行的B2B的专业版等应用。
3．电子商务中的应用。电子商务与网上银行交易不同，因为有商户参加，形成客户――商家――银行，两次点对点的SSL连接。客户，商家，银行，都必须具证书，两次点对点的双向认证。

参考资料：《电子商务设计师教程》百度百科智库百科

扩展阅读：《电子商务概论》《计算机网络（第五版）》