1、SSL協(xié)議工作原理簡述與應用編者：天威誠信SSL是一種安全傳輸協(xié)議，其全稱是Securesocketlayer（安全套接層）。該協(xié)議最初由Netscape企業(yè)發(fā)展而來，現(xiàn)已成為網(wǎng)絡上用來鑒別網(wǎng)站和網(wǎng)頁瀏覽者身份，以及在瀏覽器使用者及網(wǎng)頁服務器之間進行加密通訊的全球化標準。由于SSL技術已建立到了所有主要的瀏覽器和WEB服務器程序中，因此，僅需安裝數(shù)字證書，或服務器證書就可以激活服務器功能了。 SSL的工作原理SSL協(xié)議分為兩部分：Handshake Protocol和RecordProtocol。其中Handshake Protocol用來協(xié)商密鑰，協(xié)議的大部分內(nèi)容就是通信雙方如何利用它來安全

2、的協(xié)商出一份密鑰。RecordProtocol則定義了傳輸?shù)母袷健?SSL是一個介于HTTP協(xié)議與TCP之間的一個可選層，如果利用SSL協(xié)議來訪問網(wǎng)頁，其步驟如下： 1、用戶： 在瀏覽器的地址欄里輸入 2、HTTP層：將用戶需求翻譯成HTTP請求，如： GET/index.htmHTTP/1.1 Host 1 / 53、SSL層：借助下層協(xié)議的的信道，安全的協(xié)商出一份加密密鑰，并用此密鑰來加密HTTP請求。 4、TCP層：與服務器的443端口建立連接，傳遞SSL處理后的數(shù)據(jù)。 5、接收端（即服務器）與此過程相反。 SSL在TCP之上建立了一個加密通道，通過這一層的數(shù)據(jù)經(jīng)過了加密，因此達到保密的

3、效果。 如果上面你看得不太懂的話，我們來看一個更形象的比喻，我們假設A與B通信，A是SSL客戶端，B是SSL服務器端，加密后的消息放在方括號里，以突出和明文消息的區(qū)別。雙方的處理動作的說明用圓括號（）括起。 A：我想和你安全的通話，我這里的對稱加密算法有DES，RC5，密鑰交換算法有RSA和DH，摘要算法有MD5和SHA。 B：我們用DESRSASHA這對組合好了。這是我的證書，里面有我的名字和公鑰，你拿去驗證一下我的身份（把證書發(fā)給A）。目前沒有別的可說的了。 A：（查看證書上B的名字是否無誤，并通過手頭早已有的CA的證書驗證了B的證書的真實性，如果其中一項有誤，發(fā)出警告并斷開連接，這一步保

4、證了B的公鑰的真實性） （產(chǎn)生一份秘密消息，這份秘密消息處理后將用作加密密鑰，加密初始化向量和hmac的密鑰。將這份秘密消息-協(xié)議中稱為per_mas ter_secret-用B的公鑰加密，封裝成稱作ClientKeyExchange的消息。由于用了B的公鑰，保證了第三方無法竊聽） 我生成了一份秘密消息，并用你的公鑰加密了，給你（把ClientKeyExchange發(fā)給B） 注意，下面我就要用加密的辦法給你發(fā)消息了！ （將秘密消息進行處理，生成加密密鑰，加密初始化向量和hmac的密鑰） 我說完了 B：（用自己的私鑰將C lientKeyExchange中的秘密消息解密出來，然后將秘密消息進行處

5、理，生成加密密鑰，加密初始化向量和hmac的密鑰，這時雙方已經(jīng)安全的協(xié)商出一套加密辦法了）。 注意，我也要開始用加密的辦法給你發(fā)消息了！ 我說完了 A：我的秘密是 B：其它人不會聽到的 SSL可以應用在哪些場合 通過原理的介紹，我們可以知道，利用SSL協(xié)議可以有效加強我們的信息傳輸保密性。利用這一點，我們就可以將其應用到WEB服務器的安全訪問上，郵件的安全傳輸上等。 識別一個網(wǎng)站是否啟用了SSL安全協(xié)議最簡單最直接的辦法就是看它的網(wǎng)址信息，通常的我們看到的都是以http:/開頭的網(wǎng)址，而采用了該安全協(xié)議后，網(wǎng)址的開頭是：https:/，多了一個S。 對于網(wǎng)站經(jīng)營者來說，提升網(wǎng)站知名度，增加網(wǎng)站

6、訪問量意味著更多的商機。但不時出現(xiàn)的欺詐釣魚網(wǎng)站總給人以防不勝防的感覺。如何更好的發(fā)揮SSL證書的作用，提升網(wǎng)站的可信度，降低欺詐釣魚的風險？網(wǎng)站可以采用以下幾種方法。第一：在敏感交易界面，高端SSL證書對于網(wǎng)站來說，并不是說所有的頁面均需部署SSL證書。網(wǎng)站只需在一些需要提交關鍵數(shù)據(jù)的交易頁面提供SSL證書安全保護。但關鍵頁面的SSL證書，一定要選擇經(jīng)過身份驗證、擁有良好品牌信譽的SSL證書，否則客戶將無法對網(wǎng)站身份進行有效判斷。第二：網(wǎng)站提供識別欺詐釣魚網(wǎng)站的方法鑒于國內(nèi)客戶網(wǎng)站安全知識匱乏的現(xiàn)狀，網(wǎng)站在部署SSL證書后，最佳的方式是在交易頁面同時以文字或圖片的方式告知客戶SSL證書功能及識別欺詐釣魚網(wǎng)站的簡單方法，從而提升網(wǎng)民繼續(xù)完成交易的信心。第三：放置VeriSign信任簽章為了讓更多的客戶了解網(wǎng)站采用了SSL證書安全技術，網(wǎng)站安全值得信賴。擁有VeriSign SSL證書的網(wǎng)站可以各頁面或交易頁面的顯著位置放置VeriSign信任簽章（VeriSign Trust Seal）。作為世界范圍內(nèi)最被認可的安全標記，其應對欺詐釣魚方面的作用顯著。VeriSign SSL證書客戶，不需要支付任何額外費用。第四：升級綠色地址欄綠色地址欄技術是VeriSign擴展驗證（EV）SSL證書特有功能，是目前反擊釣