第8章電子商務安全技術學習目標了解電子商務面臨的主要安全威脅

了解電子商務對安全的基本要求

熟悉電子商務常用的安全技術

掌握防火墻的功能和工作原理了解電子商務常用的加密技術了解電子商務的認證體系

掌握SSL和SET的流程和工作原理兩軍問題與ATM機電子商務安全技術8.1電子商務的安全問題

8.2防火墻技術8.3數據加密技術8.4認證技術8.5安全技術協議電子商務的安全性問題1．在網絡的傳輸過程中信息被截獲

2．傳輸的文件可能被篡改

3．偽造電子郵件

4．假冒他人身份

5．不承認或抵賴已經做過的交易

電子商務中的主要安全威脅1.網絡攻擊

（1）電腦病毒：網絡蠕蟲、特洛伊木馬、CIH

（2）黑客攻擊：更改首頁、網絡釣魚、拒絕服務、盜取帳號、網上炸彈、IP欺騙（3）流氓軟件：強迫安裝、無法卸載2.硬件破壞3.交易抵賴蠕蟲病毒造成的危害病毒名稱持續時間造成損失莫里斯蠕蟲1988年6000多臺電腦停機，經濟損失達9600萬美元美麗殺手1999年政府部門和一些大公司緊急關閉了網絡服務器，經濟損失超過12億美元!愛蟲病毒2000年5月至今眾多用戶電腦被感染，損失超過100億美元以上紅色代碼2001年7月網絡癱瘓，直接經濟損失超過26億美元求職信2001年12月至今大量病毒郵件堵塞服務器，損失達數百億美元蠕蟲王2003年1月網絡大面積癱瘓，銀行自動提款機運做中斷，直接經濟損失超過26億美元沖擊波2003年7月大量網絡癱瘓，造成了數十億美金的損失MyDoom2004年1月起大量的垃圾郵件，攻擊SCO和微軟網站，給全球經濟造成了300多億美元的損失網銀安全問題凸現時

間網上銀行事故

危害2002年7月一名中國黑客洗劫新加坡DBS網上銀行損失6.2萬美元2003年12月至2004年2月初湖南長沙木馬病毒盜竊招商銀行和民生銀行網絡銀行資金案損失8萬余元2004年3月哈爾濱三名大學生假名開戶非法支取網上銀行資金損失53萬2004年12月偽造中行、工行、農行和銀聯的網站竊取客戶賬號和密碼等信息資料來源：根據2005年1月6日中國計算機報整理。黑客技術與病毒技術融合趨勢在極短的時間內，利用優化掃描的方法，感染數以萬計的有漏洞的計算機系統，同時，能夠確定并記錄是否被感染，分析掌握受害者信息，為持續的有目的的攻擊建立暢通的渠道，進而實施更為嚴厲的破壞行為。電子商務對安全的基本要求

1．授權合法性

2．不可抵賴性3．保密性

4．身份的真實性

5．信息的完整性

6．存儲信息的安全性

電子商務安全體系電子商務安全不僅僅是技術層面問題，而且是包含預防、檢測、管理和制度層面在內的一整套體系的建設問題。法律、規范、道德、紀律管理細則、保護措施物理實體安全網絡系統安全網絡交易安全網絡信息安全社會層面管理層面技術層面應用層面網絡系統安全——針對物理技術系統的安全問題保證網絡設施的正常運行避免受到外界的惡意攻擊網絡信息安全——針對商務邏輯系統的安全問題信息保密信息完整身分認證不可抵賴 信息有效網絡交易安全

參與對象之間交易過程的安全，如安全套接層協議（SSL）、安全電子交易協議（SET）、公鑰基礎設施（PKI）。可靠安裝、維護、管理設置防火墻、防止病毒加密技術認證技術電子商務業務系統電子商務支付系統安全交易協議

SET、SSL、S/HTTP、S/MIME、PKI???安全認證技術

數字摘要、數字簽名、數字信封、CA證書???加密技術

非對稱密鑰加密、對稱密鑰加密、DES、RSA???安全策略、防火墻、查殺病毒、虛擬專用網安全應用信息安全網絡安全電子商務安全技術結構示意圖電子商務中的安全技術實體的安全性1）電源防護技術采用良好的屏蔽及避雷措施防止雷電和工業射電干擾；采用穩壓電源(UPS)防止突然斷電引起設備損壞和數據丟失。2）防盜技術安裝報警器、各種監視系統及安全門鎖。3）環境保護按計算機房安全要求采取防火、防水、防塵、防震和防靜電等技術措施。4）防電磁泄漏發射采取電磁屏蔽及良好接地等手段，使系統中的設備既不因外界和其他設備的電磁干擾而影響其正常工作，也不因自身的電磁輻射影響其他設備的正常工作。電子商務中的安全技術5）身份認證確定系統和網絡的訪問者是否是合法用戶。主要有密碼、代表用戶身份的物品、反映用戶生理特征的標識。6）訪問控制防止權限控制的目的是防止合法用戶越權訪問系統和網絡資源。在內部網和外部網之間,應該設置防火墻或保密網關.7）審計跟蹤記錄用戶使用計算機網絡系統進行所有活動的過程。信息的安全性防火墻技術數據加密技術安全協議安全認證數據被非法截獲、讀取或者修改

冒名頂替和否認行為

一個網絡的用戶未經授權訪問了另一個網絡數據加密

數字簽名、加密、認證等

防火墻防火墻技術什么是防火墻？InternetLANFirewallLANInternet防火墻的概念防火墻是由軟件和硬件設備（一般是計算機或路由器等）組合而成的，處于企業內部網與外部網之間，用于加強內外之間安全防范的一個或一組系統。軟件和硬件的組合數據和服務進出內部網絡的唯一通路通過在防火墻上進行規則設置對進出的內容進行檢查防火墻防火墻設置的兩條原則凡是未被準許的就不準通過。首先封鎖所有的數據和信息，對他們進行審查，符合它的規定的就放行。安全性高，網絡效率降低，可通過數據范圍減小，會有一些安全的信息和服務被拒絕。凡是未被禁止的就可以通過。

先對所有內容放行，再逐項對被禁止的內容進行剔除。

安全風險大，網絡靈活性強。拒絕允許允許拒絕防火墻基本技術類型數據包過濾數據包過濾是基于源地址和目的地址、應用或協議，以及每個IP包的端口信息，由防火墻按照事先設置好的規則對數據包作出通過與否的判斷。應用層表示層會話層傳輸層網絡層鏈路層物理層外部網絡內部網絡包過濾防火墻實現原理圖應用級網關應用級網關是在網絡應用層上建立過濾和轉發功能，并在過濾的同時，對數據包進行分析、登記和統計，形成報告。應用層表示層會話層傳輸層網絡層鏈路層物理層外部網絡內部網絡應用級網關防火墻實現原理代理服務針對數據包過慮和應用網關技術存在的缺點，引入了代理服務防火墻技術。代理服務器也對過往的數據包進行分析、注冊登記，形成報告；發現被攻擊跡象時，發出警報并保留攻擊痕跡。客戶代理服務器代理訪問控制防火墻客戶服務器請求請求轉發應答應答轉發防火墻技術的優缺點比較包過慮技術應用網關代理服務優點效率高

對應用和協議是透明的和綜合的安全系數高屏蔽內部網絡結構

功能多缺點不太安全

維護、運營成本高專用用戶程序和專用接口，費用高為每個網絡專門開發和設計，工作量很大信息加密技術很久以前，分別有兩個國家的公主和王子，公主要通過一位信使送給王子一樣不愿被別人看見的信物，所以公主用加鎖的箱子放信物。這位信使只愿意跑一趟，而且在這段路程中，只要一有機會（鑰匙）就會偷看信物。問題：公主如何才能把信物安全的送到王子的手中？數據加密基礎知識原始未經變換的信息稱之為明文(M)。為了保護明文，將其通過一定的方法轉換成使人難以識別的一種編碼，即密文(C)。這個變換處理的過程稱為加密。密文可以經過相應的逆變換還原成原文，這個變換處理的過程稱為解密。對信息進行加密和解密通常是在原文和密文上增加或除去一些附加信息，這些附加信息就是密鑰(K)。加密的時候使用一項數據把明文轉換成密文，該數據就是加密密鑰。解密的時候使用一項數據把密文轉換成明文，該數據就是解密密鑰。加密密鑰和解秘密鑰不一定是相同的。什么是數據加密如果把加密解密的變換處理過程抽象成數學函數，這個函數就是加密算法(E)。數據加密就是通過某種函數進行變換，把正常的數據報文（稱為明文或明碼）轉換為密文（也稱密碼）。密鑰是密碼方案中最關鍵的一項數據。密鑰的位數決定著加密系統的安全性，密鑰越長，破解密鑰需要的計算時間越長，因此也就越安全。密碼系統加密系統加密密鑰(K1)密碼分析密文(C)明文(M)解密系統明文(M)解密密鑰(K2)舉例說明上述概念商人賈某要給他兒子發一份密碼電報，電文四個字：“拋售布匹”（原文）。按照電報碼手冊，這四個漢字對應：2141078615800572，然后把每個四位數都加上100（加密密鑰），四個四位數就變成了：2241088616800672，此刻這四個電報碼對應變為：“掄噌廟叵”（密文）。兒子收到電報“掄噌廟叵”后，根據相應的電報碼手冊得到：2241088616800672，按照事先的約定，分別減去100（解密密鑰），就得到“拋售布匹”的信息。數據加密基礎知識1976年，狄菲和海爾曼提出了密碼體制的新概念—公鑰密碼。讓兩個國家的每一個人都具有兩副鎖和鑰匙，每幅各有一把鎖和一把鑰匙。每一把鎖和它不配套的要是放在一起，這樣每個人就有兩副不配套的鑰匙和鎖了。將其中的一幅鎖鑰留在家里（秘密鎖鑰）；另一幅拿到鎖廠，復制60億副，讓國家人人都能從市場上買到它（公開鎖鑰）。現在王子和公主的問題你能解決了么？古典加密技術圓柱纏繞法：用羊皮帶圍繞圓柱螺旋纏繞，再在羊皮上寫字。對方收到后用同樣大小的圓柱體將文字復原。密文直徑直徑纏繞纏繞…..…..……..…..…密文愷撒算法——古老而簡單的加密技術(替代算法) 凱撒大帝曾使用過的一種加密方法。CHINAHMNSF每個字符后移5位明文M密鑰K密文C加密算法E加密過程可以表示為：C=EK(M)解密過程可以表示為：M=DK(C)由于英文字母為26個，因此愷撒密碼僅有26個可能的密鑰，非常不安全。替代算法為了加強安全性，隨機生成對照表明文：abcdefghijklmnopqrstuvwxyz密文：xnyahpogzqwbtsflrcvmuekjdi若明文為student,密文則為vmuahsm。解密函數是上面這個替代對照表的一個逆置換維吉尼亞密碼——置換移位法人們在單一愷撒密碼的基礎上擴展出多表密碼，稱為“維吉尼亞”密碼。它是由16世紀法國亨利三世王朝的布萊瑟·維吉尼亞發明的，其特點是將26個愷撒密表合成一個。以置換移位為基礎的周期性替換密碼。明文wearediscoveredsaveyourself密鑰deceptivedeceptivedeceptive密文zicvtwqngrzgvtwavzhcqyglmgj密鑰deceptive被重復使用設M=datasecurity,k=best,求C？對每一節明文，用密鑰best進行變換結果為C=EELTTIUNSMLR如何進行解密？對稱加密體制和非對稱加密體制1）對稱式加密體制（K1=K2)也稱為私鑰（PrivateKey)系統2）非對稱式加密體制（K1<>K2)也稱為公鑰（PublicKey)系統對稱加密技術（K1=K2)特點：加密密鑰和解密密鑰相同注意：由于加密、解密的密鑰相同，因此必須妥善保管，防止發送者與接收者之外的其他人獲得，又稱秘密密鑰。

EK1（M）=C，DK2（C）=M

對稱加密體制的工作過程發送方明文密文加密Internet或其他網絡密文明文解密接受方密鑰密鑰利用安全途徑傳輸密鑰對稱加密體制的優缺點優點：加密速度快,保密度高。缺點：1.密鑰是保密通信的關鍵，發信方必須安全、妥善的把密鑰送到收信方，不能泄露其內容，密鑰的傳輸必須安全，如何才能把密鑰安全送到收信方是對稱加密體制的突出問題。

2.

n個合作者，就需要n各不同的密鑰，如果n個人兩兩通信需要密鑰數量n(n-1)，使得密鑰的分發復雜。

3.通信雙方必須統一密鑰，才能發送保密信息，如果雙方不相識，這就無法向對方發送秘密信息了。4.難以解決電子商務系統中的數字簽名認證問題。對開放的計算機網絡，存在著安全隱患，不適合網絡郵件加密需要。使用最廣泛的對稱加密算法—DES算法DES是由IBM公司在1970年研制的，1977年1月15日美國國家標準局批準為作為非機密機構的加密標準。主要用于銀行業的電子資金轉帳。DES是采用傳統換位與置換的加密方法的分組密碼系統。其基本原理是：密鑰64位的比特串，其中56位密鑰，8位是奇偶校驗位。DES的解密和加密一樣，只不過是密鑰的順序相反。其加密和解密需完成的只是簡單的算術運算，因此速度快，密鑰生成容易。1997年美國RSA數據安全公司舉辦了密鑰挑戰競賽，懸賞一萬美金破譯DES算法。克羅拉多州的一個程序員用了96天的時間，在Internet數萬名志愿者的協同工作下，成功地找到了DES的密鑰。非對稱加密技術（公鑰加密）（K1<>K2)1976年Diffie與Hellman提出了公鑰的思想。公鑰的加密算法都是基于復雜的數學函數。在公鑰密碼系統中，加密密鑰與解密密鑰不同，并且從其中一個密鑰推出另一個密鑰在計算上非常困難。其中一個密鑰稱為私鑰，必須保密。而另一個密鑰稱為公鑰，應該公開。這樣就不必考慮如何安全地傳輸密鑰。Epuk(M)=CDprk(C)=Dprk(Epuk(M))=M（注：puk表示公鑰，prk表示私鑰）每個用戶都有一對密鑰：一個私鑰（PrivateKey）由所有者秘密持有，一個公鑰（PublicKey）由所有者公開。若以公鑰作為加密密鑰，以用戶私鑰作為解密密鑰，則可實現多個用戶加密的消息只能由一個用戶解讀。若以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，則可實現由一個用戶加密的消息使多個用戶解讀。加密明文密文明文解密非對稱加密體制的工作流程發送方明文密文Internet或其他網絡密文明文接受方1.首先取得接受方的公開密鑰2.用接受方的公開密鑰加密3.用接受方的私有密鑰解密RSA是最有名也是應用最廣的公鑰系統。

RSA的原理是數論的歐拉定理：它要求加密的信息長度必須小于密鑰的長度。優點：不必考慮如何安全的傳輸密鑰缺點：實現速度比DES慢非對稱加密體制的優缺點缺點：加密算法復雜，加密和解密的速度比較慢。優點：1.公鑰加密技術與對稱加密技術相比，其優勢在于不需要共享通用的密鑰。

2.公鑰在傳遞和發布過程中即使被截獲，由于沒有與公鑰相匹配的私鑰，截獲的公鑰對入侵者沒有太大意義。3.密鑰少便于管理，N個用戶通信只需要N對密鑰，網絡中每個用戶只需要保存自己的解密密鑰。

4.密鑰分配簡單，加密密鑰分發給用戶，而解密密鑰由用戶自己保留。密鑰管理技術對密鑰系統的大多數攻擊發生在密鑰上，而不是針對某種具體的加密算法，因此對密鑰進行安全管理很重要。（1）密鑰的使用期限為了防止他人長期不懈的進行解密，私人密鑰必須有一定的使用期限。通常失效期限遠比密鑰有被破解的期限要短，密鑰的長度要足夠長，使它在有效期內被破解的可能性非常小。密鑰的有效期決定了密鑰的長度大小，以及對預期中攻擊者的能力估計。（2）數字時間戳密鑰的失效日期可以保存在數字證書的公共密鑰上，也可以保存在存放數字證書的目錄表中。簽名驗證程序檢查密鑰的失效日期，拒絕所有使用失效密鑰簽名的信息。文件的簽署日期與數字簽名都是防止文件等被偽造或篡改的重要標記。數據完整性機制數據在傳輸的過程中，有可能被篡改，為保證數據的完整性和真實性，需要采取相應的措施。加密雖然能在一定程度上保障數據安全，但加密本身可能受到比特交換攻擊，無法保障數據的真實完整，所以需要結合采用其他完整性機制。解決數據傳輸完整性問題：數字摘要數字摘要數字摘要(DigitalDigest)：是一個描述文檔的數字。數字摘要技術就是利用hash函數把任意長度的輸入映射為固定長度的輸出。這個固定長度的輸出就叫做消息摘要。hash函數是把任意長的輸入串x變化成固定長的輸出串y的一種函數。HASH函數的數學表述為：y=H(x)，其中H()是單向散列函數，x是任意長度明文，y是固定長度。y=Hash(x),y的每一比特都與x的每一比特相關，并有高度敏感性。即每改變x的一比特，都將對y產生明顯影響。消息摘要用來檢測消息的完整性。舉例：將包含0和1的數字文檔中所有的1都加起來，這樣便產生了一個確定值，可以使用這個數來確保文檔不被改變，否則就不可能有相同的哈希值。數字摘要技術數字簽名在網絡中傳送的報文如何簽名蓋章？這是數字簽名所要解決的問題。數字簽名的英文：DigitalSignature基于非對稱加密體制基礎上，將非對稱加密技術和數字摘要技術結合。利用公開密鑰加密算法（RSA）是進行數字簽名的最常用方法。所以數字簽名能夠實現以下功能：1）收方能夠證實發送方的真實身份；2）發送方事后不能否認所發送過的報文；3）收方或非法者不能偽造、篡改報文。數字簽名原理Hash函數信息數字簽名私鑰加密摘要數字簽名信息公鑰解密摘要Hash函數摘要比較如一致信息確認發送方接收方數字簽名具體工作過程發送方:明文數字摘要1.Hash函數加密后的數字摘要2.發送方的私鑰加密Internet或其他網絡接受方:明文加密后的數字摘要數字摘要13.發送方的公鑰解密4.Hash函數數字摘要2一致不一致數字簽名和加密的區別數字簽名采用公開密鑰算法實現，數字簽名與通常的數據加密算法作用是不同的，它們的實現過程與使用的密鑰不同。數字簽名使用的是發送方的密鑰對發送方用自己的私有密鑰進行加密，接收方用發送方的公開密鑰進行解密。數字簽名是一個一對多關系：任何擁有發送方公開密鑰得人都可驗證數字簽名的正確性。數字簽名是為了證實信息確實是由某個用戶發送，對網絡中是否有人看到該信息并不關心。數據加密使用的是接受方的密鑰對，發送方用接收方的公開密鑰進行加密，接受方用自己的私有密鑰進行解密。加密是一個多對一的關系：任何知道接受方公開密鑰的人都可以向接收方發送加密信息，只有擁有接收方私有密鑰的人才能對信息解密。一個用戶通常有兩個密鑰對，一個用來對數字簽名進行加密解密，一個用來對私密密鑰進行加密解密。數字時間戳數字時間戳（DTS,DigitalTime-StampService），提供電子文件發表時間的安全保護。該服務屬于網上安全服務項目，由DTS專門機構提供。數字時間戳的內容：（1）需加時間戳的文件的數字摘要；（2）DTS機構收到文件的日期和時間；（3）DTS機構的數字簽名數字時間戳時間戳的產生過程：（1）用戶將需要加時間戳的文件用HASH編碼加密形成摘要；（2）摘要送到DTS，DTS加入該文件摘要的收到日期和時間信息后再對該文件加密，即進行數字簽名；（3）送回用戶。數字時間戳明文數字摘要1Hash函數數字摘要和時間信息DTS機構數字摘要2Hash函數數字時間戳DTS機構私鑰加密數字信封數字信封，結合對稱密鑰和非對稱密鑰加密技術的優點，克服了對稱加密算法的密鑰分發難，以及公鑰密碼系統中加密所需時間較長的缺點。在數字信封中，信息發送方采用對稱密鑰來加密信息內容，然后將此對稱密鑰用接收方的公開密鑰來加密（這部分稱數字信封）之后，將它和加密后的信息一起發送給接收方，接收方先用相應的私有密鑰打開數字信封，得到對稱密鑰，然后使用對稱密鑰解開加密信息。數字信封的功能類似于普通信封，普通信封在法律的約束下保證只有收信人才能閱讀信的內容；數字信封則采用密碼技術保證了只有規定的接收人才能閱讀信息的內容。電子商務認證機構CA（認證中心）就是提供交易雙方身份認證并保證交易安全進行的受信任的、權威的、可信賴的、公正的第三方服務機構，它承擔網上安全電子交易認證服務、能簽發數字證書、并能確認用戶身份。在實際的電子商務運作中，認證中心可由交易各方都信任的一方承擔。認證中心的功能證書的發放；證書的生成；證書的更新；證書的撤消；證書的驗證。認證中心多層次結構各級CA中心的總體結構是基本相同的。上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。通過一個完整的CA認證體系，可以有效地實現對數字證書的驗證。每一份數字證書都與上一級的簽名證書相關聯，最終通過安全認證鏈追溯到一個已知的可信賴的機構。認證中心多層次結構根CA是一種特殊的CA，它受到客戶無條件地信任，位于證書層次結構的最高層。所有證書鏈均終止于根CA。根證書是CA認證中心給自己頒發的證書，是信任鏈的起始點。安裝根證書意味著對這個CA認證中心的信任。例如：首次登錄建設銀行的網上銀行，根據系統提示必須下載并安裝建行CA認證中心頒發的根證書及您的客戶證書（二者缺一不可），以保證您網上交易的安全。客戶證書（持卡認證書）又稱瀏覽器證書，是指由CA認證中心頒發的、安裝在客戶瀏覽器端使用的個人或企業證書。數字證書的概念電子商務證書又稱CA證書或數字證書。數字證書又稱為數字標識(DigitalCertificate，DigitalID)，它提供了一種在Internet上身份驗證的方式。是一個經證書認證中心（CA）數字簽名的是用來標志和證明網絡通信雙方身份的數字信息文件。數字證書實質上就是一系列密鑰，用于簽名和加密數字信息。CA的數字簽名使攻擊者不能偽造和篡改數字證書。通俗地講，數字證書就是個人或單位在Internet上的身份證。在網上進行交易時，通過出示由某個認證中心簽發的證書來證明自己的身份。如果對簽發證書的認證中心不信任，則可以驗證這個認證中心的身份，依次類推，一直到公認的權威認證中心（根認證中心），就可以確認這個證書的有效性。證書正是通過信任層次來逐級驗證的。在具體的購物時，持卡人的證書與發卡機構的證書相關聯，而發卡機構的證書都會連接到根認證中心。所有SET軟件都知道根認證中心的公鑰，因此可以驗證各個機構簽發的證書。數字證書的內容和驗證數字證書包括證書申請者的信息和發放證書CA的信息。對數字證書的驗證包括以下幾個步驟：CA簽名真實？證書在有效期內？證書在CA發布的證書撤消列表內？Y偽造的證書N失效的證書NY失效的證書YN有效的證書數字證書類型不同類型的數字證書內容也不同證書包含的內容越多，CA認證中心需要驗證的內容就越多，那么證書對于驗證用戶身份的作用就越大。個人證書認證中心與數字證書所謂證書是一些電子信息，它將公開密鑰與其所有者和證書頒發者聯系起來。然而，證書本身并無法保證其所有者的身份，要使別人認可，證書必須由可信任的權威機構——認證中心（CA）實施數字簽名以后才能發布。任何獲得這個證書的用戶只要通過CA的簽名就可以驗證公鑰的有效性。認證中心(CA)公開鑰匙持有證書序號:1238038持有者:張三公共鑰匙:36567566565有效日期:2000.12.31發證機關簽名:563563566公開鑰匙持有證書序號:12380567持有者:李六公共鑰匙:66576675675有效日期:2000.12.31發證機關簽名:566567876InternetCA中心簡介國內常見的CA有中國商務在線

中國數字認證網（），數字認證，數字簽名，CA認證，CA證書，數字證書，安全電子商務。

北京數字證書認證中心（）為網上電子政務和電子商務活動提供數字證書服務。

廣東省電子商務認證中心()安全應用協議安全套接層協議（SecureSockedLayer,SSL）

Internet上的安全套接層協議是1994年底由Nescape首先引入的，目前已有2.0和3.0版本。其主要目的是解決Web上信息傳輸的安全顧慮。除了Netscape外，參與制定SSL協議的廠商還包括：

IBM,Microsoft,Spyglass，他們都將SSL加入到自己的客戶端和服務器的應用方面。

SSL構架在可靠傳輸層協議（TCP）和應用層協議之間。

SSL是一個層次化的協議，共分兩層：記錄層（RecordLayer）和握手層（HandshakeLayer）。安全套接層協議 記錄層用于封裝上層協議數據。握手層完成服務器和客戶之間的相互認證、協商加密算法和加密密鑰等發生在應用協議層傳輸數據之前的事務。還負責協調客戶端和服務器之間的狀態。

SS