SSL/TLS协议张兴园张兴园SSL/TLS的发展过程SSL/TLS的发展过程1994年Netscape开发了安全套接层协议SecureSocketLayer，专门用于保护Web通讯。最初发布的1.0版本还不成熟，到了2.0讯。最初发布的1.0版本还不成熟，到了2.0的时候，基本上可以解决Web通讯的安全问题，1996年发布了SSL3.0，提高握手速度而减少握手信息，增加了一些算法，修改了以前版本存在的漏洞，增加了对RSA算法以外其他公钥算法的支持及一些新的安全特性，技术上钥算法的支持及一些新的安全特性，技术上变得更加成熟和稳定，很快成为事实上的工业标准，得到了多数浏览器和WEB服务器的支持。1997年因特网工程任务组（IETF）基于SSL1997年因特网工程任务组（IETF）基于SSL3.0发布了传输层安全协议TLS1.0,也称为SSL3.1.因此ＴＬＳ和SSL3.0基本类似。IE浏览器的SSL和TLS的设置如图凡是支持送SSL协议的网页，都会以https://作为URL的开头。凡是支持送SSL协议的网页，都会以https://作为URL的开头。HTTPS：HTTP在SSL上的运行?客户在与服务器进行SSL会话中，如果使用的是微软的IE浏览器，可以在右下方状态栏中看到一只金黄色的锁形安全标志，用鼠标双击该标志，就会弹出服务器证书信息。全标志，用鼠标双击该标志，就会弹出服务器证书信息。?与标准的HTTP连接申请不同，支持SSL的典型网络主机接收SSL连接的默认端口是443。当客户机连接该端口时，首收SSL连接的默认端口是443。当客户机连接该端口时，首先初始化握手协议，建立一个SSL对话时段。握手结束后，将对通信加密，并检查信息完整性，直到这个对话时段结将对通信加密，并检查信息完整性，直到这个对话时段结束为止。每个SSL对话时段只发生一次握手。SSL协议概述?SSL是SecuresocketLayer英文缩写,它的中文意思是安全套接层协议,指使用公钥和私钥技术组合的安全网络通全套接层协议,指使用公钥和私钥技术组合的安全网络通讯协议.它是网景公司(Netscape)推出的基于WEB应用的安全协议,SSL协议指定了一种在应用程序协议和TCP/IP协安全协议,SSL协议指定了一种在应用程序协议和TCP/IP协议之间提供数据安全性分层的机制,主要用于提高应用程序之间数据的安全性,对传送的数据进行加密和隐藏,确保数据在传送中不被改.数据在传送中不被改.?SSL可以实现如下三个通信目标：?SSL可以实现如下三个通信目标：?秘密性SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法?SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。?完整性完整性?SSL利用密码算法和散列(HASH)函数（将任意长度的报文变换为定长的报文摘要，并加以鉴别）,它通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息受到破坏。认证性?认证性?利用证书技术和可信的第三方认证,可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用器相互识别对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户),SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。?SSL协议既用到了公钥加密技术(非对称加密)又用到了对?SSL协议既用到了公钥加密技术(非对称加密)又用到了对称加密技术，SSL对传输内容的加密采用的是对称加密，然后对对称加密的密钥使用公钥进行非对称加密。这样做的好处是，对称加密技术比公钥加密技术的速度快，可用的好处是，对称加密技术比公钥加密技术的速度快，可用来加密较大的传输内容，公钥加密技术相对较慢，提供了更好的身份认证技术，可用来加密对称加密过程使用的了更好的身份认证技术，可用来加密对称加密过程使用的密钥。?尤其需要指出：SSL协议在设计上遵照X.509协议，以CA(密钥认证中心技术，用于公开密码体制中公开密钥的分配)和公钥证的形式以获得安全性的基础。分配)和公钥证的形式以获得安全性的基础。SSL体系结构SSL体系结构SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供?SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到端