SSL安全協(xié)議是一種比較常見(jiàn)的安全協(xié)議。那么我們?nèi)绾芜M(jìn)行這個(gè)協(xié)議的學(xué)習(xí)呢？現(xiàn)在我們將這個(gè)協(xié)議的一些類(lèi)別劃分好。當(dāng)顧客想從 Web 站點(diǎn)購(gòu)買(mǎi)某個(gè)產(chǎn)品時(shí),顧客和Web站點(diǎn)都要進(jìn)行認(rèn)證｡顧客通常是以提供名字和密碼的方式來(lái)認(rèn)證他自己｡ 另一方面,Web 站點(diǎn)通過(guò)交換一塊簽名數(shù)據(jù)和一個(gè)有效的 X.509 證書(shū)(作為 SSL握手的一部分)來(lái)認(rèn)證它自己｡ 顧客的瀏覽器驗(yàn)證該證書(shū)并用所附的公用密鑰驗(yàn)證簽名數(shù)據(jù)｡一旦雙方都認(rèn)證了,則交易就可以開(kāi)始了｡

SSL能用相同的機(jī)制處理服務(wù)器認(rèn)證(就如在上面的示例中)和客戶(hù)機(jī)認(rèn)證｡ Web 站點(diǎn)典型地對(duì)客戶(hù)機(jī)認(rèn)證不依賴(lài) SSL安全協(xié)議 — 要求用戶(hù)提供密碼是較容易的｡而 SSL客戶(hù)機(jī)和服務(wù)器認(rèn)證對(duì)于透明認(rèn)證是完美的, 對(duì)等機(jī) — 如 p2p 應(yīng)用程序中的對(duì)等機(jī)之間一定會(huì)發(fā)生透明認(rèn)證｡

安全套接字層(Secure Sockets Layer(SSL)) ,SSL是一種安全協(xié)議,它為網(wǎng)絡(luò)(例如因特網(wǎng))的通信提供私密性｡SSL使應(yīng)用程序在通信時(shí)不用擔(dān)心被竊聽(tīng)和篡改｡ SSL實(shí)際上是共同工作的兩個(gè)協(xié)議:“SSL記錄協(xié)議"(SSLRecord Protocol)和“SSL握手協(xié)議" (SSLHandshake Protocol)｡

“SSL記錄協(xié)議"是兩個(gè)協(xié)議中較低級(jí)別的協(xié)議,它為較高級(jí)別的協(xié)議, 例如 SSL握手協(xié)議對(duì)數(shù)據(jù)的變長(zhǎng)的記錄進(jìn)行加密和解密｡SSL握手協(xié)議處理應(yīng)用程序憑證的交換和驗(yàn)證｡

當(dāng)一個(gè)應(yīng)用程序(客戶(hù)機(jī))想和另一個(gè)應(yīng)用程序(服務(wù)器)通信時(shí),客戶(hù)機(jī)打開(kāi)一個(gè)與服務(wù)器相連接的套接字連接｡然后, 客戶(hù)機(jī)和服務(wù)器對(duì)安全連接進(jìn)行協(xié)商｡作為協(xié)商的一部分,服務(wù)器向客戶(hù)機(jī)作自我認(rèn)證｡客戶(hù)機(jī)可以選擇向服務(wù)器作或不作自我認(rèn)證｡

一旦完成了認(rèn)證并且建立了安全連接,則兩個(gè)應(yīng)用程序就可以安全地進(jìn)行通信｡按照慣例,我將把發(fā)起該通信的對(duì)等機(jī)看作客戶(hù)機(jī), 另一個(gè)對(duì)等機(jī)則看作服務(wù)器,不管連接之后它們充當(dāng)什么角色｡

名為 A 和 B 的兩臺(tái)對(duì)等機(jī)想安全地進(jìn)行通信｡在我們簡(jiǎn)單的 p2p 應(yīng)用程序的環(huán)境中,對(duì)等機(jī) A 想查詢(xún)對(duì)等機(jī) B 上的一個(gè)資源｡ 每個(gè)對(duì)等機(jī)都有包含其專(zhuān)用密鑰的一個(gè)數(shù)據(jù)庫(kù)(名為 keystore)和包含其公用密鑰的證書(shū)｡密碼保護(hù)數(shù)據(jù)庫(kù)的內(nèi)容｡

該數(shù)據(jù)庫(kù)還包含一個(gè)或多個(gè)來(lái)自被信任的對(duì)等機(jī)的自簽名證書(shū)｡ 對(duì)等機(jī) A 發(fā)起這項(xiàng)事務(wù),每臺(tái)對(duì)等機(jī)相互認(rèn)證,兩臺(tái)對(duì)等機(jī)協(xié)商采用的密碼及其長(zhǎng)度并建立一個(gè)安全通道｡完成這些操作之后, 每個(gè)對(duì)等機(jī)都知道它正在跟誰(shuí)交談并且知道通道是安全的｡

SSL安全協(xié)議(Secure socket Layer)安全套接層協(xié)議主要是使用公開(kāi)密鑰體制和X.509數(shù)字證書(shū)技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性, 它不能保證信息的不可抵賴(lài)性,主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸,常用Web Server方式｡

安全套接層協(xié)議(SSL,Security Socket Layer)是網(wǎng)景(Netscape)公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認(rèn)證､ 客戶(hù)認(rèn)證(可選)､SSL鏈路上的數(shù)據(jù)

完整性和SSL鏈路上的數(shù)據(jù)保密性｡對(duì)于電子商務(wù)應(yīng)用來(lái)說(shuō),使用SSL可保證信息的真實(shí)性､ 完整性和保密性｡但由于SSL不對(duì)應(yīng)用層的消息進(jìn)行數(shù)字簽名,因此不能提供交易的不可否認(rèn)性,這是SSL在電子商務(wù)中使用的最大不足｡

有鑒于此,網(wǎng)景公司在從Communicator 4.04版開(kāi)始的所有瀏覽器中引入了一種被稱(chēng)作“表單簽名(Form Signing)"的功能, 在電子商務(wù)中,可利用這一功能來(lái)對(duì)包含購(gòu)買(mǎi)者的訂購(gòu)信息和付款指令的表單進(jìn)行數(shù)字簽名,從而保證交易信息的不可否認(rèn)性｡綜上所述, 在電子商務(wù)中采用單一的SSL安全協(xié)議來(lái)保證交易的安全是不夠的,但采用"SSL+表單簽名"模式能夠?yàn)殡娮由虅?wù)提供較好的安全性保證｡