基于SSL的WEB安全访问
SSL是典型的基于PKI的网络应用,目前主要用于WEB安全访问。
一、 理解SSL安全机制
SSL(Secure Sockets Layer 安全套接字层)是以公钥基础结构为基础的网络安全解决方案。是由Netscape公司提出的一种建立在网络传输层TCP协议之上的安全协议标准(工作在Socket网络通信层上),用来在客户端和服务器之间建立安全的TCP连接,向基于TCP/IP协议的客户/服务器应用程序提供客户端和服务器的验证、数据完整性及信息保密性等安全措施。SSL协议主要用于浏览器和WEB服务器之间建立安全的数据传输通道,还适用于Telnet、FTP和NNTP等服务。
1、SSL的工作机制:
(1) 客户端向服务器提出请求,要求建立安全通信连接。
(2) 客户端与服务器进行协商,确定用于保证安全通信的加密算法和强度。
(3) 服务器将其服务器证书发送给客户端。该证书包含服务器的公钥,并用CA的私钥加密。
(4) 客户端使用CA的公钥对服务器证书进行解密,获得服务器公钥。客户端产生用于创建会话密钥的信息,并用服务器公钥加密,然后发送到服务器。
(5) 服务器使用自己的私钥解密该消息,然后生成会话密钥,然后将其用服务器公钥加密,再发送给客户端。这样服务器和客户端双方就都拥有了会话密钥。
(6) 服务器和客户端使用会话密钥来加密和解密传输的数据。它们之间数据传输使用的是对称加密。
2、SSL协议主要解决3个关键问题
(1) 客户端对服务器的身份确认
(2) 服务器对客户的身份确认
(3) 在服务器和客户之间建立安全的数据通道
说明:对于SSL安全来说,客户认证是可选的,即不强制进行客户端验证。这有利于SSL的广泛使用,如果要强制客户端验证,就要求每个客户端都有自己的公钥,并且服务器要对每个客户端进行认证,仅为每个用户分发公钥和数字证书,对于客户基数大的应用来说负担很重。而在实际应用中,服务器的认证更为重要,因为确保用户知道自己正在和哪个服务器进行连接,比商家知道自己在和哪个用户进行连接更为重要。而且服务器比客户数量要少得多,为服务器配备公钥和站点证书易于实现。
二、 Windows2000的SSL WEB安全解决方案
SSL是典型的基于PKI的网络应用,目前主要用于WEB安全访问。
一、 理解SSL安全机制
SSL(Secure Sockets Layer 安全套接字层)是以公钥基础结构为基础的网络安全解决方案。是由Netscape公司提出的一种建立在网络传输层TCP协议之上的安全协议标准(工作在Socket网络通信层上),用来在客户端和服务器之间建立安全的TCP连接,向基于TCP/IP协议的客户/服务器应用程序提供客户端和服务器的验证、数据完整性及信息保密性等安全措施。SSL协议主要用于浏览器和WEB服务器之间建立安全的数据传输通道,还适用于Telnet、FTP和NNTP等服务。
1、SSL的工作机制:
(1) 客户端向服务器提出请求,要求建立安全通信连接。
(2) 客户端与服务器进行协商,确定用于保证安全通信的加密算法和强度。
(3) 服务器将其服务器证书发送给客户端。该证书包含服务器的公钥,并用CA的私钥加密。
(4) 客户端使用CA的公钥对服务器证书进行解密,获得服务器公钥。客户端产生用于创建会话密钥的信息,并用服务器公钥加密,然后发送到服务器。
(5) 服务器使用自己的私钥解密该消息,然后生成会话密钥,然后将其用服务器公钥加密,再发送给客户端。这样服务器和客户端双方就都拥有了会话密钥。
(6) 服务器和客户端使用会话密钥来加密和解密传输的数据。它们之间数据传输使用的是对称加密。
2、SSL协议主要解决3个关键问题
(1) 客户端对服务器的身份确认
(2) 服务器对客户的身份确认
(3) 在服务器和客户之间建立安全的数据通道
说明:对于SSL安全来说,客户认证是可选的,即不强制进行客户端验证。这有利于SSL的广泛使用,如果要强制客户端验证,就要求每个客户端都有自己的公钥,并且服务器要对每个客户端进行认证,仅为每个用户分发公钥和数字证书,对于客户基数大的应用来说负担很重。而在实际应用中,服务器的认证更为重要,因为确保用户知道自己正在和哪个服务器进行连接,比商家知道自己在和哪个用户进行连接更为重要。而且服务器比客户数量要少得多,为服务器配备公钥和站点证书易于实现。
二、 Windows2000的SSL WEB安全解决方案