基于SSL的WEB安全访问

基于SSL的WEB安全访问
SSL是典型的基于PKI的网络应用，目前主要用于WEB安全访问。
一、 理解SSL安全机制
SSL（Secure Sockets Layer 安全套接字层）是以公钥基础结构为基础的网络安全解决方案。是由Netscape公司提出的一种建立在网络传输层TCP协议之上的安全协议标准（工作在Socket网络通信层上），用来在客户端和服务器之间建立安全的TCP连接，向基于TCP/IP协议的客户/服务器应用程序提供客户端和服务器的验证、数据完整性及信息保密性等安全措施。SSL协议主要用于浏览器和WEB服务器之间建立安全的数据传输通道，还适用于Telnet、FTP和NNTP等服务。
1、SSL的工作机制：
（1） 客户端向服务器提出请求，要求建立安全通信连接。
（2） 客户端与服务器进行协商，确定用于保证安全通信的加密算法和强度。
（3） 服务器将其服务器证书发送给客户端。该证书包含服务器的公钥，并用CA的私钥加密。
（4） 客户端使用CA的公钥对服务器证书进行解密，获得服务器公钥。客户端产生用于创建会话密钥的信息，并用服务器公钥加密，然后发送到服务器。
（5） 服务器使用自己的私钥解密该消息，然后生成会话密钥，然后将其用服务器公钥加密，再发送给客户端。这样服务器和客户端双方就都拥有了会话密钥。
（6） 服务器和客户端使用会话密钥来加密和解密传输的数据。它们之间数据传输使用的是对称加密。
2、SSL协议主要解决3个关键问题
（1） 客户端对服务器的身份确认
（2） 服务器对客户的身份确认
（3） 在服务器和客户之间建立安全的数据通道
说明：对于SSL安全来说，客户认证是可选的，即不强制进行客户端验证。这有利于SSL的广泛使用，如果要强制客户端验证，就要求每个客户端都有自己的公钥，并且服务器要对每个客户端进行认证，仅为每个用户分发公钥和数字证书，对于客户基数大的应用来说负担很重。而在实际应用中，服务器的认证更为重要，因为确保用户知道自己正在和哪个服务器进行连接，比商家知道自己在和哪个用户进行连接更为重要。而且服务器比客户数量要少得多，为服务器配备公钥和站点证书易于实现。
二、 Windows2000的SSL WEB安全解决方案