SSL：Internet的神秘握手

　　SSL：Internet的神秘握手 　　

　　Secure Sockets Layer（SSL）已成为用户与Internet之间进行保密通信的事实标准，支持SSL也已经成为每一个浏览器的内置功能。SSL包括握手和记录两个子协议。这两个子协议均可以提供与应用尤其是与HTTP的连接。这种连接经过了认证和保密，可以防止篡改。 　　

　　SSL可以嵌入Internet的处理栈内，位于TCP/IP之上和应用层之下，而不会对其他协议层造成太大影响。SSL同样能够与其他Internet应用一起使用，如Intranet和Extranet 访问、应用安全、无线应用以及Web服务等。通过对离开浏览器的数据进行加密，并在其进入数据中心之后进行解密，SSL实现对Internet的数据通信进行保护。 　　

　　SSL对话是由连接和应用组成。在连接对话期间，客户机和服务器交换证书并就安全参数进行磋商。如果客户机接受服务器的证书，就会建立一个主密钥，这个主密钥将被用来对随后进行的通信进行加密。 　　

　　在应用对话期间，客户机和服务器之间可以安全地传递信息，如信用卡号、股票交易数据、个人医疗数据以及其他敏感数据。SSL提供以下三种机制以确保安全：认证，能够对服务器或连接各端的客户机和服务器进行认证；保密，能够对信息进行加密，只有交流信息的双方才能访问并理解加密信息；完整性，可以防止信息内容在未经检测的情况下被修改，接收方可以确信他们收到的是无法进行修改的信息。 　　

　　保密通信过程中的一个关键步骤就是对双方身份进行认证。SSL握手子协议就具有这一功能。服务器与客户机之间的以下举动可以使认证动作变得更快捷：客户机对服务器进行认证；让客户机和服务器选择所需要的密码算法和安全水平；服务器有选择地对客户机进行认证；使用公共密钥密码生成可以共享的密钥，随后利用这些密钥传输真正的保密数据；建立SSL连接。 　　

　　SSL记录子协议负责加密数据的传送。以下动作可以使数据传送变得更快捷：数据被分解成小的可以使用的块，称作片断；通过一个具有完整性的“包装纸”使数据不被修改；数据加密后就可以贴上“包装纸”了。 　　

　　以往，电子商务的许多应用是不进行客户机认证的。不过，目前各公司都将SSL作为一项协议供数据中心里的新应用使用。对于基于SSL的VPN以及那些需要对终端用户进行额外认证的应用而言，客户机认证正在成为一种趋势。 　　

　　客户机认证使得服务器可以使用与允许客户机对服务器进行认证相同的技术，在协议之内对用户身份进行确认。尽管两者认证的信息流极为不同，但是从概念上来看，其过程与服务器认证是相同的。这一过程同样也会在SSL握手子协议之内进行。在这种情况下，客户机必须向服务器提供有效的证书。服务器可以通过使用公共密钥密码学的标准技术对终端用户的有效性进行认证。 　　

　　SSL所具有的灵活性和强劲的生命力使其无所不在。可以预言的是，在SSL成为企业应用、无线访问设备、Web服务以及安全访问管理的关键性协议的同时，SSL的应用将继续大幅度增长。(本文译自《Network World》)