重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
SSL是一个安全协议,它提供使用 TCP/IP 的通信应用程序间的隐私与完整性。因特网的 超文本传输协议(HTTP)使用 SSL 来实现安全的通信。
成都创新互联公司主要从事成都做网站、网站建设、网页设计、企业做网站、公司建网站等业务。立足成都服务康巴什,十载网站建设经验,价格优惠、服务专业,欢迎来电咨询建站服务:18980820575
在客户端与服务器间传输的数据是通过使用对称算法(如 DES 或 RC4)进行加密的。公用密钥算法(通常为 RSA)是用来获得加密密钥交换和数字签名的,此算法使用服务器的SSL数字证书中的公用密钥。有了服务器的SSL数字证书,客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证,此认证同时需要客户端和服务器的数字证书。
非对称加密
那么什么是SSL使它对在线安全如此重要?应该探索的一个方面称为非对称加密。当您访问网站时,浏览器会与网站建立连接。目标是在站点和浏览器之间的任何数据流之前确定SSL证书是否有效。所有这一切发生得如此之快,以至于您没有发现延迟。
换句话说,连接的加密是在您看到任何内容之前确定的。如果出现问题,浏览器会阻止您进入您的轨道并让您有机会从网站迁移。
什么是非对称加密很重要?它使用私钥和公钥。公钥加密数据,而私有密钥解密数据。只有在两个键确定功能后才能继续。
对称加密
那么对称加密呢?这对验证SSL证书的过程也很重要。在安全会话建立后,一旦浏览器和站点相互通信,这就是保持连接的原因。
由于使用了这种类型的加密,会话密钥能够加密和解密数据。你看到的是来回的数据流畅,仍然是安全的。
他们如何共同合作形成SSL
将非对称加密视为检查,确认和验证浏览器和网站可以通信的手段。从某种意义上说,它会检查SSL证书并确保通信安全。从那里开始,对称加密接管并允许通信流动不减,直到一方或另一方结束对话。
深入挖掘:RSA和ECC
当您了解有关SSL和加密的更多信息时,您可能会听到两个术语。其中之一称为RSA加密。
这个名字基于提出这种加密理念的三个人:Rivest,Shamir和Adelman。它侧重于公钥加密,并且只要使用浏览器连接网站,就会使用特定的数学公式生成两个大的素数。素数在任何时候都是保密的,最终导致公钥和私钥的发展。一旦完成该过程,就不再需要两个素数。
这是浏览器和站点之间“握手”的另一层保护。与一般的加密一样,它发生得如此之快,以至于您没有时间看到它发生。它做的是保持连接安全。
您还将听到ECC加密。这代表Elliptic Curve Cryptography。它已经使用了十多年,通常被认为比SSL的其他方面更复杂。它是如何参与建立连接的验证过程的。
与RSA一样,ECC也是关于评估和确定站点与浏览器之间的连接是安全可靠的。一旦验证,就会有来回沟通的基础。将其视为防止第三方闯入用户与您访问的网站之间的对话的另一种方式。
SSL加密是Netscape公司所提出的安全保密协议,在浏览器和Web服务器之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密。
TLS是安全传输层协议。安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。较低的层为 TLS 记录协议,位于某个可靠的传输协议上面。
扩展资料:
SSL加密并不保护数据中心本身,而是确保了SSL加密设备的数据中心安全,可以监控企业中来往于数据中心的最终用户流量。
从某个角度来看,数据中心管理员可以放心将加密装置放在某个地方,需要使用时再进行应用,数据中心应该会有更合理的方法来应对利用SSL的恶意攻击,需要找到SSL加密应用的最佳实践。
TLS协议是可选的,必须配置客户端和服务器才能使用。主要有两种方式实现这一目标:一个是使用统一的TLS协议通信端口(例如:用于HTTPS的端口443)。另一个是客户端请求服务器连接到TLS时使用特定的协议机制(例如:邮件、新闻协议和STARTTLS)。
一旦客户端和服务器都同意使用TLS协议,他们通过使用一个握手过程协商出一个有状态的连接以传输数据。通过握手,客户端和服务器协商各种参数用于创建安全连接。
参考资料来源:百度百科-SSL加密技术
参考资料来源:百度百科-TLS
TLS/SSL的功能实现主要依赖于三类基本算法:散列函数 Hash、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。
解决上述身份验证问题的关键是确保获取的公钥途径是合法的,能够验证服务器的身份信息,为此需要引入权威的第三方机构CA。CA 负责核实公钥的拥有者的信息,并颁发认证"证书",同时能够为使用者提供证书验证服务,即PKI体系。
基本的原理为,CA负责审核信息,然后对关键信息利用私钥进行"签名",公开对应的公钥,客户端可以利用公钥验证签名。CA也可以吊销已经签发的证书,基本的方式包括两类 CRL 文件和 OCSP。CA使用具体的流程如下: