CPP-网络/通信：SSL功能和原理

　　面对诸多的网上交易的风险，很多网上银行、网上商城在建立系统时都注意到了安全问题。而我们也经常可以看到很多网上银行、电子商务网站在强调本系统的安全性的时候，都说采用了基于数字证书的SSL加密传输。SSL加密传输是什么呢？比如当我们在网页的支付窗口提交信用卡号等重要信息时，在浏览器的下方就会出现一个“锁”的标志，如图10—3所示。当然，大多数人并不知道这个“锁”具体代表的含义-总而言之，给人的感觉是有了这个锁，我们输入的数据就安全了。这个“锁”就代表了该网站使用了SSL协议对数据进行安全保护。

在互联网上进行数据传送时使用SSL加密10.5.1SSL的机制SSL安全协议最初是由NetscapeCommunication公司设计开发的，又叫“安全套层（SecureSocketsLayer）协议”，主要用于提高应用程序之间的数据传输安全。SSL协议的整个概念可以被总结为：一个保证任何安装了安全套接层的客户和服务器之间的数据传输安全协议，它涉及所有TCPIP应用程序。

SSL安全协议主要提供三方面的服务：

1）用户和服务器的合法性认证

认证用户和服务器的合法性，使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号，为了认证用户是否合法，安全套接层协议要求对握手交换数据进行数字认证，以此来确保用户的合法性。

2）加密数据以隐藏被传送的数据

安全套接层协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换SSL初始握手信息，在SSL握手信息中采用了各种加密技术对其加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。

3）保护数据的完整性

安全套接层协议采用Hash函数和机密共享的方法来提供信息的完整性服务，建立客户机与服务器之间的安全通道，使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。

要说明的是，安全套接层协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护。例如，一台客户机与一台主机连接上了，首先是要初始化握手协议，然后就建立了一个SSL对话时段。直到对话结束，安全套接层协议都会对整个通信过程加密，并且检查其完整性。这样一个对话时段算一次握手。而HTTP协议中的每一次连接就是一次握手，因此，与HTTP相比，安全套接层协议的通信效率会高一些。SSL协议基本原理如图10—4所示。

SSL协议基本原理

（1）接通阶段：客户通过网络向服务商打招呼，服务商回应；

（2）浏览器（客户）对对方服务器进行认证（防止网站诈骗）；

（3）密码交换阶段：客户与服务器之间交换双方认可的密码，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法；

（4）会谈密码阶段：客户与服务商间产生彼此交谈的会谈密码；

（5）检验阶段：检验服务商取得的密码；

（6）客户认证阶段：认证客户的可信度；

（7）结束阶段，客户与服务商之间相互交换结束的信息。

当上述动作完成之后，两者间的资料传送就会加密，另外一方收到资料后，再将编码资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的密码算法，也不能获得可读的有用资料。在电子商务交易过程中，由于有银行参与，按照SSL协议，客户的购买信息首先发往商家，商家再将信息转发银行，银行认证客户信息的合法性后，通知商家付款成功，商家再通知客户购买成功，并将商品寄送客户。