會話(Session)和連接(Connection)是SSL中兩個重要的概念,在規(guī)范中定義如下。
(1)SSL連接:用于提供某種類型的服務(wù)數(shù)據(jù)的傳輸,是一種點(diǎn)對點(diǎn)的關(guān)系。一般來說,連接的維持時間比較短暫,并且每個連接一定與某一個會話相關(guān)聯(lián)。(2)SSL會話:是指客戶和服務(wù)器之間的一個關(guān)聯(lián)關(guān)系。會話通過握手協(xié)議來創(chuàng)建。它定義了一組安全參數(shù)。一次會話過程通常會發(fā)起多個SSL連接來完成任務(wù),例如一次網(wǎng)站的訪問可能需要多個HTTP/SSL/TCP連接來下載其中的多個頁面,這些連接共享會話定義的安全參數(shù)。這種共享方式可以避免為每個SSL連接單獨(dú)進(jìn)行安全參數(shù)的協(xié)商,而只需在會話建立時進(jìn)行一次協(xié)商,提高了效率。每一個會話(或連接)都存在一組與之相對應(yīng)的狀態(tài),會話(或連接)的狀態(tài)表現(xiàn)為一組與其相關(guān)的參數(shù)集合,最主要的內(nèi)容是與會話(或連接)相關(guān)的安全參數(shù)的集合,用會話(或連接)中的加密解密、認(rèn)證等安全功能的實(shí)現(xiàn)。在SSL通信過程中,通信算法的狀態(tài)通過SSL握手協(xié)議實(shí)現(xiàn)同步。根據(jù)SSL協(xié)議的約定,會話狀態(tài)由以下參數(shù)來定義:(1)會話標(biāo)識符:是由服務(wù)器選擇的任意字節(jié)序列,用于標(biāo)識活動的會話或可恢復(fù)的會話狀態(tài)。(2)對方的證書:會話對方的X.509v3證書。該參數(shù)可為空。(3)壓縮算法:在加密之前用來壓縮數(shù)據(jù)的算法。
(4)加密規(guī)約(Cipher Spec):用于說明對大塊數(shù)據(jù)進(jìn)行加密采用的算法,以及計(jì)算MAC所采用的散列算法。(5)主密值:一個48字節(jié)長的秘密值,由客戶和服務(wù)器共享。(6)可重新開始的標(biāo)識:用于指示會話是否可以用于初始化新的連接。連接狀態(tài)由以下參數(shù)來定義:(1)服務(wù)器和客戶器的隨機(jī)數(shù):是服務(wù)器和客戶為每個連接選擇的用于標(biāo)識連接的字節(jié)序列。(2)服務(wù)器寫MAC密值:服務(wù)器發(fā)送數(shù)據(jù)時,生成MAC使用的密鑰,長度為128 bit。(3)客戶寫MAC密值,服務(wù)器發(fā)送數(shù)據(jù)時,用于數(shù)據(jù)加密的密鑰,長度為128 bit 。(4)客戶寫密鑰:客戶發(fā)送數(shù)據(jù)時,用于數(shù)據(jù)加密的密鑰,長度為128 bit。(5)初始化向量:當(dāng)使用CBC模式的分組密文算法是=時,需要為每個密鑰維護(hù)初始化向量。(6)序列號:通信的每一端都為每個連接中的發(fā)送和接收報(bào)文維持著一個序列號。
HTTPS(Hypertext Transfer Protocol Secure)安全超文本傳輸協(xié)議它是由Netscape開發(fā)并內(nèi)置于其瀏覽器中,用于對數(shù)據(jù)進(jìn)行壓縮和解壓操作,并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS實(shí)際上應(yīng)用了Netscape的安全套接字層(SSL)作為HTTP應(yīng)用層的子層。(HTTPS使用端口443,而不是像HTTP那樣使用端口80來和TCP/IP進(jìn)行通信。)SSL使用40 位關(guān)鍵字作為RC4流加密算法,這對于商業(yè)信息的加密是合適的。HTTPS和SSL支持使用X.509數(shù)字認(rèn)證,如果需要的話用戶可以確認(rèn)發(fā)送者是誰。https是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,https的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容請看SSL。它是一個URI scheme(抽象標(biāo)識符體系),句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默認(rèn)端口及一個加密/身份驗(yàn)證層(在HTTP與TCP之間)。這個系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行,提供了身份驗(yàn)證與加密通訊方法,它被廣泛用于萬維網(wǎng)上安全敏感的通訊,例如交易支付方面。限制它的安全保護(hù)依賴瀏覽器的正確實(shí)現(xiàn)以及服務(wù)器軟件、實(shí)際加密算法的支持.一種常見的誤解是“銀行用戶在線使用https:就能充分徹底保障他們的銀行卡號不被偷竊?!睂?shí)際上,與服務(wù)器的加密連接中能保護(hù)銀行卡號的部分,只有用戶到服務(wù)器之間的連接及服務(wù)器自身。并不能絕對確保服務(wù)器自己是安全的,這點(diǎn)甚至已被攻擊者利用,常見例子是模仿銀行域名的釣魚攻擊。少數(shù)罕見攻擊在網(wǎng)站傳輸客戶數(shù)據(jù)時發(fā)生,攻擊者嘗試竊聽數(shù)據(jù)于傳輸中。商業(yè)網(wǎng)站被人們期望迅速盡早引入新的特殊處理程序到金融網(wǎng)關(guān),僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個數(shù)據(jù)庫里。那些數(shù)據(jù)庫和服務(wù)器少數(shù)情況有可能被未授權(quán)用戶攻擊和損害。
extended validation ssl certificates翻譯為中文即擴(kuò)展驗(yàn)證(EV)SSL證書,該證書經(jīng)過最徹底的身份驗(yàn)證,確保證書持有組織的真實(shí)性。獨(dú)有的綠色地址欄技術(shù)將循環(huán)顯示組織名稱和作為CA的GlobalSign名稱,從而最大限度上確保網(wǎng)站的安全性,樹立網(wǎng)站可信形象,不給欺詐釣魚網(wǎng)站以可乘之機(jī)。對線上購物者來說,綠色地址欄是驗(yàn)證網(wǎng)站身份及安全性的最簡便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全瀏覽器下,使用擴(kuò)展驗(yàn)證(EV)SSL證書的網(wǎng)站的瀏覽器地址欄會自動呈現(xiàn)綠色,從而清晰地告訴用戶正在訪問的網(wǎng)站是經(jīng)過嚴(yán)格認(rèn)證的。此外綠色地址欄臨近的區(qū)域還會顯示網(wǎng)站所有者的名稱和頒發(fā)證書CA機(jī)構(gòu)名稱,這些均向客戶傳遞同一信息,該網(wǎng)站身份可信,信息傳遞安全可靠,而非釣魚網(wǎng)站。