SSL

SSL简介

SSL（Secure Sockets Layer，安全套接层）是一个安全协议，为基于TCP的应用层协议提供安全连接，如SSL可以为HTTP协议提供安全连接。SSL协议广泛应用于电子商务、网上银行等领域，为网络上数据的传输提供安全性保证。

SSL提供的安全连接可以实现：

l              连接的私密性：在SSL握手阶段生成密钥后，用对称加密算法对传输数据进行加密。

l              身份认证：对服务器和客户端进行基于证书的身份认证，其中客户端认证是可选的。

l              连接的可靠性：消息传输过程中使用基于密钥的MAC（Message Authentication Code，消息验证码）来检验消息的完整性。

如图1所示，SSL协议本身可以分为两层：底层为SSL记录协议（SSL record protocol）；上层为SSL握手协议（SSL handshake protocol）、SSL密码变化协议（SSL change cipher spec protocol）和SSL警告协议（SSL alert protocol）。

图1 SSL协议栈

l              SSL记录协议：主要负责对上层的数据进行分块、压缩、计算并添加MAC、加密，最后把记录块传输给对方。

l              SSL握手协议：客户端和服务器通过握手协议建立一个会话。会话包含一组参数，主要有会话ID、对方的证书、加密套件（包括密钥交换算法、数据加密算法和MAC算法）、压缩算法以及主密钥。SSL会话可以被多个连接共享，以减少会话协商开销。

l              SSL密码变化协议：客户端和服务器端通过密码变化协议通知接收方，随后的报文都将使用新协商的加密套件和密钥进行保护和传输。

l              SSL警告协议：用来允许一方向另一方报告告警信息。消息中包含告警的严重级别和描述。