中万网络SSL证书分层结构与划分

作者：小雨时间：2015-03-11

SSL证书位于应用层和传输层之间，它可以为任何基于TCP等可靠连接的应用层协议提供安全性保证。SSL协议本身分为两层：上层为SSL握手协议、SSL密码变化协议和SSL警告协议；底层为SSL记录协议。

SSL握手协议：是SSL协议非常重要的组成部分，用来协商通信过程中使用的加密套件（加密算法、密钥交换算法和MAC算法等）、在服务器和客户端之间安全地交换密钥、实现服务器和客户端的身份验证。

SSL密码变化协议：客户端和服务器端通过密码变化协议通知对端，随后的报文都将使用新协商的加密套件和密钥进行保护和传输。

中万网络SSL证书分层结构与划分

SSL警告协议：用来向通信对端报告告警信息，消息中包含告警的严重级别和描述。

SSL记录协议：主要负责对上层的数据（SSL握手协议、SSL密码变化协议、SSL警告协议和应用层协议报文）进行分块、计算并添加MAC值、加密，并把处理后的记录块传输给对端。

SSL是一种用于Web的安全通信标准，可以把它理解成分层体系结构中的一层，位于应用层和传输层之间，建立用户与服务器之间的加密通信，确保信息传递的安全性。数据经过它流出的时候被加密，再往TCP/IP送，而数据从TCP/IP流入之后先进入它这一层被解密，同时它也能够验证网络连接两端的身份。SSL可以对各种应用数据进行加密，如HTTP, POP, FTP等。SSL提供的安全机制可以保证应用层数据在传输时不被监听、伪造和篡改。

SSL工作在公共密钥和私人密钥基础上，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器端建立连接，服务器端把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解密，这样，客户端和服务器端就建立了一个安全通道。

Web客户机通过连接到一个支持SSL的服务器，启动一次SSL会话。支持SSL的典型Web服务器在一个与标准HTTP请求（默认为端口80）不同的端口（默认为443）上接受SSL证书连接请求。当客户机连接到这个端口上时，它将启动一次建立SSL会话的握手。当握手完成之后，通信内容被加密，并且执行消息完整性检查，知道SSL会话过期。SSL创建一个会话，在此期间，握手必须只发生过一次。