IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

SSL的实际运作过程

2005年12月02日
/

电子商务系统使用网际网路来建制一个无时空限制、无地域限制的商业活动,由於网际网路是全天候开放,进出电子商务网站的人数众多,因此网路安全的问题也越加重要。电子商务网站的安全性问题基本上分为网站系统安全问题以及金融交易安全问题。

在现实社会的传统商品交易或者当今正红的电子商务交易,金融交易的安全机制是非常重要的。技能交易的安全机制如果发生安全上的漏洞,小则金钱上的损失,重则引发社会秩序动荡不安。网际网路上的讯息传递往往都是利用公众网路来进行传输,因为我们无法掌控讯息在网路上传送的过程之中是否有遭到有心人士的拦截,也无法确知是否有别人使用你的资料或身分来进行某项动作。
资讯对现代企业或是国家来说是一项非常重要的资产,它记录着某项科技的重要技术、知识或是讯息,对于一个企业来说具有举足轻重的地位。也就因为这麽重要,所以密码学演算法渐渐地使用于现代企业的电脑之中,扮演保护资料机密最有效的工具。

一般而言,网路的资料保全机制基本上可分为两种:数位加密及电子认证,数位加密的作用在于机密资料一旦被他人非法取得之后,也没有办法立即解读成有效资讯而形同一件充满乱码的文件。而电子认证的动作在于确认存取该机密资料的”人”是否为该机构之授权人员,同时也可以确认原先发出讯息的人之身分。

加密的运用最早是源自于罗马时期的凯撒,为了不让其他人知道信件的内容,所以他采用以文字字目的编码方式与将军们互通军事讯息,凯撒与将军们约定一种加密、解密方式,就是发信者必须将信中所有的字目”往右”移十三个位置,即原来文字为”USER”经过加密后会变为”HFRE”,收信者一收到信件之后也依据同样的方式进行解密的动作,这种以文字位移的方式来进行加减密的规则称为Caesar Cipher。

现代由於科技的进步,这种以文字编密的方式已不符合现在网路安全上的需求,所以现代使用的加减密方式是采用数学方程式所设计出来的密码演算法,密码演算法基本上有两个非常重要的元件:演算法及Key值,演算法是一种经过数学原理所设计出来的一种方程式,它可以将原始资料文件与一长串含有数字及文字的Key值混合计算之后,产生一个看起来毫无意义及价值的文件。所以演算法的安全性及Key值就关系着整个加减密的成效。

一般使用演算法比文字字目位移方式而被解的机会来的困难,因为演算法虽然只是一个经数学原理所设计出来的方程式,但是只要Key值一旦改变,整个式子所出现的结果也会跟着改变,况且这个结果是由数学方程式所计算得出,要由结果往回推算至原先资料,就算数学方程式知道,也很难算出原来的叁数是多少。另外值得注意的一点是加密的安全性除了数学方程式以外,Key值 的长短也影响到加密的安全效果。比如说Key值为8位元,其值变化就有256种,若Key值长度增加到16位元,则Key值得变化种类就有65536种,所以Key值长度越多,被破解的机率就越小,资料加密的安全性就越高。(我们采用的是128位元)

目前所使用的加密方式是使用一种名为Public Key加密的方式,他的原理是使用两个Key值,一个为公众值[Public Key],另一个为私有值[Private Key],在整个加减密过程中,这两个Key均会用到。要使用到这种加减密功能之前,首先我们必须建置一个认证中心[Certification Authentication,CA], 这个认证中心专门存放每一位使用者之Public Key及Private Key,并且每一位使用者必须自行建置资料于认证中心。当甲使用端要传送资料给乙用户端,并且希望传送的过程之间必须加以保密,则甲用户端和乙用户端都必须向认证中心申请 一对加减密专用键值[Key],之後甲用户端再传送资料给乙用户端时先向认证中心索取乙用户端的Public Key及Private Key,然後利用加密演算法将资料与乙用户端的Private Key作重新组合,此时所产生的资料是一个充满乱数的杂乱资料,若有心摄取这份资料的人也不能了解其中内涵。当资料一旦送到乙用户端时,乙用户端也会以同样的方式到认证中心取得乙用户端自己的键值[Key],然後再利用解密演算法将收到的资料与自己的Private Key作重新组合,则最後产生的就是甲用户端传送过来给乙用户端的原始资料。

SSL的实际运作过程

有了上面对SSL的基本概念后,现在我们看看SSL的实际运作过程。首先,使用者的网路浏览器必须使用https的通讯方式连结到网站伺服器。

如果所进入的网页内容有安全上的控管,此时网路上的认证伺服器[Certificate Authority]会传送以组开金匙给网路使用者。

使用者一旦收到这组由认证伺服器传来的公开金匙之後,接下来会进行产生解码用的对称金匙,最後将公开金匙与对称金匙做一数学方程式的计算之後,原文件内容已变成一篇充满乱码的文章,所以即使该文件在网路传送过程中遭到拦截,就算该加密文件会被解码成功,或许那是多年以後的事情。最後将这篇充满乱码的文件传送回网站伺服器。

网站伺服器利用伺服器本身的私用金匙对由浏览器传过来的文件进行解密动作,如此即可取得浏览器所产生的对称金匙。自此以後,网站 伺服器与用户端浏览器之间所传送的任何资料或文件,均会以此对称金匙进行文件的加、减密运算动作。


发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

以不变应万变 网络虚拟化应对园区网新挑战
以不变应万变 网络虚拟化应对园区网新挑战Forrester Research的分析师Robert Whiteley认为: “十年以来,虚拟化技术与网络...
OpenShift加入更多新元素 友好面对开发者
OpenShift加入更多新元素 友好面对开发者通过网络进行程序提供的服务称之为SaaS(Software as a Service),而将服务器平台...

本类热点