Layer)是netscape公司設(shè)計(jì)的主要用於web的安全

1、利用金鑰演算法在互聯(lián)網(wǎng)上提供端點(diǎn)身份認(rèn)證與通訊保密，其基礎(chǔ)是公開金鑰基礎(chǔ)設(shè)施（PKI）難度&缺點(diǎn) 公開金鑰基礎(chǔ)設(shè)施普遍商業(yè)運(yùn)營(yíng) 需花大錢購(gòu)買用途 預(yù)防竊聽、干擾、消息偽造SSL是一個(gè)介於HTTP協(xié)議與TCP之間的一個(gè)可選層，其位置大致如下： | HTTP | | SSL | | TCP | | IP | 將用戶需求翻譯成HTTP請(qǐng)求協(xié)商出一份加密密鑰，並用此密鑰來加密與web server的443端口建立連接GET /index.htm HTTP/1.1對(duì)稱加密 RSA、Diffie-Hellman、DSA及Fortezza非對(duì)稱加密 RC2、RC4、IDEA、DES、Triple D

2、ES及AES單向散列函數(shù) MD5及SHA對(duì)稱加密 分組密碼 將明文按一定的位長(zhǎng)分組，明文組經(jīng)過加密運(yùn)算得到密文組，密文組經(jīng)過解密運(yùn)算，還原成明文組。 序列密碼 利用少量的密鑰，通過某種複雜的運(yùn)算，產(chǎn)生大量的偽隨機(jī)位流，用於對(duì)明文位流的加密非對(duì)稱加密單向散列函數(shù)對(duì)稱加密非對(duì)稱加密 簡(jiǎn)單的說就是加密密鑰與解密密鑰不同，分私鑰和公鑰。這種方法大多用於密鑰交換，RSA便是一個(gè)我們熟知的例子。單向散列函數(shù)對(duì)稱加密非對(duì)稱加密單向散列函數(shù) 由於信道本身的干擾和人為的破壞，接受到的信息可能與原來發(fā)出的信息不同，一個(gè)通用的辦法就是加入校驗(yàn)碼。用戶端支援的密碼演算法清單壓縮方法最高協(xié)定版本稍後將被使用的亂數(shù)Cli

3、ent HelloServerServer端伺服器選擇的連接參數(shù)Server Hello用戶端支援的密碼演算法清單壓縮方法最高協(xié)定版本稍後將被使用的亂數(shù)Client HelloServerServer端伺服器選擇的連接參數(shù)Server Hello交換證書（依靠被選擇的公開金鑰系統(tǒng)）A：我想和你安全的通話，我這裡的對(duì)稱加密算法有DES,RC5,密鑰交換算法有RSA和DH，摘要算法有MD5和SHA。B：我們用DESRSASHA這對(duì)組合好了。 這是我的證書，裡面有我的名字和公鑰，你拿去驗(yàn)證一下我的身份（把證書發(fā)給A）。 目前沒有別的可說的了。A：（查看證書上B的名字是否無誤，並通過手頭早已有的CA的

4、證書驗(yàn)證了B的證書的真實(shí)性，如果其中一項(xiàng)有誤，發(fā)出警告並斷開連接，這一步保證了B的公鑰的真實(shí)性） （產(chǎn)生一份秘密消息，這份秘密消息處理後將用作加密密鑰，加密初始化向量和hmac的密鑰。將這份秘密消息-協(xié)議中稱為per_master_secret-用B的公鑰加密，封裝成稱作ClientKeyExchange的消息。由於用了B的公鑰，保證了第三方無法竊聽）我生成了一份秘密消息，並用你的公鑰加密了，給你（把ClientKeyExchange發(fā)給B） 注意，下面我就要用加密的辦法給你發(fā)消息了！ （將秘密消息進(jìn)行處理，生成加密密鑰，加密初始化向量和hmac的密鑰） 我說完了B：（用自己的私鑰將ClientKeyExchange中的秘密消息解密出來，然後將秘密消息進(jìn)行處理，生成加密密鑰，加密初始化向量和hmac的密鑰，這時(shí)雙方已經(jīng)安全的協(xié)商出一套加密辦法了） 注意，我也要開始用