【文章內容簡介】 用加密技術來保證的，在通過一個簡單的握手過程之后獲得一個共同的密鑰，作為對稱加密算法的密鑰。 l 管道是認證過的，服務器端總是需要把自己的證書遞交給客戶端，以便客戶端對服務器進行認證。服務器可以選擇是否需要客戶端遞交證書。 l 管道是可靠的，消息的傳輸包含了消息完整性檢查。 SSL協(xié)議實際上由兩個協(xié)議構成，位于下面的一層為 SSL記錄協(xié)議（ SSL Record Protocol）， 其上為SSL控制協(xié)議 (SSL Control Protocols)， SSL記錄協(xié)議用于封裝上層發(fā)送和接收的所有數(shù)據(jù)，當然包括 SSL控制協(xié)議的數(shù)據(jù)， SSL控制協(xié)議包含： SSL握手協(xié)議 (SSL Handshake Protocol) SSL密鑰交換協(xié)議 (SSL Change Ciphers Specification) SSL報警協(xié)議 (SSL Alert Protocol) PKI基本技術手段 SSL 簡要介紹 SSL的握手過程是建立 SSL的主要加密和安全參數(shù)的過程 ， 它是 SSL的控制協(xié)議執(zhí)行的控制功能 。 握手過程體現(xiàn)在瀏覽器使用 HTTPS訪問 WEB服務器時 ， 包括以下步驟： 1 瀏覽器向安全 WEB服務器發(fā)出一個 HTTPS的請求 ， 比如： 2 該 WEB服務器將它的證書遞交給瀏覽器的 SSL模塊 。 3 瀏覽器檢查服務器遞交的證書的有效性 ， 比如有效日期和證書的簽名等 。 如果該證書不是被一個瀏覽器已經信任的發(fā)證結構 （ CA） 簽發(fā)的證書 ， 瀏覽器將彈出一個對話框來提示用戶是否信任該 WEB站點證書 。 如果用戶選擇不信任該證書 ， 瀏覽器會選擇自動中止該連接 。 4 瀏覽器將把從 WEB站點證書里取得的站點名稱和瀏覽器的 URL 里的域名相對照 ， 如果相符 ， 瀏覽器將認為站點為真正的站點 。 5 瀏覽器將自己支持的一系列算法發(fā)送給服務器 。 6 如果服務器需要客戶端遞交證書 ， 瀏覽器將把自己的證書發(fā)送給服務器 ， 服務器檢查遞交的證書 ，并且檢查該證書是否為自己已經信任的發(fā)證機構 （ CA） 發(fā)放的證書 。 如果不是 ， 服務器將自動中止該次連接 。 7 服務器端選擇自己和客戶端共同支持的加密算法 ， 然后發(fā)送給客戶端 。 8 瀏覽器產生一個會話密鑰 ， 然后把該密鑰通過服務器的公鑰加密后傳給服務器 。 9 服務器接收到該加過密的會話密鑰后用自己的私鑰解密 ， 得到會話密鑰的明文 。 10 客戶端和服務器使用剛才協(xié)商的會話密鑰對應用層的數(shù)據(jù)進行加解密，對傳輸?shù)臄?shù)據(jù)進行安全保護。 不同 CA及產品的特點 國內的 CA現(xiàn)狀 國內 CA發(fā)展過熱，大小建設有 70多家，有實在應用的也就１０家左右 全國性的 CA有金融ＣＡ、電信ＣＡ、海關ＣＡ等；地方性的ＣＡ有北京ＣＡ、上海ＣＡ、福建ＣＡ、山東ＣＡ等；各自的應用領域不盡相同 多數(shù)ＣＡ采用的都是國內廠商的技術， CFCA采用的是加拿大 Entrust公司的技術，核心加密部分是國產化；目前來看國外的安全技術依然高出國內相當水平 多數(shù)ＣＡ目前所發(fā)放的都是單密鑰對的證書，以 SSL安全協(xié)議為基礎的較多 CA發(fā)展過熱的原因： １：高估了電子商務發(fā)展的速度 ２： 誤解了 CA（ 認證中心）的作用 ３： 低估了 CA（ 認證中心）運行的難度 不同 CA及產品的特點 國內的 CA現(xiàn)狀 CA的共同點： １：證書基本都是采用 ，但證書的ＤＮ等的定義格式沒有標準 ２：普通證書和基于 SSL安全協(xié)議的使用為多 ３：基本上都采用的 CA/RA結構，證書的審核發(fā)放都是通過 RA來完成的 ４：目前所有的 CA互相都不能夠實現(xiàn)交叉認證，有技術和市場的兩種因素 ５：普遍規(guī)模較小，服務不夠完善 一些 CA的特點： 海關 CA： 相對封閉的系統(tǒng)，開放性靈活性不足，需要專用的 IC卡讀卡器等，主要為海關各應用系統(tǒng)服務，嚴格意義應該說不是個獨立的第三方 CA 電信 CA： 建設的非常早，原來除了給電信提供服務還給證券等提供服務，現(xiàn)在主要是系統(tǒng)內部應用，其采用的是國內的技術，提供服務的方式不夠靈活 上海 CA： 相對成熟的 CA， 國內的技術，可以滿足證券、一般企業(yè)應用、網上稅務申報等安全性要求不高的領域 金融 CA： 權威的第三方 CA， 國外的技術，有高級和普通證書兩類產品，支持的應用范圍廣泛 不同 CA及產品的特點 CA應用相關的產品 產品 產品簡介 特點 郵安通（ MailSafe） 運行在 Windows桌面系統(tǒng)的應用軟件 ，專門用于保護電子郵件的安全 完全的端到端安全 ， 傳輸過程中沒有第三方能得到明文 嵌入瀏覽器 ， 使用十分方便 嵌入 Outlook郵件編輯器 自動獲得郵件接收者的數(shù)字證書 靈活控制的安全應用政策 安全代理 服務器 用于服務器端的建立安全通信信道的軟件 良好的開放性 對 Web應用透明 多種訪問控制模式 多證書鏈和 CRL的支持 強大的審計功能 數(shù)字簽名系統(tǒng) 提供基于 Web瀏覽器和 Web服務器的數(shù)字簽名解決方案 ， 實現(xiàn)了對 Web頁面中的指定內容和文件進行數(shù)字簽名和驗證 雙向的數(shù)字簽名 /驗證 支持 IC卡形式的證書介質 強大的證書狀態(tài)檢驗功能 多證書鏈和 CRL的支持 靈活而且便于使用 智能鑰匙 電腦安全和信息控制上有廣泛用途的安全產品介質 具有普通 Smart Card和加密卡安全 、 可靠 、 易用等特點 不同 CA及產品的特點 產品 產品簡介 特點 強雙因子安全身份認證系統(tǒng) Gefon? SIDLASA： 局域網強雙因子安全身份認證產品 Gefon? SIDRASA： 遠程撥號強雙因子身份認證產品 用強雙因子身份認證的機制 ， 將系統(tǒng)安全判別因子分離成兩部分 ， 即用戶口令和存于 SKey/IC卡 /軟盤中的用戶個人秘密信息 。 當需要用戶與服務器在網絡上交換信息時 ， 系統(tǒng)利用 CHAP協(xié)議保證了用戶的口令信息不在網上傳輸 ， 并針對每次身份認證采用一次性加密口令 ， 保證信息的安全性 電子簽證中心（ CA/RA） 利用 PKI技術體系 ， 采用 國際標準 ， 結合國密辦認可 PKI加密卡和 PKI加密機推出的具有全部自主知識產權的電子數(shù)字證書和密鑰管理系統(tǒng) 為用戶提供跨系統(tǒng) 、 跨業(yè)務的統(tǒng)一的身份認證與訪問控制 ， 廣泛地用在VPN、 SSL、 安 全 電 子 郵 件 、Domino/Notes等系統(tǒng)中 認證授權系統(tǒng) 在 PKI CA等技術基礎上研制開發(fā)的面向角色的資源權限分配和統(tǒng)一的身份認證訪問控制系統(tǒng) ， 是基于用戶證書和角色的認證 、 授權系統(tǒng) 該系統(tǒng)通過對資源 （ 應用程序模塊 ）的劃分 ， 以及角色 （ 具有不同訪問權限的用戶集合 ） 的定義 ， 把資源的權限賦予其對應的角色來實現(xiàn)用戶對資源的訪問和控制