SSL (Secure Socket Layer)

　　爲Netscape所研發，用(yòng)以保障在Internet上(shàng)數據傳輸之安全，利用(yòng)數據加密(Encryption)技術(shù)，可(kě)确保數據在網絡上(shàng)之傳輸過程中不會(huì)被截取及竊聽。目前一般通用(yòng)之規格爲40 bit之安全标準，美(měi)國則已推出128 bit之更高(gāo)安全标準，但(dàn)限制(zhì)出境。隻要3.0版本以上(shàng)之I.E.或Netscape浏覽器(qì)即可(kě)支持SSL。
　　當前版本爲3.0。它已被廣泛地(dì)用(yòng)于Web浏覽器(qì)與服務器(qì)之間的(de)身份認證和(hé)加密數據傳輸。

　　SSL協議位于TCP/IP協議與各種應用(yòng)層協議之間，爲數據通訊提供安全支持。SSL協議可(kě)分(fēn)爲兩層： SSL記錄協議（SSL Record Protocol）：它建立在可(kě)靠的(de)傳輸協議（如(rú)TCP）之上(shàng)，爲高(gāo)層協議提供數據封裝、壓縮、加密等基本功能(néng)的(de)支持。 SSL握手協議（SSL Handshake Protocol）：它建立在SSL記錄協議之上(shàng)，用(yòng)于在實際的(de)數據傳輸開(kāi)始前，通訊雙方進行(xíng)身份認證、協商加密算法、交換加密密鑰等。

　　SSL協議提供的(de)服務主要有(yǒu)：
　　1）認證用(yòng)戶和(hé)服務器(qì)，确保數據發送到(dào)正确的(de)客戶機和(hé)服務器(qì)；
　　2）加密數據以防止數據中途被竊取；
　　3）維護數據的(de)完整性，确保數據在傳輸過程中不被改變。

　　SSL協議的(de)工(gōng)作流程：
　　服務器(qì)認證階段：1）客戶端向服務器(qì)發送一個(gè)開(kāi)始信息“Hello”以便開(kāi)始一個(gè)新的(de)會(huì)話(huà)連接；2）服務器(qì)根據客戶的(de)信息确定是否需要生成新的(de)主密鑰，如(rú)需要則服務器(qì)在響應客戶的(de)“Hello”信息時将包含生成主密鑰所需的(de)信息；3）客戶根據收到(dào)的(de)服務器(qì)響應信息，産生一個(gè)主密鑰，并用(yòng)服務器(qì)的(de)公開(kāi)密鑰加密後傳給服務器(qì)；4）服務器(qì)恢複該主密鑰，并返回給客戶一個(gè)用(yòng)主密鑰認證的(de)信息，以此讓客戶認證服務器(qì)。
　　用(yòng)戶認證階段：在此之前，服務器(qì)已經通過了客戶認證，這一階段主要完成對客戶的(de)認證。經認證的(de)服務器(qì)發送一個(gè)提問給客戶，客戶則返回（數字）簽名後的(de)提問和(hé)其公開(kāi)密鑰，從而向服務器(qì)提供認證。
　　從SSL 協議所提供的(de)服務及其工(gōng)作流程可(kě)以看出，SSL協議運行(xíng)的(de)基礎是商家對消費者信息保密的(de)承諾，這就有(yǒu)利于商家而不利于消費者。在電子商務初級階段，由于運作電子商務的(de)企業(yè)大(dà)多是信譽較高(gāo)的(de)大(dà)公司，因此這問題還沒有(yǒu)充分(fēn)暴露出來。但(dàn)随著(zhe)電子商務的(de)發展，各中小(xiǎo)型公司也(yě)參與進來，這樣在電子支付過程中的(de)單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和(hé)數字證書(shū)可(kě)實現浏覽器(qì)和(hé)Web服務器(qì)雙方的(de)身份驗證，但(dàn)是SSL協議仍存在一些問題，比如(rú)，隻能(néng)提供交易中客戶與服務器(qì)間的(de)雙方認證，在涉及多方的(de)電子交易中，SSL協議并不能(néng)協調各方間的(de)安全傳輸和(hé)信任關系。在這種情況下，Visa和(hé) MasterCard兩大(dà)信用(yòng)卡公組織制(zhì)定了SET協議，爲網上(shàng)信用(yòng)卡支付提供了全球性的(de)标準。

　　https介紹

　　HTTPS（Secure Hypertext Transfer Protocol）安全超文(wén)本傳輸協議

　　它是由Netscape開(kāi)發并内置于其浏覽器(qì)中，用(yòng)于對數據進行(xíng)壓縮和(hé)解壓操作，并返回網絡上(shàng)傳送回的(de)結果。HTTPS實際上(shàng)應用(yòng)了Netscape的(de)完全套接字層（SSL）作爲HTTP應用(yòng)層的(de)子層。（HTTPS使用(yòng)端口443，而不是象HTTP那樣使用(yòng)端口80來和(hé)TCP/IP進行(xíng)通信。）SSL使用(yòng)40 位關鍵字作爲RC4流加密算法，這對于商業(yè)信息的(de)加密是合适的(de)。HTTPS和(hé)SSL支持使用(yòng)X.509數字認證，如(rú)果需要的(de)話(huà)用(yòng)戶可(kě)以确認發送者是誰。。

　　https是以安全爲目标的(de)HTTP通道，簡單講是HTTP的(de)安全版。即HTTP下加入SSL層，https的(de)安全基礎是SSL，因此加密的(de)詳細内容請看SSL。
　　它是一個(gè)URI scheme(抽象标識符體系)，句法類同http:體系。用(yòng)于安全的(de)HTTP數據傳輸。https:URL表明(míng)它使用(yòng)了HTTP，但(dàn)HTTPS存在不同于HTTP的(de)默認端口及一個(gè)加密/身份驗證層（在HTTP與TCP之間）。這個(gè)系統的(de)最初研發由網景公司進行(xíng)，提供了身份驗證與加密通訊方法，現在它被廣泛用(yòng)于萬維網上(shàng)安全敏感的(de)通訊，例如(rú)交易支付方面。

　　限制(zhì)
　　它的(de)安全保護依賴浏覽器(qì)的(de)正确實現以及服務器(qì)軟件(jiàn)、實際加密算法的(de)支持.
　　一種常見的(de)誤解是“銀行(xíng)用(yòng)戶在線使用(yòng)https:就能(néng)充分(fēn)徹底保障他(tā)們的(de)銀行(xíng)卡号不被偷竊。”實際上(shàng)，與服務器(qì)的(de)加密連接中能(néng)保護銀行(xíng)卡号的(de)部分(fēn)，隻有(yǒu)用(yòng)戶到(dào)服務器(qì)之間的(de)連接及服務器(qì)自身。并不能(néng)絕對确保服務器(qì)自己是安全的(de)，這點甚至已被攻擊者利用(yòng)，常見例子是模仿銀行(xíng)域名的(de)釣魚攻擊。少(shǎo)數罕見攻擊在網站傳輸客戶數據時發生，攻擊者嘗試竊聽數據于傳輸中。
　　商業(yè)網站被人(rén)們期望迅速盡早引入新的(de)特殊處理(lǐ)程序到(dào)金(jīn)融網關，僅保留傳輸碼(transaction number)。不過他(tā)們常常存儲銀行(xíng)卡号在同一個(gè)數據庫裏。那些數據庫和(hé)服務器(qì)少(shǎo)數情況有(yǒu)可(kě)能(néng)被未授權用(yòng)戶攻擊和(hé)損害。

SSL在web訪問上(shàng)的(de)體現就是https