相信这个问题不仅是网站所有者,也是用户最关心的问题。近年来,影响各大银行、零售商和其他服务供应商的大规模数据泄露事件层出不穷,使得用户比以往更加担心他们在各种在线交易过程中所分享的敏感个人数据的安全性。
让用户放心,让其数据不会受到黑客攻击、身份盗窃和其他类型的在线犯罪侵害对保持客户信任至关重要。
而早在1994年,Netscape公司便开发了一种网络安全协议,即安全套接字层(SSL,Secure Socket Layer)协议。现如今,使用SSL协议保护网站安全是保护在业务过程中收集的敏感数据和向用户发出网站安全信号的基本步骤。
SSL提供的安全服务可以归纳为以下三种:
(1)SSL服务器鉴别,允许用户证实服务器的身份。支持SSL的客户端通过验证来自服务器的证书,来鉴别服务器的真实身份并获得服务器的公钥。
(2)SSL客户鉴别,SSL的可选安全服务,允许服务器证实客户的身份。
(3)加密的SSL会话,对客户和服务器间发送的所有报文进行加密,并检测报文是否被篡改。
当访客访问安装了SSL证书的网站链接建立TCP连接后,先进行浏览器和服务器之间的握手协议,完成加密算法的协商和会话密钥的传递,然后进行安全数据传输。
整个过程简要如下:
(1)协商加密算法。浏览器A向服务器B发送浏览器的SSL版本号和一些可选的加密算法,B从中选定自己所支持的算法(如RSA)并告知A。
(2)服务器鉴别。服务器B向浏览器A发送包含其RSA公钥的数字证书,A使用该证书的认证机构CA公开发布的RSA公钥对该证书进行验证。
(3)会话密钥计算。由浏览器A随机产生一个秘密数,用服务器B的RSA公钥进行加密后发送给B,双方根据协商的算法产生共享的对称会话密钥。
(4)安全数据传输。双方用会话密钥加密和解密它们之间传送的数据并验证其完整性。