ssl通关之概念（一）

最近在公司的项目都涉及到各种加密、安全等，本人对这方面向来缺乏经验，很多协议啥的都只是知道个概念，这次对于传输加密之SSL，也是煞费苦心。很简单的一件事，折腾了许久。IT这一行啊，果真是，难者不会，会者不难。

       关于ssl相关的概念，参考以下网址：

http://zhidao.baidu.com/question/327361625.html?pn=0

http://baike.baidu.com/view/16147.htm?fr=aladdin#3

http://baike.baidu.com/link?url=huf3fdrLoAKVqIkbZF8G5emlytuFCj6XRA4doqRyGj4mV7Et1fPq8ksYVRuycntJQrJiqo0LsEnMmSNIoXz2mq

http://baike.baidu.com/link?url=PHbXnIKPXSVeuUjmcFiYAbrVMKvwTFMDTJ5bF3ABjCTfDnFhkEIcN64rRyLb9q_kFWVv1d27qF20Yfu7G7z6W_

        要深刻的懂得SSL，需要具备的基础知识：加密算法、对称加密算法、非对称加密算法、密钥（公钥、私钥）、数字证书、http协议、https协议、ISO网络七层协议等。

       

       个人理解：SSL，是一种协议的名字，这种协议基于加密算法，在网络传输的过程中将传输的内容经过加密算法加密，到达目的地后，用密钥来解密看到真正的内容，而在网络的传输过程中即便被人拦截到，由于没有密钥，不知道解密的算法，很难甚至无法解密，以此达到数据安全的作用。 

      而要完成这个流程，我们需要做下面几个事情：

       1、既然传输的数据是要经过加密解密的，那么就要有加密解密的工具，对于这个工具，我们叫做密钥。所以，第一步就是创建密钥（向第三方购买）。分为服务器端和客户端。

        2、密钥创建好了，那么我们得把这个密钥放到一个地方，然后让它发生作用。所以第二步，就是将密钥放到服务器（nginx、tomcat、iis等）中，并且修改服务器的相关配置（如tomcat是修改server.xml）使之起作用。客户端放到哪里呢？自然是放到客户端了。对于web应用来讲，是放到浏览器，但是对于用户来讲去哪里拿着个密钥呢？一般情况下服务器端会提供客户端下载的地址（所以我们在浏览一些网站的时候，尤其是银行网站，会让我们先下载一个证书，这个证书实际上就是密钥）。对于手机app来讲，一般情况下会将这个密钥放到apk中（当然，这个在开发的时候就放到里面了，用户是不知道滴）。

        3、一切准备就绪了。开始访问，客户端带着证书来访问服务器，服务器（tomcat）第一步 是先检验证书对不对（也就是用密钥进行解密），如果不对则直接报错，如果对了，则再去看访问的地址是否存在，如果地址不存在，则抛出404错误，如果地址存在，进行内容解密，开始真正的业务的访问处理）

        

       好，个人的理解就介绍这些，下面就先来几个关于ssl的（官方）概念：

        一、SSL                 

           SSL 的英文全称是 “Secure Sockets Layer” ，中文名为 “ 安全套接层协议层 ” ，它是网景（ Netscape ）公司提出的基于 WEB 应用的安全协议。 SSL 协议指定了一种在应用程序协议（如 HTTP 、 Telenet 、 NMTP 和 FTP 等）和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。 

           SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层： SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

         SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

         二、SSL证书：

        SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道（Secure socket layer(SSL)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该功能了）。即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。
        数位签名又名数字标识、签章 (即 Digital Certificate，Digital ID )，提供了一种在网上进行身份验证的方法，是用来标志和证明网路通信双方身份的数字信息文件，概念类似日常生活中的司机驾照或身份证相似。 数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。

        三、SSL 使用意义

        服务器部署了 SSL 证书后可以确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息从用户电脑到服务器之间的传输链路上是高强度加密传输的，是不可能被非法篡改和窃取的。同时向网站访问者证明了服务器的真实身份，此真实身份是通过第三方权威机构 验证的。也就是说有两大作用：数据加密和身份认证。