企业邮箱服务器认证阶段:
1、客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;
2、服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;
3、客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
4、服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
企业邮箱用户认证阶段:在此之前,邮箱服务器已经通过了邮箱客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
SSL加密协议提供的安全通道有以下三个特性:
a.机密性:SSL协议使用密钥加密通信数据。
b.可靠性:服务器和客户都会被认证,客户的认证是可选的。
c.完整性:SSL协议会对传送的数据进行完整性检查。
从SSL 协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下,Visa和 MasterCard两大信用卡公司组织制定了SET协议,为网上信用卡支付提供了全球性的标准。
会话(Session)和连接(Connection)是SSL中两个重要的概念,在规范中定义如下。
1、SSL连接:用于提供某种类型的服务数据的传输,是一种点对点的关系。一般来说,连接的维持时间比较短暂,并且每个连接一定与某一个会话相关联。
2、SSL会话:是指客户和服务器之间的一个关联关系。会话通过握手协议来创建。它定义了一组安全参数。
一次会话过程通常会发起多个SSL连接来完成任务,例如一次网站的访问可能需要多个HTTP/SSL/TCP连接来下载其中的多个页面,这些连接共享会话定义的安全参数。这种共享方式可以避免为每个SSL连接单独进行安全参数的协商,而只需在会话建立时进行一次协商,提高了效率。
每一个会话(或连接)都存在一组与之相对应的状态,会话(或连接)的状态表现为一组与其相关的参数集合,最主要的内容是与会话(或连接)相关的安全参数的集合,用会话(或连接)中的加密解密、认证等安全功能的实现。在SSL通信过程中,通信算法的状态通过SSL握手协议实现同步。
1、SSL连接状态的定义:
1.1.服务器和客户器的随机数:是服务器和客户为每个连接选择的用于标识连接的字节序列。
1.2.服务器写MAC密值:服务器发送数据时,生成MAC使用的密钥,长度为128 bit。
1.3.客户写MAC密值,服务器发送数据时,用于数据加密的密钥,长度为128 bit 。
1.4.客户写密钥:客户发送数据时,用于数据加密的密钥,长度为128 bit。
1.5.初始化向量:当使用CBC模式的分组密文算法是=时,需要为每个密钥维护初始化向量。
1.6.序列号:通信的每一端都为每个连接中的发送和接收报文维持着一个序列号。
2、SSL会话状态的定义:
2.1.会话标识符:是由服务器选择的任意字节序列,用于标识活动的会话或可恢复的会话状态。
2.2.对方的证书:会话对方的X.509v3证书。该参数可为空。
2.3.压缩算法:在加密之前用来压缩数据的算法。
2.4.加密规约(Cipher Spec):用于说明对大块数据进行加密采用的算法,以及计算MAC所采用的散列算法。
2.5.主密值:一个48字节长的秘密值,由客户和服务器共享。
2.6.可重新开始的标识:用于指示会话是否可以用于初始化新的连接。
