利用安全 Socket 層通信協定進行安全通信
這一節提供安全 Socket 層 (SSL) 通信協定的基礎資訊,其中包括通信協定的一般總覽及安全概念的說明。 這一節的結尾有相關主題的鏈結。
SSL 代表在透過全球資訊網傳輸資訊時,伺服器用來確保私密性的加密系統。 啟用 SSL 的伺服器在傳送敏感資料給從屬站之前,會先將這些敏感資料加密成密文,使得資料即使在傳送途中遭到截取,第三者也無法讀取資料。 從屬站收到來自伺服器的資料後,會將密碼文字解密,以讀取資料。 在 Web 伺服器中使用 SSL,有助於確保在從屬站(如 Web 瀏覽器)和伺服器(如 Web 伺服器)之間傳輸的資訊保有私密性,且可讓從屬站鑑別伺服器的身分。
利用 SSL 進行安全通信
如果要讓伺服器和從屬站使用 SSL 來進行安全通信,伺服器必須有公開和私密金鑰配對及憑證。 伺服器使用其私密金鑰來簽認給從屬站的訊息。伺服器會將公開金鑰傳送給從屬站,讓從屬站能夠確認這些簽章過的訊息是這個伺服器所發出,且從屬站可將要傳給伺服器的訊息加密。 然後伺服器再使用其私密金鑰解密這些訊息。
如果要傳送公開金鑰給從屬站,伺服器需用到憑證管理中心 (CA) 所發的憑證。 這個憑證含有伺服器的公開金鑰、伺服器憑證的相關識別名稱、憑證的發出日期或序號,以及憑證的有效期限。
「憑證管理中心」(CA) 是一個負責發出憑證且具公信力的第三方(或指定的內部憑證中心)。CA 可驗證伺服器的身分, 並使用其私密金鑰以數位方式簽認憑證; 以及使用其公開金鑰來確定憑證的有效性。已簽章的憑證可讓伺服器身分與一對電子金鑰相連結, 藉以加密與簽認數位資訊。憑證管理中心私密金鑰會簽署憑證來驗證伺服器身分。
如果要在安全 SSL 模式下操作 Web 伺服器,首先您要向憑證管理中心取得您系統的簽認憑證。 VeriSign 公司是眾多憑證管理中心公司之一。 不過,您可以利用憑證管理中心所發行的適當格式的簽章憑證。
當您設定安全連線時, 請讓您的公開金鑰連結一個由「憑證管理中心」(CA)(已指定作為您伺服器上之具公信力的 CA)所發的數位簽章憑證。
檢視安全概念
本節提供安全概念的概觀。
安全通信
隨著網際網路上電子商務的快速成長,安全網路通信的需求也越來越大。 此外,經由專用網路的公司內部通信通常含有需要保護的機密資訊。
安全網路通信具有下列性質:
- 存取控制
-
只有獲授權的各方能夠保護和存取資源。 以密碼、IP 位址、主電腦名稱或 SSL 從屬站鑑別為基礎的存取限制,可確保存取控制權。
- 確實性
-
您認識通話的對方而且相信那個人。 使用數位簽章及數位憑證的鑑別可確保確實性。
- 資訊完整性
-
在傳輸期間,訊息沒有改變。 若缺少資訊完整性,則無法保證您傳送出去的訊息與對方收到的訊息是一樣的。 數位簽章可確保完整性。
- 隱私及機密性
-
交易期間雙方傳遞的資訊保有私密性,即使落入他人之手。 加密可確保私密性與機密性。
瞭解加密
加密的最簡單形式是將訊息變成混雜,使任何人都無法讀取它,直到接收者解除混雜為止。 傳送者使用演算法(或金鑰) 將訊息亂數化或加密。 接收者具有解密金鑰。加密可確保透過網際網路傳送的私密性與機密性。
- 不對稱金鑰
-
您可以利用不對稱金鑰來建立金鑰配對。 這個金鑰配對由彼此不同的公開金鑰和私密金鑰組成。 私密金鑰擁有的秘密加密組合比公開金鑰更多。請勿讓外人共用您的私密金鑰。
伺服器使用其私密金鑰來簽認給從屬站的訊息。伺服器會傳送它的公開金鑰給從屬站,以便從屬站將訊息加密傳給伺服器,伺服器再使用其私密金鑰來解密。 只有您才能將您的公開金鑰所加密的訊息解密,因為只有您才有私密金鑰。 金鑰對是儲存在一個以密碼保護的金鑰資料庫中。
- 對稱的金鑰
-
對稱金鑰採用較舊的模型,在這個模型中,傳送者和接收者會共用某種型樣。 傳送者利用這個相同的型樣來加密訊息,接收者也利用這個型樣來將訊息解密。
對稱金鑰的風險是,您要與通信之人共用秘密金鑰時,將圍繞著尋找一種可使用的安全傳輸方法。
安全 Socket 層 (SSL) 通信協定使用對稱和不對稱的金鑰交換。 在 SSL 交握中使用不對稱金鑰。 在交握期間,以接收者公開金鑰加密的主要金鑰,會由從屬站傳遞到伺服器。 從屬站與伺服器可使用此主要金鑰來製作屬於自己的階段作業金鑰。 階段作業金鑰會加密和解密階段作業其餘部分的資料。 在暗碼規格或加密層次交換期間,會進行對稱的金鑰交換。
伺服器需用到數位憑證以將其公開金鑰傳給從屬站。 憑證管理中心 (CA) 會發出這個憑證及驗證伺服器的身分。
瞭解鑑別
- 數位簽章
-
數位簽章代表確保責任的唯一數學運算式簽章。 您可以將數位簽章設想成貼有您相片的信用卡。 如果要驗證訊息傳送者的身分,您可檢視傳送者的數位憑證。
- 數位憑證
-
數位憑證(或數位 ID)就像一張貼有您與銀行總裁合照的信用卡。 特約商家更加信任您,不僅是因為您本人看起來像信用卡上面的相片,更因為銀行總裁信任您的關係。
您將基於信不信任證明傳送者的第三方(個人或機構)來信任傳送者的確實性。 發出數位憑證的第三方稱為憑證管理中心 (CA) 或憑證簽章者。
數位憑證包含:
輸入您的識別名稱作為憑證要求的一部分。 數位簽章的憑證包括您的識別名稱與 CA 的識別名稱。
您可以要求下列其中一項憑證:
- 在網際網路上做生意的伺服器憑證,來自 VeriSign 或其他 CA。 如果需要支援的 CA 清單,請參閱向外部 CA 提供者購買憑證。
- 您為自己專用 Web 網路建立的伺服器憑證。
CA 會散佈它結合一起的公開金鑰和識別名稱,讓使用者將它們新增到自己的 Web 伺服器和瀏覽器中,以作為具公信力的 CA 憑證。 當您將某 CA 所發出的公開金鑰和憑證指定為具公信力的 CA 憑證時,您的伺服器將會信任持有這個 CA 所發憑證的任何人。 您可以將許多具公信力的 CA 當作伺服器的一部分。 HTTP 伺服器包括多個預設的具公信力 CA 憑證。 您可以利用您伺服器所附的 IBM Key Management Utility 來新增或移除具公信力的 CA。
為了進行安全通信,傳輸中的接收者必須信任發出傳送者憑證的 CA。 無論接收者是 Web 伺服器或瀏覽器都是如此。 當傳送者簽認訊息時, 接收者必須擁有對應的 CA 簽認憑證,以及指定為「具公信力的 CA 憑證」的公開金鑰。
識別公開金鑰基礎架構
公開金鑰基礎架構 (PKI) 代表由數位憑證、憑證管理中心、註冊管理中心、憑證管理服務以及 X.500 目錄所構成的系統。 不論是需要驗證身分的金融或操作交易,PKI 都會驗證涉及網際網路交易的各方的身分和權限。 確認提議要求來源或電子郵件訊息作者都是這些交易的範例。
PKI 支援使用憑證廢止清冊 (CRL)。 CRL 是已廢止之憑證的清單。 CRL 提供較全面利用憑證來鑑別從屬站身分的方法,它能夠驗證具公信力的 CA 憑證的有效性。
X.500 目錄伺服器會儲存和擷取 CRL 和具公信力的 CA 憑證。 用來儲存和擷取 X.500 目錄伺服器中之資訊的通訊協定包括目錄存取通信協定 (DAP) 和輕裝備目錄存取通信協定 (LDAP)。 IBM HTTP Server 支援 LDAP。
您可以透過網際網路和企業內部網路,將資訊分送到多個目錄伺服器上,使組織能夠從中心位置或以分送方式來管理憑證、信任原則及 CRL。 此功能可讓信任原則更為機動性, 這是因為您可以從安全伺服器網路來新增或刪除「具公信力的 CA」,而不用重新配置每一個伺服器。
檢視安全 Socket 層通信協定
「安全 Socket 層」(SSL) 通信協定是由 Netscape Communications Corporation 所開發。SSL 可以確保從屬站和伺服器之間所傳送資料的私密性。 這個通信協定使從屬站能夠鑑別伺服器的身分。 SSL 第 3 版需要鑑別從屬站身分。
一旦您的伺服器具有數位憑證,則啟用 SSL 的瀏覽器 (如 Netscape Navigator 和 Microsoft Internet Explorer) 即可利用 SSL 來與您的伺服器進行安全通信。透過 SSL, 您可輕易在網際網路或專用企業內部網路上建立安全型網站。 若瀏覽器不支援透過 SSL 的 HTTP,則無法要求使用 HTTPS 的 URL。 非 SSL 型瀏覽器不允許提出需使用安全通信的套表。
SSL 使用安全交握式來起始從屬站與伺服器之間的安全連線。 在交握期間,從屬站和伺服器會在階段作業要用的安全金鑰及加密要用的演算法上達成協議。 從屬站可鑑別伺服器;伺服器也可以選擇性地要求從屬站憑證。 交握之後,SSL 會加密和解密 HTTPS 要求和伺服器回應中的所有資訊,其中包括:
- 從屬站要求的 URL
- 任何送出的套表內容
- 存取授權資訊,如:使用者名稱和密碼
- 從屬站與伺服器之間傳送的所有資料
HTTPS 代表組合了 SSL 和 HTTP 的獨特通信協定。 請指定 https:// 作為 HTML 文件中連結到 SSL 所保護之文件的錨點。 從屬站使用者亦可藉由指定 https:// 開啟一個 URL,來要求受 SSL 保護的文件。
由於 HTTPS (HTTP + SSL) 及 HTTP 為不同的通信協定, 且所用的埠不同(分別是 443 和 80),您可以同時執行 SSL 及非 SSL 要求。此功能可讓您在沒有使用安全特性下提供資訊給使用者, 並且只提供特定資訊給發出安全要求的瀏覽器。 此功能可讓網際網路上的零售公司容許使用者在不使用安全特性下尋找其商品, 但在使用安全特性下填妥訂單套表並送出其信用卡號碼。
| 尋找相關資訊 |
(返回最上面)