文章編號: 257591 - 上次校閱: 2008年7月7日 - 版次: 4.1

安全通訊端層 (SSL) 信號交換的描述

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
我們強烈建議所有使用者都升級到 Microsoft 網際網路資訊服務 (IIS) 7.0 版 Microsoft Windows Server 2008 上執行。 IIS 7.0 大幅提升網頁基礎結構的安全性。如需有關 IIS 與安全性相關的主題請造訪下列的 Microsoft Web 網站:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
如需有關 IIS 7.0 的詳細資訊,請造訪下列 Microsoft 網站]:
http://www.iis.net/default.aspx?tabid=1 (http://www.iis.net/default.aspx?tabid=1)
全部展開 | 全部摺疊

結論

安全通訊端層 (SSL) 通訊協定使用的公開金鑰和對稱金鑰加密的組合。Symmetric 金鑰加密是比公開金鑰加密更快,但是,公開金鑰加密提供較高的驗證技術。永遠 SSL 工作階段的開頭的呼叫 SSL 信號交換的訊息交換。信號交換,可讓伺服器至用戶端自我驗證,藉由使用公開金鑰技巧,並再允許用戶端和伺服器相互合作,在對稱式金鑰用來快速的加密、 解密和防偽偵測下列敘述所示的工作階段期間建立。選擇性地,信號交換也可讓用戶端到伺服器自我驗證。
回此頁最上方

其他相關資訊

SSL 信號交換的相關步驟如下所示 (請注意下列步驟假設與 RSA 金鑰交換加密套件中所列的加密套件使用: 三重 DES、 RC4、 RC2、 DES):
  1. 用戶端傳送伺服器用戶端的 SSL 版本號碼]、 [編碼器設定]、 [工作階段特定的資料] 及 [伺服器與用戶端使用 SSL 通訊所需的其他資訊。
  2. 伺服器的 SSL 版本號碼]、 [密碼設定]、 [工作階段特定的資料] 及 [其他資訊必須與伺服器通訊透過 SSL 用戶端,伺服器會傳送用戶端。伺服器也會傳送它自己的憑證而如果用戶端正在要求要求用戶端驗證的伺服器資源,伺服器會要求用戶端憑證。
  3. 用戶端使用由伺服器所傳送的資訊來驗證伺服器 (若需詳細資訊,請參閱伺服器驗證)。如果無法驗證伺服器,使用者警告的問題,並通知無法建立一個加密及驗證的連線。如果可以成功地驗證伺服器,在用戶端會繼續到步驟 4。
  4. 使用中信號交換到目前為止所產生的所有資料,(與在伺服器根據所使用的密碼合作) 用戶端可以建立 pre-master 工作階段的密碼加密與伺服器的公開金鑰 (取自伺服器的憑證在步驟 2 中傳送,) 然後傳送到伺服器的 [加密的 pre-master 機密。
  5. 如果伺服器已要求用戶端驗證 (選擇性步驟中信號交換),在用戶端也會簽署另一段是此信號交換所特有的和已知用戶端和伺服器的資料。在這種情況下用戶端會傳送帶正負號的資料,並且用戶端自己的憑證以及加密的 pre-master 機密的伺服器。
  6. 如果在伺服器要求用戶端驗證,伺服器嘗試驗證用戶端 (如需詳細資訊,請參閱用戶端驗證)。如果無法驗證用戶端,工作階段結束。如果用戶端可以成功地驗證,伺服器使用其私密金鑰來解密 pre-master 密鑰,並再執行一系列的步驟 (用戶端也會執行,從相同的 pre-master 秘密開始) 來產生主要密碼。
  7. 用戶端和伺服器使用主要密碼來產生工作階段索引鍵是用來加密和解密在 SSL 工作階段期間交換資訊,並確認其完整性的對稱式金鑰 (也就是為偵測它已傳送的時間與時間之間資料的任何變更它收到透過 SSL 連線)。
  8. 用戶端傳送訊息至通知它未來來自用戶端的郵件會以工作階段金鑰加密的伺服器。然後,它會傳送一個個別的 (加密) 訊息,指出完成信號交換的用戶端部分。
  9. 伺服器會傳送訊息,通知它未來來自伺服器的郵件會以工作階段金鑰加密用戶端。然後,它會傳送一個個別的 (加密) 訊息,指出完成信號交換的伺服器部分。
  10. SSL 信號交換現在已經完成,並在工作階段開始。 用戶端和伺服器使用工作階段金鑰來加密和解密它們互相傳送的資料,並驗證其完整性。
  11. 這是正常的作業狀況的安全通道。重新在任何時候,因為到內部或外部刺激 (自動化或使用者互動) 任一邊可能交涉該連線在這種情況下重複此程序。
回此頁最上方

?考

257587? (http://support.microsoft.com/kb/257587/EN-US/ ) 伺服器驗證程序的 SSL 信號交換時的說明
Microsoft 網際網路資訊伺服器 4.0 資源套件
Microsoft Windows NT 選項套件說明文件
Microsoft 網際網路資訊服務 5.0 資源指南
Microsoft 網際網路資訊服務 5.0 說明文件
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 7.0
回此頁最上方
關鍵字:?
kbmt kbinfo KB257591 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:257591? (http://support.microsoft.com/kb/257591/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。