额外的客户端软件。
2协议安全机制
SSL协议实现的安全机制包括：
ll
数据传输的机密性：利用对称密钥算法对传输的数据进行加密。身份验证机制：基于证书利用数字签名方法对服务器和客户端进行身份验证，其中客户端的身份验
证是可选的。
l
消息完整性验证：消息传输过程中使用MAC算法来检验消息的完整性。
21数据传输的机密性
网络上传输的数据很容易被非法用户窃取，SSL采用在通信双方之间建立加密通道的方法保证数据传输的机密性。所谓加密通道，是指发送方在发送数据前，使用加密算法和加密密钥对数据进行加密，然后将数据发送给对方；接收方接收到数据后，利用解密算法和解密密钥从密文中获取明文。没有解密密钥的第三方，无法将密文恢复为明文，从而保证数据传输的机密性。加解密算法分为两类：
ll
对称密钥算法：数据加密和解密时使用相同的密钥。非对称密钥算法：数据加密和解密时使用不同的密钥，一个是公开的公钥，一个是由用户秘密保存
的私钥。利用公钥（或私钥）加密的数据只能用相应的私钥（或公钥）才能解密。与非对称密钥算法相比，对称密钥算法具有计算速度快的优点，通常用于对大量信息进行加密（如对所有报文加密）；而非对称密钥算法，一般用于数字签名和对较少的信息进行加密。SSL加密通道上的数据加解密使用对称密钥算法，目前主要支持的算法有DES、3DES、AES等，这些算法都可以有效地防止交互数据被窃听。对称密钥算法要求解密密钥和加密密钥完全一致。因此，利用对称密钥算法加密传输数据之前，需要在通信两端部署相同的密钥。对称密钥的部署方法请参见“24利用非对称密钥算法保证密钥本身的安全”。
22身份验证机制
f电子商务和网上银行等应用中必须保证要登录的Web服务器是真实的，以免重要信息被非法窃取。SSL利用数字签名来验证通信对端的身份。非对称密钥算法可以用来实现数字签名。由于通过私钥加密后的数据只能利用对应的公钥进行解密，因此根据解密是否成功，就可以判断发送者的身份，如同发送者对数据进行了“签名”。例如，Alice使用自己的私钥对一段固定的信息加密后发给Bob，Bob利用Alice的公钥解密，如果解密结果与固定信息相同，那么就能够确认信息的发送者为Alice，这个过程就称为数字签名。SSL客户端必须验证SSL服务器的身份，SSL服务器是否验证SSL客户端的身份，则由SSL服务器决定。SSL客户端和SSL服务器的身份验证过程，请参见“32SSL握手过程”。使用数字签名验证身份时，需要确保被验证者的公r