用J2SE 1.4进行Internet安全编程(上)(1)

概览 SSL

SSL 协议是 Netscape 在 1994 年开发出来的，以允许服务端 (典型的如浏览器) 和 HTTP 服务器之间能通过安全的连接来通信。它加密、来源验证、数据完整性等支持，以保护在不安全的公众网络上交换的数据。SSL 有这样一些版本：SSL 2.0 有安全隐患，现在已经几本上不用了；SSL 3.0 应用则比较广泛；最后，由 SSL 3.0 改进而来的传输层加密 (Transport Layer Security, TLS) 已经成为 Internet 标准并应用于几乎所有新近的软件中。

在数据传播之前，加密技术通过将数据转变成看起来毫无意义的内容来保护数据不被非法使用。其过程是：数据在一端 (客户端或者服务器端) 被加密，传输，再在另一端解密。

来源认证是验证数据发送者身份的一种办法。浏览器或者其它客户端第一次尝试与网页服务器进行安全连接之上的通信时，服务器会将一套信任信息以证书的形式呈现出来。

证书由权威认证机构 (CA)——值得信赖的授权者发行和验证。一个证书描述一个人的公钥。一个签名的文档会作出如下保证：我证明文档中的这个公钥属于在该文档中命名的实体。签名(权威认证机构)。目前知名的权威认证机构有 Verisign，Entrust 和 Thawte 等。注意现在使用的 SSL/TLS 证书是 X.509 证书。

数据完整性就是要确保数据在传输过程中没有被改变。

SSL 和 TCP/IP 协议的层次

SSL 是名符其实的安全套接层。它的连接动作和 TCP 的连接类似，因此，你可以想象 SSL 连接就是安全的 TCP 连接，因为在协议层次图中 SSL 的位置正好在 TCP 之上而在应用层之下，如图 1 所示。注意到这点很重要。但是，SSL 不支持某些 TCP 的特性，比如频带外数据。

图 1： SSL 和 TCP/IP 协议的的层次

可交流的加密技术

SSL 的特性之一是为电子商务的事务提供可交流的加密技术和验证算法提供标准的方法。SSL 的开发者认识到不是所有人都会使用同一个客户端软件，从而不是所有客户端都会包括任何详细的加密算法。对于服务器也是同样。位于连接两端的的客户端和服务器在初始化“握手”的时候需要交流加密和解密算法(密码组)。如果它们没有足够的公用算法，连接尝试将会失败。

注意当 SSL 允许客户端和服务器端相互验证的时候，典型的作法是只有服务器端在 SSL 层上进行验证。客户端通常在应用层，通过 SSL 保护通道传送的密码来进行验证。这个模式常用于银行、股份交易和其它的安全网络应用中。

SSL 完全“握手”协议如图 2 所示。它展示了在 SSL “握手”过程中的信息交换顺序。

图 2：SSL “握手”协议

这些消息的意思如下：

1. ClientHello：发送信息到服务器的客户端，这些信息如 SSL 协议版本、会话 ID 和密码组信息，如加密算法和能支持的密匙的大小。

2. ServerHello：选择最好密码组的服务器并发送这个消息给客户端。密码组包括客户端和服务器支持。

3. Certificate：服务器将包含其公钥的证书发送给客户端。这个消息是可选的，在服务器请求验证的时候会需要它。换句话说，证书用于向客户端确认服务器的身分。

4. Certificate Request: 这个消息仅在服务器请求客户端验证它自身的时候发送。多数电子商务应用不需要客户端对自身进行。

5. Server Key Exchange：如果证书包含了服务器的公钥不足以进行密匙交换，则发送该消息。

6. ServerHelloDone：这个消息通知客户端，服务器已经完成了交流过程的初始化。

7. Certificate：仅当服务器请求客户端对自己进行验证的时候发送。

8. Client Key Exchage：客户端产生一个密匙与服务器共享。如果使用 Rivest-Shamir-Adelman (RSA) 加密算法，客户端将使用服务器的公钥将密匙加密之后再发送给服务器。服务器使用自己的私钥或者密钥对消息进行解密以得到共享的密匙。现在，客户端和服务器共享着一个已经安全分发的密匙。

9. Certificate Verify：如果服务器请求验证客户端，这个消息允许服务器完成验证过程。

10. Change Cipher Spec：客户端要求服务器使用加密模式。

11. Finished：客户端告诉服务器它已经准备好安全通信了。

12. Change Cipher Spec：服务器要求客户端使用加密模式。

13. Finished：服务器告诉客户端它已经准备好安全通信了。这是 SSL “握手”结果的标志。

上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] 下一页

复制本页网址和标题，发送给你QQ/Msn的好友一起分享

上一篇:用J2SE 1.4进行Internet安全编程(下)(1)

下一篇:论J2EE程序员的武功修为