SSL和数字证书的概念及Web应用Word版

SSL和数字证书的概念及Web应用陕西省数字证书认证中心推荐精选SSL和数字证书的概念及Web应用安全对于WEB的应用非常重要。无论是应用于金融、商业还是个人信息的交流，人们都希望能够知道他们是在和谁交流，这就是所谓的验证，人们也希望别人所收到的就是他们所寄出的，这就是所谓的完整性，另外他们还希望这样的信息即使被别人截获，也无法被破译，这就是所谓的机密。Secure Sockets Layer协议（即SSL）就提供了满足这些要求的一个解决方案。在这个附录中，我们将重点讨论SSL的概念、数字证书的内容以及通过SSL实现SSL的方案，而至于涉及到SSL实现的加密技术、邮件文摘等概念，在前面的正文中已经介绍过了，在这里就不多说了。一、简介因为在这里主要介绍SSL技术在Web的应用，我们假设读者都是熟悉Web，HTTP以及Web服务器技术的人员。而我们在后面的介绍中主要应用的是Apache服务器系统的SSL实现。SSL技术涉及到加密技术、邮件文摘和数字签名的技术，这三个技术分别可以用于实现机密性、完整性以及认证的功能。1数字证书我们在前面讲过，数字证书是用于在INTERNET上标识个人或者机构身份的一种技术手段，它通过由一些公认的权威机构所认证，从而可以保证其安全地被应用在各种场合。一份数字证书包括了公钥、个人、服务器或者其它机构的身份信息（称之为主题，如下格式所示）：Subject: Distinguished Name, Public Key Issuer: Distinguished Name, Signature Period of Validity: Not Before Date, Not After Date Administrative Information: Version, Serial Number Extended Information: Basic Contraints, Netscape Flags, etc.主题的内容包括标识信息（唯一名称）、公匙，当然也包括签发该证书的证书认证机构以及证书有效时间，同时也包括另外一些信息，如序列号等。唯一名称用特定的格式标识一个身份，此特定的格式由X.509（ftp:/ftp.bull.com/pub/ OSIdirectory/ITUnov96/X.509/97x509final.doc）标准所确定，它由几个字段组成，其格式如下所示：推荐精选字段名：Common Name 缩写：CN 内容：需要认证的名称示例：CN=Joe Average 字段名：Organization or Company 缩写：O 内容：该名称所属的机构示例：O=Snake Oil, Ltd. 字段名：Organizational Unit 缩写：OU 内容：机构的单元示例：OU=Research Institute 字段名：City/Locality 缩写：L 内容：所居住的城市示例：L=Snake City 字段名：State/Province 缩写：ST 内容：省份或者州示例：ST=Desert 推荐精选字段名：Country 缩写：C 内容：国家名(ISO 号)示例：C=XZ 证书权威机构可以定义这些字段中哪些是必需的，哪些是可选的。证书的二进制格式使用ASN.1（X.208标准：ftp:/ftp.neda.com/pub/itu/x.series/x208.ps）格式。该格式定义了如何定义信息、编码规则，证书的二进制的编码使用基于Basic Encoding Rules (BER) 基础上的Distinguished Encoding（DER），对于某些不能传送二进制编码的系统，则使用base64编码，其版本为PEM编码。一个用PEM编码方式的证书如下：-BEGIN CERTIFICATE-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推荐精选2q2QoyulCgSzHbEGmi0EsdkPfg6mp0penssIFePYNI+/8u9HT4LuKMJX15hxBam7dUHzICxBVC1lnHyYGjDuAMhe396lYAn8bCld1/L4NMGBCQ=-END CERTIFICATE-数字认证机构用于确认一个密钥对的私钥的拥有者。数字认证机构也可以为另外一个数字认证机构颁发证书，这就形成了证书链。当然，或许这个时候你会问，是否可以不需要别人认证而建立自己的证书认证机构呢？可以，这就是建立一个拥有“根”级别的证书认证机构。当然，我们在这里首先假设你所拥有的机构具有现实社会的权威性，否则别人是不会相信你的。这样的数字签证就是“自签”，证书的主题内容和签发者一致。2SSL简介SSL是一个可以在连接性的协议（例如TCP/IP）以及应用层协议（如HTTP）之间的协议。SSL可以通过双方进行认证、数字签名的使用以及加密来保障安全通信。SSL有以下几个版本：SSL v2.0 Vendor Standard (Netscape Corp.)（http:/www.netscape.com/eng/security/SSL_2.html）：适用于NS Navigator 1.x/2.x，MS IE 3.x和Lynx/2.8+OpenSSL。SSL v3.0 Expired Internet Draft (Netscape Corp.) 改进版本，防止了一些安全漏洞，加上了一些非RSA的加密手段，并支持证书链，支持NS Navigator 2.x/3.x/4.x，MS IE 3.x/4.x和Lynx/2.8+OpenSSL。TLS v1.0 Proposed Internet Standard (IETF)（ftp:/ftp.ietf.org/internet-drafts/draft-ietf-tls-protocol-06.txt）SSL 3.0的改进版本，将MAC协议升级为HMAC, 支持Lynx/2.8+OpenSSL SSL连接可以通过在客户端和服务器端之间交流一些步骤建立起来，如图F1-1所示。推荐精选图F1-1 建立SSL连接的步骤在建立SSL连接的时候主要需要以下几个步骤：(1) 确认在数据传输过程中的加密手段。(2) 建立并共享在客户端和服务器端的密匙。(3) 验证服务器（可选）。(4) 验证客户端（可选）。其中第一步加密手段确认，允许客户端和服务器端选择一种双方都支持的加密包，SSL3.0协议定义了31种加密包。一个加密包由以下几个部分组成：(1) 密匙交换方法，如RSA密匙交换，Diffie-Hellman密匙交换等。(2) 数据传送的加密手段，如流加密，RC4 with 40-bit keys，RC4 with 128-bit keys，CBC Block Ciphers，RC2 with 40 bit keys，DES40, DES, 3DES_EDE，Idea和Fortezza 等。(3) 建立邮件认证码（Message Authentication Code ，MAC）的邮件文摘，可以使用MD5（128位哈希），Secure Hash Algorithm (SHA)等。其中具体的方法可以参考有关的协议。SSL协议的具体架构如图F1-2所示。SSL Record Protocol用于控制在客户端和服务器端之间的数据传送。具体的传送如图F1-3所示。推荐精选当我们了解了SSL概念之后，我们就可以在HTTP通信中，即在浏览器和服务器之间建立SSL连接，在这个时候，我们使用https而不是http，并且使用一个另外的端口（默认为443），浏览器将维护客户端的私匙，并且在连接建立的时候显示其标识。图2 SSL协议堆栈图F1-3 数据控制推荐精选二、应用SSL在网络的实际应用中使用SSL的手段很多，我们甚至可以根据一些现有的库编写自己的SSL一贯用程序，但是在实际应用中我们通常使用现有的商业软件或者是一些自由软件。在这里，有RSA公匙软件包可用。(1) RSARef（RSA Reference）（http:/www.consensus.com/RSAREF/rsaref_toc.html）,主要被用于自由软件和非商业软件领域。(2) BSAFE3.0（http:/www.rsa.com/rsa/prodspec/bsafe/bsafe_3_0_f.html）：RSARef的商业应用。而我们所要介绍的SSLeay就是SSL应用的一个优秀的自由软件包，它提供了一种廉价的应用SSL的手段。1安装SSLeay软件包SSLeay由Eric Young （eaycryptsoft.com）和Tim Hudson（tjhcryptsoft.com）开发，在INTERNET上可以获得的最新版本：ftp:/ftp.psy.uq.oz.au/pub/Crypto/SSL/SSLeay-x.x.x.tar.gz，在http:/www.psy.uq.oz.au/ftp/Crypto可以获取相关的文档。当下载了文档之后，首先当然是解开该软件包，形成一个安装目录。安装的步骤如下：(1) 如果运行在Wi