版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、552004.100引言目前,隨著Internet的迅速發(fā)展,信息安全引起了越來(lái)越多人的注意。特別是近年來(lái)電子商務(wù)、電子政務(wù)發(fā)展,如何保證傳輸數(shù)據(jù)的保密性、完整性已成為急需解決的問(wèn)題。安全套接字層協(xié)議(SecuritySocketLayerProtocolSSL)是Internet上進(jìn)行保密通信的一個(gè)安全協(xié)議,它的使用,保證了網(wǎng)上信息傳輸?shù)谋C苄院屯暾?。下面,?duì)SSL協(xié)議作一簡(jiǎn)單闡述。1SSL協(xié)議概述安全套接層協(xié)議(SecurityS
2、ocketLayer,SSL)是由網(wǎng)景(Netscape)公司提出的基于公鑰密碼體制的網(wǎng)絡(luò)安全協(xié)議,用于在瀏覽器軟件(例如InternetExplorer、NetscapeNavigator)和Web服務(wù)器之間建立一條安全通道,實(shí)現(xiàn)Internet上信息傳送的保密性。它包括服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上數(shù)據(jù)保密性。現(xiàn)在一些對(duì)保密性要求較高的電子商務(wù)、電子事務(wù)等系統(tǒng)大多數(shù)是以SSL協(xié)議為基礎(chǔ)建立的,S
3、SL協(xié)議已成為Web安全方面的工業(yè)標(biāo)準(zhǔn)。目前廣泛采用的是SSLv3。SSL提供的面向連接的安全性具有以下在三個(gè)基本性質(zhì):(1)連接是秘密的。在初始握手定義會(huì)話密鑰后,用對(duì)稱密碼(例如用DES)加密數(shù)據(jù)。(2)連接是可認(rèn)證的。實(shí)體的身份能夠用公鑰密碼(例如RSA、DSS等)進(jìn)行認(rèn)證。(3)連接是可靠的。消息傳輸包括利用安全Hash函數(shù)產(chǎn)生的帶密鑰的MAC(MessageAuthenticationCode,報(bào)文鑒別碼)。2SSL協(xié)議的組成
4、與結(jié)構(gòu)SSL協(xié)議由兩層組成,分別是握手協(xié)議層和記錄協(xié)議層,見(jiàn)下圖。主要包括記錄協(xié)議以及建立在記錄協(xié)議之上的握手協(xié)議、警告協(xié)議、更改密碼說(shuō)明協(xié)議和應(yīng)用數(shù)據(jù)協(xié)議等對(duì)會(huì)話和管理提供支持的子協(xié)議。在每一層,消息可以包括長(zhǎng)度、描述和內(nèi)容字段。SSL發(fā)出消息,先把數(shù)據(jù)分為可管理的塊,壓縮、使用MAC和加密并發(fā)出加密的結(jié)果。接受消息就解密、驗(yàn)證、解壓和重組,再把結(jié)果發(fā)往更高一層的客戶。下面分別說(shuō)明幾種協(xié)議:記錄協(xié)議:具體實(shí)現(xiàn)壓縮解壓縮、加密解密、計(jì)算
5、MAC等與安全有關(guān)的操作。更改密碼說(shuō)明協(xié)議:此協(xié)議由一條消息組成,可由客戶端或服務(wù)器發(fā)送,通知接收方后面的記錄將被新協(xié)商的密碼說(shuō)明和密鑰保護(hù)。接收方得此消息后,立即指示記錄層把即將讀狀態(tài)變成當(dāng)前讀狀態(tài),發(fā)送方發(fā)送此消息后,應(yīng)立即指示記錄層把即將寫狀態(tài)變成當(dāng)前寫狀態(tài)。警告協(xié)議:警告消息傳達(dá)消息的嚴(yán)重性并描述警告。一個(gè)致命的警告將立即終止連接。與其他消息一樣,警告消息在當(dāng)前狀態(tài)下被加密和壓縮。警告消息有以下幾種:關(guān)閉通知消息、意外消息、錯(cuò)誤
6、記錄MAC消息、解壓失敗消息、握手失敗消息、無(wú)證書(shū)消息、錯(cuò)誤證書(shū)消息、不支持的證書(shū)消息、證書(shū)撤回消息、證書(shū)期滿消息、證書(shū)未知消息、非法參數(shù)消息等。應(yīng)用數(shù)據(jù)協(xié)議:把應(yīng)用數(shù)據(jù)直接傳遞給記錄協(xié)議。握手協(xié)議:SSL握手協(xié)議是用來(lái)在客戶端和服務(wù)器端傳輸應(yīng)用數(shù)據(jù)之前建立安全郭正榮周城重慶通信學(xué)院電子工程系重慶400035作者簡(jiǎn)介:郭正榮(1979),男,解放軍重慶通信學(xué)院野戰(zhàn)指揮自動(dòng)化研究生,研究方向:野戰(zhàn)指揮自動(dòng)化、網(wǎng)絡(luò)安全理論及應(yīng)用。周城(19
7、63),男,重慶通信學(xué)院電子工程系副教授。摘要:本文首先介紹了SSL協(xié)議的組成與結(jié)構(gòu),分析了SSL協(xié)議的具體握手過(guò)程,討論了幾種常見(jiàn)的SSL協(xié)議應(yīng)用模式。然后通過(guò)某個(gè)應(yīng)用為例,介紹了Web服務(wù)器證書(shū)的安裝與建立SSL安全通道的具體步驟。最后,指出了SSL協(xié)議的一些缺點(diǎn)和局限性。關(guān)鍵詞:SSL協(xié)議;握手協(xié)議;記錄協(xié)議;數(shù)字證書(shū)SSL協(xié)議工作過(guò)程及其應(yīng)用通信安全圖1SSL協(xié)議在TCPIP中的位置572004.105Web服務(wù)器證書(shū)的安裝與S
8、SL安全通道的開(kāi)放下面以“重慶輕軌工程申報(bào)表審批流程跟蹤公示系統(tǒng)”為例,介紹Web服務(wù)器證書(shū)安裝與建立SSL安全通道的具體步驟?!爸貞c輕軌工程申報(bào)表審批流程跟蹤公示系統(tǒng)”是重慶市建委信息中心設(shè)計(jì)開(kāi)發(fā)的網(wǎng)上信息化項(xiàng)目,重慶市CA中心提供保障系統(tǒng)信息安全所需的數(shù)字證書(shū)及其相關(guān)技術(shù)。由于系統(tǒng)使用了數(shù)字證書(shū)及相關(guān)技術(shù),所以審批方可以確認(rèn)申報(bào)方的身份。同時(shí)由于申報(bào)文件數(shù)據(jù)屬于敏感信息,采用數(shù)字證書(shū)的加密技術(shù),利用SSL安全套接層協(xié)議對(duì)傳輸信息進(jìn)行
9、加密,從而保證了申報(bào)文件的保密性和完整性。5.1生成服務(wù)器證書(shū)請(qǐng)求文件(1)單擊開(kāi)始->程序->管理工具->Internet服務(wù)管理器,進(jìn)入Internet信息服務(wù)界面,右鍵點(diǎn)擊“默認(rèn)Web站點(diǎn)”,選屬性項(xiàng),然后點(diǎn)擊“目錄安全性”頁(yè)面,單擊“服務(wù)器證書(shū)”項(xiàng);(2)選擇“創(chuàng)建一個(gè)新證書(shū)”單擊“下一步”;(3)輸入要申請(qǐng)的證書(shū)的名稱并選擇加密密鑰的位長(zhǎng);(4)以后依次填寫所在組織、站點(diǎn)和有關(guān)地理信息的信息,(5)單擊“完成”,服務(wù)器的證書(shū)請(qǐng)
10、求就生成了,默認(rèn)的請(qǐng)求代碼是放在certreq.txt內(nèi),打開(kāi)該文件,即可看到生成的請(qǐng)求代碼,如圖7所示。圖7生成的請(qǐng)求代碼5.2申請(qǐng)服務(wù)器證書(shū)將該請(qǐng)求文件作為附件形式發(fā)送至重慶市CA中心,并在郵件內(nèi)附上生成請(qǐng)求時(shí)所填寫的相關(guān)信息,如:組織、組織部門、公用名稱、省、市、自治區(qū)等。等待CA中心對(duì)證書(shū)申請(qǐng)進(jìn)行批準(zhǔn)。5.3發(fā)布服務(wù)器證書(shū)(1)CA中心收到用戶的請(qǐng)求文件后,在對(duì)用戶身份審核通過(guò)后,進(jìn)入證書(shū)簽發(fā)服務(wù)器的證書(shū)申請(qǐng)頁(yè)面,添入與用戶申請(qǐng)
11、時(shí)相對(duì)應(yīng)的信息(如圖8)。圖8證書(shū)申請(qǐng)頁(yè)面提交后得到用戶參考碼和用戶授權(quán)碼(如圖9)。圖9用戶參考碼和用戶授權(quán)碼進(jìn)入下載頁(yè)面后輸入兩次確認(rèn)密碼,并選擇PKCS10申請(qǐng)書(shū)(如圖10)。然后將請(qǐng)求文件內(nèi)的代碼拷貝到申請(qǐng)框內(nèi)(如圖11),點(diǎn)擊下載,就可以得到由重慶CA中心頒發(fā)的后綴名為.cer的批準(zhǔn)證書(shū)文件。圖10下載證書(shū)步驟1圖11下載證書(shū)步驟2(2)用戶從重慶CA中心那里得到一個(gè)后綴名為.cer的批準(zhǔn)文件后,再打開(kāi)Internet服務(wù)管理
12、器,進(jìn)入Internet信息服務(wù)界面,右鍵點(diǎn)擊“默認(rèn)Web站點(diǎn)”,選屬性項(xiàng),然后點(diǎn)擊“目錄安全性”頁(yè)面,單擊“服務(wù)器證書(shū)”項(xiàng),點(diǎn)擊下一步;(3)選擇“處理掛起的請(qǐng)求并安裝證書(shū)”,單擊“下一步”;(4)點(diǎn)擊“瀏覽”,打開(kāi)得到的批準(zhǔn)文件,單擊“下一步”,會(huì)看到生成證書(shū)摘要;(5)單擊“下一步”、“完成”。至此,服務(wù)器證書(shū)安全成功,單擊“查看證書(shū)”項(xiàng),可以查看當(dāng)前的服務(wù)器證書(shū)。(6)回到“目錄安全性”頁(yè)面,單擊“編輯項(xiàng)”,選中“申請(qǐng)安全通道(
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 工作過(guò)程圖.dwg
- 工作過(guò)程圖.dwg
- 工作過(guò)程圖.dwg
- 工作過(guò)程圖.dwg
- 應(yīng)用文的寫作過(guò)程
- 基于工作過(guò)程的應(yīng)用類課程設(shè)計(jì)模式研究
- 氣囊工作過(guò)程仿真研究.pdf
- 液壓挖坑機(jī)的研制及其關(guān)鍵部件工作過(guò)程仿真.pdf
- 淺析步進(jìn)電機(jī)原理及工作過(guò)程
- 前廳接待工作過(guò)程.doc
- 畢業(yè)設(shè)計(jì)工作過(guò)程記錄
- 前廳接待工作過(guò)程.doc
- 以工作過(guò)程建立課程體系
- 基于工作過(guò)程的《計(jì)算機(jī)應(yīng)用基礎(chǔ)》教學(xué)方法改革
- 圖標(biāo)制作過(guò)程
- 基于工作過(guò)程的課程教學(xué)改革
- 精確緩沖工作過(guò)程中溫升及其動(dòng)態(tài)特性分析.pdf
- 內(nèi)燃機(jī)工作過(guò)程數(shù)值模擬.pdf
- 基于工作過(guò)程導(dǎo)向的刑訴法課程改革
- 控制系統(tǒng)的工作過(guò)程與方式
評(píng)論
0/150
提交評(píng)論