linux openssl基礎(chǔ)介紹

2019-11-02 16:42:10

字體：大中小

供稿：網(wǎng)友

現(xiàn)行網(wǎng)上銀行和電子商務(wù)等大型的網(wǎng)上交易系統(tǒng)普遍采用HTTP和SSL相結(jié)合的方式。服務(wù)器端采用支持SSL的Web服務(wù)器，用戶端采用支持SSL的瀏覽器實現(xiàn)安全通信。

SSL是Secure Socket Layer（安全套接層協(xié)議）的縮寫，可以在Internet上提供秘密性傳輸。Netscape公司在推出第一個Web瀏覽器的同時，提出了SSL協(xié)議標準,目前已有3.0版本。SSL采用公開密鑰技術(shù)。其目標是保證兩個應(yīng)用間通信的保密性和可靠性,可在服務(wù)器端和用戶端同時實現(xiàn)支持。目前，利用公開密鑰技術(shù)的SSL協(xié)議，已成為Internet上保密通訊的工業(yè)標準。本文著重在SSL協(xié)議和SSL程序設(shè)計兩方面談?wù)勛髡邔SL的理解。

SSL協(xié)議初步介紹

安全套接層協(xié)議能使用戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽，并且始終對服務(wù)器進行認證，還可選擇對用戶進行認證。SSL協(xié)議要求建立在可靠的傳輸層協(xié)議(TCP)之上。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨立無關(guān)的，高層的應(yīng)用層協(xié)議(例如：HTTP，F(xiàn)TP，TELNET等)能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商及服務(wù)器認證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。

通過以上敘述，SSL協(xié)議提供的安全信道有以下三個特性：

1.數(shù)據(jù)的保密性

信息加密就是把明碼的輸入文件用加密算法轉(zhuǎn)換成加密的文件以實現(xiàn)數(shù)據(jù)的保密。加密的過程需要用到密匙來加密數(shù)據(jù)然后再解密。沒有了密鑰，就無法解開加密的數(shù)據(jù)。數(shù)據(jù)加密之后，只有密匙要用一個安全的方法傳送。加密過的數(shù)據(jù)可以公開地傳送。

2.數(shù)據(jù)的一致性

加密也能保證數(shù)據(jù)的一致性。例如:消息驗證碼（MAC），能夠校驗用戶提供的加密信息，接收者可以用MAC來校驗加密數(shù)據(jù)，保證數(shù)據(jù)在傳輸過程中沒有被篡改過。

3.安全驗證

加密的另外一個用途是用來作為個人的標識，用戶的密匙可以作為他的安全驗證的標識。

SSL是利用公開密鑰的加密技術(shù)（RSA）來作為用戶端與服務(wù)器端在傳送機密資料時的加密通訊協(xié)定。目前，大部分的Web 服務(wù)器及瀏覽器都廣泛支持SSL 技術(shù)。當瀏覽器試圖連接一個具有SSL認證加密的服務(wù)器時,就會喚醒一個SSL會話,瀏覽器檢查認證,必須具備下面三個條件:

1）有一個權(quán)威機構(gòu)發(fā)放證書，當然可以創(chuàng)建自我簽訂的證書（x509 結(jié)構(gòu)）。

2）證書不能過期。

3）證書是屬于它所連接的服務(wù)器的。

只有全部具備了這三個條件,瀏覽器才能成功完成認證。通過這三個條件,用戶能確認其瀏覽器連接到正確的服務(wù)器,而不是連接到一些想盜取用戶密碼等重要信息的虛假的服務(wù)器上。

在當今的電子商務(wù)中還有一項被廣泛使用的安全協(xié)議是SET協(xié)議。SET(Secure Electronic Transaction，安全電子交易)協(xié)議是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。SET能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。SET交易分三個階段進行:用戶向商家購物并確定支付;商家與銀行核實;銀行向商家支付貨款。每個階段都涉及到RSA對數(shù)據(jù)加密，以及RSA數(shù)字簽名。使用SET協(xié)議，在一次交易中，要完成多次加密與解密操作，故有很高的安全性，但SET協(xié)議比SSL協(xié)議復(fù)雜，商家和銀行都需要改造系統(tǒng)以實現(xiàn)互操作。

在Linux 下，比較流行支持SSL認證的是OpenSSL服務(wù)器。OpenSSL項目是一個合作的項目，開發(fā)一個健壯的、商業(yè)等級的、完整的開放源代碼的工具包，用強大的加密算法來實現(xiàn)安全的Socket層（Secure Sockets Layer，SSL v2/v3）和傳輸層的安全性（Transport Layer Security，TLS v1）。這個項目是由全世界的志愿者管理和開發(fā)OpenSSL工具包和相關(guān)文檔。

上一篇：linux 安裝pypy , virtualenv及使用方法

下一篇：Linux Apache Web 服務(wù)器(續(xù)三)