|
用 Java 2 标准版本 (J2SE) 1.4 进行 Internet 安全编程(2) SSL 和 TCP/IP 协议的层次 SSL 是名符其实的安全套接层。它的连接动作和 TCP 的连接类似,因此,你可以想象 SSL 连接就是安全的 TCP 连接,因为在协议层次图中 SSL 的位置正好在 TCP 之上而在应用层之下,如图 1 所示。注意到这点很重要。但是,SSL 不支持某些 TCP 的特性,比如频带外数据。  CSdn.net/develop/article/images/15963_fig1.GIF" border=0>
图 1: SSL 和 TCP/IP 协议的的层次
可交流的加密技术
SSL 的特性之一是为电子商务的事务提供可交流的加密技术和验证算法提供标准的方法。SSL 的开发者认识到不是所有人都会使用同一个客户端软件,从而不是所有客户端都会包括任何详细的加密算法。对于服务器也是同样。位于连接两端的的客户端和服务器在初始化“握手”的时候需要交流加密和解密算法(密码组)。如果它们没有足够的公用算法,连接尝试将会失败。 注意当 SSL 允许客户端和服务器端相互验证的时候,典型的作法是只有服务器端在 SSL 层上进行验证。客户端通常在应用层,通过 SSL 保护通道传送的密码来进行验证。这个模式常用于银行、股份交易和其它的安全网络应用中。 SSL 完全“握手”协议如图 2 所示。它展示了在 SSL “握手”过程中的信息交换顺序。 CSdn.net/develop/article/images/15963_fig2.GIF" border=0>
图 2:SSL “握手”协议 这些消息的意思如下: - ClientHello:发送信息到服务器的客户端,这些信息如 SSL 协议版本、会话 ID 和密码组信息,如加密算法和能支持的密匙的大小。
- ServerHello:选择最好密码组的服务器并发送这个消息给客户端。密码组包括客户端和服务器支持。
- Certificate:服务器将包含其公钥的证书发送给客户端。这个消息是可选的,在服务器请求验证的时候会需要它。换句话说,证书用于向客户端确认服务器的身分。
- Certificate Request: 这个消息仅在服务器请求客户端验证它自身的时候发送。多数电子商务应用不需要客户端对自身进行。
- Server Key Exchange:如果证书包含了服务器的公钥不足以进行密匙交换,则发送该消息。
- ServerHelloDone:这个消息通知客户端,服务器已经完成了交流过程的初始化。
- Certificate:仅当服务器请求客户端对自己进行验证的时候发送。
- Client Key Exchage:客户端产生一个密匙与服务器共享。如果使用 Rivest-Shamir-Adelman (RSA) 加密算法,客户端将使用服务器的公钥将密匙加密之后再发送给服务器。服务器使用自己的私钥或者密钥对消息进行解密以得到共享的密匙。现在,客户端和服务器共享着一个已经安全分发的密匙。
- Certificate Verify:如果服务器请求验证客户端,这个消息允许服务器完成验证过程。
- Change Cipher Spec:客户端要求服务器使用加密模式。
- Finished:客户端告诉服务器它已经准备好安全通信了。
- Change Cipher Spec:服务器要求客户端使用加密模式。
- Finished:服务器告诉客户端它已经准备好安全通信了。这是 SSL “握手”结果的标志。
- Encrypted Data:客户端和服务器现在可以开发在安全通信通道上进行加密信息的交流了。
JSSEJava 安全套接扩展 (JSSE) 提供一个框架及一个 100% 纯 Java 实现的 SSL 和 TLS 协议。它提供了数据加密、服务器验证、消息完成性和可选的客户端验证等机制。JSSE 的引人之外就是将复杂的、根本的加密算法抽象化了,这样就降低了受到敏感或者危险的安全性攻击的风险。另外,由于它能将 SSL 无缝地结合在应用当然,使安全应用的开发变得非常简单。JSSE 框架可以支撑许多不同的安全通信协议,如 SSL 2.0 和 3.0 以及 TLS 1.0,但是 J2SE v1.4.1 只实现了 SSL 3.0 和 TLS 1.0。
| 
