現(xiàn)行網(wǎng)上銀行和電子商務等大型的網(wǎng)上交易系統(tǒng)普遍采用HTTP和SSL相結(jié)合的方式。服務器端采用支持SSL的Web服務器，用戶端采用支持SSL的瀏覽器實現(xiàn)安全通信。 
    SSL是Secure Socket Layer（安全套接層協(xié)議）的縮寫，可以在Internet上提供秘密性傳輸。Netscape公司在推出第一個Web瀏覽器的同時，提出了SSL協(xié)議標準,目前已有3.0版本。SSL采用公開密鑰技術(shù)。其目標是保證兩個應用間通信的保密性和可靠性,可在服務器端和用戶端同時實現(xiàn)支持。目前，利用公開密鑰技術(shù)的SSL協(xié)議，已成為Internet上保密通訊的工業(yè)標準。本文著重在SSL協(xié)議和SSL程序設計兩方面談談作者對SSL的理解。 
SSL協(xié)議初步介紹 
    安全套接層協(xié)議能使用戶/服務器應用之間的通信不被攻擊者竊聽，并且始終對服務器進行認證，還可選擇對用戶進行認證。SSL協(xié)議要求建立在可靠的傳輸層協(xié)議(TCP)之上。SSL協(xié)議的優(yōu)勢在于它是與應用層協(xié)議獨立無關(guān)的，高層的應用層協(xié)議(例如：HTTP，F(xiàn)TP，TELNET等)能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商及服務器認證工作。在此之后應用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。 
通過以上敘述，SSL協(xié)議提供的安全信道有以下三個特性： 
1.數(shù)據(jù)的保密性 
信息加密就是把明碼的輸入文件用加密算法轉(zhuǎn)換成加密的文件以實現(xiàn)數(shù)據(jù)的保密。加密的過程需要用到密匙來加密數(shù)據(jù)然后再解密。沒有了密鑰，就無法解開加密的數(shù)據(jù)。數(shù)據(jù)加密之后，只有密匙要用一個安全的方法傳送。加密過的數(shù)據(jù)可以公開地傳送。 
2.數(shù)據(jù)的一致性 
加密也能保證數(shù)據(jù)的一致性。例如:消息驗證碼（MAC），能夠校驗用戶提供的加密信息，接收者可以用MAC來校驗加密數(shù)據(jù)，保證數(shù)據(jù)在傳輸過程中沒有被篡改過。 
3.安全驗證 
加密的另外一個用途是用來作為個人的標識，用戶的密匙可以作為他的安全驗證的標識。 
    SSL是利用公開密鑰的加密技術(shù)（RSA）來作為用戶端與服務器端在傳送機密資料時的加密通訊協(xié)定。目前，大部分的Web 服務器及瀏覽器都廣泛支持SSL 技術(shù)。當瀏覽器試圖連接一個具有SSL認證加密的服務器時,就會喚醒一個SSL會話,瀏覽器檢查認證,必須具備下面三個條件: 
1）有一個權(quán)威機構(gòu)發(fā)放證書，當然可以創(chuàng)建自我簽訂的證書（x509 結(jié)構(gòu)）。 
2）證書不能過期。 
3）證書是屬于它所連接的服務器的。 
    只有全部具備了這三個條件,瀏覽器才能成功完成認證。通過這三個條件,用戶能確認其瀏覽器連接到正確的服務器,而不是連接到一些想盜取用戶密碼等重要信息的虛假的服務器上。 
    在當今的電子商務中還有一項被廣泛使用的安全協(xié)議是SET協(xié)議。SET(Secure Electronic Transaction，安全電子交易)協(xié)議是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。SET能在電子交易環(huán)節(jié)上提供更大的信任度、更完整的交易信息、更高的安全性和更少受欺詐的可能性。SET交易分三個階段進行:用戶向商家購物并確定支付;商家與銀行核實;銀行向商家支付貨款。每個階段都涉及到RSA對數(shù)據(jù)加密，以及RSA數(shù)字簽名。使用SET協(xié)議，在一次交易中，要完成多次加密與解密操作，故有很高的安全性，但SET協(xié)議比SSL協(xié)議復雜，商家和銀行都需要改造系統(tǒng)以實現(xiàn)互操作。 
在Linux 下，比較流行支持SSL認證的是OpenSSL服務器。OpenSSL項目是一個合作的項目，開發(fā)一個健壯的、商業(yè)等級的、完整的開放源代碼的工具包，用強大的加密算法來實現(xiàn)安全的Socket層（Secure Sockets Layer，SSL v2/v3）和傳輸層的安全性（Transport Layer Security，TLS v1）。這個項目是由全世界的志愿者管理和開發(fā)OpenSSL工具包和相關(guān)文檔。 
     如何在Linux下配置OpenSSL服務器，首先從OpenSSL的主頁（）上下載openssl-version.tar.gz軟件包來編譯安裝，與Apache服務器配合可以建立支持SSL的Web服務器，并可以使用自我簽訂的證書做認證，關(guān)于如何編譯、安裝OpenSSL服務器，可以參考一下OpenSSL HOWTO文檔。 
SSL 程序設計初步介紹 
    SSL 通訊模型為標準的C/S 結(jié)構(gòu)，除了在 TCP 層之上進行傳輸之外，與一般的通訊沒有什么明顯的區(qū)別。在這里，我們主要介紹如何使用OpenSSL進行安全通訊的程序設計。關(guān)于OpenSSL 的一些詳細的信息請參考OpenSSL的官方主頁 。 
在使用OpenSSL前，必須先對OpenSSL 進行初始化，以下的三個函數(shù)任選其一: 
SSL_library_init(void); 
OpenSSL_add_ssl_algorithms(); 
SSLeay_add_ssl_algorithms(); 
事實上 后面的兩個函數(shù)只是第一個函數(shù)的宏。 
如果要使用OpenSSL的出錯信息，使用SSL_load_error_strings (void)進行錯誤信息的初始化。以后可以使用void ERR_print_errors_fp(FILE *fp) 打印SSL的錯誤信息。 
一次SSL連接會話一般要先申請一個SSL 環(huán)境，基本的過程是： 
1. SSL_METHOD* meth = TLSv1_client_method(); 創(chuàng)建本次會話連接所使用的協(xié)議，如果是客戶端可以使用 
SSL_METHOD* TLSv1_client_method(void); TLSv1.0 協(xié)議 
SSL_METHOD* SSLv2_client_method(void); SSLv2 協(xié)議 
SSL_METHOD* SSLv3_client_method(void); SSLv3 協(xié)議 
SSL_METHOD* SSLv23_client_method(void); SSLv2/v3 協(xié)議 
服務器同樣需要創(chuàng)建本次會話所使用的協(xié)議: 
SSL_METHOD *TLSv1_server_method(void); 
SSL_METHOD *SSLv2_server_method(void); 
SSL_METHOD *SSLv3_server_method(void); 
SSL_METHOD *SSLv23_server_method(void); 
需要注意的是客戶端和服務器需要使用相同的協(xié)議。 
2．申請SSL會話的環(huán)境 CTX，使用不同的協(xié)議進行會話，其環(huán)境也是不同的。申請SSL會話環(huán)境的OpenSSL函數(shù)是 
SSLK_CTX* SSL_CTX_new (SSL_METHOD*); 參數(shù)就是前面我們申請的 SSL通訊方式。返回當前的SSL 連接環(huán)境的指針。 
然后根據(jù)自己的需要設置CTX的屬性，典型的是設置SSL 握手階段證書的驗證方式和加載自己的證書。 
void SSL_CTX_set_verify (SSL_CTX* , int , int* (int, X509_STORE_CTX*) ) 
設置證書驗證的方式。 
第一個參數(shù)是當前的CTX 指針，第二個是驗證方式，如果是要驗證對方的話，就使用 SSL_VERIFY_PEER。不需要的話，使用SSL_VERIFY_NONE.一般情況下，客戶端需要驗證對方，而服務器不需要。第三個參數(shù)是處理驗證的回調(diào)函數(shù)，如果沒有特殊的需要，使用空指針就可以了。 
void SSL_CTX_load_verify_locations(SSL_CTX*, const char* , const char*); 
加載證書; 
第一個參數(shù)同上，參數(shù)二是證書文件的名稱，參數(shù)三是證書文件的路徑; 
int SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file, int type); 
加載本地的證書;type 指明證書文件的結(jié)構(gòu)類型;失敗返回-1 
int SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx, const char *file, int type); 
加載自己的私鑰；type 參數(shù)指明私鑰文件的結(jié)構(gòu)類型；失敗返回-1 
加載了證書和文件之后，就可以驗證私鑰和證書是否相符： 
BOOl SSL_CTX_check_private_key (SSL_CTX*); 
3．既然SSL 使用TCP 協(xié)議，當然需要把SSL attach 到已經(jīng)連接的套接字上了： 
SSL* SSL_new (SSL_CTX*); 申請一個SSL 套節(jié)字； 
int SSL_set_rfd (SSL*); 綁定只讀套接字 
int SSL_set_wfd (SSL*); 綁定只寫套接字 
int SSL_set_fd ( SSL*); 綁定讀寫套接字 
綁定成功返回 1， 失敗返回0; 
4． 接下來就是SSL 握手的動作了 
int SSL_connect (SSL*); 失敗返回 -1 
5. 握手成功之后，就可以進行通訊了，使用SSL_read 和SS_write 讀寫SSL 套接字代替?zhèn)鹘y(tǒng)的read 、write 
int SSL_read (SSL *ssl, char *buf, int num ); 
int SSL_write (SSL *ssl, char *buf, int num); 
如果是服務器，則使用 SSL_accept 代替?zhèn)鹘y(tǒng)的 accept 調(diào)用 
int SSL_accept(SSL *ssl); 
6. 通訊結(jié)束，需要釋放前面申請的 SSL資源 
int SSL_shutdown(SSL *ssl); 關(guān)閉SSL套接字; 
void SSL_free (ssl); 釋放SSL套接字; 
void SSL_CTX_free (ctx); 釋放SSL環(huán)境; 
    OpenSSL 雖然已經(jīng)發(fā)展到了0.9.96版本，但是它的文檔還很少，甚至連最基本的man 函數(shù)手冊都沒有完成。所以，本文緊緊是講述了使用OpenSSL 進行程序設計的框架。更加詳細的資料可以參考OpenSSL 的文檔或者 Apache mod_ssl 的文檔。 
    通過以上的介紹，我想讀者對SSL協(xié)議已經(jīng)有了一定的了解，作者有機會將會繼續(xù)給大家介紹SSL協(xié)議的其他方面的內(nèi)容。 
(作者：張云帆)

最新評論