登陆注册
书城生活百科计算机探密
178000000032

SSL.TLS.WTLS原理(下)

书签收藏评论目录封面

八 代理

下面探讨一下SSL的代理是怎样工作的(可参见[6])。这可能与你开始想的不太一

样:)

当在浏览器里设置了https的代理,而且在浏览器里输入了

https://www.example.com之后,

浏览器会与proxy建立tcp链接,然后向其发出这么一段消息:

CONNECT server.example.com:443 HTTP/1.1

Host: server.example.com:443

然后proxy会向webserver端建立tcp连接,之后,这个代理便完全成了个内容转发

装置。浏览器

与web server会建立一个安全通道,因此这个安全通道是端到端的,尽管所有的

信息流过了proxy,

但其内容proxy是无法解密和改动的(当然要由证书的支持,否则这个地方便是个

man in the middle攻击的好场所,见上面的讨论)。

九 关于证书

注意,如果对于一般的应用,管理员只需生成“证书请求”(后缀大多为.csr)

,它包含你的名字和公钥,然后把这份请求交给诸如verisign等有CA服务公司(

当然,连同几百美金),

你的证书请求经验证后,CA用它的私钥签名,形成正式的证书发还给你。管理员

再在web server上导入这个证书就行了。如果你不想花那笔钱,或者想了解一下

原理,可以自己做CA。

从ca的角度讲,你需要CA的私钥和公钥。从想要证书的服务器角度将,需要把服

务器的证书请求交给CA.

如果你要自己做CA,别忘了客户端需要导入CA的证书(CA的证书是自签名的,导

入它意味着你“信任”这个CA签署的证书)。

而商业CA的一般不用,因为它们已经内置在你的浏览器中了。

十 wtls

在WAP的环境中,也有安全加密的需求,因此wapforum参照在WWW世界里最为流行

的SSL协议设计了WTLS.从原理上说,这份协议与SSL是基本相同的,但在具体的地

方作了许多改动。这些改动的大多没有什么技术上的需要,而是由于考虑到手持

设备运算与存储的局限而尽量做了简化。不过我的感觉是这些改动意义实在不大

,其获得的计算和存储上节省出来的时间和空间并不多。在硬件速度突飞猛进的

时代,这种改动能获得的好处也许并不很多(一个新的协议便需要大量新的投入

,而且与原有体制并不兼容,关于这点有文章[7]做了精彩阐述,可参看)。

这里我简单举一些SSL与WTLS的差别。

1 WTLS在一般udp这类不可靠信道之上工作,因此每个消息里要有序列号,协议里

也要靠它来处理丢包,重复等情况。

此外,拒绝服务攻击也因此变得更加容易。

2 WTLS建立的安全连接是在wap网关和手持设备之间,wap网关和web server之间

如果也要保密,便要采再用SSL,即在这种模型中无法实现端到端的加密。

---------- ------------- ---------

| Mobile |----------->| WAP |---------->| WEB |

| Device |<-----------| Gateway |<----------|Server |

| | WTLS | | SSL | |

---------- ------------- ---------

3 WTLS协议里加了一种成为key_refresh的机制,当传递了一定数量数据包后,双

方通过同样的算法将自己的密钥做一下更新。付出了很小的代价,安全性得以增

强。

参考文献

[1] SSL 3.0 SPECIFICATION

http://home.netscape.com/eng/ssl3/

[2] TLS

http://www.ietf.org/rfc/rfc2246.txt

[3] 《应用密码学》

机械工业出版社

[4] The End of SSL and SSH?

http://www.nuoha.cn/

[5] HTTP Over TLS

http://www.ietf.org/rfc/rfc2818.txt

[6] HTTP Upgrade to TLS

http://www.ietf.org/rfc/rfc2817.txt

[7] W* Effect Considered Harmful

http://www.nuoha.cn/

[8] 智能卡数字加密技术

http://www.yicard.com/cardtech/smartcard/jiami/index.htm

[9] HMAC: Keyed-Hashing for Message Authentication

http://www.ietf.org/rfc/rfc2104.txt

关于MAC地址和IP地址的知识

在校园网络中,最方便的捣乱方法就是盗用别人的IP地址,被盗用IP地址的计算

机不仅不能正常使用校园网络,而且还会频繁出现IP地址被占用的提示对话框,

给校园网络安全和用户应用带来极大的隐患。捆绑IP地址和MAC地址就能有效地避

免这种现象。

何为MAC地址

网卡在使用中有两类地址,一类是大家都熟悉的IP地址,另一类就是MAC地址

,即网卡的物理地址,也称硬件地址或链路地址,这是网卡自身的惟一标识,就

仿佛是我们的身份证一样,一般不能随意改变。它与网络无关,无论把这个网卡

接入到网络的什么地方,MAC地址都是不变的。其长度为48位二进制数,由12个00

~0FFH的16进制数组成,每个16进制数之间用“-”隔开,如“00-10-5C-AD-72-E3

”。

同类推荐
  • 告诉孩子钱该怎么花

    告诉孩子钱该怎么花

    生活百科李石华
    尊敬的书友,本书选载最精华部分供您阅读。留足悬念,同样精彩!本书是青少年金钱和理财知识教育的实用读本,从介绍、分析中国孩子目前普通存在的错误金钱观和不合理消费行为开始,根据孩子不同年龄段的心智和行为能力水平,为如何开展并实施理财教育,提供了一系列细致的理论和实用的方法指导。
  • 青少年最想问的60个心理问题

    青少年最想问的60个心理问题

    生活百科李石华
    尊敬的书友,本书选载最精华部分供您阅读。留足悬念,同样精彩!结合青少年的心理现状,以简洁、鲜活、富有情趣的文字,再王见了青少年经常遇到的问题,进行心理分析,并为家长和老师提供解决心理问题的方法、对策和建议。表达清晰、分析透彻、观点鲜明,有较强的可读性和实用性,可谓是为青少年而写就的一本心理健康指导书。在《青少年最想问的60个心理问题(最新珍藏版)》的引导下,青少年可以走进自己的内心深处,在一个个故事中净化自己的心灵,呵护自己内心的世界,永葆心理健康,发掘内心的潜能,为成功塑造人生观和世界观打下坚实的基础。
  • 计算机探密

    计算机探密

    生活百科往事如云
    黑客的精神态度是很重要的,但技术则更是重要.黑客的态度虽然是无可取代,随著新科技的发明和旧技术的取代,这些工具随时间在慢慢的改变.要成为一位真正的黑客,你必须要能在几天之内将manual内容和你目前己经知道的关连起学会一种新的语言.也就是说,你必会学还了C之外的东西,你至少还要会LIS/P或Perl(Java也正在努力的挤上这个名单;译者注: 我很怀疑这份名单).除了几个重要的hacking常用语言之外,这些语言提供你一些不同的程序设计途径,并且让你在好的方法中学习.
  • 看穿人心术,拿来就用

    看穿人心术,拿来就用

    生活百科[日]涩谷昌三
    如果能掌握“看穿人心术”,人与人之间的沟通会更有效。本书要为您揭晓的“秘术”有:从弦外之音看人际关系、从外表和动作看本性、听到哪些话值得注意、从口头禅看相处之道、从不同的借口洞悉性格等。只要勤加“修炼”,谁都可以更有心机和技巧地处理好人际关系,让家庭更和睦、让工作环境更舒适。尊敬的书友,本书选载最精华部分供您阅读。留足悬念,同样精彩!
热门推荐
  • 来自星星的狗剩

    来自星星的狗剩

    二次元鬼守城
    从星星来的狗剩在凡间几千年的爆笑历程,不要笑尿了哦!
  • 灭生芳华

    灭生芳华

    玄幻拿着笔的神兽
    世界初开,天地灰朦,日月混沌。我不是废物,我不是个饭桶!
  • 锦绣田园之悍夫辣妻

    锦绣田园之悍夫辣妻

    古言飘逸莜
    一朝穿越,现代农科大高材生重生成了九岁农家女。家里一穷二白,除了一间破烂茅草屋,就剩两亩薄田。上有老实懦弱的父母,下有饿的皮包骨的弟妹。呃!还有一个黑心肝总想卖了她的奶奶,加上经常来家里收刮东西的伯父伯母!姐可忍,妹不可忍!上山采药,下河抓鱼,种田买地,智斗极品亲戚,看俏农女如何发家致富,顺便拐来一只小相公!【情节虚构,请勿模仿】
  • 邪王宠妃不倾城

    邪王宠妃不倾城

    古言柒小雪
    他娶她,只当是一步棋,却不料,为她所吸引,第一次动心,却爱的那么狼狈。她求他,只为摆脱困境,她只当是一场戏,却始终分不清他的真真假假。
  • 荆棘之舞

    荆棘之舞

    奇幻宁七.QD
    因为一个属于地球灵魂的穿越,使他有了特殊的能力。他能看到各式各样逝去的灵魂!这些灵魂有死去的剑士,魔法师,甚至还有大魔导师!可是也是由于穿越灵魂的原因,他成了被本位面排斥的人,不能修炼魔法。不过所幸,一个曾经的大魔导师却教会了他魔纹的绘制方法。从此,这个小男孩成了大陆上仅有的一个疯狂迷恋魔纹的武者。一次一次的坚持,一次一次的执着。当他合剑入鞘,抬头四顾,却猛然发现原来曾经需要仰望的高山已经变成了脚下的道路。这天到底有多高,没人知道。但只要你敢飞,它就在你脚下!新人新书,您的支持就是我坚持下去的动力。欢迎各种吐槽,各种推荐,各种收藏……。
  • 你在为谁工作

    你在为谁工作

    励志张伽豪
    本书提出了每一位员工需要自我反思的人生问题,并对这个问题进行了深刻细致的解答。它有助于员工解除困惑,调整心态,重燃工作激情,使人生从平庸走向杰出。如果每一位员工都能从内心深处承认并接受“我们在为他人工作的同时,也在为自己工作”这样一个朴素的理念,责任、忠诚、敬业将不再是空洞的口号。
  • 转学生

    转学生

    青春苏晴雨
    晴雅:千金(和晴風是青梅竹马)晴風:喜欢和晴雅在一起轩墨:喜欢晴風,因为晴風在一次郊外救了轩墨,轩墨深受感动
  • 少女的超能宠物

    少女的超能宠物

    现言兔凌雪
    七大天帝,在下凡时被力量反驳,变成自己本身的动物,被一个住在森林的少女带回别墅,晚上可以回下天宫,要加油回到自己的身体!(可以去看看最佳杀手妖星,就是那个的番外)
  • 物流自动化系统

    物流自动化系统

    管理张烨主编
    本书首先介绍物流自动化系统的相关概念和总体结构,然后依次介绍物流自动化系统的几个有机组成部分:物流机械设备、相关电器控制技术和物流信息技术,最后通过物流自动化系统的若干实例介绍相关的系统设计和建设的模型和方法。本书突破了以物流机械技术为重点的模式,重点介绍与物流自动化系统集成相关的技术难点,加大了物流信息技术的篇幅,充实了物流自动化系统实例的相关设计内容,并对部分系统的设计方法进行了探讨。本书可供从事物流自动化系统设计和制造的工程技术人员使用,也可以作为物流工程专业的本科生相关必修课的教材,还可作为物流管理专业选修课程以及研究生课程的备选教材。
  • 人世感怀(最受学生喜爱的散文精粹)

    人世感怀(最受学生喜爱的散文精粹)

    文学李宏
    《最受学生喜爱的散文精粹》从喧嚣中缓缓走来,如一位许久不见的好友,收拾了一路趣闻,满载着一眼美景,静静地与你分享。靠近它,你会忘记白日里琐碎的工作,沉溺于片刻的宁谧。靠近它,你也会忘却烦恼,还心灵一片晴朗。一个人在其一生中,阅读一些立意深远、具有丰富哲学思考的散文,不仅可以开阔视野,重新认识历史、社会、人生和自然,获得思想上的盎然新意,而且还可以学习中外散文名家高超而成熟的创作技巧。