java编程网络安全通信.pptVIP

第14章 安全网络和web服务简介 14.1 SSL简介 14.1.1 加密通信 14.1.2 安全证书 14.1.3 SSL握手 14.1.4 创建自我签名的安全证书 14.2 JSSE简介 14.3 web服务简介 14.1 SSL简介 SSL（Server Socket Layer）是一种保证网络上的两个节点进行安全通信的协议。 IETF（Internet Engineering Task Force）对SSL作了标准化，制订了RFC2246规范，并将其称为TLS（Transport Layer Security）。 从技术上讲，目前的TLS1.0与SSL3.0的差别非常微小。 14.1 SSL简介 14.1 SSL简介 用户在网上商店购物，当他输入信用卡信息，进行网上支付交易时，存在以下不安全因素： 用户的信用卡信息在网络上传输时有可能被他人截获。 用户发送的信息在网络上传输时可能被非法篡改，数据完整性被破坏。 用户正在访问的Web站点是个非法站点，专门从事网上欺诈活动，比如骗取客户的资金。 SSL采用加密技术来实现安全通信，保证通信数据的必威体育官网网址性和完整性，并且保证通信双方可以验证对方的身份。 14.1.1 加密通信 加密技术的基本原理是： 数据从一端发送到另一端时，发送者先对数据加密，然后再把它发送给接收者。这样，在网络上传输的是经过加密的数据。 如果有人在网络上非法截获了这批数据，由于没有解密的密钥，就无法获得真正的原始数据。 接收者接收到加密的数据后，先对数据解密，然后再处理。 14.1.1 加密通信 14.1.2 安全证书 除了对数据加密通信，SSL还采用了身份认证机制，确保通信双方都可以验证对方的真实身份。 SSL通过安全证书来证明客户或服务器的身份。当客户通过安全的连接和服务器通信时，服务器会先向客户出示它的安全证书，这个证书声明该服务器是安全的而且的确是这个服务器。 每一个证书在全世界范围内都是惟一的，其他非法服务器无法假冒原始服务器的身份。 可以把安全证书比作电子身份证。 14.1.2 安全证书 获取安全证书有两种方式： 一种方式是从权威机构购买证书。 还有一种方式是创建自我签名的证书。 14.1.2 安全证书 1．从权威机构获得证书 安全证书可以有效的保证通信双方的身份的可信性。安全证书采用加密技术制作而成，他人几乎无法伪造。安全证书由国际权威的证书机构（CA，Certificate Authority）如VeriSign（）和Thawte（）颁发，它们保证了证书的可信性。 申请安全证书时，必须支付一定的费用。一个安全证书只对一个IP地址有效。 14.1.2 安全证书 2．创建自我签名证书 在某些场合，通信双方只关心数据在网络上可以安全传输，并不需要对方进行身份验证，在这种情况下，可以创建自我签名（self-assign）的证书，比如通过Sun公司提供的keytool工具就可以创建这样的证书。 14.1.3 SSL握手 安全证书既包含了用于加密数据的密钥，又包含了用于证实身份的数字签名。 安全证书采用公钥加密技术。 公钥加密是指使用一对非对称的密钥进行加密或解密。每一对密钥由公钥和私钥组成。公钥被广泛发布。私钥是隐密的，不公开。用公钥加密的数据只能够被私钥解密。反过来，使用私钥加密的数据只能被公钥解密。 14.1.3 SSL握手 客户与服务器通信时，首先要进行SSL握手，SSL握手主要完成以下任务： 协商使用的加密套件。加密套件中包括一组加密参数，这些参数指定了加密算法和密钥的长度等信息。 验证对方的身份。此操作是可选的。 确定使用的加密算法。 14.1.4 创建自我签名的安全证书 Sun公司提供了制作证书的工具keytool。在JDK1.4以上版本中包含了这一工具，它的位置为：JDK根目录\bin\keytool.exe，此外，也可以到以下站点单独下载keytool： /products/jsse/ 通过keytool工具创建证书的命令为: keytool -genkey -alias mystore -keyalg RSA -keystore C:\test.keys 14.1.4 创建自我签名的安全证书 keytool命令将生成包含一对非对称密钥和自我签名的证书，这个命令中的参数的意思为： genkey: 生成一对非对称密钥。 alias: 指定密钥对的别名，该别名是公开的。 keyalg: 指定加密算法，本例中采用通用的RSA算法。 keystore: 指定安全证书的存放路径。 14.2 JSSE简介 JSSE封装了底层复杂的安全通信细节，使得开发人员能方便的利用它来开发安全的网络应用程序。 JSSE主要包括四个包： .ssl