制作论坛做网站,淘宝网站网页图片怎么做的,网络营销渠道的功能,基于多站点的网站内容管理平台的管理与应用一、背景技术SSL是Secure Sockets Layer#xff08;安全套接层协议#xff09;的缩写#xff0c;可以在Internet上提供秘密性传输。Netscape公司在推出第一个Web浏览器的同时#xff0c;提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户… 一、背景技术 SSL是Secure Sockets Layer安全套接层协议的缩写可以在Internet上提供秘密性传输。Netscape公司在推出第一个Web浏览器的同时提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。已经成为Internet上保密通讯的工业标准。 SSL能使用户/服务器应用之间的通信不被攻击者窃听并且始终对服务器进行认证还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的高层的应用层协议(例如HTTPFTPTELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密从而保证通信的私密性。 二、特点 1.安全信道特性 (1)数据保密性 信息加密就是把明码的输入文件用加密算法转换成加密的文件以实现数据的保密。加密的过程需要用到密钥来加密数据然后再解密。没有了密钥就无法解开加密的数据。数据加密之后只有密钥要用一个安全的方法传送。加密过的数据可以公开地传送。 (2)数据完整性 加密也能保证数据的一致性。例如消息验证码MAC能够校验用户提供的加密信息接收者可以用MAC来校验加密数据保证数据在传输过程中没有被篡改过。 (3)安全验证 加密的另外一个用途是用来作为个人的标识用户的密钥可以作为他的安全验证的标识。SSL是利用公开密钥的加密技术RSA来作为用户端与服务器端在传送机密资料时的加密通讯协定。 OpenSSL包含一个命令行工具用来完成OpenSSL库中的所有功能更好的是它可能已经安装到你的系统中了。 OpenSSL是一个强大的安全套接字层密码库Apache使用它加密HTTPSOpenSSH使用它加密SSH但是你不应该只将其作为一个库来使用它还是一个多用途的、跨平台的密码工具。[1] 2.开源特点 Eric A. Young和Tim J. Hudson自1995年开始编写后来具有巨大影响的OpenSSL软件包这是一个没有太多限制的开放源代码的软件包。Eric A. Young 和Tim J. Hudson是加拿大人后来由于写OpenSSL功成名就之后就到大公司里赚大钱去了。1998年OpenSSL项目组接管了OpenSSL的开发工作并推出了OpenSSL的0.9.1版到目前为止OpenSSL的算法已经非常完善对SSL2.0、SSL3.0以及TLS1.0都支持。 OpenSSL采用C语言作为开发语言这使得OpenSSL具有优秀的跨平台性能这对于广大技术人员来说是一件非常美妙的事情可以在不同的平台使用同样熟悉的东西。OpenSSL支持Linux、Windows、BSD、Mac、VMS等平台这使得OpenSSL具有广泛的适用性。但习惯C语言总比使用C重新写一个跟OpenSSL相同功能的软件包轻松不少。 三、功能 1.基本功能 OpenSSL整个软件包大概可以分成三个主要的功能部分SSL协议库、应用程序以及密码算法库。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。 作为一个基于密码学的安全开发包OpenSSL提供的功能相当强大和全面囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议并提供了丰富的应用程序供测试或其它目的使用。 2.辅助功能 BIO机制是OpenSSL提供的一种高层IO接口该接口封装了几乎所有类型的IO接口如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高OpenSSL提供API的复杂性也降低了很多。 OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。 OpenSSL还提供了其它的一些辅助功能如从口令生成密钥的API证书签发和管理中的配置文件机制等等。如果你有足够的耐心将会在深入使用OpenSSL的过程慢慢发现很多这样的小功能让你不断有新的惊喜。 四、算法 1.密钥证书管理 密钥和证书管理是PKI的一个重要组成部分OpenSSL为之提供了丰富的功能支持多种标准。 首先OpenSSL实现了ASN.1的证书和密钥相关标准提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE64的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编解码功能。OpenSSL在标准中提供了对私钥的加密保护功能使得密钥可以安全地进行存储和分发。 在此基础上OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库支持证书的管理功能包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。 事实上OpenSSL提供的CA应用程序就是一个小型的证书管理中心CA实现了证书签发的整个流程和证书管理的大部分机制。 5.SSL和TLS协议 OpenSSL实现了SSL协议的SSLv2和SSLv3支持了其中绝大部分算法协议。OpenSSL也实现了TLSv1.0TLS是SSLv3的标准化版虽然区别不大但毕竟有很多细节不尽相同。 虽然已经有众多的软件实现了OpenSSL的功能但是OpenSSL里面实现的SSL协议能够让我们对SSL协议有一个更加清楚的认识因为至少存在两点一是OpenSSL实现的SSL协议是开放源代码的我们可以追究SSL协议实现的每一个细节二是OpenSSL实现的SSL协议是纯粹的SSL协议没有跟其它协议如HTTP协议结合在一起澄清了SSL协议的本来面目。 2.对称加密 OpenSSL一共提供了8种对称加密算法其中7种是分组加密算法仅有的一种流加密算法是RC4。这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5都支持电子密码本模式ECB、加密分组链接模式CBC、加密反馈模式CFB和输出反馈模式OFB四种常用的分组密码加密模式。其中AES使用的加密反馈模式CFB和输出反馈模式OFB分组长度是128位其它算法使用的则是64位。事实上DES算法里面不仅仅是常用的DES算法还支持三个密钥和两个密钥3DES算法。 3.非对称加密 OpenSSL一共实现了4种非对称加密算法包括DH算法、RSA算法、DSA算法和椭圆曲线算法EC。DH算法一般用于密钥交换。RSA算法既可以用于密钥交换也可以用于数字签名当然如果你能够忍受其缓慢的速度那么也可以用于数据加密。DSA算法则一般只用于数字签名。 4.信息摘要 OpenSSL实现了5种信息摘要算法分别是MD2、MD5、MDC2、SHASHA1和RIPEMD。SHA算法事实上包括了SHA和SHA1两种信息摘要算法。此外OpenSSL还实现了DSS标准中规定的两种信息摘要算法DSS和DSS1。 五、应用 1.功能 OpenSSL的应用程序已经成为了OpenSSL重要的一个组成部分其重要性恐怕是OpenSSL的开发者开始没有想到的。如OpenCA就是完全使用OpenSSL的应用程序实现的。OpenSSL的应用程序是基于OpenSSL的密码算法库和SSL协议库写成的所以也是一些非常好的OpenSSL的API使用范例读懂所有这些范例你对OpenSSL的API使用了解就比较全面了当然这也是一项锻炼你的意志力的工作。 OpenSSL的应用程序提供了相对全面的功能在相当多的人看来OpenSSL已经为自己做好了一切不需要再做更多的开发工作了所以他们也把这些应用程序成为OpenSSL的指令。OpenSSL的应用程序主要包括密钥生成、证书管理、格式转换、数据加密和签名、SSL测试以及其它辅助配置功能。 2.机制 Engine机制 Engine机制的出现是在OpenSSL的0.9.6版的事情开始的时候是将普通版本跟支持Engine的版本分开的到了OpenSSL的0.9.7版Engine机制集成到了OpenSSL的内核中成为了OpenSSL不可缺少的一部分。 Engine机制目的是为了使OpenSSL能够透明地使用第三方提供的软件加密库或者硬件加密设备进行加密。OpenSSL的Engine机制成功地达到了这个目的这使得OpenSSL已经不仅仅使一个加密库而是提供了一个通用地加密接口能够与绝大部分加密库或者加密设备协调工作。当然要使特定加密库或加密设备OpenSSL协调工作需要写少量的接口代码但是这样的工作量并不大虽然还是需要一点密码学的知识。Engine机制的功能跟Windows提供的CSP功能目标是基本相同的。包括CryptoSwift、nCipher、Atalla、Nuron、UBSEC、Aep、SureWare以及IBM 4758 CCA的硬件加密设备。当然所有上述Engine接口支持不一定很全面比如可能支持其中一两种公开密钥算法。 六、漏洞 1.发现 2014年4月8日OpenSSL的大漏洞曝光。这个漏洞被曝光的黑客命名为“heartbleed”意思是“心脏流血”——代表着最致命的内伤。利用该漏洞黑客坐在自己家里电脑前就可以实时获取到约30%https开头网址的用户登录账号密码包括大批网银、购物网站、电子邮件等。 “心脏流血”首先被谷歌(微博)研究员尼尔·梅塔Neel Mehta发现它可从特定服务器上随机获取64k的工作日志由于数据是随机获取的所以攻击者也不一定可以获得想要的信息因此整个过程如同钓鱼攻击可能一次次持续进行大量敏感数据可能泄露。由于一台服务器的密钥也记录在其工作日志中并且在大量数据中可被轻易辨别因此将是首当其冲的获取目标获取密钥后攻击者可以掌握某网站或服务的实时流量情况甚至可以破解被加密的以往流量日志。[2] 安全专家介绍说OpenSSL此漏洞堪称网络核弹网银、网购、网上支付、邮箱等众多网站受其影响。无论用户电脑多么安全只要网站使用了存在漏洞的OpenSSL版本用户登录该网站时就可能被黑客实时监控到登录账号和密码。 根据相关媒体的报导研究人员发现OpenSSL漏洞遍及全球互联网公司并为其起了个形象的名字“心脏出血”中国超过3万台主机受波及国内网站和安全厂商技术人员为检查、抢修彻夜未眠。截至昨天有超30%的主机已经修复但技术人士称消费者敏感信息是否泄露还有待日后观察。[3] 2.成因 此次漏洞的成因是OpenSSL Heartbleed模块存在一个BUG当攻击者构造一个特殊的数据包满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中长达64K的数据。[4] “心脏流血”这个名字听起来有点夸张但这个漏洞的威力似乎当得起它的名字。不管是从可能感染的电脑数量还是从可能被泄露的数据规模“心脏流血”的破坏力都超过在2014年早些时候狠狠羞辱了苹果公司的“GoToFail ”漏洞。“心脏流血”漏洞可以帮助黑客获得打开服务器的密钥监听服务器数据和流量。更糟糕的是这并不是一个新的漏洞 “心脏流血”其实已经存在两年了但具体何时被人发现其危险性尚不得而知。[2] 3.补救措施 在各个网站尚未解决安全漏洞的近两天用户尽量不登录或者少登录涉及资金、个人隐私的网站或系统已经多次登录的用户请尽快修改密码、绑定手机、设置支付密码最好采用手机令牌类软件如号令手机令牌等确保通过实时变化的动态口令保障账号安全。 代码安全审计机构NCC Group将开始参与到 OpenSSL 的代码审计当中。NCC 首席安全工程师的描述OpenSSL 已经对代码进行了重构新的代码已经足够稳定并且很快会取代现有版本。而 NCC 在代码审计中将会专注于 TLS stacks 方面的安全问题包含 protocol flow、state transitions 和 memory management。除 NCC Group 之外其它学术机构、商业分析公司、认证机构和个人都会参与 OpenSSL 各方面代码审计。[5] 4.漏洞拦截 备受关注的OpenSSL“心脏出血”漏洞有了最新进展不法分子可以通过漏洞获取网站私钥并通过盗取的证书伪造假冒网站或可躲避一些安全软件及安全浏览器的拦截。 5.漏洞风险 此前曝出的“心血漏洞”由于影响范围之广而引起了国内互联网业界及用户的极大关注。黑客可能利用“心脏出血”漏洞攻击网民的个人电脑盗取帐号密码、登陆认证cookies、网银密钥等私密数据。 6.漏洞影响 据专家介绍由于Windows上用OpenSSL的软件很多且多数使用自己安装目录下的 SSLeay32.dll 和 Libeay32.dll没有统一的升级管理机制该漏洞可能会长期存在。 专家解释由于网站证书被认为是网址安全可信的标志因此黑客会利用漏洞盗取网站私钥从而冒名顶替合格的网站证书。此种情况下安全系统或杀毒软件很可能不能判断网站的真实性。 转载自http://baike.baidu.com/link?urlrTQlkzTtmcM-knYKjHSzyyC5wknPWNFd0rVX9P65sGihY2IgibUQh7RZGCR1lwKAS5BQcWnWIBXJUbLNj62WWa
