用SSL安全协议实现Web服务器的安全性计算机服务器计算机网络信息安全.pdf

用 SSL 安全协议实现 Web服务器的安全性 用 SSL安全协议实现 WEB 服务器安全性 现今 SSL 安全协议广泛地用在 Internet 和 Intranet 服务器产品和客户端产品中，用于安全地传送数据，集中到每个 WEB 服务器和浏览器中，从而来保证来用户都可以与 Web站点安全交流。本文将详细介绍 SSL 安全协议及在 WEB 服务器安全应用。一、SSL 安全协议在 WEB 服务器中应用 1、我们为提供具有真正安全连接高速安全套接层 SSL）交易，可以将 PCI 卡形式 SSL卸载（offloading）设备直接安装到 Web 服务器上，这种做法好处是：（1）从客户机到安全 Web 服务器数据安全性；（2）由于卸载工具执行所有 SSL 处理过程并完成 TCP/IP 协商，因此大大提高了吞吐量；（3）简化了密钥管理和维护。安全性加大在实现向电子商务和其它安全Web 站点服务器增加SSL 加速和卸载设备结果是提高了交易处理速度。但是由于设备是作为应用被安装在网络上，因此设备与安全服务器之间数据是未加密。将 SSL 卸载设备作为 PCI 扩展卡直接安装在安全服务器上，保证了从浏览器到服务器连接安全性。SSL 可以用于在线交易时保护象信用卡号以及股票交易明细这类敏感信息。受 SSL 保护网页具有https前缀，而非标准http前缀 2、新型专用网络设备 SSL 加速器可以使 Web 站点通过在优化硬件和软件中进行所有SSL 处理来满足性能和安全性需要。当具有 SSL 功能浏览器（Navigator、IE)与 Web 服务器(Apache、IIS)通信时，它们利用数字证书确认对方身份。数字证书是由可信赖第三方发放，并被用于生成公共密钥。当最初认证完成后，浏览器向服务器发送 48 字节利用服务器公共密钥加密主密钥，然后 Web 服务器利用自己私有密钥解密这个主密钥。最后，浏览器和服务器在会话过程中用来加解密对称密钥集合就生成了。加密算法可以为每次会话显式地配置或协商，最广泛使用加密标准为数据加密标准（DES）和 RC4。一旦完成上述启动过程，安全通道就建立了，保密数据传输就可以开始了。尽管初始认证和密钥生成对于用户是透明，但对于 Web 服务器来说，它们远非透明。由于必须为每次用户会话执行启动过程，因而给服务器 CPU 造成了沉重负担并产生了严重性能瓶颈。据测试，当处理安全 SSL 会话时，标准 Web 服务器只能处理 1到 10正常负载。二、应作处理 密码在加解密数据时，使用两种类型密钥。私有密钥被发给各实体并且永远不向外透露，公共密钥可以任意分发。这两种密钥对于认证过程是必不可少。使用公钥加密数据不能使用同一个密钥进行解密，必须使用私有密钥进行解密。用 SSL 安全协议实现 Web服务器的安全性 SSL使用复杂数学公式进行数据加密和解密，这些公式复杂性根据密码强度不同而不同。高强度计算会使多数服务器停顿，导致性能下降。多数 Web 服务器在执行 SSL 相关任务时，吞吐量会显著下降，性能比在只执行 HTTP 1.0 连接时速度慢 50 多倍。而且由于 SSL复杂认证方案和加/解密算法，SSL 需要大量地消耗 CPU 资源，从而造成 Web 服务器性能很大下降。它所造成服务器瓶颈使 Web 站点速度慢如蜗牛爬行，这无疑会失去在线客户。为解决这种性能上损失，我们可以通过安装 SSL 加速器和卸载器来减少 SSL 交易中时延。加速器通过执行一部分 SSL 处理任务来提高交易速度，同时依靠安全 Web 服务器软件完成其余任务。卸载器承担所有 SSL 处理任务并且不需要安全 Web 服务器软件，从而使 Web服务器可以以同样高速度提供安全和非安全服务。由于密钥管理和维护过程不依靠对应用软件手工配置，因此使用卸载器效率会更高一些。多数这类设备作为网络应用被安装在机架式或小底座网络设备上，由于它们为整个网络提供加解密服务，因此设备与 Web 服务器之间数据是未加密。通过直接在服务器上安装 SSL 卸载器，可以解决速度和安全性问题。加密数据由客户机经过 Internet 和网络直接传送到一台服务器上。安装在这台服务器上卸载器对数据进行解密并将其沿 PCI 总线直接传送到处理器。这样做结果是宿主服务器在保证客户机与服务器之间传输时数据安全性同时，以非安全交易服务同样速度提供了安全交易服务。SSL 加速设备出现就是为了解决对 CPU 资源过量需求 SSL 协议所造成性能问题，这类设备是一些用以在不增加 Web 服务器负担条件下处理 SSL 任务特殊网络部件。通过优化硬件和软件，专用 SSL 加速器处理 SSL 会话速度为标准 Web 服务器 10 到 40 倍。此外，SSL加速器解放了服务器资源，使这些资源可以真正用于处理应用逻辑和数据库查询，从而加快了整个站点速度。将 SSL 设备集成到网络中很简单，第 4 层到第 7 层交换机或负载均衡设备被配置为将所有 443 端口（Https）请求改向传送到 SSL 设备。这时，这台设备承担所有 SSL 处理任务，因而立即解脱了 Web 服务器负载。随着安全传输流容量增加，在不增加不必要管理负担条件下，可以再部署其他 SSL 设备。最近，SSL加速器功能已经被集成到象服务器端缓存（即所谓服务器加速器）这类Web 内容提交产品中了。这种作法主要好处是，服务器加速器进行 SSL 处理和对象提交。配置 SSL 功能服务器加速器使广泛地将 SSL 用于 Web 基础设施上安全内容交换成为可能，安全网页将快速地得到提交，安全交易也将迅速地完成。三、如何实现 WEB 和 Internet 安全 我们在安装好 Certificate Server后，给自己 Web Server发一张证书，安全站点已经建立起来了，在 IIS 管理器中打开安全通道（先不要接受客户证书验证，如果没有浏览器证书话），把 http 改为 https 后访问站点，怎么系统提示服务器证书有问题？记得在浏览器中安装根证书了?要不就是服务器证书过期了，如果没有在浏览器中安装根证书，就要安装它，品中用于安全地传送数据集中到每个服务器和浏览器中从而来保证来用户都可以与站点安全交流本文将详细介绍安全协议及在服务器安全应用一安全协议在服务器中应用我们为提供具有真正安全连接高速安全套接层交易可以将卡形程并完成协商因此大大提高了吞吐量简化了密钥管理和维护安全性加大在实现向子商务和其它安全站点服务器增加加速和卸载设备结果是提高了交易处理速度但是由于设备是作为应用被安装在网络上因此设备与安全服务器之间数据时保护象信用卡号以及股票交易明细这类敏感信息受保护网页具有前缀而非标准前缀新型专用网络设备加速器可以使站点通过在优化硬件和软件中进行所有处理来满足性能和安全性需要当具有功能浏览器与服务器通信时它们利用数用 SSL 安全协议实现 Web服务器的安全性 同时其他人通过 Internet 访问站点如果没有安装根证书，需要将根证书放在网上让别人下载。用 IE 安装根证书很简单，浏览器提示用户打开或保存时选择打开，会看到根证书信息然后按安装证书就可以了。但可能会发现Netscap 无法安装根证书，SSL 协议是由Netscape首先提出并实现，Netscape使用 MIME 类型 application/x-x509-ca-cert 来表示 CA 证书，IE3.1 以后开始支持 SSL，起初 Windows 系统数字证书文件（.crt 和.cer）也采用相同 MIME类型，IE5.0 以后 MIME 类型被改为 application/pkix-cert 这就造成 Netscape安装根证书困难。不过这个问题好解决，只要在 IIS 里新注册 application/x-x509-ca-certMIME类型就可以了。刚发证书浏览器有时也会显示证书过期，这是因为浏览器判断证书有效是从证书有效起始时间后一天开始，此外数字证书中日期大都是 GMT 时间而不是本地时间，所以通常将本机时间向后调整一天这个问题就能解决，所以证书过期不仅仅可能表示太晚也可能表示太早。一切都已经就绪，进入安全网页了，在 IE 状态栏里应该有一个小锁，双击这个小锁能看到站点证书信息，同时也能看到整个证书链。现在也许会问那么现在我怎么用 SSL 加密我数据呢？，实际上现在浏览器和 Web 服务器之间交换所有信息都已经被加密，SSL 是工作在网络层与会话层之间协议，它在 TCP/IP 和 HTTP 之间增加了一个加密层，所以对于工作在 HTTP 协议以上用户而言，加密是完全透明，所以请忘记用 SSL 加密这句话，除非直接在 Socket 上开发，比如写个网络蚂蚁之类。现在想用 SSL 实现更多东西，不仅仅是加密。是申请浏览器（客户）证书时候了，申请客户证书过程也不复杂，除了相同名称，国家之类还多一个 EMail 地址，如果用 IE 申请证书可能会有许多选项，其中有两个比较有意义，允许私钥被导出对与不在固定机器上上网人比较有用，如果在一台机器上申请了证书，导出证书和私钥并安装到其他机器上就可以在其他机器上使用了。用户保护会让浏览器在使用私钥时提示，这通常发生在加密和签名过程之前。证书安装过程通常都是自动，安装完成后可以欣赏一下，在 IE 中打开 Internet选项，选择内容一栏，按证书按钮，在个人一栏内应该有客户证书。现在在 IIS 管理器中设置站点要求客户证书，然后访问站点，浏览器会弹出一个对话框，让选择要使用客户证书，然后就进去了，也没什么不同。那么怎么样利用 SSL 实现身份认证呢？首先可以在 IIS 管理器中启用客户证书映射，将客户证书影射到 NT 帐号，可以映射某张证书，也可以映射所有根证书所签发客户证书，如果在签发者列表中找不到根证书，需要运行 SSLCA.exe（IIS4.0 以上），以后事就属于 NT 管理员范畴了。如果不想用 NT 安全机制，就需要获取对方客户证书信息，然后进行判断。通常客户证书信息由 HTTPS_ 开头服务器变量提供，如 Apache Server，Domino 等，可以查看文档或者写一个小 CGI 程序列出所有服务器变量。如果是 IIS 就更简单了：用 Request.ClientCertificate(KeySubField)可以访问想要内容：如可显示客户证书国家代码。具体参数请在 MSDN 搜索 ClientCertificate。品中用于安全地传送数据集中到每个服务器和浏览器中从而来保证来用户都可以与站点安全交流本文将详细介绍安全协议及在服务器安全应用一安全协议在服务器中应用我们为提供具有真正安全连接高速安全套接层交易可以将卡形程并完成协商因此大大提高了吞吐量简化了密钥管理和维护安全性加大在实现向子商务和其它安全站点服务器增加加速和卸载设备结果是提高了交易处理速度但是由于设备是作为应用被安装在网络上因此设备与安全服务器之间数据时保护象信用卡号以及股票交易明细这类敏感信息受保护网页具有前缀而非标准前缀新型专用网络设备加速器可以使站点通过在优化硬件和软件中进行所有处理来满足性能和安全性需要当具有功能浏览器与服务器通信时它们利用数