1、HTTP協(xié)議、SSL、cookie、session培訓(xùn)教材2009年1月13日第1頁，共17頁。HTTP協(xié)議概述第2頁，共17頁。HTTP協(xié)議格式請求格式 POST / HTTP/1.0 rn Content-Type: text/xml; charset=UTF-8rnContent-Length: 7rnUser-Agent: Jakarta Commons-HttpClient/3.0rnHost: 8:9081rnrnABCDEFG第3頁，共17頁。HTTP協(xié)議格式應(yīng)答格式HTTP/1.1 200 OKrnContent-Type: text/xml; charset=utf-8rnC

2、ontent-Length: 8rnConnection: closernrnResponse第4頁，共17頁。HTTP頭HTTP的頭域包括通用頭，請求頭，響應(yīng)頭和實體頭四個部分。每個頭域由一個域名，冒號（:）和域值三部分組成。域名是大小寫無關(guān)的，域值前可以添加任何數(shù)量的空格符，頭域可以被擴展為多行，在每行開始處，使用至少一個空格或制表符。第5頁，共17頁。HTTP頭請求頭Accept、Accept-Charset、Accept- Encoding、Accept-Language、Authorization、From、Host、If-Modified-Since、If- Match、If-No

3、ne-Match、If-Range、If-Range、If-Unmodified-Since、Max-Forwards、 Proxy-Authorization、Range、Referer、User-Agent。第6頁，共17頁。HTTP頭響應(yīng)頭第7頁，共17頁。HTTP頭通用頭Cache-Control、 Connection、Date、Pragma、Transfer-Encoding、Upgrade、Via。第8頁，共17頁。Trunked傳輸方式HTTP/1.1 200 OKrnServer: Apache/2.2.9 (Fedora)rnTransfer-Encoding: chunk

4、edrnrn86brnAbcdefgrn23crnFdjfkdjfkdjfdkfjrn0rn第9頁，共17頁。SSL簡介安全套接層協(xié)議SSL是網(wǎng)景公司(Netscape)提出的基于公鑰密碼機制的網(wǎng)絡(luò)安全協(xié)議，用于在客戶端瀏覽器軟件與Web服務(wù)器之間建立一條安全 通道，實現(xiàn)Internet上信息傳送的保密性。它包括服務(wù)器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上數(shù)據(jù)保密性。現(xiàn)在國內(nèi)外一 些對保密性要求較高的網(wǎng)上銀行、電子商務(wù)和電子政務(wù)等系統(tǒng)大多數(shù)是以SSL協(xié)議為基礎(chǔ)建立的，SSL協(xié)議已成為Web安全方面的工業(yè)標(biāo)準(zhǔn)。目前廣泛采用的 是SSL v3版。SSL提供的面向連接的安全性

5、作用，具有以下三個基本功能： （1）連接是秘密的，在初始握手定義會話密鑰后，用對稱密碼（例如用DES）加密數(shù) 據(jù)。 （2）連接是可認證的，實體的身份能夠用公鑰密碼（例如RSA、DSS等）進行認證。 （3）連接是可靠的，消息傳輸包括利用安全Hash函數(shù)產(chǎn)生的帶 密鑰MAC（Message Authentication Code ：報文鑒別碼）第10頁，共17頁。SSL 協(xié)議層次第11頁，共17頁。SSL協(xié)商過程客 戶client端發(fā)送Client Hello信息給服務(wù)器Server端，Server回答Server Hello。這個過程建立的安全參數(shù)包括協(xié)議版本，“佳話”標(biāo)識，加密算法，壓縮方法。

6、另外，還交換2個隨機數(shù)：Client Hello. Random和Server Hello. random.用以計算機“會話主密鑰” Hello消息發(fā)送完后，Server會發(fā)送它的證書和密鑰交換信息，如果Server端被認證，它就會請求Client端的證書，在驗證以后，Server就發(fā)送Hello-done消息以示達成了握手協(xié)議，即雙方握手接通 Server請求Client證書時，Client要返回證書或返回“沒有證書的指示，這種情況用于單向認證，即客戶端不裝有證書。然后Client發(fā)送密鑰交換消息。 服務(wù)器Server此時要回答“握手完成“消息（Finished），以示完整的握手消息交換，已

7、經(jīng)全部完成。 握手協(xié)議完成后，Client端即可與Server端傳輸應(yīng)用加密數(shù)據(jù)，應(yīng)用數(shù)據(jù)加密一般是用第（2）步密鑰協(xié)商時確定的對稱加/解密密鑰。如DES、3DE等等，目前商用加密強度為128位。非對稱密鑰一般為RAS，商用強度1024位，用于證書的驗證。 第12頁，共17頁。SSL的應(yīng)用單向認證：又稱匿名SSL連接，這是SSL安全連接的最基本模式，它便于使用，主要的瀏覽器都支持這種方式，適合單向數(shù)據(jù)安全傳輸應(yīng)用。在這種模式下 客戶端沒有數(shù)字證書，只是服務(wù)器端具有證書，以確認用戶訪問的是自己要訪問的站點。網(wǎng)上 銀行的所謂“大眾版”就是這種。雙方認證：是對等的安全認證，這種模式通信雙方都可以發(fā)起

8、和接收SSL連接請求。通信雙方可以利用安全應(yīng)用程序（控件）或安全代理軟件，前者一般適合 于B/S結(jié)構(gòu)，而后者適用于C/S結(jié)構(gòu)，安全代理相當(dāng)于一個加密/解密的網(wǎng)關(guān)，這種模式雙方皆需安裝證書，進行雙向認證。這就是網(wǎng)上銀行的B2B的專業(yè)版 等應(yīng)用。電子商務(wù)中的應(yīng)用。電子商務(wù)與網(wǎng)上銀行交易不同，因為有商戶參加，形成客戶商家銀行，兩次點對點的SSL連接。客戶，商家，銀行，都必須具證書，兩次點對點的雙向認證。第13頁，共17頁。cookie、sessionCookie定義 “Cookie是Web服務(wù)器保存在用戶硬盤上的一段文本。Cookie允許一個Web站點在用戶的電腦上保存信息并且隨后再取回他。信息的片斷以名/值對(name-valuepairs)的形式儲存。”session 定義 session指的就是訪問者從到達某個特定主頁到離開為止的那段時間的會話上下文。第14頁，共17頁。Cookie、session區(qū)別Session是存在服務(wù)器端的;而Cookie是存在客戶端的! Session更無需Cookie來支持和不會受瀏覽器端的配