《HTTP协议、SSL、cookie、session培训》.ppt

* www. Fiberhome. com. cn Copyright ? 2008 All right reserved, Fiberhome confidential Copyright ? 2008 HTTP协议、SSL、cookie、session培训教材 2009年1月13日 HTTP协议—概述 HTTP（HyperTextTransferProtocol）是超文本传输协议的缩写，它用于传送WWW方式的数据。 HTTP是一种基于文本的应用层协议，可以承载于任何底层协议，目前常见为承载于TCP协议。 HTTP是一种请求/应答模型的协议。 HTTP是一种无会话的，无状态的协议。 HTTP可作为其他协议的承载，比如SOAP，WEBDAV等 HTTP协议格式 请求格式 POST / HTTP/1.0 \r\n Content-Type: text/xml; charset=UTF-8\r\n Content-Length: 7\r\n User-Agent: Jakarta Commons-HttpClient/3.0\r\n Host: 8:9081\r\n\r\n ABCDEFG HTTP协议格式 应答格式 HTTP/1.1 200 OK\r\n Content-Type: text/xml; charset=utf-8\r\n Content-Length: 8\r\n Connection: close\r\n\r\n Response HTTP头 HTTP的头域包括通用头，请求头，响应头和实体头四个部分。每个头域由一个域名，冒号（:）和域值三部分组成。域名是大小写无关的，域值前可以添加任何数量的空格符，头域可以被扩展为多行，在每行开始处，使用至少一个空格或制表符。 HTTP头—请求头 Accept、Accept-Charset、Accept- Encoding、Accept-Language、Authorization、From、Host、If-Modified-Since、If- Match、If-None-Match、If-Range、If-Range、If-Unmodified-Since、Max-Forwards、 Proxy-Authorization、Range、Referer、User-Agent。 HTTP头—响应头 Age、Location、Proxy-Authenticate、Public、Retry- After、Server、Vary、Warning、WWW-Authenticate。 HTTP头—通用头 Cache-Control、 Connection、 Date、 Pragma、 Transfer-Encoding、 Upgrade、 Via。 Trunked传输方式 HTTP/1.1 200 OK\r\n Server: Apache/2.2.9 (Fedora)\r\n Transfer-Encoding: chunked\r\n\r\n 86b\r\n Abcdefg……… \r\n23c\r\n Fdjfkdjfkdjfdkfj \r\n0\r\n SSL简介 安全套接层协议SSL是网景公司(Netscape)提出的基于公钥密码机制的网络安全协议，用于在客户端浏览器软件与Web服务器之间建立一条安全 通道，实现Internet上信息传送的保密性。 它包括服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上数据保密性。现在国内外一 些对保密性要求较高的网上银行、电子商务和电子政务等系统大多数是以SSL协议为基础建立的，SSL协议已成为Web安全方面的工业标准。 目前广泛采用的 是SSL v3版。SSL提供的面向连接的安全性作用，具有以下三个基本功能： （1）连接是秘密的，在初始握手定义会话密钥后，用对称密码（例如用DES）加密数 据。 （2）连接是可认证的，实体的身份能够用公钥密码（例如RSA、DSS等）进行认证。 （3）连接是可靠的，消息传输包括利用安全Hash函数产生的带 密钥MAC（Message Authentication Code ：报文鉴别码） SSL 协议层次 SSL协商过程 客 户client端发送Client Hello信息给服务器Server端，Server回答Server Hello。这个过程建立的安全参数包括协议版本，“佳话”标识，加密算法，压缩方法。另外，还交换2个随机数：Client Hello. Random和Server Hello. random.用以计算机“会话主密钥” Hello消息发送完后，Server会发送它的证书和密钥交换信息，如果Server端被认证，它就会请求Cli