HTTP协议、SSL、cookie、session培训资料课件.pptVIP

Copyright ? 2008 * confidential HTTP协议、SSL、cookie、session培训教材 2009年1月13日 第一页，共十七页。 HTTP协议—概述 第二页，共十七页。 HTTP协议格式 请求格式 POST / HTTP/1.0 \r\n Content-Type: text/xml; charset=UTF-8\r\n Content-Length: 7\r\n User-Agent: Jakarta Commons-HttpClient/3.0\r\n Host: 8:9081\r\n\r\n ABCDEFG 第三页，共十七页。 HTTP协议格式 应答格式 HTTP/1.1 200 OK\r\n Content-Type: text/xml; charset=utf-8\r\n Content-Length: 8\r\n Connection: close\r\n\r\n Response 第四页，共十七页。 HTTP头 HTTP的头域包括通用头，请求头，响应头和实体头四个部分。每个头域由一个域名，冒号（:）和域值三部分组成。域名是大小写无关的，域值前可以添加任何数量的空格符，头域可以被扩展为多行，在每行开始处，使用至少一个空格或制表符。 第五页，共十七页。 HTTP头—请求头 Accept、Accept-Charset、Accept- Encoding、Accept-Language、Authorization、From、Host、If-Modified-Since、If- Match、If-None-Match、If-Range、If-Range、If-Unmodified-Since、Max-Forwards、 Proxy-Authorization、Range、Referer、User-Agent。 第六页，共十七页。 HTTP头—响应头 第七页，共十七页。 HTTP头—通用头 Cache-Control、 Connection、 Date、 Pragma、 Transfer-Encoding、 Upgrade、 Via。 第八页，共十七页。 Trunked传输方式 HTTP/1.1 200 OK\r\n Server: Apache/2.2.9 (Fedora)\r\n Transfer-Encoding: chunked\r\n\r\n 86b\r\n Abcdefg……… \r\n23c\r\n Fdjfkdjfkdjfdkfj \r\n0\r\n 第九页，共十七页。 SSL简介 安全套接层协议SSL是网景公司(Netscape)提出的基于公钥密码机制的网络安全协议，用于在客户端浏览器软件与Web服务器之间建立一条安全 通道，实现Internet上信息传送的保密性。 它包括服务器认证、客户认证（可选）、SSL链路上的数据完整性和SSL链路上数据保密性。现在国内外一 些对保密性要求较高的网上银行、电子商务和电子政务等系统大多数是以SSL协议为基础建立的，SSL协议已成为Web安全方面的工业标准。 目前广泛采用的 是SSL v3版。SSL提供的面向连接的安全性作用，具有以下三个基本功能： （1）连接是秘密的，在初始握手定义会话密钥后，用对称密码（例如用DES）加密数 据。 （2）连接是可认证的，实体的身份能够用公钥密码（例如RSA、DSS等）进行认证。 （3）连接是可靠的，消息传输包括利用安全Hash函数产生的带 密钥MAC（Message Authentication Code ：报文鉴别码） 第十页，共十七页。 SSL 协议层次 第十一页，共十七页。 SSL协商过程 客 户client端发送Client Hello信息给服务器Server端，Server回答Server Hello。这个过程建立的安全参数包括协议版本，“佳话”标识，加密算法，压缩方法。另外，还交换2个随机数：Client Hello. Random和Server Hello. random.用以计算机“会话主密钥” Hello消息发送完后，Server会发送它的证书和密钥交换信息，如果Server端被认证，它就会请求Client端的证书，在验证以后，Server就发送Hello-done消息以示达成了握手协议，即双方握手接通 Server请求Client证书时，Client要返回证书或返回“没有证书的指示，这种情况用于单向认证，即客户端不装有证书。然后Client发送密钥交换消息。 服务器Server此时要回答“握手完成“消息（Finished），以示完整的握手消息交换，已经全部完成。 握手协议完成后，Client端即可与Server端传输应用加密数据，