Web安全目录Web安全概述SSLSSL程序设计ApacheWebServer安全Web安全概述Web安全威胁及对策Web安全的特点Web安全的组成部分Web安全方案目录Web安全概述SSLSSL程序设计ApacheWebServer安全SecureSocketsLayer(SSL)SSL设计目标SSL历史SSL功能采用两种加密技术非对称加密认证交换加密密钥对称加密：加密传输数据SSL的结构建立在可靠的传输协议（如TCP）基础上提供连接安全性保密性，使用了对称加密算法完整性，使用HMAC算法用来封装高层的协议客户和服务器之间相互鉴别协商加密算法和密钥提供连接安全性身份鉴别，至少对一方实现鉴别，也可以是双向鉴别协商得到的共享密钥是安全的，中间人不能知道协商过程是可靠的协议的使用SSL体系结构连接会话连接是能提供合适服务类型的传输（在OSI分层模型中的定义）对SSL，这样的连接是对等关系连接是暂时的，每个连接都和一个会话相关SSL会话是指在客户机和服务器之间的关联会话由握手协议创建会话定义了一组可以被多个连接共用的密码安全参数对于每个连接，可以利用会话来避免对新的安全参数进行代价昂贵的协商在任意一对的双方之间，也许会有多个安全连接理论上，双方可以存在多个同时会话，但在实践中并未用到这个特性会话状态参数连接状态参数各种密钥SSLHandshakeSSL握手协议报文格式Client一建立安全能力SSLClientDataEncryption:RC2-40RC4-128DESDES403DESIDEAFortezzaMessageDigest:MD5SHA.SSLClientSSLClientSSLClientSSLClientTheClientFinishmessageiscomposedofTheclientauthenticatestheserverwithamessageencryptedwiththenewlygeneratedsharedkeys.Thisvalidatestotheserverthatasecureconnectionhasbeencreated.SSLRecordProtocolByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirschByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirschByIntroducingSSLandCertificatesusingSSLeay-FrederickJ.hirsch3.MAC计算4.加密5.封装机密性：握手协议定义了共享的、可用于对SSL有效载荷进行常规加密的密钥及初始/后续的IV完整性：握手协议还定义了共享的、可用于生成报文MAC的密钥SSLChangeCipherSpecProtocol由单个报文组成，报文值为1的单个字节使得挂起状态被复制到当前状态，改变了这个连接将要使用的密文族SSLAlertProtocol用于将SSL有关的告警传输给对方实体传输时按照当前状态说明被压缩和加密SSL密码计算主密钥的创建主密钥的创建密码参数的生成密码参数的生成目录Web安全概述SSLSSL程序设计ApacheWebServer安全SSL通讯模型为标准的C/S结构，除了在TCP层之上进行传输之外，与一般的通讯没有什么明显的区别主要介绍如何使用OpenSSL进行安全通讯的程序设计。关于OpenSSL的一些详细的信息请参考OpenSSL的官方主页http://www.openssl.orgOpenSSL初始化SSL环境申请证书验证证书加载绑定到套接字SSL握手SSL通信关闭SSL连接目录Web安全概述SSLSSL程序设计ApacheWebServer安全ApacheWebServerApache配置文件Apache用户配置Apache符号连接配置Apache符号连接配置Apache符号连接配置防止返回目录内容列表返回目录内容列表将CGI限制在某些目录下不要基于文件名来启用CGI根据名字限制对文件的访问根据名字限制对文件的访问配置HTTP身份认证配置HTTP身份认证配置HTTP身份认证－httpd.conf配置服务器状态信息和信息显示配置public_html目录保护代理服务器配置mod_ssl将mod_ssl加入到Apache中