97se在线视频,国产在线播放精品,国产日本欧美视频

[集]Weblogic 下蝲地址大全

�q�L��~@@~ — Mon, 25 Jun 2007 01:42:00 GMT

摘要: 阅读全文

�q�L��~@@~ 2007-06-25 09:42 发表评论

��目##路由WEB控制

�q�L��~@@~ — Sun, 25 Mar 2007 08:27:00 GMT

��目资源�Q�添加中�Q?br />http://www.jscape.com/
http://www.ishar.com/clients/
http://javassh.org/

例子
http://www.ishar.com/telnet/

文档
http://javassh.org/download/2.0/doc/source/index.html

�q�L��~@@~ 2007-03-25 16:27 发表评论

[转]思科路由器常用配�|�命令大�?A-X)

�q�L��~@@~ — Sun, 25 Mar 2007 07:30:00 GMT

Access-enable　　允许路由器在动态访问列表中创徏临时讉K��列表入口

Access-group　　把访问控制列�?ACL)应用到接口上

　　 Access-list　　定义一个标准的IP ACL

　　 Access-template　　在连接的路由器上手动替换临时讉K��列表入口

　　 Appn　　向APPN子系�l�发送命令�?

　　 Atmsig　　执行ATM信��o命��o

　　 B 　　手动引导操作�pȝ��

　　 Bandwidth 　　讄��接口的带��q?

　　 Banner motd 　　指定日期信息标语

　　 Bfe 　　讄��H�发事�g手册模式

　　 Boot system 　　指定路由器启动时加蝲的系�l�映像�?

　　 Calendar 　　讄��g日历

　　 Cd 　　更改路径

　　 Cdp enable 　　允许接口�q�行CDP协议

　　 Clear 　　复位功能

　　 Clear counters 　　清除接口计数器�?

　　 Clear interface 　　重新启动接口上的仉��辑

　　 Clockrate 　　讄��串口��g�q�接的时钟速率�Q�如�|�络接口模块和接口处理器能接受的速率

　　 Cmt 　　开�?关闭FDDI�q�接��理功能

　　 Config-register 　　修改配置寄存器设�|��?

　　 Configure 　　允许�q�入存在的配�|�模式，在中心站点上�l�护�q�保存配�|�信息�?

　　 Configure memory 　　从NVRAM加蝲配置信息

　　 Configure terminal 　　从终端进行手动配�|��?

　　 Connect 　　打开一个终端连接�?

　　 Copy 　　复制配置或映像数据�?

　　 Copy flash tftp 　　备䆾�pȝ��映像文�g到TFTP服务器�?

　　 Copy running-config startup-config 　　��RAM中的当前配置存储到NVRAM

　　 Copy running-config tftp 　　��RAM中的当前配置存储到网�l�TFTP服务器上

　　 Copy tftp flash 　　从TFTP服务器上下蝲新映像到Flash

　　 Copy tftp running-config 　　从TFTP服务器上下蝲配置文�g

　　 Debug 　　使用调试功能

　　 Debug dialer 　　昄��接口在拨什么号及诸如此�cȝ��信息

　　 Debug ip rip 　　昄��RIP路由选择更新数据

　　 Debug ipx routing activity 　　昄��关于路由选择协议(RIP)更新数据包的信息

　　 Debug ipx sap 　　昄��关于SAP�Q�业务通告协议�Q�更新数据包信息

　　 Debug isdn q921 　　昄��在�\由器D通道ISDN接口上发生的数据链�\层（�W?层）的访问过�E��?

　　 Debug ppp 　　昄��在实施PPP中发生的业务和交换信息�?

　　 Delete 　　删除文�g

　　 Deny 　　��Z��个已命名的IP ACL讄��条�g

　　 Dialer idle-timeout 　　规定�U��\断开前的�I�闲旉��的长度�?

　　 Dialer map 　　讄��一个串行接口来呼叫一个或多个地点

　　 Dialer wait-for-carrier-time 　　规定花多长时间等待一个蝲体�?

　　 Dialer-group 　　通过对属于一个特定拨��L��的接口进行配�|�来讉K��控制

　　 Dialer-list protocol 　　定义一个数字数据接受器�Q�DDR�Q�拨可��以通过协议或ACL与协议的�l�合来控制控制拨号�?

　　 Dir 　　昄��l�定讑֤�上的文�g

　　 Disable 　　关闭特许模式

　　 Disconnect 　　断开已徏立的�q�接

　　 Enable 　　打开特许模式

　　 Enable password 　　��定一个密码以防止对�\由器非授权的讉K��

Enable password 　　讄��本地口��o控制不同�Ҏ��U�别的访问�?

　　 Enable secret 　　为enable password命��o定义额外一层安全性�?强制安全�Q�密码非明文昄��)

　　 Encapsulation frame-relay 　　启动帧中�l�封装�?

　　 Encapsulation novell-ether 　　规定在网�l�段上��用的Novell独一无二的格式�?

　　 Encapsulation PPP 　　把PPP讄��为由串口或ISDN接口使用的封装方法�?

　　 Encapsulation sap 　　规定在网�l�段上��用的以太�|?02.2格式Cisco的密码是sap

　　 End 　　退出配�|�模式�?

　　 Erase 　　删除闪存或配�|�缓存�?

　　 Erase startup-config 　　删除NVRAM中的内容

　　 Exec-timeout 　　配置EXEC命��o解释器在��到用户输入前所�{�待的时闾b?

　　 Exit 　　退出所有配�|�模式或者关闭一个激�zȝ��l�端会话和终止一个EXEC

　　 Exit 　　�l�止��M��配置模式或关闭一个活动的对话和结束EXEC

　　 format 　　格式化设备�?

　　 Frame-relay local-dlci 　　��Z��用��中��装的串行线路启动本地管理接口（LMI�Q��?

　　 Help 　　获得交互式帮助系�l��?

　　 History 　　查看历史记录

　　 Hostname 　　使用一个主机名来配�|��\由器�Q�该��L��名以提示�W�或者缺省文件名的方式��用�?

　　 Interface 　　讄��接口�c�d��q�且输入接口配置模式

　　 Interface 　　配置接口�c�d��和进入接口配�|�模式�?

　　 Interface serial 　　选择接口�q�且输入接口配置模式

　　 Ip access-group 　　控制对一个接口的讉K��

　　 Ip address 　　讑֮�接口的网�l�逻辑地址

　　 Ip address 　　讄��一个接口地址和子�|�掩码�ƈ开始IP处理

　　 Ip default-network 　　建立一条缺省�\由�?

　　 Ip domain-lookup 　　允许路由器缺省��用DNS

　　 Ip host 　　定义静态主机名到IP地址映射

　　 Ip name-server 　　指定臛_��6个进行名�?地址解析的服务器地址

　　 Ip route 　　建立一条静态�\由�?

　　 Ip unnumbered 　　在�ؓ�l�一个接口分配一个明��的IP地址情况下，在串口上启动互联�|�协议（IP�Q�的处理�q�程

　　 Ipx delay 　　讄��点计敊W?

　　 Ipx ipxwan 　　在串口上启动IPXWAN协议

　　 Ipx maximum-paths 　　当�{发数据包时设�|�Cisco IOS软�g使用的等仯��\径数量�?

　　 Ipx network 　　在一个特定接口上启动互联�|�数据包交换�Q�IPX�Q�的路由选择�q�且选择��装的类型（用�ឮ� �?装）

　　 Ipx router 　　规定使用的�\由选择协议

　　 Ipx routing 　　启动IPX路由选择

　　 Ipx sap-interval 　　在较慢的链�\上设�|�较不频�J�的SAP�Q�业务广告协议）更新

　　 Ipx type-20-input-checks 　　限制对IPX20�c�L��据包�q�播的传播的接受

　　 Isdn spid1 　　在�\由器上规定已�l�由ISDN业务供应商�ؓB1信道分配的业务简介号�Q�SPID�Q��?

　　 Isdn spid2 　　在�\由器上规定已�l�由ISDN业务供应商�ؓB2信道分配的业务简介号�Q�SPID�Q��?

　　 Isdntch-type 　　规定了在ISDN接口上的中央办公区的交换机的�c�d��

　　 Keeplive 　　��Z��用��中��装的串行线路LMI�Q�本地管理接口）机制

　　 Lat 　　打开LAT�q�接

　　 Line 　　��定一个特定的�U��\和开始线路配�|��?

　　 Line concole 　　讄��控制台端口线路�?

　　 Line vty 　　��E�控制台讉K��规定了一个虚拟终端�?

　　 Lock 　　锁住�l�端控制及W?

　　 Mbranch 　　向下跟踪�l�播地址路由至终端�?

　　 Media-type 　　定义介质�c�d��

　　 Metric holddown 　　把新的IGRP路由选择信息与正在��用的IGRP路由选择信息隔离一�D�|��闾b?

　　 Mrbranch 　　向上解析�l�播地址路由��x��端�?

　　 Mrinfo 　　从组播�\由器上获取邻居和版本信息

　　 Mstat 　　对组播地址多次路由跟踪后显�C�统计数字�?

　　 Mtrace 　　由源向目标跟�t�解析组播地址路径

　　 Name-connection 　　命名已存在的�|�络�q�接

　　 Ncia 　　开�?关闭NCIA服务器�?

　　 Network 　　把一个基于NIC的地址分配�l�一个与它直接相�q�的路由器把�|�络与一个IGRP的�\由选择的过�E�联�p��v来在IPX路由器配�|�模式下�Q�在�|�络上启动加强的IGRP

　　 Network 　　指定一个和路由器直接相�q�的�|�络地址�D��?

　　 Network-number 　　对一个直接连接的�|�络�q�行规定

　　 No shutdown 　　打开一个关闭的接口

　　 Pad 　　开启一个X.29 PAD�q�接

　　 Permit 　　��Z��个已命名的IP ACL讄��条�g

　　 Ping 　　把ICMP响应��h��的数据包发送网�l�上的另一个节�Ҏ��查主机的可达性和�|�络的连通性对�|�络的基本连通性进行诊断�?

　　 Ping 　　发送回声请求，诊断基本的网�l�连通性�?

　　 Ppp 　　开始IETF点到点协议�?

　　 Ppp 　　authentication 启动Challenge握手鉴权协议�Q�CHAP�Q�或者密码验证协议（PAP�Q�或者将两者都启动�Q��ƈ且对在接口上选择的CHAP和PAP验证的顺序进行规定�?

　　 Ppp chap hostname 　　当用CHAP�q�行�w�䆾验证�Ӟ��创徏一批好像是同一��C��机的拨号路由器�?

　　 Ppp chap password 　　讄��一个密码，该密码被发送到对�\由器�q�行�w�䆾验证的主机命令对�q�入路由器的用户�?密码的数量进行了限制

　　 Ppp pap sent-username 　　对一个接口启动远�E�PAP支持�Q��ƈ且在PAP对同�{�层��h��数据包验证过�E�中使用sent-username和password

　　 Protocol 　　对一个IP路由选择协议�q�行定义�Q�该协议可以是RIP�Q�内部网兌��\由选择协议�Q�IGRP�Q�，开放最短�\径优先（OSPF�Q�，�q�可以是加强的IGRP

　　 Pwd 　　昄��当前讑֤�名�?

　　 Reload 　　关闭�q�执行冷启动�Q�重启操作系�l��?

　　 Rlogin 　　打开一个活动的�|�络�q�接

　　 Router 　　��q��一��定义的IP路由协议作�ؓ路由�q�程�Q�例如：router rip 选择RIP作�ؓ路由协议

　　 Router igrp 　　启动一个IGRP的�\由选择�q�程

　　 Router rip 　　选择RIP作�ؓ路由选择协议

　　 Rsh 　　执行一个远�E�命令�?

　　 Sdlc 　　发送SDLC��试帧�?

　　 Send　　在tty�U��\上发送消息�?

　　 Service password-encryption 　　对口令进行加密�?

　　 Setup 　　�q�行Setup命��o

　　 Show 　　昄��q�行�pȝ��信息

　　 Show access-lists 　　昄��当前所有ACL的内容�?

　　 Show buffers 　　昄��~�存器统计信息�?

　　 Show cdp entry 　　昄��CDP表中所列相邻设备的信息

　　 Show cdp interface 　　昄��打开的CDP接口信息

　　 Show cdp neighbors 　　昄��CDP查找�q�程的结果�?

　　 Show dialer 　　昄��为DDR�Q�数字数据接受器�Q�设�|�的串行接口的一般诊断信息�?

　　 Show flash 　　昄��闪存的布局和内容信息�?

　　 Show frame-relay lmi 　　昄��关于本地��理接口�Q�LMI�Q�的�l�计信息

　　 Show frame-relay map 　　昄��关于�q�接的当前映��入口和信息

　　 Show frame-relay pvc 　　昄��关于帧中�l�接口的�怹�虚电路（pvc�Q�的�l�计信息

　　 Show hosts 　　昄��L��名和地址的缓存列表�?br />

　　 Show interfaces 　　昄��讄��在�\由器和访问服务器上所有接口的�l�计信息

　　 Show interfaces 　　昄��路由器上配置的所有接口的状态�?

　　 Show interfaces serial 　　昄��关于一个串口的信息

　　 Show ip interface 　　列出一个接口的IP信息和状态的��结

　　 Show ip interface 　　列出接口的状态和全局参数

　　 Show ip protocols 　　昄��z�d��路由协议�q�程的参数和当前状态�?

　　 Show ip route 　　昄��路由选择表的当前状态�?

　　 Show ip router 　　昄��IP路由表信息�?

　　 Show ipx interface 　　昄��Cisco IOS软�g讄��的IPX接口的状态以及每个接口中的参敊W?

　　 Show ipx route 　　昄��IPX路由选择表的内容

　　 Show ipx servers 　　昄��IPX服务器列表�?

　　 Show ipx traffic 　　昄��数据包的数量和类型�?

　　 Show isdn active 　　昄��当前呼叫的信息，包括被叫��L��、徏立连接前所��p��的时间、在呼叫期间使用的自动化操作控制�Q�AOC�Q�收费单元以及是否在呼叫期间和呼叫结束时提供AOC信息

　　 Show isdn ststus 　　昄��所有isdn接口的状态、或者一个特定的数字信号链�\�Q�DSL�Q�的状态或者一个特定isdn接口的状态�?

　　 Show memory 　　昄��路由器内存的大小�Q�包括空闲内存的大小

　　 Show processes 　　昄��路由器的�q�程

　　 Show protocols 　　昄��讄��的协议�?

　　 Show protocols 　　昄��配置的协议。这条命令显�C�Z�Q何配�|�了的第3层协议的状态�?

　　 Show running-config 　　昄��RAM中的当前配置信息

　　 Show spantree 　　昄��关于虚拟局域网�Q�VLAN�Q�的生成树信息�?

　　 Show stacks 　　监控和中断程序对堆栈的��用，�q�显�C�系�l�上一�ơ重启的原因

　　 Show startup-config 　　昄��NVRAM中的启动配置文�g

　　 Show ststus 　　昄��ISDN�U��\和两个B信道的当前状态�?

　　 Show version 　　昄��pȝ��g的配�|�，软�g的版本，配置文�g的名�U�和来源及引导映像�?

　　 Shutdown 　　关闭一个接口�?

　　 Telnet 　　开启一个telect�q�接

　　 Term ip 　　指定当前会话的网�l�掩码的格式

　　 Term ip netmask-format 　　规定了在show命��o输出中网�l�掩码显�C�的格式

　　 Timers basic 　　控制着IGRP以多��时间间隔发送更��C��息�?

　　 Trace 　　跟踪IP路由

　　 Username password 　　规定了在CHAP和PAP呼叫者��n份验证过�E�中使用的密码�?

　　 Verify　　 ��验flash文�g

　　 Where　　昄��z�d��q�接

　　 Which-route　　 OSI路由表查扑֒�昄��l�果

　　 Write　　 �q�行的配�|�信息写入内存，�|�络或终端�?

　　 Write erase 　　现在由copy startup-config命��o替换

　　 X3 　　在PAD上设�|�X.3参数

　　 Xremote 　　�q�入XRemote模式

�q�L��~@@~ 2007-03-25 15:30 发表评论

�q�L��~@@~ — Sun, 11 Mar 2007 05:26:00 GMT

from : 天极

在CIW评��中虽然没有对SSL做深入的讨论�Q�但是SSL已成为应用最�q�泛的互�q�网安全协议了，有必要对其深�ȝ��?/p>

　　一前言

　　首先要澄清一下名字的��h��Q?br />　　1 SSL(Secure SocketLayer)是netscape公司设计的主要用于web的安全传输协议。这�U�协议在WEB上获得了�q�泛的应用�?br />　　2 IETF(http://www.ietf.org/)��SSL作了标准化，即RFC2246,�q�将其称为TLS�Q�TransportLayer Security�Q�，从技术上�Ԍ��TLS1.0与SSL3.0的差别非常微��。由于本文中没有涉及两者间的细��差别，本文中这两个名字�{��h�?br />　　3 在WAP的环境下�Q�由于手机及手持讑֤�的处理和存储能力有限�Q�wap论坛�Q?a >http://www.wapforum.org/�Q�在TLS的基��上做�?..S协议�Q�Wireless Transport Layer Security�Q�，以适应无线的特�D�环境�?/p>

　　我们从各式各��L��文章中得知，SSL可以用于保密的传输，�q�样我们与web server之间传输的消息便是“安全的”�?br />　　而这�U�“安全”究竟是怎么实现的，最�l�有能实现多大程度的保密�Q�本文希望能用通俗的语�a�阐明其实现原理�?/p>

　　�?整体�l�构概览

　　SSL是一个介于HTTP协议与TCP之间的一个可选层�Q�其位置大致如下�Q?

　　如果利用SSL协议来访问网��，其步骤如下：
　　用户�Q�在��览器的地址栏里输入https://www.sslserver.com/
　　HTTP层：��用户需求翻译成HTTP��h��Q�如
　　GET /index.htm HTTP/1.1
　　Host http://www.sslserver.com/

　　SSL�? 借助下层协议的的信道安全的协商出一份加密密钥，�q�用此密钥来加密HTTP��h��?br />　　TCP层：与web server�?43端口建立�q�接�Q�传递SSL处理后的数据�?/p>

　　接收端与此过�E�相反�?

　　SSL在TCP之上建立了一个加密通道�Q�通过�q�一层的数据�l�过了加密，因此辑ֈ�保密的效果�?/p>

　　SSL协议分�ؓ两部分：Handshake Protocol和Record Protocol,。其中HandshakeProtocol用来协商密钥�Q�协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥�?Record Protocol则定义了传输的格式�?br />�?需要的加密斚w��的基��知识

　　了解SSL原理需要一点点加密的概念，�q�里把需要的概念做一下简单阐�q�ͼ�

　　加密一般分��Z��c�，对称加密�Q�非对称加密及单向散列函数�?

　　对称加密�Q�又分分�l�密码和序列密码�?br />　　分组密码是将明文按一定的位长分组�Q�明文组�l�过加密�q�算得到密文�l�，密文�l�经�q�解密运��?br />　　�Q�加密运��的逆运��）�Q�还原成明文�l��?
　　序列密码是指利用��量的密钥（制�ؕ元素�Q�通过某种复杂的运��（密码��法�Q��生大量的伪随��Z��，用于�Ҏ��文位��的加密�?br />　　解密是指用同��L��密钥和密码算法及与加密相同的伪随��Z��，用以�q�原明文位流�???

　　CBC(Cipher Block Chaining)模式�q�个词在分组密码中经�怼�用到�Q�它是指一个明文分�l�在被加密之前要与前一个的密文分组�q�行异或�q�算。当加密��法用于此模式的时候除密钥外，�q�需协商一个初始化向量�Q�IV�Q�，�q�个IV没有实际意义�Q�只是在�W�一�ơ计��的时候需要用到而已。采用这�U�模式的话安全性会有所提高�?/p>

　　分组密码的典型例子�ؓDES,RC5,IDEA�?
　　序列密码的典型例子�ؓRC4�?/p>

　　公钥加密�Q?
　　��单的说就是加密密钥与解密密钥不同�Q�分�U�钥和公钥。这�U�方法大多用于密钥交换，RSA便是一个我们熟知的例子�?br />　　�q�有一个常用的�U�C��DH�Q�它只能用于密钥交换�Q�不能用来加密�?

　　单向散列函数�Q?
　　�׃��信道本��n的干扰和��Zؓ的破坏，接受到的信息可能与原来发出的信息不同�Q�一个通用的办法就是加入校验码�?br />　　单向散列函数便可用于此用途，一个典型的例子是我们熟知的MD5,它��?28位的摘要�Q�在现实中用的更多的是安全散列算法（SHA�Q�，SHA的早期版本存在问题，目前用的实际是SHA�Q?�Q�它可以产生160位的摘要�Q�因此比128位散列更能有效抵抗穷举攻凅R�?/p>

　　�׃��单向散列的算法都是公开的，所以其它�h可以先改动原文，再生成另外一份摘要。解册��个问题的办法可以通过HMAC�Q�RFC 2104�Q?它包含了一个密钥，只有拥有相同密钥的�h才能鉴别�q�个散列�?/p>

　　�?密钥协商�q�程

　　�׃��对称加密的速度比较慢，所以它一般用于密钥交换，双方通过公钥��法协商��Z��份密钥，然后通过对称加密来通信�Q�当�Ӟ��Z��保证数据的完整性，在加密前要先�l�过HMAC的处理�?/p>

　　SSL�~�省只进行server端的认证�Q�客��L��的认证是可选的。以下是其流�E�图�Q�摘自TLS协议�Q��?/p>

　　Client Server

　　Clienth*llo -------->

　　Serverh*llo
　　Certificate*
　　ServerKeyExchange*
　　CertificateRequest*
　　<-------- Serverh*lloDone
Certificate*
　　ClientKeyExchange
　　CertificateVerify*
　　[ChangeCipherSpec]
　　Finished -------->

　　[ChangeCipherSpec]
　　<-------- Finished
　　Application Data <-------> Application Data

　　��单的说便是：SSL客户端（也是TCP的客��L��Q�在TCP链接建立之后�Q�发��Z��个Clienth*llo来发��h��手，�q�个消息里面包含了自己可实现的算法列表和其它一些需要的消息�Q�SSL的服务器端会回应一个Serverh*llo�Q�这里面��定了这�ơ通信所需要的��法�Q�然后发�q�去自己的证书（里面包含了��n份和自己的公钥）。Client在收到这个消息后会生成一个秘密消息，用SSL服务器的公钥加密后传�q�去�Q�SSL服务器端用自��q��U�钥解密后，会话密钥协商成功�Q�双方可以用同一份会话密钥来通信了�?/p>

　　�?密钥协商的�Ş象化比喻

　　如果上面的说明不够清晎ͼ��q�里我们用个形象的比喻，我们假设A与B通信�Q�A是SSL客户端，B是SSL服务器端�Q�加密后的消息放在方括号[]里，以突出明文消息的区别。双方的处理动作的说明用圆括��P��Q�括赗��?/p>

　　A�Q�我惛_��你安全的通话�Q�我�q�里的对�U�加密算法有DES,RC5,密钥交换��法有RSA和DH�Q�摘要算法有MD5和SHA�?/font>

　　B�Q�我们用DES�Q�RSA�Q�SHA�q�对�l�合好了�?
　　�q�是我的证书�Q�里面有我的名字和公钥，你拿去验证一下我的��n份（把证书发�l�A�Q��?br />　　目前没有别的可说的了�?/font>

　　A�Q�（查看证书上B的名字是否无误，�q��过手头早已有的CA的证书验证了B的证书的真实性，如果其中一��Ҏ��误，发出警告�q�断开�q�接�Q�这一步保证了B的公钥的真实性）
　　�Q��生一份秘密消息，�q�䆾�U�密消息处理后将用作加密密钥�Q�加密初始化向量和hmac的密钥。将�q�䆾�U�密消息-协议中称为per_master_secret-用B的公钥加密，��装成称作ClientKeyExchange的消息。由于用了B的公钥，保证了第三方无法�H�听�Q?br />　　我生成了一份秘密消息，�q�用你的公钥加密了，�l�你�Q�把ClientKeyExchange发给B�Q?br />　　注意�Q�下面我��p��用加密的办法�l�你发消息了�Q?br />　　�Q�将�U�密消息�q�行处理�Q�生成加密密钥，加密初始化向量和hmac的密钥）
　　[我说完了]

　　B�Q�（用自��q��U�钥��ClientKeyExchange中的�U�密消息解密出来�Q�然后将�U�密消息�q�行处理�Q�生成加密密钥，加密初始化向量和hmac的密钥，�q�时双方已经安全的协商出一套加密办法了�Q?br />　　注意�Q�我也要开始用加密的办法给你发消息了！
　　[我说完了]
　　A: [我的�U�密�?..]
　　B: [其它��Z��会听到的...]

　　�?加密的计��?

　　上一步讲了密钥的协商�Q�但是还没有阐明是如何利用加密密钥，加密初始化向量和hmac的密钥来加密消息的�?br />　　其实其过�E�不�q�如此：
　　1 借助hmac的密钥，�Ҏ��文的消息做安全的摘要处理�Q�然后和明文攑ֈ�一赗��?
　　2 借助加密密钥�Q�加密初始化向量加密上面的消息�?br />�?安全�?

　　SecurityPortal�?000�q�底有一份文章《The End of SSL and SSH?》激起了很多的讨论，
　　目前也有一些成熟的工具如dsniff�Q?a >http://www.monkey.org/~dugsong/dsniff/�Q�可�?br />　　通过man in the middle��d��来截获https的消息�?br />　　从上面的原理可知�Q�SSL的结构是严�}的，问题一般出现在实际不严谨的应用中。常见的��d��是
　　middle in the middle��d��Q�它是指在A和B通信的同�Ӟ��有第三方C处于信道的中��_��可以完全
　　听到A与B通信的消息，�q�可拦截�Q�替换和��d��q�些消息�?

　　1 SSL可以允许多种密钥交换��法�Q�而有些算法，如DH�Q�没有证书的概念�Q�这样A便无法验证B的公�?br />　　和��n份的真实性，从而C可以��L��的冒充，用自��q��密钥与双斚w��信�Q�从而窃听到别�h谈话的内宏V�?br />　　而�ؓ了防止middle inthe middle��d��Q�应该采用有证书的密钥交换算法�?br />　　2 有了证书以后�Q�如果C用自��q��证书替换掉原有的证书之后�Q�A的浏览器会弹��Z��个警告框�q�行警告�Q�但又有多少��Z��注意�q�个警告呢？
　　3 �׃��国密码出口的限�Ӟ��IE�Q�netscape�{�浏览器所支持的加密强度是很弱的，如果只采用浏览器自带的加密功能的话，理论上存在被破解可能�?/font>

　　�?代理

　　下面探讨一下SSL的代理是怎样工作�?可参见[6])。这可能与你开始想的不太一��P��Q?/p>

　　当在��览器里讄��了https的代理，而且在浏览器里输入了https://www.example.com之后�Q?br />　　��览器会与proxy建立tcp链接�Q�然后向其发��么一�D�|��息：
　　CONNECT server.example.com:443 HTTP/1.1
　　Host: server.example.com:443
　　然后proxy会向webserver端徏立tcp�q�接,之后�Q�这个代理便完全成了个内容�{发装�|�。浏览器
　　与web server会徏立一个安全通道�Q�因此这个安全通道是端到端的，��管所有的信息��过了proxy,
　　但其内容proxy是无法解密和改动的（当然要由证书的支持，否则�q�个地方便是个manin the middle��d��的好场所�Q�见上面的讨论）�?/p>

　　�?关于证书

　　注意�Q�如果对于一般的应用�Q�管理员只需生成“证书请求”（后缀大多�?csr�Q�，它包含你的名字和公钥�Q�然后把�q�䆾��h��交给诸如verisign�{�有CA服务公司�Q�当�Ӟ��q�同几百��金�Q�，
　　你的证书��h��l�验证后�Q�CA用它的私钥签名，形成正式的证书发�q�给你。管理员再在webserver上导入这个证书就行了。如果你不想花那�W�钱�Q�或者想了解一下原理，可以自己做CA�?/p>

　　从ca的角度讲�Q�你需要CA的私钥和公钥。从惌��证书的服务器角度��，需要把服务器的证书��h��交给CA.

　　如果你要自己做CA�Q�别忘了客户端需要导入CA的证书（CA的证书是自签名的�Q�导入它意味着你“信仠Z��这个CA�{��v的证书）�?br />　　而商业CA的一般不用，因�ؓ它们已经内置在你的浏览器中了�?

　　�?wtls

　　在WAP的环境中�Q�也有安全加密的需求，因此wapforum参照在WWW世界里最为流行的SSL协议设计了WTLS.从原理上��_��q�䆾协议与SSL是基本相同的�Q�但在具体的地方作了许多改动。这些改动的大多没有什么技术上的需要，而是�׃��考虑到手持设备运��与存储的局限而尽量做了简化。不�q�我的感觉是�q�些改动意义实在不大�Q�其获得的计��和存储上节省出来的旉��和空间�ƈ不多。在��g速度�H�飞猛进的时代，�q�种改动能获得的好处也许�q�不很多�Q�一个新的协议便需要大量新的投入，而且与原有体制�ƈ不兼容，关于�q�点有文章[7]做了�_�ֽ�阐述�Q�可参看�Q��?/p>

　　�q�里我简单�D一些SSL与WTLS的差别�?

　　1 WTLS在一般udp�q�类不可靠信道之上工作，因此每个消息里要有序列号�Q�协议里也要靠它来处理丢包，重复�{�情��c�?br />　　此外�Q�拒�l�服务攻��M��因此变得更加�Ҏ��?
　　2 WTLS建立的安全连接是在wap�|�关和手持设备之��_��wap�|�关和web server之间如果也要保密�Q�便要采再用SSL�Q�即在这�U�模型中无法实现端到端的加密�?/font>

　　---------- ------------- ---------
　　| Mobile |----------->| WAP |---------->| WEB |

　　| Device |<-----------| Gateway |<----------|Server |

　　| | WTLS | | SSL | |
　　---------- ------------- ---------

　　3 WTLS协议里加了一�U�成为key_refresh的机�?当传递了一定数量数据包后，双方通过同样的算法将自己的密钥做一下更新。付��Z��很小的代��P��安全性得以增强�?br />

�q�L��~@@~ 2007-03-11 13:26 发表评论