用不完的好奇心

前面介绍的安全技术，在友好环境中可以很好地工作，但在充满各种利益驱动和恶意对手的环境中，它们并不足以保护那些重要的事务处理。本章提供了一种更复杂，更安全的技术，通过数字密码来保护 HTTP 事务免受窃听和篡改的侵害。前面的章节讨论了一些提供认证(基本认证和摘要认证)和报文完整性检查(摘要 qop=”auth-int”)的轻量级方法。对很多网络事务来说，这些方法都是很好用的，但对大规模的购物、银行事

在详细探讨 HTTPS 之前，我们先介绍一些 SSL 和 HTTPS 用到的加密编码技术的背景知识。在这个数字加密技术的入门介绍中，我们会讨论以下内容： 密码：对文本进行编码，使偷窥者无法识别的算法。密钥：改变密码行为的数字化参数。对称密钥加密系统：编/解码使用相同密钥的算法。不对称密钥加密系统：编/解码使用不同密钥的算法。公开密钥加密系统：一种能够使数百万计算机便捷地发送机密报文的系统。

HTTPS 是最常见的 HTTP 安全版本。HTTPS 将 HTTP 协议与一组强大的对称、非对称和基于证书的加密技术结合在一起，使得 HTTPS 不仅很安全，而且很灵活，很容易在处于无序状态的、分散的全球互联网上进行管理。1. HTTPS 概述HTTPS 就是在安全的传输层上发送的 HTTP。它在将 HTTP 报文发送给 TCP 之前，先将其发送给了一个安全层，对其进行加密。现在，HTTP

SSL 是个复杂的二进制协议。除非你是密码专家，否则就不应该直接发送原始的 SSL 流量。幸运的是，借助一些商业或开源的库，编写 SSL 客户端和服务器并不十分困难。1. OpenSSLOpenSSL 是 SSL 和 TLS 最常见的开源实现。OpenSSL 项目由一些志愿者合作开发，目标是开发一个强壮的、具有完备功能的商业级工具集，以实现 SSL 和 TLS 协议以及一个全功能的通用加密库。可

客户端通常会用 Web 代理服务器代表它们来访问 Web 服务器。比如，很多公司都会在公司网络和公共因特网的安全边界上放置一个代理。代理是防火墙路由器唯一允许进行 HTTP 流量交换的设备，它可能会进行病毒检测或其他的内容控制工作。 但只要客户端开始用服务器的公开密钥对发往服务器的数据进行加密，代理就再也不能读取 HTTP 首部了。代理不能读取 HTTP 首部，就无法知道应该将请求转向何处了。 为了