（计算机应用技术专业论文）安全日志服务器的网络信息采集及密钥管理系统.pdf

摘要 随着社会信息化步伐的加快， 信息的安全性问 题日 益突出。 信息 安全是一个涉及面十分广泛的系统工程， 它涉及了 立法、 管理、 技术 等方面的内容。目 前， 信息安全立法中电子证据保全和取证困难的问 题是国内外研究的热点之一， 其中安全日志服务器技术是保全电子证 据的一种有效手段。 由于从丰富的日志记录中可以很快的定位与犯罪相关的信息， 所 以保证日 志的安全性是安全日 志服务器的一个基本目的， 加密和认证 是常用的保证日志信息安全性的重要方法。 本论文的主要工作之一就 是提出了构建密钥管理中心确保日志信息安全可靠的传送到日志服 务器。 密钥管理中心负贵统一生成、 保存高强度的密钥并且颁发能证 明用户身份的证书， 这样就有效的避免了非法用户将不可信的日志信 息存储到日 志服务器，千扰日 志的可靠性和完整性。 本论文实现的密钥管理中心除了可以为安全日 志服务器提供安 全保障之外， 还可以应用到其他有类似安全需求的系统中。比 如可以 用它来保护系统的关键文件的机密性和完整性等等。 本文的另一工作是完成了安全日 志服务器中l i n u x 下的网络信息 采集模块。 与传统s n i f f e r 软件采用套接字s o c k _ p a c k e t 截获网 络数 据包不同， 本文中i p 数据包的捕获采用l i b p c a p 库实现， 并且引入 信号机制加强程序的健壮性。 我们以l i n u x 为平台， 对t c p 八p 协议 下的i p 包捕获和解析从原理到模块都做了比较详尽的说明。 关键词:安 全日 志 服务 器 密 钥 管 理中 心 密 钥 分发 i p 包捕获l i b p c a p ab s t r a c t a l o n g w i t h t h e s o c i e t y s p a c i n g i n t o a n e w i n f o r m a t i o n a g e , in f o r m a t i o n s e c u r i t y i s b e i n g m o r e a n d m o r e im p o r ta n t n o w a d a y s . i n f o r m a t i o n s e c u r i ty i n c l u d i n g l e g i s l a t i o n , m a n a g e m e n t a n d t e c h n o l o g y i s a s y s t e m i c p r o j e c t . a t p r e s e n t , t h e d i f fi c u lt p r o b l e m h o w t o g e t , t o k e e p , a n d t o p r o t e c t t h e e - e v i d e n c e i n t h e l e g i s l a t i o n o f i n f o r m a t i o n s e c u r i ty i s o n e o f t h e f o c u s e s o f s t u d y i n g b o t h a t h o m e a n d a b r o a d . t h e t e c h n o l o g y o f s e c u r e l o g s s e r v e r i s a k in d o f e ff e c t iv e m e a n s t o s a v e fr o m d a m a g e e l e c t r o n i c e v i d e n c e a m o n g t h e m . f r o m a b u n d a n t d a i l y r e c o r d s , w e c a n fi n d q u i c k ly s o m e m e s s a g e s r e l a t e d w i t h c r i m e . s o i t i s a b a s i c p u r p o s e o f t h e s e c u r e l o g s s e r v e r t o g u a r a n t e e t h e s e c u r i ty o f t h e d a i l y r e c o r d . e n c ry p t a n d a u t h e n t i c a t io n i s c o m m o n l y u s e d t o e n s u r e t h e s e c u r i ty o f d a i l y r e c o r d . we p r o p o s e a s c h e m e t o s truc t u r e k e y m a n a g e r t h a t c a n c o n v e y d a i l y re c o r d s t o s e c u r e l o g s s e r v e r s a f e l y a n d r e li a b l y . k e y m a n a g e r w i ll g e n e r a t e a n d s t o r e s t r o n g k e y s , a n d i s s u e t h e c e r t i fi c a t e t h a t c a n a u t h e n t i c a t e t h e i d e n t i t i e s o f c l i e n t s , w h i c h c a n p r e v e n t u n a u t h e n t i c a t e d u s e r s fr o m s t o r i n g u n r e l i a b l e l o g s t o s e c u r e l o g s s e r v e r a n d i n t e r f e r i n g t h e d e p e n d a b i li ty o f t h e d a i ly r e c o r d s . b e s i d e s o ff e r i n g t h e s e c u r i ty f o r s e c u re l o g s s e r v e r , k e y m a n a g e r in t h i s t h e s i s c a n a l s o a p p l y t o o t h e r s y s t e m s w i t h th e s i m i l a r s a f e d e m a n d .f o r e x a m p l e , k e y m a n a g e r c a n p r o t e c t t h e c o n f i d e n t i a l i t y a n d in t e g r a l i ty o f k e y fi l e s o f s y s te m s , e t c . t h e m o d u l e o f c o l l e c t i n g t h e n e t w o r k i n f o r m a t i o n b a s e d l i n u x i s a n o t h e r ma i n wo r k o f t h i s t h e s i s . di ff e ren t fr o m t r a d i t i o n a l s n i ff e r s o f t w a re t h a t a d o p t s o c k p a c k e t t o c a p t u r e n e t w o r k p a c k e t s , t h e m o d u l e o f c a t c h i n g i p p a c k e t i n o u r s y s t e m a d o p t s l i b p c 即 a n d in t r o d u c e s s a f e s i g n a l m e c h a n i s m t o s t r e n g th e n th e p r o c e d u r e m o r e s t r o n g t h i s t h e s i s e x p o u n d s u p o n t h e c a t c h a n d p a c k o f i p p a c k e t w i t h i n t c p / i p p r o t o c o l b a s e d o n l i n u x p l a t f o r m k e y w o r d s : s e c u r e l o g s s e r v e r k e y m a n a g e r k e y d i s t ri b u t i o n p a c k o f i p p a c k e t l i b p c a p 北京交通大学硕士学位论文 第一章 综述 1 . 1安全日 志服务器简介 1 . 1 . 1 安全日 志服务器要解决的问题 一、日志的特点 日 志是让计算机留下痕迹的一个很好的选择， 目 前各种各样的系 统软件、 服务软件、 应用软件都或多或少的产生并保存日 志日 志所 保存的信息是海盆的。 通过日志，可以 把安全防护的事前、 事中、 事 后三个阶段有机的结合起来， 因为各阶段采用的各种安全技术和产品 基本上都保存有自己的日 志。 每种计算机案件在各个阶段中表现的特 征和留下的痕迹是不同的，因此， 从丰富的日志记录中可以很快的定 位犯罪相关的信息，日 志还可以 提供罪犯一系列连贯的 证据。 但是目 前的计算机系统中， 日 志基本上都是采用明码的方式存放 的。 一方面， 相关用户和入侵者都容易看到日 志内 容， 信息易被泄漏， 因此日 志一般对可记录的信息进行限 制， 降低了日 志的信息量; 另一 方面， 相关用户和入侵者可以不受控制、 不留痕迹的随意篡改或伪造 日 志的内容，这也降低了日 志所保存的海量信息的可靠性和完整性。 因此， 目 前计算机的日 志还只能对计算机犯罪案件的侦破提供一定的 帮助， 其帮助也是有限的。 这对打击计算机犯罪、 完善计算机安全立 法是不利的。 二、 安全日志服务器如何解决上述问题 我们所提出的安全日 志服务器川 正是看中了日 志的巨大信息量和 信息连贯性的特点， 在日 志服务器的基础上， 通过我们提出的建立密 北京交通大学硕士学位论文 钥管理中心保证日志记录的正确性、 完整性和不可抵赖性。 安全日 志 服务器的目的是通过一种可操作性强的方法来保证和证明日 志记录 的正确性和完整性， 以此来保证电子证据分析取证所基于的现场数据 的可靠性是可控和可证明的， 从而确保最终获取的证据的正确性、 完 整性和不可抵赖性。 安全日志服务器的提出是为了解决电子证据的取证问题，旨 在建 立一套基于日 志的电子证据获取、 保全和取证系统。 与其他电 子证据 取证系统不同， 安全日 志服务器可以从犯罪刚开始发生就把它的痕迹 安全的保存下来。 这些痕迹是以被加密和鉴别的日 志形式存在， 这使 得入侵者很难篡改其内容，即使入侵者非法操作过这些日志信息， 也 可以被相应的安全性校验机制发现。 同时安全性校验机制也可以为证 据的正确性和完整性提供有效的证明， 确保了证据的有效性和不可抵 赖性。 另外，由于日 志的可靠性得到很好的保证， 提高了日 志所保存的 海t信息的可靠性， 也提高了分析审计和线索挖掘所得到的结果的正 确性和可靠性，有助于事后的分析审计。 1 . 1 . 2 安全日 志服务器的 描述 安全日 志服务器的主要任务就是保证日 志的安全性。 它首先要确 保自己的安全， 因此它安放在网络中一个受严格控制的位置. 安全日 志服务器提供有几大基本功能: 安全策略管理、日 志获取和收集、日 志归类、安全保证、日志审计和取证、历史备份等。 首先，安全日志服务器的日 志采集部件采集来自 要保护网络的出 口的 指定数据和网 络中主机的一些日 志。 采集部件分为客户端和服务 器端， 客户端分散在一些关键主机上及网络的出口处负责对相应信息 的采集， 服务器端位于安全日 志服务器上， 客户端和服务器端之间 通 过特定的安全信道通信。 其次，采集到的日 志记录被送到日志分类模块，根据指定的安全 策略和规则进行分类。 进行日 志分类目 的是进行海量信息的区分， 这 对于最后进行分析审计、线索挖掘、 证据取证都是很有帮助的。归类 北京交通大学硕士学位论文 好的日 志记录并不直接保存到日 志文件中， 它还要经过加密处理之后 才能保存到日志文件中。 接着，用户使用密钥管理中心颁发的证书和日志服务器证书进行 严格的身份认证， 认证通过后， 用户再使用密钥管理中心为其生成的 高强度密钥对日志信息进行加密， 确保日志纪录的安全。 最后，在适当或必要的时候可以使用审计和取证模块对日志记录 进行分析审计、 线索挖掘、证据取证. 这时， 可以根据预先定义的安 全策略， 采用人工智能、 数据挖掘等海量数据处理技术进行自 动处理; 也可以在人工千预的方式下，采用查询分析工具进行手动处理。 安全日志服务器还提供历史备份功能进行数据的备份， 这些历史 数据文件也可以 被审计和取证工具进行分析。 此外， 安全日 志服务器 还提供安全策略的管理模块。 根据具体系统的不同需求， 管理员可以 初始化或变更系统的配置和运行参数， 使得安全日 志服务器具有良 好 的适应性和可管理性。 1 . 2密钥管理中心洲 别. 2 . 1 构建密钥管理中心的必要性 密钥管理7 ,n 方面存在几个需 要 协调解决的问 题， 包括 . 用户密钥对的生成质盆问题:保证对每个用户生成高强度的 密钥对安全日 志服务器来说是至关重要的， 基于w w w模式 的系统，客户端浏览器生成的密钥对强度较弱，因此不能让 用户直接使用浏览器生成的密钥对。 . 用户密钥对的安全管理问 题:帮助用户安全存储、使用、销 毁用户密钥对，防止用户密钥对在使用过程中被非法窃取。 . 密钥托管问题:在司法调查取证等情况下，需要获取用户密 钥对和已解密用户加密的数据，以获取需要的证据。 建立一个统一的密钥管理中心则是解决问题的有效途径， 它的重 要性主要体现在以下三个方面: 首先， 相对于用户浏览器生成的强度 北京交通大学硕士学位论文 较弱的密钥对，密钥管理中心可以统一为用户生成高强度的密钥对， 这些密钥对及其它一些信息保存在数据库中， 数据库本身又可以提供 安全防护，进一步提高日志的安全性。 其次， 密钥管理中心负责颁发 用于证明身份的证书， 这样就有效的避免了非法用户将不可信的日志 信息存储到日志服务器，干扰日 志的可靠性。 最后，用户的密钥对在 密钥管理中心有备份， 在司法调查取证等情况下， 就可以通过合法的 手续获取用户密钥对，解决密钥托管问题。 剔. 2 . 2 密钥管理中心的 整体描述 密钥管理中心的作用决定了建立密钥管理中心的总体目 标: 对用 户密钥对的生成、 使用等过程进行统一规范化的安全管理， 为用户提 供安全完整的密钥管理方案， 同时， 又能满足司法部门 在调查取证等 合法情况下可以获取用户密钥对的需要。 密钥的泄漏将直接导致明文内容的泄漏， 从密钥管理的途径窃取 机密比用破译的方法花费的代价要小得多， 所以对密钥的管理和保护 格外重要。本文提出由 密钥管理中心统一生成并保存密钥对。 此外， 密钥管理中心的另一个主要功能就是颁发证书。 1 . 3本文工作和论文组织 1 . 3 . 1 论文完成的主要任务 第一、 提出用于事后分析和证据取证的安全日 志服务器的整体构 架， 并根据实现功能的不同划分成不同的模块， 如日 志获取和收集模 块、日 志分类模块、日 志审计和取证模块、 历史备份模块等， 并增加 了关键的密钥管理中心. 第二、 本文详细讲述了在l i n u x 操作系统下如何对网 络上传输的 数据包进行捕获并根据审计的要求提取有用的信息组成新的数据包， 最终安全的存入日志服务器中。 在数据包的捕获过程中， 本文提出了 北京交通大学硕士学位论文 采用信号机制来加强捕获程序的健壮性。 网络信息采集模块是安全日 志服务器系统的一个客户端， 密钥管理中心确保了该采集模块收集到 的日志能够安全的保存进日志服务器中。 第三、本文从密钥管理中心构建的必要性入手，根据安全日 志服 务器具有的安全需求来确定密钥管理中心的设计方案。 比如考虑到安 全日 志服务器有实时性的要求， 本文建议采用对称加密算法对日 志记 录进行加密。 再比如，在客户端向日志服务器传递信息前，首先要确 认双方的身份， 要求双方的身份不能被假冒 或伪装。 密钥管理中心负 责颁发用于验证身份的证书， 用户和日 志服务器通过双方的身份认证 之后，用户才可以将其日 志信息存入。本系统中采用x 5 0 9证书的方 式实现用户和服务器之间的身份认证。 第四、 在密钥管理中心功能模块划分的基础上， 对各个功能模块 进行详细的设计，并采用v c 在w i n d o ”平台下进行实现。 刽. 3 . 2论文工作的现实意义 第一、 安全日志服务器提供了一种有效的办法来保证日志的机密 性和完整性， 并且可以为日 志记录的完整性做出证明。 它有效地解决 了日志记录的不可抵赖性问题， 为电子证据提供一种新的保全和取证 方法，也为计算机取证 ( c o m p u t e r f o r e n s i c s ) 提供了 一种新的方法 来解决电子证据取证困难的问题。 这对立法机关进行计算机安全立法 是有相当帮助的。 第二、 安全日 志服务器可以 有效地协助管理人员进行事后分析审 计， 并在必要的时候协助执法机关进行线索挖掘和证据取证。 这对于 计算机及网络犯罪都是一种威慑力量， 对于减少网络上日益严重的网 络和互联网犯罪是有很多帮助的. 第三、 密钥管理中心除了 可以为安全日 志服务器提供安全保障之 外， 还可以应用到其他有类似安全需求的系统中。比如可以用它来保 护系统的关键文件的机密性和完整性等等。 北京交通大学硕士学位论文 剔. 3 . 3 论文组织 第一章， 分析了日志的特点， 提出了用于解决事后分析审计和证 据取证的安全日 志服务器，并简要描述了密钥管理中心。同时，对论 文工作的内容、意义和组织结构进行了描述。 第二章，介绍了安全日志服务器和密钥管理系统涉及的几个相 关 技术和 协 议， 包括o p e n s s l 库 、 s s l 协 议、 c g i 技术。 第三章， 对安全日志服务器进行描述， 对其进行功能模块的划分， 对各个模块的功能进行了比 较详细的阐述。 第四章，详细介绍了l i n u x下的i p包捕获与打包模块的设计与 实现， 提出 在i p 包捕获过程中采用信号处理机制加强程序的 健壮性。 第五章， 通过对安全日 志服务器的安全镭求进行分析， 提出建立 密钥管理中心， 包括总体方案描述、功能模块的划分，并对其在性能 和安全各方面的特性做了分析。 第六章， 描述了安全日 志服务器及其密钥管理中心的实现过程和 其中需要解决的问题， 包括实现环境的准备、 模块接口 定义、 重要数 据结构描述、各模块的实现过程和关键问题等。 结束语， 对本文工作进行简要的总结。 怪 1 . 4小结 本章首先分析了日志的特点， 提出采用安全日志服务器来保证和 证明日 志记录的正确性、 完整性和不可抵赖性， 重点介绍了为保证其 安全性能而提出的密钥管理中心的重要性;最后对论文工作的内 容、 意义和组织结构进行了阐述。 北京交通大学硕士学位论文 第二章 相关技术介绍 与 2 . 1 芍 2 . 1 . 1 o p e n s s l 简介 o p e n s s l 软件包 o p e n s s l b 3 n o 是一 个开放源代码的 实 现了s s l及相关加密技 术的 软件包。 如e n s s l 不但实现了s s l 的一些接口， 它所涵盖的内容从底 层对称、非对称加密算法到建立在其上的 p k i ( p u b l i c k e y i n f r a s t r a t u r e ) 的 接口( 包 括x 5 0 9 证书、 p k c s 标 准、 a s n . 1 等) 的 实 现是一应俱全。 o p e n s s l 这个包是由 两部分组成的: s s l e a y 和o p e n s s l ， 这两者的 关系是， s s l e a y 是一套接口 库， o p e n s s l 是建立在这个接口 库之上的 一个应用。 时至今日 ， o p e n s s l 也发展到了0 . 9 7 版， 它的功能也越来 越丰富。s s l e a y 本身是一个跨平台的东西，主要是用标准c 写成的， 支持l i n u x自 不必说，其他大部分u n i x 和w i n n t 它都支持，对于做 不同 平台 下有关信息安全的 应用，s s l e a y 是个不错的选择。 即e n s s l 包中的s s l e a y 是整个包的核心，s s l e a y 这个加密库涉及的范围 广、 功能齐全、逻辑合理、结构复杂. s s l e a y 实现7常用的关于对称加密的d e s , i d e a , r c 2 , r c 4 , r c 5 , b l o w f i s h , c a s t ; 实现了非对称算法中的r s a , d h , d s a 。 哈稀算法中 的m d 2 , m d 5 , s h a , s h a - 1 , r i p e m d , m d c 2 . 单从 这些 算法看来，已 经 可以 用它来构建各种有关数据加密的应用和p k c s 接口 了。 更可贵的， 它打破了 美国的不允许强加密产品出口 的限 制。 使用s s l e a y ， 我们完 全可以替代微软所提供的那套用来构件加密应用的低强度的加密库， 并且通过使用s s l e a y 开发自 己的应用， 我们完全可以 做到s s l 的1 2 8 甚至更高位数的数据加密。同时， 对同一算法的各个加密模式也基本 上都同时予以实现， 比如对d e s 加密算法， 它不但实现了块加密模式 的 e c b ( e l e c t r o n i c c o d e b o o k m o d e ) 、c b c ( c i to h e r b l o c k c h a i n i n g 北京交通大学硕士学位论文 m o d e ) ，还实现了流加密的c f b ( c i p h e r f e e d b a c k m o d e ) , o f b ( o u t p u t f e e d b a c k m o d e ) 。这些算法基本上都是以 独立形式存在于o p e n s s l 这 个包所解开的源文件中。 因此，如果我们在做自己的应用的时候如果要用到有关加密、 b a s e 6 4 编码、 m d 5 等算法完全可以 将s s l e a y 所提供的这一套方法摘 取出来，直接利用这些现成的代码来为我们自己的程序服务。 s s l e a y 除提供这些底层的有关加密算法的实现外，还实现了大 部分p k c s ( p u b l i c k e y c r y p t o g r a p h i c s t a n d a r d ) 标准。p k c s 是一套 由r s a 公司提出公开密钥加密标准， 主要作用是用来规范加密算法的 处理，规范数字证书、数据封装、 数字签名，以及个人私有信息保护 的一些标准。s s l e a y支持 p k c s 1 ( 对 r s a加密算法的描述) 、 p k c s 3 ( d i f f i e - h e l l m e n k e y a g r e e m e n t ) , p k c s 5 ( 基于口 令进行加密 的标准) 、 p k c s 6 ( 扩展证书语法标准) 、 p k c s 7 ( 加密信息表示的语法标 准) 、p k c s 8 私钥信息语法标准) 、p k c s 1 0 ( 证书申 请语法标准) 、 p k c s 1 2 ( 个人身份信息迁移语法标准) 等。 p k c s 是用来构建p k 工 的。 通 过s s l e a y 提供的p k c s 的实现， 我们可以方便的 在有关p k i 的应用里 做到标准数字证书的申 请、 签发， 个人信息( 如证书、 私钥等) 的安全 又标准的存放， 作到标准的、通用的数据加密、数据封装、数据签名 信息格式。 从结构上看， s s l e a y是分为三层的， 最底下为各种加密算法的实 现， 中间是加密算法的抽象接口， 它对各种算法按对称、非对称、哈 稀算法进行分类然后柑应的给予一组简单的接口。 最上面是围绕加密 算法的p k c s 的实现。 s s l e a y 不但实现了p k c s 本身， 还对采用a s n . 1 抽象描述p k c s 提供了d e r 编码的接口，让这些抽象数据结构最终能 够变成在网络上进行传输， 在硬盘上能够存储的数据。 s s l e a y 也提供 了对s s l 的支持， 它包含一组s s l 的接口， 允许我们使用它方便的建 立起安全套接层， 进行数据的安全传输。 2 . 1 . 2 o p e n s s l 验证证书的 模式 o p e n s s l 有四个验证证书的模式，可以 指定一个c a l l b a c k 函数， 北京交通大学硕士学位论文 在验证证书的时候会自 动调用该 c a l l b a c k函数，这样可以自己根据 验证结果来决定应用程序的行为。o p e n s s l 的四个验证证书模式分别 是: s s l _ v e r i f y _ n o n e : 完全忽 略 验证 证书的 结 果。 其实 真正 有 证书 的人很少， 尤其在中国。那么如果 s s l运用于一些免费的服务，比如 e m a i l 的时候，我觉得s e r v e r 端最好采用这个模式。 s s l ee v e r 工 f y _ p e e r : 希望 验 证 对方的 证书。 不 用说 这个 是最 一 般 的模式了. 对c l i e n t 来说， 如果设置了这样的模式， 验证s e r v e r 的 证书出了任何错误，s s l 握手都失败。对s e r v e r 来说， 如果设置了这 样的模式， c l i e n t 倒不一定要把自己的证书交出去。 如果c l i e n t 没有 交出证书，s e r v e r自己决定下一步怎么做。 s s l we v e r i f y we f a i l工 f se n o p e e r we c e r t ; 这是s e r v e r 使用的一种模 式， 在这种模式下，s e r v e r 会向c l i e n t 要证书。 如果c l i e n t 不给， s s l 握手失败。 s s 址v e r i f y _ c l i e n 几o n c e :这是仅能使用在 s s l s e s s i o n r e n e g o t i a t i o n阶段的一种方式。 如果不是用这个模式的话， 那么在 r e g e g o t i a t i o n 的时候， c l i e n t 都要把自 己的证书送给s e r v e r ，然后 做一番分析。这个过程很消耗 c p u时间的，而这个模式则不需要 c l i e n t 在r e g o t i a t i o n 的时 候重复 送自 己 的 证书。 2 . 1 . 3 o p e n s s l 指令简介r e q 用法: o p e n s s l r e q - i n f o r m p e m i d e r - o u t f o r m p e m i d e r - i n f i l e n a m e - p a s s i n a r g - o u t f i l e n a m e - p a s s o u t a r g - t e x t - n o o u t - v e r i f y - m o d u l u s - n e w - r a n d f i l e ( s ) - n e w k e y r s a : b i t s - n e w k e y d s a : f i l e - n o d e s - k e y f i l e n a m e - k e y f o r m p e m i d e r - k e y o u t f i l e n a m e 一 m d 5 s h a l l m d 2 l m d c 2 - c o n f i g f i l e n a m e - x 5 0 9 - d a y s n - a s n l - k l u d g e - n e w h d r - e x t e n s i o n s s e c t i o n - r e g e x t s s e c t i o n 北京交通大学硕士学位论文 描述 : 本指令用来创建和处理p k c s # 1 0 格式的证书，它还能够建立自 签 名证书， 做r o o t c a . 参数: - i n f o r m d e r i p e m 指定输入的格式是d e m 还是d e r . d e r 格式采用a s n 1 的d e r 标 准格式。 一般用的多的都是p e m 格式，就是b a s e 6 4 编码格式。大部 分生成的 . k e y , . c r t 文件一般都是p e m 格式的， 第一行和最后一 行指 明内容，中间就是经过编码的东西。 - o u t f o r m d e r i p e m 和上一个差不多，不同的是指定输出格式 - i n f i l e n a m e 要处理的c s r 的文件名称， 只有一 n e ， 和一 n e w k e y 俩个o p t i o n 没有 被s e t ， 本o p t i o n 才有效 - o u t f i l e n a m e 要输出的文件名 -t e xt 将c s r 文件里的内容以可读方式打印出来 - n o o u t 不要打印c s r 文件的编码版本信息 - m o d u l u s 将 c s r 里面的包含的公共密钥的系数打印出来 - v e r i f y 北京交通大学硕士学位论文 检验请求文件里的签名信息 -new 本o p t i o n 产生一个新的c s r ，它要求用户输入创建c s r 的一些必 须的信息。 至于需要哪些信息， 是在c o n f 坛文件里面定义好了的。 如 果一 k e y 没有被 s e t ,那么就将根据c o n f i g 文件里的信息先产生一对 新的 r s a密钥 - r a n d f i l e ( s ) 产生k e y的时候用过 s e e d 的文件，可以 把多个文件用冒号分开 一 起做s e e d - n e w k e y a r g 同时生成新的私有密钥文件和c s r 文件， 本o p t i o n 是带参数的。 如果是产生r s a 的私有密钥文件， 参数是一个数字， 指明私有密钥b i t 的长度。如果是产生d s a的私有密钥文件， 参数是d s a密钥参数文件 的文件名 - k e y f i l e n a m e 参数f i l e n a m e 指明我们的私有密钥文件名. 允许该文件的格式是 p k c s # 8 - k e y f o r m p e m i d e r 私有密钥文件的格式，缺省是p e m - k e y o u t f i l e n a m e 指明创建的新的私有密钥文件的文件名。 如果该 o p t i o n没有被 s e t ，将使用c o n f 地文件里面指定的文件名 - n o d e s 本o p t i o n 被s e t 的话， 生成的私有密钥文件将不会被加密 北京交通大学硕士学位论文 一 m d 5 s h a l l m d 2 l m d c 2 指明签发的证书使用什么哈希算法。如果没有被 s e t ，将使用 c o n f i g 文件里的 相应i t e 。 的 设置。 但d s a 的c s r 将忽略这个o p t i o n , 而采用 s h a 1 哈希算法 - c o n f i g f i l e n a m e 使用的c o n f 地文件的名称。本o p t i o n 如果没有s e t ，将使用缺 省的c o n f i g 文件 - x 5 0 9 本o p t i o n 将产生自 签名的证书。 一般用来做测试用， 证书的扩展 项在 c o n f i g 文件里面指定 - d a y s n 如果- 5 0 9 被s e t ,那么这个o p t i o n 的 参数指定我们自 己的c a 给 人家签证书的有效期，缺省是3 0 天 - e x t e n s i o n s s e c t i o n - r e g e x t s s e c t i o n 这两个o p t i o n 指定c o n f i g 文件里面的与 证书扩展和证书请求扩 展有关的两个s e c t i o n 的名字( 如果一 x 5 0 9 这个o p t i o n 被s e t ) - a s n l - k l u d g e 缺省的r e q 指令输出完全符合p k c s 1 0 格式的c s r ，但有的c a 仅 仅接受一种非正常格式的c s r ，这个o p t i o n 的s e t 就可以输出那种格 式的c s r 2 . 1 . 4 o p e n s s l 指令简介x 5 0 9 用法: o p e n s s l x 5 0 9 - i n f o r m d e r i p e m i n e t - o u t f o r m d e r i p e m i n e t l 2 北京交通大学硕士学位论文 - k e y f o r m d e r i p e m - c a f o r m d e r i p e m - c a k e y f o r m d e r p e m - i n f i l e n a m e - o u t f i l e n a m e - s e r i a l - h a s h - s u b j e c t - i s s u e r - n a m e o p t o p t i o n - e m a i l - s t a r t d a t e - e n d d a t e - p u r p o s e - d a t e s - m o d u l u s - f i n g e r p r i n t - a l i a s - n o o u t - t r u s t o u t - c l r t r u s t - c l r r e j e c t - a d d t r u s t a r g - a d d r e j e c t a r g - s e t a l i a s a r g - d a y s a r g - s i g n k e y f i l e n a m e - x 5 0 9 t o r e q - r e q - c a f i l e n a m e - c a k e y f i l e n a m e - c a c r e a t e s e r i a l - c a s e r i a l f i l e n a m e - t e x t - c - m d 2 j - m d 5 j - s h a l l - m d c 2 - c l r e x t - e x t f i l e f i l e n a m e - e x t e n s i o n s s e c t i o n 说明: 本指令是一个功能很丰富的证书处理工具。 可以用来显示证书的 内容， 转换其格式， 给c s r 签名等等。由于功能太多，我们按功能分 成几部分来讲。 第一部分 输入，输出 等一些一般性的o p t i o n : - i n f o r m d e r i p e m i n e t 指定输入文件的格式 - o u t f o r m d e r i p e m i n e t 指定输出文件格式 - i n f i l e n a m e 指定输入文件名 - o u t f i l e n a m e 指定输出文件名 - m d 2 - m d 5 i - s h a l - m d c 2 指定使用的哈希算法。缺省的是m d 5 于打印有关的。 p t i o n 1 3 北京交通大学硕士学位论文 -t e xt 用文本方式详细打印出该证书的所有细节 -no o u t 不打印出请求的编码版本信息 - m o d u l u s 打印出公共密钥的系数值 - s e r i a l 打印出证书的系列号 - h a s h 把证书的拥有者名称的哈希值给打印出来 - s u b j e c t 打印出证书拥有者的名字 -issue r 打印证书颁发者名字 - n a m e o p t o p t i o n 指定用什么格式打印上两个。 p t i o n 的输出 - e m a i l 如果有，打印出证书申 请者的e m a i i 地址 - s t a r t d a t e 打印证书的起始有效时间 北京交通大学硕士学位论文 - e n d d a t e 打印证书的到期时间 一 d a t e s 把上两个o p t i o n 都给打印出来 - f i n g e r p r i n t 打印d e r 格式的证书的d e r 版本信息 用 c 代码风格打印结果 第二部分与证书信任有关的。 p t i o n : 一个可以 信任的证书就是一个普通证书， 但有一些附加项指定其 可以用于哪些用途和不可以用于哪些用途，该证书还应该有一个” 别 名” 。一般来说验证一个证书的合法性的时候，相关的证书链上至少 有一个证书必须是一个可以信任的证书。 缺省的认为如果该证书链上 的r o o t c a 的证书可以 信任，那么整条链上其他证书都可以用于任何 用途。以下的几个o p t i o n 只用来验证r o o t c a 的证书。 c a 在颁发证 书的时候可以 控制该证书的用途，比 如颁发可以 用于 s s l c l i e n t 而 不能用于s s l s e r v e r 的证书。 - t r u s t o u t 打印出可以信任的证书 - s e t a l i a s a r g 设置证书别名。比如你可以把一个证书叫“ f o r d e s i g n s c e r t i f i c a t e ，那么以后就可以使用这个别名来弓 用这个证书 - a l i a s 打印证书别名 北京交通大学硕士学位论文 - c l r t r u s t 清除证书附加项里所有有关用途允许的内容 - c l r r e j e c t 清除证书附加项里所有有关用途禁止的内容 - a d d t r u s t a r g 添加证书附加项里所有有关用途允许的内容 - a d d r e j e c t a r g 添加证书附加项里所有有关用途禁止的内容 - p u r p o s e 打印出证书附加项里所有有关用途允许和用途禁止的内容 第三部分与签名有关的o t p i o n - s i g n k e y f i l e n a m e 使用这个 o p t i o n同时必须提供私有密钥文件。这样把输入的文 件变成自 签名的证书。 如果输入的文件是一个证书， 那么它的颁发者 会被s e t 成其拥有者。 其他相关的项也会被改成符合自 签名特征的证 书项。如果输入的文件是c s r ,那么就生成自 签名文件。 - c l r e x t 把证书的扩展项删除 - k e y f o r m p e m i d e r 指定使用的私有密钥文件格式 - d a y s a r g 指定证书的有效时间长短，缺省为3 0 天 北京交通大学硕士学位论文 - x 5 0 9 t o r e q 把一个证书转化成c s r ，用一 s i g n k e y 指定私有密钥文件 -re q 缺省的认为输入文件是证书文件， s e t 了 这个o p t i o n 说明 输入文 件是 c s r - c a f i l e n a m e 指定