我目前正在开发一个客户端 – 服务器程序,Java / C中的客户端和C中的服务器.
我必须传输加密数据(如客户端应将数据传递给服务器以加密/解密,计算摘要等),服务器必须将结果返回给客户端.
我必须传输加密数据(如客户端应将数据传递给服务器以加密/解密,计算摘要等),服务器必须将结果返回给客户端.
在这种情况下,我意识到使用一些传输协议来识别数据和有效传递数据的重要性.
关于这一点,我的问题是:ASN.1是一个很好的协议吗?我知道BC(在Java上)和C上的OpenSSL支持它.所以使用ASN.1表示法在客户端和服务器之间传输数据是个好主意吗?
你还可以给我一些起点吗?如果您对现有协议有更好的了解,请告诉我.
谢谢!!
解决方法
BC和OpenSSL支持的只是ASN.1的一小部分.实际上很长一段时间没有完整的ASN.1实现,至少对公众来说是这样.电信和电话设备制造商可能拥有相当完整的ASN.1实施.目前,向公众开放的最先进的ASN.1实施是作为OsmoCom项目的一部分开发的,Harald Welte在博客上写道:
http://laforge.gnumonks.org/weblog/2011/04/12#20110412-mapv1_available
更糟糕的是,ASN.1,特别是它高度冗余的编码方案(至少有3种不同的方法来编码ASN.1中的字符串)过去几年曾成为几个安全问题的原因,因为它在正确处理x509证书时造成的问题. x509是来自地狱的另一项破碎技术,恕我直言更好地避免了.当然,SSL依赖于它,但获得由“可信”CA签署的证书并不意味着什么;任何CA都可以签署任何域,在查看之后,默认情况下您的浏览器信任我不再信任我的浏览器.
所以简而言之:ASN.1已被打破,应该在新设计中避免使用.它在电话网络之外的唯一主要用途是x509,它也被打破了.因此,我不会使用它.使用JSON,BSON,协议缓冲区,Netstrings或者理智的东西.