我目前正在开发一个客户端 - 服务器程序,Java / C中的客户端和C中的服务器。 我必须传输加密数据(比如客户端应该将数据传递给服务器来加密/解密,计算摘要等),服务器必须将结果返回给客户端。
在这种情况下,我意识到使用某种传输协议来识别数据和有效传递数据的重要性。
关于这一点,我的问题是:ASN.1是一个很好的协议吗?我知道BC(在Java上)和C上的OpenSSL都支持它。所以使用ASN.1表示法在客户端和服务器之间传输数据是个好主意吗?
你还可以给我一些起点吗?如果您对现有协议有更好的了解,请告诉我。
谢谢!
答案 0 :(得分:8)
BC和OpenSSL支持的只是ASN.1的一小部分。实际上很长一段时间没有完整的ASN.1实现,至少对公众来说是这样。电信和电话设备制造商可能拥有相当完整的ASN.1实施。目前,向公众开放的最先进的ASN.1实施是作为OsmoCom项目的一部分开发的,Harald Welte在博客上写道:http://laforge.gnumonks.org/weblog/2011/04/12#20110412-mapv1_available
更糟糕的是,ASN.1,特别是它高度冗余的编码方案(在ASN.1中至少有3种不同的编码字符串的方法)曾经是导致过去几年出现多个安全问题的原因,由于在正确处理x509证书时导致的问题。 x509是另一个来自地狱的破碎技术,恕我直言更好地避免了。当然,SSL取决于它,但获得 a “可信”CA签署的证书并不意味着什么;任何CA都可以签署任何域名,在查看之后,默认情况下您的浏览器信任我不再信任我的浏览器。
总而言之:ASN.1已被打破,在新设计中应避免使用。它在电话网络之外的唯一主要用途是x509,它也被打破了。因此,我不会使用它。使用JSON,BSON,协议缓冲区,Netstrings或者理智的东西。
答案 1 :(得分:3)
ASN.1充满活力,并且在许多标准协议中使用,包括旧的和近期的,包括当前正在开发的若干标准(例如,在3GPP和IEEE 802中)。市场上有一些优秀且完整的商用ASN.1工具。典型的ASN.1工具包括ASN.1编译器,该编译器可以从ASN.1消息定义生成源代码,以及针对不同标准编码规则的编码/解码库。通常,应用程序开发人员将编写使用ASN.1编译器生成的数据结构的代码,并将调用作为ASN.1工具的一部分提供的编码/解码函数。
如果您不想获得商业ASN.1工具(无论出于何种原因),并且您打算编写自己的ASN.1消息定义(而不是实现现有的标准协议),也许您可以选择一个免费的ASN.1工具,并将您对ASN.1的使用限制为您选择的工具支持的语法功能。
答案 2 :(得分:2)
ASN.1已成为一种利基市场,用于X.509相关数据,而不是其他任何内容。
您可能希望改为使用Google协议缓冲区。
答案 3 :(得分:0)
如果你真的想在Java中使用ASN.1:我查看了java的开源ASN.1库,发现只有BinaryNotes才能成熟。该工具不支持所有最先进的ASN.1专业特性(扩展点等),但是为了定义您自己的基本ASN.1语法并生成能够对这些消息进行编码/解码的java类,它是非常有用,只需要付出很少的努力。
对于C部分,同事们正在使用ASN.1C来编译ASN.1语法的编解码器 - 但我不知道任何细节。