时间:2022-07-15 11:01:56
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇ssl协议,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1 引言:
随着网络安全意识的普遍提升,越来越多的网络应用逐步采用了SSL加密传输。由于SSL技术采用了加密、认证、密钥协商等机制来保障通信双方数据传输的保密性、完整性和通信端点的认证,因此SSL协议目前在网银交易、邮箱登陆、数据加密传输等方面得到了广泛应用。但SSL协议在实现过程中为了满足兼容性和易用性的要求,自身仍然存在一定的脆弱性问题,攻击者可以利用SSL协议的弱点对其进行攻击以获取敏感信息。
2 SSL协议
安全套接层协议(SSL)是在Internet基础上提供的一种保证私密性的安全协议。它能使客户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对客户进行认证。SSL协议是建立在可靠的传输层协议(如TCP)之上,同时与应用层协议独立无关,高层的应用层协议(如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上(图1所示)。
从SSL的发展过程来看,目前主要包含了三个版本:SSLv2、SSLv3、TSL。SSLv2的首要设计目标是为客户端和服务器之间的传输提供保密性,但在协议安全性方面存在一定的安全隐患。SSLv3改善了SSLv2的部分安全性问题,采用了更多的加密算法,包括数字签名标准DSS、DH协议等,以及支持防止对数据流进行截断攻击的关闭握手。TLS在SSLv3的基础上又增强了对DH的支持和新的密钥扩展。
SSL协议在实现过程中主要包括两个阶段:握手和数据传输阶段。握手阶段主要对服务器进行认证并确立用于保护数据传输的加密密钥。SSL必须在传输应用数据之前完成握手,一旦握手完成,数据就被分成一系列经过保护的记录进行传输。在传输片段之前,SSL协议通过计算数据的MAC来提供完整性保护,将MAC付加到片段的尾部,并对数据与MAC整合在一起的内容进行加密,以形成经过加密的负载,最后给负载装上头信息,其过程如图2所示。
3 SSL协议脆弱性分析
3.1 密码强度问题
SSL协议是以CipherSuite(加密套件)的形式确定数据传输所使用的加密算法,SSL会话一次连接的所有加密选项都被捆绑成各种加密套件,由任意选取的两字节常量来表示。加密套件指定会话双方的认证算法、密钥交换算法、加密算法和摘要(消息完整性)算法。表1列出了SSL协议采用的部分加密套件:
从表1可以看出,SSL协议支持各种各样的加密套件,这些加密套件指定一组供连接使用的算法。这些算法的强度从较弱的可出口型(如40位模式的RC4)到强度较高的如3DES都包含在内,SSL连接的安全自然就有赖于它所使用的加密算法的安全。从目前的计算能力来看出口模式中如RC4_40和DES等加密算法都能被破译,若SSL连接采用此类加密算法,其加密数据的保密性就无从谈起,攻击者可以很容易利用现有的密码破译技术获取加密传输的数据。正常情况下SSL通信双方都会选择加密强度较高的加密套件,但以下两种情况可能在加密强度上为攻击者提供契机:
(1)由于客户端与服务器必须就共同的加密套件达成一致才能通信,服务器和客户端为了保持较好的交互性通常会提供较多可供选择的加密套件,其中不乏加密强度较弱的加密算法(图3所示),这为攻击者对SSL协议的攻击提供了一定的条件,例如攻击者可以尝试对SSL通信双方的会话过程进行干扰,迫使通信双方选择加密强度较低的加密算法,为攻击者对加密数据的破译提供条件。
(2)由于SSL协议中采用的各种加密和认证算法需要一定的系统开销,如SSL协议握手阶段对pre_master_secret的RSA私用密钥解密及计算master_secret和pre_master_secret的密钥处理都会消耗一定的系统资源,在数据传输阶段对记录的加密以及对记录的MAC计算同样会消耗系统资源。而高安全的加密算法在系统开销上需要消耗较多系统资源,因此SSL协议在某些应用的实现过程中会采用较低加密强度的密码算法,这也会为攻击者提供破译条件。
3.2 版本兼容问题
SSL协议从设计和使用过程来看主要包括SSLv2、SSLv3、TLS三个版本,每个后续版本都对前一版本的安全性问题进行了改进,因此高版本协议能够较好地保障通信安全。但为了方便实际应用,SSL协议是允许向下兼容,会话双方可以通过协商采用低版本协议进行通信,并且该过程可以自动完成不需要用户进行干预。这样就产生了潜在的版本翻转攻击威胁,攻击者可以降低协议版本再利用低版本协议存在的脆弱性问题对通信过程进行攻击。其中SSLv2对协议的握手过程没有很好的保护措施,将导致攻击者对SSL协议握手过程进行攻击,进而对加密算法进行篡改。图4展示了SSLv3和TLS协议的握手过程:
从图中可以看出SSLv3和TLS协议在握手结束后会对之前的协商过程进行MAC值的校验(图4中第5、6步所示),并且其校验值是以加密的形式进行传输,这样可以有效防止攻击者对握手过程的篡改,保障了协商过程的可靠性。而SSLv2协议恰好缺乏对握手过程MAC值的校验,攻击者可以在SSL通信的握手过程中伪冒其中一方对协议版本进行篡改,迫使通信双方采用低版本的SSL协议进行通信,由于缺乏握手过程的校验,该攻击可以顺利实施。
SSLv2协议还存在另一个问题,它仅仅使用TCP连接关闭来指示数据结束,这意味着它可能受制于截断攻击。由于SSL协议是构建于TCP协议之上,而TCP协议自身并不是一种安全性协议,它对TCP会话的完整性、有效性和一致性没有很好地保障,攻击者可以简单地伪造TCP FIN数据报,而接收者无法辨别出它是否是合法的数据结束标志,从而误认为数据接收完成。SSLv3之后的协议通过使用显式的关闭警示缓解了这一问题。
4 结束语
利用SSL协议进行加密传输的方式在日常应用中大量存在,除本文中提到的攻击方法外,攻击者仍在尝试更多的攻击途径。对于敏感的信息和通信过程应该采用多种加密方式共同完成,提高攻击的难度,降低敏感信息被窃取的风险。
参考文献
[1] 埃里克・雷斯克拉,SSL与TLS,2002.
[2] Daniel Lucq,SSL security in the .be TLD,scanit.be,2008
关键词:SSL;电子商务;数据安全
1 引言
随着计算机技术和Internet的飞速发展,商业活动实现了电子化,从而发展成为电子商务。电子商务借助互联网、企业内部网和增值网等计算机与网络和现代通信技术,按照一定的标准,利用电子化工具,将传统的商业活动的各个环节电子化、网络化,从而以数字化方式来进行交易活动和相关服务活动。
电子商务包括电子货币交换、供应链管理、电子交易市场、网络营销、在线事务处理、电子数据交换(EDI)、存货管理和自动数据收集系统。电子商务完全不同于传统的商务活动,它是一种以网络为载体的新的商务运作方式。
(1)SSL不能提供交易的不可否认性。SSL协议是基于Web应用的安全协议,它只能提供安全认证,保证SSL链路上的数据完整性和保密性。却不能对电子商务的交易应用层的信息进行数字签名,因此,SSL不能提供交易的不可否认性,这可以说是SSL在电子商务中最大的缺陷。
(2)SSL只能提供客户机到服务器之间的两方认证,无法适应电子商务中的多方交易业务。
(3)SSL易遭受Change Cipher Spec消息丢弃攻击。由于SSL握手协议中存在一个漏洞:在finished消息中没有对变换加密的说明消息进行认证处理,在接收到该消息前,所有的密码族都不做任何加密处理和MAC保护,只有在接收到Change Cipher Spec消息之后,记录层才开始对通信数据进行加密和完整性保护。这种处理机制使得SSL易遭受Change Cipher Spec消息丢弃攻击。
(4)SSL无法避免通信业务流分析攻击。由于SSL位于TCP/IP的协议层之上,因此,无法对TCP/IP协议头部进行保护,导致潜在的隐患。攻击者通过获取IP地址、URL请求的长度以及返回的Web页面的长度等信息,可以分析出用户访问的目标,再加上SSL协议只支持对 块密码的随机填充,没有提供对流式密码算法的支持,使得SSL无法阻止这类攻击。
4 总结
电子商务正飞速地发展。用于保障电子商务活动的安全协议主要有S-HTTP、STT、IKP、SET和SSL。其中SSL协议是目前电子商务采用的主要的网上交易协议。SSL协议采用了加密、认证等安全措施,结合了Hash算法,较好地保证了数据在传输过程中的保密性、可靠性和完整性,在一定程度上放置了欺骗、篡改、重放等攻击。本文在介绍SSL协议栈及其工作原理和机制的基础上,对基于SSL的电子商务的安全性进行了分析。
参考文献:
[1] 邢双慧.浅谈电子商务与SSL协议[J].硅谷,2010(01):37
关键词:网上支付;SSL安全协议;信用卡支付流程
中图分类号:F49文献标识码:A
一、网上支付的概念及其基本流程
1、网上支付是电子支付的一种形式。广义地讲,网上支付指的是客户、商家、网络银行(或第三方支付)之间使用安全电子手段,利用电子现金、银行卡、电子支票等支付工具通过互联网传送到银行或相应的处理机构,从而完成支付的整个过程。
2、网上支付基本流程。①填写订单,加密交易信息、支付信息,发送到商家服务器;②审核交易信息,传递支付信息(加密)支付网关收单行;③收单行与开户行对支付信息进行确认,返回授权响应信息;④商家组织发货;⑤开户行与收单行资金划拨清算,并返回支付成功信息。
二、网上支付模式
保证支付工具的真实与识别该使用者的合法身份是金融业在网络环境下实现网上支付所面临的问题。解决这一问题的关键是使用安全的网上支付模式,SSL和SET是目前实现安全电子支付的两种主要模式。目前,基于SSL安全协议的信用卡支付模式得到广泛发展,而SET模式并未普及,故本文围绕SSL网上支付模式展开研究。
1、SSL协议及相关概念
(1)SSL安全套接层协议。SSL协议是Netscape公司于1994年提出的一个关注互联网信息安全的信息加密传输协议,其目的是为客户端(浏览器)到服务器端之间的信息传输构建一个加密通道,此协议是与操作系统和Web服务器无关。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议:它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议:它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
(2)HTTPS安全超文本传输协议。HTTP提供了一种非常适宜使用SSL来保护其安全的特性。它是第一个使用SSL的协议,到目前为止仍然是最重要的使用SSL来保护其安全的协议。在1995年,Netscape公司的NetscapeNavigotor2中公开发表了SSL上的HTTP实现,当时是采用的独立端口策略。为了将其与HTTPURL区分开来,SSL上的HTTP用来获取页面的URL以HTTPS://开头,这种方案就成为HTTPS名称的来由。
2、SSL协议工作原理
(1)客户端向服务器发送一个开始信息以便开始一个新的会话连接,协商传送加密算法。举例说明:你好,服务器。我想和你进行安全对话,我的对称加密算法有DES、RC5,我的密钥交换算法有RSA和DH,摘要算法有MD5和SHA。
(2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的信息时将包含生成主密钥所需的信息,并发送服务器数字证书。举例说明:你好,客户端。那我们就使用DES-RSA-SHA这对组合进行通讯,为了证明我确实是服务器,现在发送我的数字证书给你,你可以验证我的身份。
(3)客户根据收到的服务器响应信息,检查服务器的数字证书是否正确,通过CA机构颁发的证书验证了服务器证书的真实有效性后,产生一个主密钥,并用服务器的公开密钥加密后传给服务器。举例说明:服务器,我已经确认了你的身份,现在将我们本次通讯中的密钥发送给你。
(4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。举例说明:客户端,我已经获取了密钥。我们可以开始通信了。
一般情况下,当客户端是保密信息的传递者时,不需要数字证书验证自己身份的真实性,如电子银行的应用,客户需要将自己的账号和密码发送给银行,因此银行的服务器需要安装数字证书来表明自己身份的有效性。在某些B2B应用,服务器端也需要对客户端的身份进行验证,这时客户端也需要安装数字证书以保证通讯时服务器可以辨别出客户端的身份,验证过程类似于服务器身份的验证过程。
3、SSL协议工作层次。随着电子商务的不断发展,SSL协议得到了越来越广泛的使用。SSL协议是介于HTTP协议与TCP之间的一个可选层,从上至下分别为HTTP、SSL、TCP、IP层。安全连接的建立要求在连接建立以后再次进行握手。即在“著名的TCP/IP三次握手”以后再次利用证书来握手。
4、SSL协议介入特征。当在浏览器的地址栏的开头是HTTPS而不是HTTP,在浏览器的右下角有一把锁,说明已经建立起SSL加密通道。访问过程中HTTP层首先将请求转换成HTTP请求,然后SSL层通过TCP和IP层实现浏览器和服务器握手(HANDSHAKE),服务器层获得密钥,最后TCP层与服务器之间建立了加密通道,实现了双方安全交换信息的目的。
三、基于SSL安全协议的信用卡支付模式
1、初级信用卡在线支付SSL模式工作流程。①客户开设信用卡账户;②填写订单信息,选择信用卡支付,将订单信息+支付信息商家服务器;③商家服务器返回订单ID客户端,由支付网关传递支付信息客户发卡行;④发卡行在客户端浏览器弹出页面,SSL协议介入;⑤客户端与发卡行通过数字证书相互验证身份;⑥进行SSL握手协议,建立安全信道;⑦客户端浏览器出现支付页面,输入密码;⑧确认支付后,提示离开SSL安全连接,SSL介入结束;⑨发卡行传送支付确认信息商家服务器,商家组织发货;⑩发卡行与商家开户行进行资金清算。
初级SSL支付模式存在两个主要缺陷,其分别是:①客户的支付信息将被商家所获知;②缺少商家对客户的身份验证。基于上述两种原因,改良式的SSL信用卡支付模式应运而生,在这一模式中,商家生成的订单信息将经由客户端浏览器转发到发卡行的支付网关进行支付,有效地避免了原SSL模式下商家获知客户支付信息的缺点,其也是国内各大商业银行主要采用的模式。
1实践教学内容总体教学设计
网络安全协议这门课程涉及的重要知识点包括:网络安全协议的基本概念、TCP/IP协议簇的安全隐患、在不同协议层次上的安全协议的原理和实现、不同层次安全协议之间的比较、无线网络安全协议的原理和实现、安全协议的形式化分析基本方法等。网络安全协议无论从教学设计、验证,还是如何有效地应用来看都非常复杂。即使所采用的密码算法很强大,协议依然有可能受到攻击。网络上的重放攻击、中间人攻击能够绕过对密码算法的攻击,非常难以防范,此外,攻击者还有可能利用安全协议的消息格式进行“类型缺陷(typeflaw)”攻击。由于网络安全协议的复杂性,在实际教学过程中,若只是由老师空洞的进行讲解,大多数学生往往很难跟上讲课的进度,进而失去对此门课程的兴趣。目前常用的网络安全协议包括PPTP/L2TP、IPSec、SSL/TSL、HTTPS、SSH、SNMPv3、S/MIME、、PGP、Kerberos、PKI、无线网安全协议(IEEE802.11i,WTLS)等。让学生通过实践教学活动,理解并掌握安全协议的理论及应用,并在实践中增强自身的动手能力、创新能力是本课程的主要教学目标。本课程的实践教学将教学内容划分为4个阶段,认知阶段、体验阶段、应用阶段及总结提高阶段。通过这4个阶段,使学生由表及里、由浅入深、由学到用、由用到创,全面掌握各主要协议的原理、应用及教学设计;同时,通过对4个阶段的划分,更好地满足不同层次学生的需求,使学生学得更深、更透,用的更顺、更广,其创新思路也更易被激发和实现。
2SSL协议的实践教学实施
2.1认知阶段
本阶段的实践教学内容是通过利用Wireshark抓包分析工具软件,获取SSL/TSL协议通信流量,直观地观看SSL/TSL协议的结构、分析SSL/TSL协议的建立过程。在访问222.249.130.131时,采用Wireshark抓取的部分通信流量,如图1所示。第7~9条消息,完成TCP的连接。客户端首先在某端口向服务器端的443端口发出连接请求,完成三次握手。第10~12条消息,客户端首先发送Client-Hello等消息,请求建立SSL/TSL会话连接;然后,服务器端发送Server-Hello、证书等消息;接着客户端发送ClientKeyExchange、ChangeCipherSpec等消息。第13~15条消息,服务器端发出的响应和ChangeCipherSpec消息,以及客户端发出应答响应消息。至此表明连接已准备好,可以进行应用数据的传输。第16条消息是由客户端发出的与另外一个服务器端的连接请求消息,与所讨论内容无关。这种情形,在抓包分析时,经常会遇到,不必受此干扰。第17~18条消息,客户端和服务器端分别关闭连接。以后再进行SSL/TSL连接时,不必产生新的会话ID,也不必交换证书、预主密钥、密码规格(cipher-spec)等会话参数。每一条消息都可以进一步打开,观看更细节的内容。ClientHello消息的内容是对相应的二进制的内容的一个分析解释,如图2所示。其他消息的格式和内容也都可以清晰地呈现,在此不一一列举。通过对SSL/TSL流量的抓取分析,可以很直观地让学生掌握如下知识点:(1)SSL/TLS协议是建立在TCP连接之上的安全协议。(2)SSL/TSL连接和会话的概念,以及连接和会话的建立过程。(3)握手协议的执行过程,各消息的先后次序,及消息的格式和内容。(4)重要的消息参数及其作用,如sessionID、数字证书、加密组件(Ciphersuite)、加密预主密钥(Premaster)等。需要说明的是,上述内容没有涉及客户端发送的证书消息,只能通过证书完成客户端对服务器的认证,没有服务器对客户端的认证。事实上,SSL/TSL是可以通过数字证书进行双向认证的。
2.2体验阶段
经过认知阶段的理论与实践学习后,需要让学生了解和掌握SSL协议应用在哪里?如何应用?可以有效防范哪些安全威胁?本阶段的实践教学内容通过配置IIS服务器中的SSL/TSL,为Web服务器和浏览器之间建立一个安全的通信通道,使学生学习和掌握SSL在Web的应用中的配置和作用,从而对SSL协议的应用有一个直接的感受和体验。学生完成IIS服务器中的SSL/TLS配置,首先需要完成CA的安装与配置[3],用于数字证书的生成、发放和管理;然后,分别为IISWeb服务器和客户端申请、安装证书;最后在服务器上配置SSL,使客户端与服务器建立SSL/TSL连接,如图3所示。该阶段的实践教学,除加深学生对SSL/TSL的理解,还使他们学会了如何进行CA服务器的图3建立https协议的访问配置、Web服务器和客户端的证书的申请,以及CA服务器对证书的颁发、安装管理等。
2.3应用阶段
通过前2个阶段的实验教学,很好地配合了SSL的理论教学,使学生对SSL/TSL协议有了更深的认识和体验。本阶段的实验教学内容,将通过利用OpenSSL,实现一个简单的SSL服务器端和客户端[4],使学生具备利用SSL/TLS协议进行通信的编程能力。OpenSSL是一个开放源代码的SSL协议实现,具有一个强大的支撑函数库,主要包括三大部分,密码算法库、SSL协议库和OpenSSL应用程序。OpenSSL提供了一系列的封装函数,可以方便实现服务器和客户端的SSL通信。该阶段的工作量较大,通常在教师指导下,由学生分组自行完成。(1)OpenSSL的编译安装。这一步骤涉及下载和安装多个软件,版本也各不相同。包括不同版本的Openssl、Perl、VC++等。一般建议学生采用自己熟悉的系统和开发平台,安装新版的OpenSSL。(2)VC++编译环境的设置。目前的参考资料大都基于VC++6.0,我们采用的是VisualC++2010开发环境。网上有许多现成的源代码,但一般很难编译、调试或执行通过。我们建议学生可以参考已有的源代码,但一定要通过自己的编译、调试、改正,得到满意的运行结果。(3)生成服务器和客户端数字证书。SSL可以通过数字证书实现服务器和客户端之间的双向或单向认证。我们建议学生利用OpenSSL的证书生成命令行工具,自行完成一遍。这一步骤若出现问题,将直接影响以后程序的顺利执行。(4)SSL/TLS编程。首先建议学生采用OpenSSL的BIO连接库,建立一个简单的服务器和客户端,仅能完成简单的TCP握手连接和通讯;然后,再加入SSL握手功能,实现一个真正意义上的简单的SSL服务器和客户端。SSL/TLS客户端和服务器端程序运行结果,分别如图4和图5所示。通过该阶段的实验教学,一方面使学生熟悉如何利用OpenSSL工具编程,实现基于SSL的安全通信;另一方面使学生了解和掌握OpenSSL在安全方面的广泛应用,最终使学生在毕业设计和未来工作中,有足够的能力提出和实现应用安全方面的解决方案。
2.4总结
提高阶段通过前3个阶段的实践教学内容,再结合课堂上的理论教学,学生对SSL/TSL协议的原理、实现和应用都有了较深的认识。由于有许多研究和实践活动受各种条件所限,不可能全部列入教学实践的内容,这个阶段的主要任务是让学生通过他人对SSL/TSL协议的研究和应用,了解SSL/TSL协议在实际应用中还存在哪些问题、如何进一步完善,其目的是训练学生具备通过别人的研究和实践活动进行高效学习的能力,同时也让学生了解一个看似成熟的协议,还存在一系列的问题,这些问题有的是协议本身存在的,有些是在实际应用中产生的。我们通过提出3方面问题,让学生去通过查阅相关资料,自己进行总结。①SSL/TSL协议的存在哪些不足?②将SSL/TSL协议与应用层和网络层的安会协议进行比较,有哪些优劣?③通过一个实际的SSL/TSL协议的应用案例,说明SSL/TSL在实际应用中还存在哪些局限,应如何进行解决?教师可向学生推荐几篇参考文献[5-6]同时鼓励学生自己查询更多有价值的文献。在此阶段,教师和学生不断进行交流和讨论,对学生提出的问题以及业内新出现的热点问题,教师要通过不断的学习和提高给学生一个满意的答案。例如2014曝出的Heartbleed漏洞,涉及OpenSSL的开源软件包,而该软件包被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,所以漏洞影响范围广大。学生们对此漏洞非常有兴趣,作为教师要尽快查阅有关资料,了解此漏洞的产生的原因、有何危害、如何补救等。此漏洞虽然是OpenSSL的开源软件包程度存在的问题所导致的,与SSL/TSL协议本身无关,但是该漏洞的出现,提醒我们即使协议本身是安全的,在实现协议的过程中仍可能出现不安全的因素,导致安全漏洞的产生。
3实践教学效果评价
实践教学方案的教学设计是否可行和有效,需要在实际教学过程中进行检验。该实践教学方案是在多年教学基础上不断总结而教学设计的,并已在2013和2014年度的网络安全协议课程的教学中进行了实施。我们根据学生的反馈、表现以及实际教学效果,对方案的内容、难度以及方法也做了相应的调整。在方案实施过程中,教师要多与学生沟通,对所布置的作业认真检查,关注并统计学生是否有兴趣、是否努力,学生的技能是否得以改善,学生完成的情况、学生的满意度等各项指标。从对各项指标的统计来看,大部分学生对该实践教学方案比较认同,也取得了很好的效果,其中有几位学生还在毕业设计中选择了相关的毕测试。上述文档将整个测试过程显性化,实现了对缺陷解决过程的监控,有助于学生明确缺陷状态,评估所报缺陷的准确性,完善现有图式,促成自我反思与实践反馈。测试所涉及的文档和源码都将编号归档,统一存放于配置管理服务器,归档的文档被冻结,不允许修改。这些文件记录了缺陷的整个解决过程,为后期分析问题、完善解决方案、改进工作流程、反思教学设计提供了重要依据。
4结语
关键词 SSL技术;数据库安全;设计研究
中图分类号TP392 文献标识码A 文章编号 1674-6708(2011)55-0180-02
0 引言
随着信息化技术的发 展,一个系统最核心的资源并不是网络以及相关设备,而是有着潜在价值的数据库。在实际的应用过程中,数据库系统为了确保安全性,都会具备身份认证、数据加密等功能。而SSL技术也是满足数据库安全性方面的一种实用技术,基于SSL的认证可以为数据库用户颁发权限证书,从而建立一个安全的数据访问通道,保证了数据库系统的安全性与完整性。本文就是研究基于SSL的数据库安全设计。
1 SSL技术概述
1.1 SSL的简介
SSL(Secure Socket Layer)是指安全套接协议,是基于Internet的一种保证私密性的协议,能够提供数据加密以及消息完整性等功能。需要明确的一点是:SSL协议必须基于可靠的传输层协议,如TCP协议,与最上层的应用层是相对独立的。SSL协议的三大特性如下描述:
首先,私密性。在数据传输前,网络中的通信方就必须借助于SSL的握手协议明确数据的加密算法以及算法中对应的密钥,并进行数据加密。其次,确认性。SSL握手协议的工作过程中,通信端可以选择不同方式的身份认证,比如:基于数字证书、非对称加密等。另外,可靠性。SSL协议主要是借助于消息鉴别码实现完整性的验证功能,通过函数以及对应密钥生成一个值作为认证时的标识,并附加到消息中进行一起传输。
1.2 SSL的结构
SSL协议的结构主要涉及到两个部分,分别是:SSL记录协议以及SSL握手协议。其中,SSL记录协议实现数据的实际传输,它可以将数据流进行分割,并对分割后的每个片段进行独立的保护以及传输,而数据接收端则会根据每个片段再对数据进行解密及验证。
而SSL握手协议主要负责实现SSL管理信息的交换,确保应用协议在进行数据传输前完成相互之间的验证,并确定加密算法以及密钥。握手协议是建立SSL连接首先应该执行的协议,必须在传输任何数据之前完成。SSL握手协议由一系列报文组成。SSL握手协议的主要目的是:确保发送方与接收方对于数据加密算法的一致性;明确加密算法所对应的密钥;可以对发送方及接收方进行证书合法性的验证。
2数据库安全的设计
2.1服务器平台的设计
服务器平台主要涉及到处理数据库相关操作的MySQL系统、负责平台支撑的Apache以及支持SSL安全链接的Apache-SSL等。其中,Apache安装完成之后,需要对conf目录的文件进行编辑配置,相关的文档目录会在htdocs子目录下。当服务器启动Apache后,其会默认在80号端口上监听,同时用户可以通过127.0.0.1/来测试安装是不是成功。
另外,PHP安装文件是需要进行解压缩处理的,解压缩之后会有“php.ini-dist”文件,该文件就是PHP的配置文件,可以对其进行重命名处理。在对PHG的配置中,有一项比较重要,那就是全局变量开关的设置,如下表述:PHP配置文件中有一个名为register_globals的变量,该变量初始值为off,这个变量的作用是用来打开全局变量的。如果将该变量的值设定为“on”,就可以通过“$变量名”的方式获取传递过来的数值。当然,一般情况下,该变量设置为“off”比较安全,可以不让一些非法用户窃取传送的数值。
2.2客户端平台的设计
客户端平台主要负责访问请求的获取以及转发。当有客户端发生应用程序访问请求后,平台就是接收这一请求,借助于通信接口将请求转发出去,并等待请求应答的反馈信息。一旦反馈信息到达后,该平台就可以直接将请求应答转发给相关的应用程序。
客户端平台主要包括两大模块:通信模块以及界面安全模块。在将用户界面应用程序作为客户端进行运行的时候,需要一个总的管理程序对客户端运行进行调控,这个总的管理程序包括了用户的GUI设计和业务方面的逻辑设计。客户端平台的功能结构如图1所示:
2.3通信模块的设计
本文研究的通信模块也是基于SSL的,主要负责为客户端以及服务器方提供通道,借助于身份认证以及加密算法确保通道的安全性,更好地保证应用程序与数据库之间的交互。其设计原理为:
通信模块接收客户端的请求,将接收到的请求进行SSL加密后转发到服务器端,并处于等待请求反馈状态。一旦接收到请求反馈信息后,通信模块就将该反馈信息转发给客户端。这个模块同服务器端进行数据的交换前,首先要完成客户端的身份认证,明确客户端的合法性。其次才能够让请求转发给服务器端。而通信模块的内部实现主要是借助于握手层的身份认证以及记录层的加密解密。
3结论
网络的信息安全是安全领域内的一个重要分支,其重要性日益突出。而数据库作为信息的一个主要截体,其安全性对于信息系统的安全性来说是至关重要的。本文研究的基于SSL的数据库安全设计能够较好地保证数据库信息的安全性,该SSL协议能够实现数据库系统与服务器之间的安全信息传递,可以借助于有效的身份认证以及加密机制,确保数据通信的安全性。
参考文献
[1]Ber becaru,D.On Measuring SSL-based Secure Data Transfer with Handheld Deviees[J].Wireless Communication Systems,2010.
【关键词】SSL VPN;IPSEC VPN;网络安全
【中图分类号】TN711
【文献标识码】A
【文章编号】1672-5158(2012)12-0004-01
一、SSL VPN的基本学术概念
1.1 什么是SSL VPN
SSL(Secure Sockets Layer)是一种Intemet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。VPN(Virtual Private Network虚拟专用网络),可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。VPN的核心就是在利用公共网络建立虚拟私有网,被定义为通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
SSL VPN就是指应用层的vpn,它是基于https来访问受保护的应用。目前常见的SSL VPN方案有两种方式:直路方式和旁路方式。直路方式中,当客户端需要访问一台应用服务器时:首先,客户端和SSL VPN网关通过证书互相验证双方;其次,客户端和SSL VPN网关之间建立ssl通道;然后,SSL VPN网关作为客户端的和应用服务器之间建立tcp连接,在客户端和应用服务器之间转发数据。旁路方式和直路不同的是:为了减轻在进行ssl加解密时的运行负担,也可以独立出ssl加速设备,在SSL VPN server接收到https请求时,将ssl加密的过程交给ssl加速设备来处理,当ssl加速设备处理完之后再将数据转发给SSL VPN server。
1.2 SSL VPN的特性
保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。由于使用的是Ssl协议,该协议是介于http层及tcp层的平安协议,传输的内容是经过加密的。SSL VPN通过设置不同级别的用户和不同级别的权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、radius机制等不同的方式。ssl数据加密的平安性由加密算法来保证,各家公司的算法可能都不一样。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。由于SSL VPN一般在gateway上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上。这样对于gateway来讲,需要开通443这样的端口到ssl vpn即可,而不需要开通所有内部的应用的端口。假如有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。
可用性就是保证信息及信息系统确实为授权使用者所用。前面已经提到,对于SSL VPN要保护的后台应用,可以为其设置不同的级别,只有相应级别的用户才可以访问到其对应级别的资源,从而保证了信息的可用性。
可控性就是对信息及信息系统实施平安监控。SSL VPN作为一个平安的访问连接建立工具,所有的访问信息都要经过这个网关,所以记录日志对于网关来说非常重要。不仅要记录日志,还要提供完善的超强的日志分析能力,才能帮助管理员有效地找到可能的漏洞和已经发生的攻击,从而对信息系统实施监控。
二、SSL VPN的优势
2.1 零客户端
客户端的区别是SSL VPN最大的优势。浏览器内嵌了ssl协议,所以预先安装了web浏览器的客户机可以随时作为SSL VPN的客户端。这样,使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供给商等。通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问。也就是说是基于b/s结构的业务时,可以直接使用浏览器完成ssl的vpn建立;而IPSEC VPN只答应已经定义好的客户端进行访问,所以它更适用于企业内部。
2.2 平安性
SSL VPN的平安性前面已经讨论过,和IPSEC VPN相比较,SSL VPN在防病毒和防火墙方面有它特有的优势。
一般企业在Internet联机入口,都是采取适当的防毒侦测办法。不论是IPSEC VPN或SSL VPN联机,对于人口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSEC VPN联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
2.3 访问控制
用户部署vpn是为了保护网络中重要数据的平安。IPSEC VPN只是搭建虚拟传输网络,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
2.4 经济性
使用SSL VPN具有很好的经济性,因为只需要在总部放置一台硬件设备就可以实现所有用户的远程平安访问接入。但是对于IPSEC VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定Internet知识的普通工作人员就可以完成日常的管理工作。
根据WoSign最新推出的“SSL证书免费健康体检系统”的测试结果表明:我国所有已经部署了SSL证书的网银系统和第三方支付系统的服务器都有不同程度的SSL安全配置问题(有些甚至囊括了所有已知的安全漏洞),主要涉及以下几个方面的问题:
1.许多网银网站都没有关闭不安全的传统SSL通信重新协商机制,更谈不上补漏支持安全重新协商机制了。
美国信息安全专家Marsh Ray与Steve Dispensa于2009年9月份公开了他们发现的TLS/SSL协议的安全漏洞,攻击者可以利用这种漏洞劫持用户的浏览器,并伪装成合法用户。由于TLS协议中的密钥再协商功能使得验证服务器及客户机身份的一连串动作中存在前后不连贯的问题,因此给了攻击者可乘之机。不仅如此,这种漏洞还给攻击者发起Https攻击提供了便利,Https协议是Http与TLS协议的集合体。
发现这一漏洞之后,两位专家很快将其报告给了网络安全产业联盟(ICASI),该联盟由微软、诺基亚、思科、IBM、英特尔和Juniper公司创立,同时他们还将其报告给了互联网工程任务组(IETF)以及几家开源的SSL项目组织。2009年9月29日,这些团体经过讨论后决定推出一项名为Mogul的计划,该计划将负责修补这个漏洞,计划的首要任务是尽快推出新的协议扩展版,以修复该漏洞。
微软于2010年2月11日了第977377号安全公告《Microsoft 安全公告:TLS/SSL 中的漏洞可能允许欺骗》,要求用户在受影响的系统上采用禁用TLS和SSL重新协商支持的替代方法,以帮助保护连接到此类服务器的客户端,免被该漏洞所利用。同时,IETF于2010年2月了新的协议扩展版RFC 5746《Transport Layer Security (TLS) Renegotiation Indication Extension,TLS重新协商标识扩展》。各大服务器软件厂商也纷纷推出了支持此扩展协议的补丁,微软于2010年8月16日了此漏洞的补丁《MS10-049:SChannel 中的漏洞可能允许远程代码执行》,凡是允许自动升级的系统都会自动修复此漏洞,使得系统能支持新的TLS/SSL协议扩展项,即支持Secure Renegotiation (安全重新协商)。Apache服务器软件也提供了相应的补丁。
但是,这么重大的安全漏洞并没有引起国内部署了SSL证书的重要系统的重视和采取相应行动。所幸的是:如果服务器采用的是Windows Server系统并支持自动升级的话,微软已经自动升级和修复了此安全漏洞。但还有许多服务器软件并不支持自动升级功能,特别是被广泛使用的Apache服务器软件,必须人工升级到最新版。
2.有许多网站仍然支持不安全的SSL V2.0协议。
SSL V2.0协议是NetScape公司于1995年2月的,由于V2.0版本有许多安全漏洞,所以,1996年紧接着了V3.0版本。目前主流浏览器(IE、火狐、谷歌、Safari、Opera等)都已经不支持不安全的SSL V2.0协议。SSL V2.0协议的主要安全漏洞有:同一加密密钥用于消息身份验证和加密;弱消息认证代码结构和只支持不安全的MD5摘要算法;SSL握手过程没有采取任何防护,这意味着非常容易遭遇中间人攻击;虽然使用TCP连接关闭,以指示数据的末尾,但并没有明确的会话关闭通知(这意味着截断攻击是可能的,攻击者只需伪造一个TCP FIN,使得接受方无法识别数据结束消息的合法性即可)。
3.有些网站仍然支持不安全的40位和56位加密套件。
破解40位DES算法只需几秒钟,破解50位DES算法也只需几天时间,但破解128位3DES算法则需要0.25个10的21次方年才能破解,所以,Web服务器软件必须只能支持128位以上的加密套件,而关闭不安全的40位和56位加密套件。
4.有些网站的SSL证书和/或其根证书都是不安全的1024位公钥。
微软和火狐等将于2010年12月31日停止支持1024位公钥证书,并于2013年12月31日之前删除所有不安全的、低于2048位的根证书。为了服务器的安全,必须部署从根证书、中级根证书和用户证书整个证书链都是2048位或高于2048位的SSL证书。
5.许多网银系统都使用自签证书或其他不支持浏览器的SSL证书,几乎所有自签证书都存在以上安全问题,并且自签证书很容易假冒和受到中间人攻击。
为了重要系统的安全,千万不要使用自签的SSL证书,避免因此产生的巨大安全隐患和安全风险,特别是重要的网银系统、网上证券系统和电子商务系统,一定要选购专业证书颁发机构颁发的全球信任的支持浏览器的SSL证书,因为证书中许多环节的安全问题是一般的自签证书颁发系统都没有很好解决的技术问题。
6.有些网站的SSL证书安装时并没有安装中级根证书。
关键词:电子商务 协议 SSL TLS SET
1 传输层安全协议
1.1 安全套接字层协议(SSL)
安全套接层协议是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了保密、认证服务和报文完整性。它可以有效的保护信用卡以及个人信息。Netscape Communicator和Microsoft IE浏览器中通常会用到SSL,这样能够更好的进行安全交易操作。SSL中的加密方法包括公开密钥和私有密钥。
1.2 传输层安全协议(TLS)
主要是在两个通信应用程序之间使用安全传输层协议(TLS),从而保证更高的保密性和数据完整性。该协议主要包括TLS 记录协议和TLS握手协议,前者处于较低层,它的位置是在某个可靠的传输协议上面。
①协议结构
TLS协议包括两个协议组,即TLS记录协议和TLS 握手协议,每组都包括了不少各有差异的格式信息。我们可以将TLS记录协议定义为一种分层协议,每层都会有长度、描述和内容等字段。他可以对接收到的数据进行解密、校验,或者是解压缩、重组等,之后高层客户机会接受以上的信息。TLS连接状态即为TLS记录协议的操作环境,其中包括压缩算法、加密算法和MAC算法。不同大小无空块的连续数据可以通过高层输送到TLS记录层。关于密钥计算方面要注意的有:记录协议在各种算法的协助下,通过握手协议提供的安全参数获得密钥、IV和MAC密钥。
②TLS握手协议过程
改变密码规格协议;警惕协议;握手协议。
③TLS记录协议
TLS 记录协议具有连接安全性,这种安全性的特性包括以下两点:
私有,即对称加密用以数据加密。密钥在经过对称加密后,每个连接有一个且仅有一个密钥,而且这个密钥基于另一个协议协商。我们再不加密的时候也能使用记录协议。
可靠,即信息传输包括使用密钥的MAC,能够对信息进行周密的检查。安全功能主要就是为了做好MAC 计算。如果没有MAC,记录协议还是会正常运行,但一般仅仅是在这种模式中是可以的,即有另一个协议正在使用记录协议传输协商安全参数。我们在对各种高层协议进行封装时,可以考虑TLS 记录协议。握手协议属于这种封装协议,在应用程序协议传输和接收其第一个数据字节前,它能让服务器与客户机实现相互认证,加密密钥和协商加密算法。
④ TLS握手协议
TLS握手协议具有连接安全性,这种安全性的属性包括以下几点:
第一,可以使用非对称的,或公共密钥的密码术对对等方的身份进行认证。此认证体现了一种可选性,但是要强调的是,最少要有一个结点方;第二,共享加密密钥的协商具有安全性。协商加密后,偷窃者就非常不容易再进行偷窃了。要注意的是,连接已经被认证后是不可以再获得加密的,就算是进入连接中间的攻击者也无法做到;第三,协商是可靠的。在未经通信方成员检测的情况下,不管是谁都无法修改通信协商。
总之TLS是保证因特网应用程序通信隐私和数据完整的协议。TLS和SSL的扩展,经常将他们表述为SSL/TLS、SSL/TLS协议由两层组成,即TLS握手协议允许服务和客户端间的认证,以及在传输真实数据前加密算法和沟通密钥。TLS记录协议位于可靠传输协议之上,如TCP。它确认通过数据加密的连接是隐秘和可靠的。TLS记录协议也用来包装更高层协议,人员TLS握手协议。由于服务器客户端都需要进行认证,SSL/TLS可以防御中间人攻击。此外,由于加密数据,它可以防御并截获传输中的数据包。
2 应用层安全协议
2.1 安全电子交易协议(SET)
1996年,美国Visa和MasterCard两个非常知名的信用卡组织,与国际上一些知名的科技机构一起,经过协商提出了应用于Internet上的在线交易安全标准,这一标准主要针对的是以银行卡为基础的在线交易。
① SET协议的好处
帮助商家制定了保护自己的一些方法,这样就能够保障商家在经营中的安全性,减少商家的运营成本。
对于买方的好处是,SET协议能够保障商家的经营是合法的,而且能够保障用户的信用卡号的安全,SET协议能够帮助买方保护好他们的秘密,让他们能够更加安全的在线进行购物。
使信用卡网上支付的信誉度变得更高,提高竞争力。
SET协议给参与交易的各方设置了互操作接口,不同厂商的产品可以共同使用一个系统。
② SET协议的不足之处
协议中并未明确的规定收单银行给在线商店付款前,是不是一定要收到买方的货物接受证书,不然如果在线商店的货物没有达到相关的质量标准,买方有疑义时,会出现纠纷。协议未对 “非拒绝行为”进行担保,这说明在线商店并不能证明订购是否是签署证书的买方发出的。SET技术规范并未清楚的规定在事物处理结束后,怎样能够安全地保存这些数据,或者是销毁这类数据。在每一次进行SET协议交易时,协议的使用都是很繁琐的,不是很方便,增加了使用的成本,且只有当客户有电子钱包时才能使用。
SET主要针对的就是用户、商家和银行之间通过信用卡进行的支付交易,目的是更好的保护支付信息的机密,保障支付过程的完整,保护商户及持卡人的合法身份,操作性较好。SET中的核心技术包括公开密钥加密、电子数字签名等。
SET是一种基于消息流的协议,一般都是通过Visa和MasterCard以及其他一些业界主流厂商设计,以此来实现公共网络上银行卡支付交易的安全性。在国际方面,SET已经受住了很多次的考验,获得了良好的效果,但很多在Internet上购物的消费者实际上并未真正使用SET。
SET是一种非常复杂的协议,它能够清楚地向我们展现卡支付交易各方之间的各种关系。SET还对加密信息的格式进行了规定,完善了每笔卡支付交易时各方传输信息的规则。实际上,将SET定义为技术方面的协议是很不够的,他还体现了每一方所持有的数字证书的合法性。
2.2 PGP协议
PGP加密技术是一个给予RSA公钥加密体系的邮件加密软件,提出了公共钥匙的加密技术。PGP加密技术创造性地把RSA公钥体系和传统加密体系结合起来,并且在数字签名和密钥认证管理机制上有巧妙的设计,因此PGP成为目前最流行的公钥加密软件包。
2.3 安全超文本传输协议(HTTPS)
SSL的一个普通用途就是浏览器和网页服务的HTTP通信安全。安全模式就是由SSL/TLS发送“无格式”的HTTP协议并依据SSL命名的超文本传输协议。有时将其指定为支持HTTP协议的扩展HTTPSS。SSL/TLS建立客户端和服务间的安全连接并传输大量数据,HTTPS是为安全传输个人信息而设计的。
参考文献:
[1]《电子商务概论》.贾玢主编.北京交通大学出版社,2009年.
关键词:计算机通信;网络安全协议;作用
1网络安全协议的作用
1.1提升安全水平
计算机通信技术中网络安全协议的应用能强化自身安全水平。原因是计算人员在增加自身安全水平的过程中能清晰的了解到,现在部分网络安全协议是处于持续完善的状态,该过程不容被忽视的内容是网络安全协议自身的不足和缺陷。技术人员在检测网络安全性的过程中,重视利用攻击自身进行防御[1]。如,计算人员可以对网络安全协议的不同方法开展对应防护工作,从不同角度强化计算机通信技术的安全水准。
1.2控制设计成本
计算机通信技术中网络安全协议的应用主要作用是控制设计的成本控制。网络安全协议主要的应用目的为营造网络安全环境,在建造安全网络技术的同时,设计网络安全协议的安全性,让其能从根本上保障网络的安全性能。这就能避免网络安全等级不够的情况下出现的网络数据信息丢失或者相关文件损毁的状况。计算机网络中的网络安全协议自身有着优越性较好的特性,为更好的控制设计成本效果,就要求计算机人员网络安全协议设计期间,预测协议面临的困难和将要遭受的攻击,多方面考虑到协议自身设计中产的成本和后期运营中需要的成本[2]。
1.3增强适用价值
计算机通信技术在网络安全协议中的应用能强化自身的适用性。当前随着Internet的发展,更多的人借助于Internet开展的商务活动。电子商务的发展前景还是十分广阔和诱人,而其安全性问题也日益突出,所以技术人员在增强适用价值,要重视网络协议对攻击的有效防御。另外,技术人员在强化计算机通信技术适用价值的时候,要对用户不需要的或者过时的信息开展恰当的处理,避免部分网络黑客利用网络系统开展攻击,以提高网络安全协议的等级和强化计算机通信技术的可靠效果。
2网络安全协议的应用
2.1ARP协议在局域网中的应用
主机的运行状态能够直接影响网络安全,因此需要对主机进行安全防护,在主机接入网络中时,需要通过安全协议进行有效的数据信息传输控制。网络管理员在日常工作中,需要注意很多事情。譬如当主机的工作状态处于网际层下时,必须有相应的IP地址对应每一台接入网络的主机,当IP地址出现重复状况时,一定会产生很多的问题,很多数据将产生冲突和错误,使网络的部分功能处于混乱中而无法正常工作。网络管理员针对这种情况就需要ARP进程的帮助,在系统中运行进程,使局域网中的每一台主机都能接收到与自身独立IP相对应的数据信息,并且还需要对相同IP地址的主机进行跟踪,找出问题主机的真正IP地址,将其更正过来。很多情况下,应用假IP的主机都是有问题的,或许是操作人员在进行工作时进行了错误的更改,也可能是恶意攻击。ARP进程的运行也会对MAC地址的映射给予应答,以此来完成相应数据信息的解析和处理。如果主机接入的具有制定IP地址的解析请求是从局域网广播处接入的,就可以收到ARP应答。当能够收到ARP应答时,就说明这个接收信息的IP与其相对应的主机处于活动状态。
2.2SSL的协议分析
SSL协议能获悉,在计算机通信技术的应用中推进Internet的传输,最终使其传输性能得到较大幅度的提升,这样就能让传输的数据可靠性得到保障。第一,先要使用SSL协议对计算机通信技术的无线视频监控开展对应分析。我们知道SSL协议经常被应用到无线视频监控系统内,其中较为常用的系统分别是服务器、客户端模式组网和硬件采集控制系统等。不同的控制系统功能性不同,尤其是服务器是整个系统中的关键构建,在基于SSL协议视频通话采集中进行播放和转发,能构建更好的信息资源,然后让所有的信息经由通道传输到数据库内;客户端方向,能够获悉SSL协议的支持下,所有的管理人员选择对应的视频通道,然后将其传输到服务器端,确定视频流的信息;硬件采集端方面,先要以SSL协议的视频监控系统为信息采集的不同阶段分段点传输信息,通过建立对应的服务器,将所有的采集点都发送到服务端上。综上所述,在SSL安全协议的支持下,所有的计算机通信系统能否与客户开展对应的连接,让信息传输的安全性能得以保障是我们要探究的问题。另外需要详细说明的是,在以SSL安全协议为依托的无线视频流中建立对应的传输模块,并对不同的信息开展分类,形成命令对应函数接口,此过程中,要对所有具备的函数接口开展对应的API后,让所有的SSL加密通信传输得到发展。第二,分析SSL安全协议以后先要对其网络中的技术进行分析。(1)网络通信技术使用。SSL安全协议先要将TCP、IP协议为依托,建立“socket”的系统化通信机制,该通信机制主要是借用应用程序提供统一的编程接口,然后将下层的通信协议与其他的物质介质进行屏蔽,这能为后续系统的深入开发奠定坚实的技术支持。另外,Socket该通信机制主要是为计算机的无线数据连接提供服务,这项服务能支持双向数据流的传输,也能保证数据传输的真实与可靠性。(2)多线程技术。以SSL安全协议为前提基础的多线程技术主要是在信息传输中构建对应的资源信息,并在资源信息构建期间避免其他的非法资源入侵。其实所有的多线程计算机均具有硬件支持能力,在同一时间内通过执行多项线程活动,能在SSL安全协议支持下,确定线程情况后,让操作台通过多项线程的执行,以提升信号的辨识精度和效率。
3结语
计算机通信技术的应用越来越广泛,在应用的过程中需要使用安全协议来保护网络安全。所以需要相关技术人员加强对安全协议的改善和研究,使安全协议在使用过程中能够获得更好的应用价值。
参考文献:
VPN建在互联网的公共网络架构上,通过“安全隧道”协议,在发送端加密数据、在接收端解密数据,以保证数据的私密性。但是,现行IPSec标准 VPN的广泛使用却给公司内部IT部门带来无穷的烦恼,因为IPSec VPN的使用者在下载软件和维持连接时需要IT部门的支持。另外,在接入网络和宽带网络广泛使用NAT技术,也给IPSec VPN的接入带来了麻烦,因为数据包在进入Internet之前,必须进行一次从私有Internet地址到公用Internet地址的转换,而IPSec 本身却要求包在发出和被收到期间都不能发生任何改变。虽然最近新的NAT-T 协议支持IPSec VPN,但是配置的复杂程度非常高。
因此,人们又把目光投向原先用于应用层加密的SSL(Secure Socket Layer,安全套接层)技术。希望这种面向应用的SSL协议能够承载比原来更多的内容,为用户提供更简便的接入方式,以替代复杂的IPSec VPN技术。
左看右看SSL
SSL协议最初由Netscape公司发起,现已成为网络用来鉴别网站和网页浏览者身份以及在浏览器使用者和网页服务器之间进行加密通信的全球化标准。由于SSL技术已建立到所有主要的浏览器和Web服务器程序中,因此,仅需安装数字证书或服务器证书就可以激活服务器功能了。我们常用的IE浏览器和IIS Web 服务器就默认支持SSL协议。
适用范围
大多数SSL VPN本质上都是支持SSL方式的Http反向和加密通道,由IE浏览器客户端开始,以Http服务器为总结。这样,它们非常适合于具有Web功能的应用,只要通过任何Web浏览器即可访问。Http反向支持其他的查询/应答应用,譬如基本的电子邮件、复杂的ERP和CRM等客户机/服务器应用。换句话说,SSL VPN技术最为适用的典型应用环境包括ERP、CRM、SCM、OA、财务、人力资源及物流管理等应用管理系统,还有电子商务交易平台、局域网内共享文件资源、电子邮件或者是IT年投入在50万元(人民币)以上的企业应用。如果从行业角度来看,像具有分布式网络应用、诸如金融、电信、政府机关及制造业等中大型企业都适合选用这种技术。对于这些类型应用的访问,SSL VPN为远程连接提供了简单、经济的方案,是一种即插即用型、不需要任何附加的客户端软件或硬件的安全产品。
绝对优势
与IPSec的第三层加密的VPN技术相比,SSL VPN显然和SSL一样,是一个第七层(应用层)加密的技术。因此它的优点是明显的,不会受到三到四层网络协议变化的影响,实施和部署起来也更加灵活,不必考虑太多网络的拓扑结构及对连接可能产生的影响。此外,SSL VPN不需要另外安装客户端软件的特性和IPSec VPN配置的复杂性形成了鲜明的对比。
相对劣势
然而,大多数SSL VPN也存在一个弱点,就是它们仅提供访问Web应用的能力,不能满足企业用户所需的访问C/S应用的能力。目前,许多公司都依赖一些遗留下来的系统,如Oracle和SAP等厂商提供的C/S应用,所以它们不能考虑SSL VPN,或者仅仅部分使用SSL VPN。但是,事实并非如此。由于技术的使用,使得除了SSL能访问的传统应用类型外,现在能提供对更多类型应用的访问能力。
VPN流行色
目前,能够提供支持SSL VPN技术的解决方案还不多,大多数VPN安全厂商还锁定在IPSec VPN技术上,但随着移动商务的普及,有不少厂商开始将目光转向了SSL VPN。附表便描述了国外主流VPN厂家对SSL VPN的支持情况。
从附表我们可以看到,北电网络(Nortel )、彩虹天地和诺基亚(Nokia)及(NetScreen)是同时提供支持IPSec VPN和SSL VPN技术的安全厂商。
朴实无华的SSL VPN
北电网络在Alteon 交换机的先进技术的基础上推出 Alteon SSL的SSL VPN解决方案。除了支持常用的Web方式以外,还通过Java Applet的方式和增强的客户端方式,保证Web为主的各种应用程序都能通过SSL VPN来进行访问。这种SSL VPN是通过在传统IPSec VPN上加载SSL软件来实现的。
10月21~24日,在北展举办的第5届安全展上,用户可以看到与国外几乎同步上市的SSL VPN产品。一个是彩虹天地的NetSwift iGate,一个是诺基亚的NSAS。
密钥在握的SSL VPN
彩虹天地SSL VPN方案又称“一站式”Web安全解决方案,它通过USB硬件密钥的方式来加强客户端的身份认证功能。
NetSwift iGate由硬件和软件两部分组成:硬件是指标准1U(或2U)设备iGate和iKey密钥(如图1所示),前者工作于防火墙和后端服务器之间,从客户端到iGate采用SSL协议加密,而iGate与服务器间的通信使用标准Http协议,它内置10/100/1000Mbps自适应网卡,使用Rainbow特有的CryptoSwift SSL加速卡完成SSL加解密工作;后者用于客户端登录,用户只要将它插入客户机,通过iKey+PIN码的双因素认证方式,即可将信息安全地传递到iGate,由iGate将其解密后以Https协议传递到后端服务器,而从服务器返回的信息再由iGate加密后传递到客户端。软件是指内置在硬件中的操作系统和管理软件,以及ACM访问控制管理工具及客户端软件(iKey驱动和浏览器插件)。
NetSwift iGate独特之处在于不仅针对网页或非网页应用程序进行保护,更能将SSL加密隧道结合独有的双因素身份认证来确认远程访问者的真实身份,避免口令泄露和黑客入侵等可能带来的损失。
控于掌股间的SSL VPN
诺基亚安全接入系统Nokia Secure Access System(NSAS)即是SSL远程接入解决方案,它是一个单一的、工作于防火墙之后的硬件设备。NSAS具有两大与众不同之处,一是采用先进的接入控制技术。NSAS不仅仅是一个基于SSL的VPN解决方案,它还是一个采用了比一般的SSL VPN更高明技术的方案――基于连接状态的安全接入控制。通常的SSL VPN只为特定用户设定权限,但不能根据客户端状况发放访问权限,而NSAS却能够透过诺基亚完整性扫描和数字证书的出示,辨别用户身份、所采用的通信工具、接入时的安全状况(比如是否安装了防毒软件等),自动调整用户的接入权限。如果用户得到完全信任,则开放所有访问权限;如果身份被认可而安全性证明不足,则只开放邮件系统。可以说,客户端完整性扫描是NSAS独有的技术,它可以让网管监测到远端用户是否使用系统规定的安全产品(如防毒或防火墙等),也可以帮助网管判断远端用户机是否为其他计算机所控制及属于何种接入设备等。
NSAS的另一个独特性质是具有持续性会话(Session Persistence)功能。当用户的SSL会话因没有话务活动而超时后,允许用户进行恢复工作,以避免数据丢失,并使用户对话不出现中断。
应用“三家巷”
通过在防火墙后面部署一个 SSL VPN的Gateway,同时开放一个响应的SSL VPN端口,就可以让Internet上的用户访问到公司内部网络了(如图2所示)。
用户可以通过3种不同的客户端形式,在任意类型的网络中,访问到公司内部的资源。
第1种方式:完全通过浏览器方式访问公司。这种方式对于Web应用是最直接的方式。
第2种方式:通过浏览器和Java Applet的方式。主要用于访问诸如E-mail或者Telnet等服务时候使用。
第3种方式:通过特定的客户机来访问公司内部网络,主要为支持客户机和服务器方式的应用程序。
同时这3种方式都可以支持用户认证和访问控制,并且和公司本身身份认证系统相结合(如Radius和LDAP身份认证等)。
后记
SSL VPN作为一个新兴的技术,有着强大的生命力。但是它只能解决一部分IPSec VPN所不能解决的问题。因此它会作为 PC to Gateway方式的VPN一个主要解决方案,来提供客户端到公司内部网络的访问需求。而对于 LAN to LAN的VPN 方案而言,IPSec依然有它速度和性能上的强大优势。因此这两种技术会相辅相成,很长一段时间,一直到IPv6到来的那一天。
安全新风向
移动商务风起云涌,安全问题随风而至。SSL VPN可谓服务于移动商务的急先锋,接下来,将有不胜枚举的各式各样支持移动商务的安全产品迭出。比如在第5届安全展上,人们看到的诺基亚Nokia Access Mobilizer(NAM),一种允许企业员工通过无线网络使用任何配有浏览器的设备,让用户可以安全、直观和简单的方式访问企业的电子邮件、附件、日历、联系人列表、任务列表、内部网和启用HTML的企业应用等。用户可以阅读Microsoft Word文档、RTF文件、Adobe PDF文档、Microsoft Excel文件和Microsoft PowerPoint文件,查看图像文件,阅读网站新闻,回复或转发电子邮件并保留“已发送(Sent)”的内容。当用户选择查看一封电子邮件或浏览内部网站点时,NAM在数据传输过程中重新制作数据的格式,根据用户选择的偏好提供对内容的实时访问,并动态地对用户的这种偏好进行优化,使其能够显示在不同外形(和物理限制)的设备上。
关键词:IPSec VPN;SSL VPN;VPN;虚拟专用网络
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)21-5088-04
1虚拟专用网络
1.1虚拟专用网络(VPN:Virtual Private Network)
VPN是通过公用网络(如Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。随着网络,尤其是网络经济的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(VPN)以其独具特色的优势,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。因此,虚拟专用网赢得了越来越多的企业的青睐,通过将数据流转移到低成本的网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时这也将简化网络的设计和管理。令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。如下图可以清楚的看到目前流行的,应用比较广泛两种VPN的连接方式——IPsec VPN和SSL VPN。
图1
1.2 VPN有多种,每种都能满足特定的需求
下面是二种主要的VPN:
1)内部网接入VPN:接入VPN让移动办公者和小型办公室/家庭办公室SOHO能通过基础的共享设施远程接入总部的内部网和外联网。该方式使用专用连接通过共享基础设施将地区性办事处和远程办公室与总部的内部网络连接起来。内部网接入VPN与外联网VPN区别在于,前者只允许企业的雇员访问。
2)外联网VPN:(“外联网(Extranet)”是不同单位间为了频繁交换业务信息,而基于互联网或其他公网设施构建的单位间专用网络通道。因为外联网涉及到不同单位的局域网,所以不仅要确保信息在传输过程中的安全性,更要确保对方单位不能超越权限,通过外联网连入本单位的内网。)外联网VPN使用专用连接通过共享基础设施将商业伙伴与总部网络连接起来。外联网VPN与内部网VPN的区别在于,前者允许企业以外的用户访问。
1.3 IPSec VPN
IPSec是现在企业网络通讯应用中被广泛使用的加密及隧道技术,同时也是在不牺牲安全性前提下,被选用来在网络第三层建立IP-VPN的方法,特別是对于无法负担Frame Relay或ATM高額费用的中小企业而言,IPSec的应用是一项福音。而目前SSL VPN以其设置简单无需安装客户端的优势,越来越受到企业的欢迎,可望成为未来企业确保信息安全的新宠。
IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec是IETF(Internet Engineer Task Force)正在完善的安全标准,相对于SSL VPN而言应用较早的一种VPN技术。IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec是基于网络层的,不能穿越通常的NAT、防火墙。
1)IPsec协议
IP_SECURITY协议(IPSec),通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
2)IPSec VPN接入
通过在两站点间创建隧道提供直接(非方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户PC就如同物理地处于企业LAN中。就通常的企业高级用户(Power User)和LAN-to-LAN连接所需要的直接访问企业网络功能而言,IPSec无可比拟。然而,典型的SSL VPN被认为最适合于普通远程员工访问基于Web的应用。SSL VPN不需要在最终用户的PC和便携式电脑上装入另外的客户软件。有些公司之所以选择SSL而不是IPSec,这项不需要客户软件的功能正是一个重要因素。因为最终用户避免了携带便携式电脑,通过与因特网连接的任何设备就能获得访问,SSL更容易满足大多数员工对移动连接的需求。但SSL VPN也有其缺点:业内人士认为,这些缺点通常涉及客户端安全和性能等问题。对E-mail和Intranet而言,SSL VPN是很好;但对需要较高安全级别(SSL VPN的加密级别通常不如IPSec VPN高)、较为复杂的应用而言,就需要IPSec VPN。
摘要:SSL VPN;IPSec VPN;网络平安
VPN 是一项非常实用的技术,它可以扩展企业的内部网络,近期,传统的IPSec VPN 出现了客户端不易配置等新问题,相对而言,SSL VPN作为一种全新的技术正在被广泛关注,SSL利用内置在每个Web浏览器中的加密和验证功能,并和平安网关相结合,提供平安远程访问企业应用的机制,这样,远程移动用户可以轻松访问公司内部B/S和C/S应用及其他核心资源。
1 什么是SSL VPN
SSL VPN是指应用层的VPN,基于HTTPS来访问受保护的应用。目前常见的SSL VPN方案有两种摘要:直路方式和旁路方式。直路方式中,当客户端需要访问一应用服务器时,首先,客户端和SSL VPN网关通过证书互相验证双方;其次,客户端和SSL VPN网关之间建立SSL 通道;然后,SSL VPN 网关作为客户端的和应用服务器之间建立TCP 连接,在客户端和应用服务器之间转发数据。旁路方式和直路不同的是,为了减轻在进行SSL加解密时的运行负担,也可以独立出SSL加速设备,在SSL VPN Server 接收到HTTPS 请求时将SSL加密的过程交给SSL加速设备来处理,当SSL加速设备处理完之后再将数据转发给SSL VPN Server 。
2 SSL VPN的平安性
保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。由于使用的是SSL协议,该协议是介于 HTTP层及TCP 层的平安协议。传输的内容是经过加密的。SSL VPN通过设置不同级别的用户,设置不同级别的权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、Radius机制等不同的方式。SSL数据加密的平安性由加密算法来保证,各家公司的算法可能都不一样。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。由于 SSL VPN 一般在 GATEWAY 上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到 SSL VPN上,这样对于GATEWAY来讲,需要开通 443 这样的端口到SSL VPN即可,而不需要开通所有内部的应用的端口,假如有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。
可用性就是保证信息及信息系统确实为授权使用者所用。前面已经提到,对于SSL VPN要保护的后台应用,可以为其设置不同的级别,只有相应级别的用户才可以访问到其对应级别的资源,从而保证了信息的可用性。
可控性就是对信息及信息系统实施平安监控。SSL VPN作为一个平安的访问连接建立工具,所有的访问信息都要经过这个网关,所以记录日志对于网关来说非常重要。不仅要记录日志,还要提供完善的超强的日志分析能力,才能帮助管理员有效地找到可能的漏洞和已经发生的攻击,从而对信息系统实施监控。 3 SSL VPN的优势
3.1 零客户端
客户端的区别是SSL VPN最大的优势。浏览器内嵌了SSL协议,所以预先安装了Web浏览器的客户机可以随时作为SSL VPN的客户端。这样,使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供给商等,通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立;而IPSec VPN只答应已经定义好的客户端进行访问,所以它更适用于企业内部。
3.2 平安性
SSL VPN的平安性前面已经讨论过,和IPSec VPN相比较,SSL VPN在防病毒和防火墙方面有它特有的优势。
一般企业在Internet 联机入口,都是采取适当的防毒侦测办法。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec 联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
3.3 访问控制
用户部署VPN 是为了保护网络中重要数据的平安。IPSec VPN只是搭建虚拟传输网络,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
3.4 经济性
使用SSL VPN具有很好的经济性,因为只需要在总部放置一台硬件设备就可以实现所有用户的远程平安访问接入。但是对于IPSec VPN 来说,每增加一个需要访问的分支,就需要添加一个硬件设备。就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。
综观上述,SSL VPN在其易于使用性及平安层级,都比IPSec VPN高。我们都知道,由于Internet的迅速扩展,针对远程平安登入的需求也日益提升。对于使用者而言,方便平安的解决方案,才能真正符合需求。
参考文献
[1Tuchman W. Hellman Presents no Shortcut SolutionstoDES.IEEE Spectrum, July 1979,
16(7)摘要: 40~41.