社会稳定:利用SSL保障企业网络传输的稳定和安全

on 2009-11-30 in 网站安全 | 0 Comment
  众所周知区别主机的间网络数据传输主要是通过TCP/IP网络协议来完成无论是企业局域网数据传输还是互联网上数据传输都是如此但是令人想不通在当初TCP/IP协议设计过程中并没有提供任何安全性也就是说光凭TCP/IP协议并不能过保障数据在网络中安全和稳定传输为此数据在网络中安全性要依赖于高层应用互联网技术发展到现在已经有不少提高网络运输稳定和安全解决方案今天谈谈如何通过SSL来实现这个需求
  
  SSL中文名字叫做安全套接层协议他使用TCP/IP为高层协议建立安全连接它运行在TCP/IP和高层协议的上提供数据传输安全性SSL协议其包括两个分支分别为SSL纪录协议和SSL握手协议
  
  、 3步完成SSL纪录协议
  
  SSL纪录协议相对来说比较简单它定义了数据在网络中传输格式并对此采取加密处理同时还提供了些验证手段防止在传输过程中数据被人为破坏从而影响数据传输稳定性要实现这些目只需要简单 3步即可
  
  第步:分块当上层数据被转移到SSL协议所在层的后数据将会被分块从上层传递下来数据往往是以明文形式传送通常情况下分块过后数据不会超过214字节分块时候般不会考虑数据内容形式而只考虑大小即具有同样类型区别纪录消息会被组合为个纪录;而如果个纪录容量比较大也会被分割为多个块
  
  第 2步:压缩并加密分块的后SSL协议就会对要传输数据使用压缩算法进行压缩并且在压缩过程中同时进行加密处理压缩算法必须保证数据在压缩后不会被丢失当另外端接收到数据的后就会采用对应解压算法对数据进行解压缩同时完成数据解密过程
  
  第 3步:纪录有效载荷保护在数据传输过程中另外个需要关注问题就是传输数据稳定性也就是说传输数据有没有被意外更改等等SSL协议也提供这方面保护当完成对数据压缩和加密的后SSL纪录协议会计算出完整校验值也就是所谓消息鉴别码在传输数据时候这个消息鉴别码会随同上面同被加密传送在接收端数据被解密、解压缩;然后也会重新计算着消息鉴别码以验证数据是否在传输过程中被意外修改
  
   2、SSL握手协议
  
  SSL纪录协议只是在单机上对信息进行重新分块并进行压缩和加密而没有涉及到网络连接SSL握手协议则主要用来解决主机的间连接问题SSL握手协议使用SSL纪录协议在两台支持SSL设备的间通过交换系列信息以建立SSL连接SSL握手协议在建立连接过程中主要完成对服务器和客户的间相互鉴别、确定所要采用加密算法、通过使用公开密钥加密技术产生共享加密信息、建立加密SSL连接等等
  
  建立个SSL会话要比SSL纪录协议复杂往往需要通过多个步骤才能够完成这里出于篇幅限制也就不再展开了大家若有需要可以去参考相关书籍这里主要对几个容易搞混地方做些介绍说明以便于大家应用SSL协议
  
  是加密思路方法选择在SSL建立会话传递数据过程中要确保其路过个网络设备都支持SSL协议否则就会出现数据传输上问题而现在网络设备大部分已经都支持SSL协议但是SSL协议所采用加密思路方法有上十种虽然现在网络设备基本都支持SSL协议可是不定会支持所有加密算法为此SSL协议会在建立会话过程中选择大家都支持种加密算法在对于些安全性级别要求比较高场合中网络管理员要对其具体采用加密算法进行监控若无法满足企业安全性需求则要及时更换设备或者对设备进行升级以满足比较高加密算法以及安全性需求
  
   2是要注意加密并不等于不能够破解SSL连接是加密在客户机、服务器的间所有传送数据通过SSL协议处理的后都是加密这为数据传输提供了很高机密性SSL协议在确定了所使用加密算法的后握手过程会产生密钥加密算法就会采用这个密钥但是要值得注意就是并不是说加密的后数据就不能够被破解而只是说增加了这个破译难度而这个难度系数到底达到多少又是由这个加密算法说决定虽然说在SSL会话过程中SSL协议会自主选择个大家都支持加密算法
  
  但是出于某些特殊性安全需要有时候网络管理员要对这个进行干预如网络管理员可以禁用某些网络设备上级别低加密思路方法从而在数据传输中要么不传要传就要用些高级加密思路方法处理这虽然不利于网络传输稳定性但是可以满足些对于数据安全有特殊需要客户
  
   3是可以通过配置SSL协议为其他不安全服务提供身份验证等功能如在实际工作中采用Telnet协议远程管理服务器或者网络设备不如何安全这主要是Telnet协议在数据传输过程中无论是用户名口令还是执行命令都是明文传输很显然这会给入侵者个可乘的机另外诸如TFTP(简单文本传输协议)也是不安全其没有提供身份验证机制在这种情况下网络管理员就可以把SSL协议和这些不安全协议结合起来在享受它们便利同时又保障他们安全性
  
  另外IPSec技术也可以起到类似作用简单原理就是把路由器等关键设备当作服务器而把用户主机当作客户端在服务期上可以设置安全策略必须要采用加密技术如此在客户端跟服务器端进行协商时候服务起就会告诉客户端你如果想跟我通信必须要采用我指定加密技术否则休想跟我通话通过这种措施就可以在客户机和服务器的间强制建立起个安全通道
  
  如此即使HTTP等协议采用明文形式传输数据也不用担心虽然HTTP协议没有采取安全策略但是当HTTP报文在网络中传输时候诸如SSL或者Ipsec等安全技术为其保驾护航通过加密等技术保障其传输过程中安全性
  
   4是在VPN技术上和SSL协议集成提高远程访问安全性虽然传统VPN技术也提供了些安全身份认证机制但是普遍认为其自带安全解决方案是不安全传统VPN技术下黑客入侵、身份欺诈等攻击行为时有发生而且得逞案例也不在少数而如果在VPN技术上实现SSL协议则其远程访问安全性会发生根本改变也许会有人说采用IPSec技术同样可以取得类似效果
  
  确实如此但是如果企业采用IPSec技术来保障VPN安全则必须要满足个前提条件即企业网络架构不能够经常变化也就是说IPSec技术确实在安全性方面具有杰出表现但是其灵活性就不如SSL那么高了若企业网络还是处于变革中那么建议网络管理员还是利用SSL协议来武装VPN来实现个相对安全远程访问
  
   5是在WEB服务上集成SSL协议以实现安全性我们都知道WEB服务向被认为是种不安全网络访问行为但是若果在WEB服务器上能够实现SSL协议那么其就可以变得很安全如现在有不少电子商务网站WebSite其在访问时需要使用HTTPS来进行访问而不是传统HTTP他们就是采用了SSL协议
  
  如果需要WEB服务器支持SSL通信就必须要为WEB服务器设置SSL证书如在微软服务器架构中WEB服务器可以向证书颁发机构申请证书安装证书的后网络管理员就可以通过Internet服务管理器将WEB服务器下面虚拟目录配置为要求采用SSL访问注意此时可以制定些特定文件、目录或者虚拟目录采用SSL协议而不需要所有目录如此配置后当客户要访问这些WEB服务器中内容时服务器就会告诉用户要利用SSL协议进行通信如果客户主机不支持SSL协议(如已经被认为禁用掉)则服务器会拒绝和其进行通信从而爆炸功能WEB服务器资源安全性
Tags: 

延伸阅读

最新评论

发表评论