利用SSL保障企業(yè)網(wǎng)絡(luò)運(yùn)輸穩(wěn)定與安全

字號(hào):

眾所周知,不同主機(jī)之間的網(wǎng)絡(luò)數(shù)據(jù)傳輸主要是通過TCP/IP網(wǎng)絡(luò)協(xié)議來完成的。無論是企業(yè)局域網(wǎng)數(shù)據(jù)傳輸,還是互聯(lián)網(wǎng)上的數(shù)據(jù)傳輸,都是如此。但是,令人想不通的是,在當(dāng)初TCP/IP協(xié)議的設(shè)計(jì)過程中,并沒有提供任何安全性。也就是說,光憑TCP/IP協(xié)議,并不能過保障數(shù)據(jù)在網(wǎng)絡(luò)中的安全與穩(wěn)定的傳輸。為此,數(shù)據(jù)在網(wǎng)絡(luò)中的安全性要依賴于高層的應(yīng)用程序?;ヂ?lián)網(wǎng)技術(shù)發(fā)展到現(xiàn)在,已經(jīng)有不少提高網(wǎng)絡(luò)運(yùn)輸穩(wěn)定與安全的解決方案。筆者今天結(jié)合Cisco技術(shù)談?wù)勅绾瓮ㄟ^SSL來實(shí)現(xiàn)這個(gè)需求。
    SSL中文名字叫做安全套接層協(xié)議,他使用TCP/IP為高層協(xié)議建立安全連接。它運(yùn)行在TCP/IP和高層協(xié)議之上,提供數(shù)據(jù)傳輸?shù)陌踩?。SSL協(xié)議其包括兩個(gè)分支,分別為SSL紀(jì)錄協(xié)議與SSL握手協(xié)議。
    一、三步完成SSL紀(jì)錄協(xié)議
    SSL紀(jì)錄協(xié)議相對(duì)來說,比較簡(jiǎn)單。它定義了數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)母袷?,并?duì)此采取加密處理。同時(shí)還提供了一些驗(yàn)證手段,防止在傳輸過程中數(shù)據(jù)被人為的破壞,從而影響數(shù)據(jù)傳輸?shù)姆€(wěn)定性。要實(shí)現(xiàn)這些目的,只需要簡(jiǎn)單的三步即可。
    第一步:分塊。當(dāng)上層的數(shù)據(jù)被轉(zhuǎn)移到SSL協(xié)議所在的層之后,數(shù)據(jù)將會(huì)被分塊。從上層傳遞下來的數(shù)據(jù)往往是以明文形式傳送的。通常情況下,分塊過后的數(shù)據(jù)不會(huì)超過214字節(jié)。分塊的時(shí)候,一般不會(huì)考慮數(shù)據(jù)的內(nèi)容形式,而只考慮大小。即具有同樣類型的不同紀(jì)錄消息會(huì)被組合為一個(gè)紀(jì)錄;而如果一個(gè)紀(jì)錄容量比較大的話,也會(huì)被分割為多個(gè)塊。
    第二步:壓縮并加密。分塊之后,SSL協(xié)議就會(huì)對(duì)要傳輸?shù)臄?shù)據(jù)使用壓縮算法進(jìn)行壓縮,并且在壓縮過程中同時(shí)進(jìn)行加密處理。壓縮算法必須保證數(shù)據(jù)在壓縮后不會(huì)被丟失。當(dāng)另外一端接收到數(shù)據(jù)之后,就會(huì)采用對(duì)應(yīng)的解壓算法對(duì)數(shù)據(jù)進(jìn)行解壓縮,同時(shí)完成數(shù)據(jù)的解密過程。
    第三步:紀(jì)錄有效載荷的保護(hù)。在數(shù)據(jù)傳輸過程中,另外一個(gè)需要關(guān)注的問題,就是傳輸數(shù)據(jù)的穩(wěn)定性。也就是說,傳輸?shù)臄?shù)據(jù)有沒有被意外的更改等等。SSL協(xié)議也提供這方面的保護(hù)。當(dāng)完成對(duì)數(shù)據(jù)壓縮與加密之后,SSL紀(jì)錄協(xié)議會(huì)計(jì)算出完整的校驗(yàn)值,也就是所謂的消息鑒別碼。在傳輸數(shù)據(jù)的時(shí)候,這個(gè)消息鑒別碼會(huì)隨同上面的塊一同被加密傳送。在接收端,數(shù)據(jù)被解密、解壓縮;然后也會(huì)重新計(jì)算著消息鑒別碼,以驗(yàn)證數(shù)據(jù)是否在傳輸過程中被意外修改。
    二、SSL握手協(xié)議
    SSL紀(jì)錄協(xié)議只是在單機(jī)上對(duì)信息進(jìn)行重新分塊并進(jìn)行壓縮與加密,而沒有涉及到網(wǎng)絡(luò)連接。SSL握手協(xié)議則主要用來解決主機(jī)之間的連接問題。SSL握手協(xié)議使用SSL紀(jì)錄協(xié)議,在兩臺(tái)支持SSL的設(shè)備之間通過交換一系列信息,以建立SSL連接。SSL握手協(xié)議在建立連接的過程中,主要完成對(duì)服務(wù)器與客戶之間的相互鑒別、確定所要采用的加密算法、通過使用公開密鑰加密技術(shù)產(chǎn)生共享的加密信息、建立加密的SSL連接等等。
    建立一個(gè)SSL會(huì)話要比SSL紀(jì)錄協(xié)議復(fù)雜的多,往往需要通過多個(gè)步驟才能夠完成。這里出于篇幅的限制,也就不再展開了。大家若有需要可以去參考相關(guān)的書籍。筆者這里主要對(duì)幾個(gè)容易搞混的地方做一些說明,以便于大家應(yīng)用SSL協(xié)議。
    一是加密方法的選擇。在SSL建立會(huì)話傳遞數(shù)據(jù)的過程中,要確保其路過的每一個(gè)網(wǎng)絡(luò)設(shè)備都支持SSL協(xié)議。否則的話,就會(huì)出現(xiàn)數(shù)據(jù)傳輸上的問題。而現(xiàn)在包括思科在內(nèi)的網(wǎng)絡(luò)設(shè)備,大部分已經(jīng)都支持SSL協(xié)議。但是,SSL協(xié)議所采用的加密方法有上十種。雖然現(xiàn)在的網(wǎng)絡(luò)設(shè)備基本都支持SSL協(xié)議,可是不一定會(huì)支持所有的加密算法。為此,SSL協(xié)議會(huì)在建立會(huì)話的過程中,選擇大家都支持的一種加密算法。在對(duì)于一些安全性級(jí)別要求比較高的場(chǎng)合中,網(wǎng)絡(luò)管理員要對(duì)其具體采用的加密算法進(jìn)行監(jiān)控。若無法滿足企業(yè)的安全性需求,則要及時(shí)的更換設(shè)備或者對(duì)設(shè)備進(jìn)行升級(jí),以滿足比較高的加密算法以及安全性需求。
    二是要注意加密并不等于不能夠*。SSL的連接是加密的。在客戶機(jī)、服務(wù)器之間的所有傳送數(shù)據(jù)通過SSL協(xié)議處理之后,都是加密的,這為數(shù)據(jù)傳輸提供了很高的機(jī)密性。SSL協(xié)議在確定了所使用的加密算法之后,一個(gè)初始化的握手過程會(huì)產(chǎn)生密鑰,加密算法就會(huì)采用這個(gè)密鑰。但是,要值得注意的就是,并不是說加密之后的數(shù)據(jù)就不能夠被*。而只是說,增加了這個(gè)破譯的難度。而這個(gè)難度系數(shù)到底達(dá)到多少,又是由這個(gè)加密算法說決定的。雖然說在SSL會(huì)話過程中,SSL協(xié)議會(huì)自主選擇一個(gè)大家都支持的加密算法。但是,出于某些特殊性安全的需要,有時(shí)候網(wǎng)絡(luò)管理員要對(duì)這個(gè)進(jìn)行干預(yù)。如網(wǎng)絡(luò)管理員可以禁用某些網(wǎng)絡(luò)設(shè)備上的級(jí)別低的加密方法。從而在數(shù)據(jù)傳輸中,要么不傳,要傳就要用一些高級(jí)加密方法處理。這雖然不利于網(wǎng)絡(luò)傳輸?shù)姆€(wěn)定性,但是可以滿足一些對(duì)于數(shù)據(jù)安全有特殊需要的客戶。
    三是可以通過配置SSL協(xié)議為其他不安全的服務(wù)提供身份驗(yàn)證等功能。如在實(shí)際工作中,采用Telnet協(xié)議遠(yuǎn)程管理服務(wù)器或者網(wǎng)絡(luò)設(shè)備,不怎么安全。這主要是因?yàn)門elnet協(xié)議在數(shù)據(jù)傳輸過程中,無論是用戶名口令,還是執(zhí)行命令,都是明文傳輸?shù)?。很顯然,這會(huì)給入侵者一個(gè)可乘之機(jī)。另外,諸如TFTP(簡(jiǎn)單文本傳輸協(xié)議)也是不安全的,因?yàn)槠錄]有提供身份驗(yàn)證機(jī)制。在這種情況下,網(wǎng)絡(luò)管理員就可以把SSL協(xié)議與這些不安全的協(xié)議結(jié)合起來,在享受它們便利的同時(shí),又保障他們的安全性。另外,IPSec技術(shù)也可以起到類似的作用。簡(jiǎn)單的原理就是把路由器等關(guān)鍵設(shè)備當(dāng)作服務(wù)器,而把用戶的主機(jī)當(dāng)作客戶端。在服務(wù)期上可以設(shè)置安全策略,必須要采用加密技術(shù)。如此的話,在客戶端跟服務(wù)器端進(jìn)行協(xié)商的時(shí)候,服務(wù)起就會(huì)告訴客戶端,你如果想跟我通信,必須要采用我指定的加密技術(shù),否則的話,休想跟我通話。通過這種措施,就可以在客戶機(jī)與服務(wù)器之間強(qiáng)制建立起一個(gè)安全通道。如此,即使HTTP等協(xié)議采用明文形式傳輸數(shù)據(jù),也不用擔(dān)心。因?yàn)殡m然HTTP協(xié)議沒有采取安全策略,但是當(dāng)HTTP報(bào)文在網(wǎng)絡(luò)中傳輸?shù)臅r(shí)候,諸如SSL或者Ipsec等安全技術(shù)為其保駕護(hù)航,通過加密等技術(shù)保障其傳輸過程中的安全性。
    四是在VPN技術(shù)上與SSL協(xié)議集成,提高遠(yuǎn)程訪問的安全性。雖然傳統(tǒng)的VPN技術(shù)也提供了一些安全身份認(rèn)證機(jī)制,但是普遍認(rèn)為其自帶的安全解決方案是不安全的。傳統(tǒng)的VPN技術(shù)下,黑客入侵、身份欺詐等攻擊行為時(shí)有發(fā)生,而且得逞的案例也不在少數(shù)。而如果在VPN技術(shù)上實(shí)現(xiàn)SSL協(xié)議,則其遠(yuǎn)程訪問的安全性會(huì)發(fā)生根本的改變。也許會(huì)有人說,采用IPSec技術(shù)同樣可以取得類似的效果。確實(shí)如此,但是如果企業(yè)采用IPSec技術(shù)來保障VPN安全的話,則必須要滿足一個(gè)前提條件,即企業(yè)的網(wǎng)絡(luò)架構(gòu)不能夠經(jīng)常變化。也就是說,IPSec技術(shù)確實(shí)在安全性方面具有杰出的表現(xiàn),但是其靈活性就不如SSL那么高了。若企業(yè)的網(wǎng)絡(luò)還是處于變革中,那么筆者建議網(wǎng)絡(luò)管理員還是利用SSL協(xié)議來武裝VPN,來實(shí)現(xiàn)一個(gè)相對(duì)安全的遠(yuǎn)程訪問。
    五是在WEB服務(wù)上集成SSL協(xié)議,以實(shí)現(xiàn)安全性。我們都知道,WEB服務(wù)一向被認(rèn)為是一種不安全的網(wǎng)絡(luò)訪問行為。但是,若果在WEB服務(wù)器上能夠?qū)崿F(xiàn)SSL協(xié)議,那么,其就可以變得很安全。如現(xiàn)在有不少的電子商務(wù)網(wǎng)站,其在訪問時(shí)需要使用HTTPS來進(jìn)行訪問,而不是傳統(tǒng)的HTTP。他們就是采用了SSL協(xié)議。如果需要WEB服務(wù)器支持SSL通信,就必須要為WEB服務(wù)器設(shè)置SSL證書。如在微軟的服務(wù)器架構(gòu)中,WEB服務(wù)器可以向證書頒發(fā)機(jī)構(gòu)申請(qǐng)證書。安裝證書之后,網(wǎng)絡(luò)管理員就可以通過Internet服務(wù)管理器,將WEB服務(wù)器下面的虛擬目錄配置為要求采用SSL訪問。注意,此時(shí)可以制定一些特定的文件、目錄或者虛擬目錄采用SSL協(xié)議,而不需要所有的目錄。如此配置后,當(dāng)客戶要訪問這些WEB服務(wù)器中的內(nèi)容時(shí),服務(wù)器就會(huì)告訴用戶要利用SSL協(xié)議進(jìn)行通信。如果客戶的主機(jī)不支持SSL協(xié)議(如已經(jīng)被認(rèn)為的禁用掉),則服務(wù)器會(huì)拒絕與其進(jìn)行通信。從而爆炸功能WEB服務(wù)器資源的安全性。