OSI堆栈安全：第6层——加密

楼主^#

更多发布于：2011-12-19 17:34

[] 1


	前文： OSI堆栈安全：第1层——物理层安全威胁 OSI堆栈安全：第2层——理解ARP的作用 OSI堆栈安全：第3层——ICMP的作用 OSI堆栈安全：第4层——指纹识别 OSI堆栈安全：第5层——会话劫持【TechTarget中国原创】OSI模式的第6层是表示层。表示层是OSI模型唯一负责信息表现的。它是作为一个数据转换器使用的，它将数据从一个格式转换到另一个格式。如果你知道这些格式，如ASCII、EBCDIC 或JPEG，那么就对了；但是，同时表达层还可以用于加密。其中一个例子就是安全套接字层（Secure Sockets Layer，SSL）。这个协议是一个加密解决方案，它保护传输中的数据的安全。SSL是位于传输层之上，应用层之下的。由于SSL在数据安全方面扮演了很重要的角色，所以本章将对其进行重点阐述。我们先了解一些背景知识。Netscape在1994开发了SSL并将其作为一种网络通讯安全方法。其中，SSL是专门用于保护web浏览器和Web服务器之间的数据安全的。SSL为应用提供安全的电子商务手段。但是，SSL并不是一个工业标准——它是Netscape所开发的——而传输层安全（Transport Layer Security，TLS）才是。TLS是由因特网工程推动小组（internet Engineering Task Force，IETF）开发的。目前TLS的版本是1.1，它在RFC4346中描述。使用TLS的程序跟使用SSL的程序运行非常相似。大体上，SSL和TLS是可以互通的。这两个服务都使用一个标准的握手过程来建立通信： 1. 用户使用一个Web 浏览器来连接一个有安全URL的Web服务器。 2. Web服务器响应客户端的请求并向将服务器的数字证书发送到Web浏览器上。其中X.509是最常用的证书类型。 3. 然后客户端验证该证书是有效的和正确的。证书是有知名的权威机构发布的，如Thawte 和Verisign。这一步很重要，因为证书证明了Web服务器所在组织是合法的。 4. 一旦证书被确认有效，客户端便生成一个一次性的会话密钥，它将用于加密与Web服务器的所有通信。 5. 然后客户端用Web服务器的公共密钥加密会话密钥，并将它与数字证书一起传输。使用Web 服务器的会话密钥确保了只有Web服务器才可以解密数据。 6. 此时，一个安全的会话就建立了，并且双方可以通过安全的通道进行通讯。这个握手程序允许双方进行可信的通信。事实上，客户端和Web服务器仍旧像往常一样使用TCP来回传输数据，其中不同的是传输的数据流是加密的。另外也有一些控制被包含进来，以保证信息的完整性。这样就保证了双方的互信，以及在传输中信息并没有被改变。表示层威胁虽然SSL和TLS有着很高的可信度，但是威胁还是存在的。其中有两种最可能的威胁，它们是：伪证书攻击和中间人攻击。伪证书攻击指的是攻击者向客户端提供一个假证书。客户端应该会注意到这种攻击——他们将收到一个关于证书问题的弹出对话窗口警告。这个证书会跟真实证书非常相似，但它不是由可信任认证机构所颁发的。中间人攻击难度比较大，因为攻击者必须拦截客户端和服务器之间的通信。然后，攻击者再用自己的密钥取代合法的密钥。虽然这些针对SSL的攻击都是可能的，但是更大的威胁是那些完全不使用任何加密手段的业务单位，它们只是简单地用明文传输他们的客户信息。诸如SSL和TLS等协议已经考虑所有可能的威胁，并也已经被证明它们足够保证信息安全。这是由每天进行的成千上百万的安全数据交换所证明的。如果这里的SSL探讨引起了你学习更多关于这种技术的兴趣，你可以继续研究一下Stunnel。Stunnel是用于加密内部SSL的任意TCP连接的。关于作者： Michael Gregg有超过15年的IT经验。Michael是Houston-based 培训和咨询公司Superior Solutions Inc.的总裁。他是一位网络、安全和因特网技术专家。他有两个辅修学位，一个学士学位和硕士学位。目前他拥有下列证书：MCSE、MCT、CTT、A+、N+、CAN、CCNA、CIW Security Analyst 和TICSA。