OSI堆栈安全:第6层——加密

日期: 2008-12-10 作者:Michael Gregg翻译:曾少宁 来源:TechTarget中国 英文

OSI模式的第6层是表示层。表示层是OSI模型唯一负责信息表现的。它是作为一个数据转换器使用的,它将数据从一个格式转换到另一个格式。如果你知道这些格式,如ASCII、EBCDIC 或JPEG,那么就对了;但是,同时表达层还可以用于加密。

其中一个例子就是安全套接字层(Secure Sockets Layer,SSL)。这个协议是一个加密解决方案,它保护传输中的数据的安全。SSL是位于传输层之上,应用层之下的。由于SSL在数据安全方面扮演了很重要的角色,所以本章将对其进行重点阐述。

我们先了解一些背景知识。Netscape在1994开发了SSL并将其作为一种网络通讯安全方法。其中,SSL是专门用于……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

OSI模式的第6层是表示层。表示层是OSI模型唯一负责信息表现的。它是作为一个数据转换器使用的,它将数据从一个格式转换到另一个格式。如果你知道这些格式,如ASCII、EBCDIC 或JPEG,那么就对了;但是,同时表达层还可以用于加密。其中一个例子就是安全套接字层(Secure Sockets Layer,SSL)。这个协议是一个加密解决方案,它保护传输中的数据的安全。SSL是位于传输层之上,应用层之下的。由于SSL在数据安全方面扮演了很重要的角色,所以本章将对其进行重点阐述。

我们先了解一些背景知识。Netscape在1994开发了SSL并将其作为一种网络通讯安全方法。其中,SSL是专门用于保护Web浏览器和Web服务器之间的数据安全的。SSL为应用提供安全的电子商务手段。但是,SSL并不是一个工业标准——它是Netscape所开发的——而传输层安全(Transport Layer Security,TLS)才是。TLS是由因特网工程推动小组(Internet Engineering Task Force,IETF)开发的。目前TLS的版本是1.1,它在RFC4346中描述。使用TLS的程序跟使用SSL的程序运行非常相似。大体上,SSL和TLS是可以互通的。这两个服务都使用一个标准的握手过程来建立通信:

1. 用户使用一个Web 浏览器来连接一个有安全URL的Web服务器。
2. Web服务器响应客户端的请求并向将服务器的数字证书发送到Web浏览器上。其中X.509是最常用的证书类型。
3. 然后客户端验证该证书是有效的和正确的。证书是有知名的权威机构发布的,如Thawte 和Verisign。这一步很重要,因为证书证明了Web服务器所在组织是合法的。
4. 一旦证书被确认有效,客户端便生成一个一次性的会话密钥,它将用于加密与Web服务器的所有通信。
5. 然后客户端用Web服务器的公共密钥加密会话密钥,并将它与数字证书一起传输。使用Web 服务器的会话密钥确保了只有Web服务器才可以解密数据。
6. 此时,一个安全的会话就建立了,并且双方可以通过安全的通道进行通讯。

这个握手程序允许双方进行可信的通信。事实上,客户端和Web服务器仍旧像往常一样使用TCP来回传输数据,其中不同的是传输的数据流是加密的。另外也有一些控制被包含进来,以保证信息的完整性。这样就保证了双方的互信,以及在传输中信息并没有被改变。

表示层威胁

虽然SSL和TLS有着很高的可信度,但是威胁还是存在的。其中有两种最可能的威胁,它们是:伪证书攻击和中间人攻击。伪证书攻击指的是攻击者向客户端提供一个假证书。客户端应该会注意到这种攻击——他们将收到一个关于证书问题的弹出对话窗口警告。这个证书会跟真实证书非常相似,但它不是由可信任认证机构所颁发的。中间人攻击难度比较大,因为攻击者必须拦截客户端和服务器之间的通信。然后,攻击者再用自己的密钥取代合法的密钥。
 
虽然这些针对SSL的攻击都是可能的,但是更大的威胁是那些完全不使用任何加密手段的业务单位,它们只是简单地用明文传输他们的客户信息。诸如SSL和TLS等协议已经考虑所有可能的威胁,并也已经被证明它们足够保证信息安全。这是由每天进行的成千上百万的安全数据交换所证明的。如果这里的SSL探讨引起了你学习更多关于这种技术的兴趣,你可以继续研究一下Stunnel。Stunnel是用于加密内部SSL的任意TCP连接的。

关于作者:

Michael Gregg有超过15年的IT经验。Michael是Houston-based 培训和咨询公司Superior Solutions Inc.的总裁。他是一位网络、安全和因特网技术专家。他有两个辅修学位,一个学士学位和硕士学位。目前他拥有下列证书:MCSE、MCT、CTT、A+、 N+、CAN、CCNA、CIW Security Analyst 和 TICSA。

作者

Michael Gregg
Michael Gregg

暂无

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐

  • 远程访问服务和产品的多种用途

    远程访问服务和产品不是什么新事物。从家里或路上连接到办公室,已经出现有多年时间了。而现在最新的技术是,现在的技术使得越来越多的人不必去办公室上班了。

  • 如何封堵网络中的硬件漏洞?

    网络本身的性质决定了它必须具有一定的开放性才能允许流量正常通过,从而它必然是是最容易受到攻击的目标,而且它还有很多硬件漏洞可能被攻击……

  • 实体零售业态数字化转型之路

    传统零售正在经历数字化转型以对抗电商,在这一转型途中,选择一个可提高业务敏捷性、降低成本又保证安全和可靠性的解决方案是非常重要的。

  • 在物联网时代如何打造安全的数据中心?

    即使你的企业没有在收集面向消费者的物联网数据,IoT设备仍然非常有可能会连接到你的企业数据中心……那么在物联网时代,如何打造安全的数据中心呢?