加密数据传输系统V2.0服务器+客户端
发布时间:2022-12-07 11:23:08 所属栏目:安全 来源:
导读: Web通信通常是以非加密的形式在网络上传播的,这就有可能被非法窃听到,尤其是用于认证的口令信息。为了避免这个安全漏洞,就必须对传输过程进行加密。对HTTP传输进行加密的协议为HTTP,它是通过SSL进行HTTP传输
|
Web通信通常是以非加密的形式在网络上传播的,这就有可能被非法窃听到,尤其是用于认证的口令信息。为了避免这个安全漏洞,就必须对传输过程进行加密。对HTTP传输进行加密的协议为HTTP,它是通过SSL进行HTTP传输的协议,不但可以通过公用密钥的算法进行加密保证传输的安全性,而且还可以通过获得认证证书CA,保证客户连接的服务器没有被假冒。SSL是一种国际标准的加密及身份认证通信协议,一般浏览器都支持此协议。 SSL(Secure Sockets Layer)最初是由美国Netscape公司研究出来的,后来成为了互联网安全通信与交易的标准。SSL协议使用通信双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通信,在通信双方间建立起了一条安全的、可信任的通信通道。它具备以下基本特征: 信息保密性、信息完整性、相互鉴定。该协议主要使用Hash编码、加密技术,这里不再对这些技术进行介绍。 在SSL通信中,首先采用非对称加密交换信息,使得服务器获得浏览器端提供的对称加密的密钥,然后利用该密钥进行通信过程中信息的加密和解密。为了保证消息在传递过程中没有被篡改,可以加密Hash编码来确保信息的完整性。 服务器数字证书主要颁发给Web站点或其他需要安全鉴别的服务器,以证明服务器的身份信息,同样也可以颁发客户端数字证书用于证明客户端的身份。 使用公用密钥的方式可以保证数据传输没有问题,但如果浏览器客户访问的站点被假冒,这也是一个严重的安全问题。这个问题不属于加密本身,而是要保证密钥本身的正确性。要保证所获得的其他站点公用密钥为其正确的密钥,而非假冒站点的密钥,就必须通过一个认证机制,能对站点的密钥进行认证。当然,即使没有经过认证,仍然可以保证信息传输的安全,只是客户不能确信访问的服务器没有被假冒。如果不是为了提供电子商务等方面对安全性要求很高的服务,一般不需要如此严格的考虑。 下面是使用SSL进行通信的过程: 1. 客户端向服务器端发起对话,协商传送加密算法。例如: 对称加密算法有DES、RC5,密钥交换算法有RSA和DH,摘要算法有MD5和SHA。 2. 服务器向客户端发送服务器数字证书。比如: 使用DES-RSA-MD5这对组合进行通信。客户端可以验证服务器的身份,决定是否需要建立通信。 3. 客户端向服务器传送本次对话的密钥,再检查服务器的数字证书是否正确通过CA机构颁发的证书,验证了服务器证书的真实有效性之后,客户端生成利用服务器的公钥加密的本次对话的密钥发送给服务器。 4. 服务器用自己的私钥解密获取本次通信的密钥。 5. 双方的通信正式开始。 在一般情况下,当客户端是保密信息的传递者时,他不需要数字证书验证自己身份的真实性,如我们通常使用的网上银行交易活动,客户需要将自己的隐秘信息(如账号和密码)发送给银行,因此银行的服务器需要安装数字证书来表明自己身份的有效性,否则将会使信息泄露。当然,对某些安全性要求很高的B2B应用,服务器端也需要对客户端的身份进行验证服务器内容加密,这时客户端也需要安装数字证书以保证通信时服务器可以辨别出客户端的身份,验证过程类似于服务器身份的验证过程。而在通常情况下,浏览器都会通过交互的方式来完成上述的通信过程。 用户口令保密 目前,密码破解程序大多采用字典攻击以及暴力攻击手段,如果用户密码设定不当,极易受到字典攻击的威胁。很多用户喜欢用自己的英文名、生日或者账户等信息来设定密码,这样,黑客可能通过字典攻击或者是社会工程的手段来破解密码。所以建议用户在设定密码的过程中,应尽量使用非字典中出现的组合字符,并且采用数字与字符相结合、大小写相结合的密码设置方式,增加密码被黑客破解的难度。而且,也可以使用定期修改密码、使密码定期作废的方式,来保护自己的登录密码。具体列出几条设定安全密码的参考原则如下: ● 口令长度至少为8个字符: 口令越长越好。若使用MD5口令,它应该至少有15个字符。若使用DES口令,应使用最长长度(8个字符)。 ● 混和大小写字母、混和字母和数字,包括字母和数字以外的字符(如&、$、和 > )等。 ● 挑选一个你可以记住的口令。 其次,还有一些原则需要牢记: ● 不要只使用单词或数字,不要使用现成词汇,不要使用外语中的词汇,也不要使用黑客术语以及个人信息。 ● 不要倒转现存词汇: 优秀的口令破译者总是倒转常用词汇,因此倒转薄弱口令并不会使它更安全。 ● 不要笔录你的口令,也不要在所有机器上都使用同样的口令。 另外,我们还可以通过一些工具软件,用于在已知密文的情况下尝试破解出明文,从而验证当前密码的安全程度,如John the Ripper就是这样一个软件。 链接 网络保密的相关原则 网络管理人员在日常的工作中,应该尤其注意如下几方面的泄密途径: 1. 电磁波辐射泄密: 计算机网络在进行工作时是存在电磁波辐射的,只要有专门的接收装置,就能接收到辐射信息从而造成泄密。它的辐射主要有四个环节: 连接线路辐射,显示器辐射,主机辐射,输出设备辐射。有资料显示,在开阔地100米左右,用监听设备就能收到辐射信号。 2. 网络泄密: 计算机局域网的建立及其三级网、二级网、一级网的逐步建成运行,是当前网络应用发展的方向,这些网络的应用使分布在不同位置不同单位的计算机具有了信息传递的渠道,扩大了计算机的应用范围,大大提高了工作效率和降低了行政成本,使得每个用户终端都可利用各个计算机中存储的文件、数据。然而,在信息共享的同时,主机与用户之间、用户与用户之间存在很多的漏洞,一些未经授权的非法用户或窃密分子通过冒名顶替、长期试探或其他办法进入网络系统进行窃密。另外,联网后线路通道分支较多,输送信息的区域也较广,截取所送信息的条件就较便利,窃密者在网络的任何一条分支线路上或某一个节点、终端进行截取,就能获得整个网络的输送信息。 3. 操作人员泄密: 计算机操作人员的泄密是目前泄密的重灾区,操作人员有可能从以下几个方面造成泄密。(1)因无知泄密: 如不知道存储介质有可提取还原的信息,将曾经储存过秘密信息的存储介质交流出去,造成泄密; (2)保密意识不强,违反规章制度泄密: 如计算机出现故障后不按规定程序修理,或者在不能处理秘密信息的计算机上处理秘密信息; 有的甚至交叉使用计算机等; (3)故意泄密,这是极少数人为了个人利益或者个人的其他目的的泄密。这属于应该受到纪律或法律追究的行为。 4. USB泄密: 工作人员将带有机密信息、源代码文件、设计图纸等重要信息的移动存储器连接在联接互联网的计算机上,不知不觉中可能就被间谍软件窃取。现在有一种隐蔽性极强的木马病毒,不但传染电脑,还传染存储盘。用户的优盘一旦在感染了这种程序的电脑上使用,就会感染上这种病毒。如果这个优盘再用于你的办公电脑,就会自动秘密地把你电脑上的信息复制到优盘上。下次你再次将这个盘插入上网的电脑时,就会自动将盘上的信息发送到网上指定的地点。整个过程是秘密、自动完成的,用户很难察觉。 根据这些主要泄密途径,网络管理人员可以与企业高层达成共识,采取相应的手段来进行网络保密工作,比方说采用物理网络隔离或者GAP来对保密网络和互联网进行隔离,对操作人员进行培训宣讲和强调保密技术,对使用USB的安全问题进行分析和制定相关的规章进行约束等等。 另外,对于网管来说,保护系统安全还有一个最简单有效的方法,那就是到系统发行商那里下载最新的安全补丁(这些补丁的发现极有可能是黑客的功劳,也许是他们发现了系统漏洞所在)。最后,要强调的是,要建立良好的安全意识,从最简单的安全设置开始,合理利用安全工具。 (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
浙公网安备 33038102331048号