SSL使安全设备的互动和管理更安全

发布: 2007-6-23 18:14 | 作者: 陈博士 | 来源: 上海广电应确信 | 查看: 14次 | 进入软件测试论坛讨论

　　一个全面的网络安全系统会包括防火墙、入侵检测系统、防病毒系统等多种安全产品，而且随着企业规模的增大，安全设备的数量也随之增加，网络安全拓扑也更加复杂，动态的集中安全管理就显得尤为重要。而同时，为了加强安全防御的能力，各安全设备之间要进行联合、互动。

这时，安全设备和中央管理器、安全设备与安全设备之间，都需要进行必要的数据通信。如何保证这些通信的保密性和完整性呢？SSL是一种常用的机制。

SSL（Secure Sockets Layer）是Netscape公司开发的一种数据安全协议，它使用公开密钥体制和X.509数字证书技术，为网络（例如Inte.net）的通信提供了私密性。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持，使应用程序在通信时不用担心被窃听和篡改。

SSL由两个共同工作的协议组成：“SSL 记录协议”（SSL Record Protocol）和“SSL 握手协议”（SSL Handshake Protocol）。SSL 记录协议建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持；SSL 握手协议建立在SSL记录协议之上，用于在实际的数据传输开始前，通信双方进行身份认证、协商加密算法、交换加密密钥等。

当一个应用程序（客户机）想和另一个应用程序（服务器）通信时，客户机打开一个与服务器相连接的套接字连接。然后，客户机和服务器对安全连接进行协商。作为协商的一部分，服务器向客户机作自我认证。客户机可以选择向服务器作或不作自我认证。一旦完成了认证并且建立了安全连接，则两个应用程序就可以安全地进行通信。

SSL在网络上传输数据时，使用SSL握手时选定的一种对称算法对数据进行加密，SSL可使用的加密算法有很多种，如果某种算法被新的攻击方法识破了，它可以选择另外的算法。SSL将信息验证码放在数据包的后部，和数据一块被加密，保证了数据不被修改。SSL还使用序列号来保护通信方免受报文重放攻击。在整个SSL握手中，都有一个惟一的随机数来标记这个SSL握手，这样重放便无机可乘；同时，序列号也可以防止攻击者记录数据包并以不同的次序发送。

但是，SSL是用来保护传输中的资料的，而不是保护应用程序、操作系统或者主机的；而且，黑客还可能通过木马等手段，窃取有效的证书及相应的私有密钥。因此，使用SSL在安全设备之间以及中央管理器之间通信时，仍然要注意设备和系统本身的安全。上海广电应确信有限公司（www.svanetworks.com）作为专业的安全厂商，在设计安全设备和集中管理系统时，不仅考虑系统自身的安全，还充分考虑其互相通信的安全。使用SSL对传输的数据进行加密，保证了安全数据在传输中的机密性和完整性。