網(wǎng)絡(luò)強國夢,創(chuàng)想告訴您如何應(yīng)對漏洞百出的SSL協(xié)議?
互聯(lián)網(wǎng)迅猛發(fā)展,給我們提供豐富信息資源。帶來便利的同時,也潛藏著安全方面的隱患。凡事必有對策,加密技術(shù)由此誕生,用以保障網(wǎng)絡(luò)信息的安全性。SSL(Secure Sockets Layer安全套接層)協(xié)議,便是廣泛應(yīng)用于交易安全保障的一種主導(dǎo)技術(shù)。
SSL 協(xié)議保證客戶端與服務(wù)器之間通訊數(shù)據(jù)的私密性與完整性。它主要應(yīng)用于網(wǎng)銀、電商業(yè)務(wù)的支付交易環(huán)節(jié),企業(yè)核心應(yīng)用系統(tǒng)的用戶認證過程,移動辦公的安全接入等場景,確保用戶名 / 密碼、網(wǎng)上交易信息的安全性,防止被竊取、盜用。由于 SSL 運算對服務(wù)器的性能消耗過大,通常會在服務(wù)器前端部署專用的安全網(wǎng)關(guān)設(shè)備或負載均衡設(shè)備,通過 SSL 卸載功能進行 SSL 事務(wù)的加解密處理,減輕服務(wù)器的性能消耗,讓服務(wù)器有更多的資源處理應(yīng)用。
在 SSL 握手、通訊內(nèi)容加密、內(nèi)容校驗等過程中,分別會使用 RSA、AES、MD5 等標準 SSL 算法進行加密運算。由于這些算法都屬于業(yè)內(nèi)普遍使用多年的公開算法, 其可靠程度早已不復(fù)當(dāng)年。有些算法早已被人攻破,但卻出于某種目的秘而不宣。如果算法的安全性已無法保障,那么基于這些算法的 SSL 協(xié)議也就不再牢不可破了。
應(yīng)對策略
出于國家層面的安全因素考慮,國密辦(國家商用密碼管理辦公室)制 定出一套 SM 系列算法,用于替換已有或?qū)⒂邪踩[患的公開 SSL 算法。
當(dāng)前, 在需要兼顧服務(wù)器性能與業(yè)務(wù)安全性的場景下,用戶可選擇部署深信服應(yīng)用綜合安全網(wǎng)關(guān)來執(zhí)行 SSL 卸載工作(見下圖),通過使用國密辦 SM 系列算 法進行 SSL 加密和認證,即可確; SSL 協(xié)議的業(yè)務(wù)通訊依舊安全可靠。
采用支持國密算法的安全設(shè)備來實現(xiàn) SSL 卸載,可以有效規(guī)避公共算法的漏洞隱患,保障敏感單位的核心系統(tǒng)的通訊安全性。目前在金融行業(yè)已經(jīng)開始推行相關(guān)的政策,要求銀行等金融機關(guān)的通訊加密設(shè)備(主要涉及各種VPN、安全網(wǎng)關(guān)等)具備對國密算法的支持能力(或者可通過升級支持)。 預(yù)計在將來,越來越多的重要單位和行業(yè),都會出臺相關(guān)的合規(guī)性要求,以加固自身的業(yè)務(wù)安全性。
據(jù)悉,中國工商銀行就采用了深信服安全網(wǎng)關(guān)產(chǎn)品,來做SSL事務(wù)卸載工作。