安全網路
安全網路
SSL (Secure Socket Layer) 為Netscape所研發,用以保障在Internet上數據傳輸之安全,利用數據加密(Encryption)技術,可確保數據在網路 上之傳輸過程中不會被截取及竊聽。目前一般通用之規格為40 bit之安全標準,美國則已推出128 bit之更高安全標準,但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。當前版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密數據傳輸。
SSL協議位於TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。
SSL協議可分為兩層:
SSL記錄協議(SSL Record Protocol):它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。
SSL握手協議(SSL Handshake Protocol):它建立在SSL記錄協議之上,用於在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密演演算法、交換加密密鑰等。
SSL協議提供的服務主要有:
1)認證用戶和伺服器,確保數據發送到正確的客戶機和伺服器;
2)加密數據以防止數據中途被竊取;
3)維護數據的完整性,確保數據在傳輸過程中不被改變。
SSL協議的工作流程:
伺服器認證階段:
1)客戶端向伺服器發送一個開始信息“Hello”以便開始一個新的會話連接;
2)伺服器根據客戶的信息確定是否需要生成新的主密鑰,如需要則伺服器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息;
3)客戶根據收到的伺服器響應信息,產生一個主密鑰,並用伺服器的公開密鑰加密後傳給伺服器;
4)伺服器恢復該主密鑰,並返回給客戶一個用主密鑰認證的信息,以此讓客戶認證伺服器。
用戶認證階段:在此之前,伺服器已經通過了客戶認證,這一階段主要完成對客戶的認證。經認證的伺服器發送一個提問給客戶,客戶則返回(數字)簽名后的提問和其公開密鑰,從而向伺服器提供認證。
從SSL 協議所提供的服務及其工作流程可以看出,SSL協議運行的基礎是商家對消費者信息保密的承諾,這就有利於商家而不利於消費者。在電子商務初級階段,由於運作電子商務的企業大多是信譽較高的大公司,因此這問題還沒有充分暴露出來。但隨著電子商務的發展,各中小型公司也參與進來,這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web伺服器雙方的身份驗證,但是SSL協議仍存在一些問題,比如,只能提供交易中客戶與伺服器間的雙方認證,在涉及多方的電子交易中,SSL協議並不能協調各方間的安全傳輸和信任關係。在這種情況下,Visa和 MasterCard兩大信用卡公組織制定了SET協議,為網上信用卡支付提供了全球性的標準。
HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協議
它是由Netscape開發並內置於其瀏覽器中,用於對數據進行壓縮和解壓操作,並返回網路上傳送回的結果。HTTPS實際上應用了Netscape的完全套接字層(SSL)作為HTTP應用層的子層。(HTTPS使用埠443,而不是象HTTP那樣使用埠80來和TCP/IP進行通信。)SSL使用40 位關鍵字作為RC4流加密演演算法,這對於商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證,如果需要的話用戶可以確認發送者是誰。。
https是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,https的安全基礎是SSL,因此加密的詳細內容請看SSL。它是一個URI scheme(抽象標識符體系),句法類同http:體系。用於安全的HTTP數據傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的默認埠及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司進行,提供了身份驗證與加密通訊方法,現在它被廣泛用於萬維網上安全敏感的通訊,例如交易支付方面。限制 它的安全保護依賴瀏覽器的正確實現以及伺服器軟體、實際加密演演算法的支持. 一種常見的誤解是“銀行用戶在線使用https:就能充分徹底保障他們的銀行卡號不被偷竊。”實際上,與伺服器的加密連接中能保護銀行卡號的部分,只有用戶到伺服器之間的連接及伺服器自身。並不能絕對確保伺服器自己是安全的,這點甚至已被攻擊者利用,常見例子是模仿銀行域名的釣魚攻擊。少數罕見攻擊在網站傳輸客戶數據時發生,攻擊者嘗試竊聽數據於傳輸中。商業網站被人們期望迅速儘早引入新的特殊處理程序到金融網關,僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個資料庫里。那些資料庫和伺服器少數情況有可能被未授權用戶攻擊和損害
桌面虛擬化是虛擬化技術的浪潮。桌面虛擬化的目的是從底層構建不同的工作區(最終用戶的應用程序,數據,網路負載和設置)。桌面虛擬化,和現有許多虛擬化解決方案概念相似,本文只在介紹成功的虛擬化架構技術。虛擬機(VM)技術,為所有虛擬桌面解決方案的基礎,使計算機能夠同時支持和執行兩個或兩個以上的計算機環境,其中“環境”包括操作系統以及用戶應用程序和數據。虛擬機是一個虛擬的運算系統,借用計算機資源(CPU,硬碟,內存等),讓主機工作的同時,也作為客戶計算機而存在。
計算機資源共享的好處可以提供給最終用戶,包括:
隔離 – 工作區在不同的計算環境獨立運作,雖然有些資源可以共享(例如,鍵盤,滑鼠和屏幕),同時其他的卻可以得到保護(例如,數據文件)。在一個虛擬環境中,主機資源需要從併發訪問到雙方的賓主控制的保護,在傳統的虛擬系統中,這種隔離和控制是通過一個特殊的軟體程序提供的,稱為虛擬機監視器(VMM)。VMM可以自主監控主機計算機環境或者主機和客戶計算機行為。
資源平衡 -如果有需要的話,可以對每個功能自主的運行環境進行資源消耗監控和限制。
可移動/遷移 - 某些虛擬機的配置被認為是可移動的,也就是說,整個計算機環境,可從一個移動到另一個不同的主機。今天世界上越來越多的移動應用得益於這種虛擬機技術,流動性是虛擬桌面解決方案的關鍵,雖然今天存在的軟體產品,都提供基本的虛擬機能力,但是這些產品僅提供有限的或者根本沒有移動虛擬化的支持。
今天我們有許多方法來實現VMM以及配套軟體。本文將說明各種不同的VMM技術優劣點,並重點介紹V3專業安全版所採用的工作區虛擬引擎技術:
系統管理程序 – 該VMMs程序採取攔截和陷阱將違背隔離或者導致系統不穩定的低級別CPU指令,模擬的任何指令的方式。管理程序可以提供一個完整的虛擬桌面,但是帶來不同程度的資源開銷和性能降低。
半虛擬化 –該 VMMS程序採取攔截和陷阱將違背隔離或者導致系統不穩定的低級別CPU指令,沒有任何指示的方式。半虛擬化可以要求來賓桌面操作系統進行修改,以避免這些特權指令。半虛擬化系統,可以提供一個完整的虛擬桌面,有不同程度的資源開銷和性能損失。
工作區虛擬引擎(名為WVE) - 該VMMs程序採取攔截和陷阱,模擬或重定向將違背隔離或導致系統不穩定低級別的OS API調用的方式。有些WVEs可以在一個內核中提供虛擬化的能力,使工作區嵌入一個包含企業域級別的特權代碼模塊和子系統的完整的操作系統,有獨立的網路堆棧和支持,如端點安全應用,資料庫應用和電腦管理軟體,需要的驅動和安全服務。 WVEs可以提供一個完整的虛擬桌面,很少或根本沒有性能損失。
應用程序容器 – 該系統採取攔截和陷阱,模仿那些違背隔離或導致系統不穩定的最高等級OS API調用。應用容器一般不能提供一個完整的虛擬桌面。模擬 - 模擬整個系統的硬體系統,包括中央處理器,I / O設備等模擬器可以提供一個完整的虛擬化桌面,但存在巨大的性能損失。