1. 系统不符合国务院最新颁布的《商用密码治理条例》中对商用密码产品不得使用国外密码算法的规定 , 要通过国家密码治理委员会的审批会碰到相当困难 。
2. 系统安全性差 。SSL协议的数据安全性其实就是建立在RSA等算法的安全性上 , 因此从本质上来讲 , 攻破RSA等算法就等同于攻破此协议 。由于美国政府的出口限制 , 使得进入我国的实现了SSL的产品(Web浏览器和服务器)均只能提供512比特RSA公钥、40比特对称密钥的加密 。目前已有攻破此协议的例子:1995年8月 , 一个法国学生用上百台工作站和二台小型机攻破了Netscape对外出口版本;另外美国加州两个大学生找到了一个“陷门” , 只用了一台工作站几分钟就攻破了Netscape对外出口版本 。
但是 , 一个安全协议除了基于其所采用的加密算法安全性以外 , 更为要害的是其逻辑严密性、完整性、正确性 , 这也是研究协议安全性的一个重要方面 , 假如一个安全协议在逻辑上有问题 , 那么它的安全性其实是比它所采用的加密算法的安全性低 , 很轻易被攻破 。从目前来看 , SSL比较好地解决了这一问题 。不过SSL协议的逻辑体现在SSL握手协议上 , SSL握手协议本身是一个很复杂的过程 , 情况也比较多 , 因此我们并不能保证SSL握手协议在所有的情况下逻辑上都是正确的 , 所以研究SSL协议的逻辑正确性是一个很有价值的问题 。
另外 , SSL协议在“重传攻击”上 , 有它独到的解决办法 。SSL协议为每一次安全连接产生了一个128位长的随机数——“连接序号” 。理论上 , 攻击者提前无法猜测此连接序号 , 因此不能对服务器的请求做出正确的应答 。但是计算机产生的随机数是伪随机数 , 它的实际周期要远比2128小 , 更为危险的是有规律性 , 所以说SSL协议并没有从根本上解决“信息重传”这种攻击方法 , 有效的解决方法是采用“时间戳” 。但是这需要解决网络上所有节点的时间同步问题 。
总的来讲 , SSL协议的安全性能是好的 , 而且随着SSL协议的不断改进 , 更多的安全性能、好的加密算法被采用 , 逻辑上的缺陷被弥补 , SSL协议的安全性能会不断加强 。
3 windows 2000中SSL的配置与应用
SSL的典型应用主要有两个方面 , 一是客户端 , 如浏览器等;另外一个就是服务器端 , 如Web服务器和应用服务器等 。目前 , 一些主流浏览器(如IE和 Netscape等)和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web服务器都提供了对SSL的支持 。要实现浏览器(或其他客户端应用)和Web服务器(或其他服务器)之间的安全SSL 信息传输 , 必须在Web服务器端安装支持SSL的Web服务器证书 , 在浏览器端安装支持SSL的客户端证书(可选) , 然后把URL中的“http://” 更换为“https://” 。
SSL安全协议要求基于客户机/服务器模型的安全通信对服务器进行认证 , 所以 , 必须对服务器(如Web服务器)配置证书 。下面以Windows 2000种提供的Internet 信息服务器IIS 5.0(以后简称IIS)为例来谈一下在Web服务器中请求和安装服务器证书的基本步骤与技巧 , 并给出配置安全通信(如SSL)的一般方法 。
在一个基于客户机/服务器(更为普遍的是浏览器/Web服务器)模型的安全应用中 , 要求服务器端必须配备安全证书 , 以在网络通信中代表Web服务器的身份 , 客户端也可以使用Web服务器证书所提供的公钥来为Web服务器加密信息(Web服务器加密证书)或使客户端验证Web服务的签名(Web服务器签名证书) 。
利用IIS申请服务器证书的时候 , IIS本身先产生公私钥对 , 并产生相应的证书请求信息 , 最后把该信息提交给CA(该CA只能为Windows 2000企业CA或其他商业CA , Windows 2000独立CA不能签发服务器证书) , 由CA签发以后形成证书 。其具体步骤如下:
推荐阅读
- HTTP协议基础
- 如何使用 IPSec 阻止特定网络协议和端口
- sniffer帮助理解子网掩码、网关与ARP协议的作用
- 房屋出售协议包括哪些内容
- Internet的标准通信协议—TCP/IP协议
- 广域网协议设置
- NGN网络协议解析
- APP对决Web3S:探索RESTful协议之路
- 1 用协议分析工具学习TCP/IP
- 透视你的网络 完美测试TCP/IP协议简介