當(dāng)前位置:
  1. 首頁(yè)
  2. 加密技術(shù)

代理服務(wù)器如何加密

admin 加密技術(shù)

加密代理服務(wù)器介于不安全網(wǎng)絡(luò)環(huán)境和安全網(wǎng)絡(luò)環(huán)境之間,并通過(guò)使用網(wǎng)絡(luò)加密體制在不安全信道上向客戶提供安全可信的數(shù)據(jù)。

代理服務(wù)器如何加密

為了確保數(shù)據(jù)信息不被第三方截獲,加密代理服務(wù)系統(tǒng)器需要與客戶端進(jìn)行安全通信。一次安全通信分為密鑰建立和保密通信兩部分。

一、密鑰建立 

在客戶端和加密代理服務(wù)器開始交互大量信息之前,兩者需要建立一個(gè)安全的信道。于是,雙方需要進(jìn)行密鑰建立以確定本次通訊所使用的公共密鑰。

密鑰建立分為無(wú)服務(wù)器的對(duì)稱密鑰建立和基于服務(wù)器的密鑰建立,根據(jù)代理服務(wù)器的類型和客戶端的數(shù)量自行設(shè)計(jì)。無(wú)服務(wù)器的對(duì)稱密鑰建立又包括點(diǎn)對(duì)點(diǎn)密鑰更新(有共享長(zhǎng)期密鑰)和無(wú)預(yù)先共享密鑰的街鑰建立兩種。無(wú)預(yù)先共享密鑰的密鑰建立的一個(gè)實(shí)例如下:

Diffic.Hellman密鑰交換協(xié)議

客戶端和加密代理服務(wù)器協(xié)商好一個(gè)大素?cái)?shù)P和一個(gè)較大的整數(shù)g(1<g<P)。P和g都無(wú)須保密,可以共享給網(wǎng)絡(luò)上的所有用戶。當(dāng)客戶端和加密代理服務(wù)器要進(jìn)行保密通信時(shí),它們可以執(zhí)行以下步驟:

(1)客戶端選取大的隨機(jī)數(shù)x,并計(jì)算x=gx(modp);

(2)加密代理服務(wù)器選取大的隨機(jī)數(shù)x',并計(jì)算x'=gx'(modp);

(3)客戶端將x傳送給加密代理服務(wù)器,加密代理服務(wù)器將x'傳送給客戶端;

(4)客戶端計(jì)算k=(x')x(modp),加密代理服務(wù)器計(jì)算k'=xx'(modp)。

易知k=k'=gxx'(modp)。此時(shí),客戶端和加密代理服務(wù)器已獲得了相同的秘密值k。雙方以作為加解密鑰,用傳統(tǒng)對(duì)稱密鑰算法進(jìn)行保密通信。但是這種做法也有明顯的缺點(diǎn),就是容易受到中間人攻擊。

二、SSL

SSL是以公鑰基礎(chǔ)結(jié)構(gòu)為基礎(chǔ)的網(wǎng)絡(luò)安全解決方案。是由Netscape公司提出的一種建立在網(wǎng)絡(luò)傳輸層TCP 協(xié)議之上的安全協(xié)議標(biāo)準(zhǔn)。

SSL用來(lái)在客戶端和 服務(wù)器之間建立安全的TCP連接,并向基于TCP/IP協(xié)議的客戶/服務(wù)器應(yīng)用程序提供客戶端和服務(wù)器的驗(yàn)證、數(shù)據(jù)完整性及信息保密性等安全措施。

SSL協(xié)議主要用于瀏覽器和Web服務(wù)器之間建立安全的數(shù)據(jù)傳輸通道,還適用于Telnet、FTP和NNTP等服務(wù)。

SSL的工作原理: 

①客戶端向服務(wù)器提出請(qǐng)求,要求建立安全通信連接;

②客戶端與服務(wù)器進(jìn)行協(xié)商,確定用于保證安全通信的加密算法和強(qiáng)度;

③服務(wù)器將其服務(wù)器證書發(fā)送給客戶端。該證書包含服務(wù)器的公鑰,并用CA的私鑰加密;

④客戶端使用CA的公鑰對(duì)服務(wù)器證書進(jìn)行解密,荻得服務(wù)器公鑰??蛻舳水a(chǎn)生用于創(chuàng)建會(huì)話密鑰的信息,并用服務(wù)器公鑰加密,然后發(fā)送劍服務(wù)器;

⑤服務(wù)器使用自己的私鑰解密該消息,并生成會(huì)話密鑰,然后將其川服務(wù)器公鑰加密,再發(fā)送給客戶端。這樣服務(wù)器和客戶端雙方就都擁有了會(huì)話密鑰;

⑥服務(wù)器和客戶端使用會(huì)活密鑰來(lái)加密和解密傳輸?shù)臄?shù)據(jù)。它們之問(wèn)數(shù)據(jù)傳輸使用的是對(duì)稱加密。

SSL解決的3個(gè)關(guān)鍵問(wèn)題:

①客戶端對(duì)服務(wù)器的身份確認(rèn);

②服務(wù)器對(duì)客戶的身份確認(rèn);

③在服務(wù)器和客戶之間建立安全的傳輸信道。

三、加密代理服務(wù)器的實(shí)現(xiàn)

加密代理服務(wù)器的實(shí)現(xiàn)方法是,根據(jù)本文中關(guān)于代理服務(wù)器的實(shí)現(xiàn)方法,在客戶端和代理服務(wù)器之問(wèn)建立安全倍道。

從開源網(wǎng)站http://www.openssl.org/可以獲得最新版本的SSL應(yīng)用工具和代碼包。另外,http://www.cryptopp.corn/提供目前流行的絕大部分的加密算法的代碼包。

加密代理服務(wù)技術(shù)使用了加解密技術(shù)。只有加密通信雙方使用相同的協(xié)議,客戶端才能連接到 密服務(wù)器的端口進(jìn)行訪問(wèn)。如圖所示。

代理服務(wù)器如何加密客戶端需要運(yùn)行加密代理軟件,來(lái)實(shí)現(xiàn)應(yīng)用程序和加密服務(wù)器之間的信息轉(zhuǎn)發(fā)和明密文轉(zhuǎn)換。

小知識(shí)之代理服務(wù)器

代理服務(wù)器(Proxy Server)是一種重要的安全功能,它的工作主要在開放系統(tǒng)互聯(lián)(OSI)模型的對(duì)話層,從而起到防火墻的作用。代理服務(wù)器大多被用來(lái)連接INTERNET(國(guó)際互聯(lián)網(wǎng))和INTRANET(局域網(wǎng))。