IT商业网-解读信息时代的商业变革

当前位置: 首页 > 物联网 > 正文

腾锐SSL解密,扫除隐藏威胁

2019-09-18 17:35:47 来源:   

  SSL(Secure Sockets Layer,安全套接层)及其继任协议TLS(Transport Layer Security,传输层安全)是为网络通信提供安全及数据完整性的一种安全协议,SSL与TLS在传输层对网络连接进行加密。

  以HTTP应用为例,一般情况下,HTTP采用明文的方式在互联网上进行传输,但账号、密码等敏感信息,存在被非法窃听的风险。为了消除这方面的安全隐患,可采用SSL协议对HTTP协议进行加密(即HTTPS),以确保在整个数据传输过程中的信息安全性。

  随着HTTPS的广泛应用,虽然提高了网站应用的安全性,但同时也容易被不法分子或安全威胁所利用,因此,很多情况下需要对这些加密流量进行解密,从而实现加密网络的可视化呈现。

  在探讨解决方案之前,我们先来看看SSL协议的握手过程SSL网络安全协议采用公钥加密技术产生共享密钥(对称加密密钥),通常情况,SSL采用客户端单向验证方式,握手流程如下图所示:

SSL01.JPG

  可见,要对SSL流量进行解密,核心前提是要取得服务器端数字证书的私钥,有了这个私钥就可以对整个SSL握手过程进行解析,从而解密获得双方协商的后续SSL会话过程的对称加密密钥,通过这个对称加密密钥就可以解密整个SSL通信过程,并可以将解密后的SSL流量进行预处理以后复制/分流给后端多个深度分析系统。

SSL03.JPG

  Teraspek SSL解密系统软件--NSA(Network SSL Analysis),可加载在Teraspek SF系列产品的MIPS多核处理器上。以SF3048D/3248D产品为例,SF3048D/3248D为双MIPS多核结构。其中,

  * 一个MIPS多核处理器加载NSA软件,专门用于SSL解密处理,基于硬件加速的加解密引擎,单机可实现5Gbps的SSL解密处理;

  * 另一个MIPS多核处理器加载汇聚分流软件,用于解密后流量的预处理和为后端多个深度分析系统提供复制、分流等服务。

  Teraspek NSA专注于高性能实时SSL解密处理,提供通用的加密/解密算法,主要产品特性如下:

  * 内置逻辑加密加速引擎,支持通用哈希算法、对称密钥密码和非对称密钥操作;

  * 支持SSL / TLS:SSL3.0、TLS1.0、TLS1.1、TLS1.2;

  * 哈希算法:SHA1、SHA256、AES等;

  * 对称加密算法:DES CBC、3DES CBC、AES-128 CBC、AES-256 CBC、RC4、RC2、IDEA等;

  * 非对称密钥算法:RSA;

  * 密钥管理:支持私钥列表的密钥自学习,并将服务器IP地址绑定到私钥;

  * 流恢复:当SSL/TLS被解密时,NSA可以重建没有SSL/TLS头的数据包,并计算TCP序列并修复TCP/IP校验和;

  * 报文输出:NSA可以分别输出加密流和普通流,TCP端口信息可以在解密完成时从端口443修改为端口80;

  * 会话管理:支持TCP重组,如乱序数据包、TCP状态跟踪;

  * SSL/TLS会话关联:当可以重用密钥时,将SSL/TLS会话与会话ID或票证相关联;

  * 性能:单机解密性能为5Gbps,1000万并发会话。

免责声明: IT商业新闻网遵守行业规则,本站所转载的稿件都标注作者和来源。 IT商业新闻网原创文章,请转载时务必注明文章作者和来源“IT商业新闻网”, 不尊重本站原创的行为将受到IT商业新闻网的追责,转载稿件或作者投稿可能会经编辑修改或者补充, 如有异议可投诉至:post@itxinwen.com
微信公众号:您想你获取IT商业新闻网最新原创内容, 请在微信公众号中搜索“IT商业网”或者搜索微信号:itxinwen,或用扫描左侧微信二维码。 即可添加关注。
标签:

品牌、内容合作请点这里: 寻求合作 ››

相关阅读RELEVANT