نام کاربری:
کلمه عبور:
کلمه عبور را فراموش کرده ام
عضویت در سایت
خــانه
کاریابی
جویای کار
متخصصین
مشاغل
کارگروههای علمی
سورس کد
اخبار
اعضا
تبلیغات
کارگروه
شبکه و امنیت
تاسیس: 16/01/1390
تعداد موضوعات:56
تعداد ارسالی ها: 57
تعداد بازدیدها: 101326
گروه: شبکه و امنیت
درخواست عضویت
ویرایش
مدیریت اعضا
کارگروههای من
درباره کارگروه
آموزش و ارایه نرم افزار هک و ماکروسافت .سیسکو
موسس کارگروه
حسین فرجی
مدیران کارگروه
اعضاء کارگروه
سهیلی
ایروانی
اسمعیل دخت
جهانبخش
جوادی
خورشیدی
شیرعلی
غفاری
همه اعضای کارگروه
آشنایی با پروتکل SSL و عملکرد آن
صفحه اصلی کارگروهها
>>
شبکه و امنیت
>>
آشنایی با پروتکل SSL و عملکرد آن
ارسال پاسخ
حسین فرجی
در کارگروه:
شبکه و امنیت
تعداد ارسالي: 50
بیوگرافی و سوابق
کارگروههای من
پروفایل من
14 سال پیش
در تاریخ:
سه شنبه, فروردين 23, 1390 9:16
SSL چیست؟
(SSL یا Secure Socket Layer) راهحلی جهت برقراری ارتباطات ایمن میان یک سرویسدهنده و یک سرویسگیرنده است که توسط شرکت Netscape ارایه شده است. در واقع SSL پروتکلی است که پایینتر از لایه کاربرد (لایه ۴ از مدل TCP/IP) و بالاتر از لایه انتقال (لایه سوم از مدل TCP/IP) قرار میگیرد. مزیت استفاده از این پروتکل بهرهگیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکلهای غیرامن لایه کاربردی نظیرHTTP ،LDAP ،IMAP و... میباشد که براساس آن الگوریتمهای رمزنگاری بر روی دادههای خام (plain text) که قرار است از یک کانال ارتباطی غیرامن مثل اینترنت عبور کنند، اعمال میشود و محرمانه ماندن دادهها را در طول کانال انتقال تضمین میکند. به بیان دیگر شرکتی که صلاحیت صدور و اعطاء گواهیهای دیجیتال SSL را دارد برای هر کدام از دو طرفی که قرار است ارتباطات میان شبکهای امن داشته باشند، گواهیهای مخصوص سرویسدهنده و سرویسگیرنده را صادر میکند و با مکانیزمهای احراز هویت خاص خود، هویت هر کدام از طرفین را برای طرف مقابل تأیید میکند، البته غیر از اینکار میبایست تضمین کند که اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابل درک و استفاده نباشد که اینکار را با کمک الگوریتمهای رمزنگاری و کلیدهای رمزنگاری نامتقارن و متقارن انجام میدهد.
ملزومات یک ارتباط مبتنی بر پروتکل امنیتی SSL
برای داشتن ارتباطات امن مبتنی بر SSL عموماً به دو نوع گواهی دیجیتال SSL یکی برای سرویسدهنده و دیگری برای سرویسگیرنده و یک مرکز صدور و اعطای گواهینامه دیجیتال یا CA نیاز میباشد. وظیفه CA این است که هویت طرفین ارتباط، نشانیها، حسابهای بانکی و تاریخ انقضای گواهینامه را بداند و براساس آنها هویتها را تعیین نماید.
مکانیزمهای تشکیلدهنده SSL
۱- تأیید هویت سرویسدهنده
با استفاده از این ویژگی در SSL، یک کاربر از صحت هویت یک سرویسدهنده مطمئن میشود. نرمافزارهای مبتنی بر SSL سمت سرویسگیرنده (مثلاً یک مرورگر وب نظیرInternet Explerer از تکنیکهای استاندارد رمزنگاری مبتنی بر کلید عمومی و مقایسه با کلیدهای عمومی یک سرویسدهنده (مثلاً یک برنامه سرویسدهنده وب نظیر (IIS میتواند از هویت او مطلع شود و پس از اطمینان کامل، کاربر میتواند نسبت به وارد نمودن اطلاعات خود مانند شماره کارتهای اعتباری و یا گذرواژهها اقدام نماید.
۲- تأیید هویت سرویسگیرنده
برعکس حالت قبلی در اینجا سرویسدهنده است که میبایست از صحت هویت سرویسگیرنده اطمینان یابد. طی این مکانیزم، نرمافزار مبتنی بر SSL سمت سرویسدهنده پس از مقایسه نام سرویسگیرنده با نامهای مجاز موجود در لیست سرویسگیرندههای مجاز که در داخل سرویسدهنده تعریف میشود و در صورت وجود، اجازه استفاده از سرویس های مجاز را به او میدهد.
۳- ارتباطات رمز شده
کلیه اطلاعات مبادله شده میان سرویسدهنده و گیرنده میبایست توسط نرمافزارهای موجود در سمت سرویسدهنده و سرویسگیرنده رمزنگاری (Encrypt) شده و در طرف مقابل رمزگشایی (Decrypt) شوند تا حداکثر محرمانگی (Confidentiality) در اینگونه سیستمها لحاظ شود.
اجزای پروتکل SSL
پروتکل SSL دارای دو زیر پروتکل تحت عناوین زیر میباشد.
۱- SSL Rocord Protocol که نوع قالببندی دادههای ارسالی را تعیین میکند.
۲- SSL Handshake Protocol که براساس قالب تعیین شده در پروتکل قبلی، مقدمات ارسال دادهها میان سرویسدهندهها و سرویسگیرندههای مبتنی بر SSL را تهیه میکند.
بخشبندی پروتکل SSL به دو زیر پروتکل دارای مزایای چندی است. از جمله:
اول: در ابتدای کار و طی مراحل اولیه ارتباط (Handshake) هویت سرویسدهنده برای سرویسگیرنده مشخص میگردد.
دوم: در همان ابتدای شروع مبادلات، سرویسدهنده و گیرنده بر سر نوع الگوریتم رمزنگاری تبادلی توافق میکنند.
سوم: در صورت لزوم، هویت سرویس گیرنده نیز برای سرویسدهنده احراز میگردد.
چهارم: در صورت استفاده از تکنیکهای رمزنگاری مبتنی بر کلید عمومی، میتوانند کلیدهای اشتراکی مخفی را ایجاد نمایند.
پنجم: ارتباطات بر مبنای SSL رمزنگاری میشوند.الگوریتمهای رمزنگاری پشتیبانی شده درSSL
در استانداردSSL ، از اغلب الگورتیمهای عمومی رمزنگاری و مبادلات کلید (Key Exchcenge Algorithm) نظیر DES ،DSA ،KEA ، MD۵، RC۲،RC۴، RSA و RSA Key Exchauge ،SHA-۱ ،Skipjack و ۳DES پشتیبانی میشود و بسته به اینکه نرمافزارهای سمت سرویسدهنده و سرویسدهنده نیز از موارد مذکور پشتیبانی نمایید، ارتباطاتSSL میتواند براساس هر کدام این از الگوریتمها صورت پذیرد. البته بسته به طول کلید مورد استفاده در الگوریتم و قدرت ذاتی الگوریتم میتوان آنها را در ردههای مختلفی قرار دارد که توصیه میشود با توجه به سناریوهای موردنظر، از الگوریتمهای قویتر نظیر ۳DES با طول کلید ۱۶۸ بیت برای رمزنگاری دادهها و همچنین الگوریتم ۱-SHA برای مکانیزمهای تأیید پیغام ۵ MD استفاده شود و یا اینکه اگر امنیت در این حد موردنیاز نبود، میتوان در مواردی خاص از الگوریتم رمزنگاری ۴ RC با طول کلید ۴۰ بیت و الگوریتم تأیید پیغام ۵ MD استفاده نمود.
نحوه عملکرد داخلی پروتکلSSL
همانطور که میدانید SSL میتواند از ترکیب رمزنگاری متقارن و نامتقارن استفاده کند. رمزنگاری کلید متقارن سریعتر از رمزنگاری کلیدعمومی است و از طرف دیگر رمزنگاری کلید عمومی تکنیکهای احراز هویت قویتری را ارایه میکند. یک جلسه SSL Session) SSL) با یک تبادل پیغام ساده تحت عنوان SSL Handshake شروع میشود. این پیغام اولیه به سرویسدهنده این امکان را میدهد تا خودش را به سرویسدهنده دارای کلید عمومی معرفی نماید و سپس به سرویسگیرنده و سرویسدهنده این اجازه را میدهد که یک کلید متقارن را ایجاد نمایند که برای رمزنگاریها و رمزگشایی سریعتر در جریان ادامه مبادلات مورد استفاده قرار میگیرد. گامهایی که قبل از برگزاری این جلسه انجام میشوند براساس الگوریتم RSA Key Exchange عبارتند از:
۱- سرویسگیرنده، نسخه SSL مورد استفاده خود، تنظیمات اولیه درباره نحوه رمزگذاری و یک داده تصادفی را برای شروع درخواست یک ارتباط امن مبتنی بر SSL به سمت سرویسدهنده ارسال میکند.
۲- سرویسدهنده نیز در پاسخ نسخه SSL مورد استفاده خود، تنظیمات رمزگذاری و داده تصادفی تولید شده توسط خود را به سرویسگیرنده میفرستد و همچنین سرویسدهنده گواهینامه خود را نیز برای سرویسگیرنده ارسال میکند و اگر سرویسگیرنده از سرویسدهنده، درخواستی داشت که نیازمند احراز هویت سرویسگیرنده بود، آن را نیز از سرویسگیرنده درخواست میکند.
۳- سپس سرویسگیرنده با استفاده از اطلاعاتی که از سرویسدهنده مجاز در خود دارد، دادهها را بررسی میکند و اگر سرویسدهنده مذکور تأیید هویت شد، وارد مرحله بعدی میشود و در غیراینصورت با پیغام هشداری به کاربر، ادامه عملیات قطع میگردد.
۴- سرویسگیرنده یک مقدار به نام Premaster Secret را برای شروع جلسه ایجاد میکند و آن را با استفاده از کلید عمومی (که اطلاعات آن معمولاً در سرویسدهنده موجود است) رمزنگاری میکند و این مقدار رمز شده را به سرویسدهنده ارسال میکند.
۵- اگر سرویسدهنده به گواهینامه سرویسگیرنده نیاز داشت میبایست در این گام برای سرویسدهنده ارسال شود و اگر سرویسگیرنده نتواند هویت خود را به سرویسدهنده اثبات کند، ارتباط در همینجا قطع میشود.
۶- به محض اینکه هویت سرویسگیرنده برای سرویسدهنده احراز شد، سرویسدهنده با استفاده از کلید اختصاصی خودش مقدار Premaster Secret را رمزگشایی میکند و سپس اقدام به تهیه مقداری به نام Master Secret مینماید.
۷- هم سرویسدهنده و هم سرویسگیرنده با استفاده از مقدار master Secret کلید جلسه (Session Key) را تولید میکنند که در واقع کلید متقارن مورد استفاده در عمل رمزنگاری و رمزگشایی دادهها حین انتقال اطلاعات است و در این مرحله به نوعی جامعیت دادها بررسی میشود.
۸- سرویسگیرنده پیغامی را به سرویسدهنده میفرستد تا به او اطلاع دهد، داده بعدی که توسط سرویسگیرنده ارسال میشود به وسیله کلید جلسه رمزنگاری خواهد شد و در ادامه، پیغام رمز شده نیز ارسال میشود تا سرویسدهنده از پایان یافتن Handshake سمت سرویسگیرنده مطلع شود.
۹- سرویسدهنده پیغامی را به سرویسگیرنده ارسال میکند تا او را از پایان Handshake سمت سرویسدهنده آگاه نماید و همچنین اینکه داده بعدی که ارسال خواهد شد توسط کلید جلسه رمز میشود.
۱۰- در این مرحله SSL Handshake تمام میشود و از این به بعد جلسه SSL شروع میشود و هر دو عضو سرویسدهنده و گیرنده شروع به رمزنگاری و رمزگشایی و ارسال دادهها میکنند.
حملات تأثیرگذار برSSL
SSL نیز از حملات و نفوذهای مختلف در امان نیست. بعضی از حملات متداولی که براین پروتکل واقع میشود عبارتند ازTraffic Analysis : یا تحلیل ترافیک، حملاتCut ِ Paste بلووین، حملات Certification Injection و حملات از نوع Man in the middle.
حذف ارسالي
ويرايش ارسالي
نقل قول
|
0
[انصراف]
|
0
[انصراف]
خانه
|
سرويس ها
|
تبليغات
|
درباره ما
|
تماس با ما