INTERNET-WEB.RU
Обучение работе с ПК
Операционные системы
Флеш (Flash)

Защищенные и открытые каналы связи

Обычные компьютерные сети используют незащищенные каналы передачи информации. Это значит, что обладающий некоторым опытом и имеющий доступ к сети передачи данных злоумышленник может прочесть сведения, передаваемые по сети, и при необходимости заменить

часть данных в процессе обмена информацией на свои значения. При работе в Интернете вы не имеете никакой возможности проконтролировать всю цепочку передачи сигнала. Поэтому при передаче конфиденциальной информации прибегают к использованию специальных методов.

Secure Sockets Layer

Протокол SSL (Secure Sockets Layer) разработан фирмой Netscape Communications Corporation для обеспечения безопасной передачи конфиденциальной информации по открытым каналам связи. Протокол во многом был оптимизирован для использования при передаче данных между серверами Интернета, его реализация включена в коммерческий информационный сервер данной фирмы и в разработанные ею обозреватели. В дальнейшем при активном участии других организаций была создана следующая версия данного протокола (SSL 3.0), которая стала фактическим стандартом в области защиты данных WWW-серверов и клиентов (обозревателей) в Интернете.

aS SSL — протокол «уровня приложения». Это означает, что *~- для использования SSL прикладная программа должна быть

соответствующим образом спроектирована. По умолчанию поддержка SSL реализована в программах просмотра Интернета. На практике находят применение различные версии протокола SSL. Например, TLS (Transport Layer Security), который часто называют SSL 3.1; WTLS (Wireless TLS), используемый при передаче данных на мобильные телефоны и пейджеры, и т. п.

Протокол обеспечивает аутенфикацию как сервера, так и клиента перед началом обмена конфиденциальными данными. Требует обязательного наличия цифрового сертификата у информационного сервера.

Связь с использованием SSL применяется в тех случаях, когда необходимо быть уверенным, что конфиденциальная информация пересылается именно данному серверу.

«Рукопожатие» (Handshake)

В протоколе SSL реализован механизм взаимного распознавания клиента и сервера, который позволяет клиенту и серверу однозначно идентифицировать друг друга. Обычно используется только подтверждение идентичности информационного сервера.

Основные этапы процесса «рукопожатия» выглядят следующим образом.

 Клиент посылает на сервер запрос, сообщая версию SSL, параметры шифрования, другую специфичную для данной сессии информацию, которая необходима для открытия соединения с использованием SSL (на первом этапе аутенфикации используются только сертификаты криптостандарта RSA).

 Сервер возвращает клиенту номер версии SSL, параметры шифрования и другую специфичную для сессии информацию. Также сервер пересылает клиенту свой цифровой сертификат. Если необходима аутенфикация клиента, то сервер, в свою очередь, запрашивает сертификат клиента.

а Клиент использует эти данные для аутенфикации сервера с учетом полученного с сервера сертификата.

а При успешной аутенфикации клиент создает специальный мастер-ключ сессии, шифрует его открытым ключом сервера (он получен в составе сертификата сервера) и пересылает эти данные на сервер. Если был запрошен сертификат клиента, то клиент подписывает некие уникальные для данной сессии данные (известные серверу и клиенту) и высылает их вместе с сертификатом на сервер.

 Сервер дешифрует предварительный секретный ключ, используя собственный закрытый ключ, и отсылает клиенту сообщение, закодированное с помощью полученного мастер-ключа.

 Как клиент, так и сервер используют мастер-ключ для создания секретного ключа сессии, который применяется в симметричных алгоритмах шифрования данных и для проверки целостности передаваемых пакетов.

 Клиент высылает сообщение о том, что все последующие данные будут зашифрованы с помощью ключа сессии. Отдельно высылается зашифрованное сообщение об успешном завершении процесса аутенфикации.

Q Сервер высылает сообщение о том, что все последующие данные будут зашифрованы с помощью ключа сессии. Отдельно высылается зашифрованное сообщение об успешном завершении процесса аутенфикации. Далее продолжается обмен зашифрованными данными. В любой момент времени при обнаружении постороннего вмешательства или любой ошибки в передаче данных зашифрованное соединение разрывается и процесс аутенфикации повторяется с самого начала.

Secure Channel (Schannel) 

Защищенным каналом называют совокупность протоколов передачи данных (Transport Layer Security (TLS), Secure Sockets Layer (SSL), Private Communications Technology (PCT)), которые обеспечивают аутенфикацию клиента и сервера и безопасную, зашифрованную передачу данных.

Защищенный канал используется при передаче данных в Интернете. Запрос клиента по защищенному каналу обычно оформляется с префиксом HTTPS, например:

 

При работе по защищенному каналу система гарантирует, что передаваемые данные шифруются и отсылаются именно тому серверу, с которым установлено соединение.

Проверка защищенного канала связи

Бывают случаи, когда клиент не может осуществить соединение по защищенному каналу связи. Обычно это связано с ошибками в конфигурации

сетевых устройств или блокировке пакетов на различных брандмауэрах. Для проверки канала связи следует выполнить несколько простых операций.

Проверьте наличие ответа сервера, с которым требуется установить защищенный канал связи, по порту, используемому для организации защищенного канала связи (по умолчанию 443). Наберите такую команду:

telnet имя_сервера 443

После организации соединения должен быть показан пустой экран с мигающим курсором, говорящим, что сервер ожидает получения данных. Если нажать любую клавишу (или по прошествии нескольких секунд), то сессия будет разорвана и на экране появится надпись:

Connection to host lost.

Если вам не удается соединиться с сервером, то следует проверить все узлы, через которые проходит соединение. Эту цепочку можно вычислить с помощью утилиты tracert:

tracert имя_сервера

На экране должна появиться информация, аналогичная нижеприведенной:


Следует последовательно пытаться организовать telnet-сессию с каждым из этих узлов по описанному выше способу, пока не будет найден узел, с которым невозможно создать соединение по 443-му порту:

Could not open a connection to host on port 443:

Connect failed

В этом случае необходимо выяснить причины таких настроек у администратора соответствующей системы.

Если сессия создается с сервером, а работа по защищенному каналу связи невозможна, то следует выяснить причины у разработчика программного обеспечения, которое применяется на данном информационном rprmene

© 2009 internet-web.ru. All Rights Reserved