< 返回 比特网

腾锐SSL解密,扫除隐藏威胁

  SSL(Secure Sockets Layer,安全套接层)及其继任协议TLS(Transport Layer Security,传输层安全)是为网络通信提供安全及数据完整性的一种安全协议,SSL与TLS在传输层对网络连接进行加密。

  以HTTP应用为例,一般情况下,HTTP采用明文的方式在互联网上进行传输,但账号、密码等敏感信息,存在被非法窃听的风险。为了消除这方面的安全隐患,可采用SSL协议对HTTP协议进行加密(即HTTPS),以确保在整个数据传输过程中的信息安全性。

  随着HTTPS的广泛应用,虽然提高了网站应用的安全性,但同时也容易被不法分子或安全威胁所利用,因此,很多情况下需要对这些加密流量进行解密,从而实现加密网络的可视化呈现。

  在探讨解决方案之前,我们先来看看SSL协议的握手过程SSL网络安全协议采用公钥加密技术产生共享密钥(对称加密密钥),通常情况,SSL采用客户端单向验证方式,握手流程如下图所示:

SSL01.JPG

  可见,要对SSL流量进行解密,核心前提是要取得服务器端数字证书的私钥,有了这个私钥就可以对整个SSL握手过程进行解析,从而解密获得双方协商的后续SSL会话过程的对称加密密钥,通过这个对称加密密钥就可以解密整个SSL通信过程,并可以将解密后的SSL流量进行预处理以后复制/分流给后端多个深度分析系统。

SSL03.JPG

  Teraspek SSL解密系统软件--NSA(Network SSL Analysis),可加载在Teraspek SF系列产品的MIPS多核处理器上。以SF3048D/3248D产品为例,SF3048D/3248D为双MIPS多核结构。其中,

  * 一个MIPS多核处理器加载NSA软件,专门用于SSL解密处理,基于硬件加速的加解密引擎,单机可实现5Gbps的SSL解密处理;

  * 另一个MIPS多核处理器加载汇聚分流软件,用于解密后流量的预处理和为后端多个深度分析系统提供复制、分流等服务。

  Teraspek NSA专注于高性能实时SSL解密处理,提供通用的加密/解密算法,主要产品特性如下:

  * 内置逻辑加密加速引擎,支持通用哈希算法、对称密钥密码和非对称密钥操作;

  *支持SSL / TLS:SSL3.0、TLS1.0、TLS1.1、TLS1.2;

  *哈希算法:SHA1、SHA256、AES等;

  *对称加密算法:DES CBC、3DES CBC、AES-128 CBC、AES-256 CBC、RC4、RC2、IDEA等;

  *非对称密钥算法:RSA;

  *密钥管理:支持私钥列表的密钥自学习,并将服务器IP地址绑定到私钥;

  *流恢复:当SSL/TLS被解密时,NSA可以重建没有SSL/TLS头的数据包,并计算TCP序列并修复TCP/IP校验和;

  *报文输出:NSA可以分别输出加密流和普通流,TCP端口信息可以在解密完成时从端口443修改为端口80;

  *会话管理:支持TCP重组,如乱序数据包、TCP状态跟踪;

  *SSL/TLS会话关联:当可以重用密钥时,将SSL/TLS会话与会话ID或票证相关联;

  *性能:单机解密性能为5Gbps,1000万并发会话。