一.安全传输层协议(TLS)
概念:是确保在通信应用程序与互联网用户之间提供数据保密的协议。就是当一台服务器和客服端通信的时候,安全传输层协议能够确保没有第三方窃听或者干扰信息的传输。
构成:由两层组成,TLS记录协议(TLS Record Protocol) 和TLS 握手协议(TLS Handshake Protocol).TLS记录协议利用了数据加密的标准算法等一些算法来提供连接的安全性。而TLS握手协议允许数据交换前服务端和客服端相互认证,协商加密算法和密钥。
TLS握手协议:
客户端与服务器在通过TLS交换数据之前,必须协商建立加密信道。协商内容包括:TLS版本、加密套件,必要时还要验证证书。其每次协商,都需要在客户端和服务端往返,大致过程如下:
0 ms:TLS运行在TCP基础之上,这意味着我们必须首先完成TCP 三次握手“ ,这需要一个完整的来回交互(RTT)。
56 ms:TCP连接建立后,客户端发送一些协商信息,如TLS协议版本,支持的密码套件的列表,和其他TLS选项。
84 ms:服务器挑选TLS协议版本,在加密套件列表中挑选一个密码套件,附带自己的证书,并将响应返回给客户端。可选的,服务器也可以发送对客户端的证书认证请求和其他TLS扩展参数。
112 ms:假设双方协商好一个共同的TLS版本和加密算法,客户端使用服务器提供的证书,生成新的对称密钥,并用服务器的公钥进行加密,并告诉服务器切换到加密通信流程。到现在为止,所有被交换的数据都是以明文方式传输,除了对称密钥外,它采用的是服务器端的公钥加密。
140 ms:服务器用自己的私钥解密客户端发过来的对称密钥,并通过验证MAC检查消息的完整性,并返回给客户端一个加密的“Finished”的消息。
168 ms:客户端采用对称密钥解密消息,并验证MAC,如果一切OK,加密隧道就建立好了。应用程序数据就可以发送了。
TLS记录协议:
TLS记录协议主要用来识别TLS中的消息类型(通过“Content Type”字段的数据来识别握手,警告或数据),以及每个消息的完整性保护和验证。交付应用数据的典型流程如下:
记录协议接收到应用数据;
数据分块,每个块最大2^14即16 KB;
数据压缩(可选);
添加消息认证码(MAC)或HMAC(用于验证消息的完整性和可靠性);
使用协商的加密算法加密数据。
一旦上述步骤完成后,加密的数据被向下传递到TCP层进行传输。在接收端,采用反向相同的工作流程:使用协商的加密算法对数据进行解密,验证MAC,提取的应用数据给应用层。另一个好消息,所有上述的处理都是TLS层本身处理,对大多数应用程序是完全透明的。
二.SIEM
SIEM(安全信息与事件管理)源与日志管理,但是呢,早已经演变得比事件管理强大的许多,今天的它还提供了机器学习,高级统计分析和其他分析方法。
SIEM的运行机制是什么?SIEM软件收集并聚合所有技术基础设施所产生的日志数据,数据来源从主机系统及应用,到防火墙及杀软过滤器之类网络和安全设备都有。收到数据以后,SIEM软件就开始识别并分类事件,对事件进行分析。该软件的目的有两个:一个是,产出安全相关的事件报告,比如成功/失败的登录、恶意软件活动和其他可能的恶意活动。另一个就是,如果分析表明某活动违反了预定义的规则集,有潜在的问题,就发出警报。