CN105681341A - 一种对SSR的Tomact加密套件的安全配置方法 - Google Patents
一种对SSR的Tomact加密套件的安全配置方法 Download PDFInfo
- Publication number
- CN105681341A CN105681341A CN201610129281.XA CN201610129281A CN105681341A CN 105681341 A CN105681341 A CN 105681341A CN 201610129281 A CN201610129281 A CN 201610129281A CN 105681341 A CN105681341 A CN 105681341A
- Authority
- CN
- China
- Prior art keywords
- ssr
- encryption
- encryption suite
- suite
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 12
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 4
- 230000003014 reinforcing effect Effects 0.000 abstract description 2
- 238000012217 deletion Methods 0.000 abstract 1
- 230000037430 deletion Effects 0.000 abstract 1
- 238000012986 modification Methods 0.000 abstract 1
- 230000004048 modification Effects 0.000 abstract 1
- 238000004891 communication Methods 0.000 description 5
- 238000013478 data encryption standard Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种对SSR的Tomact加密套件的安全配置方法,涉及网站安全配置领域,本发明包括:(1)对SSR加密套件的查看(2)对SSR加密套件的安全性分析(3)对SSR的Tomcat配置文件中加密套件的修改。通过对加密套件进行增删,以实现想要使用的加密配件,增强SSR自身安全性。
Description
技术领域
本发明涉及网站安全配置领域,尤其涉及一种通信的对SSR的Tomact加密套件的安全配置方法。
背景技术
随着计算机技术的发展,web应用越来越广泛,对B/S架构的软件的安全要求越来越高,现在又是在大力发展网络安全,同时由于恶意攻击者及黑色产业的存在,对网络信息安全的要求也是不断加大;如何有效的提升产品的安全性,保障软件的可靠及用户的放心使用,这些成为急需解决的技术问题。这个问题的解决从技术方面来说可以分为很多部分的安全配置、加固;这里只说SSR所使用到的web容器--tomcat的加密通信套件部分的安全配置。
使用SSL/TLS加密通信在传输层保证了通信内容不被恶意攻击者直接明文查看,加密保护了对web的访问,但是由于SSL/TLS近年爆出了一些高风险的漏洞,后果也是很严重,影响很大,而对于使用tomcat来说,就需要对其加密套件进行合理选用。
发明内容
为了解决以上的问题,本发明提出了一种对SSR的Tomact加密套件的安全配置方法。
本发明通过将对tomcat默认提供的众多加密套件中的安全性较弱的套件禁用,只留下安全性高的可选项以供客户端、服务端协商选用。
SSL/TLS协议是网络安全通信的基石,保证了数据在传输层传输时的可认证性、机密性、完整性及重放保护,本发明提出了一种对tomcat默认提供的加密套件的选用方法:通过分析加密套件包含的:协议版本、密钥交换算法、加密算法、散列算法、密钥长度等方面,选取安全性高的组合,禁用安全性低的套件,以避免攻击者利用弱加密套件的漏洞进行攻击。
本发明介绍的方法包括:(1)对SSR加密套件的查看;(2)对SSR加密套件的安全性分析;(3)对SSR的Tomcat配置文件中加密套件的修改;
(1)、对SSR加密套件的查看:查看SSR的B/S架构使用的tomcat所使用的加密套件
(2)、对SSR加密套件的安全性分析:分析判断SSR的B/S架构所使用的加密套件哪些是安全的,哪些是不安全的
(3)、对SSR的Tomcat配置文件中加密套件的修改:删除SSR的B/S架构所使用的不安全的套件,以禁用该种加密,增加指定的套件,实现指定的加密方式。
本发明在tomcat的加密套件选用上提供了配置选择方法,即通过分析、比较各个套件的不同部分;选择出不安全的加密套件以禁用。
将其禁用后,客户端与服务端协商选用的加密套件时就不会再选用到这些弱加密套件,只能选用到安全性高的加密套件;保障了传输层信息传输的安全。
本发明增强SSR的自身安全性,使SSR更加安全的运行,使用户使用更加放心。
附图说明
图1是加密套件示例图;
图2是弱加密套件检测示例图;
图3是Tomcat配置示例图。
具体实施方式
下面对本发明的内容进行更加详细的阐述:
一种对SSR的tomcat的加密套件的安全配置方法通过对默认加密套件的选用或添加,禁用不安全的加密,加密套件的格式及组成各部分如图1所示,每个套件都以“SSL”或“TLS”开头,紧跟着的是密钥交换算法。用“With”这个词把密钥交换算法、加密算法、散列算法分开(也可以不存在该分隔),例如:SSL3_DHE_RSA_WITH_DES_CBC_MD5,表示把DHE_RSA(带有RSA数字签名的暂时Diffie-HellMan)定义为密钥交换算法;把DES_CBC定义为加密算法;把MD5定义为散列算法。
但该格式并不固定,比如有TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA这样的写法,但熟悉之后也是可以明白其含义,多的128是指加密算法的密钥强度。
Tomcat是使用了openssl,可以通过命令:openssls_client-connectwww.xxx.com:port-cipherEXPORT或工具(sslscan)来查看默认提供的SSL/TLS服务详情,其中包括加密套件,如图2所示,其中用方框框起来的几个加密套件就是很不安全的,属于应该被禁用的。
本发明对加密套件的选用依据基本以安全性来考虑,基本可以如下表述:
·DHE(离散对数)优于ECDHE(椭圆曲线)
·非对称优于对称(DES<3DES<AES<RSA<DSA(只用于数字签名)<ECC)
·散列算法:SHA优于MD5,
·分组模式:GCM优于CBC
·SHA-2(SHA-224、SHA-256、SHA-384,和SHA-512)优于SHA-1
·RC4应被完全移除(安全问题多,如受戒礼漏洞).
·TLS优于ssl,tls1.1<tls1.3<tls1.2
·AES256优于AES128(但也有不同意见,认为开销大,但安全性提升不明显)
·密钥强度:对称加密应128及以上;非对称应用2048及以上。
以下是已经被弃用的:
·aNULL包含未验证diffie-hellman密钥交换,受到中间人这个攻击
·eNULL包含未加密密码(明文)
·EXPORT被美国法律标记为遗留弱密码
·RC4包含了密码,使用废弃ARCFOUR算法
·DES包含了密码,使用弃用数据加密标准
·SSLv2包含所有密码,在旧版本中定义SSL的标准,现在弃用
·MD5包含所有的密码,使用过时的消息摘要5作为散列算法
通过根据以上判断依据做出相应选择,删除掉不安全的套件,对于Tomcat其具体方法为:在server.xml中SSLconnector中(如图3)的ciphers字段中删除或添加相应的套件;
同时,在该段中的顺序决定了协商时的优先顺序,所以,应该将同意使用的套件按安全性强弱排列。
Claims (4)
1.一种对SSR的Tomact加密套件的安全配置方法,其特征在于,
包括:(1)对SSR加密套件的查看;(2)对SSR加密套件的安全性分析;(3)对SSR的Tomcat配置文件中加密套件的修改。
2.根据权利要求1所述的方法,其特征在于,
(1)、对SSR加密套件的查看:查看SSR的B/S架构使用的tomcat所使用的加密套件。
3.根据权利要求1所述的方法,其特征在于,
(2)、对SSR加密套件的安全性分析:分析判断SSR的B/S架构所使用的加密套件哪些是安全的,哪些是不安全的。
4.根据权利要求1所述的方法,其特征在于,
(3)、对SSR的Tomcat配置文件中加密套件的修改:删除SSR的B/S架构所使用的不安全的套件,以禁用该种加密,增加指定的套件,实现指定的加密方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610129281.XA CN105681341A (zh) | 2016-03-08 | 2016-03-08 | 一种对SSR的Tomact加密套件的安全配置方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610129281.XA CN105681341A (zh) | 2016-03-08 | 2016-03-08 | 一种对SSR的Tomact加密套件的安全配置方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105681341A true CN105681341A (zh) | 2016-06-15 |
Family
ID=56306959
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610129281.XA Pending CN105681341A (zh) | 2016-03-08 | 2016-03-08 | 一种对SSR的Tomact加密套件的安全配置方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105681341A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209806A (zh) * | 2016-07-04 | 2016-12-07 | 浪潮电子信息产业股份有限公司 | 对SSR的Nginx服务器加密套件的安全配置方法 |
| CN107104985A (zh) * | 2017-06-09 | 2017-08-29 | 郑州云海信息技术有限公司 | 一种基于SSR基线库对Nginx服务器进行安全配置的方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562527A (zh) * | 2008-04-18 | 2009-10-21 | 成都市华为赛门铁克科技有限公司 | 一种密码套件的配置方法和装置 |
| CN101567880A (zh) * | 2008-04-21 | 2009-10-28 | 成都市华为赛门铁克科技有限公司 | 加密套件选择方法、装置和系统 |
| CN103826225A (zh) * | 2014-02-19 | 2014-05-28 | 西安电子科技大学 | 一种无线网络中身份认证协议选择方法 |
| US20150039890A1 (en) * | 2011-12-15 | 2015-02-05 | Hormuzd M. Khosravi | Method and device for secure communications over a network using a hardware security engine |
| CN104735058A (zh) * | 2015-03-04 | 2015-06-24 | 深信服网络科技(深圳)有限公司 | 一种基于安全协议ssl的加密方法及系统 |
-
2016
- 2016-03-08 CN CN201610129281.XA patent/CN105681341A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101562527A (zh) * | 2008-04-18 | 2009-10-21 | 成都市华为赛门铁克科技有限公司 | 一种密码套件的配置方法和装置 |
| CN101567880A (zh) * | 2008-04-21 | 2009-10-28 | 成都市华为赛门铁克科技有限公司 | 加密套件选择方法、装置和系统 |
| US20150039890A1 (en) * | 2011-12-15 | 2015-02-05 | Hormuzd M. Khosravi | Method and device for secure communications over a network using a hardware security engine |
| CN103826225A (zh) * | 2014-02-19 | 2014-05-28 | 西安电子科技大学 | 一种无线网络中身份认证协议选择方法 |
| CN104735058A (zh) * | 2015-03-04 | 2015-06-24 | 深信服网络科技(深圳)有限公司 | 一种基于安全协议ssl的加密方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209806A (zh) * | 2016-07-04 | 2016-12-07 | 浪潮电子信息产业股份有限公司 | 对SSR的Nginx服务器加密套件的安全配置方法 |
| CN107104985A (zh) * | 2017-06-09 | 2017-08-29 | 郑州云海信息技术有限公司 | 一种基于SSR基线库对Nginx服务器进行安全配置的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3378209B1 (en) | Systems and methods for authenticating an online user using a secure authorizaton server | |
| Jain et al. | Addressing security and privacy risks in mobile applications | |
| US9166971B1 (en) | Authentication using an external device | |
| CN105103119B (zh) | 数据安全服务系统 | |
| US9722801B2 (en) | Detecting and preventing man-in-the-middle attacks on an encrypted connection | |
| US9608822B2 (en) | Method for generating an HTML document that contains encrypted files and the code necessary for decrypting them when a valid passphrase is provided | |
| EP2866166A1 (en) | Systems and methods for enforcing third party oversight data anonymization | |
| CN105072125B (zh) | 一种http通信系统及方法 | |
| CN105760764A (zh) | 一种嵌入式存储设备文件的加解密方法、装置及终端 | |
| CN102638568A (zh) | 云存储系统及其数据管理方法 | |
| CN103780379A (zh) | 密码加密方法和系统以及密码校验方法和系统 | |
| CN110677382A (zh) | 数据安全处理方法、装置、计算机系统及存储介质 | |
| CN113849847B (zh) | 用于对敏感数据进行加密和解密的方法、设备和介质 | |
| CN105740725A (zh) | 一种文件保护方法与系统 | |
| CN108683706A (zh) | 一种基于nb-iot云锁通讯的加密算法及其验证方法 | |
| CN105530637A (zh) | 保护智能终端用户隐私的方法以及智能终端 | |
| Malinka et al. | E-banking security study—10 years later | |
| CN106549756A (zh) | 一种加密的方法及装置 | |
| Mandlekar et al. | Survey on fog computing mitigating data theft attacks in cloud | |
| CN105681341A (zh) | 一种对SSR的Tomact加密套件的安全配置方法 | |
| CN102882675A (zh) | 社交网站用的密码加密方法 | |
| CN106453398B (zh) | 一种数据加密系统及方法 | |
| CN104394532A (zh) | 移动端防暴力破解的安全登录方法 | |
| Cai et al. | Appcracker: Widespread vulnerabilities in user and session authentication in mobile apps | |
| CN106209806A (zh) | 对SSR的Nginx服务器加密套件的安全配置方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160615 |