CN106209806A - 对SSR的Nginx服务器加密套件的安全配置方法 - Google Patents
对SSR的Nginx服务器加密套件的安全配置方法 Download PDFInfo
- Publication number
- CN106209806A CN106209806A CN201610515599.1A CN201610515599A CN106209806A CN 106209806 A CN106209806 A CN 106209806A CN 201610515599 A CN201610515599 A CN 201610515599A CN 106209806 A CN106209806 A CN 106209806A
- Authority
- CN
- China
- Prior art keywords
- ssr
- encryption suite
- nginx server
- encryption
- suite
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000007792 addition Methods 0.000 claims description 3
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 abstract description 4
- 238000004891 communication Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开对SSR的Nginx服务器加密套件的安全配置方法,涉及网站安全配置领域,对Nginx服务器的加密套件进行合理选用,通过对SSR的Nginx服务器的加密套件进行增删,实现想要使用的加密配件;其具体主要包括如下步骤:1)对SSR加密套件进行查看;2)对SSR加密套件进行安全性分析;3)对SSR的Nginx服务器配置文件中加密套件进行修改。本发明通过分析、比较各个套件的不同部分;选择出不安全的加密套件以禁用;客户端与服务端只能选用到安全性高的加密套件;保障了传输层信息传输的安全;增强SSR的自身安全性,使SSR更加安全的运行。
Description
技术领域
本发明涉及网站安全配置领域,具体的说是对SSR的Nginx服务器加密套件的安全配置方法。
背景技术
随着计算机技术的发展,web应用越来越广泛,对B/S架构的软件的安全要求越来越高。现在在大力发展网络安全,由于恶意攻击者及黑色产业的存在,对网络信息安全的要求也是不断加大。如何有效的提升服务器产品的安全性,保障软件的可靠及用户的放心使用,成为急需解决的技术问题。这个问题的解决从技术方面来说可以分为很多部分的安全配置、加固;本发明鉴于此,提出了对SSR的Nginx服务器加密套件的安全配置方法,就SSR所使用到的web容器--Nginx服务器的加密通信套件部分进行安全配置。Nginx是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器;并且能实现负载均衡的架构深受用户喜爱,并且开源,但是其安全性不够。
发明内容
本发明针对目前技术发展的需求和不足之处,提供对SSR的Nginx服务器加密套件的安全配置方法。
本发明所述对SSR的Nginx服务器加密套件的安全配置方法,解决上述技术问题采用的技术方案如下:所述对SSR的Nginx服务器加密套件的安全配置方法,对Nginx服务器的加密套件进行合理选用,通过对SSR的Nginx服务器的加密套件进行增删,实现想要使用的加密配件;其具体主要包括如下步骤:1)对SSR加密套件进行查看;2)对SSR加密套件进行安全性分析;3)对SSR的Nginx服务器配置文件中加密套件进行修改。
优选的,步骤2)对SSR加密套件进行安全性分析:分析判断SSR的Nginx服务器所使用的加密套件哪些是安全的,哪些是不安全的。
优选的,步骤3)对SSR的Nginx服务器配置文件中加密套件进行修改:删除SSR的Nginx服务器所使用的不安全加密套件,以禁用该种加密,并增加指定的加密套件,实现指定的加密方式。
优选的,通过分析加密套件包含的:协议版本、密钥交换算法、加密算法、散列算法、密钥长度方面,选取安全性高的组合,禁用安全性低的加密套件。
本发明所述对SSR的Nginx服务器加密套件的安全配置方法与现有技术相比具有的有益效果是:本发明通过分析、比较各个套件的不同部分;选择出不安全的加密套件以禁用;禁用后,客户端与服务端协商选用的加密套件时就不会再选用到这些弱加密套件,只能选用到安全性高的加密套件;保障了传输层信息传输的安全;增强SSR的自身安全性,使SSR更加安全的运行,提高了产品的安全稳定性,使用户使用更加放心。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,对本发明所述对SSR的Nginx服务器加密套件的安全配置方法进一步详细说明。
本发明提出对SSR的Nginx服务器加密套件的安全配置方法,使用SSR针对Nginx服务器加密套件进行安全配置,对Nginx服务器的加密套件进行合理选用,将Nginx服务器默认提供的众多加密套件中安全性较弱的套件禁用,只留下安全性高的可选项以供客户端、服务端协商选用;即通过对SSR的Nginx服务器的加密套件进行增删,实现想要使用的加密配件,增强SSR自身安全性。SSL/TLS协议是网络安全通信的基石,保证了数据在传输层传输时的可认证性、机密性、完整性及重放保护。使用SSL/TLS加密通信在传输层保证通信内容不被恶意攻击者直接明文查看,加密保护了对web的访问。
实施例:
本实施例所述对SSR的Nginx服务器加密套件的安全配置方法,其具体主要包括如下步骤:1)对SSR加密套件进行查看;2)对SSR加密套件进行安全性分析;3)对SSR的Nginx服务器配置文件中加密套件进行修改。
其中,步骤1)对SSR加密套件进行查看:查看SSR的Nginx服务器所使用的加密套件;步骤2)对SSR加密套件进行安全性分析:分析判断SSR的Nginx服务器所使用的加密套件哪些是安全的,哪些是不安全的;步骤3)对SSR的Nginx服务器配置文件中加密套件进行修改:删除SSR的Nginx服务器所使用的不安全加密套件,以禁用该种加密,并增加指定的加密套件,实现指定的加密方式。
对Nginx服务器默认提供的加密套件进行合理选用:通过分析、比较各个加密套件的不同部分,选择出不安全的加密套件以禁用;通过分析加密套件包含的:协议版本、密钥交换算法、加密算法、散列算法、密钥长度等方面,选取安全性高的组合,禁用安全性低的套件,以避免攻击者利用弱加密套件的漏洞进行攻击;禁用后,客户端与服务端协商选用的加密套件时,就不会再选用到这些弱加密套件,只能选用到安全性高的加密套件;保障了传输层信息传输的安全。
SSR的Nginx服务器加密套件都以“SSL”或“TLS”开头,紧跟着的是密钥交换算法。用“With”这个词把密钥交换算法、加密算法、散列算法分开(也可以不存在该分隔),例 如:SSL3_DHE_RSA_WITH_DES_CBC_MD5,表示把DHE_RSA定义为密钥交换算法;把DES_CBC定义为加密算法;把MD5定义为散列算法。但该格式并不固定,比如有TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,多的128是指加密算法的密钥强度。Nginx服务器是使用了openssl,可以通过命令:openssl s_client -connect www.xxx.com:port -cipher EXPORT或工具(sslscan)来查看默认提供的加密套件。
本实施例所述对SSR的Nginx服务器加密套件的安全配置方法,对加密套件的选用依据基本以安全性为主,具体表述如下:
DHE(离散对数)优于ECDHE(椭圆曲线);
非对称优于对称(DES<3DES<AES<RSA<DSA(只用于数字签名)<ECC);
散列算法:SHA优于MD5;
分组模式:GCM优于CBC;
SHA-2(SHA-224、SHA-256、SHA-384,和SHA-512)优于SHA-1;
RC4应被完全移除(安全问题多);
TLS优于ssl, tls1.1<tls1.3<tls1.2;
AES256优于AES128;
密钥强度:对称加密应128及以上;非对称应用2048及以上。
根据以上加密套件的选用依据作出相应选择,删除不安全的套件,对于Nginx服务器其具体操作为:在server.xml 中SSL connector中的ciphers字段中删除或添加相应的套件;此外,将同意使用的加密套件按照安全性强弱排列。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (4)
1.对SSR的Nginx服务器加密套件的安全配置方法,其特征在于, 对Nginx服务器的加密套件进行合理选用,通过对SSR的Nginx服务器的加密套件进行增删,实现想要使用的加密配件;其具体主要包括如下步骤:1)对SSR加密套件进行查看;2)对SSR加密套件进行安全性分析;3)对SSR的Nginx服务器配置文件中加密套件进行修改。
2.根据权利要求1所述对SSR的Nginx服务器加密套件的安全配置方法,其特征在于,步骤2)对SSR加密套件进行安全性分析:分析判断SSR的Nginx服务器所使用的加密套件哪些是安全的,哪些是不安全的。
3.根据权利要求2所述对SSR的Nginx服务器加密套件的安全配置方法,其特征在于,步骤3)对SSR的Nginx服务器配置文件中加密套件进行修改:删除SSR的Nginx服务器所使用的不安全加密套件,以禁用该种加密,并增加指定的加密套件实现指定的加密方式。
4.根据权利要求3所述对SSR的Nginx服务器加密套件的安全配置方法,其特征在于,通过分析加密套件包含的:协议版本、密钥交换算法、加密算法、散列算法、密钥长度方面,选取安全性高的组合,禁用安全性低的加密套件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610515599.1A CN106209806A (zh) | 2016-07-04 | 2016-07-04 | 对SSR的Nginx服务器加密套件的安全配置方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610515599.1A CN106209806A (zh) | 2016-07-04 | 2016-07-04 | 对SSR的Nginx服务器加密套件的安全配置方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106209806A true CN106209806A (zh) | 2016-12-07 |
Family
ID=57465824
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610515599.1A Pending CN106209806A (zh) | 2016-07-04 | 2016-07-04 | 对SSR的Nginx服务器加密套件的安全配置方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106209806A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107104985A (zh) * | 2017-06-09 | 2017-08-29 | 郑州云海信息技术有限公司 | 一种基于SSR基线库对Nginx服务器进行安全配置的方法 |
| CN114615089A (zh) * | 2022-05-09 | 2022-06-10 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种服务器动态自适应配置方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070266233A1 (en) * | 2006-05-12 | 2007-11-15 | Mahesh Jethanandani | Method and apparatus to minimize latency by avoiding small tcp segments in a ssl offload environment |
| CN103826225A (zh) * | 2014-02-19 | 2014-05-28 | 西安电子科技大学 | 一种无线网络中身份认证协议选择方法 |
| CN104618392A (zh) * | 2015-02-25 | 2015-05-13 | 浪潮电子信息产业股份有限公司 | 一种nginx-modsecurity安全规则智能匹配方法 |
| CN104735058A (zh) * | 2015-03-04 | 2015-06-24 | 深信服网络科技(深圳)有限公司 | 一种基于安全协议ssl的加密方法及系统 |
| CN105681341A (zh) * | 2016-03-08 | 2016-06-15 | 浪潮电子信息产业股份有限公司 | 一种对SSR的Tomact加密套件的安全配置方法 |
-
2016
- 2016-07-04 CN CN201610515599.1A patent/CN106209806A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070266233A1 (en) * | 2006-05-12 | 2007-11-15 | Mahesh Jethanandani | Method and apparatus to minimize latency by avoiding small tcp segments in a ssl offload environment |
| CN103826225A (zh) * | 2014-02-19 | 2014-05-28 | 西安电子科技大学 | 一种无线网络中身份认证协议选择方法 |
| CN104618392A (zh) * | 2015-02-25 | 2015-05-13 | 浪潮电子信息产业股份有限公司 | 一种nginx-modsecurity安全规则智能匹配方法 |
| CN104735058A (zh) * | 2015-03-04 | 2015-06-24 | 深信服网络科技(深圳)有限公司 | 一种基于安全协议ssl的加密方法及系统 |
| CN105681341A (zh) * | 2016-03-08 | 2016-06-15 | 浪潮电子信息产业股份有限公司 | 一种对SSR的Tomact加密套件的安全配置方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107104985A (zh) * | 2017-06-09 | 2017-08-29 | 郑州云海信息技术有限公司 | 一种基于SSR基线库对Nginx服务器进行安全配置的方法 |
| CN114615089A (zh) * | 2022-05-09 | 2022-06-10 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种服务器动态自适应配置方法及装置 |
| CN114615089B (zh) * | 2022-05-09 | 2022-07-29 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种服务器动态自适应配置方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10652015B2 (en) | Confidential communication management | |
| CN111371549B (zh) | 一种报文数据传输方法、装置及系统 | |
| US9608822B2 (en) | Method for generating an HTML document that contains encrypted files and the code necessary for decrypting them when a valid passphrase is provided | |
| US20150350164A1 (en) | Intelligent card secure communication method | |
| JP2016515235A5 (zh) | ||
| CN102638568A (zh) | 云存储系统及其数据管理方法 | |
| Gruschka et al. | Server-side streaming processing of ws-security | |
| CN110519300A (zh) | 基于口令双向认证的客户端密钥安全存储方法 | |
| CN108683706A (zh) | 一种基于nb-iot云锁通讯的加密算法及其验证方法 | |
| Schneier | One‐Way Hash Functions | |
| CN109510702A (zh) | 一种基于计算机特征码的密钥存储及使用的方法 | |
| CN106209806A (zh) | 对SSR的Nginx服务器加密套件的安全配置方法 | |
| Ghosh et al. | A variable length key based cryptographic approach on cloud data | |
| CN105871858A (zh) | 一种保证数据安全的方法及系统 | |
| CN104394532A (zh) | 移动端防暴力破解的安全登录方法 | |
| CN105681341A (zh) | 一种对SSR的Tomact加密套件的安全配置方法 | |
| CN108449317B (zh) | 一种基于sgx与同态加密进行安全验证的门禁系统及其实现方法 | |
| CN107104985A (zh) | 一种基于SSR基线库对Nginx服务器进行安全配置的方法 | |
| CN110247878A (zh) | 一种数据传输加密方法 | |
| CN103532958A (zh) | 一种对网站资源进行加密的方法 | |
| CN102710416A (zh) | 一种社交网站用的密码加密方法 | |
| Sharma et al. | Improvising information security in cloud computing environment | |
| Libed et al. | Enhancing MD5 Collision Susceptibility | |
| CN102843377A (zh) | 一种社交网站用的快速加密方法 | |
| Uskov | THE EFFICIENCY OF ENCRYPTION ALGORITHMS IN EAX MODE OF OPERATION IN IPSEC-BASED VIRTUAL PRIVATE NETWORKS FOR STREAMING RICH MULTIMEDIA DATA. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20161207 |