概览
FlexSystem企业软件架构图解
通信安全
FESA客户端-服务器通信安全模型
FESA 客户-服务器模型通过使用FlexSystem专有的加密和压缩技术来产生一个安全通道。数据通过此安全通道传输,能有效抵抗窃听与篡改。
在这个安全通道上,我们提供支持公开的标准安全模型并确保数据在网络传输时的保密性,用户可选择在FESA应用服务器上加密连接。此外,我们还支持服务器证书,这样客户端设备(Windows和网络)可以验证服务器端电脑设备的身份。
FESA应用服务器上安全连接的体系结构。
安全连接
当启用该选项时,数据将在安全连接(安全通道)中传输。在安全连接启用前,客户端发送请求交换密钥;然后,服务器和客户端使用非对称加密交换密钥,以便会话密钥以安全的方式互相传递。之后,会话密钥会用于对称加密,建立一条安全连接。
密钥交换
要建立一条安全连接,客户端和服务器需在信号交换的过程中交换会话密钥。客户端使用1024位/2048位公钥加密算法加密一个新生成的pre-master-secret,并发送给服务器;然后服务器端使用这个pre-master-secret取得会话密钥。会话密钥随机生成,仅有效适用于一个会话,每个会话的开始都会重新产生和交换以确保加密安全。
连接加密
一旦取得会话密钥,安全连接即开启。服务器和客户端之间的数据传输使用256位高级加密标准还是192位三重数据加密算法加密,取决于应用服务器的配置。
指定对称算法
加密连接的默认对称算法是256位高级加密标准;用户可指定一种算法设置将其覆盖,可选项为AES和3DES。
服务器证书
应用服务器可以选择安装一个服务器证书(X.509证书)向客户端计算机证明它的身份;一个服务器证明含有一个用于会话密钥交换的公钥。
准备和申请服务器证书
申请服务器证书,您需提交证书请求文件给签证机关(如VeriSign、Thawte或您自己的CA)签署证书。
总结
不同安全设置的优缺点
安全设定 | 优点 | 缺点 |
---|---|---|
专有的安全通道 | - 快 - 轻便 - 专有加密模型 |
- 非公认标准 |
没有电子证书的安全通道 | - 高安全标准 - 公开的标准模型 - AES 256位或3-DES 192位可用 |
- 比专有安全模型慢 - 比专有安全模型更多的网络流量 |
有电子证书的安全通道 | - 最高安全标准 - 有证书的公开标准模型 - AES 256位或3-DES 192位可用 |
- 须向核证机关(CA)发出证书签署要求(CSR) |