FIXP和SSL/TLS谁更安全?这是一位LAXCUS分布式应用软件开发者提出来的问题。其实以前也有人问过,今天写篇文章正式回答一下。我先说结论:SSL/TLS实现的作业流程和技术原理,FIXP同样拥有,但是FIXP包含的某些技术和作业流程,SSL/TLS却没有提供。下面就来仔细说说这件事。
咱们先从根源说起。
SSL是Secure Socket Layer的简称,是网景公司在1994年开发出来,用于导航者浏览器的安全HTTP通信。在这些基础上,它们衍生出HTTPS协议,现在已经被各种浏览器和WEB服务器采纳为自己的安全通信标准,后来SSL又扩展到电子邮件、即时通信、VoIP领域,再加上IETF(互联网工程工作组The Internet Enginerring Task Force)介入,将SSL标准化,公布了一系列基于SSL的RFC协议草案,现在已经基本成为互联网行业的安全通信标准。所以SSL的影响力在互联网上影响力非常大。
TLS则是Transport Layer Security的简称,它是在SSL上的进一步衍生,是SSL转移给IEEE之后,IEEE给出的一个重新命名,同时在部分细节和流程上做了调整,但是整体的工作流程和技术路线没有变化。
简单说一下SSL的工作流程。
SSL的本质就是加密通信。进行SSL通信,需要通信的收发双方协商执行一个握手协议。只有当通信双方确认彼此的身份并且成功,建立一个安全连接后,才能再使用密钥发送经过加密的密文。
执行SSL通信需要一个数字安全证书,这个证书通常包含服务器的名称、受信任的证书颁发机构(CA),以及非对称密钥。在执行握手协议时,会使用数字安全证书。
再说说FIXP。
FIXP是自由信息交换协议(Free Informaion eXchange Protocol)的简称,与SSL/TLS一样,它基于TCP/IP协议,最早用于P2P、P2SP等应用场景。它采用二进制字序和小头编码(Little Endian),具有平台独立、上下文无关、结构简单、数据尺寸小等特点。后期集成进LAXCUS分布式操作系统,因为需要安全通信原因,重新设计的迭代升级过程中,经历了1.0、2.0、3.0、3.1、3.2、4.0、5.0总共7个版本。现在最新的是5.0版本,匹配LAXCUS分布式操作系统6.0版本。
除开安全通信因素,LAXCUS分布式操作系统还需要支持超大规模的数据传输,来解决超大规模分布式计算过程中,数据传输的通信瓶颈问题,所以从2.0版本开始,FIXP又进行了大幅度升级改进,把网络通信分为控制信道和数据信道。控制信道传输控制指令,控制数据流量,数据信道传输加密的数据。FIXP数据信道是采用了类似5G网络的Massive MIMO的多点并行乱序收发技术,在原有通信基础之上,将数据传输速率提供5-20倍。后期升级过程中,又加入了DFL3人工智能模型的部分技术,解决了计算机集群环境下,智能化的数据控制和传输,获得更优质更稳定更可靠的网络通信。
所以,FIXP发展过程是这样,初期是用于P2P、P2SP的通信协议,后期因为安全通信的需要,借鉴融入SSL/TLS的技术,实现了加密的安全通信,相当于HTTPS的效果。然后又因为更多的业务需要,把网络信道分成控制信道和数据信道,当相于引入FTP,再然后为了实现超大规模数据传输,减少数据延决造成的分布式计算等待问题,又加入Massive MIMO技术,同时底层通过人工智能模型,智能化调节网络速率,减少丢包概率,最大化减少计算等待时间。现在的FIXP协议,虽然名字没有改变,但是早已经不是一个单一的通信协议,而是融合了P2P、P2SP、SSL/TLS、FTP、MASSIVE MIMO、AI等多种技术的整合体,和早期的FIXP协议已经相比,已经是天壤之别大相径庭了。
下面这张图是LAXCUS分布式操作系统的安全管理模型,它实现了计算机集群网络环境下的全域安全管理控制,简单说,就是一种从用户键盘到服务器硬盘的360度无死角管控措施。在这套安全管理模型中,涉及FIXP的是前三个部分,分别是非对称加密、数字签名、对称加密三个部分。它们都是可以在运行过程中自行定义和随机设置的。FIXP的非对称加密主要以RSA为主,数字签名现在的主体是SHA256、SHA512,对称加密有AES、DES3等。这些加密算法也是SSL/TLS的技术核心。另外,如果用户需要将更多加密算法纳入安全管理模型,也可能通过系统脚本或者API接口来设置指定。
安全管理上,与SSL/TLS有所区别的是,FIXP安全管理体系使用密钥令牌取代了数字安全证书。原因为很简单,数字安全证书需要第三方机构来颁发,而LAXCUS分布式操作系统是自成一体的操作系统,显然不需要其它组织来参与安全管理工作。另外即使将第三方机构加入进来,只能徒然增加计算机集群管理的难度,而不会有其它好处。并且计算机集群的管理工作,本来就是集群管理员的职责范围,现在把这些本职工作交还到他们手上,才能让他们更好掌握控制计算机集群。
FIXP的密钥令牌可以有多种来源,包括以下几种:
1. 保存在安全脚本文件中
2. 在LAXCUS分布式操作系统启动时随机生成
3. 由集群管理员在LAXCUS集群运行过程中生成
4. 通过经典密钥机产生获得
5. 接入量子通信网络,获取随机密钥
目前除第一种情况,由于密钥令牌被保存在磁盘文件上,存在安全隐患,已经不建议采用,其它四种被普遍支持。
剩下四种情况中,第4种和第5种因为成本原因,一般的中小规模的计算机集群不容易采用,它们通常都是大型企业、高安全高可靠环境、国家级计算机集群的选项。第2种虽然是LAXCUS分布式操作系统的随机生成,但是生成的依据条件是IP地址、MAC地址、内存、CPU、硬盘、时间等运行时参数,虽然会随时变化,但是也具有一定的规律性,利用计算机集群,尤其在LAXCUS计算机集群强大算力的加持下,被破解的可能性依然存在。所以目前最经常使用的是第3种情况:让集群管理员生成设置密钥令牌。在人工参与的条件下,设置密钥令牌具备任意足够的随机性,而且密钥令牌的生成设置都在加密环境中运行,只在网络、内存、CPU之间传播和存在,也具有足够的安全性。这项技术措施,是SSL/TLS没有的。
另外,在第3种情况里,集群管理员还可以针对不同的访问者,设置有针对性的密钥令牌。这样就能够让多套密钥令牌分别管理多组用户,实现有区别的控制,同时减少通用一组密钥可能造成的密钥泄漏问题。这项技术措施,也是SSL/TLS没有的。
以上就是FIXP和SSL/TLS的对比,二者孰优孰劣,各位自行评估吧。
了解更多Laxcus分布式操作系统的图形设计、网络通信、分布式存储、大数据、分布式计算、边缘计算、人工智能、云原生、安全管理、分布式应用软件开发和其它前沿技术,请关注公众号“Laxcus分布式操作系统”,或者联系小编微信,加入产品技术群,让我们一起讨论最新的技术知识。
