解读SSL ***技术(一)

就在当前大多数远程访问解决方案是利用基于IPSec安全协议的***网络的情况下,一种最新的研究表明近近呼90%的企业利用***进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用,属非因特网应用。这些90%的应用有研究表明可以利用一种更加简单的***技术——SSL ***来提供更加有效的解决方案。

基于SSL协议的***远程访问方案的更加容易配置和管理,网络配置成本比起目前主流的IPSec ***还要低许多,所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现***通信了。

一、 SSL基础

***技术可以扩展企业的内部网络,使在外工作的员工和合作伙伴通过标准、公用的因特网访问他们的内部网络。它相对传统的专线网络方案的主要优势是各项费用将大大降低。专线网络需要在合作伙伴或者远程员工与公司总部之间有一个物理封闭的网络连接,或者采用远程拨号访问方案,或者采用T1之类的数字专线连接。***是一个非常实用的技术,它允许客户(包括员工)和合作伙伴利用标准的因特网进行廉价连接,它允许采用IPSec安全协议方案。事实上,在***技术中包括许多加密和安全协议,SSL就是其中一个,同样主流***应用的IPSec也是其中的一种。所以总的来说IPSec ***SSL ******技术在两种不同的安全协议下实现***通信的两种平等方案。所以理解SSL ***的关键就在于理解SSL这一安全协议。

SSL的英文全称是“Secure Sockets Layer”,中文名为“安全套接层协议层”,它是网景(Netscape)公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议(如HttpTelenetNMTPFTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作“Form Signing”(表单签名)的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。综上所述,在电子商务中采用单一的SSL协议来保证交易的安全是不够的,但采用"SSL+表单签名"模式能够为电子商务提供较好的安全性保证。因它是一个应用层协议,所以通常SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。
SSLIPSec安全协议一样,也可提供加密和身份验证安全方法。但是不管怎样,SSL协议只对通信双方所进行的应用通道进行加密,而不是对从一个主机到另一主机的整个通道进行加密。因为绝大多数客户应用,是不必加密从一个系统到另一个系统的整个通道的,仅加密应用数据这一方案更显恰当。

“加密”和“安全”协议都是属于传输协议,它们是用来确保重要数据的安全转输。加密是任何安全协议的核心技术,它相对采用明文密码加密或者不经过加密数据有3方面的优势:

·数据的私密性:在传输过程中可以使数据保持隐藏,不被非法查看;

·数据的真实性和完整性:因为在有关数字加密、安全协议有关的技术可以确保数据在传输过程中不被修改或者损坏;

·连接的可靠性:数据加密的另一个数学特征是可以证明事件的发生。

在使用SSL协议的通信中,每一个应用是一个安全的独立体,而不像IPSec那样,操作与应用脱节。要使用SSL协议进行***通信,则所进行的远程通信应用必须能识别SSL技术,不过现在常见的应用一般都能识别SSL技术的,如IENetscape浏览器,OutLook Eudora 邮件应用等。

目前SSL ***的主要应用于采用***与远程网络进行通信的应用主要是基于Web的客户,这些Web应用目前主要是内部网页游览、电子邮件及其它基于Web的查询工作。

SSL ***通信中通常还合用一种SSL ProxySSL代理)的技术来提高***服务器的通信性能和安全身验证能力,主要表面在以下两个方面:

1增加通信连接的性能

SSL本身就是一种非常快的协议,像所有加密协议一样, 在安全的通信建立之前它必须采用专门的CPU来提高数学运算速度。其中的一个运算法则就是RSARSA运算法则是采用SSL协议在客户端和服务器端传递密钥的。许多Modem拨号Web服务器,大约每秒可经接受75个新的SSL连接,每一个新的连接RSA都必须完成翻译和检验工作。如果系统每秒所有接受超过75个,CPU的利用率就会超过可接受有极限而停止对新的网络连接请求进行响应。

为了提高服务器的接受能力,SSL代理可以采用SSL加速器技术。一个SSL加速器就像一个486SX/DXPC机上的核心处理器一样。SSL加速器就可以分担服务器CPU的计算任务,通过加速后,一部只能完成接受每秒75SSL连接的服务器,就可达到接受每秒800个以上连接的性能。

你可能对如果在你的服务器有一个SSL加速器时,为什么还需要SSL代理产生疑惑。事实上理解起来非常简单,还是一个节省资金的问题。对于一个大、中型企业,或者网络服务提供商,通常可能有多台接入服务器,如果没有SSL代理技术,则你有多少服务器需要SSL加速器,就得需要大笔的资金为每一台服务器都配置SSL加速器SSL代理的好处就是可以使多台服务器共用一个SSL加速器。

从安全代理到网络代理,例如你现在可以开通每钞800SSL连接来访问你的资源,而只需要维护后端服务器的一个SSL代理连接。注意安全代理可以减少在后端服务器中打开的SLL连接数量,尽管服务器每秒的连接达到800个。这样的好处就是使你的服务器的SSL连接永远不会超出负荷。

2)内置身份验证

商业SSL协议的另一个优势就是内置身份验证方法。SSL协议的身份验证方法包括在服务器端和客户端进行的密码身份验证方法。不管怎样,所有安全都是基于一个理论:客户端的私钥密码要求安全保管。如果这个密钥遭到破坏或者丢失,你就不可能再得到客户的信任。这样就需要在SSL顶级授权机构申请添加一个新的身份验证方法,以使您的用户或者客户承认你的身份。不管怎样,SSL代理都可为客户在连接后端网络资源前提供强大的身份验证。SSL代理可以执行比后端资源自身的身份验证方法更加强大的身份验证,许多Web服务器自身并不支持比SSL更加强大的身份验证方法。

二、SSL通信的工作原理
    SSL
协议的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过3个元素来完成:
    
1)握手协议:这个协议负责被子用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
    
2)记录协议:这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。
    
3)警告协议:这个协议用于每时示在什么时候发生了错误或两个主机之间的会话在什么时候终止。
SSL协议通信的握手步骤如下:
1步,SSL客户机连接至SSL服务器,并要求服务器验证它自身的身份;
2步,服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链,直到某个根证书颁发机构(CA)。通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性。
3步,服务器发出一个请求,对客户端的证书进行验证,但是由于缺乏公钥体系结构,当今的大多数服务器不进行客户端认证。
4步,协商用于加密的消息加密算法和用于完整性检查的哈希函数,通常由客户端提供它支持的所有算法列表,然后由服务器选择最强大的加密算法。
5步,客户机和服务器通过以下步骤生成会话密钥:
·客户机生成一个随机数,并使用服务器的公钥(从服务器证书中获取)对它加密,以送到服务器上。
·服务器用更加随机的数据(客户机的密钥可用时则使用客户机密钥,否则以明文方式发送数据)响应。
·使用哈希函数从随机数据中生成密钥。

三、SSL ***的主要优势和不足

上面我们介绍了有关SSL ***的一些基本情况,但是就像任何新技术的产生一样,相对传统的技术肯定会存在一些重要的优点,当然不足之处通常也是有的,下面就分别予以介绍。

1SSL ***的主要优点

这样一种新型的***技术主要优势体现在哪里呢?目前这种***技术的应用正逐渐呈上升趋势,原因何在呢?下面就是几个主要的方面:

1)无需安装客户端软件:在大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件。只需通过标准的Web浏览器连接因特网,即可以通过网页访问到企业总部的网络资源。这样无论是从软件协议购买成本上,还是从维护、管理成本上都可以节省一大笔资金,特别是对于大、中型企业和网络服务提供商。

2)适用大多数设备:基于Web访问的开放体系可以在运行标准的浏览器下可以访问任何设备,包括非传统设备,如可以上网的电话和PDA通讯产品。这些产品目前正在逐渐普及,因为它们在不进行远程访问时也是一种非常理想的现代时尚产品。

3)适用于大多数操作系统:可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问,不管操作系统是WindowsMacintoshUNIX还是 Linux。可以对企业内部网站和Web站点进行全面的访问。用户可以非常容易地得到基于企业内部网站的资源,并进行应用。

4)支持网络驱动器访问:用户通过SSL ***通信可以访问在网络驱动器上的资源。

5)良好的安全性:用户通过基于SSLWeb访问并不是网络的真实节点,就像IPSec安全协议一样。而且还可代理访问公司内部资源。因此,这种方法可以非常安全的,特别是对于外部用户的访问。

6)较强的资源控制能力:基于Web的代理访问允许公司为远程访问用户进行详尽的资源访问控制。

7)减少费用:为那些简单远程访问用户(仅需进入公司内部网站或者进行Email通信),基于SSL ***网络可以非常经济地提供远程访问服务。

8)可以绕过防火墙和代理服务器进行访问:基于SSL的远程访问方案中,使用NAT(网络地址转换)服务的远程用户或者因特网代理服务的用户可以从中受益,因为这种方案可以绕过防火墙和代理服务器进行访问公司资源,这是采用基于IPSec安全协议的远程访问所很难或者根本做不到的。
 
解读SSL ***技术(二)

你可能感兴趣的:(解读SSL ***技术(一))