通常的連接方式中,通信是以非加密的形式在網絡上傳播的,這就有可能被非法竊聽到,尤其是用於認證的口令信息。爲了避免這個安全漏洞,就必須對傳輸過程進行加密。對HTTP傳輸進行加密的協議爲HTTPS,它是通過SSL(Secure socketlayer)進行HTTP傳輸的協議,不但通過公用密鑰的算法進行加密保證傳輸的安全性,而且還可以通過獲得認證證書CA,保證客戶連接的服務器沒有被假冒。
使用公用密鑰的方式可以保證數據傳輸沒有問題,但如果瀏覽器客戶訪問的站點被假冒,這也是一個嚴重的安全問題。這個問題不屬於加密本身,而是要保證密鑰本身的正確性問題。要保證所獲得的其他站點公用密鑰爲其正確的密鑰,而非假冒站點的密鑰,就必須通過一個認證機制,能對站點的密鑰進行認證。當然即使沒有經過認證,仍然可以保證信息傳輸安全,只是客戶不能確信訪問的服務器沒有被假冒。如果不是爲了提供電子商務等方面對安全性要求很高的服務,一般不需要如此嚴格的考慮。
一、SSL協議工作機制
SSL除了可以用在Web服務器與瀏覽器之間信息交換以外,還可以支持其他我們所熟識的網絡應用。以TCP/IP網絡層來看,SSL是定位在網絡層之上的應用協議,如圖:
HTTP FTP SMTP
Secure Socket Layer
TCP層
IP層
任何以TCP/IP層以上的網絡協議SSL都可以支持,因此HTTP、FTP、SMTP等等皆是SSL的保護範圍。SSL協議一共包含兩個部分:SSLHandshake協議和SSL Record協議。前者是負責通信前的一些參數協商,後者則是定義SSL的內部數據格式。
SSL Handshake協議
SSL中Handshake協議可以說是SSL的前置步驟,就好象初次見面的兩個人回先自我介紹一番再開始談話一樣。通信的雙方(商店的服務器與客戶計算機)先進行“溝通”與“協調”有關SSL通信的參數設置,其中包括:
※通信中所使用的SSL版本。
※信息加密用的算法
※客戶端的身份驗證要求
※所使用的公開金鑰算法
這個協議的餓大致步驟如下:
(1)Client Hello:首先,由客戶端計算機向服務器Say Hello,並同時將客戶端計算機所能支持的安全模塊告訴對方,以便溝通。信息內容包括:SSL協議版本、本次聯機的餓識別碼以及加密模塊等。
(2)Server Hello:這時商店端服務器在收到這個信息後,立即送出包含以下信息的響應信息給客戶端:
※服務器的數字證書,讓客戶端可以檢查服務器的身份。
※如果服務器要求雙方相互認證的話,則送出“認證請求”的信息。要求客戶端也提出識別身份的數字證書。(淘寶的帳單支付就是這樣)
※服務器用來加密的密鑰。
(3)加解密參數:當客戶端收到服務器的信息後,就可根據要求來響應,並且也將客戶端的公用金鑰也送給對方,作爲後續信息的加解密之用。到這個階段爲止,通信雙方都已經達成了共識,並準備傳送真正的信息內容。
(4)HTTP數據流:協調的工作已經大功告成了!這時雙方就可以HTTP協議來進行數據交換了。
SSL Record協議
顧名思義Record協議,是在描述SSL信息交換的過程中的記錄格式。SSL協議是介於應用層和網絡層之間,因此它回接收來自應用層的信息,並加以包裝後交由下一層(也就是網絡層來傳送)。
二、關於HTTPS SSL證書問題
SSL證書是在SSL通信中驗證通信雙方身份的數字文件。SSL證書一般分爲服務器證書和客戶端證書,我們通常說的SSL證書主要指服務器證書。目前的SSL證書以X.509 V3爲標準,每個證書綁定了一個唯一甄別名(DN-Distinguished Name ),還可以包含多個字段和值,還可以支持別名(SAN ,Subject Alternative Name )。
主流瀏覽器:IE、Netscape/Mozilla,Opera和Safari會預先安裝一部分根證書,這些根證書都是受信任的證書認證機構CA,這樣他們頒發的證書,瀏覽器將可以直接信任。雖然用戶可以刪除或者禁用這些根證書,但事實上,用戶很少這麼做。在最新的微軟平臺,甚至會在用戶移除了預先安置的根證書後,當用戶再訪問這些被刪除的根證書網站的時候,會自動將這些根證書恢復到信任列表中。
SSL證書的工作流程
※用戶連接到你的Web站點,該Web站點受服務器證書所保護。(可由查看 URL的開頭是否爲"https:"來進行辯識,或瀏覽器會提供你相關的信息)。
※你的服務器進行響應,並自動傳送你網站的數字證書給用戶,用於鑑別你的網站。(此證書的根證書如果不在瀏覽器中已安裝的受信任機構根證書列表中,則瀏覽器會發出警告,提示用戶正在訪問一個不安全的網站!)
※用戶的網頁瀏覽器程序產生一把唯一的"會話鑰匙碼",用以跟網站之間所有的通訊過程進行加密。
※使用者的瀏覽器以網站的公鑰對交談鑰匙碼進行加密,以便只有讓你的網站得以閱讀此交談鑰匙碼。
※現在,具有安全性的通訊過程已經建立。這個過程僅需幾秒中時間,且使用者不需進行任何動作。依不同的瀏覽器程序而定,使用者會看到一個鑰匙的圖標變得完整,或一個門栓的圖標變成上鎖的樣子,用於表示目前的工作階段具有安全性。
如何申請SSL證書
申請SSL證書主要需要經過以下3個步驟:
1、製作CSR文件。CSR就是Certificate Secure Request證書請求文件。這個文件是由申請人制作,在製作的同時,系統會產生2個密鑰,一個是公鑰就是這個CSR文件,另外一個是私鑰,存放在服務器上。要製作CSR文件,申請人可以參考WEB SERVER的文檔,一般APACHE等,使用OPENSSL命令行來生成KEY+CSR2個文件,Tomcat,JBoss,Resin等使用KEYTOOL來生成JKS和CSR文件,IIS通過嚮導建立一個掛起的請求和一個CSR文件。如果不願意學習文檔,可以使用一些在線工具,如: https://www.myssl.cn/openssl/createcsr.asp ,通過這些工具會產生2個文件,必須都保存好。
2、CA認證。將CSR提交給CA,CA一般有2種認證方式:1、域名認證,一般通過對管理員郵箱認證的方式,這種方式認證速度快,但是簽發的證書中沒有企業的名稱;2、企業文檔認證,需要提供企業的營業執照。一般需要3-5個工作日。 也有需要同時認證以上2種方式的證書,叫EV證書,這種證書可以使IE7以上的瀏覽器地址欄變成綠色,所以認證也最嚴格(這個不是免費的,是需要年費的哦。當然也可以自己給自己認證,只不過不受瀏覽器信任)。
3、證書的安裝。在收到CA的證書後,可以將證書部署上服務器,一般APACHE文件直接將KEY+CER複製到文件上,然後修改HTTPD.CONF文件;TOMCAT等,需要將CA簽發的證書CER文件導入JKS文件後,複製上服務器,然後修改SERVER.XML;IIS需要處理掛起的請求,將CER文件導入。或者可以通過一些網絡工具 https://www.myssl.cn/guide/openssl.asp 將KEY和CER合併爲服務器可讀的證書格式,導入服務器。
三、關於SSL VPN
所謂的SSL VPN,指的是使用者利用瀏覽器內建的Secure Socket Layer封包處理功能,用瀏覽器連回公司內部SSL VPN服務器,然後透過網絡封包轉向的方式,讓使用者可以在遠程計算機執行應用程序,讀取公司內部服務器數據。它採用標準的安全套接層(SSL)對傳輸中的數據包進行加密,從而在應用層保護了數據的安全性。高質量的SSL VPN解決方案可保證企業進行安全的全局訪問。在不斷擴展的互聯網Web站點之間、遠程辦公室、傳統交易大廳和客戶端間,SSL VPN克服了IPSec VPN的不足,用戶可以輕鬆實現安全易用、無需客戶端安裝且配置簡單的遠程訪問,從而降低用戶的總成本並增加遠程用戶的工作效率。而同樣在這些地方,設置傳統的IPSec VPN非常困難,甚至是不可能的,這是由於必須更改網絡地址轉換(NAT)和防火牆設置。
![clip_image002[5]](http://hi.csdn.net/attachment/201101/30/0_1296374570hZOJ.gif "clip_image002[5]")
通過SSL VP N遠程訪問企業內部網絡的構架
SSL VPN的實現
簡單的來講,SSL VPN一般的實現方式是在企業的防火牆後面放置一個SSL代理服務器。如果用戶希望安全地連接到公司網絡上,那麼當用戶在瀏覽器上輸入一個URL後,連接將被SSL代理服務器取得,並驗證該用戶的身份,然後SSL代理服務器將提供一個遠程用戶與各種不同的應用服務器之間連接。掌握四個關鍵術語的含義有助於理解SSL VPN是如何實現的。即:代理、應用轉換、端口轉發和網絡擴展。
SSLVPN網關至少要實現一種功能:代理Web頁面。它將來自遠端瀏覽器的頁面請求(採用HTTPS協議)轉發給Web服務器,然後將服務器的響應回傳給終端用戶。
對於非Web頁面的文件訪問,往往要藉助於應用轉換。SSL VPN網關與企業網內部的微軟CIFS 或FTP服務器通信,將這些服務器對客戶端的響應轉化爲HTTPS協議和HTML格式發往客戶端,終端用戶感覺這些服務器就是一些基於Web的應用。
有一些應用,如微軟Outlook或MSN,它們的外觀會在轉化爲基於Web界面的過程中丟失。此時要用到端口轉發技術。端口轉發用於端口定義明確的應用。它需要在終端系統上運行一個非常小的Java或ActiveX程序作爲端口轉發器,監聽某個端口上的連接。當數據包進入這個端口時,它們通過SSL連接中的隧道被傳送到SSL VPN網關,SSL VPN網關解開封裝的數據包,將它們轉發給目的應用服務器。使用端口轉發器,需要終端用戶指向他希望運行的本地應用程序,而不必指向真正的應用服務器。
一些SSL VPN網關還可以幫助企業實現網絡擴展。它將終端用戶系統連接到企業網上,並根據網絡層信息(如目的IP地址和端口號)進行接入控制。雖然犧牲了高級別的安全性,卻也換來了複雜拓撲結構下網絡管理簡單的好處。
SSL VPN的優勢
在最重要的安全性方面,由於SSL協議本身就是一種安全技術,因此SSL VPN就具有防止信息泄漏、拒絕非法訪問、保護信息的完整性、防止用戶假冒、保證系統的可用性的特點,能夠進一步保障訪問安全,從而擴充了安全功能設施。首先SSL VPN可以實現128位數據加密,保證數據在傳輸過程中不被竊取,確保ERP數據傳輸的安全性。其次,多種認證和授權方式的使用能夠只讓“正確”的用戶訪問內部網絡,從而保護了企業內部網絡的安全性。
在應用性方面,SSL VPN不需要安裝客戶端軟件。遠程用戶只需藉助標準的瀏覽器連接Internet,即可訪問企業的網絡資源。這樣儘管購買軟件和硬件的費用不一定低,但是 SSL VPN的部署成本卻很低。只要安裝了SSL VPN,基本上就不需要IT部門的支持了,所以維護成本可以忽略不計。對於那些只需進入企業內部網站或者進行E-mail通信的遠程用戶來說,SSL VPN顯然是一個價廉物美的選擇。
此外,SSL VPN連接要比IPSec VPN更穩定,這是因爲IPSec VPN是網絡層連接,故容易中斷。而SSL協議只對通信雙方所進行的應用通道進行加密,而不是對從一個主機到另一主機的整個通道進行加密。除此之外,在管理維護和操作性方面,SSL VPN方案可以做到基於應用的精細控制,基於用戶和組賦予不同的應用訪問權限,並對相關訪問操作進行審計。此外,SSL VPN還提高了平臺的靈活性,方便擴展應用和增強性能,尤其是在降低使用成本、最有效地保護用戶投資這一敏感話題上,SSL VPN贏得了用戶最終的好感。
更值得一提的是,當今Web成爲標準平臺已勢不可擋,越來越多的企業開始將系統移植到Web上。而SSL VPN通過特殊的加密通訊協議,被認爲是實現遠程安全訪問Web應用的最佳手段,能夠讓用戶隨時隨地甚至在移動中連入企業內網,將給企業帶來很高的利益和方便。
無疑,伴隨企業信息化程度的加深,遠程安全訪問、協同工作的需求會日益明顯,SSL VPN技術由於擁有全方位的優勢,取代傳統的組網技術成爲主流已爲時不遠。
SSL VPN的應用
SSL VPN可以爲企業提供多種遠程訪問的服務。就下面常用服務進行介紹:
E-mail:對於企業來說,電子郵件通信是一個很基本的功能。IPSec VPN可以保護郵件系統的安全性,但是IPSec VPN需要安裝客戶端軟件並且連接企業網絡,然後才能使用內部的郵件系統。如果員工使用他人的電腦設備或者在其他的的網絡中時,就會面臨對方防火牆的地址轉換和安全策略帶來的障礙,無法連接企業網絡,從而無法使用內部郵件系統。外出的工作人員在酒店裏由於這些問題無法連接到企業內部網絡是非常讓人頭疼的問題。SSL VPN提供了一個比較好的方案,員工使用任何一個帶有瀏覽器的電腦就可以訪問基於Web的電子郵件系統,通過SSL VPN建立的安全通道收發郵件。SSL VPN還會把企業內部所有的域名和服務器地址隱藏起來,以提高企業網絡的安全性。
內部網訪問:即使不在辦公室,企業員工也需要使用內部網中的一些文件資源,但是一般情況下企業不會開放整個內部網絡以實現文件訪問。SSL VPN可以讓企業員工在任何地方,使用任何一個包含瀏覽器、連接到Internet的接入設備,實現對內部特定資源的訪問。
面向合作伙伴的網絡資源:爲了提高工作效率和加強合作關係,企業通常會對合作伙伴開放內部站點和網絡資源。考慮到企業信息的保密性,如何能保證只有指定的合作伙伴才能訪問相應的資源,以及保證信息在網絡上傳遞時不被截獲,就成爲企業必須解決的問題。IPSec VPN在部署時無法保證對最終用戶的訪問限制,即只允許合作伙伴訪問內部網絡中的指定資源,而且部署IPSec VPN會要求更改合作伙伴防火牆的安全策略,這是很難實現的。SSL VPN則完全不存在上述問題,企業甚至可以限制某一個合作伙伴只能訪問一個站點中的某些頁面和文件夾,並且不需要修改合作伙伴的安全策略,只要合作伙伴能夠訪問Internet即可。
目前形式
隨着Web應用的增多以及遠程接入需求的增長,SSL VPN正在成爲一個熱門市場。雖然目前大部分的遠程接入服務都是由IPSec VPN來實現的,不過業內人士指出,大約90%的企業利用IPSec VPN只是用來進行電子郵件通信以及訪問Web應用,只有10%的用戶利用IPSec VPN訪問非Web應用。也就是說目前90%的IPSec VPN應用都可以被SSL VPN來實現,而SSL VPN更加容易配置和管理,實現成本要比IPSec VPN低很多。 經過幾年的發展,如今許多的大型公司對SSL VPN技術趨之若鶩,吸引着包括思科、諾基亞、Array Networks等在內的國際知名廠商。目前,幾乎所有的主流商業瀏覽器都集成了SSL,實施SSL VPN不需要再安裝額外的軟件。Infonetics預測,在未來幾年,SSL VPN設備的全球銷售將會出現持續增長。SSL VPN爲運營商提供了新創收機遇,它爲運營商及最終用戶創造的優勢是以往任何技術都無法比擬的。現在,SSL VPN在一些1級運營商中的部署獲得成功,SSL VPN高速發展的時機已經到來