×××--SSL 介紹
就在當前大多數遠程訪問解決方案是利用基於IPSec安全協議的×××網絡的情況下,一種最新的研究表明近乎90%的企業利用×××進行的內部網和外部網的聯接都只是用來進行因特網訪問和電子郵件通信,另外10%的用戶是利用諸如x11、聊天協議和其它私有客戶端應用,屬非因特網應用。而這些90%的應用都可以利用一種更加簡單的×××技術--SSL ×××來提供更加有效的解決方案。基於SSL協議的×××遠程訪問方案的更加容易配置和管理,網絡配置成本比起目前主流的IPSec ×××還要低許多,所以許多企業已經開始轉而利用基於SSL加密協議的遠程訪問技術來實現×××通信了。
一、 SSL基礎
×××技術可以擴展企業的內部網絡,使在外工作的員工和合作伙伴通過標準、公用的因特網訪問他們的內部網絡。它相對傳統的專線網絡方案的主要優勢是各項費用將大大降低。專線網絡需要在合作伙伴或者遠程員工與公司總部之間有一個物理封閉的網絡連接,或者採用遠程撥號訪問方案,或者採用T1之類的數字專線連接。×××是一個非常實用的技術,它允許客戶(包括員工)和合作伙伴利用標準的因特網進行廉價連接,它允許採用IPSec安全協議方案。事實上,在×××技術中包括許多加密和安全協議,SSL就是其中一個,同樣主流×××應用的IPSec也是其中的一種。所以總的來說IPSec ×××與SSL ×××是×××技術在兩種不同的安全協議下實現×××通信的兩種平等方案。所以理解SSL ×××的關鍵就在於理解SSL這一安全協議。
SSL的英文全稱是“Secure Sockets Layer”,中文名爲“安全套接層協議層”,它是網景(Netscape)公司提出的基於WEB應用的安全協議。SSL協議指定了一種在應用程序協議(如Http、Telenet、NMTP和FTP等)和TCP/IP協議之間提供數據安全性分層的機制,它爲TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。
對於電子商務應用來說,使用SSL可保證信息的真實性、完整性和保密性。但由於SSL不對應用層的消息進行數字簽名,因此不能提供交易的不可否認性,這是SSL在電子商務中使用的最大不足。有鑑於此,網景公司在從Communicator 4.04版開始的所有瀏覽器中引入了一種被稱作“Form Signing”(表單簽名)的功能,在電子商務中,可利用這一功能來對包含購買者的訂購信息和付款指令的表單進行數字簽名,從而保證交易信息的不可否認性。綜上所述,在電子商務中採用單一的SSL協議來保證交易的安全是不夠的,但採用"SSL+表單簽名"模式能夠爲電子商務提供較好的安全性保證。因它是一個應用層協議,所以通常SSL (Secure socket Layer)安全套接層協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性,它不能保證信息的不可抵賴性,主要適用於點對點之間的信息傳輸,常用Web Server方式。
SSL與IPSec安全協議一樣,也可提供加密和身份驗證安全方法。但是不管怎樣,SSL協議只對通信雙方所進行的應用通道進行加密,而不是對從一個主機到另一主機的整個通道進行加密。因爲絕大多數客戶應用,是不必加密從一個系統到另一個系統的整個通道的,僅加密應用數據這一方案更顯恰當。
“加密”和“安全”協議都是屬於傳輸協議,它們是用來確保重要數據的安全轉輸。加密是任何安全協議的核心技術,它相對採用明文密碼加密或者不經過加密數據有3方面的優勢:
·數據的私密性:在傳輸過程中可以使數據保持隱藏,不被非法查看;
·數據的真實性和完整性:因爲在有關數字加密、安全協議有關的技術可以確保數據在傳輸過程中不被修改或者損壞;
·連接的可靠性:數據加密的另一個數學特徵是可以證明事件的發生。在使用SSL協議的通信中,每一個應用是一個安全的獨立體,而不像IPSec那樣,操作與應用脫節。要使用SSL協議進行×××通信,則所進行的遠程通信應用必須能識別SSL技術,不過現在常見的應用一般都能識別SSL技術的,如IE、Netscape瀏覽器,OutLook、 Eudora 郵件應用等。
目前SSL ×××主要應用於採用×××與遠程網絡進行通信的應用主要是基於Web的客戶,這些Web應用目前主要是內部網頁遊覽、電子郵件及其它基於Web的查詢工作。
在SSL ×××通信中通常還合用一種SSL Proxy(SSL代理)的技術來提高×××服務器的通信性能和安全身驗證能力,主要表面在以下兩個方面:
(1)增加通信連接的性能
SSL本身就是一種非常快的協議,像所有加密協議一樣, 在安全的通信建立之前它必須採用專門的CPU來提高數學運算速度。其中的一個運算法則就是RSA,RSA運算法則是採用SSL協議在客戶端和服務器端傳遞密鑰的。許多Modem撥號Web服務器,大約每秒可經接受75個新的SSL連接,每一個新的連接RSA都必須完成翻譯和檢驗工作。如果系統每秒所有接受超過75個,CPU的利用率就會超過可接受有極限而停止對新的網絡連接請求進行響應。
爲了提高服務器的接受能力,SSL代理可以採用SSL加速器技術。一個SSL加速器就像一個486SX/DXPC機上的核心處理器一樣。SSL加速器就可以分擔服務器CPU的計算任務,通過加速後,一部只能完成接受每秒75個SSL連接的服務器,就可達到接受每秒800個以上連接的性能。
你可能對如果在你的服務器有一個SSL加速器時,爲什麼還需要SSL代理產生疑惑。事實上理解起來非常簡單,還是一個節省資金的問題。對於一個大、中型企業,或者網絡服務提供商,通常可能有多臺接入服務器,如果沒有SSL代理技術,則你有多少服務器需要SSL加速器,就得需要大筆的資金爲每一臺服務器都配置SSL加速器S。SL代理的好處就是可以使多臺服務器共用一個SSL加速器。
從安全代理到網絡代理,例如你現在可以開通每鈔800條SSL連接來訪問你的資源,而只需要維護後端服務器的一個SSL代理連接。注意安全代理可以減少在後端服務器中打開的SLL連接數量,儘管服務器每秒的連接達到800個。這樣的好處就是使你的服務器的SSL連接永遠不會超出負荷。
(2)內置身份驗證
商業SSL協議的另一個優勢就是內置身份驗證方法。SSL協議的身份驗證方法包括在服務器端和客戶端進行的密碼身份驗證方法。不管怎樣,所有安全都是基於一個理論:客戶端的私鑰密碼要求安全保管。如果這個密鑰遭到破壞或者丟失,你就不可能再得到客戶的信任。這樣就需要在SSL頂級授權機構申請添加一個新的身份驗證方法,以使您的用戶或者客戶承認你的身份。不管怎樣,SSL代理都可爲客戶在連接後端網絡資源前提供強大的身份驗證。SSL代理可以執行比後端資源自身的身份驗證方法更加強大的身份驗證,許多Web服務器自身並不支持比SSL更加強大的身份驗證方法。
一、 SSL基礎
×××技術可以擴展企業的內部網絡,使在外工作的員工和合作伙伴通過標準、公用的因特網訪問他們的內部網絡。它相對傳統的專線網絡方案的主要優勢是各項費用將大大降低。專線網絡需要在合作伙伴或者遠程員工與公司總部之間有一個物理封閉的網絡連接,或者採用遠程撥號訪問方案,或者採用T1之類的數字專線連接。×××是一個非常實用的技術,它允許客戶(包括員工)和合作伙伴利用標準的因特網進行廉價連接,它允許採用IPSec安全協議方案。事實上,在×××技術中包括許多加密和安全協議,SSL就是其中一個,同樣主流×××應用的IPSec也是其中的一種。所以總的來說IPSec ×××與SSL ×××是×××技術在兩種不同的安全協議下實現×××通信的兩種平等方案。所以理解SSL ×××的關鍵就在於理解SSL這一安全協議。
SSL的英文全稱是“Secure Sockets Layer”,中文名爲“安全套接層協議層”,它是網景(Netscape)公司提出的基於WEB應用的安全協議。SSL協議指定了一種在應用程序協議(如Http、Telenet、NMTP和FTP等)和TCP/IP協議之間提供數據安全性分層的機制,它爲TCP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。
對於電子商務應用來說,使用SSL可保證信息的真實性、完整性和保密性。但由於SSL不對應用層的消息進行數字簽名,因此不能提供交易的不可否認性,這是SSL在電子商務中使用的最大不足。有鑑於此,網景公司在從Communicator 4.04版開始的所有瀏覽器中引入了一種被稱作“Form Signing”(表單簽名)的功能,在電子商務中,可利用這一功能來對包含購買者的訂購信息和付款指令的表單進行數字簽名,從而保證交易信息的不可否認性。綜上所述,在電子商務中採用單一的SSL協議來保證交易的安全是不夠的,但採用"SSL+表單簽名"模式能夠爲電子商務提供較好的安全性保證。因它是一個應用層協議,所以通常SSL (Secure socket Layer)安全套接層協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性,它不能保證信息的不可抵賴性,主要適用於點對點之間的信息傳輸,常用Web Server方式。
SSL與IPSec安全協議一樣,也可提供加密和身份驗證安全方法。但是不管怎樣,SSL協議只對通信雙方所進行的應用通道進行加密,而不是對從一個主機到另一主機的整個通道進行加密。因爲絕大多數客戶應用,是不必加密從一個系統到另一個系統的整個通道的,僅加密應用數據這一方案更顯恰當。
“加密”和“安全”協議都是屬於傳輸協議,它們是用來確保重要數據的安全轉輸。加密是任何安全協議的核心技術,它相對採用明文密碼加密或者不經過加密數據有3方面的優勢:
·數據的私密性:在傳輸過程中可以使數據保持隱藏,不被非法查看;
·數據的真實性和完整性:因爲在有關數字加密、安全協議有關的技術可以確保數據在傳輸過程中不被修改或者損壞;
·連接的可靠性:數據加密的另一個數學特徵是可以證明事件的發生。在使用SSL協議的通信中,每一個應用是一個安全的獨立體,而不像IPSec那樣,操作與應用脫節。要使用SSL協議進行×××通信,則所進行的遠程通信應用必須能識別SSL技術,不過現在常見的應用一般都能識別SSL技術的,如IE、Netscape瀏覽器,OutLook、 Eudora 郵件應用等。
目前SSL ×××主要應用於採用×××與遠程網絡進行通信的應用主要是基於Web的客戶,這些Web應用目前主要是內部網頁遊覽、電子郵件及其它基於Web的查詢工作。
在SSL ×××通信中通常還合用一種SSL Proxy(SSL代理)的技術來提高×××服務器的通信性能和安全身驗證能力,主要表面在以下兩個方面:
(1)增加通信連接的性能
SSL本身就是一種非常快的協議,像所有加密協議一樣, 在安全的通信建立之前它必須採用專門的CPU來提高數學運算速度。其中的一個運算法則就是RSA,RSA運算法則是採用SSL協議在客戶端和服務器端傳遞密鑰的。許多Modem撥號Web服務器,大約每秒可經接受75個新的SSL連接,每一個新的連接RSA都必須完成翻譯和檢驗工作。如果系統每秒所有接受超過75個,CPU的利用率就會超過可接受有極限而停止對新的網絡連接請求進行響應。
爲了提高服務器的接受能力,SSL代理可以採用SSL加速器技術。一個SSL加速器就像一個486SX/DXPC機上的核心處理器一樣。SSL加速器就可以分擔服務器CPU的計算任務,通過加速後,一部只能完成接受每秒75個SSL連接的服務器,就可達到接受每秒800個以上連接的性能。
你可能對如果在你的服務器有一個SSL加速器時,爲什麼還需要SSL代理產生疑惑。事實上理解起來非常簡單,還是一個節省資金的問題。對於一個大、中型企業,或者網絡服務提供商,通常可能有多臺接入服務器,如果沒有SSL代理技術,則你有多少服務器需要SSL加速器,就得需要大筆的資金爲每一臺服務器都配置SSL加速器S。SL代理的好處就是可以使多臺服務器共用一個SSL加速器。
從安全代理到網絡代理,例如你現在可以開通每鈔800條SSL連接來訪問你的資源,而只需要維護後端服務器的一個SSL代理連接。注意安全代理可以減少在後端服務器中打開的SLL連接數量,儘管服務器每秒的連接達到800個。這樣的好處就是使你的服務器的SSL連接永遠不會超出負荷。
(2)內置身份驗證
商業SSL協議的另一個優勢就是內置身份驗證方法。SSL協議的身份驗證方法包括在服務器端和客戶端進行的密碼身份驗證方法。不管怎樣,所有安全都是基於一個理論:客戶端的私鑰密碼要求安全保管。如果這個密鑰遭到破壞或者丟失,你就不可能再得到客戶的信任。這樣就需要在SSL頂級授權機構申請添加一個新的身份驗證方法,以使您的用戶或者客戶承認你的身份。不管怎樣,SSL代理都可爲客戶在連接後端網絡資源前提供強大的身份驗證。SSL代理可以執行比後端資源自身的身份驗證方法更加強大的身份驗證,許多Web服務器自身並不支持比SSL更加強大的身份驗證方法。