《SSL技术、软件VPN技术、硬件VPN――技术的介绍、分析和比较.doc》由会员分享,可在线阅读,更多相关《SSL技术、软件VPN技术、硬件VPN――技术的介绍、分析和比较.doc(9页珍藏版)》请在三一办公上搜索。
1、 SSL技术、软件VPN技术、硬件VPN技术的介绍、分析和比较一、SSL技术原理介绍和分析:SSL是一种在Web服务协议 (HTTP) 和 TCP/IP 之间提供数据连接安全性的协议。这种安全性协议被称为安全套接字层Security Socket Layer (SSL)。它为 TCP/IP 连接提供数据加密、服务器身份验证和消息完整性验证。SSL被视为 Internet 上 Web 浏览器和服务器的安全标准。SSL 提供了用于启动 TCP/IP 安全连接的“信号交换”机制。信号交换机制协调客户和服务器使用的安全性级别,并履行连接的身份验证。此后,SSL 的作用是加密和解密要使用的应用程序协议的
2、字节流(例如 HTTP数据包)。这意味着 HTTP 请求和 HTTP 响应中的所有信息将完全被加密,包括客户请求的 URL地址,表单提交内容(例如信用卡号)、 HTTP 访问身份验证信息以及从服务器返回到客户的所有信息。SSL协议保证了在Internet上交换信息双方的信息安全性和可靠性。服务器证书用来在Internet上标识一台服务器的身份,服务器证书是 Web 服务器 SSL 安全功能的基础。来自第三方身份认证机构的服务器证书提供用户验证 Web 站点的方法。利用 SSL,Web 服务器还可以通过检查客户证书的内容来验证用户。典型的客户证书包含用户和证书发行机构的详细标识信息。综合使用客户
3、证书标识和 SSL,能够实现身份认证功能和防止信息篡改。利用 SSL,服务器和用户 Web 浏览器首先参与处理交换 需要证书和密钥对 , 以决定安全通讯需要的加密等级。此交换要求 Web 服务器和用户浏览器都具有兼容的加密和解密能力。交换的最后结果是创建(通常由 Web 浏览器)会话密钥。服务器和 Web 浏览器都使用会话密钥加密和解密传输的信息。此会话密钥的加密度(或强度)用位来表示。构成会话密钥的位数越大或越长,加密和安全的等级就越高。Web 服务器的会话密钥一般为 40 位长,但实际上可以更长。Web 服务器使用本质上相同的加密方法来维护与用户的通讯链接的安全。建立安全链接后,Web 服
4、务器和用户 Web 浏览器都使用指定的会话密钥来加密和解密信息。例如,当经认证的用户企图从要求安全通道的 Web 站点下载文件时,Web 服务器使用会话密钥加密此文件和相关的 HTTP 标题。接收到加密文件后,Web 浏览器将使用相同会话密钥的副本还原此文件。这种加密方法尽管安全,但存在先天不足,在创建安全链接过程期间,会话密钥的副本可能会在不安全的网络上传输。这意味着要危害链接的计算机破坏者只需要截取和偷窃此会话密钥就可以了。要防止这种可能性,Web 服务器可使用其他加密方法。 Web 服务器的安全套接字层 (SSL) 安全功能使用公开密钥加密技术来保护此密钥以防在传输期间被截取。二、VPN
5、(软件和硬件)技术原理介绍和分析:、 VPN的介绍和分析:)VPN的安全目标:VPN的目标是保护通信的安全,而安全大体上可以分为三个方面:加密、验证和数据完整性。每一种VPN技术实现时经常兼顾到所有这三个方面,但也有可能某一技术并不实现所有功能,并在可能的时候把其它的功能交给与它配合使用的技术完成。l 加密加密用于保证只有通信的对方才能解密数据,获得传递的信息;任何第三方即使窃听到通信的数据,也不可能以可以接受的开销(CPU,时间等)来破译数据。加密通信中传输数据时,出于对性能的考虑,比较一致的做法是数据主要采用对称密钥算法加密,比较通用的算法有:DES,3DES,IDEA等。为解决对称密钥算
6、法中密钥的保存、管理和共享等问题,经常在正式通信前先进行密钥交换过程,通过公钥体制的算法解决密钥的安全问题,用的比较多的是Diffie-Hellman算法。l 验证验证是指收到信息的一方通过某种方式确认通信对方身份的真实性,以避免其它用户通过假冒别人的身份来骗取信息。验证一般采取数字签名的方式进行,由证书体制来保证对方身份的真实性。RSA算法,以及比较新的DSS(数字签名标准)经常用来做数字签名。l 数据完整性 数据完整性是指用户发出的信息能够保持原样到达目的地,在传输途中不被修改,无论是恶意篡改还是由于线路问题引起的失真,都应该能够避免。 保证数据完整性的基本技术是“消息验证码”(MAC,M
7、essage Authentication Codes)技术,它采用特定的算法,并结合一个密钥来生成数据的摘要,接收方通过重新生成摘要并进行验证确认数据的完整性。生成摘要时经常采用哈希(HASH)算法,使用哈希算法的MAC称为HMAC(Keyed-Hashing for Message Authentication,RFC2104)。)VPN的应用平台:VPN的应用必须依赖于专门或辅助的软件或硬件平台,其目的是为了“Tunnel”数据,所谓“Tunnel”是指将传输协议和数据封装于基于IP或其他标准协议网络(如Internet)的过程。VPN的应用平台VPN的应用平台为三类,它们是:softw
8、are-only、专用硬件平台和辅助硬件平台。VPN设备选择的标准主要取决于应用程序的运行、安全级别的要求和应用性能的要求。software-only VPN:当数据连接速率很低,对性能和安全性要求不高时,可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN的功能,这些软件公司有:Checkpoint software和Aventail Corp.等。专用硬件平台VPN:使用专用硬件平台的VPN设备可以满足企业和个人用户对数据安全及通信性能的需求,尤其是从通信性能的角度来看,指定的硬件平台可以完成数据加密及数据乱码等对CPU处理要求很高的功能,提供这些平台的硬件厂商包括:Ba
9、y Networks、Cisco、3Com等。辅助硬件平台的VPN这类VPN的应用介于software-only VPN和指定硬件平台的VPN之间,辅助硬件平台的VPN主要是指以现有网络设备为基础,再增添适当的VPN软件性能以实现VPN的功能。、 软件VPN技术原理介绍和分析:这里主要介绍采用IPSec协议保护通信中数据安全的软件VPN。采用IPSec协议的VPN通过公众网络建立了私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来。与远程网络通信时只需拨入本地的ISP,这使得企业的远程访问费用大为减少,同时提供了安全的端到端的数据通讯。IPSec是IETF制订的网络层安全协
10、议,它是一个开放的架构,定义了网络层安全的基本结构,允许加入各种新的加密算法。IPv6标准中要求实现IPSec。由于IPSec是一个规范协议,实现了IPSec的各种产品之间可以没有任何困难地进行通信。就是说,安装了这种软件VPN的计算机不仅能与其它安装了该软件VPN的计算机进行安全通信,也能够与没有安装VPN,但安装了其它支持IPSec的软件的计算机进行安全通信。IPSec是工作于IP层的安全协议,而TCP/IP是Internet使用的唯一的标准协议,这就决定了IPSec的应用面会很广泛。另外,在局域网中,TCP/IP也是使用得最多的协议,虽然在局域网上有一些其它的通信协议,但主流的操作系统,
11、比如Windows/Linux等,无不把TCP/IP作为最主要的通信协议。IPSec本来就是被设计成用于对等主机之间的通信,而VPN就是利用了这一点,使用它来保护局域网和其它对等情况下的通信、硬件VPN技术原理介绍和分析: 这里主要介绍一下采用IETF SOCKS v5标准作为开发标准的硬件VPN,它的主要功能是提供客户机/服务器方式的安全拨号网关。客户机端实现的功能是应用Microsoft Layered Service Provider结构,监听Winsock调用。如果客户访问的网络资源是客户配置文件中的网络资源,客户端程序将访问请求转化为到服务器的1080端口(SOCKS v5端口),由
12、VPN服务器验证用户身份,进行传输加密和访问控制。如果客户访问的网络资源不是受保护的资源,则将访问请求直接提交给到系统的Winsock DLL。采用SOCKS协议开发的产品实际上属于VPN的一种。VPN不是防火墙,尽管能够提供一些与防火墙相同的安全控制能力,例如根据源网络地址和目标网络地址的安全控制规则等等。但是,防火墙是用来阻塞外部攻击和路由指定类型的网络通信,而VPN则是用来管理外部人员对企业内部网络资源的访问。在大多数情况下,VPN可以与防火墙结合起来,为企业提供最佳的安全控制和访问服务。建议将VPN服务器放到防火墙之内,即非军事区。典型的配置是防火墙被配置为允许所有对VPN服务器108
13、0端口的访问请求。三、SSL技术、软件VPN技术、硬件VPN的综述: 、SSL技术能满足互联网络和电子商务对信息保护的需求。在Internet网应用中,人们使用最多的是通过浏览器浏览各类网站,在网站中查询所需要的资料、检索感兴趣的话题,同时随着电子商务的迅速崛起,人们还可以在网上购物。因此,在很多情况下用户需要向网站发送个人信息,甚至在电子商务应用中还需要向网站发送用户的购物信息等商业资料。这一切都需要对用户的个人信息进行加密保护,为用户的浏览提供一个安全的通道。SSL协议的推出顺应了这种要求。标准的SSL链接能在用户的浏览器和WEB服务器之间建立一条40位的加密通道,但是这种SSL链接由于其
14、技术上的局限性和浏览器自身特性的制约仍存在着很多不足之处。、软件VPN技术在防止黑客攻击上的本领:软件VPN 采用IPSec协议,它是工作于IP层的安全协议。由于TCP/IP是Internet上的标准协议,所以许多黑客的攻击手段就是通过TCP/IP的安全漏洞实现。在通信中,实际的数据被包装到一个个数据包中,这些数据包包含两个部分:实际的数据;关于这个包的一些控制信息。对于一个黑客,他可以对其中的任何一部分或者两个部分都感兴趣。获得通信的数据,就是截获了他人的信息,这是许多黑客的目的。另外,他们获得关于通信的控制信息后,就可以冒名与通信的一方或双方进行通信,从而可以获得更多需要的数据。或者他可以
15、在日后重新发送他窃听得到的数据,达到一些目的。他也可以修改通信的数据,欺骗通信的双方。下面让我们看一下IPSec是如何防止这些攻击的。l 通信中的数据被加密,加密采用的密钥由通信双方在通信初始化时生成,并且随时更换,窃听方不可能得到密钥,也就不能解密通信数据。这就保证了数据不被窃取;l 通信的包中的控制信息同时也被加密,这就使得窃听者无法获得他感兴趣的任何信息;l 在建立安全连接之前,通信双方通过可靠的方法(通常采用证书)验证对方的身份,这就保证了用户确实是与他想通信的对方进行通信,而黑客不能通过验证,也就不能冒充用户与另一方进行通信;l 在通信的数据包中包含时间印记,使得数据具有时效性,黑客
16、如果想保存通信的包,以后再重发以达到某种目的,就不会成功;l 在通信的数据包中包含自身的摘要信息,如果黑客企图修改这个包,就不能通过接收方的验证,这就保证了接受方收到的数据在传输途中未被篡改。、 采用IETF SOCKS v5标准的硬件VPN的优点和缺点:SOCKS v5和SSL一同使用时,提供了建立与任何防火墙兼容的高安全的VPN技术。它特别适合于高要求的安全性场合,因为它的强项是访问控制策略。SOCKS v5的优点:SOCKS v5控制会话、链路层中的数据流向,可以映射为OSI网络模型的第五层。所以,它提供了比底层协议更加复杂的访问控制技术。SOCKS v5基于会话的基础,在客户和主机之间
17、建立一个虚拟链路,根据用户身份认证提供了监视和强大的访问控制能力,无需重新配置每个应用。因为SOCKS v5和SSL工作在会话层,它们具有无可比拟的互操作性,与IPv4、IPSec、PPTP、L2TP和任何底层VPN协议无缝兼容。另外,SOCKS v5 和SSL能够和应用相关,提供复杂的安全控制能力。SOCKS v5 可以作为直接VPN连接,这种连接通过代理来保护目标主机。当用户使用防火墙时,数据包通过防火墙的单一端口(缺省端口1080)传送给代理服务器,代理再进行过滤,将数据直接发送给目标主机。这可以避免系统管理员在防火墙中为不同的应用打开多个端口(同时也打开了多个漏洞)。VPN代理服务器可
18、以隐藏内部网络的地址结构,使秘密数据更加难以破解。VPN设计的另外一个优势是它对客户是透明的,在客户的计算机中透明运行,对网络传输保持透明,不象底层协议经常需要替换Winsock DLL、TCP/IP栈。SOCKS v5具有高度的灵活性。可以非常容易地与多种安全技术和平台协同工作。它能够为许多验证、加密和密钥管理提高模块化的plug-in支持,允许IS管理员随意采用符合自己需要的最好技术。这种“Plug&Play”方式还包括访问控制工具、协议过滤、内容过滤、流量监测、报表和系统管理。SOCKS v5能够过滤数据流和应用,包括Java Applets和ActiveX控制。SOCKS v5是唯一一个能够与其它VPN协议互操作的VPN协议,例如PPTP、IPSec和L2TP。由于SOCKS v5被设计用于高级安全环境,估计SOCKS v5能够被用于高安全的远程访问控制和虚拟专用网。SOCKS v5的缺点:用于SOCKS v5通过代理加入了安全控制层,性能可能会受到一定的影响,具体的影响是与实现相关的。另外,尽管它能够提高更高级的安全性,但同时也需要额外的安全控制管理。另外,还需要客户端的软件以通过防火墙建立连接。
