時間:2022-07-15 11:01:56
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇ssl協議,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1 引言:
隨著網絡安全意識的普遍提升,越來越多的網絡應用逐步采用了SSL加密傳輸。由于SSL技術采用了加密、認證、密鑰協商等機制來保障通信雙方數據傳輸的保密性、完整性和通信端點的認證,因此SSL協議目前在網銀交易、郵箱登陸、數據加密傳輸等方面得到了廣泛應用。但SSL協議在實現過程中為了滿足兼容性和易用性的要求,自身仍然存在一定的脆弱性問題,攻擊者可以利用SSL協議的弱點對其進行攻擊以獲取敏感信息。
2 SSL協議
安全套接層協議(SSL)是在Internet基礎上提供的一種保證私密性的安全協議。它能使客戶/服務器應用之間的通信不被攻擊者竊聽,并且始終對服務器進行認證,還可選擇對客戶進行認證。SSL協議是建立在可靠的傳輸層協議(如TCP)之上,同時與應用層協議獨立無關,高層的應用層協議(如:HTTP,FTP,TELNET等)能透明地建立于SSL協議之上(圖1所示)。
從SSL的發展過程來看,目前主要包含了三個版本:SSLv2、SSLv3、TSL。SSLv2的首要設計目標是為客戶端和服務器之間的傳輸提供保密性,但在協議安全性方面存在一定的安全隱患。SSLv3改善了SSLv2的部分安全性問題,采用了更多的加密算法,包括數字簽名標準DSS、DH協議等,以及支持防止對數據流進行截斷攻擊的關閉握手。TLS在SSLv3的基礎上又增強了對DH的支持和新的密鑰擴展。
SSL協議在實現過程中主要包括兩個階段:握手和數據傳輸階段。握手階段主要對服務器進行認證并確立用于保護數據傳輸的加密密鑰。SSL必須在傳輸應用數據之前完成握手,一旦握手完成,數據就被分成一系列經過保護的記錄進行傳輸。在傳輸片段之前,SSL協議通過計算數據的MAC來提供完整性保護,將MAC付加到片段的尾部,并對數據與MAC整合在一起的內容進行加密,以形成經過加密的負載,最后給負載裝上頭信息,其過程如圖2所示。
3 SSL協議脆弱性分析
3.1 密碼強度問題
SSL協議是以CipherSuite(加密套件)的形式確定數據傳輸所使用的加密算法,SSL會話一次連接的所有加密選項都被捆綁成各種加密套件,由任意選取的兩字節常量來表示。加密套件指定會話雙方的認證算法、密鑰交換算法、加密算法和摘要(消息完整性)算法。表1列出了SSL協議采用的部分加密套件:
從表1可以看出,SSL協議支持各種各樣的加密套件,這些加密套件指定一組供連接使用的算法。這些算法的強度從較弱的可出口型(如40位模式的RC4)到強度較高的如3DES都包含在內,SSL連接的安全自然就有賴于它所使用的加密算法的安全。從目前的計算能力來看出口模式中如RC4_40和DES等加密算法都能被破譯,若SSL連接采用此類加密算法,其加密數據的保密性就無從談起,攻擊者可以很容易利用現有的密碼破譯技術獲取加密傳輸的數據。正常情況下SSL通信雙方都會選擇加密強度較高的加密套件,但以下兩種情況可能在加密強度上為攻擊者提供契機:
(1)由于客戶端與服務器必須就共同的加密套件達成一致才能通信,服務器和客戶端為了保持較好的交互性通常會提供較多可供選擇的加密套件,其中不乏加密強度較弱的加密算法(圖3所示),這為攻擊者對SSL協議的攻擊提供了一定的條件,例如攻擊者可以嘗試對SSL通信雙方的會話過程進行干擾,迫使通信雙方選擇加密強度較低的加密算法,為攻擊者對加密數據的破譯提供條件。
(2)由于SSL協議中采用的各種加密和認證算法需要一定的系統開銷,如SSL協議握手階段對pre_master_secret的RSA私用密鑰解密及計算master_secret和pre_master_secret的密鑰處理都會消耗一定的系統資源,在數據傳輸階段對記錄的加密以及對記錄的MAC計算同樣會消耗系統資源。而高安全的加密算法在系統開銷上需要消耗較多系統資源,因此SSL協議在某些應用的實現過程中會采用較低加密強度的密碼算法,這也會為攻擊者提供破譯條件。
3.2 版本兼容問題
SSL協議從設計和使用過程來看主要包括SSLv2、SSLv3、TLS三個版本,每個后續版本都對前一版本的安全性問題進行了改進,因此高版本協議能夠較好地保障通信安全。但為了方便實際應用,SSL協議是允許向下兼容,會話雙方可以通過協商采用低版本協議進行通信,并且該過程可以自動完成不需要用戶進行干預。這樣就產生了潛在的版本翻轉攻擊威脅,攻擊者可以降低協議版本再利用低版本協議存在的脆弱性問題對通信過程進行攻擊。其中SSLv2對協議的握手過程沒有很好的保護措施,將導致攻擊者對SSL協議握手過程進行攻擊,進而對加密算法進行篡改。圖4展示了SSLv3和TLS協議的握手過程:
從圖中可以看出SSLv3和TLS協議在握手結束后會對之前的協商過程進行MAC值的校驗(圖4中第5、6步所示),并且其校驗值是以加密的形式進行傳輸,這樣可以有效防止攻擊者對握手過程的篡改,保障了協商過程的可靠性。而SSLv2協議恰好缺乏對握手過程MAC值的校驗,攻擊者可以在SSL通信的握手過程中偽冒其中一方對協議版本進行篡改,迫使通信雙方采用低版本的SSL協議進行通信,由于缺乏握手過程的校驗,該攻擊可以順利實施。
SSLv2協議還存在另一個問題,它僅僅使用TCP連接關閉來指示數據結束,這意味著它可能受制于截斷攻擊。由于SSL協議是構建于TCP協議之上,而TCP協議自身并不是一種安全性協議,它對TCP會話的完整性、有效性和一致性沒有很好地保障,攻擊者可以簡單地偽造TCP FIN數據報,而接收者無法辨別出它是否是合法的數據結束標志,從而誤認為數據接收完成。SSLv3之后的協議通過使用顯式的關閉警示緩解了這一問題。
4 結束語
利用SSL協議進行加密傳輸的方式在日常應用中大量存在,除本文中提到的攻擊方法外,攻擊者仍在嘗試更多的攻擊途徑。對于敏感的信息和通信過程應該采用多種加密方式共同完成,提高攻擊的難度,降低敏感信息被竊取的風險。
參考文獻
[1] 埃里克?雷斯克拉,SSL與TLS,2002.
[2] Daniel Lucq,SSL security in the .be TLD,scanit.be,2008
關鍵詞:SSL;電子商務;數據安全
1 引言
隨著計算機技術和Internet的飛速發展,商業活動實現了電子化,從而發展成為電子商務。電子商務借助互聯網、企業內部網和增值網等計算機與網絡和現代通信技術,按照一定的標準,利用電子化工具,將傳統的商業活動的各個環節電子化、網絡化,從而以數字化方式來進行交易活動和相關服務活動。
電子商務包括電子貨幣交換、供應鏈管理、電子交易市場、網絡營銷、在線事務處理、電子數據交換(EDI)、存貨管理和自動數據收集系統。電子商務完全不同于傳統的商務活動,它是一種以網絡為載體的新的商務運作方式。
(1)SSL不能提供交易的不可否認性。SSL協議是基于Web應用的安全協議,它只能提供安全認證,保證SSL鏈路上的數據完整性和保密性。卻不能對電子商務的交易應用層的信息進行數字簽名,因此,SSL不能提供交易的不可否認性,這可以說是SSL在電子商務中最大的缺陷。
(2)SSL只能提供客戶機到服務器之間的兩方認證,無法適應電子商務中的多方交易業務。
(3)SSL易遭受Change Cipher Spec消息丟棄攻擊。由于SSL握手協議中存在一個漏洞:在finished消息中沒有對變換加密的說明消息進行認證處理,在接收到該消息前,所有的密碼族都不做任何加密處理和MAC保護,只有在接收到Change Cipher Spec消息之后,記錄層才開始對通信數據進行加密和完整性保護。這種處理機制使得SSL易遭受Change Cipher Spec消息丟棄攻擊。
(4)SSL無法避免通信業務流分析攻擊。由于SSL位于TCP/IP的協議層之上,因此,無法對TCP/IP協議頭部進行保護,導致潛在的隱患。攻擊者通過獲取IP地址、URL請求的長度以及返回的Web頁面的長度等信息,可以分析出用戶訪問的目標,再加上SSL協議只支持對 塊密碼的隨機填充,沒有提供對流式密碼算法的支持,使得SSL無法阻止這類攻擊。
4 總結
電子商務正飛速地發展。用于保障電子商務活動的安全協議主要有S-HTTP、STT、IKP、SET和SSL。其中SSL協議是目前電子商務采用的主要的網上交易協議。SSL協議采用了加密、認證等安全措施,結合了Hash算法,較好地保證了數據在傳輸過程中的保密性、可靠性和完整性,在一定程度上放置了欺騙、篡改、重放等攻擊。本文在介紹SSL協議棧及其工作原理和機制的基礎上,對基于SSL的電子商務的安全性進行了分析。
參考文獻:
[1] 邢雙慧.淺談電子商務與SSL協議[J].硅谷,2010(01):37
關鍵詞:網上支付;SSL安全協議;信用卡支付流程
中圖分類號:F49文獻標識碼:A
一、網上支付的概念及其基本流程
1、網上支付是電子支付的一種形式。廣義地講,網上支付指的是客戶、商家、網絡銀行(或第三方支付)之間使用安全電子手段,利用電子現金、銀行卡、電子支票等支付工具通過互聯網傳送到銀行或相應的處理機構,從而完成支付的整個過程。
2、網上支付基本流程。①填寫訂單,加密交易信息、支付信息,發送到商家服務器;②審核交易信息,傳遞支付信息(加密)支付網關收單行;③收單行與開戶行對支付信息進行確認,返回授權響應信息;④商家組織發貨;⑤開戶行與收單行資金劃撥清算,并返回支付成功信息。
二、網上支付模式
保證支付工具的真實與識別該使用者的合法身份是金融業在網絡環境下實現網上支付所面臨的問題。解決這一問題的關鍵是使用安全的網上支付模式,SSL和SET是目前實現安全電子支付的兩種主要模式。目前,基于SSL安全協議的信用卡支付模式得到廣泛發展,而SET模式并未普及,故本文圍繞SSL網上支付模式展開研究。
1、SSL協議及相關概念
(1)SSL安全套接層協議。SSL協議是Netscape公司于1994年提出的一個關注互聯網信息安全的信息加密傳輸協議,其目的是為客戶端(瀏覽器)到服務器端之間的信息傳輸構建一個加密通道,此協議是與操作系統和Web服務器無關。
SSL協議位于TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。SSL協議可分為兩層:SSL記錄協議:它建立在可靠的傳輸協議(如TCP)之上,為高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議:它建立在SSL記錄協議之上,用于在實際的數據傳輸開始前,通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。
(2)HTTPS安全超文本傳輸協議。HTTP提供了一種非常適宜使用SSL來保護其安全的特性。它是第一個使用SSL的協議,到目前為止仍然是最重要的使用SSL來保護其安全的協議。在1995年,Netscape公司的NetscapeNavigotor2中公開發表了SSL上的HTTP實現,當時是采用的獨立端口策略。為了將其與HTTPURL區分開來,SSL上的HTTP用來獲取頁面的URL以HTTPS://開頭,這種方案就成為HTTPS名稱的來由。
2、SSL協議工作原理
(1)客戶端向服務器發送一個開始信息以便開始一個新的會話連接,協商傳送加密算法。舉例說明:你好,服務器。我想和你進行安全對話,我的對稱加密算法有DES、RC5,我的密鑰交換算法有RSA和DH,摘要算法有MD5和SHA。
(2)服務器根據客戶的信息確定是否需要生成新的主密鑰,如需要則服務器在響應客戶的信息時將包含生成主密鑰所需的信息,并發送服務器數字證書。舉例說明:你好,客戶端。那我們就使用DES-RSA-SHA這對組合進行通訊,為了證明我確實是服務器,現在發送我的數字證書給你,你可以驗證我的身份。
(3)客戶根據收到的服務器響應信息,檢查服務器的數字證書是否正確,通過CA機構頒發的證書驗證了服務器證書的真實有效性后,產生一個主密鑰,并用服務器的公開密鑰加密后傳給服務器。舉例說明:服務器,我已經確認了你的身份,現在將我們本次通訊中的密鑰發送給你。
(4)服務器恢復該主密鑰,并返回給客戶一個用主密鑰認證的信息,以此讓客戶認證服務器。舉例說明:客戶端,我已經獲取了密鑰。我們可以開始通信了。
一般情況下,當客戶端是保密信息的傳遞者時,不需要數字證書驗證自己身份的真實性,如電子銀行的應用,客戶需要將自己的賬號和密碼發送給銀行,因此銀行的服務器需要安裝數字證書來表明自己身份的有效性。在某些B2B應用,服務器端也需要對客戶端的身份進行驗證,這時客戶端也需要安裝數字證書以保證通訊時服務器可以辨別出客戶端的身份,驗證過程類似于服務器身份的驗證過程。
3、SSL協議工作層次。隨著電子商務的不斷發展,SSL協議得到了越來越廣泛的使用。SSL協議是介于HTTP協議與TCP之間的一個可選層,從上至下分別為HTTP、SSL、TCP、IP層。安全連接的建立要求在連接建立以后再次進行握手。即在“著名的TCP/IP三次握手”以后再次利用證書來握手。
4、SSL協議介入特征。當在瀏覽器的地址欄的開頭是HTTPS而不是HTTP,在瀏覽器的右下角有一把鎖,說明已經建立起SSL加密通道。訪問過程中HTTP層首先將請求轉換成HTTP請求,然后SSL層通過TCP和IP層實現瀏覽器和服務器握手(HANDSHAKE),服務器層獲得密鑰,最后TCP層與服務器之間建立了加密通道,實現了雙方安全交換信息的目的。
三、基于SSL安全協議的信用卡支付模式
1、初級信用卡在線支付SSL模式工作流程。①客戶開設信用卡賬戶;②填寫訂單信息,選擇信用卡支付,將訂單信息+支付信息商家服務器;③商家服務器返回訂單ID客戶端,由支付網關傳遞支付信息客戶發卡行;④發卡行在客戶端瀏覽器彈出頁面,SSL協議介入;⑤客戶端與發卡行通過數字證書相互驗證身份;⑥進行SSL握手協議,建立安全信道;⑦客戶端瀏覽器出現支付頁面,輸入密碼;⑧確認支付后,提示離開SSL安全連接,SSL介入結束;⑨發卡行傳送支付確認信息商家服務器,商家組織發貨;⑩發卡行與商家開戶行進行資金清算。
初級SSL支付模式存在兩個主要缺陷,其分別是:①客戶的支付信息將被商家所獲知;②缺少商家對客戶的身份驗證。基于上述兩種原因,改良式的SSL信用卡支付模式應運而生,在這一模式中,商家生成的訂單信息將經由客戶端瀏覽器轉發到發卡行的支付網關進行支付,有效地避免了原SSL模式下商家獲知客戶支付信息的缺點,其也是國內各大商業銀行主要采用的模式。
1實踐教學內容總體教學設計
網絡安全協議這門課程涉及的重要知識點包括:網絡安全協議的基本概念、TCP/IP協議簇的安全隱患、在不同協議層次上的安全協議的原理和實現、不同層次安全協議之間的比較、無線網絡安全協議的原理和實現、安全協議的形式化分析基本方法等。網絡安全協議無論從教學設計、驗證,還是如何有效地應用來看都非常復雜。即使所采用的密碼算法很強大,協議依然有可能受到攻擊。網絡上的重放攻擊、中間人攻擊能夠繞過對密碼算法的攻擊,非常難以防范,此外,攻擊者還有可能利用安全協議的消息格式進行“類型缺陷(typeflaw)”攻擊。由于網絡安全協議的復雜性,在實際教學過程中,若只是由老師空洞的進行講解,大多數學生往往很難跟上講課的進度,進而失去對此門課程的興趣。目前常用的網絡安全協議包括PPTP/L2TP、IPSec、SSL/TSL、HTTPS、SSH、SNMPv3、S/MIME、、PGP、Kerberos、PKI、無線網安全協議(IEEE802.11i,WTLS)等。讓學生通過實踐教學活動,理解并掌握安全協議的理論及應用,并在實踐中增強自身的動手能力、創新能力是本課程的主要教學目標。本課程的實踐教學將教學內容劃分為4個階段,認知階段、體驗階段、應用階段及總結提高階段。通過這4個階段,使學生由表及里、由淺入深、由學到用、由用到創,全面掌握各主要協議的原理、應用及教學設計;同時,通過對4個階段的劃分,更好地滿足不同層次學生的需求,使學生學得更深、更透,用的更順、更廣,其創新思路也更易被激發和實現。
2SSL協議的實踐教學實施
2.1認知階段
本階段的實踐教學內容是通過利用Wireshark抓包分析工具軟件,獲取SSL/TSL協議通信流量,直觀地觀看SSL/TSL協議的結構、分析SSL/TSL協議的建立過程。在訪問222.249.130.131時,采用Wireshark抓取的部分通信流量,如圖1所示。第7~9條消息,完成TCP的連接。客戶端首先在某端口向服務器端的443端口發出連接請求,完成三次握手。第10~12條消息,客戶端首先發送Client-Hello等消息,請求建立SSL/TSL會話連接;然后,服務器端發送Server-Hello、證書等消息;接著客戶端發送ClientKeyExchange、ChangeCipherSpec等消息。第13~15條消息,服務器端發出的響應和ChangeCipherSpec消息,以及客戶端發出應答響應消息。至此表明連接已準備好,可以進行應用數據的傳輸。第16條消息是由客戶端發出的與另外一個服務器端的連接請求消息,與所討論內容無關。這種情形,在抓包分析時,經常會遇到,不必受此干擾。第17~18條消息,客戶端和服務器端分別關閉連接。以后再進行SSL/TSL連接時,不必產生新的會話ID,也不必交換證書、預主密鑰、密碼規格(cipher-spec)等會話參數。每一條消息都可以進一步打開,觀看更細節的內容。ClientHello消息的內容是對相應的二進制的內容的一個分析解釋,如圖2所示。其他消息的格式和內容也都可以清晰地呈現,在此不一一列舉。通過對SSL/TSL流量的抓取分析,可以很直觀地讓學生掌握如下知識點:(1)SSL/TLS協議是建立在TCP連接之上的安全協議。(2)SSL/TSL連接和會話的概念,以及連接和會話的建立過程。(3)握手協議的執行過程,各消息的先后次序,及消息的格式和內容。(4)重要的消息參數及其作用,如sessionID、數字證書、加密組件(Ciphersuite)、加密預主密鑰(Premaster)等。需要說明的是,上述內容沒有涉及客戶端發送的證書消息,只能通過證書完成客戶端對服務器的認證,沒有服務器對客戶端的認證。事實上,SSL/TSL是可以通過數字證書進行雙向認證的。
2.2體驗階段
經過認知階段的理論與實踐學習后,需要讓學生了解和掌握SSL協議應用在哪里?如何應用?可以有效防范哪些安全威脅?本階段的實踐教學內容通過配置IIS服務器中的SSL/TSL,為Web服務器和瀏覽器之間建立一個安全的通信通道,使學生學習和掌握SSL在Web的應用中的配置和作用,從而對SSL協議的應用有一個直接的感受和體驗。學生完成IIS服務器中的SSL/TLS配置,首先需要完成CA的安裝與配置[3],用于數字證書的生成、發放和管理;然后,分別為IISWeb服務器和客戶端申請、安裝證書;最后在服務器上配置SSL,使客戶端與服務器建立SSL/TSL連接,如圖3所示。該階段的實踐教學,除加深學生對SSL/TSL的理解,還使他們學會了如何進行CA服務器的圖3建立https協議的訪問配置、Web服務器和客戶端的證書的申請,以及CA服務器對證書的頒發、安裝管理等。
2.3應用階段
通過前2個階段的實驗教學,很好地配合了SSL的理論教學,使學生對SSL/TSL協議有了更深的認識和體驗。本階段的實驗教學內容,將通過利用OpenSSL,實現一個簡單的SSL服務器端和客戶端[4],使學生具備利用SSL/TLS協議進行通信的編程能力。OpenSSL是一個開放源代碼的SSL協議實現,具有一個強大的支撐函數庫,主要包括三大部分,密碼算法庫、SSL協議庫和OpenSSL應用程序。OpenSSL提供了一系列的封裝函數,可以方便實現服務器和客戶端的SSL通信。該階段的工作量較大,通常在教師指導下,由學生分組自行完成。(1)OpenSSL的編譯安裝。這一步驟涉及下載和安裝多個軟件,版本也各不相同。包括不同版本的Openssl、Perl、VC++等。一般建議學生采用自己熟悉的系統和開發平臺,安裝新版的OpenSSL。(2)VC++編譯環境的設置。目前的參考資料大都基于VC++6.0,我們采用的是VisualC++2010開發環境。網上有許多現成的源代碼,但一般很難編譯、調試或執行通過。我們建議學生可以參考已有的源代碼,但一定要通過自己的編譯、調試、改正,得到滿意的運行結果。(3)生成服務器和客戶端數字證書。SSL可以通過數字證書實現服務器和客戶端之間的雙向或單向認證。我們建議學生利用OpenSSL的證書生成命令行工具,自行完成一遍。這一步驟若出現問題,將直接影響以后程序的順利執行。(4)SSL/TLS編程。首先建議學生采用OpenSSL的BIO連接庫,建立一個簡單的服務器和客戶端,僅能完成簡單的TCP握手連接和通訊;然后,再加入SSL握手功能,實現一個真正意義上的簡單的SSL服務器和客戶端。SSL/TLS客戶端和服務器端程序運行結果,分別如圖4和圖5所示。通過該階段的實驗教學,一方面使學生熟悉如何利用OpenSSL工具編程,實現基于SSL的安全通信;另一方面使學生了解和掌握OpenSSL在安全方面的廣泛應用,最終使學生在畢業設計和未來工作中,有足夠的能力提出和實現應用安全方面的解決方案。
2.4總結
提高階段通過前3個階段的實踐教學內容,再結合課堂上的理論教學,學生對SSL/TSL協議的原理、實現和應用都有了較深的認識。由于有許多研究和實踐活動受各種條件所限,不可能全部列入教學實踐的內容,這個階段的主要任務是讓學生通過他人對SSL/TSL協議的研究和應用,了解SSL/TSL協議在實際應用中還存在哪些問題、如何進一步完善,其目的是訓練學生具備通過別人的研究和實踐活動進行高效學習的能力,同時也讓學生了解一個看似成熟的協議,還存在一系列的問題,這些問題有的是協議本身存在的,有些是在實際應用中產生的。我們通過提出3方面問題,讓學生去通過查閱相關資料,自己進行總結。①SSL/TSL協議的存在哪些不足?②將SSL/TSL協議與應用層和網絡層的安會協議進行比較,有哪些優劣?③通過一個實際的SSL/TSL協議的應用案例,說明SSL/TSL在實際應用中還存在哪些局限,應如何進行解決?教師可向學生推薦幾篇參考文獻[5-6]同時鼓勵學生自己查詢更多有價值的文獻。在此階段,教師和學生不斷進行交流和討論,對學生提出的問題以及業內新出現的熱點問題,教師要通過不斷的學習和提高給學生一個滿意的答案。例如2014曝出的Heartbleed漏洞,涉及OpenSSL的開源軟件包,而該軟件包被網銀、在線支付、電商網站、門戶網站、電子郵件等重要網站廣泛使用,所以漏洞影響范圍廣大。學生們對此漏洞非常有興趣,作為教師要盡快查閱有關資料,了解此漏洞的產生的原因、有何危害、如何補救等。此漏洞雖然是OpenSSL的開源軟件包程度存在的問題所導致的,與SSL/TSL協議本身無關,但是該漏洞的出現,提醒我們即使協議本身是安全的,在實現協議的過程中仍可能出現不安全的因素,導致安全漏洞的產生。
3實踐教學效果評價
實踐教學方案的教學設計是否可行和有效,需要在實際教學過程中進行檢驗。該實踐教學方案是在多年教學基礎上不斷總結而教學設計的,并已在2013和2014年度的網絡安全協議課程的教學中進行了實施。我們根據學生的反饋、表現以及實際教學效果,對方案的內容、難度以及方法也做了相應的調整。在方案實施過程中,教師要多與學生溝通,對所布置的作業認真檢查,關注并統計學生是否有興趣、是否努力,學生的技能是否得以改善,學生完成的情況、學生的滿意度等各項指標。從對各項指標的統計來看,大部分學生對該實踐教學方案比較認同,也取得了很好的效果,其中有幾位學生還在畢業設計中選擇了相關的畢測試。上述文檔將整個測試過程顯性化,實現了對缺陷解決過程的監控,有助于學生明確缺陷狀態,評估所報缺陷的準確性,完善現有圖式,促成自我反思與實踐反饋。測試所涉及的文檔和源碼都將編號歸檔,統一存放于配置管理服務器,歸檔的文檔被凍結,不允許修改。這些文件記錄了缺陷的整個解決過程,為后期分析問題、完善解決方案、改進工作流程、反思教學設計提供了重要依據。
4結語
關鍵詞 SSL技術;數據庫安全;設計研究
中圖分類號TP392 文獻標識碼A 文章編號 1674-6708(2011)55-0180-02
0 引言
隨著信息化技術的發 展,一個系統最核心的資源并不是網絡以及相關設備,而是有著潛在價值的數據庫。在實際的應用過程中,數據庫系統為了確保安全性,都會具備身份認證、數據加密等功能。而SSL技術也是滿足數據庫安全性方面的一種實用技術,基于SSL的認證可以為數據庫用戶頒發權限證書,從而建立一個安全的數據訪問通道,保證了數據庫系統的安全性與完整性。本文就是研究基于SSL的數據庫安全設計。
1 SSL技術概述
1.1 SSL的簡介
SSL(Secure Socket Layer)是指安全套接協議,是基于Internet的一種保證私密性的協議,能夠提供數據加密以及消息完整性等功能。需要明確的一點是:SSL協議必須基于可靠的傳輸層協議,如TCP協議,與最上層的應用層是相對獨立的。SSL協議的三大特性如下描述:
首先,私密性。在數據傳輸前,網絡中的通信方就必須借助于SSL的握手協議明確數據的加密算法以及算法中對應的密鑰,并進行數據加密。其次,確認性。SSL握手協議的工作過程中,通信端可以選擇不同方式的身份認證,比如:基于數字證書、非對稱加密等。另外,可靠性。SSL協議主要是借助于消息鑒別碼實現完整性的驗證功能,通過函數以及對應密鑰生成一個值作為認證時的標識,并附加到消息中進行一起傳輸。
1.2 SSL的結構
SSL協議的結構主要涉及到兩個部分,分別是:SSL記錄協議以及SSL握手協議。其中,SSL記錄協議實現數據的實際傳輸,它可以將數據流進行分割,并對分割后的每個片段進行獨立的保護以及傳輸,而數據接收端則會根據每個片段再對數據進行解密及驗證。
而SSL握手協議主要負責實現SSL管理信息的交換,確保應用協議在進行數據傳輸前完成相互之間的驗證,并確定加密算法以及密鑰。握手協議是建立SSL連接首先應該執行的協議,必須在傳輸任何數據之前完成。SSL握手協議由一系列報文組成。SSL握手協議的主要目的是:確保發送方與接收方對于數據加密算法的一致性;明確加密算法所對應的密鑰;可以對發送方及接收方進行證書合法性的驗證。
2數據庫安全的設計
2.1服務器平臺的設計
服務器平臺主要涉及到處理數據庫相關操作的MySQL系統、負責平臺支撐的Apache以及支持SSL安全鏈接的Apache-SSL等。其中,Apache安裝完成之后,需要對conf目錄的文件進行編輯配置,相關的文檔目錄會在htdocs子目錄下。當服務器啟動Apache后,其會默認在80號端口上監聽,同時用戶可以通過127.0.0.1/來測試安裝是不是成功。
另外,PHP安裝文件是需要進行解壓縮處理的,解壓縮之后會有“php.ini-dist”文件,該文件就是PHP的配置文件,可以對其進行重命名處理。在對PHG的配置中,有一項比較重要,那就是全局變量開關的設置,如下表述:PHP配置文件中有一個名為register_globals的變量,該變量初始值為off,這個變量的作用是用來打開全局變量的。如果將該變量的值設定為“on”,就可以通過“$變量名”的方式獲取傳遞過來的數值。當然,一般情況下,該變量設置為“off”比較安全,可以不讓一些非法用戶竊取傳送的數值。
2.2客戶端平臺的設計
客戶端平臺主要負責訪問請求的獲取以及轉發。當有客戶端發生應用程序訪問請求后,平臺就是接收這一請求,借助于通信接口將請求轉發出去,并等待請求應答的反饋信息。一旦反饋信息到達后,該平臺就可以直接將請求應答轉發給相關的應用程序。
客戶端平臺主要包括兩大模塊:通信模塊以及界面安全模塊。在將用戶界面應用程序作為客戶端進行運行的時候,需要一個總的管理程序對客戶端運行進行調控,這個總的管理程序包括了用戶的GUI設計和業務方面的邏輯設計。客戶端平臺的功能結構如圖1所示:
2.3通信模塊的設計
本文研究的通信模塊也是基于SSL的,主要負責為客戶端以及服務器方提供通道,借助于身份認證以及加密算法確保通道的安全性,更好地保證應用程序與數據庫之間的交互。其設計原理為:
通信模塊接收客戶端的請求,將接收到的請求進行SSL加密后轉發到服務器端,并處于等待請求反饋狀態。一旦接收到請求反饋信息后,通信模塊就將該反饋信息轉發給客戶端。這個模塊同服務器端進行數據的交換前,首先要完成客戶端的身份認證,明確客戶端的合法性。其次才能夠讓請求轉發給服務器端。而通信模塊的內部實現主要是借助于握手層的身份認證以及記錄層的加密解密。
3結論
網絡的信息安全是安全領域內的一個重要分支,其重要性日益突出。而數據庫作為信息的一個主要截體,其安全性對于信息系統的安全性來說是至關重要的。本文研究的基于SSL的數據庫安全設計能夠較好地保證數據庫信息的安全性,該SSL協議能夠實現數據庫系統與服務器之間的安全信息傳遞,可以借助于有效的身份認證以及加密機制,確保數據通信的安全性。
參考文獻
[1]Ber becaru,D.On Measuring SSL-based Secure Data Transfer with Handheld Deviees[J].Wireless Communication Systems,2010.
【關鍵詞】SSL VPN;IPSEC VPN;網絡安全
【中圖分類號】TN711
【文獻標識碼】A
【文章編號】1672-5158(2012)12-0004-01
一、SSL VPN的基本學術概念
1.1 什么是SSL VPN
SSL(Secure Sockets Layer)是一種Intemet數據安全協議。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。SSL協議位于TCP/IP協議與各種應用層協議之間,為數據通訊提供安全支持。VPN(Virtual Private Network虛擬專用網絡),可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。VPN的核心就是在利用公共網絡建立虛擬私有網,被定義為通過一個公用網絡(通常是Internet)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。
SSL VPN就是指應用層的vpn,它是基于https來訪問受保護的應用。目前常見的SSL VPN方案有兩種方式:直路方式和旁路方式。直路方式中,當客戶端需要訪問一臺應用服務器時:首先,客戶端和SSL VPN網關通過證書互相驗證雙方;其次,客戶端和SSL VPN網關之間建立ssl通道;然后,SSL VPN網關作為客戶端的和應用服務器之間建立tcp連接,在客戶端和應用服務器之間轉發數據。旁路方式和直路不同的是:為了減輕在進行ssl加解密時的運行負擔,也可以獨立出ssl加速設備,在SSL VPN server接收到https請求時,將ssl加密的過程交給ssl加速設備來處理,當ssl加速設備處理完之后再將數據轉發給SSL VPN server。
1.2 SSL VPN的特性
保密性就是對抗對手的被動攻擊,保證信息不泄漏給未經授權的人。由于使用的是Ssl協議,該協議是介于http層及tcp層的平安協議,傳輸的內容是經過加密的。SSL VPN通過設置不同級別的用戶和不同級別的權限來屏蔽非授權用戶的訪問。用戶的設置可以有設置帳戶、使用證書、radius機制等不同的方式。ssl數據加密的平安性由加密算法來保證,各家公司的算法可能都不一樣。黑客想要竊聽網絡中的數據,就要能夠解開這些加密算法后的數據包。
完整性就是對抗對手主動攻擊,防止信息被未經授權的篡改。由于SSL VPN一般在gateway上或者在防火墻后面,把企業內部需要被授權外部訪問的內部應用注冊到SSL VPN上。這樣對于gateway來講,需要開通443這樣的端口到ssl vpn即可,而不需要開通所有內部的應用的端口。假如有黑客發起攻擊也只能到SSL VPN這里,攻擊不到內部的實際應用。
可用性就是保證信息及信息系統確實為授權使用者所用。前面已經提到,對于SSL VPN要保護的后臺應用,可以為其設置不同的級別,只有相應級別的用戶才可以訪問到其對應級別的資源,從而保證了信息的可用性。
可控性就是對信息及信息系統實施平安監控。SSL VPN作為一個平安的訪問連接建立工具,所有的訪問信息都要經過這個網關,所以記錄日志對于網關來說非常重要。不僅要記錄日志,還要提供完善的超強的日志分析能力,才能幫助管理員有效地找到可能的漏洞和已經發生的攻擊,從而對信息系統實施監控。
二、SSL VPN的優勢
2.1 零客戶端
客戶端的區別是SSL VPN最大的優勢。瀏覽器內嵌了ssl協議,所以預先安裝了web瀏覽器的客戶機可以隨時作為SSL VPN的客戶端。這樣,使用零客戶端的SSL VPN遠程訪問的用戶可以為遠程員工、客戶、合作伙伴及供給商等。通過SSL VPN,客戶端可以在任何時間任何地點對應用資源進行訪問。也就是說是基于b/s結構的業務時,可以直接使用瀏覽器完成ssl的vpn建立;而IPSEC VPN只答應已經定義好的客戶端進行訪問,所以它更適用于企業內部。
2.2 平安性
SSL VPN的平安性前面已經討論過,和IPSEC VPN相比較,SSL VPN在防病毒和防火墻方面有它特有的優勢。
一般企業在Internet聯機入口,都是采取適當的防毒偵測辦法。不論是IPSEC VPN或SSL VPN聯機,對于人口的病毒偵測效果是相同的,但是比較從遠程客戶端入侵的可能性,就會有所差別。采用IPSEC VPN聯機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內部網絡所連接的每臺電腦。而對于SSL VPN的聯機,病毒傳播會局限于這臺主機,而且這個病毒必須是針對應用系統的類型,不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接,受外界病毒感染的可能性大大減小。
2.3 訪問控制
用戶部署vpn是為了保護網絡中重要數據的平安。IPSEC VPN只是搭建虛擬傳輸網絡,SSL VPN重點在于保護具體的敏感數據,比如SSL VPN可以根據用戶的不同身份,給予不同的訪問權限。就是說,雖然都可以進入內部網絡,但是不同人員可以訪問的數據是不同的。而且在配合一定的身份認證方式的基礎上,不僅可以控制訪問人員的權限,還可以對訪問人員的每個訪問,做的每筆交易、每個操作進行數字簽名,保證每筆數據的不可抵賴性和不可否認性,為事后追蹤提供了依據。
2.4 經濟性
使用SSL VPN具有很好的經濟性,因為只需要在總部放置一臺硬件設備就可以實現所有用戶的遠程平安訪問接入。但是對于IPSEC VPN來說,每增加一個需要訪問的分支,就需要添加一個硬件設備。就使用成本而言,SSL VPN具有更大的優勢,由于這是一個即插即用設備,在部署實施以后,一個具有一定Internet知識的普通工作人員就可以完成日常的管理工作。
根據WoSign最新推出的“SSL證書免費健康體檢系統”的測試結果表明:我國所有已經部署了SSL證書的網銀系統和第三方支付系統的服務器都有不同程度的SSL安全配置問題(有些甚至囊括了所有已知的安全漏洞),主要涉及以下幾個方面的問題:
1.許多網銀網站都沒有關閉不安全的傳統SSL通信重新協商機制,更談不上補漏支持安全重新協商機制了。
美國信息安全專家Marsh Ray與Steve Dispensa于2009年9月份公開了他們發現的TLS/SSL協議的安全漏洞,攻擊者可以利用這種漏洞劫持用戶的瀏覽器,并偽裝成合法用戶。由于TLS協議中的密鑰再協商功能使得驗證服務器及客戶機身份的一連串動作中存在前后不連貫的問題,因此給了攻擊者可乘之機。不僅如此,這種漏洞還給攻擊者發起Https攻擊提供了便利,Https協議是Http與TLS協議的集合體。
發現這一漏洞之后,兩位專家很快將其報告給了網絡安全產業聯盟(ICASI),該聯盟由微軟、諾基亞、思科、IBM、英特爾和Juniper公司創立,同時他們還將其報告給了互聯網工程任務組(IETF)以及幾家開源的SSL項目組織。2009年9月29日,這些團體經過討論后決定推出一項名為Mogul的計劃,該計劃將負責修補這個漏洞,計劃的首要任務是盡快推出新的協議擴展版,以修復該漏洞。
微軟于2010年2月11日了第977377號安全公告《Microsoft 安全公告:TLS/SSL 中的漏洞可能允許欺騙》,要求用戶在受影響的系統上采用禁用TLS和SSL重新協商支持的替代方法,以幫助保護連接到此類服務器的客戶端,免被該漏洞所利用。同時,IETF于2010年2月了新的協議擴展版RFC 5746《Transport Layer Security (TLS) Renegotiation Indication Extension,TLS重新協商標識擴展》。各大服務器軟件廠商也紛紛推出了支持此擴展協議的補丁,微軟于2010年8月16日了此漏洞的補丁《MS10-049:SChannel 中的漏洞可能允許遠程代碼執行》,凡是允許自動升級的系統都會自動修復此漏洞,使得系統能支持新的TLS/SSL協議擴展項,即支持Secure Renegotiation (安全重新協商)。Apache服務器軟件也提供了相應的補丁。
但是,這么重大的安全漏洞并沒有引起國內部署了SSL證書的重要系統的重視和采取相應行動。所幸的是:如果服務器采用的是Windows Server系統并支持自動升級的話,微軟已經自動升級和修復了此安全漏洞。但還有許多服務器軟件并不支持自動升級功能,特別是被廣泛使用的Apache服務器軟件,必須人工升級到最新版。
2.有許多網站仍然支持不安全的SSL V2.0協議。
SSL V2.0協議是NetScape公司于1995年2月的,由于V2.0版本有許多安全漏洞,所以,1996年緊接著了V3.0版本。目前主流瀏覽器(IE、火狐、谷歌、Safari、Opera等)都已經不支持不安全的SSL V2.0協議。SSL V2.0協議的主要安全漏洞有:同一加密密鑰用于消息身份驗證和加密;弱消息認證代碼結構和只支持不安全的MD5摘要算法;SSL握手過程沒有采取任何防護,這意味著非常容易遭遇中間人攻擊;雖然使用TCP連接關閉,以指示數據的末尾,但并沒有明確的會話關閉通知(這意味著截斷攻擊是可能的,攻擊者只需偽造一個TCP FIN,使得接受方無法識別數據結束消息的合法性即可)。
3.有些網站仍然支持不安全的40位和56位加密套件。
破解40位DES算法只需幾秒鐘,破解50位DES算法也只需幾天時間,但破解128位3DES算法則需要0.25個10的21次方年才能破解,所以,Web服務器軟件必須只能支持128位以上的加密套件,而關閉不安全的40位和56位加密套件。
4.有些網站的SSL證書和/或其根證書都是不安全的1024位公鑰。
微軟和火狐等將于2010年12月31日停止支持1024位公鑰證書,并于2013年12月31日之前刪除所有不安全的、低于2048位的根證書。為了服務器的安全,必須部署從根證書、中級根證書和用戶證書整個證書鏈都是2048位或高于2048位的SSL證書。
5.許多網銀系統都使用自簽證書或其他不支持瀏覽器的SSL證書,幾乎所有自簽證書都存在以上安全問題,并且自簽證書很容易假冒和受到中間人攻擊。
為了重要系統的安全,千萬不要使用自簽的SSL證書,避免因此產生的巨大安全隱患和安全風險,特別是重要的網銀系統、網上證券系統和電子商務系統,一定要選購專業證書頒發機構頒發的全球信任的支持瀏覽器的SSL證書,因為證書中許多環節的安全問題是一般的自簽證書頒發系統都沒有很好解決的技術問題。
6.有些網站的SSL證書安裝時并沒有安裝中級根證書。
關鍵詞:電子商務 協議 SSL TLS SET
1 傳輸層安全協議
1.1 安全套接字層協議(SSL)
安全套接層協議是由網景公司推出的一種安全通信協議,是對計算機之間整個會話進行加密的協議,提供了保密、認證服務和報文完整性。它可以有效的保護信用卡以及個人信息。Netscape Communicator和Microsoft IE瀏覽器中通常會用到SSL,這樣能夠更好的進行安全交易操作。SSL中的加密方法包括公開密鑰和私有密鑰。
1.2 傳輸層安全協議(TLS)
主要是在兩個通信應用程序之間使用安全傳輸層協議(TLS),從而保證更高的保密性和數據完整性。該協議主要包括TLS 記錄協議和TLS握手協議,前者處于較低層,它的位置是在某個可靠的傳輸協議上面。
①協議結構
TLS協議包括兩個協議組,即TLS記錄協議和TLS 握手協議,每組都包括了不少各有差異的格式信息。我們可以將TLS記錄協議定義為一種分層協議,每層都會有長度、描述和內容等字段。他可以對接收到的數據進行解密、校驗,或者是解壓縮、重組等,之后高層客戶機會接受以上的信息。TLS連接狀態即為TLS記錄協議的操作環境,其中包括壓縮算法、加密算法和MAC算法。不同大小無空塊的連續數據可以通過高層輸送到TLS記錄層。關于密鑰計算方面要注意的有:記錄協議在各種算法的協助下,通過握手協議提供的安全參數獲得密鑰、IV和MAC密鑰。
②TLS握手協議過程
改變密碼規格協議;警惕協議;握手協議。
③TLS記錄協議
TLS 記錄協議具有連接安全性,這種安全性的特性包括以下兩點:
私有,即對稱加密用以數據加密。密鑰在經過對稱加密后,每個連接有一個且僅有一個密鑰,而且這個密鑰基于另一個協議協商。我們再不加密的時候也能使用記錄協議。
可靠,即信息傳輸包括使用密鑰的MAC,能夠對信息進行周密的檢查。安全功能主要就是為了做好MAC 計算。如果沒有MAC,記錄協議還是會正常運行,但一般僅僅是在這種模式中是可以的,即有另一個協議正在使用記錄協議傳輸協商安全參數。我們在對各種高層協議進行封裝時,可以考慮TLS 記錄協議。握手協議屬于這種封裝協議,在應用程序協議傳輸和接收其第一個數據字節前,它能讓服務器與客戶機實現相互認證,加密密鑰和協商加密算法。
④ TLS握手協議
TLS握手協議具有連接安全性,這種安全性的屬性包括以下幾點:
第一,可以使用非對稱的,或公共密鑰的密碼術對對等方的身份進行認證。此認證體現了一種可選性,但是要強調的是,最少要有一個結點方;第二,共享加密密鑰的協商具有安全性。協商加密后,偷竊者就非常不容易再進行偷竊了。要注意的是,連接已經被認證后是不可以再獲得加密的,就算是進入連接中間的攻擊者也無法做到;第三,協商是可靠的。在未經通信方成員檢測的情況下,不管是誰都無法修改通信協商。
總之TLS是保證因特網應用程序通信隱私和數據完整的協議。TLS和SSL的擴展,經常將他們表述為SSL/TLS、SSL/TLS協議由兩層組成,即TLS握手協議允許服務和客戶端間的認證,以及在傳輸真實數據前加密算法和溝通密鑰。TLS記錄協議位于可靠傳輸協議之上,如TCP。它確認通過數據加密的連接是隱秘和可靠的。TLS記錄協議也用來包裝更高層協議,人員TLS握手協議。由于服務器客戶端都需要進行認證,SSL/TLS可以防御中間人攻擊。此外,由于加密數據,它可以防御并截獲傳輸中的數據包。
2 應用層安全協議
2.1 安全電子交易協議(SET)
1996年,美國Visa和MasterCard兩個非常知名的信用卡組織,與國際上一些知名的科技機構一起,經過協商提出了應用于Internet上的在線交易安全標準,這一標準主要針對的是以銀行卡為基礎的在線交易。
① SET協議的好處
幫助商家制定了保護自己的一些方法,這樣就能夠保障商家在經營中的安全性,減少商家的運營成本。
對于買方的好處是,SET協議能夠保障商家的經營是合法的,而且能夠保障用戶的信用卡號的安全,SET協議能夠幫助買方保護好他們的秘密,讓他們能夠更加安全的在線進行購物。
使信用卡網上支付的信譽度變得更高,提高競爭力。
SET協議給參與交易的各方設置了互操作接口,不同廠商的產品可以共同使用一個系統。
② SET協議的不足之處
協議中并未明確的規定收單銀行給在線商店付款前,是不是一定要收到買方的貨物接受證書,不然如果在線商店的貨物沒有達到相關的質量標準,買方有疑義時,會出現糾紛。協議未對 “非拒絕行為”進行擔保,這說明在線商店并不能證明訂購是否是簽署證書的買方發出的。SET技術規范并未清楚的規定在事物處理結束后,怎樣能夠安全地保存這些數據,或者是銷毀這類數據。在每一次進行SET協議交易時,協議的使用都是很繁瑣的,不是很方便,增加了使用的成本,且只有當客戶有電子錢包時才能使用。
SET主要針對的就是用戶、商家和銀行之間通過信用卡進行的支付交易,目的是更好的保護支付信息的機密,保障支付過程的完整,保護商戶及持卡人的合法身份,操作性較好。SET中的核心技術包括公開密鑰加密、電子數字簽名等。
SET是一種基于消息流的協議,一般都是通過Visa和MasterCard以及其他一些業界主流廠商設計,以此來實現公共網絡上銀行卡支付交易的安全性。在國際方面,SET已經受住了很多次的考驗,獲得了良好的效果,但很多在Internet上購物的消費者實際上并未真正使用SET。
SET是一種非常復雜的協議,它能夠清楚地向我們展現卡支付交易各方之間的各種關系。SET還對加密信息的格式進行了規定,完善了每筆卡支付交易時各方傳輸信息的規則。實際上,將SET定義為技術方面的協議是很不夠的,他還體現了每一方所持有的數字證書的合法性。
2.2 PGP協議
PGP加密技術是一個給予RSA公鑰加密體系的郵件加密軟件,提出了公共鑰匙的加密技術。PGP加密技術創造性地把RSA公鑰體系和傳統加密體系結合起來,并且在數字簽名和密鑰認證管理機制上有巧妙的設計,因此PGP成為目前最流行的公鑰加密軟件包。
2.3 安全超文本傳輸協議(HTTPS)
SSL的一個普通用途就是瀏覽器和網頁服務的HTTP通信安全。安全模式就是由SSL/TLS發送“無格式”的HTTP協議并依據SSL命名的超文本傳輸協議。有時將其指定為支持HTTP協議的擴展HTTPSS。SSL/TLS建立客戶端和服務間的安全連接并傳輸大量數據,HTTPS是為安全傳輸個人信息而設計的。
參考文獻:
[1]《電子商務概論》.賈玢主編.北京交通大學出版社,2009年.
關鍵詞:計算機通信;網絡安全協議;作用
1網絡安全協議的作用
1.1提升安全水平
計算機通信技術中網絡安全協議的應用能強化自身安全水平。原因是計算人員在增加自身安全水平的過程中能清晰的了解到,現在部分網絡安全協議是處于持續完善的狀態,該過程不容被忽視的內容是網絡安全協議自身的不足和缺陷。技術人員在檢測網絡安全性的過程中,重視利用攻擊自身進行防御[1]。如,計算人員可以對網絡安全協議的不同方法開展對應防護工作,從不同角度強化計算機通信技術的安全水準。
1.2控制設計成本
計算機通信技術中網絡安全協議的應用主要作用是控制設計的成本控制。網絡安全協議主要的應用目的為營造網絡安全環境,在建造安全網絡技術的同時,設計網絡安全協議的安全性,讓其能從根本上保障網絡的安全性能。這就能避免網絡安全等級不夠的情況下出現的網絡數據信息丟失或者相關文件損毀的狀況。計算機網絡中的網絡安全協議自身有著優越性較好的特性,為更好的控制設計成本效果,就要求計算機人員網絡安全協議設計期間,預測協議面臨的困難和將要遭受的攻擊,多方面考慮到協議自身設計中產的成本和后期運營中需要的成本[2]。
1.3增強適用價值
計算機通信技術在網絡安全協議中的應用能強化自身的適用性。當前隨著Internet的發展,更多的人借助于Internet開展的商務活動。電子商務的發展前景還是十分廣闊和誘人,而其安全性問題也日益突出,所以技術人員在增強適用價值,要重視網絡協議對攻擊的有效防御。另外,技術人員在強化計算機通信技術適用價值的時候,要對用戶不需要的或者過時的信息開展恰當的處理,避免部分網絡黑客利用網絡系統開展攻擊,以提高網絡安全協議的等級和強化計算機通信技術的可靠效果。
2網絡安全協議的應用
2.1ARP協議在局域網中的應用
主機的運行狀態能夠直接影響網絡安全,因此需要對主機進行安全防護,在主機接入網絡中時,需要通過安全協議進行有效的數據信息傳輸控制。網絡管理員在日常工作中,需要注意很多事情。譬如當主機的工作狀態處于網際層下時,必須有相應的IP地址對應每一臺接入網絡的主機,當IP地址出現重復狀況時,一定會產生很多的問題,很多數據將產生沖突和錯誤,使網絡的部分功能處于混亂中而無法正常工作。網絡管理員針對這種情況就需要ARP進程的幫助,在系統中運行進程,使局域網中的每一臺主機都能接收到與自身獨立IP相對應的數據信息,并且還需要對相同IP地址的主機進行跟蹤,找出問題主機的真正IP地址,將其更正過來。很多情況下,應用假IP的主機都是有問題的,或許是操作人員在進行工作時進行了錯誤的更改,也可能是惡意攻擊。ARP進程的運行也會對MAC地址的映射給予應答,以此來完成相應數據信息的解析和處理。如果主機接入的具有制定IP地址的解析請求是從局域網廣播處接入的,就可以收到ARP應答。當能夠收到ARP應答時,就說明這個接收信息的IP與其相對應的主機處于活動狀態。
2.2SSL的協議分析
SSL協議能獲悉,在計算機通信技術的應用中推進Internet的傳輸,最終使其傳輸性能得到較大幅度的提升,這樣就能讓傳輸的數據可靠性得到保障。第一,先要使用SSL協議對計算機通信技術的無線視頻監控開展對應分析。我們知道SSL協議經常被應用到無線視頻監控系統內,其中較為常用的系統分別是服務器、客戶端模式組網和硬件采集控制系統等。不同的控制系統功能性不同,尤其是服務器是整個系統中的關鍵構建,在基于SSL協議視頻通話采集中進行播放和轉發,能構建更好的信息資源,然后讓所有的信息經由通道傳輸到數據庫內;客戶端方向,能夠獲悉SSL協議的支持下,所有的管理人員選擇對應的視頻通道,然后將其傳輸到服務器端,確定視頻流的信息;硬件采集端方面,先要以SSL協議的視頻監控系統為信息采集的不同階段分段點傳輸信息,通過建立對應的服務器,將所有的采集點都發送到服務端上。綜上所述,在SSL安全協議的支持下,所有的計算機通信系統能否與客戶開展對應的連接,讓信息傳輸的安全性能得以保障是我們要探究的問題。另外需要詳細說明的是,在以SSL安全協議為依托的無線視頻流中建立對應的傳輸模塊,并對不同的信息開展分類,形成命令對應函數接口,此過程中,要對所有具備的函數接口開展對應的API后,讓所有的SSL加密通信傳輸得到發展。第二,分析SSL安全協議以后先要對其網絡中的技術進行分析。(1)網絡通信技術使用。SSL安全協議先要將TCP、IP協議為依托,建立“socket”的系統化通信機制,該通信機制主要是借用應用程序提供統一的編程接口,然后將下層的通信協議與其他的物質介質進行屏蔽,這能為后續系統的深入開發奠定堅實的技術支持。另外,Socket該通信機制主要是為計算機的無線數據連接提供服務,這項服務能支持雙向數據流的傳輸,也能保證數據傳輸的真實與可靠性。(2)多線程技術。以SSL安全協議為前提基礎的多線程技術主要是在信息傳輸中構建對應的資源信息,并在資源信息構建期間避免其他的非法資源入侵。其實所有的多線程計算機均具有硬件支持能力,在同一時間內通過執行多項線程活動,能在SSL安全協議支持下,確定線程情況后,讓操作臺通過多項線程的執行,以提升信號的辨識精度和效率。
3結語
計算機通信技術的應用越來越廣泛,在應用的過程中需要使用安全協議來保護網絡安全。所以需要相關技術人員加強對安全協議的改善和研究,使安全協議在使用過程中能夠獲得更好的應用價值。
參考文獻:
VPN建在互聯網的公共網絡架構上,通過“安全隧道”協議,在發送端加密數據、在接收端解密數據,以保證數據的私密性。但是,現行IPSec標準 VPN的廣泛使用卻給公司內部IT部門帶來無窮的煩惱,因為IPSec VPN的使用者在下載軟件和維持連接時需要IT部門的支持。另外,在接入網絡和寬帶網絡廣泛使用NAT技術,也給IPSec VPN的接入帶來了麻煩,因為數據包在進入Internet之前,必須進行一次從私有Internet地址到公用Internet地址的轉換,而IPSec 本身卻要求包在發出和被收到期間都不能發生任何改變。雖然最近新的NAT-T 協議支持IPSec VPN,但是配置的復雜程度非常高。
因此,人們又把目光投向原先用于應用層加密的SSL(Secure Socket Layer,安全套接層)技術。希望這種面向應用的SSL協議能夠承載比原來更多的內容,為用戶提供更簡便的接入方式,以替代復雜的IPSec VPN技術。
左看右看SSL
SSL協議最初由Netscape公司發起,現已成為網絡用來鑒別網站和網頁瀏覽者身份以及在瀏覽器使用者和網頁服務器之間進行加密通信的全球化標準。由于SSL技術已建立到所有主要的瀏覽器和Web服務器程序中,因此,僅需安裝數字證書或服務器證書就可以激活服務器功能了。我們常用的IE瀏覽器和IIS Web 服務器就默認支持SSL協議。
適用范圍
大多數SSL VPN本質上都是支持SSL方式的Http反向和加密通道,由IE瀏覽器客戶端開始,以Http服務器為總結。這樣,它們非常適合于具有Web功能的應用,只要通過任何Web瀏覽器即可訪問。Http反向支持其他的查詢/應答應用,譬如基本的電子郵件、復雜的ERP和CRM等客戶機/服務器應用。換句話說,SSL VPN技術最為適用的典型應用環境包括ERP、CRM、SCM、OA、財務、人力資源及物流管理等應用管理系統,還有電子商務交易平臺、局域網內共享文件資源、電子郵件或者是IT年投入在50萬元(人民幣)以上的企業應用。如果從行業角度來看,像具有分布式網絡應用、諸如金融、電信、政府機關及制造業等中大型企業都適合選用這種技術。對于這些類型應用的訪問,SSL VPN為遠程連接提供了簡單、經濟的方案,是一種即插即用型、不需要任何附加的客戶端軟件或硬件的安全產品。
絕對優勢
與IPSec的第三層加密的VPN技術相比,SSL VPN顯然和SSL一樣,是一個第七層(應用層)加密的技術。因此它的優點是明顯的,不會受到三到四層網絡協議變化的影響,實施和部署起來也更加靈活,不必考慮太多網絡的拓撲結構及對連接可能產生的影響。此外,SSL VPN不需要另外安裝客戶端軟件的特性和IPSec VPN配置的復雜性形成了鮮明的對比。
相對劣勢
然而,大多數SSL VPN也存在一個弱點,就是它們僅提供訪問Web應用的能力,不能滿足企業用戶所需的訪問C/S應用的能力。目前,許多公司都依賴一些遺留下來的系統,如Oracle和SAP等廠商提供的C/S應用,所以它們不能考慮SSL VPN,或者僅僅部分使用SSL VPN。但是,事實并非如此。由于技術的使用,使得除了SSL能訪問的傳統應用類型外,現在能提供對更多類型應用的訪問能力。
VPN流行色
目前,能夠提供支持SSL VPN技術的解決方案還不多,大多數VPN安全廠商還鎖定在IPSec VPN技術上,但隨著移動商務的普及,有不少廠商開始將目光轉向了SSL VPN。附表便描述了國外主流VPN廠家對SSL VPN的支持情況。
從附表我們可以看到,北電網絡(Nortel )、彩虹天地和諾基亞(Nokia)及(NetScreen)是同時提供支持IPSec VPN和SSL VPN技術的安全廠商。
樸實無華的SSL VPN
北電網絡在Alteon 交換機的先進技術的基礎上推出 Alteon SSL的SSL VPN解決方案。除了支持常用的Web方式以外,還通過Java Applet的方式和增強的客戶端方式,保證Web為主的各種應用程序都能通過SSL VPN來進行訪問。這種SSL VPN是通過在傳統IPSec VPN上加載SSL軟件來實現的。
10月21~24日,在北展舉辦的第5屆安全展上,用戶可以看到與國外幾乎同步上市的SSL VPN產品。一個是彩虹天地的NetSwift iGate,一個是諾基亞的NSAS。
密鑰在握的SSL VPN
彩虹天地SSL VPN方案又稱“一站式”Web安全解決方案,它通過USB硬件密鑰的方式來加強客戶端的身份認證功能。
NetSwift iGate由硬件和軟件兩部分組成:硬件是指標準1U(或2U)設備iGate和iKey密鑰(如圖1所示),前者工作于防火墻和后端服務器之間,從客戶端到iGate采用SSL協議加密,而iGate與服務器間的通信使用標準Http協議,它內置10/100/1000Mbps自適應網卡,使用Rainbow特有的CryptoSwift SSL加速卡完成SSL加解密工作;后者用于客戶端登錄,用戶只要將它插入客戶機,通過iKey+PIN碼的雙因素認證方式,即可將信息安全地傳遞到iGate,由iGate將其解密后以Https協議傳遞到后端服務器,而從服務器返回的信息再由iGate加密后傳遞到客戶端。軟件是指內置在硬件中的操作系統和管理軟件,以及ACM訪問控制管理工具及客戶端軟件(iKey驅動和瀏覽器插件)。
NetSwift iGate獨特之處在于不僅針對網頁或非網頁應用程序進行保護,更能將SSL加密隧道結合獨有的雙因素身份認證來確認遠程訪問者的真實身份,避免口令泄露和黑客入侵等可能帶來的損失。
控于掌股間的SSL VPN
諾基亞安全接入系統Nokia Secure Access System(NSAS)即是SSL遠程接入解決方案,它是一個單一的、工作于防火墻之后的硬件設備。NSAS具有兩大與眾不同之處,一是采用先進的接入控制技術。NSAS不僅僅是一個基于SSL的VPN解決方案,它還是一個采用了比一般的SSL VPN更高明技術的方案――基于連接狀態的安全接入控制。通常的SSL VPN只為特定用戶設定權限,但不能根據客戶端狀況發放訪問權限,而NSAS卻能夠透過諾基亞完整性掃描和數字證書的出示,辨別用戶身份、所采用的通信工具、接入時的安全狀況(比如是否安裝了防毒軟件等),自動調整用戶的接入權限。如果用戶得到完全信任,則開放所有訪問權限;如果身份被認可而安全性證明不足,則只開放郵件系統。可以說,客戶端完整性掃描是NSAS獨有的技術,它可以讓網管監測到遠端用戶是否使用系統規定的安全產品(如防毒或防火墻等),也可以幫助網管判斷遠端用戶機是否為其他計算機所控制及屬于何種接入設備等。
NSAS的另一個獨特性質是具有持續性會話(Session Persistence)功能。當用戶的SSL會話因沒有話務活動而超時后,允許用戶進行恢復工作,以避免數據丟失,并使用戶對話不出現中斷。
應用“三家巷”
通過在防火墻后面部署一個 SSL VPN的Gateway,同時開放一個響應的SSL VPN端口,就可以讓Internet上的用戶訪問到公司內部網絡了(如圖2所示)。
用戶可以通過3種不同的客戶端形式,在任意類型的網絡中,訪問到公司內部的資源。
第1種方式:完全通過瀏覽器方式訪問公司。這種方式對于Web應用是最直接的方式。
第2種方式:通過瀏覽器和Java Applet的方式。主要用于訪問諸如E-mail或者Telnet等服務時候使用。
第3種方式:通過特定的客戶機來訪問公司內部網絡,主要為支持客戶機和服務器方式的應用程序。
同時這3種方式都可以支持用戶認證和訪問控制,并且和公司本身身份認證系統相結合(如Radius和LDAP身份認證等)。
后記
SSL VPN作為一個新興的技術,有著強大的生命力。但是它只能解決一部分IPSec VPN所不能解決的問題。因此它會作為 PC to Gateway方式的VPN一個主要解決方案,來提供客戶端到公司內部網絡的訪問需求。而對于 LAN to LAN的VPN 方案而言,IPSec依然有它速度和性能上的強大優勢。因此這兩種技術會相輔相成,很長一段時間,一直到IPv6到來的那一天。
安全新風向
移動商務風起云涌,安全問題隨風而至。SSL VPN可謂服務于移動商務的急先鋒,接下來,將有不勝枚舉的各式各樣支持移動商務的安全產品迭出。比如在第5屆安全展上,人們看到的諾基亞Nokia Access Mobilizer(NAM),一種允許企業員工通過無線網絡使用任何配有瀏覽器的設備,讓用戶可以安全、直觀和簡單的方式訪問企業的電子郵件、附件、日歷、聯系人列表、任務列表、內部網和啟用HTML的企業應用等。用戶可以閱讀Microsoft Word文檔、RTF文件、Adobe PDF文檔、Microsoft Excel文件和Microsoft PowerPoint文件,查看圖像文件,閱讀網站新聞,回復或轉發電子郵件并保留“已發送(Sent)”的內容。當用戶選擇查看一封電子郵件或瀏覽內部網站點時,NAM在數據傳輸過程中重新制作數據的格式,根據用戶選擇的偏好提供對內容的實時訪問,并動態地對用戶的這種偏好進行優化,使其能夠顯示在不同外形(和物理限制)的設備上。
關鍵詞:IPSec VPN;SSL VPN;VPN;虛擬專用網絡
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)21-5088-04
1虛擬專用網絡
1.1虛擬專用網絡(VPN:Virtual Private Network)
VPN是通過公用網絡(如Internet)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。隨著網絡,尤其是網絡經濟的發展,企業規模日益擴大,客戶分布日益廣泛,合作伙伴日益增多,傳統企業網基于固定地點的專線連接方式,已難以適應現代企業的需求。于是企業在自身網絡的靈活性、安全性、經濟性、擴展性等方面提出了更高的要求。虛擬專用網(VPN)以其獨具特色的優勢,可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。因此,虛擬專用網贏得了越來越多的企業的青睞,通過將數據流轉移到低成本的網絡上,一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。同時這也將簡化網絡的設計和管理。令企業可以較少地關注網絡的運行與維護,更多地致力于企業商業目標的實現。如下圖可以清楚的看到目前流行的,應用比較廣泛兩種VPN的連接方式——IPsec VPN和SSL VPN。
圖1
1.2 VPN有多種,每種都能滿足特定的需求
下面是二種主要的VPN:
1)內部網接入VPN:接入VPN讓移動辦公者和小型辦公室/家庭辦公室SOHO能通過基礎的共享設施遠程接入總部的內部網和外聯網。該方式使用專用連接通過共享基礎設施將地區性辦事處和遠程辦公室與總部的內部網絡連接起來。內部網接入VPN與外聯網VPN區別在于,前者只允許企業的雇員訪問。
2)外聯網VPN:(“外聯網(Extranet)”是不同單位間為了頻繁交換業務信息,而基于互聯網或其他公網設施構建的單位間專用網絡通道。因為外聯網涉及到不同單位的局域網,所以不僅要確保信息在傳輸過程中的安全性,更要確保對方單位不能超越權限,通過外聯網連入本單位的內網。)外聯網VPN使用專用連接通過共享基礎設施將商業伙伴與總部網絡連接起來。外聯網VPN與內部網VPN的區別在于,前者允許企業以外的用戶訪問。
1.3 IPSec VPN
IPSec是現在企業網絡通訊應用中被廣泛使用的加密及隧道技術,同時也是在不犧牲安全性前提下,被選用來在網絡第三層建立IP-VPN的方法,特別是對于無法負擔Frame Relay或ATM高額費用的中小企業而言,IPSec的應用是一項福音。而目前SSL VPN以其設置簡單無需安裝客戶端的優勢,越來越受到企業的歡迎,可望成為未來企業確保信息安全的新寵。
IPSec VPN即指采用IPSec協議來實現遠程接入的一種VPN技術,IPSec是IETF(Internet Engineer Task Force)正在完善的安全標準,相對于SSL VPN而言應用較早的一種VPN技術。IPSec協議是一個范圍廣泛、開放的虛擬專用網安全協議,它提供所有在網絡層上的數據保護,提供透明的安全通信。IPSec是基于網絡層的,不能穿越通常的NAT、防火墻。
1)IPsec協議
IP_SECURITY協議(IPSec),通過相應的隧道技術,可實現VPN。IPSec有兩種模式:隧道模式和傳輸模式。IPSec協議不是一個單獨的協議,它給出了應用于IP層上網絡數據安全的一整套體系結構,包括網絡認證協Authentication Header(AH)、封裝安全載荷協議Encapsulating Security Payload(ESP)、密鑰管理協議Internet Key Exchange(IKE)和用于網絡認證及加密的一些算法等。IPSec規定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換,向上提供了訪問控制、數據源認證、數據加密等網絡安全服務。
2)IPSec VPN接入
通過在兩站點間創建隧道提供直接(非方式)接入,實現對整個網絡的透明訪問;一旦隧道創建,用戶PC就如同物理地處于企業LAN中。就通常的企業高級用戶(Power User)和LAN-to-LAN連接所需要的直接訪問企業網絡功能而言,IPSec無可比擬。然而,典型的SSL VPN被認為最適合于普通遠程員工訪問基于Web的應用。SSL VPN不需要在最終用戶的PC和便攜式電腦上裝入另外的客戶軟件。有些公司之所以選擇SSL而不是IPSec,這項不需要客戶軟件的功能正是一個重要因素。因為最終用戶避免了攜帶便攜式電腦,通過與因特網連接的任何設備就能獲得訪問,SSL更容易滿足大多數員工對移動連接的需求。但SSL VPN也有其缺點:業內人士認為,這些缺點通常涉及客戶端安全和性能等問題。對E-mail和Intranet而言,SSL VPN是很好;但對需要較高安全級別(SSL VPN的加密級別通常不如IPSec VPN高)、較為復雜的應用而言,就需要IPSec VPN。
摘要:SSL VPN;IPSec VPN;網絡平安
VPN 是一項非常實用的技術,它可以擴展企業的內部網絡,近期,傳統的IPSec VPN 出現了客戶端不易配置等新問題,相對而言,SSL VPN作為一種全新的技術正在被廣泛關注,SSL利用內置在每個Web瀏覽器中的加密和驗證功能,并和平安網關相結合,提供平安遠程訪問企業應用的機制,這樣,遠程移動用戶可以輕松訪問公司內部B/S和C/S應用及其他核心資源。
1 什么是SSL VPN
SSL VPN是指應用層的VPN,基于HTTPS來訪問受保護的應用。目前常見的SSL VPN方案有兩種摘要:直路方式和旁路方式。直路方式中,當客戶端需要訪問一應用服務器時,首先,客戶端和SSL VPN網關通過證書互相驗證雙方;其次,客戶端和SSL VPN網關之間建立SSL 通道;然后,SSL VPN 網關作為客戶端的和應用服務器之間建立TCP 連接,在客戶端和應用服務器之間轉發數據。旁路方式和直路不同的是,為了減輕在進行SSL加解密時的運行負擔,也可以獨立出SSL加速設備,在SSL VPN Server 接收到HTTPS 請求時將SSL加密的過程交給SSL加速設備來處理,當SSL加速設備處理完之后再將數據轉發給SSL VPN Server 。
2 SSL VPN的平安性
保密性就是對抗對手的被動攻擊,保證信息不泄漏給未經授權的人。由于使用的是SSL協議,該協議是介于 HTTP層及TCP 層的平安協議。傳輸的內容是經過加密的。SSL VPN通過設置不同級別的用戶,設置不同級別的權限來屏蔽非授權用戶的訪問。用戶的設置可以有設置帳戶、使用證書、Radius機制等不同的方式。SSL數據加密的平安性由加密算法來保證,各家公司的算法可能都不一樣。黑客想要竊聽網絡中的數據,就要能夠解開這些加密算法后的數據包。
完整性就是對抗對手主動攻擊,防止信息被未經授權的篡改。由于 SSL VPN 一般在 GATEWAY 上或者在防火墻后面,把企業內部需要被授權外部訪問的內部應用注冊到 SSL VPN上,這樣對于GATEWAY來講,需要開通 443 這樣的端口到SSL VPN即可,而不需要開通所有內部的應用的端口,假如有黑客發起攻擊也只能到SSL VPN這里,攻擊不到內部的實際應用。
可用性就是保證信息及信息系統確實為授權使用者所用。前面已經提到,對于SSL VPN要保護的后臺應用,可以為其設置不同的級別,只有相應級別的用戶才可以訪問到其對應級別的資源,從而保證了信息的可用性。
可控性就是對信息及信息系統實施平安監控。SSL VPN作為一個平安的訪問連接建立工具,所有的訪問信息都要經過這個網關,所以記錄日志對于網關來說非常重要。不僅要記錄日志,還要提供完善的超強的日志分析能力,才能幫助管理員有效地找到可能的漏洞和已經發生的攻擊,從而對信息系統實施監控。 3 SSL VPN的優勢
3.1 零客戶端
客戶端的區別是SSL VPN最大的優勢。瀏覽器內嵌了SSL協議,所以預先安裝了Web瀏覽器的客戶機可以隨時作為SSL VPN的客戶端。這樣,使用零客戶端的SSL VPN遠程訪問的用戶可以為遠程員工、客戶、合作伙伴及供給商等,通過SSL VPN,客戶端可以在任何時間任何地點對應用資源進行訪問,也就是說是基于B/S結構的業務時,可以直接使用瀏覽器完成SSL的VPN建立;而IPSec VPN只答應已經定義好的客戶端進行訪問,所以它更適用于企業內部。
3.2 平安性
SSL VPN的平安性前面已經討論過,和IPSec VPN相比較,SSL VPN在防病毒和防火墻方面有它特有的優勢。
一般企業在Internet 聯機入口,都是采取適當的防毒偵測辦法。不論是IPSec VPN或SSL VPN聯機,對于入口的病毒偵測效果是相同的,但是比較從遠程客戶端入侵的可能性,就會有所差別。采用IPSec 聯機,若是客戶端電腦遭到病毒感染,這個病毒就有機會感染到內部網絡所連接的每臺電腦。而對于SSL VPN的聯機,病毒傳播會局限于這臺主機,而且這個病毒必須是針對應用系統的類型,不同類型的病毒是不會感染到這臺主機的。因此通過SSL VPN連接,受外界病毒感染的可能性大大減小。
3.3 訪問控制
用戶部署VPN 是為了保護網絡中重要數據的平安。IPSec VPN只是搭建虛擬傳輸網絡,SSL VPN重點在于保護具體的敏感數據,比如SSL VPN可以根據用戶的不同身份,給予不同的訪問權限。就是說,雖然都可以進入內部網絡,但是不同人員可以訪問的數據是不同的。而且在配合一定的身份認證方式的基礎上,不僅可以控制訪問人員的權限,還可以對訪問人員的每個訪問,做的每筆交易、每個操作進行數字簽名,保證每筆數據的不可抵賴性和不可否認性,為事后追蹤提供了依據。
3.4 經濟性
使用SSL VPN具有很好的經濟性,因為只需要在總部放置一臺硬件設備就可以實現所有用戶的遠程平安訪問接入。但是對于IPSec VPN 來說,每增加一個需要訪問的分支,就需要添加一個硬件設備。就使用成本而言,SSL VPN具有更大的優勢,由于這是一個即插即用設備,在部署實施以后,一個具有一定IT知識的普通工作人員就可以完成日常的管理工作。
綜觀上述,SSL VPN在其易于使用性及平安層級,都比IPSec VPN高。我們都知道,由于Internet的迅速擴展,針對遠程平安登入的需求也日益提升。對于使用者而言,方便平安的解決方案,才能真正符合需求。
參考文獻
[1Tuchman W. Hellman Presents no Shortcut SolutionstoDES.IEEE Spectrum, July 1979,
16(7)摘要: 40~41.
