首页天道酬勤安全网连接方法,安全连接是什么意思

安全网连接方法,安全连接是什么意思

admin 08-18 22:53 338次浏览

通常的连接方式中,通信是以非加密的形式在网络上传播的,这就有可能被非法窃听到,尤其是用于认证的口令信息。为了避免这个安全漏洞,就必须对传输过程进行加密。对HTTP传输进行加密的协议为HTTPS,它是通过SSL(Secure socketlayer)进行HTTP传输的协议,不但通过公用密钥的算法进行加密保证传输的安全性,而且还可以通过获得认证证书CA,保证客户连接的服务器没有被假冒。

使用公用密钥的方式可以保证数据传输没有问题,但如果浏览器客户访问的站点被假冒,这也是一个严重的安全问题。这个问题不属于加密本身,而是要保证密钥本身的正确性问题。要保证所获得的其他站点公用密钥为其正确的密钥,而非假冒站点的密钥,就必须通过一个认证机制,能对站点的密钥进行认证。当然即使没有经过认证,仍然可以保证信息传输安全,只是客户不能确信访问的服务器没有被假冒。如果不是为了提供电子商务等方面对安全性要求很高的服务,一般不需要如此严格的考虑。

一、SSL协议工作机制

SSL除了可以用在Web服务器与浏览器之间信息交换以外,还可以支持其他我们所熟识的网络应用。以TCP/IP网络层来看,SSL是定位在网络层之上的应用协议,如图:

HTTP FTP SMTP

Secure Socket Layer

TCP层

IP层

任何以TCP/IP层以上的网络协议SSL都可以支持,因此HTTP、FTP、SMTP等等皆是SSL的保护范围。SSL协议一共包含两个部分:SSLHandshake协议和SSL Record协议。前者是负责通信前的一些参数协商,后者则是定义SSL的内部数据格式。

SSL Handshake协议

SSL中Handshake协议可以说是SSL的前置步骤,就好象初次见面的两个人回先自我介绍一番再开始谈话一样。通信的双方(商店的服务器与客户计算机)先进行“沟通”与“协调”有关SSL通信的参数设置,其中包括:

※通信中所使用的SSL版本。

※信息加密用的算法

※客户端的身份验证要求

※所使用的公开金钥算法

这个协议的饿大致步骤如下:

(1)Client Hello:首先,由客户端计算机向服务器Say Hello,并同时将客户端计算机所能支持的安全模块告诉对方,以便沟通。信息内容包括:SSL协议版本、本次联机的饿识别码以及加密模块等。

(2)Server Hello:这时商店端服务器在收到这个信息后,立即送出包含以下信息的响应信息给客户端:

※服务器的数字证书,让客户端可以检查服务器的身份。

※如果服务器要求双方相互认证的话,则送出“认证请求”的信息。要求客户端也提出识别身份的数字证书。(淘宝的帐单支付就是这样)

※服务器用来加密的密钥。

(3)加解密参数:当客户端收到服务器的信息后,就可根据要求来响应,并且也将客户端的公用金钥也送给对方,作为后续信息的加解密之用。到这个阶段为止,通信双方都已经达成了共识,并准备传送真正的信息内容。

(4)HTTP数据流:协调的工作已经大功告成了!这时双方就可以HTTP协议来进行数据交换了。

SSL Record协议

wjdnmRecord协议,是在描述SSL信息交换的过程中的记录格式。SSL协议是介于应用层和网络层之间,因此它回接收来自应用层的信息,并加以包装后交由下一层(也就是网络层来传送)。

二、关于HTTPS SSL证书问题

SSL证书是在SSL通信中验证通信双方身份的数字文件。SSL证书一般分为服务器证书和客户端证书,我们通常说的SSL证书主要指服务器证书。目前的SSL证书以X.509 V3为标准,每个证书绑定了一个唯一甄别名(DN-Distinguished Name ),还可以包含多个字段和值,还可以支持别名(SAN ,Subject Alternative Name )。

主流浏览器:IE、Netscape/Mozilla,Opera和Safari会预先安装一部分根证书,这些根证书都是受信任的证书认证机构CA,这样他们颁发的证书,浏览器将可以直接信任。虽然用户可以删除或者禁用这些根证书,但事实上,用户很少这么做。在最新的微软平台,甚至会在用户移除了预先安置的根证书后,当用户再访问这些被删除的根证书网站的时候,会自动将这些根证书恢复到信任列表中。

SSL证书的工作流程

※用户连接到你的Web站点,该Web站点受服务器证书所保护。(可由查看 URL的开头是否为"https:"来进行辩识,或浏览器会提供你相关的信息)。

※你的服务器进行响应,并自动传送你网站的数字证书给用户,用于鉴别你的网站。(此证书的根证书如果不在浏览器中已安装的受信任机构根证书列表中,则浏览器会发出警告,提示用户正在访问一个不安全的网站!)

※用户的网页浏览器程序产生一把唯一的"会话钥匙码",用以跟网站之间所有的通讯过程进行加密。

※使用者的浏览器以网站的公钥对交谈钥匙码进行加密,以便只有让你的网站得以阅读此交谈钥匙码。

※现在,具有安全性的通讯过程已经建立。这个过程仅需几秒中时间,且使用者不需进行任何动作。依不同的浏览器程序而定,使用者会看到一个钥匙的图标变得完整,或一个门栓的图标变成上锁的样子,用于表示目前的工作阶段具有安全性。

如何申请SSL证书

申请SSL证书主要需要经过以下3个步骤:

1、制作CSR文件。CSR就是Certificate Secure Request证书请求文件。这个文件是由申请人制作,在制作的同时,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENSSL命令行来生成KEY+CSR2个文件,Tomcat,JBoss,Resin等使用KEYTOOL来生成JKS和CSR文件,IIS通过向导建立一个挂起的请求和一个CSR文件。如果不愿意学习文档,可以使用一些在线工具,如: https://www.myssl.cn/openssl/createcsr.asp ,通过这些工具会产生2个文件,必须都保存好。

2、CA认证。将CSR提交给CA,CA一般有2种认证方式:1、域名认证,一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称;2、企业文档认证,需要提供企业的营业执照。一般需要3-5个工作日。 也有需要同时认证以上2种方式的证书,叫EV证书,这种证书可以使IE7以上的浏览器地址栏变成绿色,所以认证也最严格(这个不是免费的,是需要年费的哦。当然也可以自己给自己认证,只不过不受浏览器信任)。

3、证书的安装。在收到CA的证书后,可以将证书部署上服务器,一般APACHE文件直接将KEY+CER复制到文件上,然后修改HTTPD.CONF文件;TOMCAT等,需要将CA签发的证书CER文件导入JKS文件后,复制上服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。或者可以通过一些网络工具 https://www.myssl.cn/guide/openssl.asp 将KEY和CER合并为服务器可读的证书格式,导入服务器。

三、关于SSL VPN

所谓的SSL VPN,指的是使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器连回公司内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间,SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。而同样在这些地方,设置传统的IPSec VPN非常困难,甚至是不可能的,这是由于必须更改网络地址转换(NAT)和防火墙设置。

通过SSL VP N远程访问企业内部网络的构架

SSL VPN的实现

简单的来讲,SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间连接。掌握四个关键术语的含义有助于理解SSL VPN是如何实现的。即:代理、应用转换、端口转发和网络扩展。

SSLVPN网关至少要实现一种功能:代理Web页面。它将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器,然后将服务器的响应回传给终端用户。

对于非Web页面的文件访问,往往要借助于应用转换。SSL VPN网关与企业网内部的微软CIFS 或FTP服务器通信,将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端,终端用户感觉这些服务器就是一些基于Web的应用。

有一些应用,如微软Outlook或MSN,它们的外观会在转化为基于Web界面的过程中丢失。此时要用到端口转发技术。端口转发用于端口定义明确的应用。它需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,它们通过SSL连接中的隧道被传送到SSL VPN网关,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。使用端口转发器,需要终端用户指向他希望运行的本地应用程序,而不必指向真正的应用服务器。

一些SSL VPN网关还可以帮助企业实现网络扩展。它将终端用户系统连接到企业网上,并根据网络层信息(如目的IP地址和端口号)进行接入控制。虽然牺牲了高级别的安全性,却也换来了复杂拓扑结构下网络管理简单的好处。

SSL VPN的优势

在最重要的安全性方面,由于SSL协议本身就是一种安全技术,因此SSL VPN就具有防止信息泄漏、拒绝非法访问、保护信息的完整性、防止用户假冒、保证系统的可用性的特点,能够进一步保障访问安全,从而扩充了安全功能设施。首先SSL VPN可以实现128位数据加密,保证数据在传输过程中不被窃取,确保ERP数据传输的安全性。其次,多种认证和授权方式的使用能够只让“正确”的用户访问内部网络,从而保护了企业内部网络的安全性。

在应用性方面,SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet,即可访问企业的网络资源。这样尽管购买软件和硬件的费用不一定低,但是 SSL VPN的部署成本却很低。只要安装了SSL VPN,基本上就不需要IT部门的支持了,所以维护成本可以忽略不计。对于那些只需进入企业内部网站或者进行E-mail通信的远程用户来说,SSL VPN显然是一个价廉物美的选择。

此外,SSL VPN连接要比IPSec VPN更稳定,这是因为IPSec VPN是网络层连接,故容易中断。而SSL协议只对通信双方所进行的应用通道进行加密,而不是对从一个主机到另一主机的整个通道进行加密。除此之外,在管理维护和操作性方面,SSL VPN方案可以做到基于应用的精细控制,基于用户和组赋予不同的应用访问权限,并对相关访问操作进行审计。此外,SSL VPN还提高了平台的灵活性,方便扩展应用和增强性能,尤其是在降低使用成本、最有效地保护用户投资这一敏感话题上,SSL VPN赢得了用户最终的好感。

更值得一提的是,当今Web成为标准平台已势不可挡,越来越多的企业开始将系统移植到Web上。而SSL VPN通过特殊的加密通讯协议,被认为是实现远程安全访问Web应用的最佳手段,能够让用户随时随地甚至在移动中连入企业内网,将给企业带来很高的利益和方便。

无疑,伴随企业信息化程度的加深,远程安全访问、协同工作的需求会日益明显,SSL VPN技术由于拥有全方位的优势,取代传统的组网技术成为主流已为时不远。

SSL VPN的应用

SSL VPN可以为企业提供多种远程访问的服务。就下面常用服务进行介绍:

E-mail:对于企业来说,电子邮件通信是一个很基本的功能。IPSec VPN可以保护邮件系统的安全性,但是IPSec VPN需要安装客户端软件并且连接企业网络,然后才能使用内部的邮件系统。如果员工使用他人的电脑设备或者在其他的的网络中时,就会面临对方防火墙的地址转换和安全策略带来的障碍,无法连接企业网络,从而无法使用内部邮件系统。外出的工作人员在酒店里由于这些问题无法连接到企业内部网络是非常让人头疼的问题。SSL VPN提供了一个比较好的方案,员工使用任何一个带有浏览器的电脑就可以访问基于Web的电子邮件系统,通过SSL VPN建立的安全通道收发邮件。SSL VPN还会把企业内部所有的域名和服务器地址隐藏起来,以提高企业网络的安全性。

内部网访问:即使不在办公室,企业员工也需要使用内部网中的一些文件资源,但是一般情况下企业不会开放整个内部网络以实现文件访问。SSL VPN可以让企业员工在任何地方,使用任何一个包含浏览器、连接到Internet的接入设备,实现对内部特定资源的访问。

面向合作伙伴的网络资源:为了提高工作效率和加强合作关系,企业通常会对合作伙伴开放内部站点和网络资源。考虑到企业信息的保密性,如何能保证只有指定的合作伙伴才能访问相应的资源,以及保证信息在网络上传递时不被截获,就成为企业必须解决的问题。IPSec VPN在部署时无法保证对最终用户的访问限制,即只允许合作伙伴访问内部网络中的指定资源,而且部署IPSec VPN会要求更改合作伙伴防火墙的安全策略,这是很难实现的。SSL VPN则完全不存在上述问题,企业甚至可以限制某一个合作伙伴只能访问一个站点中的某些页面和文件夹,并且不需要修改合作伙伴的安全策略,只要合作伙伴能够访问Internet即可。

目前形式

随着Web应用的增多以及远程接入需求的增长,SSL VPN正在成为一个热门市场。虽然目前大部分的远程接入服务都是由IPSec VPN来实现的,不过业内人士指出,大约90%的企业利用IPSec VPN只是用来进行电子邮件通信以及访问Web应用,只有10%的用户利用IPSec VPN访问非Web应用。也就是说目前90%的IPSec VPN应用都可以被SSL VPN来实现,而SSL VPN更加容易配置和管理,实现成本要比IPSec VPN低很多。 经过几年的发展,如今许多的大型公司对SSL VPN技术趋之若鹜,吸引着包括思科、诺基亚、Array Networks等在内的国际知名厂商。目前,几乎所有的主流商业浏览器都集成了SSL,实施SSL VPN不需要再安装额外的软件。Infonetics预测,在未来几年,SSL VPN设备的全球销售将会出现持续增长。SSL VPN为运营商提供了新创收机遇,它为运营商及最终用户创造的优势是以往任何技术都无法比拟的。现在,SSL VPN在一些1级运营商中的部署获得成功,SSL VPN高速发展的时机已经到来

dubbo怎么实现consumer从多个group中调用指定group的providerLaravel代码中如何正确使用数据库事务移动应用安全开发标准(移动应用安全开发标准有哪些)用Python爬了微信好友怎么用Flask快速实现分页效果怎么利用CSS实现文字二次加粗和多重边框效果Laravel中如何使用PHP的装饰器模式C#日期格式化的几个要点小结K8S之StatefulSet有状态服务详解云主机怎么安装Cloudera UHost
边缘检测和轮廓提取区别,verilog 边缘检测 SSL 连接过程详解
相关内容