数据的私密性:在传输过程中可以使数据保持隐藏,不被非法查看;
·数据的真实性和完整性:因为在有关数字加密、安全协议有关的技术可以确保数据在传输过程中不被修改或者损坏;
·连接的可靠性:数据加密的另一个数学特征是可以证明事件的发生。在使用SSL协议的通信中,每一个应用是一个安全的独立体,而不像IPSec那样,操作与应用脱节。要使用SSL协议进行VPN通信,则所进行的远程通信应用必须能识别SSL技术,不过现在常见的应用一般都能识别SSL技术的,如IE、Netscape浏览器,OutLook、
Eudora 邮件应用等。
目前SSL VPN主要应用于采用VPN与远程网络进行通信的应用主要是基于Web的客户,这些Web应用目前主要是内部网页游览、电子邮件及其它基于Web的查询工作。
在SSL VPN通信中通常还合用一种SSL Proxy(SSL代理)的技术来提高VPN服务器的通信性能和安全身验证能力,主要表面在以下两个方面:
(1)增加通信连接的性能
SSL本身就是一种非常快的协议,像所有加密协议一样, 在安全的通信建立之前它必须采用专门的CPU来提高数学运算速度。其中的一个运算法则就是RSA,RSA运算法则是采用SSL协议在客户端和服务器端传递密钥的。许多Modem拨号Web服务器,大约每秒可经接受75个新的SSL连接,每一个新的连接RSA都必须完成翻译和检验工作。如果系统每秒所有接受超过75个,CPU的利用率就会超过可接受有极限而停止对新的网络连接请求进行响应。
为了提高服务器的接受能力,SSL代理可以采用SSL加速器技术。一个SSL加速器就像一个486SX/DXPC机上的核心处理器一样。SSL加速器就可以分担服务器CPU的计算任务,通过加速后,一部只能完成接受每秒75个SSL连接的服务器,就可达到接受每秒800个以上连接的性能。
你可能对如果在你的服务器有一个SSL加速器时,为什么还需要SSL代理产生疑惑。事实上理解起来非常简单,还是一个节省资金的问题。对于一个大、中型企业,或者网络服务提供商,通常可能有多台接入服务器,如果没有SSL代理技术,则你有多少服务器需要SSL加速器,就得需要大笔的资金为每一台服务器都配置SSL加速器S。SL代理的好处就是可以使多台服务器共用一个SSL加速器。
从安全代理到网络代理,例如你现在可以开通每钞800条SSL连接来访问你的资源,而只需要维护后端服务器的一个SSL代理连接。注意安全代理可以减少在后端服务器中打开的SLL连接数量,尽管服务器每秒的连接达到800个。这样的好处就是使你的服务器的SSL连接永远不会超出负荷。
(2)内置身份验证
商业SSL协议的另一个优势就是内置身份验证方法。SSL协议的身份验证方法包括在服务器端和客户端进行的密码身份验证方法。不管怎样,所有安全都是基于一个理论:客户端的私钥密码要求安全保管。如果这个密钥遭到破坏或者丢失,你就不可能再得到客户的信任。这样就需要在SSL顶级授权机构申请添加一个新的身份验证方法,以使您的用户或者客户承认你的身份。不管怎样,SSL代理都可为客户在连接后端网络资源前提供强大的身份验证。SSL代理可以执行比后端资源自身的身份验证方法更加强大的身份验证,许多Web服务器自身并不支持比SSL更加强大的身份验证方法。