加密通道比较常见的是VPN系统。一般VPN系统采用的用户认证方式为用户名/口令的方式,存在一定的安全隐患,同时也不方便用户的使用(需要安装客户端软件,并设置组用户名/密码,登录用户名/密码)。
本技术方案采用SSL V3作为通道传输的标准,同时,提供智能卡(内含数字证书)进行身份认证和数字签名的SSL VPN方案(注:该智能卡同时也是用户登录OA或其他信息系统的凭证)。实现在传输过程中的安全性同时,提高用户使用的方便性。
二、技术方案
1. SSL VPN与IPSec VPN
目前在VPN领域存在着基于IPSec和SSL协议之争,由于员工在外远程访问的机会愈来愈多,使得基于SSL 的VPN技术的重要性日益提升,基于SSL的 VPN势将成为远程访问方案的主流;不过,SSL
VPN不会取代现有的IPSec VPN,IPSec仍适用于办公室之间的固定式联机,二者会彼此共存。
就在当前大多数远程访问解决方案是利用基于IPSec安全协议的VPN网络的情况下,一种最新的研究表明近乎90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如Notes客户端、聊天协议和其它私有客户端应用,属非因特网应用。而这些90%的应用都可以利用一种更加简单的VPN技术--SSL
VPN来提供更加有效的解决方案。基于SSL协议的VPN远程访问方案更加容易配置和管理,网络配置成本比起目前主流的IPSec VPN还要低许多,所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现VPN通信了。
2. 时代亿信SSL VPN的主要优点
(1)无需安装客户端软件:基于SSL协议的远程访问是不需要在远程客户端设备上安装软件。只需通过标准的Web浏览器连接因特网,即可以通过网页访问到企业总部的网络资源。这样无论是从软件协议购买成本上,还是从维护、管理成本上都可以节省一大笔资金,特别是对于大、中型企业和网络服务提供商。
(2)适用大多数设备:SSL VPN的开放体系可以在运行标准的浏览器下可以访问任何设备,包括非传统设备,如可以上网的电话和PDA通讯产品。这些产品目前正在逐渐普及,因为它们在不进行远程访问时也是一种非常理想的现代时尚产品。
(3)适用于大多数操作系统:可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问,不管操作系统是Windows、Macintosh、UNIX还是
Linux。可以对企业内部网站和Web站点进行全面的访问。用户可以非常容易地得到基于企业内部网站的资源,并进行应用。
(4)良好的安全性:基于SSL的Web访问并不是网络的真实节点,就像IPSec安全协议一样。而且还可访问公司内部资源。因此,这种方法可以非常安全的,特别是对于外部用户的访问。
(5)采用USB接口的智能卡进行身份认证和证书存储,提高了系统使用的安全性和可移动性。用户可以随身携带智能卡,在任何一台互连网机器上进入VPN系统。
(6)较强的资源控制能力:允许公司为远程访问用户进行详尽的资源访问控制。
(7)可以绕过防火墙和代理服务器进行访问:基于SSL的远程访问方案中,使用NAT(网络地址转换)服务的远程用户或者因特网代理服务的用户可以从中受益,因为这种方案可以绕过防火墙和代理服务器进行访问公司资源,这是采用基于IPSec安全协议的远程访问所很难或者根本做不到的。
3. 时代亿信SSL VPN技术实现
3.1 时代亿信SSL VPN的工作技术原理
SSL协议的主要用途是在两个通信应用程序之间提供私密性和可靠性,这个过程通过3个元素来完成:
(1)握手协议:这个协议负责协商用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加密算法和认证方式,并使用公钥技术来生成共享密钥。
(2)记录协议:这个协议用于交换应用数据。应用程序消息被分割成可管理的数据块,还可以压缩,并产生一个MAC(消息认证代码),然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压并重新组合,把结果提供给应用程序协议。
(3)警告协议:这个协议用于标示在什么时候发生了错误或两个主机之间的会话在什么时候终止。
SSL VPN通信的握手步骤如下:
第1步,SSL客户机连接至SSL服务器,并要求服务器验证它自身的身份;
第2步,服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链,直到某个根证书颁发机构(CA)。通过检查有效日期并确认证书包含可信任CA的数字签名来验证证书的有效性。
第3步,服务器发出一个请求,对客户端的证书进行验证,但是由于缺乏公钥体系结构,当今的大多数服务器不进行客户端认证。
第4步,协商用于加密的消息加密算法和用于完整性检查的哈希函数,通常由客户端提供它支持的所有算法列表,然后由服务器选择最强大的加密算法。
第5步,客户机和服务器通过以下步骤生成会话密钥:
◆ 客户机生成一个随机数,并使用服务器的公钥(从服务器证书中获取)对它加密,以送到服务器上。
◆ 服务器用更加随机的数据(客户机的密钥可用时则使用客户机密钥,否则以明文方式发送数据)响应。
◆ 使用哈希函数从随机数据中生成密钥。
3.2 时代亿信SSL VPN的建设
(1)部署一台SSL VPN服务器(包括主机和相关软件),用户通过SSL VPN服务器访问内部应用系统;
(2)用户端不用安装任何VPN客户端软件(当然也没有任何配置),当用户使用Internet
Explorer访问内部应用系统时,自动使用智能卡对用户的身份进行认证;
三、基于SSL的VPN系统技术指标
技术指标 时代亿信SSL VPN系统
服务器操作系统 Microsoft Window NT4.0、Microsoft Window2000、UNIX、Linux
支持软件 JAVA应用服务器,数据库
服务器内存 256M,推荐512M及以上
服务器CPU 1.8G或以上
磁盘空间要求 取决于数据库用户数
支持用户数 不限制
每笔身份认证时间 0.12秒(需要考虑网络延时因素)
并发处理 70/秒笔同时访问(与内存资源相关)
加密强度 a.对称加密
◆ 128位高强度对称加密,
◆ 硬件对称加密,支持国密办批准的加密算法。
b.非对称加密
1024位RSA加密、数字签名
加密算法 a.对称加密
SDBI(国密办批准)、3DES、IDEA等算法
b.非对称加密
RSA算法
加密(数字信封)的性能指标 文件大小(MB) 数字信封所用时间(s)
5 1
10 2
20 4
30 6
40 9
50 18
100 80
150 237
200 384
四、时代亿信SSL VPN使用步骤
用户使用Windows PC通过SSL VPN访问内部系统时,需要对PC的DNS解析作一定的配置,将内部应用系统相关的域名解析到SSL
VPN服务器上,具体操作有下面两种方法(假定SSL VPN服务器的IP地址为61.49.7.133):
◆ 方法一 修改hosts文件
在系统目录下查找到文件名为"hosts"的文件(例如windows
2000上hosts文件的路径为c:\winnt\system32\drivers\etc\hosts;windows
XP/2003上hosts文件的路径为c:\windows\system32\drivers\etc\hosts;假设操作系统安装在C盘),在文件的末尾添加如下内容:
61.49.7.133 oa.test.com.cn
61.49.7.133 system.com.cn
61.49.7.133 其它内部应用域名
◆ 方法二 添加指定的DNS服务器
打开网络连接的属性页,将61.49.7.133设置为首选DNS服务器
DNS解析的配置完成后,就可以插上智能卡,打开浏览器(Internet Explorer)访问内部应用系统了。