ssl协议范文
时间:2023-11-26 15:15:13
ssl协议篇1
[关键词] 网络安全 VPN SSL 体系结构 工作模式
VPN(Virtual Personal Network,虚拟专用网)是通过一个私有的通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网,通过在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。SSL VPN是一种新的VPN的实现方法,是可靠安全地构建VPN的一种模式。
一、SSL协议
1.SSL概述
SSL(Secure Socket Layer,安全套接层)协议是 Netscape 公司于1994年提出的一个网络安全通信协议,是一种在两台机器之间提供安全通道的协议。它具有保护传输数据,以及识别通信机器的功能。SSL最初是通过加密HTTP连接为Web浏览器提供安全而引入的。
SSL在TCP上提供一种通用的通道安全机制,任何可以在TCP上承载的协议都能够使用SSL加以保护。在TCP或IP四层协议族中,SSL协议位于传输层与应用层之间,基于可靠传输协议TCP,服务于各种应用层协议,如HTTP、POP、TELNET等,它们在SSL协议上运行分别被称作HTTPS、POPS、TELNETS协议等,分别对应的端口号为443、995、992等。
图1 SSL协议结构图
2.SSL体系结构
SSL协议在结构上分为两个层次:底层为记录层协议(Record Protocol),负责封装高层协议(包括握手协议)的数据,保证SSL连接的数据保密性和完整性;高层为握手层,由四个并行的协议构成:握手协议(Handshake Protocol)、修改密码参数协议(Change Cipher Spec Protocol)、报警协议(Alert Protocol)、应用数据协议(Application data Protocol),高层协议需要记录层协议支持,其中握手协议与其他的高层协议不同,主要负责在交换应用层数据之前进行协商加密算法与密钥,其他高层协议属于应用开发的范畴,而要得到握手协议的支持,而握手协议则是SSL底层实现必须具有的功能,因为记录层协议的完成也由它来保证。
二、基于SSL协议的VPN技术研究
1.SSLVPN概念
SSL VPN是指一种基于数据包封装技术的,利用SSL或TLS协议结合强加密算法和身份认证技术的,可靠安全地构建VPN的一种方法。它作为一种新的VPN的实现方法,SSL VPN可以用来构建外联网、内联网和远程接入访问。它通过数据包封装的隧道技术来实现虚拟专用网的私有性,通过PKI技术和密码学技术来鉴别通信双方的身份和确保传输数据的安全。
2.SSL VPN的工作模式
(1)基于Web模式的SSL VPN系统
客户端使用浏览器通过SSLVPN 服务器来访问企业局域网的内部资源。SSLVPN 服务器相当于一个数据中转站,Web浏览器对WWW服务器的访问经过SSL VPN服务器的处理(解密、身份鉴别、访问控制)后转发给WWW服务器,从WWW服务器发往Web浏览器的数据经过SSL VPN服务器处理(过滤、加密)后送到Web浏览器。
图2 基于Web模式的SSL VPN系统
(2)基于客户模式的SSL VPN
用户在客户端安装一个SSL VPN客户端程序,当客户端访问企业内部的应用服务器时,需要经过SSL VPN客户端程序和SSL VPN服务器之间的保密传输后才能到达。从而在SSLVPN客户端和 SSLVPN服务器之间,由SSL协议构建一条安全通道,保护客户端与SSLVPN服务器之间的数据传输。此时,SSLVPN服务器充当服务器的角色,SSL VPN客户端充当客户端的角色。
图3 基于客户端模式的SSL VPN系统
(3)局域网到局域网模式的SSL VPN系统
在网络边缘都安装和配置了SSLVPN服务器。当一个局域网内的终端要访问远程网络内的应用服务器时,需要经过两个SSL VPN服务器之间的保密传输后才能到达。从而在两个SSLVPN服务器之间,由SSL协议构建一条安全通道,保护局域网之间的数据传输。此时,SSL VPN服务器充当安全网关的角色。
图4 局域网到局域网模式的SSL VPN系统
参考文献:
[1]徐家臻陈莘萌:基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004,(04)
[2]张梅:SSL VPN关键技术研究与系统设计[D].信息工程大学, 2006
ssl协议篇2
[关键词] 电子商务 SSL协议 SET协议
一、引言
电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经成为人类跨入知识经济新纪元的重要标志之一。但美国的一个调查机构显示超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。安全是电子商务发展的核心问题。
保证电子商务安全,其核心在于安全协议。迄今为止,国内外已经出现了多种电子支付协议,目前有两种安全在线支付协议被广泛采用,即安全套接层SSL协议和安全电子交易SET协议,二者均是成熟和实用的安全协议。
二、安全套接层协议(SSL)
SSL协议是由网景公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中,采用了公开密钥和私有密钥两种加密方法。
它已成为事实上的工业标准,独立于应用层,可加载任何高层应用协议,适合为各类C/S模式产品提供安全传输服务。它提供一种加密的握手会话,使客户端和服务器端实现身份验证、协商加密算法和压缩算法、交换密钥信息。这种握手会话通过数字签名和数字证书来实现客户和服务器双方的身份验证,采用DES、MD5等加密技术实现数据的保密性和完整性。在用数字证书对双方的身份验证后,双方就可以用密钥进行安全会话。
1.SSL安全协议主要提供三方面的服务
(1)用户和服务器的合法性认证:认证用户和服务器的合法性,使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号,这些识别号由公开密钥进行编号,为了验证用户是否合法,SSL要求在握手交换数据进行数字认证,以此来确保用户的合法性。
(2)加密数据以隐藏被传送的数据:SSL采用的加密技术既有对称密钥技术,也有公开密钥技术。在客户机与服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手情息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。
(3)护数据的完整性:SSL采用Hash函数和机密共享的方法来提供信息的完整性服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
2.SSL协议的缺点
(1)客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证。
(2)SSL只能保证资料信息传递的安全,而传递过程是否有人截取就无法保证了。所以,SSL并没有实现电子支付所要求的保密性、完整性,而且多方互相认证也是很困难的。
三、安全电子交易SET协议
SET协议是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。
1.SET支付系统的组成
SET支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地,基于SET协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。
2.SET安全协议主要提供三方面的服务
(1)保证客户交易信息的保密性和完整性:SET协议采用了双重签名技术对SET交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;而金融机构看不到交易内容,只能接收到用户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。
(2)确保商家和客户交易行为的不可否认性:SET协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性,采用的核心技术包括X.509电子证书标准,数字签名,报文摘要,双重签名等技术。
(3)确保商家和客户的合法性:SET协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。
3.SET协议的缺点
(1)只能建立两点之间的安全连线,所以顾客只能把付款信息先发送到商家,再由商家转发到银行,而且只能保证连接通道是安全的而没有其他保证。
(2)不能保证商家会私自保留或盗用他的付款信息。
4.SSL与SET协议的比较
(1)在认证要求方面,早期的SSL并没有提供商家身份认证机制,不能实现多方认证;而SET的安全要求较高,所有参与SET交易的成员都必须申请数字证书进行身份识别。
(2)在安全性方面,SET协议规范了整个商务活动的流程,从而最大限度地保证了商务性、服务性、协调性和集成性。而SSL只对持卡人与商店端的信息交换进行加密保护,可以看作是用于传输的那部分的技术规范。从电子商务特性来看,它并不具备商务性、服务性、协调性和集成性。因此SET的安全性比SSL高。
(3)在网络层协议位置方面,SSL是基于传输层的通用安全协议,而SET位于应用层,对网络上其他各层也有涉及。
(4)在应用领域方面,SSL主要是和Web应用一起工作,而SET是为信用卡交易提供安全,但如果电子商务应用是一个涉及多方交易的过程,则使用SET更安全、更通用些。
四、结束语
ssl协议篇3
关键词:电子商务 SSL协议 SET协议
1引言
随着计算机网络技术向整个经济社会各层次延伸,网络安全已成为现代计算机网络应用的最大障碍,也是继续解决的难题之一。能否在网上实现安全的电子支付是电子商务交易的一个重要环节。从目前来看,虽然电子支付安全问题还没有形成公认的成熟的解决方法,但是自从SSL安全协议和SET安全协议问世后,困扰人们心中的这一问题得到了缓解,现在SSL安全协议和SET安全协议已经被广泛地应用在电子商务活动中的安全支付环节。
2 SSL安全协议
2.l SSL安全协议概念
SSL安全协议又叫安全套接层(Secure Sockets Layer)协议,是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中,采用了公开密钥和私有密钥两种加密方法。它是根据邮件通路的原理设计的。它是基于TCP/IP协议之上的应用程序,主要用于提高应用程序之间数据的安全系数。
2.2 SSL安全协议主要服务
(1)用户和服务器的合法性认证。认证用户和服务器的合法性,使得它们能够确信数据将被发送到正确的客户机和服务器上。
(2)加密数据以隐藏被传送的数据。SSL所采用的加密技术既有对称密钥技术,也有公开密钥技术。在客户机与服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手信息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别,这样就可以防止非法用户进行破译。
(3)保护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供信息的完整,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
2.3 SSL安全协议的使用步骤
SSL安全协议的使用步骤包括:
(1)建立连接阶段。客户通过网络向服务商打招呼,服务商回应。
(2)密码交换阶段。客户与服务商之间交换双方认可的密码。
(3)会谈密码阶段。客户与服务商之间产生彼此交谈的会谈密码。
(4)检验阶段。检验服务商取得的密码。
(5)客户认证阶段。检验客户的可信度。
(6)结束阶段。客户与服务商之间相互交换结束的信息。
当上述动作完成之后,两者间的资料传送就会加以密码,等到另外一端收到资料后,再将编码后的资料还原。即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也不能获得可读的有用资料。在电子商务交易过程中,由于有银行参与,按照SSL协议,客户购买的信息首先发往商家,商家再将信息转发银行,银行验证客户信息的合法性后,通知商家付款成功,商家再通知客户购买成功,将商品寄送客户。
2.4 对SSL安全协议的评价
SSL安全协议虽说是国际上最早应用于电子商务的一种网络安全协议,但是目前仍受一些网上商家的青睐。主要原因是它解决了传统交易方式中的“信任危机”问题。我们知道SSL协议根据邮购的原理进行了流程改造,因而希望银行能为它们的交易信用给予认证,以避免商家发货后客户不付款或者客户付款后商家不发货的情况发生,正当更多的人对电子商务活动感到缺乏安全性时,SSL安全协议的出现多少取消了人们这方面的顾虑。
但是,SSL协议也存在一些缺点:在SSL协议中,客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证。所以,SSL并没有实现电子支付所要求的保密性、完整性,而且多方互相认证也是很困难的。SSL协议的安全性基于商家对客户信息保密的承诺,因此说客户信息的安全性系于商户的承诺基础之上.所以说SSL协议是一个有利于商家而不利于顾客的协议。
3 SET安全协议
为了促进电子商务的发展,彻底解决在线交易中商家和客户信息的安全传输问题,同时为了改进SSL安全协议不利于客户的缺陷,全球著名的信用卡集团Visa Card和Master Card联袂开发了SET电子商务交易安全协议。这是一个为了在因特网上进行在线交易而设立的开放的安全电子支付体系。SET克服了SSL安全协议有利于商家而不利于顾客的缺点,它在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。
3.1 SET安全电子交易协议的概念
安全电子交易协议(Secure Electronic Transaction)是由Visa Card和Master Card于1997年5月联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商家及持卡人的合法身份以及可操作性。SET中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。SET协议主要是为了在因特网上进行在线交易时,保证使用信用卡进行支付的安全而设立的一个开放的协议,是面向网上交易、针对利用信用卡进行支付而设计的电子支付规范,由于SET协议得到了HP、IBM,Microsot等公司的支持,因此,迅速在全世界得到广泛应用。
3.2 SET安全协议的安全目标
SET安全协议要达到的目标主要有5个:
(1)保证信息在因特网上安全传输,防止数据被黑客或被内部人员窃取。
(2)保证电子商务参与者信息的相互隔离。客户的资料加密或打包后通过商家到达银行,但是商家不能看到客户的帐户和密码信息。
(3)解决多方认证问题.不仅要对消费者的信用卡认证,而且要对在线商店的信誉程度认证,同时还有消费者、在线商店与银行间的认证。
(4)保证网上交易的实时性,使所有的支付过程都是在线的。
(5)效仿EDI贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性和互操作功能,并且可以运行在不同的硬件和操作系统平台上。
3.3 SET协议的工作流程
(1)购物阶段
消费者利用自己的PC机通过因特网选定所要购买的物品,并在计算机上输入货单。订货单上需包括在线商店、购买物品名称及数量、交货时间及地点等相关信息。
(2)商品交易确认阶段
通过电子商务服务器与有关在线商店联系,在线商店作出应答,告诉消费者所填订货单的货物单价、应付款数、交货方式等信息是否准确,是否变化。
(3)支付初始化请求和响应阶段
当客户决定要购买商家的商品并使用SET钱夹付钱时,商家服务器上POS软件发报文给客户的浏览器SET钱夹付钱,SET钱夹则要求客户输入口令然后与商家服务器交换“握手”信息,使客户和商家相互确认,即客户确认商家被授权可以接受信用卡,同时商家也确认客户是一个合法的持卡人。
(4)支付请求阶段
客户发一报文包括订单和支付命令。在订单和支付命令中必须有客户的数字签名,同时利用双重签名技术保证商家看不到客户的账户信息。只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。
(5)授权请求阶段
在线商家收到订单后,向消费者所在银行请求支付认可。POS组织一个授权请求报文,其中包括客户的支付命令,发送给支付网关。授权请求报文到达收单银行后,收单银行再到发卡银行确认。批准交易后,返回确认信息给在线商店。
(6)授权响应阶段
收单银行得到发卡银行的批准后,通过支付网关发给商家授权响应报文。
(7)支付响应阶段
商家发送购买响应报文给客户,客户记录交易日志备查。在线商店发送货物或提供服务,并通知收单银行将钱从消费者的账号转移到商店账号,或通知发卡银行请求支付。在处理过程中,通信协议、请求信息格式、数据类型的定义等,SET都有明确的规定。在操作的每一步,消费者、在线商店、支付网关都通过CA来验证通信主体的身份,以确保通信和对方不是冒名顶替。所以,也可以简单地认为,SET规格充分发挥了认证中心的作用,以维护在任何开放网络上的电子商务参与者提供信息的真实性和保密性。
3.4 对SET安全协议的评价
SET安全协议从面市以来,由于设计合理,得到了IBM,HP,Microsoft,Netscape等许多大公司的支持,保持了良好的发展趋势。因为SET改进了SSL安全协议有利于商家而不利于顾客的缺点,它在保留对客户信用卡认证的前提下,又增加了对商家身份的认证,这对于需要支付货币的交易来讲是至关重要的。SET安全电子交易是基于因特网的卡式支付,是授权业务信息传输的安全标准,它采用RSA公开密钥体系对通信双方进行认证,利用对称加密方法进行信息的加密传输,并用HASH算法来鉴别消息真伪、有无涂改。在SET体系中有一个关键的认证机构(CA),CA负责和管理证书。
但是随着进一步应用我们也会发现一些问题。(1)协议没有说明收单银行给在线商店付款前,是否必须收到消费者的货物接受证书。如果在线商品提供的货物不符合质量标准,消费者提出疑义,责任由谁承担。(2)协议没有担保“非拒绝行为”,这意味着在线商店没有办法证明订购不是由签署证书的消费者发出的。(3)SET技术规范没有提及在事务处理完成后,如何安全地保存或销毁此类数据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。
4总结
在现有的网上交易的安全协议中主要有SSL和SET两种, 由于宿舍SSL协议的成本低、速度快、使用简单, 对现有网络系统不需进行大的修改, 因而目前取得了广泛的应用。而在SET协议中, 客户端需安装专门的电子钱包软件, 在商家服务器和银行网络上也需安装相应的软件;并且SET协议非常复杂、庞大,处理速度慢。但是, 由于SET协议位于应用层, 它不仅规范了整个商务活动的流程, 而且制定了严格的加密和认证标准, 具备商务性、协调性和集成;SET协议对交易的各个环节都进行了认证, 所以, SET协议的安全性更高。
其实网上银行的安全涉及到方方面面,不只是一个完善的安全支付协议,一堵安全的防火墙或者一个电子签名就能简单解决的问题。所以,现在银行必须加大加强管理力度,加大宣传力度,帮助顾客树立起安全意识,指导用户该如何正确使用网上银行,并发动社会各方面的力量,寻求多方联动的策略来保证网上银行的安全。只有社会各界一起努力,才能保证电子支付的安全;只有社会各界一起努力,才能保证网上银行的安全;也只有社会各界一起努力,才可以保证电子商务的安全,保证电子商务的快速有序的发展。
参考文献:
[1]刘卫宁, 宋伟.电子商务中在线支付的安全保障[M].北京;万方数据电子出版社,2004
[2]龚本灿, 周学君.SSL协议和SET协议的分析与比较[J].三峡大学学报,2004
ssl协议篇4
关键词:网上支付;SSL安全协议;信用卡支付流程
中图分类号:F49文献标识码:A
一、网上支付的概念及其基本流程
1、网上支付是电子支付的一种形式。广义地讲,网上支付指的是客户、商家、网络银行(或第三方支付)之间使用安全电子手段,利用电子现金、银行卡、电子支票等支付工具通过互联网传送到银行或相应的处理机构,从而完成支付的整个过程。
2、网上支付基本流程。①填写订单,加密交易信息、支付信息,发送到商家服务器;②审核交易信息,传递支付信息(加密)支付网关收单行;③收单行与开户行对支付信息进行确认,返回授权响应信息;④商家组织发货;⑤开户行与收单行资金划拨清算,并返回支付成功信息。
二、网上支付模式
保证支付工具的真实与识别该使用者的合法身份是金融业在网络环境下实现网上支付所面临的问题。解决这一问题的关键是使用安全的网上支付模式,SSL和SET是目前实现安全电子支付的两种主要模式。目前,基于SSL安全协议的信用卡支付模式得到广泛发展,而SET模式并未普及,故本文围绕SSL网上支付模式展开研究。
1、SSL协议及相关概念
(1)SSL安全套接层协议。SSL协议是Netscape公司于1994年提出的一个关注互联网信息安全的信息加密传输协议,其目的是为客户端(浏览器)到服务器端之间的信息传输构建一个加密通道,此协议是与操作系统和Web服务器无关。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议:它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议:它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
(2)HTTPS安全超文本传输协议。HTTP提供了一种非常适宜使用SSL来保护其安全的特性。它是第一个使用SSL的协议,到目前为止仍然是最重要的使用SSL来保护其安全的协议。在1995年,Netscape公司的NetscapeNavigotor2中公开发表了SSL上的HTTP实现,当时是采用的独立端口策略。为了将其与HTTPURL区分开来,SSL上的HTTP用来获取页面的URL以HTTPS://开头,这种方案就成为HTTPS名称的来由。
2、SSL协议工作原理
(1)客户端向服务器发送一个开始信息以便开始一个新的会话连接,协商传送加密算法。举例说明:你好,服务器。我想和你进行安全对话,我的对称加密算法有DES、RC5,我的密钥交换算法有RSA和DH,摘要算法有MD5和SHA。
(2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的信息时将包含生成主密钥所需的信息,并发送服务器数字证书。举例说明:你好,客户端。那我们就使用DES-RSA-SHA这对组合进行通讯,为了证明我确实是服务器,现在发送我的数字证书给你,你可以验证我的身份。
(3)客户根据收到的服务器响应信息,检查服务器的数字证书是否正确,通过CA机构颁发的证书验证了服务器证书的真实有效性后,产生一个主密钥,并用服务器的公开密钥加密后传给服务器。举例说明:服务器,我已经确认了你的身份,现在将我们本次通讯中的密钥发送给你。
(4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。举例说明:客户端,我已经获取了密钥。我们可以开始通信了。
一般情况下,当客户端是保密信息的传递者时,不需要数字证书验证自己身份的真实性,如电子银行的应用,客户需要将自己的账号和密码发送给银行,因此银行的服务器需要安装数字证书来表明自己身份的有效性。在某些B2B应用,服务器端也需要对客户端的身份进行验证,这时客户端也需要安装数字证书以保证通讯时服务器可以辨别出客户端的身份,验证过程类似于服务器身份的验证过程。
3、SSL协议工作层次。随着电子商务的不断发展,SSL协议得到了越来越广泛的使用。SSL协议是介于HTTP协议与TCP之间的一个可选层,从上至下分别为HTTP、SSL、TCP、IP层。安全连接的建立要求在连接建立以后再次进行握手。即在“著名的TCP/IP三次握手”以后再次利用证书来握手。
4、SSL协议介入特征。当在浏览器的地址栏的开头是HTTPS而不是HTTP,在浏览器的右下角有一把锁,说明已经建立起SSL加密通道。访问过程中HTTP层首先将请求转换成HTTP请求,然后SSL层通过TCP和IP层实现浏览器和服务器握手(HANDSHAKE),服务器层获得密钥,最后TCP层与服务器之间建立了加密通道,实现了双方安全交换信息的目的。
三、基于SSL安全协议的信用卡支付模式
1、初级信用卡在线支付SSL模式工作流程。①客户开设信用卡账户;②填写订单信息,选择信用卡支付,将订单信息+支付信息商家服务器;③商家服务器返回订单ID客户端,由支付网关传递支付信息客户发卡行;④发卡行在客户端浏览器弹出页面,SSL协议介入;⑤客户端与发卡行通过数字证书相互验证身份;⑥进行SSL握手协议,建立安全信道;⑦客户端浏览器出现支付页面,输入密码;⑧确认支付后,提示离开SSL安全连接,SSL介入结束;⑨发卡行传送支付确认信息商家服务器,商家组织发货;⑩发卡行与商家开户行进行资金清算。
初级SSL支付模式存在两个主要缺陷,其分别是:①客户的支付信息将被商家所获知;②缺少商家对客户的身份验证。基于上述两种原因,改良式的SSL信用卡支付模式应运而生,在这一模式中,商家生成的订单信息将经由客户端浏览器转发到发卡行的支付网关进行支付,有效地避免了原SSL模式下商家获知客户支付信息的缺点,其也是国内各大商业银行主要采用的模式。
2、改良在线支付SSL模式工作流程。①客户开设信用卡账户;②填写订单信息商家服务器;③商家服务器返回订单信息(加密)+数字签名客户端;④发卡行选择是否验证商家身份,确认订单,经由支付网关传送订单信息+支付信息发卡行服务器;⑤发卡行在客户端浏览器自动弹出页面,SSL协议介入;⑥客户端与发卡行通过数字证书相互验证身份,进行SSL握手协议,建立安全信道;⑦客户端浏览器出现支付页面,输入密码;⑧确认支付后,提示离开SSL安全连接,SSL介入结束;⑨发卡行传送支付确认信息商家服务器,商家组织发货;⑩发卡行与商家开户行进行资金清算。
ssl协议篇5
关键词:SSL;arp欺骗;中间人攻击;认证
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2012)33-7913-02
Internet的飞速发展给人们交换信息带来了极大的便利,信息安全问题也随之而来。为了解决网络中的信息安全问题,SSL协议应运而生。SSL协议为TCP/IP链接提供数据加密和认证等功能,从而为数据通信建立了一条安全通道。
1 SSL协议的安全性分析
SSL协议通过数据密钥进行加密,利用数字签名进行身份认证,这种数据加密和身份认证的安全机制能保证通信内容安全和完整,但是在实际应用中,例如在点对点数据过程中仍存在漏洞,会受到攻击。
1.1 SSL协议介绍
SSL是Netscape公司于1996年推出的安全协议,它利用数据加密和认证技术保证数据传输安全,当前版本为SSL3.0。SLL协议分为上下两层,下层协议是记录协议,它的作用是对上层传输来的数据进行封装、压缩和加密等;下层协议是握手协议,它的作用是为通信双方提供相互认证、协商参数和交换密钥等功能。SSL记录协议为数据提供加密服务,能够保证通信信道的安全,在一定程度上能防止数据被窃听、篡改等安全攻击,那么SSL的安全是通过握手协议来进行保证的。SSL工作流程大致如下:
1)客户端向服务器发送开始信息Client-hello消息,包含加密参数和加密算法,开始一个新的会话连接;
2)服务器根据客户的信息确定是否需要生成新的主密钥,向客户端发送Server-hello消息、Server-certificate消息、Server-exchange消息、Server-hello-done消息,若服务器对客户端有认证请求,还会发出Certificate-request消息;
3)客户端根据Server-certificate消息对服务器证书进行认证,证书通过客户端验证后,以三个消息进行回应,即Client-key-exchange、Change-cipher-spec消息和Client-verify-msg消息,如果接收到服务器发出的Certificate-request消息,客户端也会发出Client-certificate消息;
4)服务器收到Client-verify-msg消息消息,就会发送自己的Change-cipher-spec消息和Server-verify-msg消息让客户端认证服务器。
至此,所有的协商工作均已经完成,会话开始应用数据的发送,而且所有会话内容都经过加密保护。
1.2 中间人攻击分析
中间人攻击(MITM攻击)是一种间接的入侵攻击,就是通过拦截正常的网络通信数据,并进行数据篡改和嗅探,而通信的双方却毫不知情。这种攻击模式是通过各种技术手段将受控的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台受控的计算机就称为“中间人”。它负责“转发”两台计算机之间的通信,这种攻击方式很难被发现。实施中间人攻击时,攻击者常考虑的方式是ARP欺骗或DNS欺骗等。
SSL协议是C/S结构,使用公钥技术作为服务器认证的基础。SSL协议的安全是通过握手协议进行保证,而中间人攻击就是通过截获客户端和服务器握手过程中相互传递的消息,通过伪造证书从而获得主密钥,这样中间人拦截所有客户端的连接请求,利用它得到的SSL服务器证书,假冒服务器与客户端进行身份鉴别并建立SSL安全通道进行数据传输; 同时中间人又假冒客户端和服务器SSL连接,这样中间人就可以轻易地截获、转发客户端和服务器之间传送的数据并同时窃取敏感信息而不被发觉。
2 对策研究
SSL协议虽然提供了有效的认证机制,但还是无法阻止中间人攻击。在SSL握手协议中,由于SSL证书密钥的泄密,中间人就可以通过一定的技术手段,伪造出一个合法有效的SSL证书,通过数字签名得到服务器的认证。
SSL易遭受到中间人攻击的根本原因不在于服务器对用户的认证机制,而是用户对缺乏服务器的认证,这使得服务器认证机制没有被很好的实施。失效的服务器认证导致了用户向中间人泄露自己的身份标识,因此防范中间人攻击的有效方法是强制执行有效的合法的服务器认证机制。
2.1 双因素动态身份认证增强服务器认证
简单来说,双因素动态身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统,它属于带外认证。所谓带外身份验证是指由第三方值得信赖的媒体(Email或短消息验证)或者认证设备(认证令牌或动态口令卡)发行服务器主机密钥签名。它的最大优点在于用户每次使用的密码都不相同,使得不法分子无法冒充合法用户的身份,而且加密算法的安全性极高,在通信和会话的发起与传输过程中不怕被中间人替换或截获,从而来确认服务器证书的真实性和用户的真实性,而中间人攻击者却无法获得相关信息,以便它无法通过双方验证,再所难免的攻击失败。当然,这种方式比较麻烦,要求用户和服务器有其他的互动方式。
双因素动态身份验证,有效的提高了SSL服务器身份验证能力,可以发现服务器上的证书被篡改从而防御中间人攻击的威胁。利用动态身份验证发出一个临时代码,中间人由于缺乏秘密种子计算不出会话密钥,从而也就无法获得的服务器和客户端通信的内容,确保了会话的秘密性。而且双因素动态身份验证的临时验证码还用于增强用户身份验证机制,如果通过临时认证码的用户不能提供临时验证码计算的散列值,那么服务器就能确定通信方是不合法的用户。
由于需要身份的双重认证,双因素动态身份认证技术可抵御非法访问者,提高认证的可靠性,但是它最大的缺点是需要使用额外的通信手段。
2.2 身份认证增强服务器认证
数据安全的核心是建立一个安全的认证体系,SSL会话通信实际上是用户在使用客户端与服务器进行通信。为了实现用户身份的识别,在服务器的数据库中必然有一个与用户端共享的秘密数据作为通信会话时的私钥身份认证信号,如用户用于登陆服务器的帐号和密码。这些数据是在使用SSL协议进行数据传输之前就已经约定好的。用户的账号和密码是服务器和客户端已知的共享秘密数据,而不需要通过SSL协议本身来进行协商。中间人攻击之所以能成功的原因是因为SSL握手过程中私钥的泄密,现在在用户端向服务器发送会话开始消息时就加入用户的账号和密码这样的私钥来加强身份认证,客户端在接收到服务器的证书后进行验证,查看证书是否被修改从而判断是否为合法用户。
对于这样的身份认证的增强,中间人无法获取通信双方的私钥,导致了中间人身份认证的失败,协商终止,这种方案简单有效的阻止了中间人攻击。
3 结束语
总体来说,SSL协议是一个比较安全的网络协议,通过增强用户对服务器认证提高了SSL协议防御中间人攻击的能力。 但在实际应用中SSL协议缺乏证书和用户的有效检验与管理,导致SSL协议容易受到中间人攻击的威胁。虽然我们通过改进了SSL协议认证体制,提高了协议对中间人攻击的免疫力,但还需要协议本身不断完善。另外还需要人们提高安全意识,规范数字证书的签发体系等。
参考文献:
[1] 卿斯汉.安全协议[M].北京:清华大学出版社,2005.
[2] 康荣保.张玲.兰昆. SSL中间人攻击分析与防范[J].信息安全与通信保密,2010(3).
ssl协议篇6
[关键词] 电子商务 安全协议 SSL SET 3-D secure
一、引言
随着互联网日益普及,基于Internet的电子商务已经深入到人们生活的方方面面。安全是电子商务的基石,如何保证电子商务交易活动中信息的机密性、真实性、完整性、不可否认性和存取控制等是电子商务发展中迫切需要解决的问题。为了保障电子商务交易安全,人们开发了各种用于加强电子商务安全的协议。这些协议主要有:安全套接层协议SSL、安全电子交易协议SET、超文本传输协议SHTTP、3-D secure协议和安全电子邮件协议(PEM、S/MIME)等。这其中应用最为广泛的协议主要有SSL、SET和3-D secure协议。
二、电子商务安全协议
1.安全套接层协议(SSL)
安全套接层协议(Secure Socket Layer,简称SSL)是美国网景公司(Netscape)推出的一种安全通信协议,其主要设计目标是在Internet环境下提供端到端的安全连接。它能使客户/服务器应用之间的通信不被攻击者窃听。SSL协议建立在可靠的传输层协议之上。高层的应用层协议能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
2.安全电子交易协议(SET)
安全电子交易协议(Secure Electronic Transaction,简称SET)是美国Visa和MasterCard两大信用卡组织联合于1997年5月31日推出的电子交易行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。SET本身并不是一个支付系统,而是一个安全协议集,SET规范保证了用户可以安全地在诸如Internet这样的开放网络上应用现有的信用卡支付设施来完成交易。SET较好地解决了信用卡在电子商务交易中的安全问题。SET已获得IETF(The Internet Engineering Task Force,简称IETF)标准的认可。
3.三方域安全协议(3-D secure)
三方域安全协议(Three-Domain Secure,简称3-D secure)是Visa等继SET协议之后,推出的新一代的安全交易技术。与SET协议一样,它也是PKI(Public Key Infrastructure)框架下基于可信第三方的开放规范,设计目标同样是为在Internet上传输的信用卡支付信息提供安全保护机制。3D- Secure协议主要采用SSL 加密技术和商家服务器插件MPI( Merchant Server Plug- in) 技术来实现。在线交易中,它既能够查询并鉴别持卡人的身份,又能够保护支付卡信息在网络中传递的安全性。3D- Secure协议的这些功能是通过一个能够在支付交易过程中明确各方责任的模型――三方域模型( Three Domain Model) 。三方域模型的主要组成包括:发卡域、收单域和互操作域。
三、SSL与SET协议比较分析
SSL和SET是当前在电子商务中应用最为广泛的安全协议,两者的差别主要体现在以下几个方面。
1.工作层次
SSL协议工作于应用层和传输层之间,高层的应用层协议(例如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上。而SET工作于应用层。
2.认证机制
早期的SSL协议并没有提供身份认证机制,虽然在SSL3. 0中可以通过数字签名和数字证书实现浏览器和WEB服务器之间的身份认证,但仍不能实现多方认证。SET协议要求所有参与交易活动的各方都必须使用数字证书,较好的解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
3.安全程度
SET协议由于采用了非对称加密、消息摘要和数字签名可以确保信息的机密性、认证性、完整性和不可否认性,特别是SET协议采用了双重签名技术来保证各参与方信息的相互隔离,使商家只能看到持卡人的订单信息,而银行只能取得持卡人的信用卡信息。SSL协议虽也采用了公钥加密和信息摘要等技术,也可以提供机密性、完整性和一定程度的身份验证功能,但缺乏一套完整的认证体系,不能提供电子商务交易活动中非常重要的不可否认性证明。
4.运行效率
SET协议非常复杂、庞大、运行速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程非常耗时;而SSL协议则简单很多,运行效率也比SET协议高。
5.部署成本
SSL协议已被大部分的浏览器和WEB服务器内置,无须安装专门软件;而SET协议中客户端要安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件,部署成本高。
SSL协议与SET协议比较汇总如表1所示。
四、SET与3-D Secure协议比较分析
为了提高交易效率,降低部署成本,3-D Secure协议对SET协议进行了简化,两者的差别主要体现在以下几个方面。
1.机密性
SET协议和3-D Secure协议都使用对称和非对称两种加密技术来保证数据的机密性。但是SET协议采用双重签名技术来保证消费者机密信息对商家进行保密,而在3-D Secure协议中消费者的信息对商家来说是可见的。
2.不可否认性
SET协议使用数字签名来保证交易行为的不可否认性。3-D Secure协议规定发卡机构在通过持卡者向商家服务器发送信息之前,先要对其进行数字签名,以提供不可否认的证据。和SET相比,3-D Secure协议没有大量使用数字签名,但仍然可以提供不可否认性证明。
3.身份认证
SET协议使用证书和数字签名对消息来源进行身份认证。每个参与者都使用两个非对称密钥对,需要拥有两个由证书颁发机构同时产生和签署的证书。3-D Secure协议主要使用证书和口令对消息来源进行身份认证。不要求持卡者配备证书,但要求其他参与方都要有证书。
4.复杂性
与SET协议相比,3-D Secure协议在保证满足安全性要求的基础上简化了证书交换与大量的数字签名过程,从而使在线交易时间大大缩短,提高交易效率,降低部署成本。SSL协议与3-D Secure协议比较汇总如表2所示。
五、总结
SSL、SET和3-D secure协议是当前应用最为广泛的电子商务安全协议。三者相比,SSL协议相对简单,效率高且容易部署,但是它不支持多方认证,不支持不可否认性等电子商务安全性需求;SET协议虽然能够完全满足电子商务的安全性需求,但存在着协议复杂,效率低下,难以部署等问题。三者当中3-D Secure协议在保证满足安全性要求的基础上,对两者进行了适当的折衷,从而使在线交易时间大大缩短,使得电子商务在线交易的实施更加简捷。
参考文献:
[1]陆垂伟:电子商务中安全支付协议的研究[J].商场现代化,2006(06)
[2]戴小波:基于SET协议的安全电子商务研究[J].微计算机信息,2006(21)
ssl协议篇7
【关键词】SSL VPN;IPSEC VPN;网络安全
【中图分类号】TN711
【文献标识码】A
【文章编号】1672-5158(2012)12-0004-01
一、SSL VPN的基本学术概念
1.1 什么是SSL VPN
SSL(Secure Sockets Layer)是一种Intemet数据安全协议。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。VPN(Virtual Private Network虚拟专用网络),可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。VPN的核心就是在利用公共网络建立虚拟私有网,被定义为通过一个公用网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
SSL VPN就是指应用层的vpn,它是基于https来访问受保护的应用。目前常见的SSL VPN方案有两种方式:直路方式和旁路方式。直路方式中,当客户端需要访问一台应用服务器时:首先,客户端和SSL VPN网关通过证书互相验证双方;其次,客户端和SSL VPN网关之间建立ssl通道;然后,SSL VPN网关作为客户端的和应用服务器之间建立tcp连接,在客户端和应用服务器之间转发数据。旁路方式和直路不同的是:为了减轻在进行ssl加解密时的运行负担,也可以独立出ssl加速设备,在SSL VPN server接收到https请求时,将ssl加密的过程交给ssl加速设备来处理,当ssl加速设备处理完之后再将数据转发给SSL VPN server。
1.2 SSL VPN的特性
保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人。由于使用的是Ssl协议,该协议是介于http层及tcp层的平安协议,传输的内容是经过加密的。SSL VPN通过设置不同级别的用户和不同级别的权限来屏蔽非授权用户的访问。用户的设置可以有设置帐户、使用证书、radius机制等不同的方式。ssl数据加密的平安性由加密算法来保证,各家公司的算法可能都不一样。黑客想要窃听网络中的数据,就要能够解开这些加密算法后的数据包。
完整性就是对抗对手主动攻击,防止信息被未经授权的篡改。由于SSL VPN一般在gateway上或者在防火墙后面,把企业内部需要被授权外部访问的内部应用注册到SSL VPN上。这样对于gateway来讲,需要开通443这样的端口到ssl vpn即可,而不需要开通所有内部的应用的端口。假如有黑客发起攻击也只能到SSL VPN这里,攻击不到内部的实际应用。
可用性就是保证信息及信息系统确实为授权使用者所用。前面已经提到,对于SSL VPN要保护的后台应用,可以为其设置不同的级别,只有相应级别的用户才可以访问到其对应级别的资源,从而保证了信息的可用性。
可控性就是对信息及信息系统实施平安监控。SSL VPN作为一个平安的访问连接建立工具,所有的访问信息都要经过这个网关,所以记录日志对于网关来说非常重要。不仅要记录日志,还要提供完善的超强的日志分析能力,才能帮助管理员有效地找到可能的漏洞和已经发生的攻击,从而对信息系统实施监控。
二、SSL VPN的优势
2.1 零客户端
客户端的区别是SSL VPN最大的优势。浏览器内嵌了ssl协议,所以预先安装了web浏览器的客户机可以随时作为SSL VPN的客户端。这样,使用零客户端的SSL VPN远程访问的用户可以为远程员工、客户、合作伙伴及供给商等。通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问。也就是说是基于b/s结构的业务时,可以直接使用浏览器完成ssl的vpn建立;而IPSEC VPN只答应已经定义好的客户端进行访问,所以它更适用于企业内部。
2.2 平安性
SSL VPN的平安性前面已经讨论过,和IPSEC VPN相比较,SSL VPN在防病毒和防火墙方面有它特有的优势。
一般企业在Internet联机入口,都是采取适当的防毒侦测办法。不论是IPSEC VPN或SSL VPN联机,对于人口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSEC VPN联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。而对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
2.3 访问控制
用户部署vpn是为了保护网络中重要数据的平安。IPSEC VPN只是搭建虚拟传输网络,SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
2.4 经济性
使用SSL VPN具有很好的经济性,因为只需要在总部放置一台硬件设备就可以实现所有用户的远程平安访问接入。但是对于IPSEC VPN来说,每增加一个需要访问的分支,就需要添加一个硬件设备。就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定Internet知识的普通工作人员就可以完成日常的管理工作。
三、结束语
ssl协议篇8
关键词:SSL-VPN;气象;网络
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)30-7401-02
随着气象业务系统的飞速发展,传统的专线接入方式已经难以满足现代化气象业务的发展需求。越来越多的场合尤其是在气象灾害预警体系中迫切需要能够快速、便捷, 并且安全的访问气象内部资源。基于SSL协议的VPN技术凭借其完善的应用层访问控制、多种数据加密技术、严格的认证机制、易于部署等特点逐渐被广泛应用。
1 SSL-VPN技术简介
1.1 VPN技术
虚拟专用网(VPN) 是指公众互联网建立私有传输通路,将远程的分支机构、商业伙伴、移动办公人员等连接起来,并且提供安全的端到端的数据通信的一种技术[1]。它有两层含义:第一,它是虚拟的,即用户实际上并不存在一个独立专用的网络,既不需要建设或租用专线,也不需要装备专用的设备,而是将其建立在分布广泛的公共网络上, 就能组成一个属于自己专用的网络;第二,它是专用的,相对于公用来说,它强调私有性和安全可靠性。目前主流的VPN技术包括MPLS VPN、IPSec VPN和SSL VPN。
1.2 SSL-VPN技术
SSL( Secure Sockets Layer 安全套接层) 是由网景(Netscape) 公司提出的基于Web 应用的安全协议, 它指定了一种在应用程序协议( 如Http、Telnet、SMTP 和FT P 等) 和TCP/IP 协议之间提供数据安全性分层的机制,它为TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证[2]。SSL 协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。
SSL-VPN 是指采用SSL 协议来实现远程接入的一种新型VPN。用户利用浏览器内建的SSL封包处理功能,通过浏览器连接到公司内部SSLVPN 服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层( SSL )对传输中的数据包进行加密,从而在应用层保护了数据的安全性。SSL-VPN 网络示意图如图1所示。
1.3 SSL-VPN的优点
SSL VPN 继承了IPSec VPN远程接入与应用无关的优点,避免了因为客户端而导致的使用维护不便,同时提供了网络访问、网上应用程序、Windows 文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,以及C/S 应用和B/S应用访问,避免了IPSec VPN的缺点。SSL VPN 的安全性高,可扩展性强,最适合移动办公人员对总部资源的访问。
2 SSL-VPN技术在气象业务中的应用
2.1 基于SSL-VPN技术的远程接入方案
本文以克拉玛依气象局局域网为例,采用天清汉马USG 一体化安全网关设备,介绍建立基于SSL VPN技术的远程接入方案。
克拉玛依气象局网络拓扑图如图2所示,采用天清汉马USG 一体化安全网关,将外网用户和内网连接,在一体化安全网关上面使用SSL协议,建立CA用户证书认证和用户组,配置用户资源和相关安全策略。
1)首先需要启用SSL VPN 服务,设置登录端口,用户超时时间,访问路由等;
2)建立SSL VPN CA服务认证;
3)配置SSL VPN Web 访问功能,包括:配置要过滤的HTTP 方法和启用HTML重写功能;
4)根据用户组配置资源组,资源组是将现有的资源进行按类别组合,可以根据业务类型、用户权限级别等来对资源进行分类,如邮件访问,WEB 服务器访问,远程登录访问等;
5)配置客户端安全检查。分为客户端操作系统检测及运行进程检测,对违反策略的处理方式有两种,即禁止登录和限制访问。若选择了禁止登录且客户端操作系统和/或运行进程与客户端检查策略不匹配,则将禁止用户登录;若选择了限制访问,则违反准入控制策略的用户可登陆成功,但无法访问内网资源;
6)配置SSL VPN 安全策略。用于控制SSL VPN 用户可以访问的网络资源。将SSLVPN 用户组绑定到指定的SSL VPN 安全策略下,该组的用户在登录后即可访问策略匹配的网络资源。
通过以上方案,即可完成基本的SSL VPN的远程接入。在此基础上还可以根据需要更加系统的对VPN进行设置。
2.2 气象业务系统的远程接入
远程用户通过在浏览器中输入指定的IP 地址, 利用管理员分配的帐号,便可进入登录页面。SSL-VPN 设备提供客户端应用绑定功能,让用户可以针对某一个应用服务设定使用哪一种或多种应用客户端软件。当用户登录到内部网络时便可看到可访问的应用服务列表。在应用服务表中,管理员可通过设置服务来绑定应用及启动该应用所需要的参数。一旦完成了以上设定,用户登录系统后便能直接点击服务名称来开启应用软件。
3 结束语
目前,SSL-VPN 技术是解决远程用户访问气象内部信息资源的首选方案。尽管SSL-VPN 技术还存在着某些不足之处,如只对通信双方的应用程序进行加密,而不对通信双方的网络传输进行加密。但SSL-VPN 的确能够让用户随时随地连接至内部网络中,不但打破了局域网地理位置上的局限性,同时提高了工作效率,也提升了气象服务的质量和水平。
参考文献:
[1] 王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
[2] [美]Ivan Pepelnjak,Jim Guichard,Jeff Apcar.卢MPLS和VPN体系结构[M].2卷,卢泽新,朱培栋,齐宁,译.北京:人民邮电出版社,2004.