沟通科技Skyfire应用安全网关解决方案

　　SKYFIRE是TAS网路组建部分，是基于SSL协议（Secure Socket Layer Protocol）的应用安全网关，将通讯技术、密码技术和现代认证技术结合在一起；其中主要包含隧道技术与安全技术。

　　1、隧道技术

　　隧道技术（TUNNEL PROTOCOL）对于构建 VPN 来说，是一个关键性技术。它的基本过程是在源局域网与公网的接口处，将数据作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。这样，被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。

　　SKYFIRE采用的主要协议可建立高度安全的VPN基础。协议的优势在于访问控制，因此适用于安全性较高的VPN。它的优点是能够非常详细地进行访问控制，即在网络层只能根据源目的的IP地址允许或拒绝被通过，控制手段更多一些；能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用；用代理服务器可隐藏网络地址结构；能为认证、加密和密钥管理提供“插件”模块，让用户自由地采用所需要的技术；可根据规则过滤数据流，包括Java Applet和Actives控制。这样，它最适合用于客户机到服务器的连接模式，适用于外部网VPN和远程访问VPN。

　　2、安全技术

　　VPN常常需要在不安全的Internet 中通信，通信的内容可能涉及企业的机密数据，因此其安全性非常重要。VPN中的安全技术通常由加密、认证和密钥交换与管理技术组成。认证技术 认证技术防止数据的伪造和被篡改。它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有验证数据的完整性和用户认证两种用途。加密技术 如DES（Data Encryption Stamdard）、3DES等。密钥交换与管理 VPN中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置；另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况；密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN的安全性。

　　SKYFIRE可以提供基于应用层的访问控制，具有数据加密、完整性检测和认证机制，而且客户端无需特定软件的安装，更加容易配置和管理等特点，因而更适合于远程用户的安全接入。

　　SSL协议是基于Web应用的安全协议，它指定了在应用程序协议(如HTTP，Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制，为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。

　　SSL协议是由SSL记录协议、握手协议、密钥更改协议和告警协议组成，它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议主要是用于服务器和客户之间的相互认证，协商加密算法和MAC(Message Authentication Code)算法，用于生成在SSL记录中发送的加密密钥。

　　SSL记录协议是为各种高层协议提供基本的安全服务，其工作机制如下：应用程序消息被分割成可管理的数据块(可以选择压缩数据)，并产生一个MAC信息，加密，插入新的文件头，最后在TCP中加以传输；接收端将收到的数据解密，做身份验证、解压缩、重组数据报然后交给高层应用进行处理。SSL密钥更改协议是由一条消息组成，其作用是把未定状态拷贝为当前状态，更新用于当前连接的密钥组。SSL警告协议主要是用于为对等实体传递与SSL相关的告警信息，包括警告、严重和重大等三类不同级别的告警信息。

　　握手协议消息流程

　　1)SSL客户端在TCP建立之后，发出ClientHello来发起握手；

　　2)SSL服务器响应SeverHello；

　　通过以上两步确定本次通信的协议版本、会话标识、压缩方法和加密算法等信息。

　　3）如果客户端要求认证，那么服务器发送自己的证书证明身份，同时发送服务器ServerKeyExchange消息；如果服务器要求认证，那么向客户端发送Certification 消息；

　　4）服务器发送ServerHelloDone消息，表明握手协议协商阶段的Hello消息完成；

　　5）如果客户端接收到服务器发送的CertificationRequest消息，响应Client Certification消息，同时发送ClientKeyExchange消息；

　　6）客户端发送ChangeCipherSpee和Finished消息；

　　7）服务器发送ChangeCipherSpee和Finished消息；

　　至此SSl握手协议完成，通信双方会话密钥协商成功，开始发送应用层数据。

　　作为应用层协议，SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。SSL安全功能组件包括三部分：认证(在连接两端对服务器或同时对服务器和客户端进行验证)，加密(对通信进行加密，只有经过加密的双方才能交换信息并相互识别)，完整性检验(进行信息内容检测，防止被篡改)。

　　3、SKYFIRE的技术特点

　　SKYFIRE工作在应用层(基于HTTP协议)和TCP层之间，适合应用于远程分散移动用户的安全接入。

　　●安全性

　　* 支持广泛的身份认证方式：

　　Ukey，X.509,国密办认证体系,LDAP, RADIUS, Windows NT Domain, Active Directory, UNIX NIS, 双因子鉴别（包括ActivCard与ActivPack）等

　　* 集成管理，支持WEB, C/S应用程序和服务器权限授权

　　* 仅以一个TCP端口接受通信流量，以确保网络安全；

　　* 管理员可配置要求远程机器的物理随机ID信息访问；

　　●应用支持

　　* Web协议：HTML/DHTML、HTTP/HTTPS、VB描述语言等

　　* 文件协议：Windows/CIFS和 UNIX/NFS

　　* 客户/服务器应用程序：WINDOWS应用和IBM/SUN的UNIX系列软件

　　* 基于标准的email协议：SMTP, POP, IMAP

　　* 远程控制VNC：管理员可以远程控制和管理远端的设备

　　* 可以同多数的技术和产品互相兼容

　　●可管理性

　　* 配置简单、快捷

　　无需客户安装、配置或设置应用程序软件

　　无需更改网络的资源配置

　　无需更改网络地址结构

　　不存在网络结构和客户操作系统兼容性问题

　　* 状态监视

　　SNMP（简单网络管理协议）支持

　　* 审计报告

　　支持用户事件、应用程序、时间和事件的审核报告

　　* 远程支持和调试的记录器

　　●高可靠性

　　* 支持16台设备负载均衡 1、隧道技术