扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:韩雪 来源:支点网 2010年2月8日
关键字: 安全
SKYFIRE是TAS网路组建部分,是基于SSL协议(Secure Socket Layer Protocol)的应用安全网关,将通讯技术、密码技术和现代认证技术结合在一起;其中主要包含隧道技术与安全技术。
1、隧道技术
隧道技术(TUNNEL PROTOCOL)对于构建 VPN 来说,是一个关键性技术。它的基本过程是在源局域网与公网的接口处,将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。这样,被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
SKYFIRE采用的主要协议可建立高度安全的VPN基础。协议的优势在于访问控制,因此适用于安全性较高的VPN。它的优点是能够非常详细地进行访问控制,即在网络层只能根据源目的的IP地址允许或拒绝被通过,控制手段更多一些;能同低层协议如IPV4、IPSec、PPTP、L2TP一起使用;用代理服务器可隐藏网络地址结构;能为认证、加密和密钥管理提供“插件”模块,让用户自由地采用所需要的技术;可根据规则过滤数据流,包括Java Applet和Actives控制。这样,它最适合用于客户机到服务器的连接模式,适用于外部网VPN和远程访问VPN。
2、安全技术
VPN常常需要在不安全的Internet 中通信,通信的内容可能涉及企业的机密数据,因此其安全性非常重要。VPN中的安全技术通常由加密、认证和密钥交换与管理技术组成。认证技术 认证技术防止数据的伪造和被篡改。它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH函数的特性,两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有验证数据的完整性和用户认证两种用途。加密技术 如DES(Data Encryption Stamdard)、3DES等。密钥交换与管理 VPN中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置;另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况;密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN的安全性。
SKYFIRE可以提供基于应用层的访问控制,具有数据加密、完整性检测和认证机制,而且客户端无需特定软件的安装,更加容易配置和管理等特点,因而更适合于远程用户的安全接入。
SSL协议是基于Web应用的安全协议,它指定了在应用程序协议(如HTTP,Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。
SSL协议是由SSL记录协议、握手协议、密钥更改协议和告警协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议主要是用于服务器和客户之间的相互认证,协商加密算法和MAC(Message Authentication Code)算法,用于生成在SSL记录中发送的加密密钥。
SSL记录协议是为各种高层协议提供基本的安全服务,其工作机制如下:应用程序消息被分割成可管理的数据块(可以选择压缩数据),并产生一个MAC信息,加密,插入新的文件头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证、解压缩、重组数据报然后交给高层应用进行处理。SSL密钥更改协议是由一条消息组成,其作用是把未定状态拷贝为当前状态,更新用于当前连接的密钥组。SSL警告协议主要是用于为对等实体传递与SSL相关的告警信息,包括警告、严重和重大等三类不同级别的告警信息。
握手协议消息流程
1)SSL客户端在TCP建立之后,发出ClientHello来发起握手;
2)SSL服务器响应SeverHello;
通过以上两步确定本次通信的协议版本、会话标识、压缩方法和加密算法等信息。
3)如果客户端要求认证,那么服务器发送自己的证书证明身份,同时发送服务器ServerKeyExchange消息;如果服务器要求认证,那么向客户端发送Certification 消息;
4)服务器发送ServerHelloDone消息,表明握手协议协商阶段的Hello消息完成;
5)如果客户端接收到服务器发送的CertificationRequest消息,响应Client Certification消息,同时发送ClientKeyExchange消息;
6)客户端发送ChangeCipherSpee和Finished消息;
7)服务器发送ChangeCipherSpee和Finished消息;
至此SSl握手协议完成,通信双方会话密钥协商成功,开始发送应用层数据。
作为应用层协议,SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。SSL安全功能组件包括三部分:认证(在连接两端对服务器或同时对服务器和客户端进行验证),加密(对通信进行加密,只有经过加密的双方才能交换信息并相互识别),完整性检验(进行信息内容检测,防止被篡改)。
3、SKYFIRE的技术特点
SKYFIRE工作在应用层(基于HTTP协议)和TCP层之间,适合应用于远程分散移动用户的安全接入。
●安全性
* 支持广泛的身份认证方式:
Ukey,X.509,国密办认证体系,LDAP, RADIUS, Windows NT Domain, Active Directory, UNIX NIS, 双因子鉴别(包括ActivCard与ActivPack)等
* 集成管理,支持WEB, C/S应用程序和服务器权限授权
* 仅以一个TCP端口接受通信流量,以确保网络安全;
* 管理员可配置要求远程机器的物理随机ID信息访问;
●应用支持
* Web协议:HTML/DHTML、HTTP/HTTPS、VB描述语言等
* 文件协议:Windows/CIFS和 UNIX/NFS
* 客户/服务器应用程序:WINDOWS应用和IBM/SUN的UNIX系列软件
* 基于标准的email协议:SMTP, POP, IMAP
* 远程控制VNC:管理员可以远程控制和管理远端的设备
* 可以同多数的技术和产品互相兼容
●可管理性
* 配置简单、快捷
无需客户安装、配置或设置应用程序软件
无需更改网络的资源配置
无需更改网络地址结构
不存在网络结构和客户操作系统兼容性问题
* 状态监视
SNMP(简单网络管理协议)支持
* 审计报告
支持用户事件、应用程序、时间和事件的审核报告
* 远程支持和调试的记录器
●高可靠性
* 支持16台设备负载均衡 1、隧道技术
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者