SSL技术、软件VPN技术、硬件VPN――技术的介绍、分析和比较.docVIP

SSL技术、软件VPN技术、硬件VPN――技术的介绍、分析和比较 一、SSL技术原理介绍和分析： SSL是一种在Web服务协议 (HTTP) 和 TCP/IP 之间提供数据连接安全性的协议。这种安全性协议被称为安全套接字层－Security Socket Layer (SSL)。它为 TCP/IP 连接提供数据加密、服务器身份验证和消息完整性验证。SSL被视为 Internet 上 Web 浏览器和服务器的安全标准。SSL 提供了用于启动 TCP/IP 安全连接的“信号交换”机制。信号交换机制协调客户和服务器使用的安全性级别，并履行连接的身份验证。此后，SSL 的作用是加密和解密要使用的应用程序协议的字节流（例如 HTTP数据包）。这意味着 HTTP 请求和 HTTP 响应中的所有信息将完全被加密，包括客户请求的 URL地址，表单提交内容（例如信用卡号）、 HTTP 访问身份验证信息以及从服务器返回到客户的所有信息。SSL协议保证了在Internet上交换信息双方的信息安全性和可靠性。 服务器证书用来在Internet上标识一台服务器的身份，服务器证书是 Web 服务器 SSL 安全功能的基础。来自第三方身份认证机构的服务器证书提供用户验证 Web 站点的方法。 利用 SSL，Web 服务器还可以通过检查客户证书的内容来验证用户。典型的客户证书包含用户和证书发行机构的详细标识信息。综合使用客户证书标识和 SSL，能够实现身份认证功能和防止信息篡改。 利用 SSL，服务器和用户 Web 浏览器首先参与处理交换 – 需要证书和密钥对 ， 以决定安全通讯需要的加密等级。此交换要求 Web 服务器和用户浏览器都具有兼容的加密和解密能力。交换的最后结果是创建（通常由 Web 浏览器）会话密钥。服务器和 Web 浏览器都使用会话密钥加密和解密传输的信息。此会话密钥的加密度（或强度）用位来表示。构成会话密钥的位数越大或越长，加密和安全的等级就越高。Web 服务器的会话密钥一般为 40 位长，但实际上可以更长。 Web 服务器使用本质上相同的加密方法来维护与用户的通讯链接的安全。建立安全链接后，Web 服务器和用户 Web 浏览器都使用指定的会话密钥来加密和解密信息。例如，当经认证的用户企图从要求安全通道的 Web 站点下载文件时，Web 服务器使用会话密钥加密此文件和相关的 HTTP 标题。接收到加密文件后，Web 浏览器将使用相同会话密钥的副本还原此文件。 这种加密方法尽管安全，但存在先天不足，在创建安全链接过程期间，会话密钥的副本可能会在不安全的网络上传输。这意味着要危害链接的计算机破坏者只需要截取和偷窃此会话密钥就可以了。要防止这种可能性，Web 服务器可使用其他加密方法。 Web 服务器的安全套接字层 (SSL) 安全功能使用公开密钥加密技术来保护此密钥以防在传输期间被截取。 二、VPN(软件和硬件)技术原理介绍和分析： VPN的介绍和分析： １）VPN的安全目标： VPN的目标是保护通信的安全，而安全大体上可以分为三个方面：加密、验证和数据完整性。 每一种VPN技术实现时经常兼顾到所有这三个方面，但也有可能某一技术并不实现所有功能，并在可能的时候把其它的功能交给与它配合使用的技术完成。 加密 加密用于保证只有通信的对方才能解密数据，获得传递的信息；任何第三方即使窃听到通信的数据，也不可能以可以接受的开销（CPU，时间等）来破译数据。 加密通信中传输数据时，出于对性能的考虑，比较一致的做法是数据主要采用对称密钥算法加密，比较通用的算法有：DES，3DES，IDEA等。为解决对称密钥算法中密钥的保存、管理和共享等问题，经常在正式通信前先进行密钥交换过程，通过公钥体制的算法解决密钥的安全问题，用的比较多的是Diffie-Hellman算法。 验证 验证是指收到信息的一方通过某种方式确认通信对方身份的真实性，以避免其它用户通过假冒别人的身份来骗取信息。 验证一般采取数字签名的方式进行，由证书体制来保证对方身份的真实性。RSA算法，以及比较新的DSS（数字签名标准）经常用来做数字签名。 数据完整性 　　 数据完整性是指用户发出的信息能够保持原样到达目的地，在传输途中不被修改，无论是恶意篡改还是由于线路问题引起的失真，都应该能够避免。 保证数据完整性的基本技术是“消息验证码”（MAC，Message Authentication Codes）技术，它采用特定的算法，并结合一个密钥来生成数据的摘要，接收方通过重新生成摘要并进行验证确认数据的完整性。生成摘要时经常采用哈希（HASH）算法，使用哈希算法的MAC称为HMAC（Keyed-