Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1661727
  • 博文数量: 695
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 4027
  • 用 户 组: 普通用户
  • 注册时间: 2013-11-20 21:22
文章分类

全部博文(695)

文章存档

2018年(18)

2017年(74)

2016年(170)

2015年(102)

2014年(276)

2013年(55)

分类: 网络与安全

2015-11-05 10:13:23

1、概述

  安全套接层(Secure Socket Layer, SSL)协议是 Netscape 公司于 1994 年提出的一个网络安全通信协议,是一种在两台机器之间提供安全通道的协议。它具有保护传输数据以及识别通信机器的功能。SSL 最初是通过加密 HTTP 连接为

Web 浏览器提供安全而引入的,现在已成为通用Internet服务的安全工具,目前己被工业界认可,成为 IETF 的 RFC 草案,在电子邮件、 Netscape Navigator 和IE等网络浏览器、Oracle Application Server 等服务器上已广泛应用。

  SSL在 TCP上提供一种通用的通道安全机制,任何可以在TCP上承载的协

议都能够使用 SSL加以保护。在 TCP/IP四层协议族中,SSL协议位于传输层与应用层之间, 基于可靠传输协议 TCP, 服务于各种应用层协议, 如 HTTP、 POP、TELNET 等,它们在 SSL 协议上运行分别被称作 HTTPS、POPS、TELNETS 协

议等,分别对应的端口号为443、995、992 等。当然,SSL协议最广泛的用途是

为 HTTP 提供安全保障,这也是它诞生的最初目的。

               SSL 在 TCP/IP 协议栈中的位置 /

SSL协议实现的安全机制包括: 

   1)数据传输的机密性:利用对称密钥算法对传输的数据进行加密。

网络上传输的数据很容易被非法用户窃取,SSL采用在通信双方之间建立加密通道的方法保证数据传输的机密性。所谓加密通道,是指发送方在发送数据前,使用加密算法和加密密钥对数据进行加密,然后将数据发送给对方;接收方接收到数据后,利用解密算法和解密密钥从密文中获取明文。没有解密密钥的第三方,无法将密文恢复为明文,从而保证数据传输的机密性。

加解密算法分为两类: 

   对称密钥算法:数据加密和解密时使用相同的密钥。 

   非对称密钥算法:数据加密和解密时使用不同的密钥,一个是公开的公钥,

一个是由用户秘密保存的私钥。利用公钥(或私钥)加密的数据只能用相应

的私钥(或公钥)才能解密。 

与 非对称密钥算法相比,对称密钥算法具有计算速度快的优点,通常用于对大量信息进行加密(如对所有报文加密);而非对称密钥算法,一般用于数字签名和对较少 的信息进行加密。 SSL加密通道上的数据加解密使用对称密钥算法,目前主要支持的算法有DES、3DES、AES等,这些算法都可以有效地防止交互数据 被窃听。 

对称密钥算法要求解密密钥和加密密钥完全一致。因此,利用对称密钥算法加密传输数据之前,需要在通信两端部署相同的密钥。

   2)身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验

证,其中客户端的身份验证是可选的。

电子商务和网上银行等应用中必须保证要登录的Web服务器是真实的,以免重要信息被非法窃取。SSL利用数字签名来验证通信对端的身份。 

非 对称密钥算法可以用来实现数字签名。由于通过私钥加密后的数据只能利用对应的公钥进行解密,因此根据解密是否成功,就可以判断发送者的身份,如同发送者对 数据进行了“签名”。例如,Alice使用自己的私钥对一段固定的信息加密后发给Bob,Bob利用Alice的公钥解密,如果解密结果与固定信息相同, 那么就能够确认信息的发送者为Alice,这个过程就称为数字签名

SSL客户端必须验证SSL服务器的身份,SSL服务器是否验证SSL客户端的身份,

则由SSL服务器决定。SSL客户端和SSL服务器的身份验证过程,使用数字签名验证身份时,需要确保被验证者的公钥是真实的,否则,非法用户可

能会冒充被验证者与验证者通信。如错误!未找到引用源。所示,Cindy冒充

Bob, 将自己的公钥发给Alice,并利用自己的私钥计算出签名发送给Alice,Alice利用“Bob”的公钥(实际上为Cindy的公钥)成功验证该签 名,则Alice认为Bob的身份验证成功,而实际上与Alice通信的是冒充Bob的Cindy。SSL利用PKI提供的机制保证公钥的真实性 

                              伪造公钥

   3)消息完整性验证:消息传输过程中使用 MAC算法来检验消息的完整性。

为了避免网络中传输的数据被非法篡改,SSL利用基于MD5或SHA的MAC算法来

保 证消息的完整性。 MAC算法是在密钥参与下的数据摘要算法,能将密钥和任意长度的数据转换为固定长度的数据。利用MAC算法验证消息完整性的过程如图2 所示。发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的 MAC值,并与接收到的MAC值比较。如果二者相同,则报文没有改变;否则,报文在传输过程中被修改,接收者将丢弃该报文。 

                         MAC算法示意图

MAC算法具有如下特征,使其能够用来验证消息的完整性: 

   消息的任何改变,都会引起输出的固定长度数据产生变化。通过比较 MAC

值,可以保证接收者能够发现消息的改变。 

   MAC 算法需要密钥的参与,因此没有密钥的非法用户在改变消息的内容后,

无法添加正确的 MAC值,从而保证非法用户无法随意修改消息内容。 

MAC算法要求通信双方具有相同的密钥,否则MAC值验证将会失败。因此,利用

MAC算法验证消息完整性之前,需要在通信两端部署相同的密钥。

 利用非对称密钥算法保证密钥本身的安全

对称密钥算法和MAC算法要求通信双方具有相同的密钥,否则解密或MAC值验证

将失败。因此,要建立加密通道或验证消息完整性,必须先在通信双方部署一致的密钥。 

SSL 利用非对称密钥算法加密密钥的方法实现密钥交换,保证第三方无法获取该密钥。如图3所示,SSL客户端(如Web浏览器)利用SSL服务器(如Web服务 器)的公钥加密密钥,将加密后的密钥发送给SSL服务器,只有拥有对应私钥的SSL服务器才能从密文中获取原始的密钥。SSL通常采用RSA算法加密传输密钥。 

                           密钥交换示意图

  实际上,SSL 客户端发送给 SSL 服务器的密钥不能直接用来加密数据或计算 MAC值,该密钥是用来计算对称密钥和 MAC密钥的信息,称为 premaster secret。SSL客户端和 SSL 服务器利用 premaster secret 计算出相同的主密钥(master 

secret),再利用 master secret 生成用于对称密钥算法、MAC 算法等的密钥。

premaster secret是计算对称密钥、MAC算法密钥的关键。 

  用来实现密钥交换的算法称为密钥交换算法。非对称密钥算法 RSA 用于密钥交换时,也可以称之为密钥交换算法。 

 

利 用非对称密钥算法加密密钥之前,发送者需要获取接收者的公钥,并保证该公钥确实属于接收者,否则,密钥可能会被非法用户窃取。如错误!未找到引用源。所 示,Cindy冒充Bob,将自己的公钥发给Alice,Alice利用Cindy的公钥加密发送给Bob的数据,Bob由于没有对应的私钥无法解密该数 据,而Cindy截取数据后,可以利用自己的私钥解密该数据。SSL利用PKI提供的机制保证公钥的真实性,

2、体系结构

  SSL协议在结构上分为两个层次:底层为记录层协议(Record Protocol) ,负责封装高层协议(包括握手协议)的数据,保证 SSL 连接的数据保密性和完整性;高层为握手层,由四个并行的协议构成:握手协议(Handshake Protocol) 、

修改密码参数协议(Change Cipher Spec Protocol) 、报警协议(Alert Protocol  ) 、应用数据协议(Application data Protocol ) ,高层协议需要记录层协议支持,其中握手协议与其他的高层协议不同, 主要负责在交换应用层数据之前进行协商加密算法与密钥,其他高层协议属于应用开发的范畴,而要得到握手协议的支持,而握手协议则是 SSL 底层实现必须具有的功能,因为记录层协议的完成也由它来作保证。

                         SSL 协议结构 

3、记录协议(SSL record protocol)

  记录层用来处理由高层获得的数据,主要是握手消息,报警消息,改变密钥

参数消息和应用数据消息,所有这些要传输的数据都被封装在记录中,记录由记

录头和长度不为零的记录数据组成的。 记录层首先将这些任意长度的数据进行

块,每块的最大长度为 2^14字节。每个数据块结构中都包含数据类型,协议版本信息和要传输的数据,然后对每个数据块进行压缩,压缩后的数据按照握手过程中协商的散列算法计算 MAC,并将压缩后的数据连同 MAC 一起用握手过程中

协商的加密算法进行加密,发送给接收方。接收方的记录层收到后首先解密,然

后根据 MAC对数据进行验证,再经过解压,合并。针对不同的数据类型分别交

给握手层的不同部分进行处理。当使用快加密算法时,如果数据的长度不是块长

度的整数倍,需要对数据进行填充,此时记录的数据部分将包含三部分:消息验

证码 MAC,实际数据和填充数据

                   SSL 记录协议的操作流程 

记录层协议工作流程如图 所示。详细步骤如下: 

(1) 将上层数据分成适当大小的快。 每个快的大小不得超过 2^14

字节 (16384字节) 。 

(2) 对数据快进行压缩, 压缩不能丢失信息, 并且增加的长度不能超过 1024

字节。

(3)在压缩后的数据上计算消息认证码MAC。此时需要使用共享的密钥。

MAC计算定义如下: 

hash(MAC_write_secret||pad_2||hash(MAC_write_secret||pad_1||seq_num||SSLCompressed.type||SSLCompressed.length||SSLCompressed.fragment)) 

其中: 

|| =  连接 

MAC_write_secret = 共享的密钥 

hash =  加密散列算法,为MD5 或者 SHA-1 

pad_1 = 对于 MDS重复 48 次(384 比特) ,对于 SHA_1 重复40次(320 比

特)的字节0x36(000110110) 

pad_2 =  对于 MDS 重复 48 次,对于 SHA_1 重复 40 次的字节 Ox5c

(01011100) 

seq_num = 这个报文的序号 

SSLCompressed.type = 用来处理这个块的更高级的协议 

SSLCompressed.length = 这个压缩块的长度 

SSLCompressed.fragment = 压缩块(如果不使用压缩时就是明文块) 

(4)使用同步加密算法对压缩报文加上 MAC 进行加密。加密对内容长度

的增长不得超过1024 字节,因此总长度不得超过2^14

+2048 字节。 

(5)对于流加密,压缩报文和MAC一起被加密;对于分组加密,在 MAC

之后,加密之前可以增加填充(padding) 。填充由表示填充长度的字节跟着一定数目的填充字节组成,填充字节的数目是使得要加密的数据(明文加上 MAC,

再加上填充)的总长度成为加密分组长度整数倍的最小数目。例如,一个 58 字

节的明文(如果使用压缩,就是压缩正文) ,带有 20 字节的 MAC,使用分组长度为 8字节的算法进行加密 (如 DES) 。加上填充长度字节,产生的总长度为 79 字节。为了使得总长度为 8的整数倍,需要增加一个字节的填充。 

(6)SSL 记录协议处理的最后一个步骤是附加一个首部,该首部由以下字

段组成: 

内容类型(8 比特) :用来处理这个包装的数据块的更高层协议。 

主要版本(8 比特) :指示使用SSL的主要版本。对于SSLv3,字段值为 3。  

次要版本(8 比特) :指示使用的次要版本。对于SSLv3,字段值为 0,对于

TLSv1,字段值为1。 

压缩长度(16 比特) :明文数据块以字节为单位的长度(如果使用压缩就是

压缩数据块) 。最大值为 2^14+2048。 

对于接收方的记录层,其工作步骤是:取 i = 1,2,…,k,依次执行 1~6

的步骤: 

(1)接收发送方发送的数据 Ri; 

(2)去掉 Ri的记录头,从中得到加密后的数据部分 Ei; 

(3)对 Ei进行解密,得到 Si; 

(4)从 Si 中分解出 Ni和 MAC(Ni),如果有填充数据,还要去掉填充数据;  

(5)根据 MAC(Ni)对数据Ni进行完整性检查; 

(6)利用解压缩算法从 Ni还原出原始数据 Di; 

(7)将 D1,D2,…,Dn 进行合并,得到数据 D; 

(8)将 D送往上层。 

4、  握手过程 

SSL握手有三个目的,第一,客户端与服务器端需要就一组用于保护数据的

算法达成一致。第二,它们需要确立一组加密密钥。第三,握手还可以选择对客

户端进行认证。在传输任何应用数据之前,都要使用握手协议。 

握手协议由一系列在客户和服务器之间交换的报文组成。

               SSL 握手协议消息结构 

                 SSL 握手概述 

(1)客户端将它所支持的算法列表连同一个密钥产生过程用作输入的随机

数发送给服务器。 

(2)服务器根据从列表的内容中选择一种加密算法,并将其连同一份包含

服务器公钥的证书发回给客户端。该证书还包含了用于认证目的的服务器标识

服务器同时还提供了一个作为密钥产生过程部分输入的随机数。 

(3)客户端对服务器的证书进行验证,并抽取服务器的公钥。然后,再产

生一个称作pre_master_secret的随机密码串, 并使用服务器的公钥对其进行加密。最后,客户端将加密后的信息发送给服务器。 

(4)客户端与服务器端根据 pre_master_secret 以及客户端与服务器的随机

数值独立计算出加密和 MAC密钥。 

(5)客户端将所有握手消息的 MAC值发送给服务器。 

(6)服务器将所有握手消息的 MAC值发送给客户端。 

就算法达成一致是通过第一步和第二步来实现的。 客户端告诉服务器它所支

持的算法,服务器选择其中的一种算法。当客户端收到了服务器在第二步所发的

消息时,它也会知道这种算法,所以双方现在就知道要使用什么算法。 

确立一组加密密钥是通过第二和第三步实现。 第二步中服务器向客户端提供

其证书,这样就允许客户端给服务器传送密码。第三步之后,客户端和服务器就

都 知道了 pre_master_secret。 第三步很关键。所有要被保护的数据都依赖于pre_master_secret 的安全。客户端使用服务 器的公用密钥(从证书中抽取出)来加密共享密钥,而服务器使用其私有密钥对共享密钥进行解密。握手的剩余步骤用于确保这种交换的安全进行。 然后在第四 步, 客户端和服务器分别使用相同的密钥导出函数 (key derivation function,KDF)来产生 master_secret,最 后再次通过 KDF 使用 master_secret 来产生加密密钥。 

第五步与第六步用以防止握手本身遭受篡改。 客户端提供的多种算法有强度

强弱之分,攻击者可以删除客户端在第一步所提供的所有高强度算法,迫使服务

器选择一种弱强度算法。MAC 交换可以防止这种攻击,因为客户端的 MAC 是

根据原始消息计算出的, 而服务器的MAC是根据攻击者修改过的消息计算出的,

这样经过检查就会发现不匹配。 由于客户端与服务器所提供随机数为密钥产生过程的输入,所以握手不会受到重放攻击的影响。这些消息是首个在新的加密算法与密钥下加密的消息。 

因此,在此过程结束时,客户端与服务器已就使用的加密算法达成一致,并

拥有了一组与那些算法一起使用的密钥。更重要的是,它们可以确信握手过程没

有受到干扰,所以磋商过程反映了双方的真实意图。 

握手协议的每一步都需要通过一条或多条握手消息来实现。

                SSL 握手消息 

第一步对应一条单一地握手消息,ClientHello。 

第二步对应一系列 SSL握手消息,服务器发送的第一条消息为 ServerHello,

其中包含了它所选择的算法,接着再在Certificate消息中发送其证书。最后,服务器发送 ServerHelloDone 消息表示这一握手阶段完成。当客户端收到

ServerHelloDone 这一消息时,它就知道不会再有其他类似的消息过来了,于是

继续客户方的握手。 

第三步对应 ClientKeyExchange消息。 

第五步和第六步对应 Finished消息。 该消息是第一条使用刚刚磋商过的算法

加以保护的消息。为了防止握手过程遭到篡改,该消息的内容是前一阶段所有握

手消息的MAC值。由于Finished消息是以磋商好的算法加以保护的,所以也要

与新磋商的MAC密钥一起计算消息本身的 MAC值。

              只验证服务器的SSL握手过程  

如图5所示,只需要验证SSL服务器身份,不需要验证SSL客户端身份时,SSL的

握手过程为: 

(1) SSL 客户端通过 Client Hello 消息将它支持的 SSL 版本、加密算法、密钥交换算法、MAC算法等信息发送给 SSL服务器。 

(2) SSL 服 务器确定本次通信采用的 SSL 版本和加密套件,并通过 Server Hello消息通知给 SSL 客户端。如果 SSL 服务器允许 SSL 客 户端在以后的通信中重用本次会话,则 SSL 服务器会为本次会话分配会话 ID,并通过 Server 

Hello消息发送给 SSL客户端。 

(3) SSL 服务器将携带自己公钥信息的数字证书通过 Certificate 消息发送给 SSL客户端。 

(4) SSL 服务器发送 Server Hello Done 消息,通知 SSL 客户端版本和加密套件协商结束,开始进行密钥交换。 

(5) SSL 客户端验证 SSL 服务器的证书合法后,利用证书中的公钥加密 SSL 客

户端随机生成的 premaster secret,并通过 Client Key Exchange消息发送给

SSL服务器。 

(6) SSL客户端发送 Change Cipher Spec消息,通知 SSL服务器后续报文将采

用协商好的密钥和加密套件进行加密和 MAC计算。 

(7) SSL 客户端计算已交互的握手消息(除 Change Cipher Spec 消息外所有已

交互的消息)的 Hash值,利用协商好的密钥和加密套件处理 Hash值(计算

并添加 MAC 值、加密等),并通过 Finished 消息发送给 SSL 服务器。SS

服务器利用同样的方法计算已交互的握手消息的 Hash 值,并与 Finished 消

息的解密结果比较,如果二者相同,且 MAC值验证成功,则证明密钥和加密

套件协商成功。 

(8)  同样地,SSL服务器发送 Change Cipher Spec消息,通知 SSL客户端后续报文将采用协商好的密钥和加密套件进行加密和 MAC计算。 

(9) SSL 服务器计算已交互的握手消息的 Hash 值,利用协商好的密钥和加密套

件处理 Hash 值(计算并添加 MAC 值、加密等),并通过 Finished 消息发

送给 SSL 客户端。SSL 客户端利用同样的方法计算已交互的握手消息的

Hash 值,并与 Finished 消息的解密结果比较,如果二者相同,且 MAC值验

证成功,则证明密钥和加密套件协商成功。 

SSL客户端接收到SSL服务器发送的Finished消息后,如果解密成功,则可以判断

SSL服务器是数字证书的拥有者,即SSL服务器身份验证成功,因为只有拥有私钥

的SSL服务器才能从Client Key Exchange消息中解密得到premaster secret,从而

间接地实现了SSL客户端对SSL服务器的身份验证。

               验证服务器和客户端的SSL握手过程

SSL客户端的身份验证是可选的,由SSL服务器决定是否验证SSL客户端的身份。

中蓝色部分标识的内容所示,如果SSL服务器验证SSL客户端身份,则SSL服务器和SSL客户端除了交互“3.2.1  只验证服务器的SSL握手过程”中的消息协

商密钥和加密套件外,还需要进行以下操作: 

(1) SSL服务器发送 Certificate Request消息,请求 SSL客户端将其证书发送给SSL服务器。 

(2) SSL 客户端通过 Certificate 消息将携带自己公钥的证书发送给 SSL 服务器。SSL服务器验证该证书的合法性。 

(3) SSL 客户端计算已交互的握手消息、主密钥的 Hash 值,利用自己的私钥对

其进行加密,并通过 Certificate Verify消息发送给 SSL服务器。 

(4) SSL 服务器计算已交互的握手消息、主密钥的 Hash 值,利用 SSL 客户端证书中的公钥解密 Certificate Verify消息,并将解密结果与计算出的 Hash值比较。如果二者相同,则 SSL客户端身份验证成功。 

      恢复原有会话的SSL握手过程

协商会话参数、建立会话的过程中,需要使用非对称密钥算法来加密密钥、验证通信对端的身份,计算量较大,占用了大量的系统资源。为了简化SSL握手过程,

SSL允许重用已经协商过的会话,具体过程为: 

(1) SSL 客户端发送 Client Hello 消息,消息中的会话 ID 设置为计划重用的会话的 ID。 

(2) SSL 服务器如果允许重用该会话,则通过在 Server Hello 消息中设置相同的会话 ID 来应答。这样,SSL 客户端和 SSL 服务器就可以利用原有会话的密

钥和加密套件,不必重新协商。 

(3) SSL客户端发送 Change Cipher Spec消息,通知 SSL服务器后续报文将采

用原有会话的密钥和加密套件进行加密和 MAC计算。 

(4) SSL 客户端计算已交互的握手消息的 Hash 值,利用原有会话的密钥和加密

套件处理 Hash 值,并通过 Finished 消息发送给 SSL 服务器,以便 SSL 服

务器判断密钥和加密套件是否正确。 

(5)  同样地,SSL服务器发送 Change Cipher Spec消息,通知 SSL客户端后续报文将采用原有会话的密钥和加密套件进行加密和 MAC计算。 

(6) SSL 服务器计算已交互的握手消息的 Hash 值,利用原有会话的密钥和加密

套件处理 Hash 值,并通过 Finished 消息发送给 SSL 客户端,以便 SSL 客

户端判断密钥和加密套件是否正确。 

5、告警协议和修改密码参数协议 

  告警协议根据告警内容的严重级别产生不同的告警信息。 告警信息包括告警

内 容和严重级别。如果级别是 fatal(致命错误) ,则会导致当前连接立即中断,并清除包含会话标识、密钥在内的所有状态参数。在这种情况下,与该会话 相连的其他连接可以继续进行,但不能再重用该会话建立新的连接。同其他的消息一样,告警信息也要经过压缩和加密后再进行传输。 

告警消息的类型可分为关闭告警(close alert)和错误告警(error alert) 。参考文献[9]给出了所有的告警消息列表。 

修改密码参数协议用来标识信号的转换,它只包含一条信息,信息内容为一

个字节,其值为1。修改密码参数消息是由客户方或服务器发出,用以通知对方

随后的记录将受到刚协商的密码参数和密钥的保护。从握手协议的流程图可看

出,客户方在发送完密钥交换和证书验证消息后发送修改密码参数消息,服务器

在成功处理了从客户方接收到的密钥交换消息以后也发送一个修改密码参数消

息。如果在握手过程中采用了会话重用,则双方在 hello 消息之后发送修改密码参数消息。

6、会话与连接

  在 SSL  中,会话与连接是两个不同的概念。一个连接只能对应一个会话,

而一个会话可以被多个连接所共享,即“会话重用” 。会话是有状态的,它由握手协议所创建,包含一套安全参数。会话状态分为两种,一种称为“当前状态” ,

一种称为“待决状态” 。 

每种状态又分为读状态和写状态。 会话状态的转交是由上述修改密码参数协

议决定的。当客户方或服务器方收到“ChangeCiperSpec”消息时,将“待决读

状态”拷贝到“当前读状态” ,当客户方或服务器方发送完“ChangeCiperSpec”

消息时,将“待决写状态”拷贝到“当前写状态” 。 

会 话状态所包含的安全参数主要有会话标志 (session_id) 、 对方的数字证书、压缩算法、密码套件、主密钥(master secret) 、 会话是否可重用的标志。连接也是有状态的,连接状态所包含的安全参数有客户方随机数(ClinetRandom) 、服务器方随机 数 (ServerRandom) 、 客户方 MAC 写密钥 (client write MAC secret) 、服务器方MAC写密 钥 (server write MAC secret) 、 客户方写密钥 (client write key) 、服务器方写密钥 (server write key) 、初始化数组(采用块加密算法时) 、序列号。

从会话状态和连接状态所包含的元素中可以看到两者有明显区别。 

7、典型组网应用 

HTTPS

HTTPS是基于SSL安全连接的HTTP协议。HTTPS通过SSL提供的数据加密、身份

验证和消息完整性验证等安全机制,为Web访问提供了安全性保证,广泛应用于网上银行、电子商务等领域。 

HTTPS在网上银行中的应用。某银行为了方便客户,提供了网上银行业务,

客户可以通过访问银行的Web服务器进行帐户查询、转帐等。通过在客户和银行的Web服务器之间建立SSL连接,可以保证客户的信息不被非法窃取。 

             HTTPS在网上银行中的应用

SSL VPN 

SSL VPN 是以SSL为基础的VPN技术,利用SSL提供的安全机制,为用户远程访问公司内部网络提供了安全保证。如下所示,SSL VPN通过在远程接入用户和 SSL VPN网关之间建立SSL安全连接,允许用户通过各种Web浏览器,各种网络接入方式,在任何地方远程访问企业网络资源,并能够保证企业网络的安 全,保护企业内部信息不被窃取。 

                   SSL VPN的典型组网环境
阅读(1079) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~