验证证书的内容有:有效的数字签名、公开密匙的有效性、证书有效期、证书发布目的以及证书注销列表 CRL。
⑻ 客户发送 client_key_exchange 消息
⑼ 客户发送一个 certificate_verify 消息,其中包含一个签名,对从第一条消息以来的所有握手消息的 HMAC 值(用 master_secret)进行签名 。该信息用于提供对客户端证明(client_certificate)的明确的验证。它仅在具有签名能力的客户端的 certificate 之后发送。 第四阶段:
⑽ 客户发送一个 change_cipher_spec 消息,并且把协商得到的 CipherSuite 拷贝到 当前连接的状态之中,也就是说使用当前协商好的密码规范进行加密与认证。
⑾ 然后,客户用新的算法、密钥参数发送一个 finished 消息,这条消息可以检查密钥交换和鉴别过程是否已经成功。其中包括一个校验值,对所有以来的消息进行校验。
⑿ 服务器同样发送 change_cipher_spec 消息和 finished 消息。 ⒀ 握手过程完成,客户和服务器可以交换应用层数据。[15] ●记录协议:
记录协议用于应用数据的交换,它为 SSL 连接提供机密性和报文完整性两种服务。SSL 记录协议定义了要传输数据的格式,它位于一些可靠的的传输协议之上(如 TCP),用于各种更高层协议的封装,记录协议主要完成分组和组合,压缩和解压缩,以及消息认证和加密等功能。在 SSL 协议中,所有的 SSL 通信都使用 SSL 记录层,记录协议封装上层的握手协议、警告协议、改变密码格式协议和应用数据协议。SSL 记录协议包括了记录头和记录数据格式的规定。SSL 协议的主要工作流程如下图 3-5 所示。
20
图 3-5 SSL 协议的主要工作流程
(1)分段
每个上层应用数据被分成 214 字节或更小的数据块。记录中包含类型、版本号、长 度和数据字段。 (2)压缩
压缩是可选的,并且是无损压缩,压缩后内容长度的增加不能超过 1024 字节。 (3)在压缩数据上计算消息认证 MAC。 (4)对压缩数据及 MAC 进行加密。 (5)增加SSL记录头。[16]
从图3-5可以看出SSL协议只是对应用程序数据分片、压缩并附加摘要和进行加密, 并不会处理数据包中传输层和网络层的信息,因此,数据包在传输过程中,数据包的传输层或网络层信息的改变(例如地址转换等)并不会影响 SSL 协议的正常运行。 ●警告协议:
警告协议的主要作用是表示两个主机之间的通信在什么中断或在什么时候发生了错误。 3.2.2 SSL VPN的典型应用部署
SSL VPN 作为一种远程访问技术,通过 SSL 加密隧道对企业的内部数据进行访问,它的主要功能是通过部署在企业网络边缘的 SSL VPN 网关实现的,远程的接入用户一般不需要安装特定的客户端进行支持,只需要有支持 SSL 协议的 Web 应用程序即可,如 Web 浏览器等。
SSL VPN 的具体部署及其通信过程如下图 3-6 所示。
图 3-6 SSL VPN 典型部署
21
具体的流程如下说明:
① 远程接入用户通过 Web 浏览器与 SSL VPN 服务器(网关)建立起会话隧道,在进行登录信息的录入后进行认证。
② 认证服务器对远程用户的合法身份进行验证。 ③ Web 页面会罗列出用户被允许使用的资源。 ④ 用户选择应用并执行。
⑤ SSL VPN服务器(网关)把用户的经过加密的需求进行解释,然后把数据转发给相应的服务器进行处理。[17]
3.2.3 SSL VPN服务器(网关)所实现的功能
SSL VPN 远程接入的功能主要是通过 SSL VPN 服务器(网关)来实现的,包括资源列表、客户端权限以及客户端对内部数据的访问等等。SSL VPN 服务器(网关)实现的主要功能有:代理、应用转换、端口转发和网络扩展。 3.2.3.1 SSL VPN网关的代理功能
代理 Web 页面是 SSL VPN 网关实现的一项最基本功能,它将远程接入客户浏览器的页面请求(采用 HTTPS 协议)转发给 Web 服务器,在得到确认后,再把服务器的响应回传给远程用户
3.2.3.2 SSL VPN网关的应用转换功能
SSL VPN 网关的应用转换功能主要应用于对非 Web 页面的访问。SSL VPN 网关在与企业的内部非 Web 服务器(如 FTP)通信时,SSL VPN 把这些非 Web 服务器对客户端的响应转换为 HTTPS 协议或 HTML 格式进行传输并传向客户端,客户终端就会认为这些服务器传输的数据是基于 Web 的应用,从而使数据得到有效传送。 3.2.3.3 SSL VPN网关的端口转发功能
端口转发功能主要是针对部分应用(如MSN)的外观在转换为基于Web界面的过程 中出现的丢失。端口转发用于端口定义明确的应用。终端系统还使用原有的应用客户端,并在终端系统上运行一个非常小的 Java 或 ActiveX 程序作为端口转发器,监听某个端口上的连接。当应用客户端“如常”收发数据时,当数据包进入这个端口时,它们通过 SSL 连接中的隧道被传送到SSL VPN网关,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。[18]
3.2.3.4 SSL VPN网关的网络扩展功能
SSL VPN 网关还可以帮助企业实现网络扩展,它可以帮助客户端下载安装一个Java
22
或 ActiveX 程序,生成一个虚拟的网卡,该网卡分配企业内部的地址,它将终端用户系统连接到企业网上,并根据网络层信息(如目的 IP 地址和端口号)进行接入控制。借助这种功能,使得客户端上的其他所有基于 IP 的应用(特别是 SSL VPN 网关不能理解的应用)得以正常运行。但是,该功能对安全性也会带来一定的影响。 3.2.4 SSL VPN的优缺点 3.2.4.1 SSL VPN的优点
⑴ 广泛适用于各操作系统和终端设备。SSL VPN 支持基于 Web 的访问体系,因此,任何能够运行标准浏览器的操作系统(包括 Windows 和 Linux 等)和终端设备(如手机、PDA、平板电脑等)都可以通过 SSL VPN 访问企业的内部服务器获取资源。而且,因为因特网接入方式的灵活性,用户可以方便地对 Web 站点的访问并获得企业内部访问的权限从而获取企业的内网资源,实现企业的远程接入办公。
⑵ 无需安装专门的客户端。SSL VPN 的功能全部由 VPN 服务器(网关)通过软硬 件进行实现,基于 SSL 协议的远程用户只需通过 Web 浏览器与因特网相连接,并通过网页对企业的内网资源进行访问即可,无需在远程客户端上另行安装软件。如此一来,既实现了安全灵活快捷地远程接入,又省下了企业的许多协议购买和网络管理维护成本。
⑶ 保证端到端的安全。SSL 安全通道覆盖从 Web 客户端到北访问数据资源,客户对资源的任何访问操作都需进行加密和验证,能够实现端到端的网络安全。
⑷ 良好的扩展性。扩展的 SSL VPN 不仅可以支持 Web 应用,也可以支持多种经过转换的非 Web 应用。以网络驱动器为例,用户通过 SSL VPN 可以访问到在网络驱动器上的资源。
⑸ 有较强的资源控制能力。SSL VPN 基于 Web 的代理访问允许企业为远程接入用 户进行细致的资源访问控制。
⑹ 能绕过防火墙和代理服务器进行访问。基于 SSL 协议的远程访问接入,可以使NAT 服务的远程用户或因特网代理服务的用户能绕过防火墙或代理服务器访问内部网络资源。
3.2.4.2 SSL VPN的缺点
⑴ 只能依靠因特网进行访问,局限了 SSL VPN 的使用范围。
⑵ 对新型复杂的 Web 的支持有限。因为基于 SSL 的 VPN 方案都是靠反代理技术 对内部网络进行访问,通常采用 URL 地址重写方法获取内部网 Web 链接,但如果 URL 地址重写器不能正确理解所传输的网页结构,则无法通过反代理技术获取正确的点击路由链
23
接到内部 Web 网站。
⑶ 只能有限支持 Windows 应用或者其他非 Web 系统。绝大多数 SSLVPN 都基于 Web 浏览器工作,对于非 Web 应用,需要应用程序转译或端口转发或者更复杂的技术实现。每种特殊应用的实现都需要升级或修改 VPN 服务器的功能模块,对使用造成了局限性。
⑷ SSL VPN 只能对某个应用通道进行加密,并不能对通信双方的主机间通信进行加密,因此,只能为访问资源提供有限的安全保障。
3.3 MPLS VPN
3.3.1 MPLS体系结构介绍
传统的 IP 数据包转发机制中,无论控制转发数据包的信息发生了何种变化都需要通知路由域内的所有设备,只有这样,设备才能根据数据包网络层头部信息中所包含的目的地址来对数据包进行路由。这种方法在转发路由、CPU 利用率、内存占用率等方面,都涉及扩展性的问题,如果只想把数据包从网络的一个边缘转发到另一个边缘,则不需要如此转发。我们需要一种转发机制使内部路由设备能够对数据包进行交换,从而能使该数据包能跨越网络,从入口路由器进入并从出口路由器出去,而此过程无需分析网络层的目的地址,降低网络资源的消耗。 多协议标签交换MPLS集二层交换数据包转发和三层路由转发两者的优势于一身,旨在解决现存网络中存在的诸多与数据包转发有关问题。MPLS与帧中继或ATM等二层网络相类似的是,它也会为数据包分配标签,使其能够穿越基于数据包或信元(cell)的网络,这种长度固定的简短标签的作用是告诉转发路径上每一个转发节点要如何处理这个数据包。而MPLS和传统WAN技术的主要区别在于标签的分配方式以及数据包是否能够携带一个由一组标签所组成的标签栈。标签栈这一概念的引入使得流量工程(TE)、虚拟专用网(VPN)以及链路节点出现故障时的重路由等技术的应用成为了可能。[19]在今天传统的无连接网络中,每一跳的设备都会分析数据包,检查数据包的第三层网络制层)。转发层包头,然后,设备会根据从网络层包头中提取的信息进行判断,对数据包进行转发。而 MPLS 数据转发方式和这种无连接网络的转发方式有很大的不同。 MPLS包含两个独立的部分:转发部分(也称数据层)和控制部分(也称控部分的作用是查看数据包所包含的标签,使用标签交换机所维护的标签转发数据库来执行数据包的转发。而控制部分则负责在一组相互连接的标签交换机之间创建并维护标签的转发信息,这一动作也成为绑定。MPLS节点在执行IP路由时的架构如图 3-7 所示。
24