基于SSL协议的Linux VPN网关平台(5)
2.2.1实施成本与花销计算
一般来说,SSL的实现方式以网页登陆为主,本实验用到的SSL-EXPLORER软件为免费使用的,但是在某些时候需要导入数字证书,而数字证书是需要购买的,但总体成本并不高,所以是较为理想的VPN。
2.2.2制定完整实施方案
由于各方面的限制,客户端需要在外网访问到内网,需要通过外网的HTTP服务进入linux网关,客户的电脑中需要安装JDK软件环境使得浏览器能以SSL的方式访问linux网关;而作为网关的终端(vmware)需要安装linux操作系统以及以便客户端访问;最后,内网提供服务,如ftp下载文件,web浏览网页等等诸多内容。
3 SSL的应用与实现
3.1 SSL协议介绍
SSL(Secure Sockets Layer ,安全套接层),是为网络通信提供安全及数据完整性的一种安全协议。由Netscape(网景)开发,以保障数据在Internet上传输的安全性,采用数据加密(Encryption)技术,确保数据在网络上的传输过程中不会被不法分子截取以及窃听。
SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到端的安全服务,它使客户/服务器应用之间的通信不被攻击窃听,并且始终对服务器进行认证,还可以选择对客户进行认证。SSL协议在应用层通信之前就已经完成加密算法、通信密钥的协商,以及服务器认证工作,在此之后,应用层协议所传送的数据都被加密。
SSL协议结构如下图:
图3.1 SSL协议结构
3.1.1 SSL握手协议
握手协议:SSL握手协议被封装在记录协议中,该协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。在初次建立SSL连接时,服务器与客户机交换一系列消息。
这些消息交换能够实现如下操作:客户机认证服务器,可选择的服务器认证客户;允许客户机与服务器选择双方都支持的密码算法;使用公钥加密技术生成共享密钥;建立加密SSL连接。
SSL握手协议报文头部包括三个字段:
类型(1字节):该字段指明使用的SSL握手协议报文类型。
长度(3字节):以字节为单位的报文长度。
内容(≥1字节):使用的报文的有关参数。