SSL ×××真正的價值

近年來， SSL ××× 做爲一種新型的×××技術，以其高細粒度的訪問控制、簡單易用的使用風格受到愈來愈多遠程訪問用戶的青睞，在網絡中獲得愈來愈多的應用。可是目前業界對什麼是SSL ×××，SSL ×××核心的功能有哪些尚存在很多爭議。若是不能將SSL ×××的本質搞清楚，每每致使用戶在購買SSL ×××產品時揀了芝麻、丟了西瓜，被花哨的小特性所吸引，而忽略了SSL ×××真正的價值所在。本文如下部分將從技術實現和技術發展趨勢的角度來闡明 SSL ××× 的真實價值，但願讀者能從中對SSL ×××的本質有所瞭解。

 

首先須要澄清兩個關於 SSL ××× 的誤解：

(1)「點對點接入」與「遠程接入」

×××的使用方式有兩種：一種是點對點(Site-to-Site)，即兩個大型的局域網絡經過×××實現遠程互連；另外一種是遠程訪問(Remote-Access)，即遠程主機經過×××連入企業的內部網絡，訪問內部網絡資源。從組網功能上看，實現點對點互連的×××網關實際上是一個網絡互連設備；而實現遠程接入的×××網關其實際做用至關於一臺遠程接入服務器。

 

目前具備加密功能的×××有兩種：IPSsec ×××與SSL ×××。因爲歷史緣由，IPSsec ×××先發展起來，目前的IPSsec ×××產品大都支持點對點和遠程訪問兩種接入方式。SSL ×××產品是後發展起來的，主要應用在遠程接入方面，但有的產品也宣稱支持點對點的接入方式，咱們認爲這是不恰當的。

 

經過對兩種×××技術的分析，咱們知道： IPSsec 協議是工做在IP層的加密協議，且實現起來比較簡單，因此IPSsec ×××網關相對來講性能高，運行起來簡單可靠。可是因爲工做在IP層，用做遠程接入的IPSsec ×××客戶端實現較困難，配置和維護工做較複雜，給終端用戶的使用帶來不便。於是 IPSsec ××× 適合做爲「點對點」接入方式的網關，不太適合做爲「遠程訪問」的網關。

 

而SSL協議，握手過程較複雜，且工做在TCP層，傳輸性能相對來講不高；高性能的SSL ×××網關其價格每每比同規格的IPSsec ×××網關高不少。因此相對而言，SSL ×××不適合「點對點」的接入，可是SSL ×××在用戶使用方面比較簡單，在對網絡應用的控制方面也較強，於是SSL ×××比較適合「遠程訪問」的接入方式。

 

綜上所述，不管IPSsec ×××仍是SSL ×××做爲獨立的×××產品都不能很好地同時知足兩種接入方式的須要，於是較理想的×××產品應該同時提供IPSsec ×××和SSL ×××兩種功能。因爲IPSsec協議和SSL協議都涉及到大量的加密計算，於是高性能的×××產品應該對這兩種協議同時提供硬件加速功能。

 

(2)免客戶端

有的產品在介紹SSL ×××時，宣稱免客戶端。這實際上是不確切的。SSL ×××最吸引人的地方就是Web接入方式，即只使用Web瀏覽器就能夠訪問SSL ×××了，此時不須要使用額外的客戶端軟件。在這種狀況下，才能稱爲免客戶端。固然嚴格說來，Web瀏覽器自己就是一種客戶端軟件，是Web服務器的客戶端，只是這種客戶端軟件被目前全部的操做系統所免費提供，不計入SSL ×××的成本而已。

 

在實際使用中，爲了支持Web之外的網絡應用，SSL ×××也須要經過網頁中的控件下載客戶端程序，該程序將做爲運行在遠程主機上的×××客戶端軟件，實現與內部網絡的互連。在這種狀況下，SSL ×××也是有客戶端的，只不過SSL ×××的客戶端不用預先安裝，也不用作任何配置，能夠自動下載，自動運行，在用戶退出系統時，自動刪除。

 

因此目前的SSL ××× 能夠稱爲客戶端免安裝、免維護。

 

SSL ×××興起的一個重要緣由就是它順應了當前網絡應用Web化的進程。隨着網絡和軟件技術的進步，網絡應用逐漸由「Everything over IP」轉變爲「Everything over Web」，有專家預計將來基於Web的應用將佔整個網絡應用的60%~70%。面對這一發展趨勢，IPsec協議因爲自身的侷限性難以有所做爲，而SSL ×××卻大放異彩：

 

首先，任何瀏覽器都支持SSL協議，但沒有哪一個網絡應用能直接使用IPSsec。這樣使得SSL ×××具備了跨平臺的特性。不管哪一種操做系統，不管哪一種網絡終端，只要能使用Web瀏覽器上網，就能使用SSL ×××。

 

其次，使用SSL ×××的Web接入方式，能夠真正作到免客戶端。用戶能夠直接經過Web瀏覽器訪問企業內部的Web資源，既方便了用戶使用，又省去了維護×××客戶端的工做量。

再者，使用Web接入，SSL ×××網關能夠對所請求的URL進行精確地訪問控制，從而保證遠程用戶對內網資源的訪問是受控的。

 

最後，某些高級的SSL ×××產品還能夠支持協議轉換功能，將應用協議的輸出轉換爲Web頁面顯示出來，從而實現了某些非Web應用的Web化。例如，在SSL ×××支持Samba文件共享時，就能夠將Samba協議的輸出的結果經過Web頁面顯示出來，從而使得用戶能夠經過Web瀏覽器來訪問內網的文件共享目錄。

 

除了上述的Web接入和細粒度的權限控制外，SSL ×××還有如下重要的技術特點：

• 動態受權

與靜態受權不一樣的是：用戶登陸後所授予的訪問權限不但與用戶的身份有關，還與用戶所使用的遠程主機的安全狀態有關。SSL ×××經過Web網頁下載一個主機檢查器，該軟件能夠檢查遠程主機的操做系統和瀏覽器的版本、補丁，還會檢查殺毒軟件的版本和病毒庫版本。根據這些信息，評估客戶端的安全狀態，對不夠安全的遠程主機能夠限制其可以訪問的網絡資源範圍。

• 證書認證

SSL ××× 不但支持普通的用戶名/密碼方式的認證，還支持證書認證。爲保護私鑰，通常使用USB-Key來保存證書。操做系統與USB-Key之間的交互有一套標準的智能卡接口規範，用戶在電腦中插入USB-Key後，操做系統和瀏覽器能夠自動識別USB-Key所保存的證書。瀏覽器與SSL ×××網關在創建SSL連接時，會執行一套嚴密的證書認證過程。該過程是公認的最完善的證書認證方法，能夠有效防護中間人***。因爲瀏覽器對SSL協議的支持，以及操做系統對智能卡標準的統一，SSL ×××在使用證書認證時無需額外的客戶端軟件，一切都是標準的，都是現成的。

 

綜上所述， SSL ××× 的產生是符合技術發展趨勢的，在網絡化、Web化、標準化(SSL協議、智能卡接口)的推進下，SSL ×××受到了普遍的支持，必將成爲遠程接入×××的主流產品。而要真正發揮出SSL ×××的功效，也爲了適應從此網絡應用發展的須要， SSL ××× 必定要能很好地支持Web接入。只有採用Web接入才能真正實現免客戶端，才能實現高細粒度的權限控制。