SSL ×××真正的价值

近年来， SSL ××× 做为一种新型的×××技术，以其高细粒度的访问控制、简单易用的使用风格受到愈来愈多远程访问用户的青睐，在网络中获得愈来愈多的应用。可是目前业界对什么是SSL ×××，SSL ×××核心的功能有哪些尚存在很多争议。若是不能将SSL ×××的本质搞清楚，每每致使用户在购买SSL ×××产品时拣了芝麻、丢了西瓜，被花哨的小特性所吸引，而忽略了SSL ×××真正的价值所在。本文如下部分将从技术实现和技术发展趋势的角度来阐明 SSL ××× 的真实价值，但愿读者能从中对SSL ×××的本质有所了解。

 

首先须要澄清两个关于 SSL ××× 的误解：

(1)“点对点接入”与“远程接入”

×××的使用方式有两种：一种是点对点(Site-to-Site)，即两个大型的局域网络经过×××实现远程互连；另外一种是远程访问(Remote-Access)，即远程主机经过×××连入企业的内部网络，访问内部网络资源。从组网功能上看，实现点对点互连的×××网关实际上是一个网络互连设备；而实现远程接入的×××网关其实际做用至关于一台远程接入服务器。

 

目前具备加密功能的×××有两种：IPSsec ×××与SSL ×××。因为历史缘由，IPSsec ×××先发展起来，目前的IPSsec ×××产品大都支持点对点和远程访问两种接入方式。SSL ×××产品是后发展起来的，主要应用在远程接入方面，但有的产品也宣称支持点对点的接入方式，咱们认为这是不恰当的。

 

经过对两种×××技术的分析，咱们知道： IPSsec 协议是工做在IP层的加密协议，且实现起来比较简单，因此IPSsec ×××网关相对来讲性能高，运行起来简单可靠。可是因为工做在IP层，用做远程接入的IPSsec ×××客户端实现较困难，配置和维护工做较复杂，给终端用户的使用带来不便。于是 IPSsec ××× 适合做为“点对点”接入方式的网关，不太适合做为“远程访问”的网关。

 

而SSL协议，握手过程较复杂，且工做在TCP层，传输性能相对来讲不高；高性能的SSL ×××网关其价格每每比同规格的IPSsec ×××网关高不少。因此相对而言，SSL ×××不适合“点对点”的接入，可是SSL ×××在用户使用方面比较简单，在对网络应用的控制方面也较强，于是SSL ×××比较适合“远程访问”的接入方式。

 

综上所述，不管IPSsec ×××仍是SSL ×××做为独立的×××产品都不能很好地同时知足两种接入方式的须要，于是较理想的×××产品应该同时提供IPSsec ×××和SSL ×××两种功能。因为IPSsec协议和SSL协议都涉及到大量的加密计算，于是高性能的×××产品应该对这两种协议同时提供硬件加速功能。

 

(2)免客户端

有的产品在介绍SSL ×××时，宣称免客户端。这实际上是不确切的。SSL ×××最吸引人的地方就是Web接入方式，即只使用Web浏览器就能够访问SSL ×××了，此时不须要使用额外的客户端软件。在这种状况下，才能称为免客户端。固然严格说来，Web浏览器自己就是一种客户端软件，是Web服务器的客户端，只是这种客户端软件被目前全部的操做系统所免费提供，不计入SSL ×××的成本而已。

 

在实际使用中，为了支持Web之外的网络应用，SSL ×××也须要经过网页中的控件下载客户端程序，该程序将做为运行在远程主机上的×××客户端软件，实现与内部网络的互连。在这种状况下，SSL ×××也是有客户端的，只不过SSL ×××的客户端不用预先安装，也不用作任何配置，能够自动下载，自动运行，在用户退出系统时，自动删除。

 

因此目前的SSL ××× 能够称为客户端免安装、免维护。

 

SSL ×××兴起的一个重要缘由就是它顺应了当前网络应用Web化的进程。随着网络和软件技术的进步，网络应用逐渐由“Everything over IP”转变为“Everything over Web”，有专家预计将来基于Web的应用将占整个网络应用的60%~70%。面对这一发展趋势，IPsec协议因为自身的局限性难以有所做为，而SSL ×××却大放异彩：

 

首先，任何浏览器都支持SSL协议，但没有哪一个网络应用能直接使用IPSsec。这样使得SSL ×××具备了跨平台的特性。不管哪一种操做系统，不管哪一种网络终端，只要能使用Web浏览器上网，就能使用SSL ×××。

 

其次，使用SSL ×××的Web接入方式，能够真正作到免客户端。用户能够直接经过Web浏览器访问企业内部的Web资源，既方便了用户使用，又省去了维护×××客户端的工做量。

再者，使用Web接入，SSL ×××网关能够对所请求的URL进行精确地访问控制，从而保证远程用户对内网资源的访问是受控的。

 

最后，某些高级的SSL ×××产品还能够支持协议转换功能，将应用协议的输出转换为Web页面显示出来，从而实现了某些非Web应用的Web化。例如，在SSL ×××支持Samba文件共享时，就能够将Samba协议的输出的结果经过Web页面显示出来，从而使得用户能够经过Web浏览器来访问内网的文件共享目录。

 

除了上述的Web接入和细粒度的权限控制外，SSL ×××还有如下重要的技术特点：

• 动态受权

与静态受权不一样的是：用户登陆后所授予的访问权限不但与用户的身份有关，还与用户所使用的远程主机的安全状态有关。SSL ×××经过Web网页下载一个主机检查器，该软件能够检查远程主机的操做系统和浏览器的版本、补丁，还会检查杀毒软件的版本和病毒库版本。根据这些信息，评估客户端的安全状态，对不够安全的远程主机能够限制其可以访问的网络资源范围。

• 证书认证

SSL ××× 不但支持普通的用户名/密码方式的认证，还支持证书认证。为保护私钥，通常使用USB-Key来保存证书。操做系统与USB-Key之间的交互有一套标准的智能卡接口规范，用户在电脑中插入USB-Key后，操做系统和浏览器能够自动识别USB-Key所保存的证书。浏览器与SSL ×××网关在创建SSL连接时，会执行一套严密的证书认证过程。该过程是公认的最完善的证书认证方法，能够有效防护中间人***。因为浏览器对SSL协议的支持，以及操做系统对智能卡标准的统一，SSL ×××在使用证书认证时无需额外的客户端软件，一切都是标准的，都是现成的。

 

综上所述， SSL ××× 的产生是符合技术发展趋势的，在网络化、Web化、标准化(SSL协议、智能卡接口)的推进下，SSL ×××受到了普遍的支持，必将成为远程接入×××的主流产品。而要真正发挥出SSL ×××的功效，也为了适应从此网络应用发展的须要， SSL ××× 必定要能很好地支持Web接入。只有采用Web接入才能真正实现免客户端，才能实现高细粒度的权限控制。