欢迎您来到北京密安
欢迎您来到北京密安
当前位置: 首页 > 产品介绍 > 技术白皮书 > SSL技术白皮书
MASSL-密安SSL产品技术白皮书

三、体系结构

    MASSL代理服务器软件由服务器端和客户端组成(如图1)。客户端完成本地机器(本机或局域网)与服务器端以及Internet的连接访问工作,包括与服务器端进行身份认证、对发往服务器端的数据进行加密,对服务器返回的信息进行解密等安全功能。服务器端完成客户端和内容服务器(www服务器和ftp服务器)建立连接,并与客户端一起完成安全传输功能,包括对客户端进行身份认证,对客户端的数据进行解密,对内容服务器发往客户端的数据进行加密处理等。

    MASSL代理服务器的客户端与服务器不是一一对应的。服务器端可以同时对多个客户端提供服务,而且只能对安全客户端提供服务。服务器提供的服务内容包括www和ftp两种方式,实际的内容服务器可以在安全代理服务器中指定,但是每次只能指定一个www服务器和一个ftp服务器。

    客户端每次只能提供一条安全通道(即只能指定一个安全代理服务器目标),但是可以跟多个非安全服务器(如Internet中的服务器)建立连接,客户端可以同时对多个本地用户提供服务,服务类型包括安全服务和非安全服务。

MASSL符合SSL V3.0的国际标准,符合IEEEP1363标准,可提供模块式的SSL和系统的SSL,具有如下特点:

1. 能够建立基于多种安全模式(证书模式、非证书模式和明文模式)的安全数据通道。

2. 安全的协议,改善了SSL中的不足。

3. 能够提供多种常用服务(www和ftp)。

4. 真正的双方认证。目前实现的SSL大都是单向认证。

5. 用户单位控制的电子证书系统。用户单位可以用其它的CA给SSL发证书,也可以用自己单位的CA发证书。

6. 能够针对不同的服务采用不同的证书和密钥,证书采用x.509国际标准。

7. 在没有证书的情况下,能够提供可靠安全的DH-3DES安全体制进行数据保护,并可以根据客户需求选择密钥长度(512、1024或2048)。

8. 具有安全通道类型自适应功能,安全通道类型的选择对用户透明,不妨碍用户正常访问Internet。

9. 无论是服务器还是客户端,都可以同时对多个用户提供服务。

10. 客户端可以只对本机进行代理服务,也可以采用局域网代理服务。

11. 系统的安装运行和配置简单易懂,而且不需要对原有的浏览器和内容服务器进行更改,只需要进行简单的设置。方便用户使用、安装和集成。

MASSL的主要功能:

1. 身份认证:MASSL支持两种身份认证模式,对等和非对等身份认证。在MASSL应用系统中,每一个分块都配置有自己的证书和相应的密钥文件,以及验证证书库文件。不同的服务类型使用相同的验证证书库。证书文件和密钥文件的格式都采用PEM格式。

2. 信息加密:按照SSL V3.0协议MASSL对加密算法的选用是开放型的。MASSL的服务器端支持所有SSL V3.0协议定义的八种算法,而MASSL的客户端则依照Netscape浏览器的设计只支持下列5种算法。RC4-128位、DES-56位、和Triple DES-168位、RC4-40位,RC-40位和AES-可选密钥长度。

3. 信息完整性的检验:MASSL采用Keyed MAC检验信息完整性。这是一个基于单一密钥和Hash算法的对称性签件方法。用于Keyed Hash 的单一密钥由Master Secret计算产生。Keyed MAC按下式产生。Hash(MAC-Write-Secret+Pad-2+Hash(MAC-Write-Secret+Pad-1+Sepuence number+Length+ Content);MAC是在信息加密前生成的。在信息加密后,MAC被在正文之后一起打包传递给对方。

4. 使用的透明性:MASSL做为在浏览器中间的中断转发系统,由于SSL协议本身的限制,用户证书无法转发到SSL Server。如果采用在应用层传送这类信息的做法,除需对应用层协进行解析与改写外,更重要的是这种方式破坏了MASSL与应用无关的基本原则。为解决这一问题,MASSL采用了基于动态证书的证书隧道技术,使得在对应用层数据无任何改动的情况下,通过证书隧道在SSL对话中传递所需信息。

欢迎您来到北京密安

地址:北京市海淀区上地信息路华成大厦            电话:正在变更            邮编:100085

E-Mail:intrust@onets.com.cn        网址:http://www.onets.com.cn         传真:正在变更

Copyright@2013北京密安网络技术股份有限公司    京ICP备17034799号