Devart SecureBridge是一组可确保基于SSH和SSL协议以及某些最先进的加密算法的安全连接的组件,SecureBridge是一个用于Delphi,C ++ Builder和Lazarus(免费Pascal)的非可视组件库,旨在保护网络连接免遭未经授权的访问。可以使用SSH或TLS / SSL协议保护任何TCP通信。 这些安全的传输层协议可提供身份验证,强加密和数据完整性验证。 SecureBridge可以与数据访问组件一起使用,以防止在不受信任的网络中进行数据拦截或修改!SecureBridge在设置和使用中非常方便。只需在表单上放置几个组件并指定服务器地址和用户登录信息即可建立安全连接。必须使用安全信息的应用程序易于部署,因为它们不需要任何外部文件。
安装说明
1、下载并解压,开始安装,勾选我接受协议
2、安装位置如图所示
3、安装完成,退出向导
功能特色
1、共同特征
强大的防护能力,可抵御各种加密攻击
高性能
能够通过CryptoAPI使用系统和外部证书存储
证书,密钥和用户的文件,注册表和临时内存存储
高品质随机数发生器
在同步和异步模式下工作
不需要外部模块
2、算法支持
支持AES128,AES192,AES256,Blowfish,Cast128和TripleDES对称算法
支持椭圆曲线,RSA和DSA非对称算法
支持SHA-2,SHA-1和MD5哈希算法
可靠,方便地存储,传输和验证非对称密钥
3、SSH协议
全面支持SSH2协议
具有高级配置选项的SSH客户端
快速且可自定义的SSH服务器
通过SSH 远程执行命令
支持大多数与SSH2兼容的客户端和服务器,包括OpenSSH
兼容任何通过TCP使用SMTP,POP,IMAP等协议的应用程序
用于存储SSH服务器的用户,密码和公共密钥的工具
通过密码或公钥进行身份验证
通过单个SSH隧道从多个逻辑连接传输数据
4、SFTP
从版本1到版本6完全支持SFTP协议
具有高级配置选项的SFTP客户端
快速且可自定义的SFTP服务器
5、SSL / TLS
完全支持TLS 1.3、1.2、1.1、1.0协议,无需任何外部单元
支持SSL 3.0协议以与较旧的应用程序兼容
具有高级配置选项的SSL / TLS客户端
支持X.509证书
完整验证服务器证书链,包括授权和CRL
6、FTP / FTPS
完全支持FTP / FTPS(基于SSL的FTP)协议,无需任何外部设备
7、HTTP / HTTPS
完全支持HTTP / HTTPS(基于SSL的HTTP)协议,无需任何外部单元
支持访问HTTP数据的请求/响应模型
使用TScHttpWebRequest组件创建REST应用程序的能力
8、WebSocket
完全支持WebSocket协议,无需任何外部单元
9、信号R
完全支持SignalR协议,无需任何外部单元
10、加密消息语法(CMS)
简单的界面,用于加密,解密,签名和验证任何类型的内容,并将其存储为CMS / PKCS#7格式
完全支持CMS签名的消息,该消息允许存储必需的信息并启用消息签名和验证
完全支持CMS封装的邮件,该邮件允许存储所需的信息并启用邮件加密和解密
主要优势
1、广泛支持安全协议
SecureBridge支持SSH和TLS / SSL协议,这是用于数据加密和完整性验证的最可靠的协议之一。这些协议是通过不受保护的连接进行安全数据传输领域公认的行业标准。
2、SSH客户端
TScSSHClient组件中实现的SecureBridge SSH客户端可以与其他SSH服务器(例如OpenSSH,WinSSHD)一起使用。通过连接参数管理,您可以实现高性能。 SSH客户端在一个受保护的连接中统一了从客户端到服务器的几个不受保护的通道。逻辑通道可以存在于不同的线程中。
3、SSH服务器
高性能SSH服务器,具有广泛的连接设置和用户管理能力。 SSH服务器可与不同类型的SSH客户端(例如OpenSSH,PuTTY等)一起使用。同时连接的客户端数量仅受系统资源限制。
4、SFTP客户端
TScSFTPClient组件中实现的SecureBridge SFTP客户端用于安全文件传输。
5、SFTP服务器
TScSFTPServer组件中实现的SecureBridge SFTP服务器用于安全文件传输。
6、SSL客户端
TScSSLClient组件中实现的SecureBridge TLS / SSL客户端可以与使用TLS 1.3、1.2、1.1、1.0和SSL 3.0协议的其他应用程序一起使用。通过连接参数管理,您可以实现高性能。 SecureBridge不需要外部设备。
7、FTPS客户端
TScFTPClient组件中实现的SecureBridge FTP / FTPS客户端用于安全文件传输。
8、HTTP / HTTPS客户端
在TScHttpWebRequest组件和TScHttpWebResponse类中实现的SecureBridge HTTP / HTTPS客户端支持用于通过HTTP协议从Web服务器访问数据的请求/响应模型。
9、WebSocket客户端
TScWebSocketClient组件中实现的SecureBridge WebSocket客户端用于通过WebSocket协议从Web服务器访问数据。
10、SignalR客户端
在TScHubConnection组件中实现的SecureBridge SignalR客户端用于与集线器服务器连接。
10、防范多种攻击
SecureBridge可以保护传输的数据免受各种攻击。 SecureBridge使用Diffie-Hellman密钥交换算法来建立连接。可靠的随机数生成器用于密钥生成。为了保护数据免遭非法访问,通过对称算法对信息进行加密,以提供高速和可靠性。对于数据完整性验证,使用诸如SHA2之类的哈希算法。
11、支持CMS格式以加密和签名数据
TScCMSProcessor组件实现了加密消息语法(CMS)-用于数据保护的语法。它支持数字签名和加密。
12、支持第三方组件
SecureBridge支持Internet Direct组件(Indy)和MySQL数据访问组件(MyDAC)。这使您可以在单个应用程序中实现加密连接的所有优点,而无需任何外部文件。
使用说明
一、安全连接目的地
SSH(安全外壳)和SSL(安全套接字层)是用于通过不安全的通信通道安全访问远程计算机的协议。非安全网络上的安全通信通常涉及三个主要方面:隐私,身份验证和完整性。
1、隐私
传输机密信息时,可能会发生未经授权的访问。为了防止未经授权的访问,请使用数据加密。如果使用良好的加密算法,几乎不可能在没有密钥的情况下将加密的数据转换为初始视图。它设计了许多用于数据加密的算法,这些算法的可靠性和加密速度各不相同。 SSH和TLS / SSL协议支持多种对称加密算法,并允许使用不同的算法来传输和接收数据。
使用这些算法时,必须有一个秘密会话密钥,用于数据加密和解密。 SSH和TLS / SSL都在开始数据交换之前生成密钥。此外,它们还允许在工作时重新生成此密钥,以避免破解密钥。
2、认证方式
安全通信要求通信的个人知道与之通信的人的身份。
当客户端尝试建立与服务器的连接时,必须确保服务器是真实的(不是伪造的)。服务器还应验证是否允许客户端与其共连接。为了实现这种要求,使用了非对称加密算法。在这些算法中,使用一对密钥。第一个密钥称为私有密钥,用于加密或签名数据块。第二个密钥称为公共密钥,用于解密数据和签名验证。使用相当长的密钥时,如果已知公钥,则无法在合理的时间间隔内确定私钥。
每个安全服务器必须具有一对密钥。为了对服务器进行身份验证,客户端必须具有服务器的公钥/证书。当创建用于验证服务器身份的安全连接时,客户端使用客户端具有的公钥来验证从服务器接收到的密钥/证书和签名。如果验证通过,则认为服务器有效。
有几种验证客户端的方法。第一种方法是服务器验证用户名密码时。第二种方法是客户端具有一对自己的密钥或证书,并且必须将公共密钥传递给服务器。客户端认证类似于上述服务器认证。
3、廉洁
必须确保通过不安全通道传输的数据不会更改或丢失。为此,需要进行数据完整性检查。
通常不仅通过发送原始数据,还通过发送有关该数据的验证消息来完成对接收数据的完整性检查。此消息称为数字签名。数据和验证消息都可以通过数字签名发送,以证明两者的来源。
二、通过HTTP隧道连接
有时客户端计算机被防火墙屏蔽,防火墙不允许您直接在指定端口连接到服务器。如果防火墙允许HTTP连接,则可以将SecureBridge与HTTP隧道软件一起使用以连接到SSH服务器。
SecureBridge支持基于PHP脚本的HTTP隧道。
Web脚本隧道用法的示例如下:您有一个远程网站,并且禁止通过该服务器的端口访问其SSH服务器。仅允许通过HTTP端口80访问,并且您需要从远程计算机访问SSH服务器,例如使用常规直接连接时。
您需要部署tunnel.php脚本,该脚本包含在Web服务器上的提供程序包中。它允许访问SSH服务器以使用HTTP隧道。该脚本必须通过HTTP协议可用。您可以验证是否可以通过Web浏览器访问它。可以在已安装的提供程序文件夹的HTTP子文件夹中找到该脚本,例如。 G。用于Delphi X \ HTTP \ tunnel.php的%Program Files%\ Devart \ SecureBridge。对服务器的唯一要求是对PHP 5的支持。
要连接到SSH服务器,您应该为通常的直接连接设置TScSSHClient参数,该参数将从Web服务器端建立,将HttpOptions.Enabled属性设置为True,并设置以下特定于HTTP隧道的参数:
通过代理和HTTP隧道连接
考虑前面的情况,还有一个复杂的问题。
无法从客户端计算机直接访问HTTP隧道服务器。例如,客户端地址为10.0.0.2,服务器地址为192.168.0.10,SSH服务器侦听端口22。客户端和服务器位于不同的网络中,因此客户端只能通过地址为10.0.0.1的代理才能访问它,它侦听端口808。在这种情况下,除了TScSSHClient.HttpOptions选项外,还必须按如下所示设置HttpOptions.ProxyOptions对象:
ScSSHClient := TScSSHClient.Create(self);
ScSSHClient.KeyStorage := ScFileStorage;
ScSSHClient.HostName := '192.168.0.10';
ScSSHClient.Port := 22;
ScSSHClient.User := 'test';
ScSSHClient.Password := 'test';
ScSSHClient.HttpOptions.Enabled := True;
ScSSHClient.HttpOptions.Url := 'http://server/tunnel.php';
ScSSHClient.HttpOptions.ProxyOptions.Hostname := '10.0.0.1';
ScSSHClient.HttpOptions.ProxyOptions.Port := 808;
ScSSHClient.HttpOptions.ProxyOptions.Username := 'ProxyUser';
ScSSHClient.HttpOptions.ProxyOptions.Password := 'ProxyPassword';
ScSSHClient.Connect;
请注意,设置ScSSHClient.HttpOptions.ProxyOptions的参数会自动启用代理服务器使用。
