【正文】 .............................................. 16 SSL 代理技術(shù) ........................................................................................... 17 應(yīng)用轉(zhuǎn)換代理 .......................................................................................... 18 網(wǎng)絡(luò)層代理 .............................................................................................. 18 端口轉(zhuǎn)發(fā)技術(shù) .......................................................................................... 19 SSL VPN 與 IPSec VPN 的比較 ..................................................................... 19 第四章 SSL VPN 關(guān)鍵組件在 LINUX 下的實(shí)現(xiàn) .................................... 23 OpenSSL 介紹 .................................................................................................... 23 湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） iv 用 OpenSSL 實(shí)現(xiàn) SSL VPN 關(guān)鍵組件 ............................................................... 23 產(chǎn)生 SSL VPN 工作所需的證書(shū)和簽名 .................................................. 23 SSL 隧道服務(wù)端的實(shí)現(xiàn) ........................................................................... 24 SSL 隧道客戶(hù)端的實(shí)現(xiàn) ........................................................................... 28 測(cè)試有 SSL 協(xié)議加密的安全通信隧道 ............................................................ 30 第五章 SSL VPN 典型應(yīng)用的實(shí)現(xiàn)及驗(yàn)證 .............................................. 33 SSL VPN 環(huán)境的搭建 ........................................................................................ 33 SSL VPN 典型應(yīng)用拓?fù)鋱D ....................................................................... 33 SSL VPN 網(wǎng)關(guān)產(chǎn)品介紹 ........................................................................... 33 在 Cisco 上部署 SSL VPN ................................................................................ 34 上傳 SSL VPN 組件到路由器 .................................................................. 34 安裝 SSL VPN 和配置組件 ...................................................................... 34 測(cè)試 SSL VPN 系統(tǒng) ........................................................................................... 35 第六章 結(jié) 論 ................................................................................................ 39 主要工作總結(jié) ................................................................................................... 39 展望 ................................................................................................................... 39 參考文獻(xiàn) .............................................................................................................. 40 致 謝 ................................................................................................................... 41 湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 1 第一章 緒 論 研究背景 與意義 研究背景 互聯(lián)網(wǎng)的發(fā)展已經(jīng)日趨成熟，互聯(lián)網(wǎng)的用戶(hù)數(shù)量也 在 急劇增加，許多涉及私密數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)如電子商務(wù)、網(wǎng)上銀行等已被越來(lái)越廣泛的在互聯(lián)網(wǎng)上使用。 IPSec 協(xié)議為被保護(hù)的網(wǎng)絡(luò)通訊提供較好的安全、認(rèn)證和授權(quán)服務(wù)，同時(shí)保持了較高的性能。 SSL VPN 的“瘦客戶(hù)端”具有簡(jiǎn)單、靈活、易用性 等特點(diǎn)，特別適合于遠(yuǎn)程用戶(hù)安全連接。國(guó)外已有多個(gè)開(kāi)源項(xiàng)目支持 SSL VPN 研究。 主要研究?jī)?nèi)容 本文通過(guò)分析 SSL 協(xié)議的安全性，研究 SSL VPN 涉及到的關(guān)鍵技術(shù)，總結(jié) 了 現(xiàn)有 SSL VPN 的優(yōu)勢(shì)所在。 第二章 :首先給出了一個(gè)相對(duì)規(guī)范的 SSL VPN 的概念，并對(duì)其基本原理和現(xiàn)有模式進(jìn)行分析討論。 湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 4 第二 章 基于 PKI 的 SSL VPN 理論基礎(chǔ) 本章著重于基于 PKI 的 SSL VPN 相關(guān) 理論 基礎(chǔ) 的研究 ，包括 SSL VPN 的基本概念、工作原理以及 與之 相關(guān)的密碼學(xué)知識(shí) 。過(guò)去， VPN 總是和 IPSec 聯(lián)系在一起，因?yàn)樗?VPN 加密信息實(shí)際用到的協(xié)議。人們普遍認(rèn)為它將成為安 全遠(yuǎn)程訪(fǎng)問(wèn)的主流方式。 直接使用瀏覽器完成操作，無(wú)需安裝獨(dú)立的客戶(hù)端；即使使用了 SSL 協(xié)議，但仍然需要分發(fā)和安裝獨(dú)立 的 VPN 客戶(hù)端 (如 Open VPN)不能稱(chēng)為 SSL VPN，否則就失去了 SSL VPN 易于部署，免維護(hù)的優(yōu)點(diǎn)了。傳統(tǒng)的 VPN 需要 IPSec 客戶(hù)端軟件安裝在客戶(hù)端機(jī)器上，而 SSL VPN 的建立并沒(méi)有這種要求。常用對(duì)稱(chēng)密鑰算法包括 DES， 3DES， RC2， RC4， RC6， AES 等。 非對(duì)稱(chēng)密碼學(xué)分析 針對(duì)對(duì)稱(chēng)密鑰加密技術(shù)的不足， 1976 年 Whitfield Diffie 和 Martin Hellman 提湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 7 出公鑰加密算法的想法，即非對(duì)稱(chēng)加密技術(shù)，并且基于離散對(duì)數(shù)設(shè)計(jì)出第一個(gè)公鑰加密算法 DH 算 法。該算法利用了數(shù)論領(lǐng)域的一個(gè)事實(shí) ,那就是雖然把兩個(gè)大質(zhì)數(shù)相乘生成一個(gè)合數(shù)是件十分容易的事情 ,但要把一個(gè)合數(shù)分解為兩個(gè)質(zhì)數(shù)卻十分困難。 數(shù)字簽名可以用秘密密鑰來(lái)實(shí)現(xiàn)，也可用公開(kāi)密鑰來(lái)實(shí)現(xiàn)。發(fā)送者所具有私鑰的特殊性決定這個(gè)簽名是來(lái)自于這個(gè)發(fā)送者，其他人不能假冒； ? 接收者在接到這個(gè)附有簽名的文件后，使用發(fā)送者的公鑰進(jìn)行解密，得到發(fā)送湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 8 者所形成的散列值； ? 然后接收者 在用相同的方法對(duì)原文計(jì)算散列值； ? 比較這兩個(gè)散列值，如果相同，就表明原文在傳送過(guò)程中沒(méi)有被篡改。通過(guò)離線(xiàn)的數(shù)字證書(shū)證明某個(gè)公開(kāi)密鑰的真實(shí)性和有效性。 SSL 協(xié)議分析 SSL 是在 Inter 基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。而該記錄層又會(huì)由某種可靠的協(xié)議如 TCP 來(lái)承載。 記錄層主要用來(lái)處理從高層傳來(lái)的數(shù)據(jù)。 ? 握手協(xié)議 握手層的握手協(xié)議用來(lái)產(chǎn)生會(huì)話(huà)狀態(tài)的密碼參數(shù)。報(bào)警消息的類(lèi)型可分為關(guān)閉報(bào)警（ ClosureAlert）和錯(cuò)誤報(bào)警（ ErrorAlert）。一個(gè)連接只能對(duì)應(yīng)一個(gè)會(huì)話(huà)，而一個(gè)會(huì)話(huà)可以被多個(gè)連接所共享，即“會(huì)話(huà)重用”。如：密碼套件 SSL_RSA_WTTH_RC4_128_MD5 表示密鑰交換算法采用 RSA,數(shù)據(jù)加密算法采用 128 位 RC4，散列算法采用 MD5。 湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 12 第三 章 SSL VPN 關(guān)鍵技術(shù)的研究 SSL VPN 是解決遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn) 公司 敏感數(shù)據(jù)最簡(jiǎn)單最安全的解決方案 。同時(shí)，對(duì)身份認(rèn)證、訪(fǎng)問(wèn)控制，以及 SSL VPN 的具體實(shí)現(xiàn)技術(shù) 、 代理技術(shù) 等 進(jìn)行 了 分析。 第二層 隧道目前主要基于虛擬的即 PPP 連接，如 PPTP、 L2TP 等。 而第三層隧道由于是 IP in IP，如 IPSec，其可靠性及可擴(kuò)展性方面優(yōu)于第二層隧道，特別適宜于 LAN to LAN 互連，但這種方式對(duì)于移動(dòng)用戶(hù)就沒(méi)有第二層隧道簡(jiǎn)單和直接了。它為 TCP/IP 連接提供數(shù)據(jù)加密、服務(wù)器身份驗(yàn)證和消息完整性驗(yàn) 證。采用不同規(guī)則，隧道技術(shù)也可以禁止未授權(quán)的訪(fǎng)問(wèn)。 控制報(bào)文表示了已經(jīng)在可靠層加密封裝的 TLS 報(bào)文，這個(gè)可靠層是以直接的 ACK 和轉(zhuǎn)發(fā)的模型來(lái)實(shí)現(xiàn)的。在使用 SSL 進(jìn)行網(wǎng)絡(luò)通信時(shí)，通信雙方都要持有各自由認(rèn)證中心發(fā)放的身份以及認(rèn)證中心的公開(kāi)密鑰。智能卡由合法用戶(hù)隨身攜帶，登錄時(shí)必須將智能卡插入專(zhuān)用的讀卡器讀取 其中的信息，以驗(yàn)證用戶(hù)的身份。而用戶(hù)每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無(wú)法利用這個(gè)密碼來(lái)仿冒合法用戶(hù)的身份。 在 SSL 協(xié)議的身份識(shí)別過(guò)程中，服務(wù)端先把自己的身份證書(shū)傳給客戶(hù)端，客戶(hù)用認(rèn)證中心的公鑰來(lái)檢驗(yàn)證書(shū)數(shù)字簽名，如果能正確，且證書(shū)處于有效期內(nèi)，就認(rèn)為服務(wù)端的身份有效。它的第三方認(rèn)證機(jī)制和數(shù)字證書(shū)策略，為通信雙方提供了強(qiáng)鑒別身份認(rèn)證機(jī)制 [9]。有的產(chǎn)品可以提供細(xì)粒度的控制，不僅做到“允許”或“禁止”，還包括用戶(hù)能訪(fǎng)問(wèn)什么資源，以及對(duì)這些資源能做些什么。這是SSL VPN 最靈活的一面。 同時(shí)， SSL VPN 實(shí)施了用戶(hù)集中化管理，對(duì)訪(fǎng)問(wèn)控制更加有效：所有的遠(yuǎn)程訪(fǎng)問(wèn)都是通過(guò) SSL VPN 控制臺(tái)進(jìn)行管理，這樣可以更加有效地監(jiān)控用戶(hù)的使用權(quán)限；用戶(hù)可能是內(nèi)部員工、合作伙伴或客戶(hù)，所有訪(fǎng)問(wèn)被限制在應(yīng)用層，而且可以將權(quán)限細(xì)分到一個(gè)URL(統(tǒng)一資源定位符 )或一個(gè)文件。有的產(chǎn)品允許網(wǎng)絡(luò)管理員將 WEB 應(yīng)用定義為一系列的 URL。 由于 SSL 的身份認(rèn)證過(guò)程要求 證書(shū)，需要 CA 對(duì)證書(shū)驗(yàn)證的支持，所以其身份認(rèn)證多數(shù)要與公鑰基礎(chǔ)設(shè)施 (也就是 PKI， PublieKeyInfrastruCture)結(jié)合實(shí)現(xiàn)。 USB Key 是一種 USB 接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶(hù)的密鑰或數(shù)字證書(shū)，利用 USB Key 內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶(hù)身份的認(rèn)證。用戶(hù)使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶(hù)端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。因此，從安全性上講，用戶(hù)名 /密碼方式一種是極不安全的身份認(rèn)證方式。 身份認(rèn)證技術(shù) 湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 15 SSL VPN 用戶(hù) 的 身份認(rèn)證是在隧道連接開(kāi)始之前進(jìn)行用戶(hù)身份的確認(rèn)，以便系統(tǒng)進(jìn)行資源控制和用戶(hù)授權(quán)。 SSL VPN 使用新的 Kid表示新的會(huì)話(huà)。這種技術(shù)使用點(diǎn)對(duì)點(diǎn)通信協(xié)議代替了交換連接，通過(guò)路由網(wǎng)絡(luò)來(lái)連接數(shù)據(jù)地址。用 SOCKSv5 的代理服務(wù)器可以隱藏網(wǎng)絡(luò)地址機(jī)構(gòu)，能為認(rèn)證、加密和密鑰管理提供“插件”模塊，可以讓用戶(hù)自由地采用他們所需要的技術(shù)。它提供了一種方式，將 IP 湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 13 地址映射為簡(jiǎn)單的具有固定長(zhǎng)度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。 隧道技術(shù)主要依靠網(wǎng)絡(luò)隧道協(xié)議來(lái)實(shí)現(xiàn)。 IP 隧道代替了傳統(tǒng)網(wǎng)絡(luò)的“專(zhuān)線(xiàn)”，是組建“虛擬網(wǎng)絡(luò)”的基礎(chǔ)。 第四階段，服務(wù)器端得到信息后，用自己私鑰解密并獲得該對(duì)稱(chēng)密鑰，之后客戶(hù)端和服務(wù)器之間就可以用這個(gè)對(duì)稱(chēng)密鑰進(jìn)行加密通訊了。其中密鑰交換算法采用非對(duì)稱(chēng)密鑰加密算法如 RAS