【導(dǎo)讀】[3]Frost&SSLVPN市場調(diào)查報(bào)告[R].在Linux系統(tǒng)下實(shí)現(xiàn)了SSLVPN的關(guān)鍵組件，建立了基本的SSL安全隧道。的SSLVPN設(shè)備搭建了一個(gè)SSLVPN應(yīng)用實(shí)例。畢業(yè)論文兩份，打印稿一份，電子稿一份。系統(tǒng)的可執(zhí)行文件及源代碼。[主要對學(xué)生畢業(yè)設(shè)計(jì)（論文）的工作態(tài)度，研究內(nèi)容與方法，工作量，文獻(xiàn)應(yīng)用，創(chuàng)新性，實(shí)用性，能夠積極主動地如期的完成各階段任務(wù)。其畢業(yè)設(shè)計(jì)題目“基于PKI的SSL. 該同學(xué)通過查閱了VPN大量相關(guān)。設(shè)計(jì)工作量飽滿，動手能力較強(qiáng)，對于。老師交與的任務(wù)較好完成。平臺，對VPN的應(yīng)用有了更深認(rèn)識和體會。論文書寫結(jié)構(gòu)較好，層次清晰，布局較合理，格式符合畢業(yè)論文要求；論文觀點(diǎn)正確，材料較充實(shí)，圖表較正確，論據(jù)較充分。同意該學(xué)生參與畢業(yè)答辯。路，幫助遠(yuǎn)程用戶、分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同企業(yè)內(nèi)部網(wǎng)建立可靠的安全隧道。SSLVPN因其配置方便以及與操作系統(tǒng)無關(guān)、支持設(shè)備廣泛等優(yōu)勢，彌補(bǔ)。足，指出了目前SSLVPN的應(yīng)用情況。技術(shù)等；分析了SSL協(xié)議，并用真實(shí)設(shè)備實(shí)現(xiàn)了SSLVPN通信。

　　

【正文】 虛擬的點(diǎn)到點(diǎn)連接，這個(gè)連接為隧道的兩個(gè)端點(diǎn)提供了認(rèn)證、 加密和訪問控制。可以在不同的協(xié)議層上來實(shí)現(xiàn)隧道技術(shù)，不同協(xié)議層提供了不同強(qiáng)度的安 全保護(hù)。隧道技術(shù)允許授權(quán)移動用戶或已授權(quán)的用戶在任何時(shí)間任何 地點(diǎn)訪問企業(yè)網(wǎng)絡(luò)。通過隧道的建立，可實(shí)現(xiàn)以下功能 [8]：將數(shù)據(jù)流量強(qiáng)制轉(zhuǎn)到特定的目的地 ； 隱藏私有的網(wǎng)絡(luò)地址 :在 IP 網(wǎng)上傳輸非 IP 協(xié)議數(shù)據(jù)包 ； 提供數(shù)據(jù)安全支持 ；在 安全方面可提供數(shù)據(jù)包認(rèn)證 、 數(shù)據(jù)加密以及密鑰管理等手段。 隧道技術(shù)主要依靠網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)。 目前， IETF 工作組己制定或研究出許多VPN 的隧道協(xié)議，可分為三 大類，分別是第二層 (數(shù)據(jù)鏈路層 )隧道協(xié)議、第三層 (網(wǎng)絡(luò)層 )隧道協(xié)議和第四層 (工作在高層 )隧道協(xié)議 (SOCKSv5 和 SSL 協(xié)議 )。 第二層 隧道目前主要基于虛擬的即 PPP 連接，如 PPTP、 L2TP 等。主要優(yōu)點(diǎn)是協(xié)議簡單，易于加密，特別適用于為遠(yuǎn)程撥號用戶接入 VPN 提供 PPP 連接。但由于會話貫穿整個(gè)隧道，并終止在用戶網(wǎng)關(guān)上，所以需要維護(hù)大量的 PPP 會話連接狀態(tài)，而 IP 隧道造成 PPP 會話超時(shí)等問題，加重了系統(tǒng)的負(fù)荷，影響傳輸效率和系統(tǒng)的擴(kuò)展。 多協(xié)議標(biāo)簽交換（ MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機(jī)制。 MPLS 介于第二和第三層協(xié)議，諸如 ATM 和 IP。它提供了一種方式，將 IP 湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 13 地址映射為簡單的具有固定長度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。它是現(xiàn)有路由和交換協(xié)議的接口，如 IP、 ATM、幀中繼、資源預(yù)留協(xié)議（ RSVP）、開放最短路徑優(yōu)先（ OSPF）等等。 而第三層隧道由于是 IP in IP，如 IPSec，其可靠性及可擴(kuò)展性方面優(yōu)于第二層隧道，特別適宜于 LAN to LAN 互連，但這種方式對于移動用戶就沒有第二層隧道簡單和直接了。所以對于 IP 隧道究竟是采用第二層隧道還是第三層隧道，要看 VPN 設(shè)計(jì)的目的。其二是在網(wǎng)絡(luò)的什么層次上實(shí)現(xiàn) IP 隧道的問 題。目前較多的是 IP 協(xié)議實(shí)現(xiàn) IP 隧道，但也有用 UDP 等協(xié)議來實(shí)現(xiàn) IP 隧道的。 第四層隧道最著名的是 SocKSv5 和 SSL。 SOCKSv5 是 NEC 開發(fā)的，是建立在 TCP 層上的安全協(xié)議，更容易為與特定 TCP 端口相連的應(yīng)用建立特定的隧道。用 SOCKSv5 的代理服務(wù)器可以隱藏網(wǎng)絡(luò)地址機(jī)構(gòu)，能為認(rèn)證、加密和密鑰管理提供“插件”模塊，可以讓用戶自由地采用他們所需要的技術(shù)。 SSL 協(xié)議是一種在 WEB 服務(wù)協(xié)議 (HTTP)和 TCP/IP之間提供數(shù)據(jù)連接安全性的協(xié)議。它為 TCP/IP 連接提供數(shù)據(jù)加密、服務(wù)器身份驗(yàn)證和消息完整性驗(yàn) 證。 SocKsV5 和 SSL 協(xié)議配合使用作為建立 SSL VPN 的基礎(chǔ)，最適合于客戶機(jī)到服務(wù)器的連接模式，適用于外部網(wǎng) VPN 和遠(yuǎn)程訪問 VPN。 SSL VPN 隧道技術(shù) SSL VPN 是通過數(shù)據(jù)包封裝的隧道技術(shù)來實(shí)現(xiàn)虛擬專用網(wǎng)的私有性。隧道是一種邏輯上的概念，封裝是實(shí)現(xiàn)隧道的主要技術(shù)，通過將網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)實(shí)現(xiàn) IP 的再封裝，實(shí)現(xiàn)了被封裝數(shù)據(jù)的信息隱蔽和抽象。因而可以通過隧道實(shí)現(xiàn)利用公共 IP 網(wǎng)絡(luò)傳輸其它協(xié)議的數(shù)據(jù)包 ； 另外通過隧道傳輸 IP 數(shù)據(jù)報(bào)文時(shí)，利用被傳 IP 包的地址信息得到 隱藏這一特點(diǎn)，很容易實(shí)現(xiàn)私有地址和公網(wǎng)地址 的獨(dú)立性，從而 為 VPN 能提供地址空間的獨(dú)立、多協(xié)議支持等機(jī)制奠定了基礎(chǔ) SSL VPN 是一個(gè)優(yōu)秀的 VPN 解決方案，它采用第四層隧道協(xié)議來實(shí)現(xiàn)第二第三層的網(wǎng)絡(luò)連接，類似于點(diǎn)到點(diǎn)的連接。這種技術(shù)能夠使得來自不同客戶端的網(wǎng)絡(luò)流量從一個(gè)基礎(chǔ)設(shè)施中通過。這種技術(shù)使用點(diǎn)對點(diǎn)通信協(xié)議代替了交換連接，通過路由網(wǎng)絡(luò)來連接數(shù)據(jù)地址。隧道技術(shù)允許授權(quán)的移動用戶在任何時(shí)間任何地點(diǎn)訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。采用不同規(guī)則，隧道技術(shù)也可以禁止未授權(quán)的訪問。通過隧道的建立，可以實(shí)現(xiàn)以下功能： ? 將數(shù)據(jù)流強(qiáng)制定向到特定目的地； ? 隱藏私有的網(wǎng)絡(luò)地址，保 護(hù)內(nèi)部數(shù)據(jù)和資源； ? 在 IP 網(wǎng)絡(luò)上傳輸非 IP 協(xié)議數(shù)據(jù)包； ? 數(shù)據(jù)安全支持，包括傳輸安全和訪問安全。 SSL VPN 的隧道技術(shù)把所有訪問企業(yè)內(nèi)部子網(wǎng)的數(shù)據(jù)封裝成特殊的 TCP/UDP 報(bào)文，報(bào)文格式如圖 。 湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 14 圖 SSL VPN 所有協(xié)議的報(bào)文格式 TCP/UDP 表示了高層的數(shù)據(jù)封裝， SSL 報(bào)文被封裝到 TCP/UDP 的數(shù)據(jù)部分，其格式為： 報(bào)文長度： 16 位，只有 TCP 報(bào)文有該字段，總是作為明文傳送。 消息類型： 5 位，不同的消息類型有不同的操作，主要負(fù)責(zé)完成 SSL VPN 的隧道協(xié)商。 Kid：這個(gè)字段表示了 SSL VPN 已經(jīng)協(xié)商起來的 TLS 會話。 SSL VPN 使用新的 Kid表示新的會話。 負(fù)載： N 比特，可能是控制報(bào)文或數(shù)據(jù)報(bào)文報(bào)文。 控制報(bào)文表示了已經(jīng)在可靠層加密封裝的 TLS 報(bào)文，這個(gè)可靠層是以直接的 ACK 和轉(zhuǎn)發(fā)的模型來實(shí)現(xiàn)的。 數(shù)據(jù)報(bào)文負(fù)載表示加密封裝的隧道報(bào)文。這些報(bào)文可能是 IP 報(bào)文或者是以太網(wǎng)幀。 所有這些報(bào)文都通過服務(wù)器和客戶端建立的隧道傳輸。使用隧道技術(shù)遠(yuǎn)程訪問服務(wù)器把用戶數(shù)據(jù)封裝進(jìn) IP 數(shù)據(jù)包中，這些數(shù)據(jù)包通過 ISP（電信服務(wù)提供商網(wǎng)絡(luò)傳輸，在Inter 中，則需要穿過不同的網(wǎng)絡(luò)，最后到達(dá)隧道終點(diǎn) ，即企業(yè)內(nèi)部的 SSL VPN 服務(wù)器，然后把數(shù)據(jù)拆包，轉(zhuǎn)成最初的形式。 SSL VPN 允許網(wǎng)絡(luò)協(xié)議的轉(zhuǎn)換，還允許對來自不同客戶端的流量進(jìn)行區(qū)別，指定特定的目的地，接受指定級別的服務(wù)。 身份認(rèn)證技術(shù) 湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 15 SSL VPN 用戶 的 身份認(rèn)證是在隧道連接開始之前進(jìn)行用戶身份的確認(rèn)，以便系統(tǒng)進(jìn)行資源控制和用戶授權(quán)。 SSL VPN 首先是一種 VPN，對于 VPN 系統(tǒng)，用戶身份認(rèn)證是一項(xiàng)功能。在使用 SSL 進(jìn)行網(wǎng)絡(luò)通信時(shí)，通信雙方都要持有各自由認(rèn)證中心發(fā)放的身份以及認(rèn)證中心的公開密鑰。 常見的身份認(rèn)證技術(shù)有： ? 用戶名 /密碼方式 用戶名 /密 碼是最簡單也是最常用的身份認(rèn)證方法，是基于“ what you know”的驗(yàn)證手段。每個(gè)用戶的密碼是由用戶自己設(shè)定的，只有用戶自己才知道。只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。實(shí)際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙 上放在一個(gè)自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，在驗(yàn)證過程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗(yàn)證使用的驗(yàn)證信息都是相同的，很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此，從安全性上講，用戶名 /密碼方式一種是極不安全的身份認(rèn)證方式。 ? 智能卡認(rèn)證 智能卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)， 智能卡由專門的廠商通過專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時(shí)必須將智能卡插入專用的讀卡器讀取 其中的信息，以驗(yàn)證用戶的身份。智能卡認(rèn)證是基于“ what you have”的手段，通過智能卡硬件不可復(fù)制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息，因此還是存在安全隱患。 ? 動態(tài)口令 動態(tài)口令技術(shù)是一種讓用戶密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。它采用一種叫作動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn) 證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶使用時(shí)只需要將動態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過密碼驗(yàn)證就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個(gè)密碼來仿冒合法用戶的身份。 動態(tài)口令技術(shù)采用一次一密的方法，有效保證了用戶身份的安全性。但是如果客戶端與服務(wù)器端的時(shí)間或次數(shù)不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題。并且用戶每次登錄時(shí)需要通過 鍵盤輸入一長串無規(guī)律的密碼，一旦輸錯(cuò)就要重新操作，使用起來非常不方便。 ? USB Key 認(rèn)證 基于 USB Key 的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全的身份認(rèn)證技術(shù)。湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 16 它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。 USB Key 是一種 USB 接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用 USB Key 內(nèi)置的密碼算法實(shí)現(xiàn)對用戶身份的認(rèn)證?；赨SB Key 身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊 /響應(yīng)的認(rèn)證模式，二是基于PKI 體系 的認(rèn)證模式。 在 SSL 協(xié)議的身份識別過程中，服務(wù)端先把自己的身份證書傳給客戶端，客戶用認(rèn)證中心的公鑰來檢驗(yàn)證書數(shù)字簽名，如果能正確，且證書處于有效期內(nèi)，就認(rèn)為服務(wù)端的身份有效。隨后，客戶端也把自己的身份證書傳給服務(wù)端，服務(wù)端用認(rèn)證中心 公 鑰檢驗(yàn)證書數(shù)字簽名，如果正確，且日期有效，則客戶端的身份有效。這一過程中除了能證實(shí)對方身份，客戶方還可從證書中得到對方的公鑰，用于下一步的密鑰交換。因?yàn)闃I(yè)界存在多種認(rèn)證技術(shù)，不同企業(yè)具體使用的用戶驗(yàn)證方法也不同，所以 VPN 系統(tǒng)必須支持多種認(rèn)證，只有這樣才能保證可以在不同網(wǎng)絡(luò)環(huán) 境中安裝部署。 SSL VPN 認(rèn)證方式?jīng)]有統(tǒng)一標(biāo)準(zhǔn)，目前市場上的 SSL VPN 產(chǎn)品普遍支持的認(rèn)證方法是遠(yuǎn)程認(rèn)證撥入用戶服務(wù)協(xié)議 (RADIUS)、簡便的目錄訪問協(xié)議 (LDAP)、數(shù)字證書和活動目錄 (AD)等驗(yàn)證，有些產(chǎn)品還提供安全標(biāo)識 (SID)卡這種一次性認(rèn)證方法。 SSL 身份驗(yàn)證功能一般使用模塊化結(jié)構(gòu)實(shí)現(xiàn)，這種設(shè)計(jì)模式的優(yōu)點(diǎn)在于提高認(rèn)證系統(tǒng)靈活 性 和可擴(kuò)展性，便于開發(fā)者添加新的認(rèn)證模塊 ； 缺點(diǎn)是沒有統(tǒng)一標(biāo)準(zhǔn)，開發(fā)者必須針對每種認(rèn)證協(xié)議開發(fā)自己的認(rèn)證模塊，自行定義用戶驗(yàn)證流程和用戶認(rèn)證方法，而且各產(chǎn)品自行設(shè)計(jì)的用戶驗(yàn) 證流程可能存在安全問題。 由于 SSL 的身份認(rèn)證過程要求 證書，需要 CA 對證書驗(yàn)證的支持，所以其身份認(rèn)證多數(shù)要與公鑰基礎(chǔ)設(shè)施 (也就是 PKI， PublieKeyInfrastruCture)結(jié)合實(shí)現(xiàn)。 PKI集密碼算法、報(bào)文摘要、數(shù)字簽名等多種技術(shù)于一體，很好解決了網(wǎng)絡(luò)環(huán)境下信息的保密性、完整性和不可否認(rèn)性。它的第三方認(rèn)證機(jī)制和數(shù)字證書策略，為通信雙方提供了強(qiáng)鑒別身份認(rèn)證機(jī)制 [9]。基于 PKI 的 SSL VPN，能夠提供強(qiáng)鑒別身份認(rèn)證和有效地防止瀏覽器和服務(wù)器之間的信息被竊聽、篡改和偽造。本文正是研究基于 PKI 來實(shí)現(xiàn) SSL VPN的身份認(rèn)證的。 訪問控制技術(shù) 訪問控制技術(shù)是由 VPN服務(wù)的提供者根據(jù)在各種預(yù)定義的組中用戶的身份標(biāo)志及其成員身份來限制訪問某些信息項(xiàng)或某些控制的機(jī)制。現(xiàn)行的環(huán)境下通常由系統(tǒng)管理員來控制用戶對資源的訪問。 作為安全設(shè)備， SSL VPN 可用“組”對應(yīng)用進(jìn)行訪問控制。有的產(chǎn)品允許網(wǎng)絡(luò)管理員將 WEB 應(yīng)用定義為一系列的 URL。一旦定義了應(yīng)用，用戶和組就允許或禁止訪問該應(yīng)用。有的產(chǎn)品可以提供細(xì)粒度的控制，不僅做到“允許”或“禁止”，還包括用戶能訪問什么資源，以及對這些資源能做些什么。 湖南科技大學(xué)畢業(yè)設(shè)計(jì)（論文） 17 SSL VPN 具有細(xì)粒度的訪問控制能力。 SSL VPN 使網(wǎng)絡(luò)管理員更靈活，可為不同用戶群定義豐富的身份驗(yàn)證和授權(quán)策略。網(wǎng)絡(luò)管理員能進(jìn)行全范圍的鑒別、授權(quán)和管理，包括每個(gè)用戶的授權(quán)方式、每個(gè)用戶和組的訪問權(quán)限等。由于 SSL VPN 工作在應(yīng)用層，網(wǎng)絡(luò)管理員可以對其進(jìn)行細(xì)粒度的訪問控制策略設(shè)置，可以基于應(yīng)用、 TCP/IP 端口和用戶本身特性，對 SSL VPN 進(jìn)行周密的訪問控制和規(guī)則設(shè)置。同時(shí)，精確性更高的參數(shù)還能支持動態(tài)訪問部署，管理員能依據(jù)用戶身份、網(wǎng)絡(luò)信任級別、設(shè)備類型 (PC 或無線 )、會話參數(shù) (實(shí)際時(shí)間、登錄時(shí)間 )和安全 級別 (雙重驗(yàn)證或證書授權(quán) )等各種因素，隨時(shí)定義不同訪問權(quán)限和規(guī)定不同會話角色 [10]。 同時(shí)， SSL VPN 實(shí)施了用戶集中化管理，對訪問控制更加有效：所有的遠(yuǎn)程訪問都是通過 SSL VPN 控制臺進(jìn)行管理，這樣可以更加有效地監(jiān)控用戶的使用權(quán)限；用戶可能是內(nèi)部員工、合作伙伴或客戶，所有訪問被限制在應(yīng)用層，而且可以將權(quán)限細(xì)分到一個(gè)URL(統(tǒng)一資源定位符 )或一個(gè)文件。而使用 IPSec VPN，安全權(quán)限則只局限到網(wǎng)絡(luò)。這是SSL VPN 最靈活的一面。遠(yuǎn)程控制的實(shí)現(xiàn)是通過在現(xiàn)有的遠(yuǎn)程控制協(xié)議上添加 SSL VPN功能和 WEB 瀏覽器支持來完成的，這意味著通過將應(yīng)用添加到遠(yuǎn)端控制臺我們可以在SSL VPN 增加任何應(yīng)用，這使得 SSL VPN 非常靈活。 SSL 代理技術(shù) 通過 SSL VPN，用戶可用瀏覽器訪問專用網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)服務(wù)，其核心功能是代理和轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)終端用戶的訪問請求，使之能進(jìn)入內(nèi)