SSLVPN技术

2024-07-26

SSLVPN技术（精选七篇）

SSLVPN技术篇1

SSL VPN是基于SSL协议的虚拟专用网, 它能够有效增加企业对数据的访问控制能力和提升数据与网络的安全级别, 是基于Internet的外网接入企业内网和远程访问公司敏感数据的最便捷和安全的解决方案。传统的SSL VPN存在着网络应用支持单一、功能扩展困难和系统性能低下等缺点, 本文有针对性地提出基于隧道技术的改良SSL VPN企业解决方案, 可以有效地解决相关技术难题。

1 SSL VPN技术

VPN[1] (Virtual Private Network) 技术是指依靠ISP或NSP, 在公用网络Internet中建立专用的数据通信网络的技术。实际应用中, 根据ISP或NSP提供的传输介质与设施进行网络虚拟逻辑划分, 并以这些通信设施为基础为用户提供定制的网络连接服务, 连接使得用户可以具有相同的安全优先级服务, 可采用隧道技术和特殊配置技术措施实现仿真的点到点的连接等。VPN的出现可帮助企业构建基于Internet规划的最安全和经济的企业网扩展, 真正实现企业内与企业外的无缝对接。

SSL[2]是网景公司推出的基于Web应用的安全通信协议, 现已成为互联网上保密通信的工业标准, 应用于包括Web应用的诸多方面。将SSL的独特性与VPN的安全远程访问控制相结合, 就是SSL VPN。SSL VPN是指采用SSL协议来实现远程接入的一种新型VPN技术。因为SSL内嵌在浏览器中了, 所以客户端只要安装有浏览器就可以使用SSL VPN, 相比于传统的IPSec VPN需要安装客户端软件来说显得更加的方便、快捷, 是新生代的远程安全访问方式。

2 隧道技术

隧道技术是指利用一种网络协议来传输另一种网络协议的技术, 主要由网络隧道协议实现相关功能。传统的网络隧道协议有用于构建远程访问虚拟专网的二层隧道协议和用于构建与扩展企业内部虚网的三层隧道协议等, 本文提出的VPN网络架构是基于SSL的四层隧道协议, 即SSL VPN, 主要在应用层构建VPN隧道, 相比传统的架构更加安全可靠。

VPN网络中建立连接的两个终端间的隧道结构主要有以下几种:

1) 点到点隧道:该类隧道需要由两个终端协商各自在网络中的角色是服务器还是客户端, 两个终端间需要具有相同数量的隧道资源。此隧道技术速度快、保密性好, 但不利于多用户交流, 访问对象动态切换较困难。

2) 改进的点到点隧道:为终端协商配置专门服务器, 需要建立隧道时, 先到服务器上检索登记信息并自主登录, 服务器根据规则完成协商, 检测两终端状态若均为活动状态, 则反馈协商结果给两客户端, 完成隧道构建。此方法较好的解决多用户问题, 应用广泛。

3) 网关型隧道:隧道中的每个终端都作为客户端连接到VPN网关, 与VPN网关建立隧道, 由网关完成终端间隧道的构建。这种方法较为安全, 但速度较慢且比较耗资源。

4) 综合型隧道:这种隧道将改进的点到点隧道与网关型隧道相结合, 现在应用非常广泛, 方便进行大中型网络和多级VPN网络的构建。本文涉及的系统就采用这种方法, 但构建的是一个企业级的中小型VPN网络。

本系统中的SSL VPN主要采用四层隧道协议完成OSI的二层和三层的连接工作, 构建点到点的VPN数据连接。用路由网络连接数据地址, 不同用户共享一条线路完成数据传输, 通过浏览器建立较安全的HTTPS连接, 构建安全、易操作的远程数据访问平台。出于安全考虑, 隧道技术可以根据不同的用户权限控制规则, 拒绝未经授权用户的登录请求。

3 虚拟网卡驱动工作原理

本系统中的隧道技术主要是基于虚拟网卡实现。虚拟网卡在本系统中作用非常重要, 它存在于服务端和客户端的机器中, 对传输的数据包进行编码与解码。客户端虚拟网卡的任务是对数据进行编码, 并向服务器发送信息;服务端虚拟网卡的作用是将客户端传送的数据解码还原, 并将数据传输到物理网络中。

SSL VPN通过TUN/TAP虚拟网卡驱动程序将IP数据包封装到一个UDP或TCP数据包中构建隧道。SSL VPN隧道有两种工作模式:TUN驱动模式和TAP驱动模式, 分别用来构建IP路由形式的VPN隧道和以太网模型隧道。TUN和TAP分别表示虚拟的点对点设备和以太网设备, 它们实现不同形式的封装, 但最终都是将整个IP包封装成一个UDP或TCP包。

TUN/TAP虚拟网卡驱动接收与发送数据都不直接与物理网卡交流, 由用户态转交, 驱动程序只是为用户态与核心态交流提供接口, 通过设备文件来实现数据交互。虚拟网卡驱动程序的工作原理[3]如图1所示。

TUN/TAP驱动包含虚拟网卡驱动和字符设备驱动两部分。虚拟网卡驱动与TCP/IP协议栈交互网络分包;字符设备驱动则模拟物理链路在用户态和核心态之间传递网络分包。TUN/TAP驱动将这两种驱动进行了有效整合。

4 虚拟网卡工作流程

SSL VPN系统包括调度中心、相关规则库、SSL相关处理、用户相关应用程序、字符设备驱动、虚拟网卡和物理网卡等若干模块, 其中调度中心、相关规则库、SSL相关处理和用户应用程序体现等用户态功能。

下面以基于虚拟网卡的SSL VPN网络中某一用户向某受保护的子网中的终端发送数据包为例, 对虚拟网卡的工作流程进行说明。在为虚拟网卡设置相关参数, 并添加虚拟路由信息后, 执行如图2所示的步骤[4]:

1) 用户终端应用程序向TCP/IP协议栈发出一个包含有远程终端目的地址的IP数据包;

2) TCP/IP协议栈进行虚拟路由匹配, 在IP数据包源地址段附加上虚拟网卡的虚拟IP地址, 并发送给虚拟网卡进行处理;

3) 虚拟网卡因为没有对应的物理网卡, 所以不需要实现与物理网卡进行交互, 直接将数据包转发给字符驱动模块;

4) 字符驱动模块模拟物理链路将数据包发送给调度中心;

5) 调度中心根据规则库中相关规则进行检测, 如检测通过, 则将其交由SSL进行加密处理, 并将处理结果报文传递给TCP/IP协议栈;

6) TCP/IP协议栈进行相应路由匹配, 并在IP数据包的源地址段附加上实际物理网卡的IP地址, 目的地址附加上远程接收端的SSL VPN网关的外口地址, 并传递给物理网卡处理;

7) 物理网卡根据IP数据包的相关信息, 将信息传递出去。

上述过程是发送终端基于虚拟网卡的数据包发送流程, 数据包经过物理网卡传递给SSL VPN网关后, 网关将其交给接收端的TCP/IP协议栈, 协议栈查看数据包目的地址与端口后交给接收端调度中心, 调度中心结合SSL相关处理模块解密还原, 根据解密出的IP数据报中的目的地址将信息送给接收端主机。上述是发送数据包的全过程, 接收数据包的流程与上述流程相反, 就不赘述了。

5 结束语

基于隧道技术的SSL VPN是一种非常好的企业构建内联网与互联网以及构建远程安全接入网络的解决方案, 本文提出的隧道技术主要基于虚拟网卡实现, 从技术上来看, 较好的解决了网络驱动程序接口规范框架中的软件冲突、传输层的过滤驱动不够安全、Win Sock2动态链接库重载等问题, 能够较好地解决安全性的问题, 并且已经在实际应用中得到了验证, 所以这是一个较成功的企业组网方案。

参考文献

[1]戴宗坤, 唐三平.VPN与网络安全[M].北京:电子工业出版社, 2002.

[2]百度知道.SSL VPN[EB/OL].http://baike.baidu.com/view/708397.htm.

[3]菅永超.基于隧道技术的SSL VPN的改进与设计[D].武汉:华中科技大学, 2007.

PKI技术在SSLVPN中的应用篇2

SSL VPN是近年来兴起的一种新的VPN技术,是一种解决远程用户安全访问本地网络中敏感数据的解决方法。SSL VPN技术[1]有着易于实现安装,不需要安装客户端,成本低廉,细粒度的访问控制等优势,适用于远程分散用户的链接。然而随着SSL VPN的广泛应用,SSL VPN技术也暴露出来一些问题,例如黑客会利用所控制的合法终端进行攻击或造成数据的泄漏。SSL VPN虽然能够抵御外部用户的终端的攻击,但是针对这些来自合法用户的攻击比较无力。

因此,本文将从SSL VPN存在的问题入手,针对这些安全保护上问题引入数字证书和数字签名技术,改进了SSL VPN的安全性能,从而使其满足达到应用到远程测控网络的构建的安全性的要求。

2 SSL VPN技术概述

SSL VPN技术是在现有的SSL协议的应用基础上发展而来的,它增加了客户端执行访问控制和安全的级别和能力。SSL协议一般位于TCP/IP协议与各种应用层协议之间,其可分为两层:SSL记录协议层,SSL握手协议层。SSL握手协议是建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL记录协议是建立在SSL握手协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

3 基于PKI技术的SSL VPN设计

3.1 PKI技术概述

公钥基础设施Public Key Infrastructure(PKI)[2,3]是一个采用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。该设施通过规范化地管理密钥,并利用数字证书上的数字签名来标识在密钥持有人的身份,为应用系统进行身份验证、数据的完整性和保密性、不可否认性等来进行安全保障的措施,从而提供一个安全可靠的系统环境。常见的PKI系统如下图所示:

PKI系统的基础是数字证书[2,4,5]。数字证书其主要用于在网络业务活动中对实体标识身份,方便通信双方对其身份的验证,也会对证书的有效期进行检查,保证了不可抵赖性,解决了双方信任问题。数字证书通常由证书认证中心签名并发布出来,包含了公钥持有者的信息以及公开的密钥的文件。

数字证书主要分为两大类,一类是签名证书,主要用于对用户信息进行签名,保证信息的不可否认性和不可抵赖性;另一类则是加密证书,主要用于传输过程中对用户传送的信息进行加密,以保证信息的真实性和完整性。

而数字证书的安全性则由加密算法的优劣来决定。目前常见的非对称加密算法主要有RSA,DSA和ECC。三种加密算法都有着很高的安全性,但以本文的角度上来考虑到用户访问的数据能够在最短的时间内进行加密或解密从而进行传输。所以本文会以加解密算法的复杂度作为首要条件进行考虑,综合考虑加密算法的安全性,最后选择了椭圆曲线加密算法—ECC。

3.2 EEC算法

椭圆曲线加密算法ECC是一种公钥加密算法,它具有计算量小,存储空间占用小,带宽要求低等优点。它的算法的核心思想是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数计算的复杂性。

ECC是利用有限域上椭圆曲线方程:

其中,p是奇素数,且

在域x∈[0,p)π上,可以根据公式计算出y值,得到点(x,y),其中x,y<p,记为Ep(a,b)。在曲线Ep(a,b)上的取两个点K,G,对于等式K=k G来说,通过K,G两点来计算出k是非常困难的。根据这一特性,把点G称为基点,k作为私有密钥,K作为公开密钥,形成了一套非对称加密算法体系。

基于两个点的算法的伪代码描述如下:

3.3 实验结论

目前市面上的SSL大部分采用的是RSA非对称加密算法,因此本文选取了RSA与EEC加密算法的比较。在实验过程分别采用了依次递增加密密钥长度,来测试两个算法的耗时和效率。

根据图4和图5的结果,可以得到实验结论为:随着密钥长度越来越长,RSA性能大为降低。而ECC的算法则上升程度有限。总的来说,EEC算法比RSA更为适用与进行数字证书的加密。

3.4 PKI技术在SSL VPN中的应用

系统设计的目标是建立一个具有高安全性,能够适用基于互联网进行远程测控系统通信的SSL VPN安全系统。系统采用SSL协议为基础,引入PKI数字证书技术,来保证测控信息通道安全的安全通讯系统。系统主要完成的工作分为以下几个部分:

(1)建立SSL VPN服务器

(2)建立认证中心CA,实现对数字证书的发放、管理和作废等功能。

(3)建立LDAP目录服务器,用于查询用户信息等功能。

SSL VPN服务要能够接受用户的访问,提供给用户相应的功能权限,并能对访问的用户进行管理。用户从PKI数字证书系统中去申请用于建立SSL连接的所需求的数字证书,同时也会去申请角色的权限(通常内嵌在数字证书中)。管理员根据不同的需求分配不同的角色给用户,以便用户使用自己相应的资源。SSL VPN应用服务器根据用户的权限进行识别,然后建立起一个隧道连接,同时也会检测访问的权限范围,提供相应的操作结果值和安全范围内的资源给用户。

在用户的访问请求阶段,SSL握手协议层中采用了生成随机码和验证,保证建立过程的唯一性和随机性。利用了PKI数字证书技术对用户的身份进行验证。采用了用户角色的设计,对不同的用户提供了不同的访问权限等级,保障了应用服务器上的资源的安全使用。在SSL协议层采用了多种方法对数据的传输过程进行加密。同时,在传输数据过程中采用MAC算法对传输数据的完整性进行验证,保证了数据的完整性。

4 结论

通过引入了PKI数字证书系统,弥补了SSL VPN在安全性方面的不足,添加了用户权限分级控制,满足了不同层次的需求,可以更加灵活配置管理远程接入的访问,实现了资源的安全共享,极大提高了系统的数据的安全性,更能适应不同的数据操作环境。

摘要：文章首先介绍分析了SSL协议,探讨了SSL协议对VPN支持的方面可能存在缺陷,并提出了引入PKI数字证书系统,用于解决网络环境下身份认证、访问控制等存在的问题,以来增强SSL VPN系统的安全性,并对PKI的加密算法的安全性进行了分析比较。基于PKI技术的SSL VPN技术有效的弥补了SSL VPN在安全性的不足,添加了用户权限分级控制,满足了不同层次的需求,可以更加灵活配置管理远程接入的访问,实现了资源的安全共享。

关键词：SSL协议,PKI技术,数字证书,VPN,网络技术

参考文献

[1]Charlie Hosner.Open VPN and the SSL VPN Revolution.http://openvpn.net/index.php/open-source/articles.html.

[2]徐勇,袁丁.数字证书的研究与实现[J].通信技术,2009(1).

[3]虞歌.PKI体系的分析[J].现代计算机,2003(7).

[4]张仕斌,何大可,盛志伟.PKI安全认证模型的分析与研究[J].成都信息工程学院学报,2006(3).

[5]徐庆征.公开密钥基础设施PKI及其体系结构的研究[J].数据通信,2004(3).

[6]Ramy K.Khalil,Fayez W.Zaki,Mohamed M.Ashour,et al.AStudy of Network Security Systems[J].International Journal ofComputer Science and Network Security,2010.

[7]陈向荣,余胜生.IPSec-VPN中应用PKI的研究与实现方案[J].计算机与数字工程,2002(6).

[8]Eric Young.Open SSL project[EB/OL].http://www.openssl.org.

SSLVPN技术篇3

虚拟专用网(Virtual Private Network,简称VPN)是指在公用网络上建立专用网络的技术。整个VPN网络的任意两个节点之间的连接并没有传统专用网络所需要的物理链路(如DDN或帧中继等),而是架构在公用网络(如Internet)之上的逻辑网络。因此,虚拟专用网是对企业内部网的扩展,虚拟专用网可以实现远程用户、企业分支机构、商业伙伴及供应商公司等的内网建立安全可信的网络链接,保证数据的安全传输。其中,IPSec、MPLS VPN和SSL VPN是目前使用较多的VPN技术。

随着社会信息化的发展,高等教育信息化程度越来越高,由于数据库知识产权和版权等限制,居住在校外的师生访问不了校园内部馆藏资源,给校外师生的学习科研造成不便。针对于目前各个高校普遍存在的问题,使校外师生通过相应的身份认证技术进入校园网然后利用校园网IP地址合法王文校内的电子资源数据库,满足校外师生远程访问电子资源的需求。因此,采用VPN技术既能保证电子资源数据库的知识产权,又能实现校外师生访问馆藏资源,提高电子资源的利用率。

2 VPN技术简介

采用VPN技术能给用户带来的好处有:

1)使用VPN技术可降低成本。通过公用网建立VPN,可以节约大量的通信费用,而不用投入大量的人力、物力去安装、维护广域网(WAN)的线路设备。

2)传输数据安全可靠。由于虚拟专用网采用加解密技术和身份认证技术等,保证数据的可靠性及传输数据的安全性和保密性。

3)连接方便灵活。用户通过VPN网络,合作伙伴之间就不需要在双方之间租用线路或帧中继线路,可以直接通过VPN配置安全连接线路即可。

4)完全控制。虚拟专用网虽然使用ISP的设施和服务,但完全掌握自己网络的控制权,对于网络安全设置、网络管理变化都可自己管理,便于管理。

3 远程访问校园网资源存在的难题

由于校外用户访问校内电子资源过程中存在用户环境复杂、安全性高、使用方便、访问量大等问题,使校园网目前普遍存在以下问题:

1)用户希望随时随地能够快速访问校园网内的电子资源数据库。由于大多数电子资源仅供学院内部使用,具有知识产权保护,因此大多数电子资源在开放前都对合法用户的IP地址等进行限制,防止校外非法用户使用。而校外的合法用户由于使用的电脑IP地址不是合法的IP地址,因此不能正常访问电子资源。由此可见,校外合法用户如想正常使用校园网的电子资源数据库,需要获取校园网IP地址,采用合法使用电子资源。

2)用户接入方便和远程接入易用原则。由于大多数师生对计算机网络专业知识了解不够,因此,希望在进行VPN连接时能够方便快捷,而且在连接过程中容易实现连接,便于实现及网络故障维护。

3)系统的可扩展性。由于校园网电子资源较多,所支持的技术平台也各种各样,因此,要求用户在使用过程中的各种访问方式都能够支持,具有通用性和可扩展性。

4 采用VPN技术实现远程访问校园网资源

随着社会信息化和对资源的不断需求,大多数师生在校外进行备课、科研等工作时需要及时有效地访问校园网电子资源数据库,因此,校园网必须提供一种有效的远程访问方式。通过采取VPN技术,可以突破校园网电子资源访问瓶颈,实现校园网之间的信息资源共享,实现远程访问校园网资源。

4.1 主要的技术难题

校园网通过VPN技术实现时需要考虑资源开放与访问权限两大问题。

1)网络资源开放。要保证校外师生能够像在校内网一样能够访问校园网所有的电子资源数据库。

2)校内资源的访问权限。

既要保障校外师生方便使用校内网电子资源的同时,也要保障资源的安全性。因此,在通过VPN技术实现资源开放的同时,需要针对于师生用户的不同需求,通过设置不同的访问权限来加以限制,要使师生在校外方便地远程接入校园网,保证高可靠的网络应用。

4.2 采用SSL VPN技术实现用户远程访问校内资源

SSL VPN是采用SSL(Security Socket Layer)协议来实现远程接入的一种VPN技术,相对于传统VPN,SSL VPN具有部署简单,维护成本低,网络适应强等特点。海蜘蛛路由系统针对中国互联网的特点,根据终端接入路由器的功能需要,专门设计并构建了一套专用Linux系统,并以此系统为基石,以用户需求为导向,逐步开发了路由系统的各个通用模块,以及针对有中国特色的网络环境所设计的一系列专用模块。整个系统模块化程度高,灵活性和可扩展性强,体积精减、运行效率高,安全性好、稳定性佳,并具有良好的硬件兼容性。海蜘蛛路由系统中关于SSL VPN技术的解决方案如下:

1)SSL_VPN服务端的设定

a)设定SSL_VPN服务参数。进入“服务应用”→“SSL VPN服务”,如初次使用需要生成证书、密钥等文件,点击在右下角的“证书密钥文件管理”在弹出的窗口中单击“这里”即可“重新生成CA、服务器端证书及TLS密钥”,如图1(a)所示。然后单击导出按钮即可导出刚刚生成的证书文件:ca.crt、ca.key、server.key、ta.key、server.crt。如果之前导出过上述5个文件,则可以上传其到服务器,沿用原有的证书及密钥,无需重新生成。

b)VPN参数设置

VPN连接参数设置如图2所示,其中,协议类型/监听端口设置为UDP,端口默认为1194,如更改,则需要在客户端进行更改设置。VPN子网地址是为链接到此VPN服务器的客户端分配的IP地址,一般使用的是内部保留IP地址,即用192.168.*.*或10.*.*.*,这里我们使用10.10.0.0/255.2555.0.0,此地址可根据本单位的实际情况自行设置。VPN安全参数设置如图3所示。如果想让客户端拨入后能访问远程局域网,只需勾选“允许客户端访问本地局域网”。

c)VPN用户管理

VPN服务器端用户管理主要是管理客户端用户连接VPN服务器时需要登录的用户名和密码,以及对客户端状态、IP地址等信息进行管理。在服务器管理界面中,进入“服务应用”→“用户账号管理”,点击新增用户,如图4所示:

其中分配固定IP地址是为此用户分配固定的IP地址,并且此IP地址在任何时候不能在分配给其它客户端。如果需要让某个帐户拨号后始终获得一个固定的VPN IP地址,在“分配固定IP”项输入想要分配的IP即可,如10.10.0.2.

2)SSL_VPN客户端的设定

从Open VPN官方网站下载Open VPN 2.2.1 for Windows程序。下载后双击下载文件进行安装,其安装使用默认参数即可,一直点击Next直到完成。默认安装在C:Program FilesOpen VPN目录下面。然后再对客户端进行配置如下:

a)进入C:Program FilesOpen VPN目录,将从服务器导出的2个文件(ca.crt、ta.key)放到config子目录下。

b)拷贝sample-config目录下的client.ovpn到config子目录下。

c)用记事本打开client.ovpn文件,清空里面的内容,并加入如下内容,如图5所示。其中采取的协议类型、服务器IP地址及端口等需要和服务器端一致。

3)系统测试结果

右键单击client.ovpn配置文件,选择“Start Open VPN on this config file”启动VPN连接。然后依次输入用户名和密码,如果正确,就会看到连接完成的提示。此时,右键单击“网上邻居”,选择“属性”进入网络连接页面,在“LAN或高速Internet”栏中会多出一个已连接的图标,双击它,会看到相关的VPN连接信息,如图6所示。点击详细信息,可以看到此链接的详细信息,如图7所示。最后可以通过ping命令进行网络测试。

5 结束语

SSL VPN网关位于企业网的边缘,介于企业服务器与远程用户之间,控制二者的通信。SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。目前该系统在郑州大学西亚斯国际学院图书馆得到运用,运用方便灵活,配置安全简单,使用效果显著。

摘要：随着高校校园网可供师生访问的资源日渐增多,由于知识产权和版权等因素使得相当部分电子资源只能在校园网内部访问,不能对外网开放,校外居住的师生访问不了校园网内部资源,采用VPN技术可以实现校外师生远程访问校园网内部资源。该文根据VPN技术的不同特点和校园网应用的实际需要,探讨采用SSLVPN技术实现用户远程访问校园网资源。实验结果表明,该系统有运行效率高,安全性好、稳定性佳等优点。

关键词：VPN技术,SSLVPN,校园网,资源

参考文献

[1]弗拉海.SSL与远程接入VPN[M].王哲,罗进文,白帆,译.北京:人民邮电出版社,2009.

[2]金汉均,汪双顶.VPN虚拟专用网安全实践教程[M].北京:清华大学出版社,2009.

[3]夏冬.利用Windows server2003搭建图书馆VPN服务器[J].科技情报开发与经济,2010,20(2):37-39.

[4]张丽平,谢宝义,史东风.SSL VPN技术在高校图书馆应用的实例与分析[J].科技情报开发与经济,2010,20(8):52-53.

SSLVPN技术篇4

国家电网公司在“十一五”信息发展规划中对信息化建设工作提出了明确的总体目标。其中核心应用系统中招投标系统的目标是:构建公司系统统一的网上招投标管理平台, 优化内部资源配置, 提高全公司系统的招投标工作效率和管理水平。“十一五”期间国家电网公司信息化建设的主要任务是构建SG186工程, 物资管理业务应用-招投标业务应用是八大业务应用中第1个进行开发并在国网系统内进行推广实施的项目。

如果采用传统的WWW方式直接访问招投标业务应用, 存在数据在公网上传输未加密、认证控制缺乏、服务器易遭攻击等安全隐患, 为了增强招投标业务应用访问的安全性, 引入了SSL VPN技术。

1 SSL VPN技术介绍

VPN的网络连接类型主要分为Site to Site和End to Site2种类型。Site to Site主要指的是网络和网络之间的VPN连接。而End to Site指的是移动终端到企业私有网络之间的VPN连接。其中, IPsec VPN属于Site to Site类型的VPN, 而SSL VPN就是End to Site类型的VPN。

1.1 SSL VPN定义

从概念角度来说, SSL VPN即指采用SSL (Security Socket Layer) 协议来实现远程接入的一种新型VPN技术。SSL协议是网景公司提出的基于Web应用的安全协议, 它包括服务器认证、客户认证 (可选) 、SSL链路上的数据完整性和SSL链路的保密性。

1.2 SSL VPN原理

SSL (安全套接层) 协议是一种在Internet上保证发送信息安全的通用协议, 它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议 (如HTTP、Telnet和FTP等) 和TCP/IP协议之间进行数据交换的安全机制, 为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议3部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

VPN (虚拟专用网) 则主要应用于虚拟连接网络, 它可以确保数据的机密性并且具有一定的访问控制功能。VPN是一项非常实用的技术, 它可以扩展企业的内部网络, 允许企业的员工、客户以及合作伙伴利用Internet访问企业网, 而成本远远低于传统的专线接入。

所谓的SSL VPN, 其实是VPN设备厂商为了与IPsec VPN区别所创造出来的名词, 指的是使用者利用浏览器内建的SecureSocket Layer封包处理功能, 用浏览器连回公司内部SSL VPN服务器, 然后透过网络封包转向的方式, 让使用者可以在远程计算机执行应用程序, 读取公司内部服务器数据。它采用标准的安全套接层 (SSL) 对传输中的数据包进行加密, 从而在应用层保护了数据的安全性。高质量的SSL VPN解决方案可保证企业进行安全的全局访问。在不断扩展的互联网Web站点之间、远程办公室、传统交易大厅和客户端间, SSL VPN克服了IPSec VPN的不足, 用户可以轻松实现安全易用, 无需客户端安装且配置简单的远程访问, 从而降低用户的总成本并增加远程用户的工作效率。通过SSL VPN远程访问企业内部网络的构架如图1所示。

1.3 SSL VPN技术特点

IPSec VPN和SSL VPN是2种不同的VPN架构, IPSec VPN是工作在网络层的, 提供所有在网络层上的数据保护和透明的安全通信, 而SSL VPN是工作在应用层 (基于HTTP协议) 和TCP层之间的, 从整体的安全等级来看, 两者都能够提供安全的远程接入。但是, IPSec VPN技术是被设计用于连接和保护在信任网络中的数据流, 因此更适合为不同的网络提供通信安全保障, 而SSL VPN因为以下的技术特点则更适合应用于远程分散移动用户的安全接入。

(1) 客户端支撑维护简单。对于大多数执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件, 只需通过标准的Web浏览器连接因特网, 即可以通过网页访问到企业内部的网络资源。而IPSec VPN需要在远程终端用户一方安装特定软件以建立安全隧道。

(2) 提供增强的远程安全接入功能。IPSec VPN通过在2站点间创建安全隧道提供直接 (非代理方式) 接入, 实现对整个网络的透明访问;一旦隧道创建, 用户个人计算机就如同物理的处于企业内部局域网中, 会带来很多安全风险, 尤其是在接入用户权限过大的情况下。SSL VPN提供安全、可代理连接。通常SSL VPN的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全的连接到公司网络上, 那么当用户在浏览器上输入一个URL后, 连接将被SSL代理服务器取得, 并验证该用户的身份, 然后SSL代理服务器将连接映射到不同的应用服务器上。

(3) 提供更细粒度的访问控制。SSL VPN能对加密隧道进行细分, 使终端用户能够同时接入Internet和访问内部企业网资源。另外, SSL VPN还能细化接入控制功能, 提供用户级别的鉴权, 依据安全策略确保只有授权的用户才能够访问特定的内部网络资源, 这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。

(4) 能够穿越NAT和防火墙设备。SSL VPN工作在传输层之上, 因而能够遍历所有NAT设备和防火墙设备, 使得用户能够从任何地方远程接入到公司的内部网络。而IPSec VPN工作在网络层上, 它很难实现防火墙和NAT设备的遍历, 并且无力解决IP地址冲突。

(5) 能够较好地抵御外部系统和病毒攻击。SSL是一个安全协议, 数据全程加密传输。另外, 由于SSL网关隔离了内网服务器和客户端, 只留下一个Web浏览接口, 客户端的大多数木马病毒感染不到内网服务器。而传统的IPSec VPN由于实现的是IP级别的访问, 一旦隧道创建, 用户终端就如同物理的处于企业内部局域网中, 内部网络所连接的应用系统都是可以侦测得到, 这就为黑客攻击提供了机会, 并且使得局域网能够传播的病毒, 通过VPN一样能够传播。

(6) 网络部署灵活方便。IPSec VPN在部署时一般放置在网络网关处, 因而需要考虑网络的拓扑结构, 如果增添新的设备, 往往要改变网络结构。而SSL VPN却有所不同, 它一般部署在内网中防火墙之后, 可以随时根据需要, 添加需要VPN保护的服务器, 因此, 无需影响原有网络结构。

2 SSL VPN技术在国家电网公司招投标业务中的应用

国家电网公司“十一五”发展规划纲要中提出:建设物资管理系统, 实现公司范围内招投标信息、专家信息和供应商信息的共享, 构建公司系统统一的物资招投标管理系统。实现物资采购、储运和结算过程的统一管理。这是国家电网公司为实施“集团化运作、集约化发展、精益化管理、标准化建设”提出的重要目标之一。招投标业务应用是物资管理系统的核心。

招投标业务应用包括项目申报、网上招投标、专家抽取、电子化评标4个子系统。网上招投标子系统结合了先进的电子商务、流媒体、网络技术和通讯技术, 将网络和传统招投标方式有效结合, 实现了招标、投标、开标、监督等网上操作。在网络平台上实现了招标单位自主自助招标;投标单位自主自助投标。SSL VPN技术主要应用于招投标业务应用网上招投标子系统 (见图2) 。

在网上招投标过程中, 招标代理机构发布招标公告后, 会发送短信给常用供应商。常用供应商收到短信后, 通过Internet访问网上招投标系统, 购买各自需要投的标包, 经过招标代理机构确认后, 下载相应的招标文件及投标报价表并在规定的时间内上传投标文件及填写完毕的投标报价表。

由此可以看出, 常用供应商频繁通过Internet访问网上招投标模块, 为此在招投标业务应用设计之初, 就决定采用SSL VPN技术增加系统的安全性。而Array Networks SPX产品不仅提供安全接入的功能, 它还能起到Web应用的访问加速的效果。Array Networks S P X产品采用了专利性的SPEEDSTACK技术, 同时通过独有的操作系统、反向代理引擎等技术让SSL VPN的应用速度大大提升。另外, 独具的SSL槽硬件加速器的应用和对操作系统内核的进一步优化, 更让Array Networks SPX产品在应用速度上脱颖而出。为此招投标业务应用系统在国家电网公司范围内统一采用了Array Networks SPX 3000产品并做了双机热备, 当一台SSL VPN设备发生故障时, 另一台会自动切换, 从而提高系统的可用性。

3 结语

SSLVPN安全特征分析篇5

1 VPN的应用浅析

当前在VPN领域中, 主要关注远程安全接入的两种技术为SSL VPN以及IPSec VPN, 二者在应用中的表现各有千秋。SSL VPN相对而言不需要客户端软件, 因此特别适用于远程用户的链接, 用户无需安装任何软件或者搭建任何专用平台即可通过Web浏览器访问企业环境中的应用。但是SSL VPN也只能对通信双方的某一个引用通道展开加密保护, 而无法对整个通道实现加密, 因此这成为了SSL VPN无法避免的弊端。但是从总体应用特征的角度看, SSL VPN在经济性等方面都明显优于IPSec VPN, 因此在应用领域有着良好的认可度。

从SSL VPN的工作原理看, 是采用安全套接层 (SSL, Secure Socket s Layer) 协议来实现远程接入的VPN技术, 是实现SSL协议嵌入的VPN网络应用。这样一组基于Web的应用安全协议包括多个层面内容, 诸如服务器认证、客户身份认证、SSL链路数据完整性以及SSL链路数据保密性等方面都在其涵盖范畴之内。这样的一个安全协议体系, 对于切实保证VPN数据传输环境的安全性和保密性有着毋庸置疑的积极意义。SSL VPN通过以安全控制策略作为依据, 面向分散的移动用户展开服务, 确保其能够从外网实现对于企业内网资源的安全访问通道建设。

SSL VPN在实际数据传输环境中需要实现三个方面的基本职能, 用以对其应用需求加以有效支持。首先需要职能Web方式的应用, 这是最为基本的一个方面, 包括诸如通过SSL VPN建立的安全数据通路来访问基于Web的邮件系统等都包括在这样的需求层面之内。其次则是需要能够支持非Web方式应用, 即能够支持用户实现对于非Web页面的文件共享。这一方面需要SSL VPN网关能够有效将其与内网服务器的通信内容转化成为基于Web的格式和协议, 并且进一步实现面向客户端的数据发送。此种方式对用户透明, 即从用户角度看并无法区分这些应用是否基于Web特征。最后, SSL VPN还需要能够支持基于客户端/服务器的应用代理。对于此类应用实现支持的过程中, 通常会需要在终端建立起一个端口转发器, 通常表现为一个小型Java或者Active X程序, 其功能在于实现对于端口连接的有效监听。当数据包通过此端口传输的时候, 即会经由SSL连接隧道传送至SSL VPN网关, 并且由网关对数据包进行解封, 进一步转发给相应的应用服务器。

2 SSL VPN体系的安全特征分析

对于SSL VPN体系而言, 其在当前的数据传输环境安全体系中占据着重要的地位, 其意义不容忽视。但是此种协议方式并非无懈可击, 从应用层面看, 仍然存在两个方面的问题需要重点关注:

2.1 浏览器端的安全

在浏览器端, 可能会因为用户习惯或者计算机日常工作方式等多种因素造成SSL VPN的安全机制失效。例如用户在退出系统之后, 相应的个人数据仍然会保存, 而如果其他人继续使用同一台计算机, 则拥有权限阅读这些相关数据, 这是SSL VPN体系所无法杜绝的。类似的问题还有用户的登陆保持状态, 通常用户都会将关闭浏览器作为退出的代替动作, 但是关闭浏览器并不意味着关闭SSL VPN服务器端进程, 因此同样会造成安全漏洞。此外, 病毒也是浏览器端的安全问题之一, 蠕虫或其他病毒可能会通过使用SSL VPN建立的隧道感染内部网络。

面对此种情况, SSL VPN同样采取了相应的手段用以降低浏览器段的安全威胁。主要采取的方法包括引入残留信息清理机制以及进程超时机制, 并且在应用层网关技术以及内部网络信息加密等方面给予更多关注。

2.2 服务器端的安全

服务器端同样存在安全隐患, 重点体现在应用层安全威胁以及身份认证两个主要方面。对于应用层安全威胁而言, 由于SSL VPN体系大多采用Web服务器作为底层工作平台, 因此Web服务器的安全隐患会成为SSL VPN无法克服的障碍。并且在身份认证方面, SSL VPN允许所有的浏览器登录系统, 从而造成如果用户在公共场合登陆系统, 就会进一步增加用户资料的泄漏风险。这些安全问题都从客观上要求更为严谨的身份认证体系出台。

对于服务器端的安全问题, SSL VPN同样有相应的应对措施, 以实现对于安全水平的提升。具体而言, 常见的做法可以利用应用层过滤技术抵制黑客对服务器端应用层漏洞的攻击, 即只允许身份确定的应用层数据包通过, 此种方式对于加强黑客非法请求等方面的防范也有一定积极价值。另一个方面是可以采用强认证机制, 当前SSL VPN系统使用较多的认证方式有MS Act ive Directory、LDAP、令牌鉴别机制和短信息认证等都属于这一范畴。

3 结论

SSL VPN是数据传输领域中的重要技术之一, 其理论以及安全实践在当前环境中已经日趋成熟。虽然如此, 但是随着技术的进步, 更多安全隐患不断涌向, SSL VPN的安全防卫机制也必须同样与时俱进。唯有如此才能切实为数据传输用户提供安全可靠的网络环境, 并且实现其自身的成熟与发展。

摘要：本文首先从VPN的安全角度出发, 对于SSL VPN的基本属性展开必要的分析, 而后进一步就其体系中存在的不足与改善进行了讨论, 对于深入把握SSL VPN体系的安全特征有着一定的积极价值。

关键词：SSL,VPN,安全,缺陷

参考文献

[1]包丽红, 李立亚.基于SSL的VPN技术研究[J].网络安全技术与应用, 2004 (05) .

移动SSLVPN的设计与实现篇6

随着移动通信的普及, 移动通信所承载的应用越来越多, 在开展移动应用的同时, 对移动应用的安全需求也在增强, 因此开发一个适合手机、PDA等移动终端的安全接入系统十分必要。在安全接入技术中, SSL VPN主要在应用层进行开发, 在通信时使用TCP协议, 有利于开发与部署, 所以, SSL VPN得到了广泛认可, 有替代IPSec VPN的趋势, 但在移动终端中实现SSL VPN系统, 需要受到各种因素的限制, 当前国内可在移动终端中使用的SSL VPN还非常少。

1 SSL VPN的实现技术

SSL VPN的实现有多种方式, 一般分为四种, 下面分别进行讨论:

(1) 代理

在远程访问中, 大部分为B/S模式的应用。客户端使用Web浏览器自带的SSL功能, 连接到SSL VPN网关, 该VPN网关验证用户的合法性, 双方建立安全通道, VPN网关转发Web浏览器与Web服务器间的通信。此时, SSL VPN网关是一个带安全功能的反向HTTP代理, 这也是市场上的主流SSL VPN。

(2) 应用转换

在实际应用中, 除普通Web应用外, 还需要使用邮箱、文件共享等, 这些应用本身不支持Web页浏览, 为了支持该类应用, SSL VPN网关加入特定模块, 该模块将邮箱、文件共享等应用转换成Web页方式, 用户就可以通过 (1) 中的方式使用这些应用。该方式有其弊端, 即当用户的应用有多种时, 不可能把所有的应用转换成Web页的方式呈现给用户, 只能对通用、方便转换的应用进行转换。

(3) 端口转发

很多无法通过上述方式使用的应用, 可通过该方式进行访问。其原理是:客户端安装一个SSL VPN客户端, 该客户端与SSL VPN网关协同工作, 转发应用客户端与应用服务器之间的通信。该方式能够支持利用TCP协议通信的应用, 客户端服务程序与SSL VPN网关起转发信息的作用。

(4) 网络扩展

能够支持所有的应用。其原理是:客户端与SSL VPN网关各产生一块虚拟网卡, 同时两端各有一个服务程序监听各自的网卡, 两个服务程序进行通信, 把两个虚拟网卡通过逻辑通道连接在一起, 构成一个局域网, 上层的应用数据通过虚拟的局域网进行通信。该方式支持所有的应用, 但在客户端部署时需要安装一个虚拟网卡与客户端软件。

上述四种方式在PC机上比较容易实现, 但在手机、PDA等移动终端中, 因很多内置Web (Wap) 浏览器不能进行SSL通信, 所以前两种方式不能采用, 又因第四种方式需虚拟网卡的支持, 必须进行驱动层的开发, 很多设备并不支持该层的开发, 所以系统实现选择第三种方式。

2 移动SSL VPN的设计

系统结构如图1所示。

图中阴影部分为与移动SSL VPN相关的应用系统, 包括应用客户端与应用服务器。其中应用客户端是安装在移动终端中的软件。

移动SSL VPN系统由三部分组成:SSL VPN客户端、SSL VPN网关、安全认证服务器。

SSL VPN客户端是安装运行在移动终端的软件, 其作用是:建立与SSL VPN网关的安全通道, 在本地监听并转发应用客户端的请求, 并将服务器的响应信息转发给应用客户端, 管理与应用客户端之间、与SSL VPN网关之间的连接。

SSL VPN网关作用是:接受SSL VPN客户端的请求, 通过安全认证服务器验证终端合法性, 与SSL VPN客户端建立安全通道, 转发处理应用服务器与移动终端间的通信, 管理与应用服务器、SSL VPN客户端、安全认证管理服务器之间的的连接。

安全认证服务器的作用是:根据SSL VPN网关提供的用户信息, 验证用户的合法性。当通过证书认证时, 验证用户证书的有效性, 当通过短信认证时, 负责向移动终端发送短信, 并验证客户端返回的短信内容的正确性。

系统原理如下:

SSL VPN客户端与SSL VPN网关通过标准的SSL协议建立安全通道, 建立通道时, 客户端对网关的认证采用公钥证书进行, 网关对客户端的验证根据需要分两种, 一种为公钥证书方式, 一种为短信方式。

SSL VPN网关与客户端建立安全通道后, SSL VPN客户端与SSL VPN网关协同工作, 转发应用客户端与应用服务器之间的通信信息。

对客户端的认证均由安全认证服务器进行。

3 移动SSL VPN的实现

以下分两部分描述移动SSL VPN的实现, 一安全通道的建立;二应用信息的转发。

3.1 安全通道的建立

SSL VPN客户端与SSL VPN网关之间采用标准的SSL协议进行密钥的协商与安全通道的建立。为了支持用户接入认证的多样性, 系统采用两种方式对客户端进行认证, 一种是证书认证, 一种是短信验证码认证。以下对两种情况分别描述。

(1) 证书认证

SSL VPN客户端中存放CA根公钥证书与自身的公钥证书和私钥。根公钥证书用来验证网关证书的有效性, 自身公钥证书与私钥用来向服务器证明客户端的合法身份。

通道建立过程如下:

因为通信双方均采用证书方式进行认证, SSL协议本身支持服务器与客户端的基于公钥证书的双向认证, 所以采用标准的SSL协议进行, 不需要对SSL协议进行扩展。与实现相关的是双方的相互认证部分。当进行双向验证时, 客户端对网关的认证过程是, 接收到网关证书后, 利用客户端中存放的CA根公钥证书验证网关证书的有效性, 如果有效继续进行正常的SSL密钥协商。网关对客户端证书的认证过程是, 网关接收到客户端证书后, 将证书发送到安全认证服务器, 认证服务器验证证书的有效性, 返回验证结果给网关, 网关根据结果做出不同的响应, 如果有效, 继续进行SSL密钥协商, 如果失败, 退出本次协商, 并记录日志。

(2) 短信验证码认证

SSL VPN客户端中存放根公钥证书与自身的手机号码。

根公钥证书用来验证网关证书的有效性, 自身的手机号码作为标识号, 当网关收到该标识后, 可以向安全认证服务器请求验证用户合法性。

通道建立过程如下:

在本方式中, 采用对服务器的单向认证来建立安全通道, 利用标准的SSL协议进行, 但是, 因为需要认证客户端, 所以在安全通道建立完成后对客户端进行认证。通道建立过程采用单向的对网关认证, 依照SSL协议进行, 不再详述。以下主要说明通道建立后对客户端的认证。通道建立后, 客户端将手机号通过安全通道发送到网关, 网关得到手机号码后, 将该号码发送到安全认证服务器, 安全认证服务器根据号码向手机发送一条数据短信, 短信内容为32字节的随机数字。SSL VPN客户端程序监听短信到达事件, 当短信到达手机后, 程序从短信中取出随机数字, 通过安全通道发送到网关。网关收到该随机数字后, 将其转发给安全认证服务器, 安全认证服务器验证该随机数与先前发送的短信内容的一致性, 如一致, 通过用户验证, 返回成功信息给网关, 网关设定安全通道为合法通道, 如不一致, 返回错误信息给网关, 网关中止已建立的安全通道, 用户接入为非法接入, 记录日志。

3.2 应用信息转发

在本系统中, SSL VPN客户端与SSL VPN网关转发应用客户端与应用服务器间的通信信息。

信息处理过程如图2所示, 具体过程如下:

(1) 应用客户端发送请求, 请求的目的方为本地的SSL VPN客户端, 端口号为SSL VPN的监听端口号。

(2) SSL VPN客户端收到请求信息后, 添加必要的信息头, 然后加密, 通过安全通道发送到SSL VPN网关。

(3) SSL VPN网关接到SSL VPN客户端的信息后, 解密、提取应用请求信息, 将信息发送到应用服务器。

(4) 应用服务器收到应用请求信息后, 根据信息做出不同的处理, 然后将响应信息发送给SSL VPN网关。

(5) SSL VPN网关接到应用服务器的响应信息后, 添加必要的信息头, 然后加密, 通过安全通道发送给SSL VPN客户端。

(6) SSL VPN客户端收到SSL VPN网关的信息后, 将信息解密、提取应用服务器的响应信息, 将其发送给应用客户端。

以上是应用信息的转发、加密、传输过程。

在具体实现中, 应用客户端程序可能为多个, 所以SSL VPN客户端需要监听多个端口, 响应应用客户端的连接请求。为了区分每个应用客户端程序, SSL VPN客户端建立与应用客户端程序的连接后, 为每个连接分配一个标识号, 在进行信息加密前, 将标识号添加到信息头中, 该标识号SSL VPN网关与SSL VPN客户端保持一致, 所以可以根据标识号区分每个安全数据包, 将解密后的信息发送给对应的应用服务器 (对SSL VPN网关而言) 或应用客户端程序 (对SSL VPN客户端而言) 。

4 总结

SSL VPN作为一种远程安全接入技术, 对网络配置不做特殊要求, 又因它的安全、易用性, 逐渐被人们所接受, 同时, 随着移动通信的迅速扩张, 移动终端 (手机、PDA等) 的大规模普及, 对移动SSL VPN的需求越来越大, 而当前国内的很多SSL VPN系统并不支持移动终端, 该系统是在移动终端中的一个尝试。系统已经在公安信息系统中得到应用, 并受到了用户的好评, 起到了预期的作用。

参考文献

[1]W.RICHARD STEVENS等著.杨继张译.UNIX网络编程第一卷:套接口API (第三版) .清华大学出版.2006.1.

SSLVPN技术篇7

随着数字化校园网的发展,学校的各类信息资源逐步实现了数字化和网络化。一方面,为了保障这些资源的安全性,许多网络资源都被放在校园内网地址当中,校内的许多数据资源都是受保护的,只有学校内部用户才可以访问资源;另一方面,学校领导或者普通员工在异地也需要处理学校的事务或者查阅学校资料,而用户身份的识别往往是利用IP地址来识别的,这就导致了学校用户利用校外网络无法访问到内网资源。SSL VPN技术为这个难题提供了可行的解决方案。

1 VPN技术简介

VPN(Virtual Private Network,虚拟专用网络)指的是在公用通信网络上建立一条虚拟专用网络通道,利用公共通信网络来传输内部数据。其之所以称为虚拟专用网络通道,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术,从而保证构建在公共网络之上的虚拟内部网络的有效联通性和安全性。虽然VPN的通讯是建立在公共互联网络的基础上,但实际上用户在使用过程中感觉如同使用专用网络,具有与内部网络相同的安全性、易管理性和稳定性,可当专网使用。

2 SSL VPN特点及优势比较

SSL VPN就是采用SSL(Security Socket Layer,安全套接层协议)来实现远程接入的一种VPN技术。

SSL协议是基于WEB应用的安全协议,包括服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可以保证信息的真实性、完整性和保密性。

SSL VPN使用SSL协议进行认证和加密,不需要安装其它客户端软件,只要有支持SSL的浏览器就可以。因此,SSL VPN远程资源访问方案更加容易配置与管理,网络配置成本比IPSec VPN要低很多。

SSL VPN为远程用户提供一种基于SSL协议的访问通道。SSL VPN服务器位于企业防火墙内部,防火墙开通标准的HTTPS服务(443)端口。SSL VPN网络应用拓扑图如图1所示。

SSL VPN使用安全套接层(SSL协议)提供数据加密,保证数据在公网上传输的安全。由于SSL协议属于高层安全机制,因而被广泛应用于WEB浏览器程序和WEB服务器程序。当前几乎所有的标准浏览器中都内置了SSL协议,因而用户可以通过任何的标准浏览器实现远程安全接入。

根据SSL VPN技术的特点,可以做到精细的权限控制。不同的用户可以授予不同级别的权限,比如对数字图书馆资源也可以针对不同用户进行权限细分,不同权限级别用户访问相应的资源,非授权用户则无法访问;再比如,人事管理人员可以访问人事管理系统、网络管理人员可远程调试网络设备等。SSL VPN可以建立基于分组的策略管理,例如设立教师组、学生组等,不同组赋予不同的访问权限;也可建立基于角色的策略管理,给每一个角色赋予不同的权限;还可设立临时账号,给那些需要临时访问学校内部资源的人员提供便利,在使用期限截止以后,该账号会自动注销。

身份认证手段有很多,主要有CA、USBKey、用户名/密码、LDAP/AD、Radius、短信猫/短信网关、动态令牌、硬件特征码等。

目前,SSL VPN可以支持多种用户认证方式,除了支持常规的Local DB、LDAP/AD、Radius、 Secur ID等认证方式外,还可以支持USBKEY的身份认证。通过将SSL加密隧道与USB Key认证相结合,结合客户端计算机安全检查功能,可以为用户提供完善的内部网络资源的安全远程接入服务。对于校园外的移动办公用户,只要通过任何标准Web浏览器,就可以在任何场所、通过任何终端,无需安装任何客户端软件就可以安全访问校园内部任何资源。

现在有更强的身份认证手段,就是通过把远程访问的应用系统账号和SSL VPN账号进行绑定来增强应用系统账号使用安全性。

目前,部分高校已经建立了统一身份认证系统,例如一卡通系统、Radius系统、Oracle/SQL Server数据库系统、AD/LDAP系统。SSL VPN可以和这些身份认证系统有机地结合在一起,以防止用户账号被盗用后,不良使用者进入学校内部网络窃取重要机密信息。高校SSL VPN的用户比较多,而且流动性较大,把SSL VPN认证与身份认证系统相结合,可大大减少网络管理员的工作量。用户可以用已有的身份认证账号进行登录, 管理员不需要重复建立账号,首次登录后账号信息将自动记录到SSL VPN服务器上,以后使用SSLVPN账号需要进行双重匹配。如果某一用户账号从认证系统注销, SSL VPN就会匹配失败无法登录。

3 SSL VPN在校园信息化建设中的应用

3.1 通过SSL VPN实现各办公应用系统的访问

使用SSL VPN 接入的师生,只需要登陆此SSL VPN 门户,经过认证和授权,就可以通过SSL VPN 隧道轻松访问校内各应用系统,如排课系统,即可进行查阅等操作,也可以完成信息发布、事务处理等校务工作。

3.2 通过SSL VPN实现远程网络管理

当校园网的软件或硬件设备出现意外故障时,网络管理人员可以马上通过SSL VPN接入到校园内部网络,通过SSL VPN隧道安全快捷地在任何时间、任何地点及时修复故障,完成网络管理工作,保障校园信息化系统的稳定工作。

3.3 通过SSL VPN实现数字图书馆的访问

用户在校外公网接入到校内时必需经过SSL VPN的认证和授权,只有通过认证和授权的用户才能使用接入SSL VPN,保障了学校授权人员的权限。客户登陆后SSL VPN网关会分配一个虚拟的IP地址给登陆用户,这个地址是学校内部统一地址,这些IP地址被允许访问校内的和园区的数字图书馆,这样通过SSL VPN在校外网也能顺利地访问到园区数字图书馆,解决了园区图书馆只对本校园IP地址开放的问题,保证了广大师生在校外也能随时使用大学园区图书馆。

3.4 通过SSL VPN完成WLAN接入用户的管理控制和计费

用户接入校内网时在SSL VPN的门户上进行认证、审计。其认证是和城市热点计费的Radius系统相结合的,即用户登录时,SSL VPN网关会将用户名、密码等信息通过Radius 协议提交给Radius 服务器进行认证,进而决定用户接入是否允许。SSL VPN还会将用户登录后分配的IP地址、以及登录和退出的时间提交给Radius 服务器来进行计费。同时,SSL VPN 还可以对WLAN 接入用户的访问权限进行控制,比如是否允许访问某些网段、公网是否可以访问等接入控制。

4 SSL VPN的实施

SSL VPN是基于应用层的VPN,也就是它的工作是基于Http协议和TCP层的。SSL VPN的部署非常简便,可串接也可旁路接入,一般可把它作为一台应用服务器部署于校园网络的任意位置。正常情况下,SSL VPN部署在防火墙之后,需要将防火墙上的一个固定的公网IP地址映射到SSL VPN上,或者只映射其IP地址的443端口即可。

在配置好SSL VPN服务器的应用、用户、权限后,使用人员可在任意能够接入Internet的地方通过浏览器,采用HTTPS(Secure Hypertext Transfer Protocol)方式访问该固定公网IP或者对应域名,即可轻松接入校园网访问OA系统、学工系统、数字图书馆等学校内部资源。

4.1 网络接口配置

这里以网关模式为例,需要配置内网接口相关信息(包括LAN口的IP地址、子网掩码)。

IP地址:172.18.0.17;子网掩码:255.255.255.0

外网线路类型有以太网和ADSL两种类型可供选择,这里选用的是以太网。

IP地址:60.190.19.108

子网掩码:255.255.255.224

首选DNS:202.96.104.16

备份DNS:202.96.104.17

默认网关:60.190.19.97

配置完成后,保存配置并重新启动所有服务,以使配置生效,接着完成其它设置。

除了网关工作模式,还有单臂模式。选择单臂模式时,只需要配置内网接口(LAN口)IP地址、子网掩码、默认网关、设置DNS。