畢業(yè)論文---基于pki的ssl vpn關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)

1、<p>　　畢 業(yè) 設(shè) 計(jì)（ 論 文 ）</p><p>　　畢業(yè)設(shè)計(jì)（論文）任務(wù)書</p><p>　　系（教研室）主任: （簽名） 年 月 日</p><p>　　1 設(shè)計(jì)（論文）題目及專題：基于PKI的SSL VPN關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)

2、 </p><p>　　2 學(xué)生設(shè)計(jì)（論文）時(shí)間：自 2009 年 12 月 11 日開始至 2010 年 6 月 8 日止</p><p>　　3 設(shè)計(jì)（論文）所用資源和參考資料：</p><p>　　Younglove R.Virtual private networks how they work.Computin

3、g&Control Engineering Journal,2005,11(5)</p><p>　　高海英等.VPN技術(shù)[M].北京:北京機(jī)械工業(yè)出版社,2004</p><p>　　Frost & Sullivan.中國SSL VPN市場調(diào)查報(bào)告[R].http://url.cn/1y2t0r,2010</p><p>　　WiFonic Tec

4、hnologies. SSL VPN Features and Benefits [R].http://url.cn/</p><p>　　3L9ftQ,2009</p><p>　　4 設(shè)計(jì)（論文）應(yīng)完成的主要內(nèi)容：</p><p>　　本文對基于PKI的SSL VPN的關(guān)鍵技術(shù)進(jìn)行了研究和分析，并運(yùn)用OpenSSL工具包在Linux系統(tǒng)下實(shí)現(xiàn)了SSL VPN的關(guān)

5、鍵組件，建立了基本的SSL安全隧道。最后用真實(shí)的SSL VPN設(shè)備搭建了一個(gè)SSL VPN應(yīng)用實(shí)例。</p><p>　　5 提交設(shè)計(jì)（論文）形式（設(shè)計(jì)說明與圖紙或論文等）及要求：</p><p>　　(1)畢業(yè)論文兩份，打印稿一份，電子稿一份。 </p><p>　　(2)系統(tǒng)的可執(zhí)行文件及源代碼 。

6、 </p><p>　　(3)論文講解文件（ppt）。 </p><p>　　6 發(fā)題時(shí)間： 2009 年 12 月 11 日</p><p>　　指導(dǎo)教

7、師： （簽名）</p><p>　　學(xué) 生： （簽名）</p><p><b>　　摘 要</b></p><p>　　當(dāng)今世界網(wǎng)絡(luò)和電子商務(wù)高速發(fā)展，商業(yè)活動(dòng)的范圍不斷擴(kuò)大，企業(yè)與其分支機(jī)構(gòu)對互聯(lián)網(wǎng)的依賴性越來越大，企業(yè)除了滿足內(nèi)部員工遠(yuǎn)程辦公外，還要允許合作伙伴、設(shè)備供應(yīng)商等外部機(jī)

8、構(gòu)訪問自己的部分局域網(wǎng)資源。這種新的商業(yè)需求日益增加，推動(dòng)了虛擬專用網(wǎng)技術(shù)的迅猛發(fā)展。VPN技術(shù)的實(shí)質(zhì)是在公共網(wǎng)絡(luò)上建立一條專用的邏輯鏈路，幫助遠(yuǎn)程用戶、分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同企業(yè)內(nèi)部網(wǎng)建立可靠的安全隧道。</p><p>　　相對于傳統(tǒng)的IPSec VPN，SSL VPN是一種較新的VPN技術(shù)。隨著網(wǎng)絡(luò)應(yīng)用的多樣性，企業(yè)對遠(yuǎn)程訪問的安全需求日益增加，目前主流的IPSec VPN已經(jīng)無法滿足應(yīng)用多樣性的需求

9、。SSL VPN因其配置方便以及與操作系統(tǒng)無關(guān)、支持設(shè)備廣泛等優(yōu)勢，彌補(bǔ)了IPSec VPN的不足，成為VPN領(lǐng)域的一個(gè)熱門應(yīng)用。</p><p>　　本文對基于PKI的SSL VPN的概念、工作原理以及關(guān)鍵技術(shù)進(jìn)行了研究，并在Linux下實(shí)現(xiàn)了SSL VPN系統(tǒng)中的關(guān)鍵組件，最后搭建出了一個(gè)典型的SSL VPN應(yīng)用實(shí)例。本文通過對主流VPN類型的性能和特點(diǎn)進(jìn)行對比，分析了傳統(tǒng)的VPN系統(tǒng)存在的缺點(diǎn)和不足，指出了

10、目前SSL VPN的應(yīng)用情況。本文的重點(diǎn)是對基于PKI的SSL VPN關(guān)鍵技術(shù)進(jìn)行了研究：如安全隧道技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、SSL代理技術(shù)、應(yīng)用轉(zhuǎn)換技術(shù)等；分析了SSL協(xié)議，并用真實(shí)設(shè)備實(shí)現(xiàn)了SSL VPN通信。</p><p>　　關(guān)鍵字：SSL VPN；PKI；網(wǎng)絡(luò)安全</p><p><b>　　ABSTRACT</b></p><

11、p>　　Now, the rapid development of Internet and E-commerce, the increasing scope of business activities, enterprises and their branch of the Internet becoming increasingly dependent on large, enterprise remote offices

12、in addition to internal staff to meet outside, as well as allowing co-operation partners, equipment suppliers and other external institutions to access their part of the local area network resources. This increasing dema

13、nd for new business, virtual private network to promote the rapid d</p><p>　　Compared to traditional IPSec VPN, SSL VPN is a relatively new VPN technologies. As the diversity of network applications, corpora

14、te security requirements for remote access increasing, the current mainstream IPSec VPN application has been impossible to meet the needs of diversity. SSL VPN because of its ease of configuration and has nothing to do w

15、ith the operating system, support equipment and other advantages of a wide range, making up less than IPSec VPN, a VPN is a hot field of application. </p><p>　　This article have studied the PKI-based SSL VPN

16、's concept, working principle and key technologies, and Linux, Implementation of the SSL VPN system, a key component of a typical final build out of the SSL VPN Application. Based on the main VPN product performance

17、and characteristics of contrast, analysis of the traditional VPN system shortcomings and deficiencies, pointed out that the current application of SSL VPN. Focus of this paper is based on PKI for SSL VPN key technology r

18、esearch: such as </p><p>　　Keywords: SSL VPN; PKI; Network Security</p><p><b>　　目 錄</b></p><p>　　第一章 緒 論- 1 -</p><p>　　1.1研究背景與意義- 1 -</p>&l

19、t;p>　　1.1.1研究背景- 1 -</p><p>　　1.1.2研究意義- 1 -</p><p>　　1.2主要研究內(nèi)容- 2 -</p><p>　　1.3論文結(jié)構(gòu)安排- 3 -</p><p>　　第二章 基于PKI的SSL VPN理論基礎(chǔ)- 4 -</p><p>　　2.1S

20、SL VPN基本概念及原理- 4 -</p><p>　　2.1.1SSL VPN基本概念- 4 -</p><p>　　2.1.2SSL VPN的基本原理- 5 -</p><p>　　2.2 密碼學(xué)技術(shù)分析- 6 -</p><p>　　2.2.1 對稱密碼學(xué)分析- 6 -</p><p>　　2.2

21、.2 非對稱密碼學(xué)分析- 6 -</p><p>　　2.3 數(shù)字證書相關(guān)技術(shù)- 7 -</p><p>　　2.3.1 數(shù)字簽名技術(shù)- 7 -</p><p>　　2.3.2 公鑰技術(shù)設(shè)施PKI- 8 -</p><p>　　2.4 SSL協(xié)議分析- 8 -</p><p>　　2.5 SSL隧道建立過程

22、- 11 -</p><p>　　第三章 SSL VPN關(guān)鍵技術(shù)的研究- 12 -</p><p>　　3.1SSL VPN關(guān)鍵技術(shù)分析- 12 -</p><p>　　3.1.1安全隧道技術(shù)- 12 -</p><p>　　3.1.2SSL VPN隧道技術(shù)- 13 -</p><p>　　3.1.3

23、身份認(rèn)證技術(shù)- 14 -</p><p>　　3.1.4訪問控制技術(shù)- 16 -</p><p>　　3.1.5SSL代理技術(shù)- 17 -</p><p>　　3.1.6應(yīng)用轉(zhuǎn)換代理- 18 -</p><p>　　3.1.7網(wǎng)絡(luò)層代理- 18 -</p><p>　　3.1.8端口轉(zhuǎn)發(fā)技術(shù)- 1

24、9 -</p><p>　　3.2SSL VPN與IPSec VPN的比較- 19 -</p><p>　　第四章 SSL VPN關(guān)鍵組件在Linux下的實(shí)現(xiàn)- 23 -</p><p>　　4.1 OpenSSL介紹- 23 -</p><p>　　4.2 用OpenSSL實(shí)現(xiàn)SSL VPN關(guān)鍵組件- 23 -</p>

25、;<p>　　4.2.1 產(chǎn)生SSL VPN工作所需的證書和簽名- 23 -</p><p>　　4.2.2 SSL隧道服務(wù)端的實(shí)現(xiàn)- 24 -</p><p>　　4.2.3 SSL隧道客戶端的實(shí)現(xiàn)- 28 -</p><p>　　4.3測試有SSL協(xié)議加密的安全通信隧道- 30 -</p><p>　　第五章 SS

26、L VPN典型應(yīng)用的實(shí)現(xiàn)及驗(yàn)證- 33 -</p><p>　　5.1 SSL VPN環(huán)境的搭建- 33 -</p><p>　　5.1.1 SSL VPN典型應(yīng)用拓?fù)鋱D- 33 -</p><p>　　5.1.2 SSL VPN網(wǎng)關(guān)產(chǎn)品介紹- 33 -</p><p>　　5.2 在Cisco上部署SSL VPN- 34 -<

27、;/p><p>　　5.2.1 上傳SSL VPN組件到路由器- 34 -</p><p>　　5.2.2 安裝SSL VPN和配置組件- 34 -</p><p>　　5.3 測試SSL VPN系統(tǒng)- 35 -</p><p>　　第六章 結(jié) 論- 39 -</p><p>　　6.1 主要工作總結(jié)- 39

28、 -</p><p>　　6.2 展望- 39 -</p><p>　　參考文獻(xiàn)- 40 -</p><p>　　致 謝- 41 -</p><p><b>　　第一章 緒 論</b></p><p><b>　　研究背景與意義</b></p>&l

29、t;p><b>　　研究背景</b></p><p>　　互聯(lián)網(wǎng)的發(fā)展已經(jīng)日趨成熟，互聯(lián)網(wǎng)的用戶數(shù)量也在急劇增加，許多涉及私密數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)如電子商務(wù)、網(wǎng)上銀行等已被越來越廣泛的在互聯(lián)網(wǎng)上使用。然而傳統(tǒng)的互聯(lián)網(wǎng)沒有提供服務(wù)質(zhì)量保證，也沒有權(quán)限和相應(yīng)的安全機(jī)制[1]。隨著網(wǎng)絡(luò)的開放性、共享性以及互聯(lián)網(wǎng)規(guī)模的進(jìn)一步擴(kuò)大，加之黑客的攻擊手段也越來越先進(jìn)，對人們造成了巨大的經(jīng)濟(jì)損失，網(wǎng)絡(luò)的安全

30、問題變得越來越嚴(yán)重。同時(shí)，隨著企業(yè)本身的發(fā)展壯大與跨國化，大型企業(yè)的分支機(jī)構(gòu)越來越多，企業(yè)與各分部之間也需要隨時(shí)通信，這涉及到遠(yuǎn)程聯(lián)網(wǎng)及網(wǎng)絡(luò)的復(fù)雜性問題。為了保證數(shù)據(jù)在各個(gè)分支部門之間傳輸過程的安全，按傳統(tǒng)方式，需要為每個(gè)分部建立獨(dú)立的專用網(wǎng)絡(luò)，但大量的獨(dú)立專用網(wǎng)需要進(jìn)行重復(fù)的網(wǎng)絡(luò)投資，會(huì)造成資源浪費(fèi)，增加管理負(fù)擔(dān)。為了解決上述問題，人們提出了虛擬專用網(wǎng)（Virtual Private Network）的概念，即利用公共通信網(wǎng)絡(luò)(如全球

31、因特網(wǎng))實(shí)現(xiàn)安全的保密數(shù)據(jù)通信。虛擬專用網(wǎng)以其獨(dú)具特色的優(yōu)勢贏得了越來越多企業(yè)的青睞。目前國內(nèi)主流的VPN系統(tǒng)是基于IPSec協(xié)議的。IPSec協(xié)議為被保護(hù)的網(wǎng)絡(luò)通訊提供較好的安全、認(rèn)證和授權(quán)服務(wù)，同時(shí)保持了較高的性能。其能夠“透</p><p>　　近年來，基于SSL協(xié)議的VPN系統(tǒng)以其優(yōu)良特性獲得了廣泛應(yīng)用。通常只要客戶端系統(tǒng)安裝了WEB瀏覽器，SSL VPN即可工作，并且不會(huì)受到安裝在與服務(wù)器之間的防火墻的

32、影響，能確保端到端的真正安全。隨著市場的逐步成熟，SSL VPN已經(jīng)成為企業(yè)首選的VPN設(shè)備。</p><p><b>　　研究意義</b></p><p>　　SSL VPN是解決遠(yuǎn)程訪問的主流安全方案，具有廣闊的發(fā)展前景。幾乎所有的主流瀏覽器都集成了SSL協(xié)議，不需要再安裝額外的客戶端軟件。SSL VPN的“瘦客戶端”具有簡單、靈活、易用性等特點(diǎn)，特別適合于遠(yuǎn)程用

33、戶安全連接。遠(yuǎn)程安全訪問是未來發(fā)展趨勢，尤其是在互聯(lián)網(wǎng)和移動(dòng)通信的快速發(fā)展、網(wǎng)絡(luò)接入方式多變、3G高速網(wǎng)絡(luò)日益普及的今天，手持終端、PDA、移動(dòng)PC等移動(dòng)的計(jì)算通信工具迫切需要專門為其量身定做遠(yuǎn)程安全訪問方案，SSL VPN因其與操作系統(tǒng)無關(guān)、瘦客戶端等特點(diǎn)，成為首選的解決方案。</p><p>　　權(quán)威機(jī)構(gòu)Frost & Sullivan發(fā)布了2009年中國SSL VPN市場調(diào)研報(bào)告[3]，報(bào)告顯示中國

34、SSL VPN市場在2009年取得了11.9%的增長，達(dá)到了4220萬美元的市場規(guī)模。在市場格局方面，深信服、ARRAY、JUNIPER仍然獲得了該市場的三甲位置，其中深信服繼08年首次成為市場第一后，2009年憑借強(qiáng)勁的增長，其市場占有率提升至34%，超過了整個(gè)市場的三分之一。Frost的報(bào)告指出，中國SSL VPN市場雖然較上年預(yù)測的增長速度有所放緩，但由于中國地理分散的工作狀況及網(wǎng)絡(luò)應(yīng)用程序采用的快速增長，中國企業(yè)對SSL VPN

35、產(chǎn)品的需求預(yù)計(jì)將在接下來的幾年穩(wěn)步上升。此外，隨著中國企業(yè)對IT安全日趨成熟的觀點(diǎn)深入，中國企業(yè)有可能驅(qū)動(dòng)高科技市場，如虛擬化和云計(jì)算的發(fā)展，這將有力增強(qiáng)SSL VPN技術(shù)的重要性，SSL VPN市場將在未來幾年保持持續(xù)、穩(wěn)定的增長。</p><p>　　國外有很多機(jī)構(gòu)都開展了對SSL VPN相關(guān)技術(shù)和產(chǎn)品的研究。國外已有多個(gè)開源項(xiàng)目支持SSL VPN研究。國外很多知名廠商己開發(fā)出SSL VPN產(chǎn)品，如Cisco

36、(思科)、Check Point、F5網(wǎng)絡(luò)、Netsereen和Symantee(賽門鐵克公司)等。</p><p>　　對國內(nèi)的用戶來說，SSL VPN最大的優(yōu)越性在于其方便性和靈活性。盡管我國的SSL VPN市場起步較晚，但近幾年來增長勢頭較快，到目前為止，很多大中型企業(yè)已建立了自己的VPN網(wǎng)絡(luò)，包括SSL VPN。一些學(xué)校的校園網(wǎng)也正在普遍使用SSL VPN技術(shù)提供方便快捷的遠(yuǎn)程安全連接服務(wù)。一些高校和公司

37、也正在研究SSL VPN技術(shù)，開發(fā)實(shí)用的軟件產(chǎn)品，提高全方位的SSL VPN技術(shù)服務(wù)。無疑，伴隨企業(yè)信息化程度的加深，遠(yuǎn)程安全訪問、協(xié)同工作的需求會(huì)日益明顯，SSL VPN技術(shù)由于擁有全方位的優(yōu)勢，取代傳統(tǒng)的組網(wǎng)技術(shù)成為主流已為時(shí)不遠(yuǎn)。研究SSL VPN理論知識(shí)，進(jìn)而開發(fā)出新的SSL VPN產(chǎn)品意義重大。</p><p><b>　　主要研究內(nèi)容</b></p><p&g

38、t;　　本文通過分析SSL協(xié)議的安全性，研究SSL VPN涉及到的關(guān)鍵技術(shù)，總結(jié)了現(xiàn)有SSL VPN的優(yōu)勢所在。本文探討現(xiàn)有安全隧道技術(shù)、訪問控制技術(shù)、身份認(rèn)證技術(shù)、SSL代理技術(shù)、應(yīng)用轉(zhuǎn)換技術(shù)等。本文的主要研究內(nèi)容包括：界定SSL VPN的概念，系統(tǒng)的分析SSL VPN技術(shù)的研究現(xiàn)狀，并對基于PKI的SSL VPN關(guān)鍵技術(shù)進(jìn)行系統(tǒng)分析，包括:密鑰交換技術(shù)、安全隧道技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)等。分析SSL協(xié)議棧，對其協(xié)議的體系結(jié)構(gòu)

39、和各層處理流程及其安全性做出了分析，從而為SSL協(xié)議的改進(jìn)設(shè)計(jì)奠定基礎(chǔ)。</p><p>　　在上述分析的基礎(chǔ)上，對基于PKI的SSL VPN技術(shù)展開討論?；赑KI的SSL協(xié)議旨在為構(gòu)建VPN的身份認(rèn)證和訪問控制提供更好的支持；控制協(xié)議旨在提供用戶安全認(rèn)證接口(包含身份認(rèn)證和角色驗(yàn)證)、用戶訪問控制列表、上層應(yīng)用協(xié)議引擎，從而形成安全、高效的安全隧道協(xié)議；給出了基于SSL VPN遠(yuǎn)程安全接入的典型方案，并在SS

40、L VPN設(shè)備上進(jìn)行了調(diào)試和實(shí)現(xiàn)；針對主流的SSL VPN接入方式進(jìn)行了分析和總結(jié)；對基于PKI的SSL VPN關(guān)鍵技術(shù)進(jìn)行分析，并在Linux系統(tǒng)下用C語言實(shí)現(xiàn)了SSL VPN的關(guān)鍵組件。最后，搭建出了一個(gè)典型的企業(yè)級SSL VPN應(yīng)用實(shí)例。</p><p><b>　　1.3論文結(jié)構(gòu)安排</b></p><p>　　本論文各章內(nèi)容安排如下:</p>

41、<p>　　第一章為緒論，簡要介紹選題背景、國內(nèi)外研究現(xiàn)狀、主要研究內(nèi)容，最后簡單說明論文的結(jié)構(gòu)安排。</p><p>　　第二章:首先給出了一個(gè)相對規(guī)范的SSL VPN的概念，并對其基本原理和現(xiàn)有模式進(jìn)行分析討論。分析了基于PKI的SSL VPN的理論基礎(chǔ)，通過對密碼學(xué)、數(shù)字證書等技術(shù)的分析，為進(jìn)一步深入研究SSL VPN奠定了堅(jiān)定的理論基礎(chǔ)，最后分析SSL協(xié)議工作機(jī)制，協(xié)議的安全性，以及協(xié)議本身提供

42、的VPN支持，并對其安全性和易用性進(jìn)行形式化分析。</p><p>　　第三章:主要是研究和分析SSL VPN關(guān)鍵技術(shù)，并對最常見的兩種VPN技術(shù)：IPsec VPN和SSL VPN的特性和應(yīng)用范圍做了細(xì)致的比較研究。最后，通過對傳統(tǒng)SSL VPN的分析，提出實(shí)現(xiàn)安全接入的解決方案。</p><p>　　第四章:利用OpenSSL,在Linux下實(shí)現(xiàn)了SSL VPN的基本功能，主要是服務(wù)器

43、端和客戶端關(guān)鍵組件的設(shè)計(jì)，包括系統(tǒng)結(jié)構(gòu)、通信過程，身份認(rèn)證、安全隧道處理以及關(guān)鍵的SSL握手過程。</p><p>　　第五章:主要是實(shí)現(xiàn)了SSL VPN在企業(yè)環(huán)境中的應(yīng)用。本章結(jié)合市場需求，對典型的SSL VPN網(wǎng)絡(luò)拓?fù)溥M(jìn)行了分析，并用當(dāng)前主流的SSL VPN產(chǎn)品搭建出了一個(gè)SSL VPN實(shí)例，通過這個(gè)實(shí)例，我們充分的把理論知識(shí)和實(shí)際應(yīng)用相結(jié)合，可以對SSL VPN的工作過程和原理有更加深入的了解，同時(shí)也可以驗(yàn)

44、證我們上面所做的研究。</p><p>　　第六章：主要是對前面所做的SSL VPN理論研究和SSL VPN案例實(shí)現(xiàn)做了一個(gè)總結(jié)，在此基礎(chǔ)上，分析了我國SSL VPN市場前景，對SSL VPN的應(yīng)用前景做了展望。</p><p>　　第二章 基于PKI的SSL VPN理論基礎(chǔ)</p><p>　　本章著重于基于PKI的SSL VPN相關(guān)理論基礎(chǔ)的研究，包括SSL

45、VPN的基本概念、工作原理以及與之相關(guān)的密碼學(xué)知識(shí)。作為安全產(chǎn)品，SSL VPN利用了對稱密碼技術(shù)來實(shí)現(xiàn)數(shù)據(jù)的加密，非對稱加密技術(shù)實(shí)現(xiàn)加密密鑰的交換，利用PKI技術(shù)來作為整個(gè)系統(tǒng)身份認(rèn)證的基礎(chǔ)。作為正在趨向成熟的VPN技術(shù)，SSL VPN在與其他VPN的競爭中正脫穎而出，成為遠(yuǎn)程訪問技術(shù)的首選。</p><p>　　SSL VPN基本概念及原理</p><p>　　SSL VPN基本概念&

46、lt;/p><p>　　SSL即Secure Socket Layer，VPN就是Virtual Private Network簡稱，如果把SSL和VPN 兩個(gè)概念分開，大多數(shù)人都清楚他們的含義，但是把他們合在一起，從學(xué)術(shù)和商業(yè)的角度來講，因?yàn)樗麄兯淼暮x有所不同，因而常常會(huì)被曲解。</p><p>　　SSL通過加密方式保證在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)的安全性，它可以自動(dòng)應(yīng)用在每一個(gè)瀏覽器上。這里

47、，需要提供一個(gè)數(shù)字證書給WEB 服務(wù)器，這個(gè)數(shù)字證書需要付費(fèi)購買，相對而言，給應(yīng)用程序設(shè)立SSL服務(wù)是比較容易的。如果應(yīng)用程序本身不支持SSL，那么就需要改變一些鏈接，這只與應(yīng)用程序有關(guān)。</p><p>　　VPN 則主要應(yīng)用于虛擬連接網(wǎng)絡(luò)，它可以確保數(shù)據(jù)的機(jī)密性并且具有一定的訪問控制功能。過去，VPN總是和IPSec 聯(lián)系在一起，因?yàn)樗荲PN 加密信息實(shí)際用到的協(xié)議。IPSec運(yùn)行于網(wǎng)絡(luò)層，IPSec VP

48、N多用于連接兩個(gè)網(wǎng)絡(luò)或點(diǎn)到點(diǎn)之間的連接。</p><p>　　以上我們簡要介紹了SSL和VPN，現(xiàn)在我們要了解一下SSL和VPN是怎樣結(jié)合在一起的。大量理論可以證明SSL的獨(dú)特性以及VPN所能提供的安全遠(yuǎn)程訪問控制能力。到目前為止，SSL VPN是解決遠(yuǎn)程用戶訪問公司敏感數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSec VPN相比，SSL通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSL VP

49、N， 這是因?yàn)镾SL 內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSec VPN那樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。這一點(diǎn)對于擁有大量機(jī)器（包括家用機(jī)，工作機(jī)和客戶機(jī)等等）需要與公司機(jī)密信息相連接的用戶至關(guān)重要。人們普遍認(rèn)為它將成為安全遠(yuǎn)程訪問的主流方式。</p><p>　　從概念角度來說，SSL VPN即指采用SSL （Security Socket Layer）協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)

50、景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認(rèn)證、客戶認(rèn)證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內(nèi)、外部應(yīng)用來說，使用SSL可保證信息的真實(shí)性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因?yàn)镾SL 協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。相對于傳統(tǒng)的IPSec

51、 VPN而言，SSL VPN具有部署簡單，無客戶端，維護(hù)成本低，網(wǎng)絡(luò)適應(yīng)強(qiáng)等特點(diǎn)，這兩種類型的VPN之間的差別就類似C/S構(gòu)架和B/S構(gòu)架的區(qū)別。</p><p>　　一般而言，SSL VPN必須滿足最基本的兩個(gè)要求：</p><p>　　使用SSL 協(xié)議進(jìn)行認(rèn)證和加密；沒有采用SSL 協(xié)議的VPN產(chǎn)品自然不能稱為SSL VPN，其安全性也需要進(jìn)一步考證。</p><p

52、>　　直接使用瀏覽器完成操作，無需安裝獨(dú)立的客戶端；即使使用了SSL 協(xié)議，但仍然需要分發(fā)和安裝獨(dú)立的VPN客戶端 (如Open VPN)不能稱為SSL VPN，否則就失去了SSL VPN易于部署，免維護(hù)的優(yōu)點(diǎn)了。</p><p>　　現(xiàn)在我們可以給SSL VPN下一個(gè)完整的定義：所謂SSL VPN，就是指基于SSL協(xié)議在公共IP網(wǎng)絡(luò)設(shè)施上，通過數(shù)據(jù)包封裝的隧道技術(shù)，并采用加密技術(shù)、認(rèn)證技術(shù)和訪問控制等綜合

53、安全機(jī)制，構(gòu)建的安全虛擬專用網(wǎng)絡(luò)。</p><p>　　SSL VPN的基本原理</p><p>　　圖2.1 SSL VPN的基本部署方式 </p><p>　　如圖2.1，該圖為SSL VPN的基本接入方式。企業(yè)總部在出口防火墻后面部署一臺(tái)SSL VPN安全網(wǎng)關(guān)設(shè)備，企業(yè)在外出差人員、小分支機(jī)構(gòu)等遠(yuǎn)程用戶要訪問公司內(nèi)部服務(wù)器群的資源時(shí)，就會(huì)先和SSL VPN網(wǎng)關(guān)

54、建立連接，SSL VPN服務(wù)器根據(jù)遠(yuǎn)程用戶提供的身份識(shí)別組件來判斷是否準(zhǔn)入訪問內(nèi)部網(wǎng)絡(luò)資源，以及分配何種訪問權(quán)限給用戶。當(dāng)遠(yuǎn)程用戶通過SSL VPN隧道訪問企業(yè)總部服務(wù)器時(shí)，對于Internet其他用戶來說這些數(shù)據(jù)是透明的，因?yàn)檫@些數(shù)據(jù)都經(jīng)過了加密傳輸。</p><p>　　安全套接層虛擬專用網(wǎng)（SSL VPN）是一種在VPN上運(yùn)行的安全套接字層技術(shù)，他在網(wǎng)絡(luò)瀏覽器通過https訪問。它允許用戶建立從任何連接到互

55、聯(lián)網(wǎng)的瀏覽器到內(nèi)部服務(wù)器的安全可靠的遠(yuǎn)程接入。SSL VPN使用了傳輸控制協(xié)議（TCP）層和應(yīng)用層協(xié)議SSL的功能。傳統(tǒng)的VPN需要IPSec客戶端軟件安裝在客戶端機(jī)器上，而SSL VPN的建立并沒有這種要求。分支機(jī)構(gòu)的用戶能夠通過瀏覽器輕松訪問應(yīng)用程序或共享機(jī)密文件。 SSL VPN技術(shù)的主要好處是：由于它是基于用戶的，而不是基于設(shè)備的，任何授權(quán)用戶都可以登錄到啟用了安全傳輸?shù)木W(wǎng)絡(luò)[4]。</p><p>　　

56、圖2.2 SSL VPN工作過程簡圖</p><p>　　如圖2.2，遠(yuǎn)程用戶使用WEB瀏覽器通過SSL VPN服務(wù)器來訪問企業(yè)內(nèi)部網(wǎng)絡(luò)中的資源，SSL VPN服務(wù)器在這里扮演的角色相當(dāng)于一個(gè)數(shù)據(jù)中轉(zhuǎn)服務(wù)器，所有訪問都經(jīng)過SSL VPN服務(wù)器的認(rèn)證后，轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的應(yīng)用服務(wù)器，從應(yīng)用服務(wù)器發(fā)往瀏覽器的數(shù)據(jù)經(jīng)過SSL VPN服務(wù)器加密后送回瀏覽器。從而在WEB瀏覽器和SSL VPN服務(wù)器之間，利用SSL協(xié)議構(gòu)建了一條

57、安全隧道。</p><p>　　2.2 密碼學(xué)技術(shù)分析</p><p>　　2.2.1 對稱密碼學(xué)分析</p><p>　　對稱密碼加密技術(shù)[5]是指加密密鑰和解密密鑰為同一密鑰的密碼算法。因此，信息的發(fā)送者和信息的接收者在進(jìn)行信息的傳輸與處理時(shí)，必須共同持有該密碼（稱為對稱密鑰）。通常，使用的加密算法比較簡便高效,密鑰簡短,破譯極其困難；由于系統(tǒng)的保密性主要取決于

58、密鑰的安全性，所以，在公開的計(jì)算機(jī)網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個(gè)嚴(yán)峻的問題。常用對稱密鑰算法包括DES，3DES，RC2，RC4，RC6，AES等。在SSLv3.0及其后繼TLS1.0的規(guī)范中，對于加密算法的選擇主要集中在3DES、DES和RC4這三種。在這之中，RC4的速度最快，而3DES慢的多，但是從安全角度來看，3DES更安全。在SSL應(yīng)用中用的最多的還是RC4，RC4是RSA數(shù)據(jù)安全公司開發(fā)的一種密碼算法。它是一種密鑰長度可變

59、的算法，其密鑰長度可以在8～2048位之間。不管密鑰有多長，密鑰都被擴(kuò)展為一張固定尺寸的內(nèi)部狀態(tài)表，所以無論使用什么長度的密鑰，該算法都運(yùn)行得一樣快。SSL和TLS總是使用密鑰長度為128位的RC4，RC4的加解密速度非?？?。RC4本質(zhì)上是一個(gè)偽隨機(jī)數(shù)生成器，并且生成算法的輸出與數(shù)據(jù)流進(jìn)行異或運(yùn)算。</p><p>　　2.2.2 非對稱密碼學(xué)分析</p><p>　　針對對稱密鑰加密技術(shù)

60、的不足，1976年Whitfield Diffie和Martin Hellman提出公鑰加密算法的想法，即非對稱加密技術(shù)，并且基于離散對數(shù)設(shè)計(jì)出第一個(gè)公鑰加密算法DH算法。</p><p>　　公鑰算法的特點(diǎn)如下：</p><p>　　這種算法有兩個(gè)密鑰，一個(gè)公鑰，對外公開，一個(gè)私鑰，安全保存。</p><p>　　僅僅知道密鑰算法和加密密鑰而要確定解密密鑰，這在

61、計(jì)算上是不可行的。</p><p>　　兩個(gè)相關(guān)的密鑰任何一個(gè)加密，都可以用另一個(gè)解密。</p><p>　　隨后又出現(xiàn)許多公鑰算法，目前公認(rèn)比較安全和有效的公鑰算法主要有DH算法、RSA算法、DSA算法等。最為可靠和使用最廣的為RSA算法。非對稱加密算法主要用于認(rèn)證和密鑰交換。</p><p>　　RSA是Rivest，Shamir和Adleman于1978年在美

62、國麻省理工學(xué)院研制出來的,它是一種比較典型的公開密鑰加密算法,也是迄今為止理論上最為成熟和完善的一種公鑰密碼體制。該算法利用了數(shù)論領(lǐng)域的一個(gè)事實(shí),那就是雖然把兩個(gè)大質(zhì)數(shù)相乘生成一個(gè)合數(shù)是件十分容易的事情,但要把一個(gè)合數(shù)分解為兩個(gè)質(zhì)數(shù)卻十分困難。RSA算法建立在正整數(shù)求余運(yùn)算基礎(chǔ)上,同時(shí)還保持了指數(shù)運(yùn)算的性質(zhì)。在RSA算法中,n的長度是控制該算法可靠性的重要因素。與DH算法相比,RSA算法具有明顯的優(yōu)越性,因?yàn)樗鼰o須收發(fā)雙方同時(shí)參與加密過

63、程,非常適合于電子郵件系統(tǒng)的加密。</p><p>　　2.3 數(shù)字證書相關(guān)技術(shù)</p><p>　　2.3.1 數(shù)字簽名技術(shù)</p><p>　　對于重要的文件,為了防止出現(xiàn)對文件的否認(rèn)、偽造、篡改等問題，傳統(tǒng)的方法是在文件上手寫簽名。但是在計(jì)算機(jī)系統(tǒng)中無法使用手寫簽名，取而代之的是數(shù)字簽名機(jī)制[6]。數(shù)字簽名應(yīng)該能實(shí)現(xiàn)手寫簽名的作用，其本質(zhì)特征就是利用簽名者的私

64、有信息產(chǎn)生簽名。因此，當(dāng)被驗(yàn)證時(shí)，能通過信任的第三方在任何時(shí)候證明只有私有信息的唯一掌握者才能產(chǎn)生此簽名。</p><p>　　數(shù)字簽名可以用秘密密鑰來實(shí)現(xiàn)，也可用公開密鑰來實(shí)現(xiàn)。采用對稱密鑰是建立在有眾人信任的中間仲裁機(jī)構(gòu)的基礎(chǔ)上，它的完整性的基礎(chǔ)是這個(gè)中間仲裁機(jī)構(gòu)。這種方式的安全性不高，而且步驟繁瑣。而采用非對稱密鑰加密法進(jìn)行數(shù)字簽名則不受此限制，收發(fā)兩方之間不需要任何可信賴機(jī)構(gòu)。它的完整性的基礎(chǔ)是每個(gè)通信者

65、所擁有的私鑰。在當(dāng)前廣泛應(yīng)用的PKI中所用的數(shù)字簽名就是采用非對稱密鑰加密法。它的過程如下：</p><p>　　先用hash算法將原文壓縮為數(shù)據(jù)摘要，然后用公開密鑰算法對摘要進(jìn)行加密和解密。散列函數(shù)的特性決定原文任何變化都會(huì)使數(shù)據(jù)摘要改變；</p><p>　　在使用發(fā)送者的私鑰對這個(gè)散列值進(jìn)行加密，形成簽名，附在原文后。發(fā)送者所具有私鑰的特殊性決定這個(gè)簽名是來自于這個(gè)發(fā)送者，其他人不能

66、假冒；</p><p>　　接收者在接到這個(gè)附有簽名的文件后，使用發(fā)送者的公鑰進(jìn)行解密，得到發(fā)送者所形成的散列值；</p><p>　　然后接收者在用相同的方法對原文計(jì)算散列值；</p><p>　　比較這兩個(gè)散列值，如果相同，就表明原文在傳送過程中沒有被篡改。如果不相同，則已經(jīng)被篡改。</p><p>　　2.3.2 公鑰技術(shù)設(shè)施PKI&l

67、t;/p><p>　　公鑰基礎(chǔ)設(shè)施PKI主要是針對開放型的大型互聯(lián)網(wǎng)絡(luò)的應(yīng)用環(huán)境而設(shè)計(jì)的，這種網(wǎng)絡(luò)環(huán)境中需要有一個(gè)協(xié)調(diào)的公開密鑰管理機(jī)制，以保證公開密鑰的可靠性。公開密鑰的管理一般基于公證機(jī)制。即需要一個(gè)通信的A、B雙方都信任的第三方N來證明A和B的公開密鑰的可靠性，這需要N分別對A和B的公開密鑰進(jìn)行數(shù)字簽名，形成一個(gè)證明這個(gè)公開密鑰可靠性的證書。在一個(gè)大型的網(wǎng)絡(luò)中，這樣的公證中心可能有多個(gè)，另外這些公證中心若存在依

68、賴關(guān)系，則用戶可通過一個(gè)簽名鏈去設(shè)法驗(yàn)證其他公證中心簽發(fā)的證書。概括的說，公鑰技術(shù)設(shè)施PKI就是對這些公開密鑰證書的管理體制[7]。它在本質(zhì)上是一種公證服務(wù)。通過離線的數(shù)字證書證明某個(gè)公開密鑰的真實(shí)性和有效性。</p><p>　　PKI主要由證書管理中心CA、政策管理中心PMA、注冊管理中心RA和端實(shí)體等幾部分組成。其中注冊管理中心負(fù)責(zé)處理用戶請求，在驗(yàn)證了請求的有效性后提交給證書管理中心。證書管理中心負(fù)責(zé)具體

69、證書的頒發(fā)、撤銷和管理，維護(hù)著證書的生存周期。當(dāng)證書存在時(shí)間超過有效期規(guī)定的時(shí)間時(shí)，證書就會(huì)失效。證書撤銷列表（CRL）是另一種證書有效期控制機(jī)制，證書管理中心定期發(fā)布CRL，上面列出了所有曾由它發(fā)布但當(dāng)前已被撤銷的證書號(hào)，證書的使用者依據(jù)CRL即可驗(yàn)證某證書是否已被撤銷。同證書一樣，CRL也由發(fā)布者數(shù)字簽名。</p><p>　　作為一種網(wǎng)絡(luò)基礎(chǔ)設(shè)施，PKI以證書為手段保證公開密鑰的可靠分發(fā)，但如何使用公開密鑰

70、進(jìn)行安全通信，如交換會(huì)話密鑰等，并不是PKI所能提供的服務(wù)，需要另外的協(xié)議機(jī)制進(jìn)行基于公開密鑰的安全交互，SSL協(xié)議中即包含這樣一種以PKI為基礎(chǔ)進(jìn)行安全會(huì)話密鑰交換的機(jī)制。</p><p>　　2.4 SSL協(xié)議分析</p><p>　　SSL是在Internet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。它能使客戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽，并且始終對服務(wù)器進(jìn)行認(rèn)證，還可選擇對客戶

71、進(jìn)行認(rèn)證。SSL協(xié)議要求建立在可靠的傳輸層協(xié)議（如TCP）之上。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨(dú)立無關(guān)的。高層的應(yīng)用協(xié)議（如HTTP,FTP,TELNET）能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認(rèn)證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會(huì)被加密，從而保證通信的私密性。SSL協(xié)議是一個(gè)分層協(xié)議，它是由一個(gè)記錄層以及記錄層上承載的不同消息類型組成。而該記錄層又會(huì)由某種可

72、靠的協(xié)議如TCP來承載。圖2.3描述了該協(xié)議的結(jié)構(gòu)。</p><p>　　圖 2.3 SSL協(xié)議示意圖</p><p>　　一個(gè)安全的SSL連接被分成兩個(gè)階段，即握手階段和數(shù)據(jù)傳輸階段。握手階段對服務(wù)器進(jìn)行認(rèn)證并確立用于保護(hù)數(shù)據(jù)傳輸?shù)募用苊荑€，它必須在傳輸任何應(yīng)用數(shù)據(jù)之前完成握手。一旦握手完成，數(shù)據(jù)就被分成一系列經(jīng)過保護(hù)的紀(jì)錄進(jìn)行傳輸。</p><p><b&

73、gt;　　記錄層協(xié)議</b></p><p>　　SSL記錄協(xié)議是通過將數(shù)據(jù)流分割成一系列的片斷并加以傳輸來工作的，其中對每個(gè)片斷單獨(dú)進(jìn)行保護(hù)和傳輸。在接受方，對每條記錄單獨(dú)進(jìn)行解密和驗(yàn)證。這種方案使得數(shù)據(jù)一經(jīng)準(zhǔn)備好就可以從連接的一端傳送到另一端，并在接受到的即刻加以處理。</p><p>　　記錄層主要用來處理從高層傳來的數(shù)據(jù)。主要是握手信息、報(bào)警信息、改變密鑰參數(shù)信息和應(yīng)用

74、數(shù)據(jù)，所有這些信息被封裝到記錄的數(shù)據(jù)段。記錄由記錄頭和長度不為零的記錄數(shù)據(jù)組成。記錄層在傳輸之前要將這些任意長度的數(shù)據(jù)進(jìn)行分塊，每塊的最大長度是232字節(jié)（即16384字節(jié)）。記錄頭信息的工作就是為接受實(shí)現(xiàn)提供對記錄進(jìn)行解釋所必需的信息。在實(shí)際應(yīng)用中，它是指三種信息：內(nèi)容類型、長度和SSL版本。長度字段可以讓接受方知道他要從線路上讀取多少字節(jié)才能對信息進(jìn)行處理，版本號(hào)只是一項(xiàng)確保每一方式使用所磋商的版本的冗余性檢查。內(nèi)容類型字段標(biāo)識(shí)消息

75、類型。</p><p><b>　　握手協(xié)議</b></p><p>　　握手層的握手協(xié)議用來產(chǎn)生會(huì)話狀態(tài)的密碼參數(shù)。當(dāng)SSL客戶和服務(wù)器方開始通信時(shí)，雙方通過數(shù)次交互，協(xié)商協(xié)議版本、選擇加密算法、完成客戶方對服務(wù)器方的認(rèn)證（服務(wù)器方對客戶方的認(rèn)證為可選）、使用公開密鑰技術(shù)產(chǎn)生會(huì)話密鑰。以上過程全部是在通信雙方的握手階段進(jìn)行。</p><p>

76、<b>　　報(bào)警協(xié)議</b></p><p>　　報(bào)警協(xié)議根據(jù)警告內(nèi)容的嚴(yán)重性級別產(chǎn)生不同的報(bào)警信息。報(bào)警信息包括警告內(nèi)容和嚴(yán)重性級別。如果級別是Fatal(致命錯(cuò))，則會(huì)導(dǎo)致當(dāng)前的連接立即中斷，并清除包括會(huì)話標(biāo)志、密鑰等在內(nèi)的所有狀態(tài)參數(shù)。在這種情況下，與該會(huì)話相連的其他連接可以繼續(xù)進(jìn)行，但不能再重用該會(huì)話建立新的連接。同其他的消息一樣，報(bào)警信息也要經(jīng)過壓縮和加密后進(jìn)行傳輸。報(bào)警消息的類型

77、可分為關(guān)閉報(bào)警（ClosureAlert）和錯(cuò)誤報(bào)警（ErrorAlert）。</p><p><b>　　修改密碼參數(shù)協(xié)議</b></p><p>　　修改密碼參數(shù)協(xié)議用來標(biāo)志信號(hào)的轉(zhuǎn)換，它只包含一條信息，信息內(nèi)容為一個(gè)字節(jié)，其值為1。修改密碼參數(shù)消息由客戶方或服務(wù)器方發(fā)出，用以通知對方隨后的記錄將受到協(xié)商的密碼參數(shù)和密碼的保護(hù)。從握手協(xié)議的流程圖可以看到，客戶方在

78、發(fā)送完密鑰交換（ClientKeyExchange）和證書驗(yàn)證（CertificateVerify）消息（如果有的話）后發(fā)送修改密碼參數(shù)消息。服務(wù)器在成功處理了從客戶方接受到的密鑰交換消息以后也發(fā)送一個(gè)修改密碼參數(shù)消息。如果在握手過程中采用了會(huì)話重用，則雙方在hello消息之后發(fā)送修改密碼參數(shù)消息。</p><p><b>　　應(yīng)用數(shù)據(jù)</b></p><p>　　應(yīng)

79、用數(shù)據(jù)信息即通信雙方建立安全連接所要保護(hù)的信息，在當(dāng)前協(xié)商好的狀態(tài)下由記錄層對應(yīng)用數(shù)據(jù)信息進(jìn)行分塊、壓縮、加密并傳輸。</p><p><b>　　會(huì)話與連接</b></p><p>　　在SSL中，會(huì)話與連接是兩個(gè)不同的概念。一個(gè)連接只能對應(yīng)一個(gè)會(huì)話，而一個(gè)會(huì)話可以被多個(gè)連接所共享，即“會(huì)話重用”。會(huì)話是有狀態(tài)的，它由握手協(xié)議所創(chuàng)建，包含一套安全參數(shù)。會(huì)話狀態(tài)分為兩

80、種，一種稱為“當(dāng)前狀態(tài)”，一種稱為“待決狀態(tài)”。每種狀態(tài)又分為讀狀態(tài)和寫狀態(tài)。會(huì)話狀態(tài)的轉(zhuǎn)交是由上述修改密碼參數(shù)協(xié)議決定的。</p><p><b>　　密碼套件</b></p><p>　　SSL協(xié)議中涉及到的加密算法主要有三種：密鑰交換算法、數(shù)據(jù)加密算法和散列算法。其中密鑰交換算法采用非對稱密鑰加密算法如RAS或者DH，用于通信雙方密鑰協(xié)商過程；數(shù)據(jù)加密算法采用對

81、稱密鑰加密算法如DES、RC4等。在SSL協(xié)議中，這些加密算法相互組合構(gòu)成若干密碼套件，每一個(gè)密碼套件對應(yīng)一個(gè)固定的整數(shù)值，所有這些密碼套件都采用統(tǒng)一的格式。如：密碼套件SSL_RSA_WTTH_RC4_128_MD5表示密鑰交換算法采用RSA,數(shù)據(jù)加密算法采用128位RC4，散列算法采用MD5。 </p><p>　　2.5 SSL隧道建立過程</p><p>　　圖2.4 SSL VP

82、N安全隧道建立過程</p><p>　　SSL協(xié)議集成了非對稱加密、對稱加密、數(shù)字簽名以及信息校驗(yàn)等多項(xiàng)技術(shù)，能出色地完成防冒充、防破解和防篡改三個(gè)保障信息安全的基本任務(wù)。SSL安全隧道建立過程主要分為四個(gè)階段，如圖2.4，工作過程大致如下：</p><p>　　第一階段，客戶端向服務(wù)器發(fā)出SSL連接請求，并附上一段隨機(jī)產(chǎn)生的信息，服務(wù)器端在通訊之前會(huì)向證書頒發(fā)組織申請并獲得自己的公鑰、私

83、鑰以及證書。</p><p>　　第二階段，服務(wù)器收到客戶端的連接請求后，把收到的隨機(jī)信息用私鑰加密，然后連同公鑰和身份信息發(fā)回給客戶端。</p><p>　　第三階段，客戶端收到服務(wù)器端的回應(yīng)后，將先用從服務(wù)器端發(fā)來的公鑰解密信息，還原后與自己之前產(chǎn)生的隨機(jī)信息比較異同，從而驗(yàn)證服務(wù)器端的身份。在服務(wù)器端身份得到驗(yàn)證后，客戶端將產(chǎn)生一個(gè)對稱密鑰，用于加密真正的傳輸信息，并將該對稱密鑰用公

84、鑰加密后發(fā)給服務(wù)器端。</p><p>　　第四階段，服務(wù)器端得到信息后，用自己私鑰解密并獲得該對稱密鑰，之后客戶端和服務(wù)器之間就可以用這個(gè)對稱密鑰進(jìn)行加密通訊了。</p><p>　　在整個(gè)通訊過程中，服務(wù)器端只要保護(hù)好私鑰不被泄漏就可以保證自己的身份不會(huì)被冒充，對稱密鑰也不會(huì)被破解，從而保證了加密信息不會(huì)被破解，再加上校驗(yàn)信息也采用公鑰和私鑰加密機(jī)制，因此信息篡改也不可能發(fā)生，保證了傳

85、輸?shù)陌踩浴?lt;/p><p>　　第三章 SSL VPN關(guān)鍵技術(shù)的研究</p><p>　　SSL VPN是解決遠(yuǎn)程用戶訪問公司敏感數(shù)據(jù)最簡單最安全的解決方案。與復(fù)雜的IPSec VPN相比，SSL VPN通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSL VPN， 這是因?yàn)镾SL 內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSec VPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件

86、。</p><p>　　本章主要對SSL VPN技術(shù)的原理進(jìn)行探討，并對SSL VPN給出一個(gè)相對準(zhǔn)確、規(guī)范的概念，同時(shí)描述其基本原理、模式，并對其關(guān)鍵技術(shù)進(jìn)行了深入的分析。</p><p>　　SSL VPN關(guān)鍵技術(shù)分析</p><p>　　我們知道，VPN技術(shù)的優(yōu)勢在于綜合運(yùn)用多種網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)。VPN技術(shù)是以IP隧道為基礎(chǔ)，實(shí)現(xiàn)網(wǎng)絡(luò)的互聯(lián)；通過采用密碼

87、技術(shù)的安全協(xié)議和訪問控制機(jī)制來增強(qiáng)網(wǎng)絡(luò)的安全性的。IP隧道代替了傳統(tǒng)網(wǎng)絡(luò)的“專線”，是組建“虛擬網(wǎng)絡(luò)”的基礎(chǔ)。這里，我們將隧道技術(shù)與所采用的SSL協(xié)議聯(lián)系在一起來討論。同時(shí)，對身份認(rèn)證、訪問控制，以及SSL VPN的具體實(shí)現(xiàn)技術(shù)、代理技術(shù)等進(jìn)行了分析。</p><p><b>　　安全隧道技術(shù)</b></p><p>　　隧道是指一個(gè)網(wǎng)絡(luò)通過另一個(gè)網(wǎng)絡(luò)的連接傳輸分組時(shí)

88、，將一種協(xié)議的數(shù)據(jù)單元封裝在另一個(gè)協(xié)議的數(shù)據(jù)單元中。隧道是一種虛擬的點(diǎn)到點(diǎn)連接，這個(gè)連接為隧道的兩個(gè)端點(diǎn)提供了認(rèn)證、加密和訪問控制?？梢栽诓煌膮f(xié)議層上來實(shí)現(xiàn)隧道技術(shù)，不同協(xié)議層提供了不同強(qiáng)度的安全保護(hù)。隧道技術(shù)允許授權(quán)移動(dòng)用戶或已授權(quán)的用戶在任何時(shí)間任何地點(diǎn)訪問企業(yè)網(wǎng)絡(luò)。通過隧道的建立，可實(shí)現(xiàn)以下功能[8]：將數(shù)據(jù)流量強(qiáng)制轉(zhuǎn)到特定的目的地；隱藏私有的網(wǎng)絡(luò)地址:在IP網(wǎng)上傳輸非IP協(xié)議數(shù)據(jù)包；提供數(shù)據(jù)安全支持；在安全方面可提供數(shù)據(jù)包認(rèn)證

89、、數(shù)據(jù)加密以及密鑰管理等手段。</p><p>　　隧道技術(shù)主要依靠網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)。目前，IETF工作組己制定或研究出許多VPN的隧道協(xié)議，可分為三大類，分別是第二層(數(shù)據(jù)鏈路層)隧道協(xié)議、第三層(網(wǎng)絡(luò)層)隧道協(xié)議和第四層(工作在高層)隧道協(xié)議(SOCKSv5和SSL協(xié)議)。</p><p>　　第二層隧道目前主要基于虛擬的即PPP連接，如PPTP、L2TP等。主要優(yōu)點(diǎn)是協(xié)議簡單，易于

90、加密，特別適用于為遠(yuǎn)程撥號(hào)用戶接入VPN提供PPP連接。但由于會(huì)話貫穿整個(gè)隧道，并終止在用戶網(wǎng)關(guān)上，所以需要維護(hù)大量的PPP會(huì)話連接狀態(tài)，而IP隧道造成PPP會(huì)話超時(shí)等問題，加重了系統(tǒng)的負(fù)荷，影響傳輸效率和系統(tǒng)的擴(kuò)展。</p><p>　　多協(xié)議標(biāo)簽交換（MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標(biāo)、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機(jī)制。MPLS介于

91、第二和第三層協(xié)議，諸如 ATM 和 IP。它提供了一種方式，將 IP 地址映射為簡單的具有固定長度的標(biāo)簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。它是現(xiàn)有路由和交換協(xié)議的接口，如 IP、ATM、幀中繼、資源預(yù)留協(xié)議（RSVP）、開放最短路徑優(yōu)先（OSPF）等等。</p><p>　　而第三層隧道由于是IP in IP，如IPSec，其可靠性及可擴(kuò)展性方面優(yōu)于第二層隧道，特別適宜于LAN to LAN互連，但這種方式對于移動(dòng)

92、用戶就沒有第二層隧道簡單和直接了。所以對于IP隧道究竟是采用第二層隧道還是第三層隧道，要看VPN設(shè)計(jì)的目的。其二是在網(wǎng)絡(luò)的什么層次上實(shí)現(xiàn)IP隧道的問題。目前較多的是IP協(xié)議實(shí)現(xiàn)IP隧道，但也有用UDP等協(xié)議來實(shí)現(xiàn)IP隧道的。</p><p>　　第四層隧道最著名的是SocKSv5和SSL。SOCKSv5是NEC開發(fā)的，是建立在TCP層上的安全協(xié)議，更容易為與特定TCP端口相連的應(yīng)用建立特定的隧道。用SOCKSv5

93、的代理服務(wù)器可以隱藏網(wǎng)絡(luò)地址機(jī)構(gòu)，能為認(rèn)證、加密和密鑰管理提供“插件”模塊，可以讓用戶自由地采用他們所需要的技術(shù)。SSL協(xié)議是一種在WEB服務(wù)協(xié)議(HTTP)和TCP/IP之間提供數(shù)據(jù)連接安全性的協(xié)議。它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器身份驗(yàn)證和消息完整性驗(yàn)證。SocKsV5和SSL協(xié)議配合使用作為建立SSL VPN的基礎(chǔ)，最適合于客戶機(jī)到服務(wù)器的連接模式，適用于外部網(wǎng)VPN和遠(yuǎn)程訪問VPN。</p><p&g

94、t;　　SSL VPN隧道技術(shù)</p><p>　　SSL VPN是通過數(shù)據(jù)包封裝的隧道技術(shù)來實(shí)現(xiàn)虛擬專用網(wǎng)的私有性。隧道是一種邏輯上的概念，封裝是實(shí)現(xiàn)隧道的主要技術(shù)，通過將網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)實(shí)現(xiàn)IP的再封裝，實(shí)現(xiàn)了被封裝數(shù)據(jù)的信息隱蔽和抽象。因而可以通過隧道實(shí)現(xiàn)利用公共IP網(wǎng)絡(luò)傳輸其它協(xié)議的數(shù)據(jù)包；另外通過隧道傳輸IP數(shù)據(jù)報(bào)文時(shí)，利用被傳IP包的地址信息得到隱藏這一特點(diǎn)，很容易實(shí)現(xiàn)私有地址和公網(wǎng)地址的獨(dú)立性，從而為

95、VPN能提供地址空間的獨(dú)立、多協(xié)議支持等機(jī)制奠定了基礎(chǔ)</p><p>　　SSL VPN是一個(gè)優(yōu)秀的VPN解決方案，它采用第四層隧道協(xié)議來實(shí)現(xiàn)第二第三層的網(wǎng)絡(luò)連接，類似于點(diǎn)到點(diǎn)的連接。這種技術(shù)能夠使得來自不同客戶端的網(wǎng)絡(luò)流量從一個(gè)基礎(chǔ)設(shè)施中通過。這種技術(shù)使用點(diǎn)對點(diǎn)通信協(xié)議代替了交換連接，通過路由網(wǎng)絡(luò)來連接數(shù)據(jù)地址。隧道技術(shù)允許授權(quán)的移動(dòng)用戶在任何時(shí)間任何地點(diǎn)訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。采用不同規(guī)則，隧道技術(shù)也可以禁止未授

96、權(quán)的訪問。通過隧道的建立，可以實(shí)現(xiàn)以下功能：</p><p>　　將數(shù)據(jù)流強(qiáng)制定向到特定目的地；</p><p>　　隱藏私有的網(wǎng)絡(luò)地址，保護(hù)內(nèi)部數(shù)據(jù)和資源；</p><p>　　在IP網(wǎng)絡(luò)上傳輸非IP協(xié)議數(shù)據(jù)包；</p><p>　　數(shù)據(jù)安全支持，包括傳輸安全和訪問安全。</p><p>　　SSL VPN的隧道技術(shù)

97、把所有訪問企業(yè)內(nèi)部子網(wǎng)的數(shù)據(jù)封裝成特殊的TCP/UDP報(bào)文，報(bào)文格式如圖3.1。</p><p>　　圖3.1 SSL VPN所有協(xié)議的報(bào)文格式</p><p>　　TCP/UDP表示了高層的數(shù)據(jù)封裝，SSL報(bào)文被封裝到TCP/UDP的數(shù)據(jù)部分，其格式為：</p><p>　　報(bào)文長度：16位，只有TCP報(bào)文有該字段，總是作為明文傳送。</p><

98、;p>　　消息類型：5位，不同的消息類型有不同的操作，主要負(fù)責(zé)完成SSL VPN的隧道協(xié)商。</p><p>　　Kid：這個(gè)字段表示了SSL VPN已經(jīng)協(xié)商起來的TLS會(huì)話。SSL VPN使用新的Kid表示新的會(huì)話。</p><p>　　負(fù)載：N比特，可能是控制報(bào)文或數(shù)據(jù)報(bào)文報(bào)文。</p><p>　　控制報(bào)文表示了已經(jīng)在可靠層加密封裝的TLS報(bào)文，這個(gè)可靠

99、層是以直接的ACK和轉(zhuǎn)發(fā)的模型來實(shí)現(xiàn)的。</p><p>　　數(shù)據(jù)報(bào)文負(fù)載表示加密封裝的隧道報(bào)文。這些報(bào)文可能是IP報(bào)文或者是以太網(wǎng)幀。</p><p>　　所有這些報(bào)文都通過服務(wù)器和客戶端建立的隧道傳輸。使用隧道技術(shù)遠(yuǎn)程訪問服務(wù)器把用戶數(shù)據(jù)封裝進(jìn)IP數(shù)據(jù)包中，這些數(shù)據(jù)包通過ISP（電信服務(wù)提供商網(wǎng)絡(luò)傳輸，在Internet中，則需要穿過不同的網(wǎng)絡(luò)，最后到達(dá)隧道終點(diǎn)，即企業(yè)內(nèi)部的SSL V

100、PN服務(wù)器，然后把數(shù)據(jù)拆包，轉(zhuǎn)成最初的形式。SSL VPN允許網(wǎng)絡(luò)協(xié)議的轉(zhuǎn)換，還允許對來自不同客戶端的流量進(jìn)行區(qū)別，指定特定的目的地，接受指定級別的服務(wù)。</p><p><b>　　身份認(rèn)證技術(shù)</b></p><p>　　SSL VPN用戶的身份認(rèn)證是在隧道連接開始之前進(jìn)行用戶身份的確認(rèn)，以便系統(tǒng)進(jìn)行資源控制和用戶授權(quán)。SSL VPN首先是一種VPN，對于VPN系

101、統(tǒng)，用戶身份認(rèn)證是一項(xiàng)功能。在使用SSL進(jìn)行網(wǎng)絡(luò)通信時(shí)，通信雙方都要持有各自由認(rèn)證中心發(fā)放的身份以及認(rèn)證中心的公開密鑰。常見的身份認(rèn)證技術(shù)有：</p><p><b>　　用戶名/密碼方式 </b></p><p>　　用戶名/密碼是最簡單也是最常用的身份認(rèn)證方法，是基于“what you know”的驗(yàn)證手段。每個(gè)用戶的密碼是由用戶自己設(shè)定的，只有用戶自己才知道。只

102、要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為操作者就是合法用戶。實(shí)際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號(hào)碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個(gè)自認(rèn)為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，在驗(yàn)證過程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗(yàn)證使用的驗(yàn)證信息都是相同的，很容易被駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此，從安全性上講，用戶名/密碼方式

103、一種是極不安全的身份認(rèn)證方式。 </p><p><b>　　智能卡認(rèn)證 </b></p><p>　　智能卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)， 智能卡由專門的廠商通過專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時(shí)必須將智能卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。智能卡認(rèn)證是基于“what you have”的手

104、段，通過智能卡硬件不可復(fù)制來保證用戶身份不會(huì)被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息，因此還是存在安全隱患。 </p><p><b>　　動(dòng)態(tài)口令 </b></p><p>　　動(dòng)態(tài)口令技術(shù)是一種讓用戶密碼按照時(shí)間或使用次數(shù)不斷變化、每個(gè)密碼只能使用一次的技術(shù)。它采用一種叫作動(dòng)態(tài)令牌的專用硬件，

105、內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼。用戶使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計(jì)算機(jī)，即可實(shí)現(xiàn)身份認(rèn)證。由于每次使用的密碼必須由動(dòng)態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過密碼驗(yàn)證就可以認(rèn)為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個(gè)密碼來仿冒合法用