陳鴻星 周媛蘭

江西師范大學(xué)數(shù)學(xué)與信息科學(xué)學(xué)院 江西 330022

0 引言

二十一世紀(jì)，隨著全球經(jīng)濟(jì)一體化的加劇，信息技術(shù)飛速發(fā)展，信息技術(shù)的傳輸途徑已越來(lái)越依賴于互聯(lián)網(wǎng)，國(guó)家已經(jīng)發(fā)展到了商業(yè)上網(wǎng)，政府上網(wǎng)，企業(yè)上網(wǎng)，由之而來(lái)電子商務(wù)、電子政務(wù)、網(wǎng)上銀行及網(wǎng)上證券等網(wǎng)上交易業(yè)務(wù)飛速發(fā)展。在信息技術(shù)迅速發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題，也日益受到了人們的重視。其實(shí)，我們對(duì)之依賴性很強(qiáng)的網(wǎng)絡(luò)是非常脆弱的，通過(guò)文獻(xiàn)[1]中的詳細(xì)分析可看出，若平時(shí)忽略網(wǎng)絡(luò)安全性，那些問(wèn)題往往會(huì)成為安全漏洞，從而導(dǎo)致意圖不明的侵入。為保證信息傳輸?shù)陌踩?，加?qiáng)對(duì)網(wǎng)絡(luò)安全的防護(hù)，針對(duì)網(wǎng)絡(luò)安全措施中的各種不同的威脅和漏洞進(jìn)行的探討，就是為了保證網(wǎng)絡(luò)信息的保密性、完整性和可用性。

隨著應(yīng)用程序從C/S 架構(gòu)向Web 的遷移，我們必須面對(duì)一個(gè)新的挑戰(zhàn)，就是在不影響終端用戶使用的前提下，實(shí)現(xiàn)在任何地方靈活訪問(wèn)這些應(yīng)用程序。

1 不對(duì)稱加密的安全對(duì)策

1.1 不對(duì)稱加密

不對(duì)稱加密的基本思想就是通過(guò)使用兩把完全不同但又完全匹配的一對(duì)鑰匙——公鑰和私鑰(一個(gè)可以對(duì)任何人公開(kāi)的公鑰和對(duì)未經(jīng)授權(quán)的用戶保密的私鑰，公鑰和私鑰都在數(shù)學(xué)上相關(guān)聯(lián))，用公鑰加密的數(shù)據(jù)只能用私鑰解密，而用私鑰簽名的數(shù)據(jù)只能用公鑰驗(yàn)證。公鑰可以提供給任何人，公鑰用于對(duì)要發(fā)送到私鑰持有者的數(shù)據(jù)進(jìn)行加密，兩個(gè)密鑰對(duì)于通信會(huì)話都是惟一的。

公鑰加密算法也稱為不對(duì)稱算法，原因是需要用一個(gè)密鑰加密數(shù)據(jù)，而需要用另一個(gè)密鑰來(lái)解密數(shù)據(jù)。

在使用不對(duì)稱加密算法加密文件時(shí)，只有使用匹配的一對(duì)公鑰和私鑰，才能完成對(duì)明文的加密和解密過(guò)程。加密明文時(shí)采用公鑰加密，解密密文時(shí)使用私鑰才能完成，而且發(fā)信方(加密者)知道收信方的公鑰，只有收信方(解密者)才是惟一知道自己私鑰的人。

不對(duì)稱加密的基本原理是，如果發(fā)信方想發(fā)送只有收信方才能解讀的加密信息，發(fā)信方必須首先知道收信方的公鑰，然后利用收信方的公鑰來(lái)加密原文，收信方收到加密密文后，使用自己的私鑰才能解密密文。顯然，采用不對(duì)稱加密算法，收發(fā)信雙方在通信之前，收信方必須將自己早已隨機(jī)生成的公鑰送給發(fā)信方，而自己保留私鑰。

由于不對(duì)稱算法擁有兩個(gè)密鑰，因而特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密。廣泛應(yīng)用的不對(duì)稱加密算法有RSA算法和美國(guó)國(guó)家標(biāo)準(zhǔn)局提出的DSA。

RSA是不對(duì)稱算法中最著名、使用最多的一種，RSA公開(kāi)密鑰密碼系統(tǒng)是由R.Rivest、A.Shamir和L.Adleman教授于 1977年提出的，算法是基于大數(shù)不可能被質(zhì)因數(shù)分解假設(shè)的公鑰體系。簡(jiǎn)單地說(shuō)就是找兩個(gè)很大的質(zhì)數(shù)，一個(gè)對(duì)外公開(kāi)的為“公鑰”，另一個(gè)不告訴任何人，稱為“私鑰”。RSA算法是基于大數(shù)難于分解的原理，不但可以用于認(rèn)證，也可以用于密鑰傳輸。利用RSA算法來(lái)傳輸密鑰辦法：A產(chǎn)生一個(gè)密鑰Key，用B的公鑰加密Key，然后將得到的密文發(fā)送給B，B用自己的私鑰解密收到的密文，就可以得到A的密鑰Key。

以不對(duì)稱加密算法為基礎(chǔ)的加密技術(shù)應(yīng)用非常廣泛，下面討論的都屬于此范疇。

1.2 SSL VPN的使用

1.2.1 SSL VPN的原理與連接過(guò)程

SSL協(xié)議是一種在Internet上保證發(fā)送信息安全的通用協(xié)議，處于應(yīng)用層，SSL用公鑰加密通過(guò)SSL連接傳輸?shù)臄?shù)據(jù)來(lái)工作，SSL協(xié)議指定了在應(yīng)用程序協(xié)議(如HTTP、Telnet和FTP等)和 TCP/IP協(xié)議之間進(jìn)行數(shù)據(jù)交換的安全機(jī)制，為T(mén)CP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證以及可選的客戶機(jī)認(rèn)證。SSL 通過(guò)加密方式保護(hù)在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)安全性，它可以自動(dòng)應(yīng)用在每一個(gè)瀏覽器上，只需要提供一個(gè)數(shù)字證書(shū)給Web 服務(wù)器。VPN主要應(yīng)用于虛擬連接網(wǎng)絡(luò)，它可以確保數(shù)據(jù)的機(jī)密性并具有一定的訪問(wèn)控制功能。VPN是一項(xiàng)非常實(shí)用的技術(shù)，它可以擴(kuò)展單位的內(nèi)部網(wǎng)絡(luò)，允許單位的員工、客戶以及合作伙伴利用 Internet訪問(wèn)企業(yè)網(wǎng)，而成本遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的專(zhuān)線接入。

SSL VPN是利用SSL的獨(dú)特性以及VPN所能提供的安全遠(yuǎn)程訪問(wèn)控制能力的結(jié)合，是使用者利用瀏覽器內(nèi)建的Secure Socket Layer封包處理功能，用瀏覽器連回單位內(nèi)部SSL VPN服務(wù)器，然后透過(guò)網(wǎng)絡(luò)封包轉(zhuǎn)向的方式，讓使用者可以在遠(yuǎn)程計(jì)算機(jī)執(zhí)行應(yīng)用程序，讀取公司內(nèi)部服務(wù)器數(shù)據(jù)。它采用標(biāo)準(zhǔn)的安全套接層(SSL)對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密，從而在應(yīng)用層保護(hù)了數(shù)據(jù)的安全性。

SSL VPN原理：遠(yuǎn)程的使用者利用瀏覽器連接到 SSL VPN設(shè)備，然后透過(guò)IP封包轉(zhuǎn)譯的方式，由SSL VPN設(shè)備“模擬”遠(yuǎn)程使用者在“內(nèi)部”進(jìn)行數(shù)據(jù)存取，SSL VPN在與內(nèi)部程序的連接上有不同的方式，所以在規(guī)劃使用的時(shí)候，必須要作事前測(cè)試，有的是利用Adapter的方式作網(wǎng)絡(luò)封包轉(zhuǎn)譯，有的則是利用Port Forward的方式作介接，所以在使用前必須要作應(yīng)用程序兼容性測(cè)試。

SSL VPN連接建立過(guò)程：

客戶端瀏覽器連接到Web服務(wù)器，向VPN服務(wù)器發(fā)出建立安全連接通道的請(qǐng)求；

VPN服務(wù)器接受客戶端請(qǐng)求，發(fā)送VPN服務(wù)器證書(shū)做為響應(yīng)，客戶端驗(yàn)證 VPN服務(wù)器證書(shū)的有效性，如果驗(yàn)證通過(guò)，則用VPN服務(wù)器證書(shū)中包含的VPN服務(wù)器公鑰加密一個(gè)會(huì)話密鑰，并將加密后的數(shù)據(jù)和客戶端用戶證書(shū)一起發(fā)送給VPN服務(wù)器；

VPN服務(wù)器收到客戶端發(fā)來(lái)的加密數(shù)據(jù)后，先驗(yàn)證客戶端證書(shū)的有效性，如果驗(yàn)證通過(guò)，則用其專(zhuān)用的私有密鑰解開(kāi)加密數(shù)據(jù)，獲得會(huì)話密鑰。然后 VPN服務(wù)器用客戶端證書(shū)中包含的公鑰加密該會(huì)話密鑰，并將加密后的數(shù)據(jù)發(fā)送給客戶端瀏覽器；

客戶端在收到 VPN服務(wù)器發(fā)來(lái)的加密數(shù)據(jù)后，用其專(zhuān)用的私有密鑰解開(kāi)加密數(shù)據(jù)，把得到的會(huì)話密鑰與原來(lái)發(fā)出去的會(huì)話密鑰進(jìn)行對(duì)比，如果兩把密鑰一致，說(shuō)明服務(wù)器身份已經(jīng)通過(guò)認(rèn)證，雙方將使用這把會(huì)話密鑰建立安全連接通道。

1.2.2 SSL VPN的優(yōu)勢(shì)

SSL VPN的優(yōu)勢(shì)來(lái)自于HTTP的廣泛應(yīng)用，常見(jiàn)的使用HTTP 的應(yīng)用有：SOAP，UDDI等。這類(lèi) B/S 架構(gòu)管理軟件只安裝在服務(wù)器端上，用戶界面主要事務(wù)邏輯在服務(wù)器端完全通過(guò) WWW 瀏覽器實(shí)現(xiàn)。極少部分事務(wù)邏輯在前端實(shí)現(xiàn)，所有的客戶端可以只有瀏覽器。

(1) 零客戶端

客戶端的區(qū)別是SSL VPN最大的優(yōu)勢(shì)。正因?yàn)镾SL 協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端，有Web瀏覽器的地方就有SSL，所以預(yù)先安裝了Web瀏覽器的客戶機(jī)可以隨時(shí)作為SSL VPN的客戶端。通過(guò)SSL VPN，客戶端可以在任何時(shí)間任何地點(diǎn)對(duì)應(yīng)用資源進(jìn)行訪問(wèn)。

SSL VPN的客戶端屬于即插即用的安裝模式，不需要任何附加的客戶端軟件和硬件，即便是瘦客戶端模式，由于是用自動(dòng)下載的模式，所以對(duì)用戶來(lái)講仍然是透明的。

(2) 安全性

SSL安全通道是在客戶到所訪問(wèn)的資源之間建立的，確保端到端的真正安全。無(wú)論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的?？蛻魧?duì)資源的每一次操作都需要經(jīng)過(guò)安全的身份驗(yàn)證和加密。

對(duì)于SSL VPN的聯(lián)機(jī)，病毒傳播會(huì)局限于這臺(tái)主機(jī)，而且這個(gè)病毒必須是針對(duì)應(yīng)用系統(tǒng)的類(lèi)型，不同類(lèi)型的病毒是不會(huì)感染到這臺(tái)主機(jī)的，因此通過(guò)SSL VPN連接，受外界病毒感染的可能性大大減小。

在遠(yuǎn)程主機(jī)與SSL VPN 網(wǎng)關(guān)之間，采用SSL通訊端口443來(lái)作為Web Server對(duì)外的數(shù)據(jù)傳輸通道，因此，不需在防火墻上做任何修改，也不會(huì)因?yàn)椴煌瑧?yīng)用系統(tǒng)的需求，而來(lái)修改防火墻上的設(shè)定，如果所有后臺(tái)系統(tǒng)都通過(guò)SSL VPN的保護(hù)，那么在日常辦公中防火墻只開(kāi)啟一個(gè)443端口就可以，從而減少內(nèi)部網(wǎng)絡(luò)受外部黑客攻擊的可能性。

(3) 訪問(wèn)控制

部署 VPN是為了保護(hù)網(wǎng)絡(luò)中重要數(shù)據(jù)的安全，在電子商務(wù)和電子政務(wù)日益發(fā)展的今天，各種應(yīng)用日益復(fù)雜，需要訪問(wèn)內(nèi)部網(wǎng)絡(luò)人員的身份也多種多樣，對(duì)內(nèi)網(wǎng)資源的權(quán)限也有不同的級(jí)別。SSL VPN重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，比如SSL VPN可以根據(jù)用戶的不同身份，給予不同的訪問(wèn)權(quán)限。通過(guò)配合一定的身份認(rèn)證，不僅可以控制訪問(wèn)人員的權(quán)限，還可以對(duì)訪問(wèn)人員的每個(gè)訪問(wèn)的關(guān)鍵信息進(jìn)行數(shù)字簽名，以保證每次訪問(wèn)的不可抵賴性，為事后追蹤提供了依據(jù)。

(4) 經(jīng)濟(jì)性

使用SSL VPN具有很好的經(jīng)濟(jì)性，只需要在總部放置一臺(tái)硬件設(shè)備就可以實(shí)現(xiàn)所有用戶的遠(yuǎn)程安全訪問(wèn)接入，就使用成本而言，SSL VPN具有更大的優(yōu)勢(shì)，由于這是一個(gè)即插即用設(shè)備，在部署實(shí)施以后，一個(gè)具有一定IT知識(shí)的普通工作人員就可以完成日常的管理工作。

1.2.3 H3C SSL VPN

H3C SSL VPN系統(tǒng)是一款采用 SSL連接建立的安全VPN系統(tǒng)，為單位移動(dòng)辦公人員提供了便捷的遠(yuǎn)程接入服務(wù)，SSL VPN與傳統(tǒng)VPN系統(tǒng)相比，有更好的易用性、無(wú)需用戶配置、免客戶端安裝、部署簡(jiǎn)單、安全性高、安全控制力度高。極大地方便了單位的移動(dòng)辦公用戶和網(wǎng)絡(luò)管理，目前我們單位就采用了杭州華三通訊技術(shù)有限公司開(kāi)發(fā)的這款H3C SSL VPN系統(tǒng)。

H3C SSL VPN系統(tǒng)功能包括：支持Web頁(yè)面的安全訪問(wèn)(支持JavaScript和實(shí)現(xiàn)內(nèi)部URL到外部URL的改寫(xiě)，實(shí)現(xiàn)http鏈接到https鏈接的轉(zhuǎn)換)；為用戶提供SSL VPN的Web訪問(wèn)界面(用戶登錄界面，VPN資源訪問(wèn)界面，用戶信息管理界面)；為管理員提供SSL VPN的Web管理界面(對(duì)VPN用戶的資源權(quán)限管理界面，對(duì)SSL VPN網(wǎng)關(guān)的監(jiān)控頁(yè)面)；管理員任務(wù)分擔(dān)(可以配置單位的Logo、問(wèn)候語(yǔ)等，提供用戶的主頁(yè)模板，并可將管理職責(zé)劃分不同角色)等等。我們可以從我們單位這個(gè)實(shí)例中清晰的看到這些功能的實(shí)現(xiàn)。

圖1 H3C SSL VPN用戶訪問(wèn)界面

使用H3C SSL VPN系統(tǒng)，通過(guò)SSL VPN客戶端可以在任何時(shí)間任何地點(diǎn)對(duì)應(yīng)用資源進(jìn)行訪問(wèn)，但是客戶操作都需要經(jīng)過(guò)安全的身份驗(yàn)證和加密，文獻(xiàn)[1]中討論的網(wǎng)絡(luò)欺騙是不可能發(fā)生的。

2 結(jié)論

基于不對(duì)稱加密算法，詳細(xì)分析了SSL VPN原理與連接過(guò)程及優(yōu)勢(shì)，并使用了一個(gè)實(shí)例H3C SSL VPN，從而有效保障了網(wǎng)絡(luò)資源的安全性。

[1]陳鴻星,張紅霞,林淑琴.RFC 特征剖析及網(wǎng)絡(luò)安全性對(duì)策[J].實(shí)驗(yàn)室研究與探索.2008.

[2]William Stallings.Cryptography and Network Security Principles and Practices,Fourth Edition[M].New Jersey:Prentice Hall.2010.

[3]William Stallings.Network Security Essentials:Applications and Standards (4th Edition) [M].Beijing：Tsinghua University Press.2010.

[4]徐恪,吳建平,徐明偉編著.高等計(jì)算機(jī)網(wǎng)絡(luò)——體系結(jié)構(gòu)、協(xié)議機(jī)制、算法設(shè)計(jì)與路由器技術(shù)[M].北京:機(jī)械工業(yè)出版社.2005.

[5]伍孝金主編.計(jì)算機(jī)網(wǎng)絡(luò)[M].清華大學(xué)出版社.2007.

[6]賀思德,申浩如主編.計(jì)算機(jī)網(wǎng)絡(luò)安全與應(yīng)用[M].科學(xué)出版社.2007.

[7]岳建國(guó),楊清永編著.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教程[M].西安電子科技大學(xué)出版社.2007.

[8]胡道元.網(wǎng)絡(luò)安全的挑戰(zhàn)和對(duì)策[J].信息網(wǎng)絡(luò)安全.2008.

[9]李軍.未來(lái)網(wǎng)絡(luò)安全技術(shù)發(fā)展趨勢(shì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2007.

[10]鄧向林.加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策思考[J].科技資訊.2008.