陳釗正，何耀忠

(江西省高速公路聯(lián)網(wǎng)管理中心， 南昌 330003)

?

基于SSL VPN的江西省高速公路互聯(lián)網(wǎng)服務(wù)研究

陳釗正，何耀忠

(江西省高速公路聯(lián)網(wǎng)管理中心， 南昌 330003)

高速公路互聯(lián)網(wǎng)服務(wù)是當(dāng)前技術(shù)發(fā)展和用戶需求的重點(diǎn)發(fā)展方向，而互聯(lián)網(wǎng)進(jìn)入傳統(tǒng)行業(yè)的風(fēng)險(xiǎn)也是目前需要重點(diǎn)探討和防范的主要問(wèn)題。依托江西省高速公路信息化建設(shè)，針對(duì)高速公路互聯(lián)網(wǎng)服務(wù)的安全性進(jìn)行研究，提出將SSL+證書(shū)模式作為互聯(lián)網(wǎng)接入高速公路專網(wǎng)的安全保證。該模式不僅為互聯(lián)網(wǎng)服務(wù)提供準(zhǔn)入門檻和信息加密，同時(shí)還可保障系統(tǒng)的信息安全、用戶的身份確認(rèn)、各類信息的防篡改和防泄密。

高速公路；互聯(lián)網(wǎng)；服務(wù)；SSL；信息安全

目前，隨著全國(guó)14個(gè)省市ETC聯(lián)網(wǎng)，與全國(guó)高速公路聯(lián)網(wǎng)服務(wù)、聯(lián)網(wǎng)管理相關(guān)的各類需求愈加強(qiáng)烈，而“互聯(lián)網(wǎng)+”“物聯(lián)網(wǎng)”這類跨平臺(tái)、跨領(lǐng)域的技術(shù)融合和經(jīng)濟(jì)合作模式也得到進(jìn)一步的探索和研究[1]，將互聯(lián)網(wǎng)的平臺(tái)、技術(shù)和思維融入傳統(tǒng)高速公路運(yùn)營(yíng)和管理中也符合上述需求和發(fā)展。高速公路行業(yè)與其他行業(yè)一樣，在將業(yè)務(wù)開(kāi)放到互聯(lián)網(wǎng)上時(shí)，必然涉及到數(shù)據(jù)、資金等方面的安全問(wèn)題[2]。為此，本文基于高速公路安全方面的需求，研究了基于SSL VPN(基于安全套接層協(xié)議的遠(yuǎn)程安全訪問(wèn)虛擬專網(wǎng)通道技術(shù))的江西省高速公路互聯(lián)網(wǎng)服務(wù)，并對(duì)高速公路互聯(lián)網(wǎng)服務(wù)進(jìn)行了相關(guān)探索和研究。

1 相關(guān)問(wèn)題

高速公路聯(lián)網(wǎng)管理、服務(wù)是一個(gè)集信息查詢、信息反饋、服務(wù)和決策管理于一體的綜合管理服務(wù)平臺(tái)[3]。該平臺(tái)部署于Internet上，在享受互聯(lián)網(wǎng)自由開(kāi)放的同時(shí)必然也面臨著其帶來(lái)的相關(guān)問(wèn)題和風(fēng)險(xiǎn)[4]。特別是涉及ETC相關(guān)服務(wù)時(shí)，該平臺(tái)作為龐大高速公路通行費(fèi)的載體，是非法入侵、惡意行為的重點(diǎn)攻擊目標(biāo)[5]，所以必須針對(duì)相關(guān)問(wèn)題進(jìn)行重點(diǎn)分析和研究。目前高速公路服務(wù)存在如下問(wèn)題：

1) 身份認(rèn)證。由于非法用戶可以偽造、假冒業(yè)務(wù)用戶的身份，導(dǎo)致登錄到ETC云平臺(tái)應(yīng)用系統(tǒng)的用戶無(wú)法知道其所登錄的是不是可信的應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)也無(wú)法驗(yàn)證登錄用戶是不是經(jīng)過(guò)認(rèn)證的合法用戶，而非法用戶可以借機(jī)進(jìn)行破壞?！坝脩裘?口令”的傳統(tǒng)認(rèn)證方式安全性較弱，用戶口令易被竊取而導(dǎo)致?lián)p失。

2) 信息的機(jī)密性。傳輸于客戶端與應(yīng)用系統(tǒng)服務(wù)器之間的敏感信息和交易數(shù)據(jù)，如用戶帳號(hào)、密碼等，有可能在傳輸過(guò)程中被非法用戶截取。

3) 信息的完整性。敏感信息和交易數(shù)據(jù)在傳輸過(guò)程中有可能被惡意篡改。

4) 信息的不可抵賴性。網(wǎng)上在線交易行為一旦被進(jìn)行交易的一方所否認(rèn)，則另一方就沒(méi)有已簽名的記錄來(lái)作為仲裁依據(jù)。

2 總體架構(gòu)

本文結(jié)合江西省高速公路服務(wù)的具體需求，提出了在江西省高速公路雙活數(shù)據(jù)中心的基礎(chǔ)上，采用基于SSL VPN的SSL安全通道和數(shù)字簽名作為系統(tǒng)的安全接入模式[6]，如圖1所示。在現(xiàn)有雙活數(shù)據(jù)中心的基礎(chǔ)上，構(gòu)建雙活數(shù)據(jù)中心DMZ區(qū)域，采用SSL VPN技術(shù)，對(duì)敏感數(shù)據(jù)、特別是ETC充值、查詢、寫卡業(yè)務(wù)流進(jìn)行數(shù)據(jù)加密和安全傳輸，并利用數(shù)字簽名實(shí)現(xiàn)交互過(guò)程的不可抵賴性、不可修改性，且兼顧實(shí)現(xiàn)相關(guān)服務(wù)的優(yōu)化和SSL卸載，提升總體處理性能。

圖1 基于SSL VPN的江西省高速公路雙活數(shù)據(jù)中心總體架構(gòu)示意

SSL VPN安全模式針對(duì)非關(guān)鍵業(yè)務(wù)，如網(wǎng)絡(luò)用戶注冊(cè)、接入、客戶端下載、服務(wù)認(rèn)證等，租用安全、可靠、成熟的商業(yè)云模式，并與DMZ區(qū)域之間采用專線連接。該安全模式規(guī)范非關(guān)鍵服務(wù)與高速公路DMZ區(qū)域之間的通信內(nèi)容、數(shù)據(jù)格式，將最易遭到攻擊的部分置于可靠性和安全性較好的商業(yè)互聯(lián)網(wǎng)區(qū)，并將高危、敏感數(shù)據(jù)及服務(wù)置于DMZ區(qū)域和生產(chǎn)區(qū)域，通過(guò)規(guī)范標(biāo)準(zhǔn)化的安全通道和操作才能讀取和修改相關(guān)數(shù)據(jù)和服務(wù)參數(shù)[7]。因此，該模式在物理上實(shí)現(xiàn)了數(shù)據(jù)和業(yè)務(wù)的最大分離，較大程度地保證了數(shù)據(jù)和服務(wù)的獨(dú)立性和安全性。

3 安全模式

SSL VPN安全模式構(gòu)建基于SSL VPN的CA(數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)))認(rèn)證源，為用戶發(fā)放數(shù)字證書(shū)，提供證書(shū)管理(下載、更新、作廢等)服務(wù)。在傳統(tǒng)“用戶名+密碼”的基礎(chǔ)上，該模式構(gòu)建了基于數(shù)字證書(shū)的雙因子認(rèn)證，且結(jié)合客戶端業(yè)務(wù)和關(guān)鍵業(yè)務(wù)服務(wù)器，為用戶提供數(shù)字簽名服務(wù)[8]，具體步驟如下。

3.1 用戶申請(qǐng)證書(shū)

嚴(yán)格規(guī)范數(shù)字證書(shū)生成材料，將ETC用戶卡卡號(hào)、車牌號(hào)、行駛證號(hào)、手機(jī)硬件號(hào)、手機(jī)號(hào)作為CA證書(shū)申請(qǐng)材料，實(shí)現(xiàn)ETC與用戶、車輛的唯一性綁定。在完成唯一性判定后，交由CA認(rèn)證源進(jìn)行證書(shū)生成，并采用短信驗(yàn)證碼再次確認(rèn)，實(shí)現(xiàn)對(duì)證書(shū)申請(qǐng)人的2次確認(rèn)并防止惡意申請(qǐng)。江西省高速公路用戶向SSL VPN發(fā)起用戶證書(shū)申請(qǐng)過(guò)程如圖2所示。從圖2可以看出，在證書(shū)申請(qǐng)過(guò)程中，需對(duì)申請(qǐng)信息進(jìn)行提交、獲取、驗(yàn)證，然后生成證書(shū)，并將生成的證書(shū)下發(fā)給用戶等6個(gè)步驟。用戶證書(shū)格式見(jiàn)表1。

表1 用戶證書(shū)格式

圖2 用戶證書(shū)申請(qǐng)過(guò)程

3.2 安全通道建立與業(yè)務(wù)安全

當(dāng)互聯(lián)網(wǎng)服務(wù)發(fā)生數(shù)據(jù)交互時(shí)，系統(tǒng)自動(dòng)觸發(fā)基于SSL VPN的安全模式，為數(shù)據(jù)交互提供認(rèn)證、數(shù)據(jù)加密功能。安全通道建立過(guò)程如圖3所示。從圖3可以看出，客戶端通過(guò)SSL VPN與DMZ區(qū)建立SSL安全通道，該通道僅用于數(shù)據(jù)查詢和非關(guān)鍵數(shù)據(jù)交互。

圖3 SSL安全通道建立示意

如圖4所示，當(dāng)ETC用戶發(fā)起充值與寫卡等關(guān)鍵性服務(wù)請(qǐng)求時(shí)，客戶端會(huì)通過(guò)SSL安全通道將服務(wù)請(qǐng)求信息進(jìn)行簽名后，發(fā)送給江西省高速公路互聯(lián)網(wǎng)服務(wù)端，互聯(lián)網(wǎng)服務(wù)端將充值扣款指令通過(guò)商業(yè)云服務(wù)發(fā)送給支付平臺(tái)以便對(duì)用戶賬戶實(shí)施扣款操作。在得到支付平臺(tái)成功扣款確認(rèn)后，互聯(lián)網(wǎng)服務(wù)端通過(guò)SSL安全通道向用戶客戶端提供寫卡服務(wù)并對(duì)服務(wù)信息進(jìn)行簽名。

圖4 ETC用戶卡寫卡過(guò)程

3.3 客戶端安全檢查

客戶端安全檢查從端點(diǎn)開(kāi)始保障網(wǎng)絡(luò)安全。如圖5所示，用戶通過(guò)計(jì)算機(jī)瀏覽器或移動(dòng)終端登錄業(yè)務(wù)界面時(shí)，SSL VPN會(huì)通過(guò)客戶端安全掃描功能檢查計(jì)算機(jī)系統(tǒng)是否打了補(bǔ)丁、是否安裝有相應(yīng)殺毒程序等，以確定客戶端是否符合安全策略，保證SSL VPN接入安全，從而可避免客戶端計(jì)算機(jī)的不安全因素通過(guò)SSL VPN傳輸?shù)絻?nèi)部網(wǎng)絡(luò)而產(chǎn)生安全隱患。

圖5 SSL VPN客戶端安全檢查保證接入安全

4 應(yīng)用案例

基于SSL VPN的安全模式可實(shí)現(xiàn)在線證書(shū)申請(qǐng)、認(rèn)證、安全通道建立、數(shù)字簽名等安全數(shù)據(jù)交互。SSL VPN與江西省高速公路互聯(lián)網(wǎng)服務(wù)進(jìn)行握手協(xié)議的數(shù)據(jù)包及交互過(guò)程如圖6所示，在SSL安全通道中的密文通信數(shù)據(jù)包如圖7所示。從圖7可以看出，網(wǎng)絡(luò)中可以獲取相關(guān)服務(wù)的數(shù)據(jù)流，但只能獲取密文，無(wú)法解析和破譯。由此可知，SSL VPN安全模式可為ETC互聯(lián)網(wǎng)服務(wù)提供安全的準(zhǔn)入和加密服務(wù)，其不僅為江西省高速公路互聯(lián)網(wǎng)服務(wù)提供了安全保障，而且還為我國(guó)高速公路系統(tǒng)網(wǎng)絡(luò)安全的探索和研究提供了示范點(diǎn)和前瞻性研究。

圖6 SSL VPN與江西省高速公路互聯(lián)網(wǎng)服務(wù)握手過(guò)程

圖7 相關(guān)服務(wù)密文流

5 結(jié)束語(yǔ)

基于SSL VPN的江西省高速公路ETC互聯(lián)網(wǎng)安全模式的實(shí)際應(yīng)用表明，將高速公路相關(guān)服務(wù)部署到互聯(lián)網(wǎng)上其安全性是可以得到保證的。同時(shí)，依托于商業(yè)云和負(fù)載均衡設(shè)備可以較好地實(shí)現(xiàn)傳統(tǒng)業(yè)務(wù)系統(tǒng)性能的有效拓展，保證系統(tǒng)的易用性。另外，本文在現(xiàn)有SSL VPN基礎(chǔ)上將建立一套專有的證書(shū)發(fā)行、管理體系并將其與交通運(yùn)輸部公路科學(xué)研究院證書(shū)系統(tǒng)進(jìn)行對(duì)接，以構(gòu)建一套基于部-省2級(jí)的證書(shū)安全體系，進(jìn)一步拓展安全保障能力和性能，為高速公路出行提供更快、更好、更安全的互聯(lián)網(wǎng)服務(wù)。

[1] 王文博.基于VPN的交通觀測(cè)系統(tǒng)研究[D].西安：長(zhǎng)安大學(xué)，2009.

[2] 謝耀華，付建勝，祖 暉.云計(jì)算技術(shù)及其在交通領(lǐng)域中的應(yīng)用[J].公路交通技術(shù)，2014(6)：231-232.

[3] 李曉春.高速公路電力自動(dòng)化系統(tǒng)信息平臺(tái)的研究與應(yīng)用[J].公路交通技術(shù)，2008(11)：337-342.

[4] 周 洲，劉鴻偉，梅新明.淺析交通運(yùn)輸行業(yè)的信息安全問(wèn)題[J].公路交通科技，2012，S1(29)：17-20.

[5] 楊中岳，陳釗正，陳啟美.無(wú)線環(huán)境的OpenSSL辦公安全平臺(tái)實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2010，31(1)：22-29.

[6] 胡功宏，王小光，黃新民，等.基于行車穩(wěn)定性的高速公路自由流狀態(tài)下交通安全評(píng)價(jià)標(biāo)準(zhǔn)研究[J].公路交通技術(shù)，2007(4)：21-24.

[7] 王 春，王鳴宇，呂傲冰，等.基于iOS的交通事故預(yù)警系統(tǒng)設(shè)計(jì)與開(kāi)發(fā)[J].公路交通技術(shù)，2015(1)：77-81.

[8] 雷榮富，唐 練.交通檢測(cè)多特征量數(shù)據(jù)融合研究[J].公路交通技術(shù)，2015(1)：91-95.

Study on SSL/VPN-based Internet Service on Highways in Jiangxi Province

CHEN Zhaozheng, HE Yaozhong

Highway Internet service is the key orientation of technology development and satisfying customer demand, yet the risk of Internet in conventional industries is the major concern at present. Based on IT in highways of Jiangxi Province, this paper studies security of highway Internet service, and suggests using SSL+ License mode as security guarantee of connecting Internet into Highway Network. This model will not only set an authorization and information encryption for Internet service, but also protect system information security, user identification, all information tamper proof and anti-alternation or release proof.

highway; Internet; service; SSL; information safety

10.13607/j.cnki.gljt.2016.05.027

2016-02-29

陳釗正(1983-)，男，江西省鄱陽(yáng)縣人，博士，高工。

1009-6477(2016)05-0120-04

U412.36+6

A