（计算机系统结构专业论文）ssl+vpn网关产品的设计与实现.pdf

摘要 摘要 随着i n t e r a c t 和电子商务的蓬勃发展，商业活动范围不断扩大，企业与其分支 机构实现互联的要求越来越迫切，有时甚至需要允许合作伙伴、设备供应商等外 部机构访问自己的部分局域网资源。这种新的商业模式，为虚拟专用网络( ) n ， v m u a lp r i v a t en e t w o r k ) 技术的发展注入了强大的活力。 v p n 技术的实质是在公共网络上建立一条专用的逻辑链路，帮助远程用户、 分支机构、商业伙伴及供应商同企业内部网建立可靠的安全连接，保证数据的安 全传输，从而实现对企业内部网的扩展，它正迅速成为远程访问应用中最为普及 的一种方法。i p s e c 协议作为开放的网络层安全协议，具有安全、高效、应用透明 等优点，但其提供的安全访问控制过于单一，不能满足所有应用的需求。与i p s e c v p n 相比，价格低廉、实施简单、而又拥有良好安全访问控制机制的s s lv p n 在 远程访问v p n 领域有着不俗的表现，并且它正迅速成为远程访问应用中最为普及 的一种方法。安全套接层协议s s l 是用来保障数据安全传输的协议，目前已经成 为事实上的工业标准；两者的结合一s s lv p n ( s e c u r es o c k e tl a y e rv l r t u a lp r i v a t e n e t w o r k ) 正成为目前远程安全接入市场上的一个热点。 本人在国内著名网络安全厂商一北京天融信网络安全技术有限公司v p n 技术 部实习了一年时间，期间参与了天融信s s l v p n 网关产品的研发工作，目前该产 品已经推向了市场。本人在研发过程中主要负责访问控制( a c l ，a c c e s sc o n t r o l l i s t ) 模块的开发与维护，并部分参与了各个功能模块的开发和b u g 的修改，本 论文基于本人在天融信的产品开发过程完成，介绍了s s l v p n 网关所具有的四大 功能模块及其设计流程。 关键词：s s l v p n ，w e b 转发，文件共享，端口转发，全网接入 a b s t r a c t w i 也t h eg r e a td e v e l o p m e n to fi n t e m e ta n dd e c t r o m cb u s i n e s sa n dt h e e v e r - i n c r e a s i n gr a n g eo fc o m m e r c i a la c t i v i t i e s ，e n t e r p r i s ea n di t sb r a n c h e sa s ks t r o n g l y f o rt h er e a l i z a t i o no fi n t e r - c o n n e c t , a n de v e nf o rt h eo p e n n e s so fs o m er e s o u r c e so ni t s l a n ( l o c a la r e an e t w o r k ) t ot h ea s s o c i a t e s a n de q u i p m e n tp r o v i d e r s t h i sn e w c o m m e r c i a lm o d ei nt u r na c t i v a t e st h et e c h n i q u e so f v p n i r t u a lp r i v a t en e t w o r k ) v p ni su s e dt of o r ma ne x c l u s i v el o g i c a ll i n ko nt h ep u b l i cn e t w o r k , w h i c hh e l p s t ob u i l du par e l i a b l ea n ds e c u r ei n t e r n e tc o n n e c t i o nb e t w e e nt h ee n t e r p r i s ea n dt h e r e m o t eu s c i 苫，t h eb r a n c h e sa n dt h ee q u i p m e n tp r o v i d e r s ，f f f l s u l s t h es 以2 u l e t r a n s p o r t a t i o no fd a t a , a n d , i nt u r n , e x p a n dt h ei n t r a n e to ft h ee n t e r p r i s e a sa n e t w o r k s e c u r i t yp r o t o c o l ，i p s e ci sas a f e ，e f f i c i e n to l l e h o w e v e r , i tg i v e st i d ec o n t r o lt ot h e s e c u r ea c c e s st om e e tt h er e q u i r e m e n t so fa l lk i n d so fa p p l i c a t i o n s i nc o n t r a s t , s s l v p ni sn o ts oe x p e n s i v ea n de a s yt oi m p l e m e n t i t s s y s t e mo fc o n t r o lo v e rt h es e c u r e a c c e s si sm u c hb e t t e r , a n dm o r e o v e r , i t s p e r f o r m a n c eo nt h er e m o t ea c c e s si s e x t r a o r d i n a r y , s oi t i sb e c o m i n gt h em o s tp o p u l a rm e t h o df o rr e m o t ea c c e s s s s l ( s e c u r es o c k e tl a y e r ) i sap r o t o c o lu s e dt om a k ed a t at r a n s m i t t i n gs e c u r e ，a n dh a s a l r e a d yb e e na l li n d u s t r ys t a n d a r d ；t h ec o m b i n a t i o no fs s la n dv p n s s lv p n ( s e c u r es o c k e tl a y e rv h t u a lp f i v m en e t w o r k ) i sn o wah o tp o i n ti nr e m o t ea c c e s s m a r k e t 1w o r k e da sa ni n t e r nf o ro n ey e a ri n8 e i j i n gt o p s e cn e t w o r ks e c u r i t yt e c h n o l o g y c o ，l t d ，w h i c hi saf a m o u sn e t w o r ks e c u r i t yc o m p a n yi nc h i n a it o o kp a r ti nt h e d e v e l o p m e n to fs s l v p n g a t e w a yp r o d u c td u r i n gt h ey e a ra n dt h ep r o d u c th a sb e e ni n t h em a r k e t m yj o bi st od e v e l o pa n dm a i n t a i nt h ea c l ( a c c e s sc o n t r o ll i s t ) m o d u l e ， a n dh e l po t h e r st od e v e l o po t h e rm o d u l e sa n df i xb u g s t h ep a p e ri sb a s e do nt h ew o r k d u r i n gm y i n t e r ne x p e r i e n c ea n di n t r o d u c e st h ec r i t i c a lf u n c t i o nm o d u l e so ft h es y s t e m k e y w o r d s ：s s lv p n ，w e bf o r w a r d ，f i l es h a r e ，p o r tf o r w a r d ，n e t w o r ka c c e s s i l 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明 确的说明并表示谢意。 签名：曼逸 日期。夕年乡月日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：盟导师签名： 日期：9q 年6 月le t 第一章引言 1 1 引言 第一章引言 随着计算机及网络技术的飞速发展和i n t e m e t 的快速普及，无纸化办公模式的 推广，网上办公、电子商务的盛行，各个企业公司都希望拥有一套完整的能充分 利用i n t e m e t 的便利资源又可以保障通信的安全，即结合i n t e m e t 和传统的昂贵的 私有网络的各自优越性的安全接入方案。虚拟私有网络( ) n ) 应运而生，它是 i n t e r n e t ，i n t r a n e t 发展到一定阶段的必然产物。通过在开放的i n t e r n e t 上建立私有 的安全通道，v p n 将远程用户、分支机构、业务合作伙伴安全地连接起来。正是 由于其具有的优点，近年来v p n 已成为网络安全领域的一个热点【1 1 。 另外，由于通信技术和计算机网络技术的发展，互联网的用户数量急剧增加， 许多新的网络服务如电子商务和电子支付等已被越来越多的人采用，传统的 i n t o n e t 没有提供服务质量保证，也没有权限和安全机制。随着网络的开放性和共 享性以及互联规模的进一步扩大，加上黑客攻击的手段越来越先进，网络的安全 问题就变得越来越严重。目前世界上关于网络安全方面的事件也越来越多，如m 欺骗，中间人攻击，拒绝服务等攻击方式给人们造成了巨大的经济损失。鉴于此， 网络安全领域己经是计算机网络领域研究和发展的一个重要方向。 同时，经济的繁荣又将世界各个国家紧密联系在一起，企业员工经常出差在 外。随之而来的一个需求就是：员工希望在世界各地都能够安全方便地访问公司 的内部网络，或者远程登录到内部网络的机器，获取一些重要的资料和数据，就 像处在公司内部办公一样。于是越来越多的企业在寻求一种灵活安全的广域通信 方式。v p n ( v i r t u a lp r i v a t en e t w o r k ，虚拟专用网) 技术则为企业和员工达到这个 目的提供了一条途径【z j 。 1 2v p n 简介 虚拟专用网络( v p n ，v i r t u a lp r i v a t en e t w o r k ) 可以实现不同网络的组件和资 源之间的相互连接。虚拟专用网络能够利用i n t e m e t 或其它公共互联网络的基础设 施为用户创建条安全隧道，并能够提供与专用网络一样的安全和功能保障。很 电子科技大学硕士学位论文 多企业为了保护自己的系统和资源安全，一些资源( 比如e r p 等) 都只允许内部 访问，但这样显然会为在外的办公人员带来很大的不便。虚拟专用网络允许远程 通讯方，比如销售人员或企业分支机构使用h t e m e t 等公共互联网络的路由基础设 施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用 户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对 点连接来进行数据的传输。虚拟专用网络技术同样支持企业通过i n t e m e t 等公共互 联网络与分支机构或其他的公司建立连接，进行安全的通讯。这种跨越i n t e m e t 建 立的v p n 连接逻辑上等同于两地之间使用广域网建立的连接。虽然v p n 通讯建 立在公共互联网络的基础上，但是用户在使用v p n 的时候感觉如同在使用专用网 络进行通讯，所以叫作虚拟专用网络。 使用v p n 技术可以解决在当今企业全球运作广泛分布，远程通讯量日益增大 的情况下，员工需要访问中央或总部的内部资源，企业和企业之间必须进行及时 和有效的通讯的问题。 如果希望企业员工无论身处何地都能够与企业计算资源建立安全连接，企业 必须采用一个可靠性高、扩展性强、安全有保障的远程访问解决方案。通常情况 下，企业有如下选择： 1 管理信息系统( m i s ) 部门驱动方案。建立一个内部的m i s 部门专门负责 购买，安装和维护企业m o d e m 池和专用网络基础设施。 2 网络( 蝌) 方案。企业雇佣一个外部公司负责购买，安装和维护m o d e m 池和远程通讯网络基础设施。 从费用、可靠性、管理和便于连接等几方面来看，这两种方案都不能够最大 程度地满足企业对网络安全性或扩展性等的要求。因此，选择一种基于i n t e m e t 技 术的廉价方案来取代企业花费在专用网络和m o d e m 池等基础设施上的投资就显得 极为重要。 虚拟专用i 网( v p n ) 主要有以下用途： 1 、通过i n t e m e t 实现远程用户访问 虚拟专用网络，支持以安全的方式通过公共互联网络远程访问企业内部资源。 与使用专线拨打长途或( 1 - 8 0 0 ) 电话连接企业的网络接入服务器( n a s ) 不同， 虚拟专用网络用户首先拨通本地i s p 的n a s ，然后v p n 软件利用与本地i s p 建立 的连接在拨号用户和企业v p n 服务器之白j 创建一个跨越i n t e m e t 或其它公共互联 网络的虚拟专用网络。 2 、通过i n t e m e t 实现网络互连 2 第一章引言 可以采用以下两种方式来使用v p n 连接远程局域网络。 ( 1 ) 使用专线连接分支机构和企业局域网。 不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用 各自本地的专用线路通过本地的i s p 连通i n t e r n e t 。v p n 软件使用与当本地i s p 建 立的连接和i n t e r n e t 网络在分支机构和企业端路由器之间创建一个虚拟专用网络。 ( 2 ) 使用拨号线路连接分支机构和企业局域网。 不同于传统的使用连接分支机构路由器的专线拨打长途或( 1 - 8 0 0 ) 电话连接 企业n a s 的方式，分支机构端的路由器可以通过拨号方式连接本地i s p 。v p n 软 件使用与本地i s p 建立起的连接在分支机构和企业端路由器之间创建一个跨越 i n t e r n e t 的虚拟专用网络。 应当注意在以上的两种方式中，是通过使用本地设备在分支机构和企业部门 与i n t e m e t 之间来建立连接。无论是在客户端还是服务器端都是通过拨打本地接入 电话建立连接，因此v p n 可以大大地节省连接所需要的费用。 3 、连接企业内部网络计算机 在企业的内部网络中，考虑到一些部门可能存储有重要的数据，为确保数据 的安全性，传统的方式只能是把这些部门同整个企业网络断开而形成孤立的小网 络。这样的做法虽然保护了部门的重要信息，但是由于物理上的中断，使得其他 部门的用户无法使用，因此造成了通讯上的困难。 采用v p n 方案，通过使用一台v p n 服务器既能够实现与整个企业网络的连 接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但 是并不能对流向敏感网络的数据进行限制。企业网络管理人员通过使用v p n 服务 器，指定只有符合特定身份要求的用户才能连接v p n 服务器获得访问敏感信息的 权利。此外，可以对所有v p n 数据进行加密，从而确保数据的安全性。没有访问 权利的用户无法看到部门的局域网络。 1 3s s kv p n 简介 s s lv p n 是解决远程用户访问敏感公司数据最简单最安全的解决技术【1 1 。与 复杂的i p s e cv p n 相比，s s l 通过简单易用的方法实现信息远程连通。当前的主 流浏览器，比如i e ，f i r e f o x 等都可以无缝地支持s s l 和t l s 。任何安装浏览器的 机器都可以使用s s lv p n ，这是因为s s l 内嵌在浏览器中，它不需要象传统i p s e c v p n 一样必须为每一台客户机安装客户端软件。 电子科技大学硕士学位论文 从概念角度来说s s lv p n 即指：采用s s l ( s e c u r i t ys o c k e tl a y e r ) 协议来实 现远程接入的一种新型v p n 技术。s s l 协议是网景( n e t s c a p e ) 公司提出的基于 w e b 应用的安全协议。它包括服务器认证、可选的客户认证、保证s s l 链路上的 数据完整性和保证s s l 链路上的数据保密性。对于内外部应用来说，使用s s l 可 保证信息的真实性、完整性和保密性。目前s s l 协议被广泛应用于各种浏览器应 用，也可以应用于o u t l o o k 等使用t c p 协议传输数据的c s 应用。正因为s s l 协 议被内置于等浏览器中，使用s s l 协议进行认证和数据加密的s s lv p n 就可 以免于安装客户端。相对于传统的i p s e cv p n 而言，s s l v p n 具有部署简单、无 客户端、维护成本低、网络适应强等特点。这两种类型的v p n 之间的差别就类似 c s 构架和b s 构架的区别。 随着技术的进步和客户需求的进一步成熟的推动，当前主流市场的s s lv p n 和几年前面市的仅支持w e b 访问的s s l v p n 已经发生很大的变化。主要表现在： l 、对网络的支持更加广泛 早期的s s l v p n 还无法支持服务器和客户端间的双向访问以及u d p 应用；更 不支持给移动接入用户分配虚拟p ，从而实现按p 区分的安全审计功能。但现在 大多数优秀的s s lv p n 都能通过用户可选的客户端插件形式为终端用户分配虚 拟口，并通过s s l 隧道建立三层( l e v e l3 ，网络层) 隧道，实现与传统i p s e cv p n 客户端几乎一样强大的终端网络功能。 2 、对应用的支持更广泛 早期的s s l v p n 仅仅支持基于w e b 的应用。目前，几乎所有的s s l v p n 系 统都可以支持使用插件的形式，通常采用a c t i v e x 或者j a v aa p p l e t 技术，将程序 以控件的形式存在于浏览器中，它们能够将t c p 应用的数据重定向到s s l 隧道中， 从而支持绝大部分基于t c p 的应用。s s l v p n 可以通过判断来自不同平台请求， 从而自动安装不同的插件。 3 、对客户端的安全性检测功能更为强大 原来的s s l v p n 设计初衷是只要有浏览器就能接入，但随着间谍软件和钓鱼 软件的威胁加大，在不安全的终端上接入内部网络，将可能造成重要信息从终端 泄漏。因此很多s s l v p n 加入了客户端安全检查的功能：通过插件对终端操作系 统版本，终端安全软件的部署情况( 比如杀毒软件、系统补丁等) 进行检查，来 判断其接入的情况，并可以设置该用户的权限及是否允许访问，因此客户端安全 方面的保证比以前强大很多。 s s l v p n 采用标准的安全套接层( s s l ) 对传输中的数据包进行加密，从而在 4 第一章引言 应用层保护了数据的安全性。s s lv p n 克服了i p s c cv p n 的不足，用户可以轻松 实现安全易用、无需安装客户端并且配置简单的远程访问，从而降低用户的总成 本并增加远程用户的工作效率。而同样在这些地方，设置传统的i p s e cv p n 非常 困难，甚至是不可能的，这是由于必须更改网络地址转换( n a t ) 和防火墙设置。 i p s e c 的v p n 处在网络第三层，它只是打开了从分支到总部的通路，对于里 面数据的安全性能没有办法保证。i p s e cv p n 最大的缺点在于客户端需要安装复杂 的软件，而且当用户的v p n 策略稍微有所改变时，v p n 的管理难度将呈几何级数 增长。 s s lv p n 则正好相反，客户端不需要安装任何软件或硬件，使用标准的浏览 器，就可通过简单的s s l 安全加密协议，安全地访问网络中的信息。s s l v p n 是 基于应用层的v p n ，这就意味着在安全性上已经不仅局限在可以让数据安全过来， 而且还关注过来的数据究竟是什么内容。 可以从以下几个方面考虑二者的区别吼 1 适用v p n 组网结构 i p s e c v p n 适用s i t e t os i t e 组网t 这是由于i p s e c v p n 采用隧道技术，部署时 一般采用两端部署v p n 网关方式。例如当v p n 的总部和分支机构有很多i t 设备 时，采用i p s c c 组网方式比较灵活，支持应用广泛。 s s l v p n 适用c l i e n t t os i t e 组网：当客户端为p c 终端设备时，采用此方式。 当分支机构为少量终端，或者v p n 用户为分布在广泛地域的移动用户时更显优势。 i p s e c 和s s l v p n 可以互为补充，满足企业不同的v p n 上网群体，达到更加 安全的访问组合。 2 适用应用 i p s e cv p n 适用应用广泛：由于i p s c cv p n 采用隧道技术，部署时一般采用两 端部署v p n 网关方式。当v p n 隧道建立后，各种i p 应用都可以通过v p n 隧道进 行访问，但这也会带来一定的安全问题。 s s l v p n 同样适用各种应用：由于s s l v p n 采用的是s s l p r o x y 机制，作各 种应用时要进行相对复杂的配置，对于w e b 应用最为适用，当需要支持c s 应 用时，需要采用如j a v a ，a c t i v c x 等技术。复杂的控制也带来了更高的安全性。 3 ，n 部署 i p s e cv p n 部署管理复杂：由于i p s e cv p n 需要在隧道两端部署一对v p n 网 关，或是在客户端安装专用客户端软件，部署复杂，尤其是对于大量的远端用户， 除此以外，除非已经在每一台客户使用的计算机上安装了管理软件，软件补丁的 电子科技大学硕士学位论文 发布和远程电脑的配置升级将是一件十分令人头疼的任务，v p n 的安装甚至是一 场恶梦。 s s l v p n 部署简单灵活：由于s s l v p n 是一种无客户端的方式，只需要在数 据中心部署v p n 网关，属于集中管理和集中维护模式，虽然在应用适配时复杂一 些，但大量用户的部署就要方便很多。尤其是随着用户量的增加，v p n 的部署和 管理就简单易行多了。 4 v p n 的投资 i p s e ev p n 费用昂贵：部署i p s e c 需要对基础设施进行重大改造，每一个分支 机构都需要部署v p n 网关，或是每个客户端都需要专用软件。尤其是对于分支机 构很多，而每个分支机构终端数量又比较少的情况下，部署v p n 网关的费用将急 剧上升。 s s l v p n 价格低廉：s s l v p n 部署是属于集中部署，只需要在数据中心部署 s s lv p n 网关，省去了客户端的费用和部署管理费用，从长期来看，投资将有极 大的降低。 5 v p n 的安全性 i p s e ev p n 安全缺陷：i p s e e 属于隧道机制，使远程接入的安全风险增加；由 于i p s e ev p n 在连接的两端创建隧道，提供直接( 而非代理) 访问，并对全部网 络可视，因此i p s e ev p n 会增加安全风险。一旦隧道建立，就像用户的p c 机在公 司局域网内部一样，用户能够直接访问公司全部的应用，由此会大大增加风险。 用户使用个人计算机在家里或者通过无线局域网工作还面临着黑客的威胁，这些 客户端的安全会严重威胁企业数据中心的安全。 s s l v p n 控制完善：s s l v p n 是基于应用的v p n ，可以针对应用和用户或组 等客户信息进行细粒度的访问控制，达到更加安全的保护效果，充分保障企业数 据中心的安全。 6 网络的接入范围 i p s e cv p n 接入范围很狭窄：i p s e cv p n 只能在部署了i p s e c v p n 网关的地方 适用，或者客户端安装专用软件后才能使用，这对于合作伙伴或商业客户来讲很 难说服他们安装自己的软件。对于在网吧或出差等用户来讲就更不可能。 s s lv p n 接入范围则比较广泛：s s lv p n 将远程安全接入延伸到i p s e cv p n 扩展不到的地方，使更多的员工能够在更多的地方使用更多的设备，以此来安全 访问企业网络资源，同时降低了部署和支持费用。s s lv p n 正在成为远程接入的 事实标准。 6 第一章引言 7 适用的组网结构 i p s e cv p n 组网不灵活：i p s e cv p n 的连接性会受到防火墙、网络地址转换 ( n a t ) 的影响，或受网关代理设备( p r o x y ) 的影响：因为客户端的上网方式多 种多样，很多公司是通过p r o x y 或n a t 上网的，i p s e c 对于这些方式上网的用户支 持很差。 s s l v p n 组网方式灵活：s s l v p n 是在t c p 之上，无论对于防火墙、还是用 户通过n a t 设备、p r o x y 等上网方式都能够很好的适应。 8 访问控制 i p s e cv p n 在访问控制不够灵活：i p s c cv p n 采用隧道机制，一旦隧道建立， 客户端即可访问各种应用，很难建立基于应用的访问控制机制。 s s l v p n 访问控制灵活：s s l v p n 是在t c p 之上，s s l v p n 更容易提供细粒 度远程访问( 即可以对用户的权限和可以访问的资源、服务、文件进行更加细致 的控制，这是i p s c cv p n 难以做到的) 。 9 客户端的安全控制 i p s c cv p n 控制缺失：i p s o c v p n 采用隧道机制，没有对客户端的安全检测和 控制机制，建立i p s e cv p n ，单单有客户端软件是很不够的。如果没有防火墙和其 他的安全软件，客户端机器非常容易成为黑客攻击的目标。这些客户端很容易被 黑客利用，他们会通过v p n 访问企业内部系统。这种黑客行为越来越普遍，而且 后果也越来越严重。例如，如果雇员从家里的计算机通过公司v p n 访问企业资源， 在他创建隧道前后，他十几岁的孩子在这台电脑上下载了一个感染了病毒的游戏， 那么，病毒就很有可能经过v p n 在企业局域网内传播。 综上所述，s s lv p n 在很多方面具有i p s e cv p n 无可比拟的优势，因而现在 被越来越多地加以应用。但是i p s e cv p n 提供完整的网络层连接功能，因而是实 现多专用网安全连接的最佳选项。它们二者的关系不是谁取代谁的问题，因为业 界普遍认为，二者将会在很长一段时间内共存，因为整个v p n 市场会越来越大， 两种技术可以支持不同的应用场合。现在很多安全厂商已经推出了i p s e cv p n 和 s s l v p n 二合一的网关产品，为用户的使用提供了更大的方便。 s s lv p n 的“零客户端 架构特别适合于远程用户连接，使得用户可以实 现“随时随地地进行远程访问，j 下是这一i p s e c v p n 无法做到的优势，使得s s l v p n 市场最近几年得到了迅猛的发展。 7 电子科技大学硕士学位论文 1 4 国内外s s lv p n 的研究现状 作为s s lv p n 基础的s s l 协议，自从被n e t s c a p e ( 网景) 公司提出来保护 w e b 通信协议h t t p 之后，广泛地得到了安全厂商的支持。主要的浏览器厂商都 在其产品中加入了对s s l 协议的支持。i e t f 基于s s l 3 0 协议发布了t l s l 0 ，即 传输层安全协议草案，目前已有不少文章提出了很多方法对其进行了分析，比如 形式化分析，包括b a n 逻辑 3 1 、k a i l a r 逻辑等。国内也有学者从访问控制、一次 一密和双证书等方面对t l s 进行安全性分析，并根据分析，对t l s 进行适当的改 进，使其更加安全、实用。由于s s l 协议本身并没有对传输数据的压缩作出规范， 所以现在有一些研究单位在这个方面提出了一些方案，它们很好地增强了对于在 低速链路上的s s l 传输。 对于有关s s l 的攻击问题研究，主要集中在“中间人攻击一技术上。研究发 现，对于客户端的证书的有效管理是防止这个问题发生的根本【lo 】。加密是需要耗 费大量的资源的行为，因此，对于处于网络集中点的服务器来说如何减轻资源的 耗费就显得尤其重要，人们提出了用硬件加速( 比如加密卡等) 来处理这个问题， 并取得了一定的效果。 s s l v p n 由于在基于w e b 中的应用的方便性，有学者对其在移动技术中的应 用作了一定的研究。目前有很多厂商的s s l v p n 产品已经支持移动客户端。在最 近i n f o n e t i e s 的一份调查报告中，他们指出：“移动用户以后会大量地使用使用s s l v p n ，因为它可以避免客户端安装和管理所带来的麻烦。同时，该公司估计基于 s s l 的远程访问市场规模会以较快地速度扩展。 由于s s lv p n 在v p n 技术方面的独到优势以及对市场前景的看好，国外很多 大的网络安全厂商开始着手研发s s lv p n 安全产品。j u n i p e r ，c i s c o 和n o k i a 等 大的网络公司也宣布推出了s s l v p n 产品。美国公司a r r a y n e t w o r k s 的s s l v p n 产品以其强大的性能和完善的功能牢牢占据着s s l v p n 市场领头羊的位置，并且 在中国市场已经连续几年成为最大的s s l v p n 产品供应商。 与i p s e e v p n 比较起来，s s l v p n 在国内还只算是刚刚起步，但是已经展现出 了强劲的发展劲头。许多国内的著名安生厂商都已经推出了自己的s s l v p n 产品， 比如深信服，天融信，网御神州，绿盟科技等。随着移动用户的大规模发展以及 电子商务的规模化应用，基于s s l 的v p n 市场将获得更大的发展。 第一章引言 1 5 本文主要研究内容及目标 本文是基于北京天融信网络安全技术有限公司的s s lv p n 网关产品的开发过 程而完成，主要阐述了一个基本的s s l v p n 系统所具备的主要的功能及其基本实 现。该项目在天融信自主研发的操作系统t o s ( t o p s e eo p e r a t i n gs y s t e m ) 运行，目 前已成为功能齐备、简单易用的网关产品并推向了市场。 本文的目的在于从宏观上描述和介绍s s lv p n 系统的实现，也作为作者自己 实习经历的总结，为自己以后在信息安全的发展奠定基础。 1 6 本文结构 本文的目的在于阐述一个s s lv p n 系统所具有的典型功能的原理与设计，具 体章节安排如下： 第一章首先介绍了v p n 的基本知识和基本概念，并将s s l v p n 与另一种典型 的v p n 实现方式i p s e ev p n 进行了对比，以说明为什么s s lv p n 能够发展得 到如此迅猛的发展；本章最后阐述了本文的结构。 第二章对s s l 协议本身做了介绍和分析，对该协议的组成和工作原理进行了 比较全面地阐述，正是这种安全协议的应用，才造就了s s l v p n 产品的实现。 第三章介绍了s s l v p n 网关产品中四大关键功能模块( w e b 转发，文件共享， 端口转发，全网接入) ，并阐述了它们的基本设计与实现流程，这四大功能模块面 向不同的应用场合，用户可以根据不同的需求选择最方便的功能，这些功能模块 构成了s s l v p n 产品的功能体系，它们使得用户可以方便地通过该网关实现对内 网资源的安全访问。同时介绍了与四大功能模块相关的访问控制列表( a c l ，a c c e s s c o n t r o ll i s t ) 的实现，它提供了对四大模块使用时的授权控制。 第四章介绍了对系统的功能和性能进行测试，对实现的s s lv p n 系统的功能 和性能进行分析和评价。 第五章中对本文进行总结，并对以后的相关工作与s s l v p n 的发展进行了展 望。 9 电子科技大学硕士学位论文 第二章s s l 协议分析 s s l v p n 系统是采用s s l 协议进行加密和认证的v p n 设施，s s l 是其灵魂和 基础，在设计s s l v p n 之前必须要先对s s l 协议本身有所理解，要对基本的原理 和结构有所认识。 2 1s s l 协议概述 安全套接层( s e c u r es o c k e tl a y e r , s s l ) 协议是n e t s c a p e 公司于1 9 9 4 年提出 的一个网络安全通信协议，是一种能够在两台机器之间提供安全通道的协议。它 具有保护传输数据以及识别通信机器的功能。s s l 最初是通过加密h t r p 连接为 w e b 浏览器提供安全而引入的，现在己成为通用i n t c r n e t 服务的安全工具，目前己 被工业界认可，成为i e t f 的r f c 草案，在电子邮件、n e t s c a p en a v i g a t o r 和i e 等 网络浏览器、o r a c l ea p p l i c a t i o ns e r v e r 等服务器上已广泛应用。 s s l v l ( 1 9 9 4 ) 未发布 p c - - r ( 1 9 9 5 ) 只进行认证的模式 再握手证书链 s t l p ( 1 9 9 6 ) 共事密 钥认证数据及一些 性能上的优化 s s l v 2 ( 1 9 9 4 ) 第了 s s l v 3 ( 1 9 9 5 ) 只进行认证的模式 d h _ d s s 关闭握手 醐钰r t l s ( 1 9 9 7 t 9 9 9 ) i e t f 必须支持d h d s s 额 的m a c 算法，新的密 钥扩展 w t l s 0 9 9 8 ) w a p 论坛 对无线协议的支持 图3 - 1s s l 发展历程 l o 第二章s s l 协议分析 图2 1 描述了s s l 发展过程，从图中可以看出，最早的版本为s s l v 2 ，而最 新的版本是w t l s 。s s l v 2 规范是在1 9 9 4 年1 1 月被首次公开发表，1 9 9 5 年3 月， n e t s c a p en a v i g a t o r1 1 就对其进行了部署。 s s l 能够在t c p 上提供一种通用的通道安全机制，任何可以在t c p 上承载的 协议都能够使用s s l 加以保护。在t c p i p 四层协议族中，s s l 协议位于传输层与 应用层之间，基于可靠传输协议t c p ，服务于各种应用层协议，如h t t p 、t e l n e t 、 p o p 等，它们在s s l 协议上运行分别被称作h t t p s 、t e l n e t s 、p o p s 协议等， 分别对应的端口号为4 4 3 、9 9 2 、9 9 5 等。当然，s s l 协议最广泛的用途是为h t t p 提供安全保障，这也是它诞生的最初目的。s s l 协议在t c p i p 协议栈中的位置如 图2 2 所示： i 忡i i 8 8 l l i t c p l i l p i 图3 - 2s s l 在协议栈中的位置 2 2s s l _ 协议体系结构 s s l s s l 修改 s s l翻1 1 p 、1 1 p ，t l 亚n e t 握手协议密文协议告警协议 笛应用协议 s s l 记录讲议 抑 m 图3 - 3s s l 协议结构 s s l 协议的结构如图2 3 所示。 s s l 协议在结构上分为两个层次：底层为记录层协议( r e c o r dp r o t o c 0 1 ) ，负 责封装高层协议( 包括握手协议) 的数据，保证s s l 连接的数据保密性和完整性： 电子科技大学硕士学位论文 高层为握手层协议，由四个并行的协议构成：握手协议( h a n d s h a k ep r o t o c 0 1 ) 、修 改密码参数协议( c h a n g ec i p h e rs p e ep r o t o c 0 1 ) 、报警协议( a l e r tp r o t o c 0 1 ) 、应用 数据协议( a p p l i c a t i o nd a t ap r o t o c 0 1 ) ，高层协议需要记录层协议支持，其中握手协 议与其他的高层协议不同，主要负责在交换应用层数据之前进行协商加密算法与 密钥，其他高层协议属于应用开发的范畴，而要得到握手协议的支持，而握手协 议则是s s l 底层实现必须具有的功能，因为记录层协议的完成也由它来作保证瞵j 。 2 2 1 记录协议 记录层用来处理由高层获得的数据，主要是握手消息，报警消息，改变密钥 参数消息和应用数据消息，所有这些要传输的数据都被封装在记录中，记录由记 录头和长度不为零的记录数据组成的。记录层首先将这些任意长度的数据进行分 块，每块的最大长度为2 1 4 字节。每个数据块结构中都包含着数据类型，协议版 本信息以及要传输的数据等，然后对每个数据块进行压缩，压缩后的数据按照握 手过程中协商的散列算法计算m a c ，压缩后的数据连同m a c 一起，用握手过程 中协商的加密算法进行加密，被发送给接收方。接收方的记录层收到数据后，会 首先解密，然后根据m a c 对数据进行验证，再经过解压后合并。针对不同的数据 类型分别交给握手层的不同部分进行处理。当使用快加密算法时，如果数据的长 度不是块长度的整数倍，需要对数据进行填充，此时记录的数据部分将包含三部 分：消息验证码m a c ，实际数据和填充数据。 记录层协议工作的流程如图2 4 所示。 应用数据 分片 压缩 增加心 加密 增加s s l 记录首部 图3 - 4s s l 记录协议操作流程 1 2 第二章s s l 协议分析 详细的步骤描述如下： ( 1 ) 将上层数据分成适当大小的数据块。每个数据块的大小不得超过2 1 4 字 节。 ( 2 ) 对数据块进行压缩，压缩不能丢失信息，并且增加的长度不能超过1 0 2 4 字节。 ( 3 ) 在压缩后的数据上计算消息认证码m a c 。此时需要使用双方共享的密 钥。 ( 4 ) 使用同步加密算法对压缩的报文加上m a c 后进行加密。加密对内容长 度的增长不得超过1 0 2 4 字节，因此总的长度不得超过2 2 6 2 ( 2 1 4 + 2 0 4 8 ) 字节。 ( 5 ) 对于流加密，压缩报文和m a c 一起被加密；对于分组加密，在m a c 之后，加密之前可以增加填充( p a d d i n g ) 。填充由表示填充长度的字节跟着一定数 目的填充字节组成，填充字节的数目是使得要加密的数据( 明文加上m a c ，再加 上填充) 的总长度成为加密分组长度整数倍的最小数目。例如，一个5 8 字节的明 文( 如果使用压缩，就是压缩正文) ，带有2 0 字节的m a c ，使用分组长度为8 字 节的算法进行加密( 如d e s ) 。加上填充长度字节，产生的总长度为7 9 字节。为 了使得总长度为8 的整数倍，需要增加一个字节的填充。 ( 6 ) s s l 记录协议处理的最后一个步骤是附加一个首部，该首部由以下字段 组成： a ) 内容类型( 8 比特) ：用来处理这个包装的数据块的更高层协议。 b ) 主要版本( 8 比特) ：指示使用s s l 的主要版本。对于s s l v 3 ，字段值为3 。 c ) 次要版本( 8 比特) ：指示使用的次要版本。对于s s l v 3 ，字段值为0 ，对 于t l s v l ，字段值为1 。 d ) 压缩长度( 1 6 比特) ：明文数据块以字节为单位的长度( 如果使用压缩就 是压缩数据块) 。最大值为2 1 4 + 2 0 4 8 。 对于接收方的记录层，其工作步骤是：取i = 1 ，2 ，k ，依次执行如下的步 骤： ( 1 ) 接收发送方发送的数据r i ； ( 2 ) 去掉鼬的记录头，从中得到加密后的数据部分e i ； ( 3