畢業(yè)論文---基于pki的ssl vpn關(guān)鍵技術(shù)的研究與實現(xiàn)

1、<p>　　畢 業(yè) 設(shè) 計（ 論 文 ）</p><p>　　畢業(yè)設(shè)計（論文）任務(wù)書</p><p>　　系（教研室）主任: （簽名） 年 月 日</p><p>　　1 設(shè)計（論文）題目及專題：基于PKI的SSL VPN關(guān)鍵技術(shù)的研究與實現(xiàn)

2、 </p><p>　　2 學生設(shè)計（論文）時間：自 2009 年 12 月 11 日開始至 2010 年 6 月 8 日止</p><p>　　3 設(shè)計（論文）所用資源和參考資料：</p><p>　　Younglove R.Virtual private networks how they work.Computin

3、g&Control Engineering Journal,2005,11(5)</p><p>　　高海英等.VPN技術(shù)[M].北京:北京機械工業(yè)出版社,2004</p><p>　　Frost & Sullivan.中國SSL VPN市場調(diào)查報告[R].http://url.cn/1y2t0r,2010</p><p>　　WiFonic Tec

4、hnologies. SSL VPN Features and Benefits [R].http://url.cn/</p><p>　　3L9ftQ,2009</p><p>　　4 設(shè)計（論文）應(yīng)完成的主要內(nèi)容：</p><p>　　本文對基于PKI的SSL VPN的關(guān)鍵技術(shù)進行了研究和分析，并運用OpenSSL工具包在Linux系統(tǒng)下實現(xiàn)了SSL VPN的關(guān)

5、鍵組件，建立了基本的SSL安全隧道。最后用真實的SSL VPN設(shè)備搭建了一個SSL VPN應(yīng)用實例。</p><p>　　5 提交設(shè)計（論文）形式（設(shè)計說明與圖紙或論文等）及要求：</p><p>　　(1)畢業(yè)論文兩份，打印稿一份，電子稿一份。 </p><p>　　(2)系統(tǒng)的可執(zhí)行文件及源代碼 。

6、 </p><p>　　(3)論文講解文件（ppt）。 </p><p>　　6 發(fā)題時間： 2009 年 12 月 11 日</p><p>　　指導教

7、師： （簽名）</p><p>　　學 生： （簽名）</p><p><b>　　摘 要</b></p><p>　　當今世界網(wǎng)絡(luò)和電子商務(wù)高速發(fā)展，商業(yè)活動的范圍不斷擴大，企業(yè)與其分支機構(gòu)對互聯(lián)網(wǎng)的依賴性越來越大，企業(yè)除了滿足內(nèi)部員工遠程辦公外，還要允許合作伙伴、設(shè)備供應(yīng)商等外部機

8、構(gòu)訪問自己的部分局域網(wǎng)資源。這種新的商業(yè)需求日益增加，推動了虛擬專用網(wǎng)技術(shù)的迅猛發(fā)展。VPN技術(shù)的實質(zhì)是在公共網(wǎng)絡(luò)上建立一條專用的邏輯鏈路，幫助遠程用戶、分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同企業(yè)內(nèi)部網(wǎng)建立可靠的安全隧道。</p><p>　　相對于傳統(tǒng)的IPSec VPN，SSL VPN是一種較新的VPN技術(shù)。隨著網(wǎng)絡(luò)應(yīng)用的多樣性，企業(yè)對遠程訪問的安全需求日益增加，目前主流的IPSec VPN已經(jīng)無法滿足應(yīng)用多樣性的需求

9、。SSL VPN因其配置方便以及與操作系統(tǒng)無關(guān)、支持設(shè)備廣泛等優(yōu)勢，彌補了IPSec VPN的不足，成為VPN領(lǐng)域的一個熱門應(yīng)用。</p><p>　　本文對基于PKI的SSL VPN的概念、工作原理以及關(guān)鍵技術(shù)進行了研究，并在Linux下實現(xiàn)了SSL VPN系統(tǒng)中的關(guān)鍵組件，最后搭建出了一個典型的SSL VPN應(yīng)用實例。本文通過對主流VPN類型的性能和特點進行對比，分析了傳統(tǒng)的VPN系統(tǒng)存在的缺點和不足，指出了

10、目前SSL VPN的應(yīng)用情況。本文的重點是對基于PKI的SSL VPN關(guān)鍵技術(shù)進行了研究：如安全隧道技術(shù)、身份認證技術(shù)、訪問控制技術(shù)、SSL代理技術(shù)、應(yīng)用轉(zhuǎn)換技術(shù)等；分析了SSL協(xié)議，并用真實設(shè)備實現(xiàn)了SSL VPN通信。</p><p>　　關(guān)鍵字：SSL VPN；PKI；網(wǎng)絡(luò)安全</p><p><b>　　ABSTRACT</b></p><

11、p>　　Now, the rapid development of Internet and E-commerce, the increasing scope of business activities, enterprises and their branch of the Internet becoming increasingly dependent on large, enterprise remote offices

12、in addition to internal staff to meet outside, as well as allowing co-operation partners, equipment suppliers and other external institutions to access their part of the local area network resources. This increasing dema

13、nd for new business, virtual private network to promote the rapid d</p><p>　　Compared to traditional IPSec VPN, SSL VPN is a relatively new VPN technologies. As the diversity of network applications, corpora

14、te security requirements for remote access increasing, the current mainstream IPSec VPN application has been impossible to meet the needs of diversity. SSL VPN because of its ease of configuration and has nothing to do w

15、ith the operating system, support equipment and other advantages of a wide range, making up less than IPSec VPN, a VPN is a hot field of application. </p><p>　　This article have studied the PKI-based SSL VPN

16、's concept, working principle and key technologies, and Linux, Implementation of the SSL VPN system, a key component of a typical final build out of the SSL VPN Application. Based on the main VPN product performance

17、and characteristics of contrast, analysis of the traditional VPN system shortcomings and deficiencies, pointed out that the current application of SSL VPN. Focus of this paper is based on PKI for SSL VPN key technology r

18、esearch: such as </p><p>　　Keywords: SSL VPN; PKI; Network Security</p><p><b>　　目 錄</b></p><p>　　第一章 緒 論- 1 -</p><p>　　1.1研究背景與意義- 1 -</p>&l

19、t;p>　　1.1.1研究背景- 1 -</p><p>　　1.1.2研究意義- 1 -</p><p>　　1.2主要研究內(nèi)容- 2 -</p><p>　　1.3論文結(jié)構(gòu)安排- 3 -</p><p>　　第二章 基于PKI的SSL VPN理論基礎(chǔ)- 4 -</p><p>　　2.1S

20、SL VPN基本概念及原理- 4 -</p><p>　　2.1.1SSL VPN基本概念- 4 -</p><p>　　2.1.2SSL VPN的基本原理- 5 -</p><p>　　2.2 密碼學技術(shù)分析- 6 -</p><p>　　2.2.1 對稱密碼學分析- 6 -</p><p>　　2.2

21、.2 非對稱密碼學分析- 6 -</p><p>　　2.3 數(shù)字證書相關(guān)技術(shù)- 7 -</p><p>　　2.3.1 數(shù)字簽名技術(shù)- 7 -</p><p>　　2.3.2 公鑰技術(shù)設(shè)施PKI- 8 -</p><p>　　2.4 SSL協(xié)議分析- 8 -</p><p>　　2.5 SSL隧道建立過程

22、- 11 -</p><p>　　第三章 SSL VPN關(guān)鍵技術(shù)的研究- 12 -</p><p>　　3.1SSL VPN關(guān)鍵技術(shù)分析- 12 -</p><p>　　3.1.1安全隧道技術(shù)- 12 -</p><p>　　3.1.2SSL VPN隧道技術(shù)- 13 -</p><p>　　3.1.3

23、身份認證技術(shù)- 14 -</p><p>　　3.1.4訪問控制技術(shù)- 16 -</p><p>　　3.1.5SSL代理技術(shù)- 17 -</p><p>　　3.1.6應(yīng)用轉(zhuǎn)換代理- 18 -</p><p>　　3.1.7網(wǎng)絡(luò)層代理- 18 -</p><p>　　3.1.8端口轉(zhuǎn)發(fā)技術(shù)- 1

24、9 -</p><p>　　3.2SSL VPN與IPSec VPN的比較- 19 -</p><p>　　第四章 SSL VPN關(guān)鍵組件在Linux下的實現(xiàn)- 23 -</p><p>　　4.1 OpenSSL介紹- 23 -</p><p>　　4.2 用OpenSSL實現(xiàn)SSL VPN關(guān)鍵組件- 23 -</p>

25、;<p>　　4.2.1 產(chǎn)生SSL VPN工作所需的證書和簽名- 23 -</p><p>　　4.2.2 SSL隧道服務(wù)端的實現(xiàn)- 24 -</p><p>　　4.2.3 SSL隧道客戶端的實現(xiàn)- 28 -</p><p>　　4.3測試有SSL協(xié)議加密的安全通信隧道- 30 -</p><p>　　第五章 SS

26、L VPN典型應(yīng)用的實現(xiàn)及驗證- 33 -</p><p>　　5.1 SSL VPN環(huán)境的搭建- 33 -</p><p>　　5.1.1 SSL VPN典型應(yīng)用拓撲圖- 33 -</p><p>　　5.1.2 SSL VPN網(wǎng)關(guān)產(chǎn)品介紹- 33 -</p><p>　　5.2 在Cisco上部署SSL VPN- 34 -<

27、;/p><p>　　5.2.1 上傳SSL VPN組件到路由器- 34 -</p><p>　　5.2.2 安裝SSL VPN和配置組件- 34 -</p><p>　　5.3 測試SSL VPN系統(tǒng)- 35 -</p><p>　　第六章 結(jié) 論- 39 -</p><p>　　6.1 主要工作總結(jié)- 39

28、 -</p><p>　　6.2 展望- 39 -</p><p>　　參考文獻- 40 -</p><p>　　致 謝- 41 -</p><p><b>　　第一章 緒 論</b></p><p><b>　　研究背景與意義</b></p>&l

29、t;p><b>　　研究背景</b></p><p>　　互聯(lián)網(wǎng)的發(fā)展已經(jīng)日趨成熟，互聯(lián)網(wǎng)的用戶數(shù)量也在急劇增加，許多涉及私密數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)如電子商務(wù)、網(wǎng)上銀行等已被越來越廣泛的在互聯(lián)網(wǎng)上使用。然而傳統(tǒng)的互聯(lián)網(wǎng)沒有提供服務(wù)質(zhì)量保證，也沒有權(quán)限和相應(yīng)的安全機制[1]。隨著網(wǎng)絡(luò)的開放性、共享性以及互聯(lián)網(wǎng)規(guī)模的進一步擴大，加之黑客的攻擊手段也越來越先進，對人們造成了巨大的經(jīng)濟損失，網(wǎng)絡(luò)的安全

30、問題變得越來越嚴重。同時，隨著企業(yè)本身的發(fā)展壯大與跨國化，大型企業(yè)的分支機構(gòu)越來越多，企業(yè)與各分部之間也需要隨時通信，這涉及到遠程聯(lián)網(wǎng)及網(wǎng)絡(luò)的復雜性問題。為了保證數(shù)據(jù)在各個分支部門之間傳輸過程的安全，按傳統(tǒng)方式，需要為每個分部建立獨立的專用網(wǎng)絡(luò)，但大量的獨立專用網(wǎng)需要進行重復的網(wǎng)絡(luò)投資，會造成資源浪費，增加管理負擔。為了解決上述問題，人們提出了虛擬專用網(wǎng)（Virtual Private Network）的概念，即利用公共通信網(wǎng)絡(luò)(如全球

31、因特網(wǎng))實現(xiàn)安全的保密數(shù)據(jù)通信。虛擬專用網(wǎng)以其獨具特色的優(yōu)勢贏得了越來越多企業(yè)的青睞。目前國內(nèi)主流的VPN系統(tǒng)是基于IPSec協(xié)議的。IPSec協(xié)議為被保護的網(wǎng)絡(luò)通訊提供較好的安全、認證和授權(quán)服務(wù)，同時保持了較高的性能。其能夠“透</p><p>　　近年來，基于SSL協(xié)議的VPN系統(tǒng)以其優(yōu)良特性獲得了廣泛應(yīng)用。通常只要客戶端系統(tǒng)安裝了WEB瀏覽器，SSL VPN即可工作，并且不會受到安裝在與服務(wù)器之間的防火墻的

32、影響，能確保端到端的真正安全。隨著市場的逐步成熟，SSL VPN已經(jīng)成為企業(yè)首選的VPN設(shè)備。</p><p><b>　　研究意義</b></p><p>　　SSL VPN是解決遠程訪問的主流安全方案，具有廣闊的發(fā)展前景。幾乎所有的主流瀏覽器都集成了SSL協(xié)議，不需要再安裝額外的客戶端軟件。SSL VPN的“瘦客戶端”具有簡單、靈活、易用性等特點，特別適合于遠程用

33、戶安全連接。遠程安全訪問是未來發(fā)展趨勢，尤其是在互聯(lián)網(wǎng)和移動通信的快速發(fā)展、網(wǎng)絡(luò)接入方式多變、3G高速網(wǎng)絡(luò)日益普及的今天，手持終端、PDA、移動PC等移動的計算通信工具迫切需要專門為其量身定做遠程安全訪問方案，SSL VPN因其與操作系統(tǒng)無關(guān)、瘦客戶端等特點，成為首選的解決方案。</p><p>　　權(quán)威機構(gòu)Frost & Sullivan發(fā)布了2009年中國SSL VPN市場調(diào)研報告[3]，報告顯示中國

34、SSL VPN市場在2009年取得了11.9%的增長，達到了4220萬美元的市場規(guī)模。在市場格局方面，深信服、ARRAY、JUNIPER仍然獲得了該市場的三甲位置，其中深信服繼08年首次成為市場第一后，2009年憑借強勁的增長，其市場占有率提升至34%，超過了整個市場的三分之一。Frost的報告指出，中國SSL VPN市場雖然較上年預(yù)測的增長速度有所放緩，但由于中國地理分散的工作狀況及網(wǎng)絡(luò)應(yīng)用程序采用的快速增長，中國企業(yè)對SSL VPN

35、產(chǎn)品的需求預(yù)計將在接下來的幾年穩(wěn)步上升。此外，隨著中國企業(yè)對IT安全日趨成熟的觀點深入，中國企業(yè)有可能驅(qū)動高科技市場，如虛擬化和云計算的發(fā)展，這將有力增強SSL VPN技術(shù)的重要性，SSL VPN市場將在未來幾年保持持續(xù)、穩(wěn)定的增長。</p><p>　　國外有很多機構(gòu)都開展了對SSL VPN相關(guān)技術(shù)和產(chǎn)品的研究。國外已有多個開源項目支持SSL VPN研究。國外很多知名廠商己開發(fā)出SSL VPN產(chǎn)品，如Cisco

36、(思科)、Check Point、F5網(wǎng)絡(luò)、Netsereen和Symantee(賽門鐵克公司)等。</p><p>　　對國內(nèi)的用戶來說，SSL VPN最大的優(yōu)越性在于其方便性和靈活性。盡管我國的SSL VPN市場起步較晚，但近幾年來增長勢頭較快，到目前為止，很多大中型企業(yè)已建立了自己的VPN網(wǎng)絡(luò)，包括SSL VPN。一些學校的校園網(wǎng)也正在普遍使用SSL VPN技術(shù)提供方便快捷的遠程安全連接服務(wù)。一些高校和公司

37、也正在研究SSL VPN技術(shù)，開發(fā)實用的軟件產(chǎn)品，提高全方位的SSL VPN技術(shù)服務(wù)。無疑，伴隨企業(yè)信息化程度的加深，遠程安全訪問、協(xié)同工作的需求會日益明顯，SSL VPN技術(shù)由于擁有全方位的優(yōu)勢，取代傳統(tǒng)的組網(wǎng)技術(shù)成為主流已為時不遠。研究SSL VPN理論知識，進而開發(fā)出新的SSL VPN產(chǎn)品意義重大。</p><p><b>　　主要研究內(nèi)容</b></p><p&g

38、t;　　本文通過分析SSL協(xié)議的安全性，研究SSL VPN涉及到的關(guān)鍵技術(shù)，總結(jié)了現(xiàn)有SSL VPN的優(yōu)勢所在。本文探討現(xiàn)有安全隧道技術(shù)、訪問控制技術(shù)、身份認證技術(shù)、SSL代理技術(shù)、應(yīng)用轉(zhuǎn)換技術(shù)等。本文的主要研究內(nèi)容包括：界定SSL VPN的概念，系統(tǒng)的分析SSL VPN技術(shù)的研究現(xiàn)狀，并對基于PKI的SSL VPN關(guān)鍵技術(shù)進行系統(tǒng)分析，包括:密鑰交換技術(shù)、安全隧道技術(shù)、身份認證技術(shù)、訪問控制技術(shù)等。分析SSL協(xié)議棧，對其協(xié)議的體系結(jié)構(gòu)

39、和各層處理流程及其安全性做出了分析，從而為SSL協(xié)議的改進設(shè)計奠定基礎(chǔ)。</p><p>　　在上述分析的基礎(chǔ)上，對基于PKI的SSL VPN技術(shù)展開討論。基于PKI的SSL協(xié)議旨在為構(gòu)建VPN的身份認證和訪問控制提供更好的支持；控制協(xié)議旨在提供用戶安全認證接口(包含身份認證和角色驗證)、用戶訪問控制列表、上層應(yīng)用協(xié)議引擎，從而形成安全、高效的安全隧道協(xié)議；給出了基于SSL VPN遠程安全接入的典型方案，并在SS

40、L VPN設(shè)備上進行了調(diào)試和實現(xiàn)；針對主流的SSL VPN接入方式進行了分析和總結(jié)；對基于PKI的SSL VPN關(guān)鍵技術(shù)進行分析，并在Linux系統(tǒng)下用C語言實現(xiàn)了SSL VPN的關(guān)鍵組件。最后，搭建出了一個典型的企業(yè)級SSL VPN應(yīng)用實例。</p><p><b>　　1.3論文結(jié)構(gòu)安排</b></p><p>　　本論文各章內(nèi)容安排如下:</p>

41、<p>　　第一章為緒論，簡要介紹選題背景、國內(nèi)外研究現(xiàn)狀、主要研究內(nèi)容，最后簡單說明論文的結(jié)構(gòu)安排。</p><p>　　第二章:首先給出了一個相對規(guī)范的SSL VPN的概念，并對其基本原理和現(xiàn)有模式進行分析討論。分析了基于PKI的SSL VPN的理論基礎(chǔ)，通過對密碼學、數(shù)字證書等技術(shù)的分析，為進一步深入研究SSL VPN奠定了堅定的理論基礎(chǔ)，最后分析SSL協(xié)議工作機制，協(xié)議的安全性，以及協(xié)議本身提供

42、的VPN支持，并對其安全性和易用性進行形式化分析。</p><p>　　第三章:主要是研究和分析SSL VPN關(guān)鍵技術(shù)，并對最常見的兩種VPN技術(shù)：IPsec VPN和SSL VPN的特性和應(yīng)用范圍做了細致的比較研究。最后，通過對傳統(tǒng)SSL VPN的分析，提出實現(xiàn)安全接入的解決方案。</p><p>　　第四章:利用OpenSSL,在Linux下實現(xiàn)了SSL VPN的基本功能，主要是服務(wù)器

43、端和客戶端關(guān)鍵組件的設(shè)計，包括系統(tǒng)結(jié)構(gòu)、通信過程，身份認證、安全隧道處理以及關(guān)鍵的SSL握手過程。</p><p>　　第五章:主要是實現(xiàn)了SSL VPN在企業(yè)環(huán)境中的應(yīng)用。本章結(jié)合市場需求，對典型的SSL VPN網(wǎng)絡(luò)拓撲進行了分析，并用當前主流的SSL VPN產(chǎn)品搭建出了一個SSL VPN實例，通過這個實例，我們充分的把理論知識和實際應(yīng)用相結(jié)合，可以對SSL VPN的工作過程和原理有更加深入的了解，同時也可以驗

44、證我們上面所做的研究。</p><p>　　第六章：主要是對前面所做的SSL VPN理論研究和SSL VPN案例實現(xiàn)做了一個總結(jié)，在此基礎(chǔ)上，分析了我國SSL VPN市場前景，對SSL VPN的應(yīng)用前景做了展望。</p><p>　　第二章 基于PKI的SSL VPN理論基礎(chǔ)</p><p>　　本章著重于基于PKI的SSL VPN相關(guān)理論基礎(chǔ)的研究，包括SSL

45、VPN的基本概念、工作原理以及與之相關(guān)的密碼學知識。作為安全產(chǎn)品，SSL VPN利用了對稱密碼技術(shù)來實現(xiàn)數(shù)據(jù)的加密，非對稱加密技術(shù)實現(xiàn)加密密鑰的交換，利用PKI技術(shù)來作為整個系統(tǒng)身份認證的基礎(chǔ)。作為正在趨向成熟的VPN技術(shù)，SSL VPN在與其他VPN的競爭中正脫穎而出，成為遠程訪問技術(shù)的首選。</p><p>　　SSL VPN基本概念及原理</p><p>　　SSL VPN基本概念&

46、lt;/p><p>　　SSL即Secure Socket Layer，VPN就是Virtual Private Network簡稱，如果把SSL和VPN 兩個概念分開，大多數(shù)人都清楚他們的含義，但是把他們合在一起，從學術(shù)和商業(yè)的角度來講，因為他們所代表的含義有所不同，因而常常會被曲解。</p><p>　　SSL通過加密方式保證在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)的安全性，它可以自動應(yīng)用在每一個瀏覽器上。這里

47、，需要提供一個數(shù)字證書給WEB 服務(wù)器，這個數(shù)字證書需要付費購買，相對而言，給應(yīng)用程序設(shè)立SSL服務(wù)是比較容易的。如果應(yīng)用程序本身不支持SSL，那么就需要改變一些鏈接，這只與應(yīng)用程序有關(guān)。</p><p>　　VPN 則主要應(yīng)用于虛擬連接網(wǎng)絡(luò)，它可以確保數(shù)據(jù)的機密性并且具有一定的訪問控制功能。過去，VPN總是和IPSec 聯(lián)系在一起，因為它是VPN 加密信息實際用到的協(xié)議。IPSec運行于網(wǎng)絡(luò)層，IPSec VP

48、N多用于連接兩個網(wǎng)絡(luò)或點到點之間的連接。</p><p>　　以上我們簡要介紹了SSL和VPN，現(xiàn)在我們要了解一下SSL和VPN是怎樣結(jié)合在一起的。大量理論可以證明SSL的獨特性以及VPN所能提供的安全遠程訪問控制能力。到目前為止，SSL VPN是解決遠程用戶訪問公司敏感數(shù)據(jù)最簡單最安全的解決技術(shù)。與復雜的IPSec VPN相比，SSL通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VP

49、N， 這是因為SSL 內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSec VPN那樣必須為每一臺客戶機安裝客戶端軟件。這一點對于擁有大量機器（包括家用機，工作機和客戶機等等）需要與公司機密信息相連接的用戶至關(guān)重要。人們普遍認為它將成為安全遠程訪問的主流方式。</p><p>　　從概念角度來說，SSL VPN即指采用SSL （Security Socket Layer）協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)

50、景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于內(nèi)、外部應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL 協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用。正因為SSL 協(xié)議被內(nèi)置于IE等瀏覽器中，使用SSL 協(xié)議進行認證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端。相對于傳統(tǒng)的IPSec

51、 VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網(wǎng)絡(luò)適應(yīng)強等特點，這兩種類型的VPN之間的差別就類似C/S構(gòu)架和B/S構(gòu)架的區(qū)別。</p><p>　　一般而言，SSL VPN必須滿足最基本的兩個要求：</p><p>　　使用SSL 協(xié)議進行認證和加密；沒有采用SSL 協(xié)議的VPN產(chǎn)品自然不能稱為SSL VPN，其安全性也需要進一步考證。</p><p

52、>　　直接使用瀏覽器完成操作，無需安裝獨立的客戶端；即使使用了SSL 協(xié)議，但仍然需要分發(fā)和安裝獨立的VPN客戶端 (如Open VPN)不能稱為SSL VPN，否則就失去了SSL VPN易于部署，免維護的優(yōu)點了。</p><p>　　現(xiàn)在我們可以給SSL VPN下一個完整的定義：所謂SSL VPN，就是指基于SSL協(xié)議在公共IP網(wǎng)絡(luò)設(shè)施上，通過數(shù)據(jù)包封裝的隧道技術(shù)，并采用加密技術(shù)、認證技術(shù)和訪問控制等綜合

53、安全機制，構(gòu)建的安全虛擬專用網(wǎng)絡(luò)。</p><p>　　SSL VPN的基本原理</p><p>　　圖2.1 SSL VPN的基本部署方式 </p><p>　　如圖2.1，該圖為SSL VPN的基本接入方式。企業(yè)總部在出口防火墻后面部署一臺SSL VPN安全網(wǎng)關(guān)設(shè)備，企業(yè)在外出差人員、小分支機構(gòu)等遠程用戶要訪問公司內(nèi)部服務(wù)器群的資源時，就會先和SSL VPN網(wǎng)關(guān)

54、建立連接，SSL VPN服務(wù)器根據(jù)遠程用戶提供的身份識別組件來判斷是否準入訪問內(nèi)部網(wǎng)絡(luò)資源，以及分配何種訪問權(quán)限給用戶。當遠程用戶通過SSL VPN隧道訪問企業(yè)總部服務(wù)器時，對于Internet其他用戶來說這些數(shù)據(jù)是透明的，因為這些數(shù)據(jù)都經(jīng)過了加密傳輸。</p><p>　　安全套接層虛擬專用網(wǎng)（SSL VPN）是一種在VPN上運行的安全套接字層技術(shù)，他在網(wǎng)絡(luò)瀏覽器通過https訪問。它允許用戶建立從任何連接到互

55、聯(lián)網(wǎng)的瀏覽器到內(nèi)部服務(wù)器的安全可靠的遠程接入。SSL VPN使用了傳輸控制協(xié)議（TCP）層和應(yīng)用層協(xié)議SSL的功能。傳統(tǒng)的VPN需要IPSec客戶端軟件安裝在客戶端機器上，而SSL VPN的建立并沒有這種要求。分支機構(gòu)的用戶能夠通過瀏覽器輕松訪問應(yīng)用程序或共享機密文件。 SSL VPN技術(shù)的主要好處是：由于它是基于用戶的，而不是基于設(shè)備的，任何授權(quán)用戶都可以登錄到啟用了安全傳輸?shù)木W(wǎng)絡(luò)[4]。</p><p>　　

56、圖2.2 SSL VPN工作過程簡圖</p><p>　　如圖2.2，遠程用戶使用WEB瀏覽器通過SSL VPN服務(wù)器來訪問企業(yè)內(nèi)部網(wǎng)絡(luò)中的資源，SSL VPN服務(wù)器在這里扮演的角色相當于一個數(shù)據(jù)中轉(zhuǎn)服務(wù)器，所有訪問都經(jīng)過SSL VPN服務(wù)器的認證后，轉(zhuǎn)發(fā)給內(nèi)網(wǎng)的應(yīng)用服務(wù)器，從應(yīng)用服務(wù)器發(fā)往瀏覽器的數(shù)據(jù)經(jīng)過SSL VPN服務(wù)器加密后送回瀏覽器。從而在WEB瀏覽器和SSL VPN服務(wù)器之間，利用SSL協(xié)議構(gòu)建了一條

57、安全隧道。</p><p>　　2.2 密碼學技術(shù)分析</p><p>　　2.2.1 對稱密碼學分析</p><p>　　對稱密碼加密技術(shù)[5]是指加密密鑰和解密密鑰為同一密鑰的密碼算法。因此，信息的發(fā)送者和信息的接收者在進行信息的傳輸與處理時，必須共同持有該密碼（稱為對稱密鑰）。通常，使用的加密算法比較簡便高效,密鑰簡短,破譯極其困難；由于系統(tǒng)的保密性主要取決于

58、密鑰的安全性，所以，在公開的計算機網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個嚴峻的問題。常用對稱密鑰算法包括DES，3DES，RC2，RC4，RC6，AES等。在SSLv3.0及其后繼TLS1.0的規(guī)范中，對于加密算法的選擇主要集中在3DES、DES和RC4這三種。在這之中，RC4的速度最快，而3DES慢的多，但是從安全角度來看，3DES更安全。在SSL應(yīng)用中用的最多的還是RC4，RC4是RSA數(shù)據(jù)安全公司開發(fā)的一種密碼算法。它是一種密鑰長度可變

59、的算法，其密鑰長度可以在8～2048位之間。不管密鑰有多長，密鑰都被擴展為一張固定尺寸的內(nèi)部狀態(tài)表，所以無論使用什么長度的密鑰，該算法都運行得一樣快。SSL和TLS總是使用密鑰長度為128位的RC4，RC4的加解密速度非常快。RC4本質(zhì)上是一個偽隨機數(shù)生成器，并且生成算法的輸出與數(shù)據(jù)流進行異或運算。</p><p>　　2.2.2 非對稱密碼學分析</p><p>　　針對對稱密鑰加密技術(shù)

60、的不足，1976年Whitfield Diffie和Martin Hellman提出公鑰加密算法的想法，即非對稱加密技術(shù)，并且基于離散對數(shù)設(shè)計出第一個公鑰加密算法DH算法。</p><p>　　公鑰算法的特點如下：</p><p>　　這種算法有兩個密鑰，一個公鑰，對外公開，一個私鑰，安全保存。</p><p>　　僅僅知道密鑰算法和加密密鑰而要確定解密密鑰，這在

61、計算上是不可行的。</p><p>　　兩個相關(guān)的密鑰任何一個加密，都可以用另一個解密。</p><p>　　隨后又出現(xiàn)許多公鑰算法，目前公認比較安全和有效的公鑰算法主要有DH算法、RSA算法、DSA算法等。最為可靠和使用最廣的為RSA算法。非對稱加密算法主要用于認證和密鑰交換。</p><p>　　RSA是Rivest，Shamir和Adleman于1978年在美

62、國麻省理工學院研制出來的,它是一種比較典型的公開密鑰加密算法,也是迄今為止理論上最為成熟和完善的一種公鑰密碼體制。該算法利用了數(shù)論領(lǐng)域的一個事實,那就是雖然把兩個大質(zhì)數(shù)相乘生成一個合數(shù)是件十分容易的事情,但要把一個合數(shù)分解為兩個質(zhì)數(shù)卻十分困難。RSA算法建立在正整數(shù)求余運算基礎(chǔ)上,同時還保持了指數(shù)運算的性質(zhì)。在RSA算法中,n的長度是控制該算法可靠性的重要因素。與DH算法相比,RSA算法具有明顯的優(yōu)越性,因為它無須收發(fā)雙方同時參與加密過

63、程,非常適合于電子郵件系統(tǒng)的加密。</p><p>　　2.3 數(shù)字證書相關(guān)技術(shù)</p><p>　　2.3.1 數(shù)字簽名技術(shù)</p><p>　　對于重要的文件,為了防止出現(xiàn)對文件的否認、偽造、篡改等問題，傳統(tǒng)的方法是在文件上手寫簽名。但是在計算機系統(tǒng)中無法使用手寫簽名，取而代之的是數(shù)字簽名機制[6]。數(shù)字簽名應(yīng)該能實現(xiàn)手寫簽名的作用，其本質(zhì)特征就是利用簽名者的私

64、有信息產(chǎn)生簽名。因此，當被驗證時，能通過信任的第三方在任何時候證明只有私有信息的唯一掌握者才能產(chǎn)生此簽名。</p><p>　　數(shù)字簽名可以用秘密密鑰來實現(xiàn)，也可用公開密鑰來實現(xiàn)。采用對稱密鑰是建立在有眾人信任的中間仲裁機構(gòu)的基礎(chǔ)上，它的完整性的基礎(chǔ)是這個中間仲裁機構(gòu)。這種方式的安全性不高，而且步驟繁瑣。而采用非對稱密鑰加密法進行數(shù)字簽名則不受此限制，收發(fā)兩方之間不需要任何可信賴機構(gòu)。它的完整性的基礎(chǔ)是每個通信者

65、所擁有的私鑰。在當前廣泛應(yīng)用的PKI中所用的數(shù)字簽名就是采用非對稱密鑰加密法。它的過程如下：</p><p>　　先用hash算法將原文壓縮為數(shù)據(jù)摘要，然后用公開密鑰算法對摘要進行加密和解密。散列函數(shù)的特性決定原文任何變化都會使數(shù)據(jù)摘要改變；</p><p>　　在使用發(fā)送者的私鑰對這個散列值進行加密，形成簽名，附在原文后。發(fā)送者所具有私鑰的特殊性決定這個簽名是來自于這個發(fā)送者，其他人不能

66、假冒；</p><p>　　接收者在接到這個附有簽名的文件后，使用發(fā)送者的公鑰進行解密，得到發(fā)送者所形成的散列值；</p><p>　　然后接收者在用相同的方法對原文計算散列值；</p><p>　　比較這兩個散列值，如果相同，就表明原文在傳送過程中沒有被篡改。如果不相同，則已經(jīng)被篡改。</p><p>　　2.3.2 公鑰技術(shù)設(shè)施PKI&l

67、t;/p><p>　　公鑰基礎(chǔ)設(shè)施PKI主要是針對開放型的大型互聯(lián)網(wǎng)絡(luò)的應(yīng)用環(huán)境而設(shè)計的，這種網(wǎng)絡(luò)環(huán)境中需要有一個協(xié)調(diào)的公開密鑰管理機制，以保證公開密鑰的可靠性。公開密鑰的管理一般基于公證機制。即需要一個通信的A、B雙方都信任的第三方N來證明A和B的公開密鑰的可靠性，這需要N分別對A和B的公開密鑰進行數(shù)字簽名，形成一個證明這個公開密鑰可靠性的證書。在一個大型的網(wǎng)絡(luò)中，這樣的公證中心可能有多個，另外這些公證中心若存在依

68、賴關(guān)系，則用戶可通過一個簽名鏈去設(shè)法驗證其他公證中心簽發(fā)的證書。概括的說，公鑰技術(shù)設(shè)施PKI就是對這些公開密鑰證書的管理體制[7]。它在本質(zhì)上是一種公證服務(wù)。通過離線的數(shù)字證書證明某個公開密鑰的真實性和有效性。</p><p>　　PKI主要由證書管理中心CA、政策管理中心PMA、注冊管理中心RA和端實體等幾部分組成。其中注冊管理中心負責處理用戶請求，在驗證了請求的有效性后提交給證書管理中心。證書管理中心負責具體

69、證書的頒發(fā)、撤銷和管理，維護著證書的生存周期。當證書存在時間超過有效期規(guī)定的時間時，證書就會失效。證書撤銷列表（CRL）是另一種證書有效期控制機制，證書管理中心定期發(fā)布CRL，上面列出了所有曾由它發(fā)布但當前已被撤銷的證書號，證書的使用者依據(jù)CRL即可驗證某證書是否已被撤銷。同證書一樣，CRL也由發(fā)布者數(shù)字簽名。</p><p>　　作為一種網(wǎng)絡(luò)基礎(chǔ)設(shè)施，PKI以證書為手段保證公開密鑰的可靠分發(fā)，但如何使用公開密鑰

70、進行安全通信，如交換會話密鑰等，并不是PKI所能提供的服務(wù)，需要另外的協(xié)議機制進行基于公開密鑰的安全交互，SSL協(xié)議中即包含這樣一種以PKI為基礎(chǔ)進行安全會話密鑰交換的機制。</p><p>　　2.4 SSL協(xié)議分析</p><p>　　SSL是在Internet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。它能使客戶/服務(wù)器應(yīng)用之間的通信不被攻擊者竊聽，并且始終對服務(wù)器進行認證，還可選擇對客戶

71、進行認證。SSL協(xié)議要求建立在可靠的傳輸層協(xié)議（如TCP）之上。SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨立無關(guān)的。高層的應(yīng)用協(xié)議（如HTTP,FTP,TELNET）能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務(wù)器認證工作。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。SSL協(xié)議是一個分層協(xié)議，它是由一個記錄層以及記錄層上承載的不同消息類型組成。而該記錄層又會由某種可

72、靠的協(xié)議如TCP來承載。圖2.3描述了該協(xié)議的結(jié)構(gòu)。</p><p>　　圖 2.3 SSL協(xié)議示意圖</p><p>　　一個安全的SSL連接被分成兩個階段，即握手階段和數(shù)據(jù)傳輸階段。握手階段對服務(wù)器進行認證并確立用于保護數(shù)據(jù)傳輸?shù)募用苊荑€，它必須在傳輸任何應(yīng)用數(shù)據(jù)之前完成握手。一旦握手完成，數(shù)據(jù)就被分成一系列經(jīng)過保護的紀錄進行傳輸。</p><p><b&

73、gt;　　記錄層協(xié)議</b></p><p>　　SSL記錄協(xié)議是通過將數(shù)據(jù)流分割成一系列的片斷并加以傳輸來工作的，其中對每個片斷單獨進行保護和傳輸。在接受方，對每條記錄單獨進行解密和驗證。這種方案使得數(shù)據(jù)一經(jīng)準備好就可以從連接的一端傳送到另一端，并在接受到的即刻加以處理。</p><p>　　記錄層主要用來處理從高層傳來的數(shù)據(jù)。主要是握手信息、報警信息、改變密鑰參數(shù)信息和應(yīng)用

74、數(shù)據(jù)，所有這些信息被封裝到記錄的數(shù)據(jù)段。記錄由記錄頭和長度不為零的記錄數(shù)據(jù)組成。記錄層在傳輸之前要將這些任意長度的數(shù)據(jù)進行分塊，每塊的最大長度是232字節(jié)（即16384字節(jié)）。記錄頭信息的工作就是為接受實現(xiàn)提供對記錄進行解釋所必需的信息。在實際應(yīng)用中，它是指三種信息：內(nèi)容類型、長度和SSL版本。長度字段可以讓接受方知道他要從線路上讀取多少字節(jié)才能對信息進行處理，版本號只是一項確保每一方式使用所磋商的版本的冗余性檢查。內(nèi)容類型字段標識消息

75、類型。</p><p><b>　　握手協(xié)議</b></p><p>　　握手層的握手協(xié)議用來產(chǎn)生會話狀態(tài)的密碼參數(shù)。當SSL客戶和服務(wù)器方開始通信時，雙方通過數(shù)次交互，協(xié)商協(xié)議版本、選擇加密算法、完成客戶方對服務(wù)器方的認證（服務(wù)器方對客戶方的認證為可選）、使用公開密鑰技術(shù)產(chǎn)生會話密鑰。以上過程全部是在通信雙方的握手階段進行。</p><p>

76、<b>　　報警協(xié)議</b></p><p>　　報警協(xié)議根據(jù)警告內(nèi)容的嚴重性級別產(chǎn)生不同的報警信息。報警信息包括警告內(nèi)容和嚴重性級別。如果級別是Fatal(致命錯)，則會導致當前的連接立即中斷，并清除包括會話標志、密鑰等在內(nèi)的所有狀態(tài)參數(shù)。在這種情況下，與該會話相連的其他連接可以繼續(xù)進行，但不能再重用該會話建立新的連接。同其他的消息一樣，報警信息也要經(jīng)過壓縮和加密后進行傳輸。報警消息的類型

77、可分為關(guān)閉報警（ClosureAlert）和錯誤報警（ErrorAlert）。</p><p><b>　　修改密碼參數(shù)協(xié)議</b></p><p>　　修改密碼參數(shù)協(xié)議用來標志信號的轉(zhuǎn)換，它只包含一條信息，信息內(nèi)容為一個字節(jié)，其值為1。修改密碼參數(shù)消息由客戶方或服務(wù)器方發(fā)出，用以通知對方隨后的記錄將受到協(xié)商的密碼參數(shù)和密碼的保護。從握手協(xié)議的流程圖可以看到，客戶方在

78、發(fā)送完密鑰交換（ClientKeyExchange）和證書驗證（CertificateVerify）消息（如果有的話）后發(fā)送修改密碼參數(shù)消息。服務(wù)器在成功處理了從客戶方接受到的密鑰交換消息以后也發(fā)送一個修改密碼參數(shù)消息。如果在握手過程中采用了會話重用，則雙方在hello消息之后發(fā)送修改密碼參數(shù)消息。</p><p><b>　　應(yīng)用數(shù)據(jù)</b></p><p>　　應(yīng)

79、用數(shù)據(jù)信息即通信雙方建立安全連接所要保護的信息，在當前協(xié)商好的狀態(tài)下由記錄層對應(yīng)用數(shù)據(jù)信息進行分塊、壓縮、加密并傳輸。</p><p><b>　　會話與連接</b></p><p>　　在SSL中，會話與連接是兩個不同的概念。一個連接只能對應(yīng)一個會話，而一個會話可以被多個連接所共享，即“會話重用”。會話是有狀態(tài)的，它由握手協(xié)議所創(chuàng)建，包含一套安全參數(shù)。會話狀態(tài)分為兩

80、種，一種稱為“當前狀態(tài)”，一種稱為“待決狀態(tài)”。每種狀態(tài)又分為讀狀態(tài)和寫狀態(tài)。會話狀態(tài)的轉(zhuǎn)交是由上述修改密碼參數(shù)協(xié)議決定的。</p><p><b>　　密碼套件</b></p><p>　　SSL協(xié)議中涉及到的加密算法主要有三種：密鑰交換算法、數(shù)據(jù)加密算法和散列算法。其中密鑰交換算法采用非對稱密鑰加密算法如RAS或者DH，用于通信雙方密鑰協(xié)商過程；數(shù)據(jù)加密算法采用對

81、稱密鑰加密算法如DES、RC4等。在SSL協(xié)議中，這些加密算法相互組合構(gòu)成若干密碼套件，每一個密碼套件對應(yīng)一個固定的整數(shù)值，所有這些密碼套件都采用統(tǒng)一的格式。如：密碼套件SSL_RSA_WTTH_RC4_128_MD5表示密鑰交換算法采用RSA,數(shù)據(jù)加密算法采用128位RC4，散列算法采用MD5。 </p><p>　　2.5 SSL隧道建立過程</p><p>　　圖2.4 SSL VP

82、N安全隧道建立過程</p><p>　　SSL協(xié)議集成了非對稱加密、對稱加密、數(shù)字簽名以及信息校驗等多項技術(shù)，能出色地完成防冒充、防破解和防篡改三個保障信息安全的基本任務(wù)。SSL安全隧道建立過程主要分為四個階段，如圖2.4，工作過程大致如下：</p><p>　　第一階段，客戶端向服務(wù)器發(fā)出SSL連接請求，并附上一段隨機產(chǎn)生的信息，服務(wù)器端在通訊之前會向證書頒發(fā)組織申請并獲得自己的公鑰、私

83、鑰以及證書。</p><p>　　第二階段，服務(wù)器收到客戶端的連接請求后，把收到的隨機信息用私鑰加密，然后連同公鑰和身份信息發(fā)回給客戶端。</p><p>　　第三階段，客戶端收到服務(wù)器端的回應(yīng)后，將先用從服務(wù)器端發(fā)來的公鑰解密信息，還原后與自己之前產(chǎn)生的隨機信息比較異同，從而驗證服務(wù)器端的身份。在服務(wù)器端身份得到驗證后，客戶端將產(chǎn)生一個對稱密鑰，用于加密真正的傳輸信息，并將該對稱密鑰用公

84、鑰加密后發(fā)給服務(wù)器端。</p><p>　　第四階段，服務(wù)器端得到信息后，用自己私鑰解密并獲得該對稱密鑰，之后客戶端和服務(wù)器之間就可以用這個對稱密鑰進行加密通訊了。</p><p>　　在整個通訊過程中，服務(wù)器端只要保護好私鑰不被泄漏就可以保證自己的身份不會被冒充，對稱密鑰也不會被破解，從而保證了加密信息不會被破解，再加上校驗信息也采用公鑰和私鑰加密機制，因此信息篡改也不可能發(fā)生，保證了傳

85、輸?shù)陌踩浴?lt;/p><p>　　第三章 SSL VPN關(guān)鍵技術(shù)的研究</p><p>　　SSL VPN是解決遠程用戶訪問公司敏感數(shù)據(jù)最簡單最安全的解決方案。與復雜的IPSec VPN相比，SSL VPN通過簡單易用的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSL VPN， 這是因為SSL 內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSec VPN一樣必須為每一臺客戶機安裝客戶端軟件

86、。</p><p>　　本章主要對SSL VPN技術(shù)的原理進行探討，并對SSL VPN給出一個相對準確、規(guī)范的概念，同時描述其基本原理、模式，并對其關(guān)鍵技術(shù)進行了深入的分析。</p><p>　　SSL VPN關(guān)鍵技術(shù)分析</p><p>　　我們知道，VPN技術(shù)的優(yōu)勢在于綜合運用多種網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)。VPN技術(shù)是以IP隧道為基礎(chǔ)，實現(xiàn)網(wǎng)絡(luò)的互聯(lián)；通過采用密碼

87、技術(shù)的安全協(xié)議和訪問控制機制來增強網(wǎng)絡(luò)的安全性的。IP隧道代替了傳統(tǒng)網(wǎng)絡(luò)的“專線”，是組建“虛擬網(wǎng)絡(luò)”的基礎(chǔ)。這里，我們將隧道技術(shù)與所采用的SSL協(xié)議聯(lián)系在一起來討論。同時，對身份認證、訪問控制，以及SSL VPN的具體實現(xiàn)技術(shù)、代理技術(shù)等進行了分析。</p><p><b>　　安全隧道技術(shù)</b></p><p>　　隧道是指一個網(wǎng)絡(luò)通過另一個網(wǎng)絡(luò)的連接傳輸分組時

88、，將一種協(xié)議的數(shù)據(jù)單元封裝在另一個協(xié)議的數(shù)據(jù)單元中。隧道是一種虛擬的點到點連接，這個連接為隧道的兩個端點提供了認證、加密和訪問控制?？梢栽诓煌膮f(xié)議層上來實現(xiàn)隧道技術(shù)，不同協(xié)議層提供了不同強度的安全保護。隧道技術(shù)允許授權(quán)移動用戶或已授權(quán)的用戶在任何時間任何地點訪問企業(yè)網(wǎng)絡(luò)。通過隧道的建立，可實現(xiàn)以下功能[8]：將數(shù)據(jù)流量強制轉(zhuǎn)到特定的目的地；隱藏私有的網(wǎng)絡(luò)地址:在IP網(wǎng)上傳輸非IP協(xié)議數(shù)據(jù)包；提供數(shù)據(jù)安全支持；在安全方面可提供數(shù)據(jù)包認證

89、、數(shù)據(jù)加密以及密鑰管理等手段。</p><p>　　隧道技術(shù)主要依靠網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)。目前，IETF工作組己制定或研究出許多VPN的隧道協(xié)議，可分為三大類，分別是第二層(數(shù)據(jù)鏈路層)隧道協(xié)議、第三層(網(wǎng)絡(luò)層)隧道協(xié)議和第四層(工作在高層)隧道協(xié)議(SOCKSv5和SSL協(xié)議)。</p><p>　　第二層隧道目前主要基于虛擬的即PPP連接，如PPTP、L2TP等。主要優(yōu)點是協(xié)議簡單，易于

90、加密，特別適用于為遠程撥號用戶接入VPN提供PPP連接。但由于會話貫穿整個隧道，并終止在用戶網(wǎng)關(guān)上，所以需要維護大量的PPP會話連接狀態(tài)，而IP隧道造成PPP會話超時等問題，加重了系統(tǒng)的負荷，影響傳輸效率和系統(tǒng)的擴展。</p><p>　　多協(xié)議標簽交換（MPLS）是一種用于快速數(shù)據(jù)包交換和路由的體系，它為網(wǎng)絡(luò)數(shù)據(jù)流量提供了目標、路由、轉(zhuǎn)發(fā)和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機制。MPLS介于

91、第二和第三層協(xié)議，諸如 ATM 和 IP。它提供了一種方式，將 IP 地址映射為簡單的具有固定長度的標簽，用于不同的包轉(zhuǎn)發(fā)和包交換技術(shù)。它是現(xiàn)有路由和交換協(xié)議的接口，如 IP、ATM、幀中繼、資源預(yù)留協(xié)議（RSVP）、開放最短路徑優(yōu)先（OSPF）等等。</p><p>　　而第三層隧道由于是IP in IP，如IPSec，其可靠性及可擴展性方面優(yōu)于第二層隧道，特別適宜于LAN to LAN互連，但這種方式對于移動

92、用戶就沒有第二層隧道簡單和直接了。所以對于IP隧道究竟是采用第二層隧道還是第三層隧道，要看VPN設(shè)計的目的。其二是在網(wǎng)絡(luò)的什么層次上實現(xiàn)IP隧道的問題。目前較多的是IP協(xié)議實現(xiàn)IP隧道，但也有用UDP等協(xié)議來實現(xiàn)IP隧道的。</p><p>　　第四層隧道最著名的是SocKSv5和SSL。SOCKSv5是NEC開發(fā)的，是建立在TCP層上的安全協(xié)議，更容易為與特定TCP端口相連的應(yīng)用建立特定的隧道。用SOCKSv5

93、的代理服務(wù)器可以隱藏網(wǎng)絡(luò)地址機構(gòu)，能為認證、加密和密鑰管理提供“插件”模塊，可以讓用戶自由地采用他們所需要的技術(shù)。SSL協(xié)議是一種在WEB服務(wù)協(xié)議(HTTP)和TCP/IP之間提供數(shù)據(jù)連接安全性的協(xié)議。它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器身份驗證和消息完整性驗證。SocKsV5和SSL協(xié)議配合使用作為建立SSL VPN的基礎(chǔ)，最適合于客戶機到服務(wù)器的連接模式，適用于外部網(wǎng)VPN和遠程訪問VPN。</p><p&g

94、t;　　SSL VPN隧道技術(shù)</p><p>　　SSL VPN是通過數(shù)據(jù)包封裝的隧道技術(shù)來實現(xiàn)虛擬專用網(wǎng)的私有性。隧道是一種邏輯上的概念，封裝是實現(xiàn)隧道的主要技術(shù)，通過將網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)實現(xiàn)IP的再封裝，實現(xiàn)了被封裝數(shù)據(jù)的信息隱蔽和抽象。因而可以通過隧道實現(xiàn)利用公共IP網(wǎng)絡(luò)傳輸其它協(xié)議的數(shù)據(jù)包；另外通過隧道傳輸IP數(shù)據(jù)報文時，利用被傳IP包的地址信息得到隱藏這一特點，很容易實現(xiàn)私有地址和公網(wǎng)地址的獨立性，從而為

95、VPN能提供地址空間的獨立、多協(xié)議支持等機制奠定了基礎(chǔ)</p><p>　　SSL VPN是一個優(yōu)秀的VPN解決方案，它采用第四層隧道協(xié)議來實現(xiàn)第二第三層的網(wǎng)絡(luò)連接，類似于點到點的連接。這種技術(shù)能夠使得來自不同客戶端的網(wǎng)絡(luò)流量從一個基礎(chǔ)設(shè)施中通過。這種技術(shù)使用點對點通信協(xié)議代替了交換連接，通過路由網(wǎng)絡(luò)來連接數(shù)據(jù)地址。隧道技術(shù)允許授權(quán)的移動用戶在任何時間任何地點訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。采用不同規(guī)則，隧道技術(shù)也可以禁止未授

96、權(quán)的訪問。通過隧道的建立，可以實現(xiàn)以下功能：</p><p>　　將數(shù)據(jù)流強制定向到特定目的地；</p><p>　　隱藏私有的網(wǎng)絡(luò)地址，保護內(nèi)部數(shù)據(jù)和資源；</p><p>　　在IP網(wǎng)絡(luò)上傳輸非IP協(xié)議數(shù)據(jù)包；</p><p>　　數(shù)據(jù)安全支持，包括傳輸安全和訪問安全。</p><p>　　SSL VPN的隧道技術(shù)

97、把所有訪問企業(yè)內(nèi)部子網(wǎng)的數(shù)據(jù)封裝成特殊的TCP/UDP報文，報文格式如圖3.1。</p><p>　　圖3.1 SSL VPN所有協(xié)議的報文格式</p><p>　　TCP/UDP表示了高層的數(shù)據(jù)封裝，SSL報文被封裝到TCP/UDP的數(shù)據(jù)部分，其格式為：</p><p>　　報文長度：16位，只有TCP報文有該字段，總是作為明文傳送。</p><

98、;p>　　消息類型：5位，不同的消息類型有不同的操作，主要負責完成SSL VPN的隧道協(xié)商。</p><p>　　Kid：這個字段表示了SSL VPN已經(jīng)協(xié)商起來的TLS會話。SSL VPN使用新的Kid表示新的會話。</p><p>　　負載：N比特，可能是控制報文或數(shù)據(jù)報文報文。</p><p>　　控制報文表示了已經(jīng)在可靠層加密封裝的TLS報文，這個可靠

99、層是以直接的ACK和轉(zhuǎn)發(fā)的模型來實現(xiàn)的。</p><p>　　數(shù)據(jù)報文負載表示加密封裝的隧道報文。這些報文可能是IP報文或者是以太網(wǎng)幀。</p><p>　　所有這些報文都通過服務(wù)器和客戶端建立的隧道傳輸。使用隧道技術(shù)遠程訪問服務(wù)器把用戶數(shù)據(jù)封裝進IP數(shù)據(jù)包中，這些數(shù)據(jù)包通過ISP（電信服務(wù)提供商網(wǎng)絡(luò)傳輸，在Internet中，則需要穿過不同的網(wǎng)絡(luò)，最后到達隧道終點，即企業(yè)內(nèi)部的SSL V

100、PN服務(wù)器，然后把數(shù)據(jù)拆包，轉(zhuǎn)成最初的形式。SSL VPN允許網(wǎng)絡(luò)協(xié)議的轉(zhuǎn)換，還允許對來自不同客戶端的流量進行區(qū)別，指定特定的目的地，接受指定級別的服務(wù)。</p><p><b>　　身份認證技術(shù)</b></p><p>　　SSL VPN用戶的身份認證是在隧道連接開始之前進行用戶身份的確認，以便系統(tǒng)進行資源控制和用戶授權(quán)。SSL VPN首先是一種VPN，對于VPN系

101、統(tǒng)，用戶身份認證是一項功能。在使用SSL進行網(wǎng)絡(luò)通信時，通信雙方都要持有各自由認證中心發(fā)放的身份以及認證中心的公開密鑰。常見的身份認證技術(shù)有：</p><p><b>　　用戶名/密碼方式 </b></p><p>　　用戶名/密碼是最簡單也是最常用的身份認證方法，是基于“what you know”的驗證手段。每個用戶的密碼是由用戶自己設(shè)定的，只有用戶自己才知道。只

102、要能夠正確輸入密碼，計算機就認為操作者就是合法用戶。實際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣很容易造成密碼泄漏。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，在驗證過程中需要在計算機內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗證使用的驗證信息都是相同的，很容易被駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此，從安全性上講，用戶名/密碼方式

103、一種是極不安全的身份認證方式。 </p><p><b>　　智能卡認證 </b></p><p>　　智能卡是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)， 智能卡由專門的廠商通過專門的設(shè)備生產(chǎn)，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。智能卡認證是基于“what you have”的手

104、段，通過智能卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗證信息，因此還是存在安全隱患。 </p><p><b>　　動態(tài)口令 </b></p><p>　　動態(tài)口令技術(shù)是一種讓用戶密碼按照時間或使用次數(shù)不斷變化、每個密碼只能使用一次的技術(shù)。它采用一種叫作動態(tài)令牌的專用硬件，

105、內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據(jù)當前時間或使用次數(shù)生成當前密碼并顯示在顯示屏上。認證服務(wù)器采用相同的算法計算當前的有效密碼。用戶使用時只需要將動態(tài)令牌上顯示的當前密碼輸入客戶端計算機，即可實現(xiàn)身份認證。由于每次使用的密碼必須由動態(tài)令牌來產(chǎn)生，只有合法用戶才持有該硬件，所以只要通過密碼驗證就可以認為該用戶的身份是可靠的。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用