陈鸿星 周媛兰
江西师范大学数学与信息科学学院 江西 330022
二十一世纪,随着全球经济一体化的加剧,信息技术飞速发展,信息技术的传输途径已越来越依赖于互联网,国家已经发展到了商业上网,政府上网,企业上网,由之而来电子商务、电子政务、网上银行及网上证券等网上交易业务飞速发展。在信息技术迅速发展的同时,网络安全问题,也日益受到了人们的重视。其实,我们对之依赖性很强的网络是非常脆弱的,通过文献[1]中的详细分析可看出,若平时忽略网络安全性,那些问题往往会成为安全漏洞,从而导致意图不明的侵入。为保证信息传输的安全性,加强对网络安全的防护,针对网络安全措施中的各种不同的威胁和漏洞进行的探讨,就是为了保证网络信息的保密性、完整性和可用性。
随着应用程序从C/S 架构向Web 的迁移,我们必须面对一个新的挑战,就是在不影响终端用户使用的前提下,实现在任何地方灵活访问这些应用程序。
不对称加密的基本思想就是通过使用两把完全不同但又完全匹配的一对钥匙——公钥和私钥(一个可以对任何人公开的公钥和对未经授权的用户保密的私钥,公钥和私钥都在数学上相关联),用公钥加密的数据只能用私钥解密,而用私钥签名的数据只能用公钥验证。公钥可以提供给任何人,公钥用于对要发送到私钥持有者的数据进行加密,两个密钥对于通信会话都是惟一的。
公钥加密算法也称为不对称算法,原因是需要用一个密钥加密数据,而需要用另一个密钥来解密数据。
在使用不对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是惟一知道自己私钥的人。
不对称加密的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文,收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。
由于不对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。
RSA是不对称算法中最著名、使用最多的一种,RSA公开密钥密码系统是由R.Rivest、A.Shamir和L.Adleman教授于 1977年提出的,算法是基于大数不可能被质因数分解假设的公钥体系。简单地说就是找两个很大的质数,一个对外公开的为“公钥”,另一个不告诉任何人,称为“私钥”。RSA算法是基于大数难于分解的原理,不但可以用于认证,也可以用于密钥传输。利用RSA算法来传输密钥办法:A产生一个密钥Key,用B的公钥加密Key,然后将得到的密文发送给B,B用自己的私钥解密收到的密文,就可以得到A的密钥Key。
以不对称加密算法为基础的加密技术应用非常广泛,下面讨论的都属于此范畴。
1.2.1 SSL VPN的原理与连接过程
SSL协议是一种在Internet上保证发送信息安全的通用协议,处于应用层,SSL用公钥加密通过SSL连接传输的数据来工作,SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和 TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL 通过加密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上,只需要提供一个数字证书给Web 服务器。VPN主要应用于虚拟连接网络,它可以确保数据的机密性并具有一定的访问控制功能。VPN是一项非常实用的技术,它可以扩展单位的内部网络,允许单位的员工、客户以及合作伙伴利用 Internet访问企业网,而成本远远低于传统的专线接入。
SSL VPN是利用SSL的独特性以及VPN所能提供的安全远程访问控制能力的结合,是使用者利用浏览器内建的Secure Socket Layer封包处理功能,用浏览器连回单位内部SSL VPN服务器,然后透过网络封包转向的方式,让使用者可以在远程计算机执行应用程序,读取公司内部服务器数据。它采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。
SSL VPN原理:远程的使用者利用浏览器连接到 SSL VPN设备,然后透过IP封包转译的方式,由SSL VPN设备“模拟”远程使用者在“内部”进行数据存取,SSL VPN在与内部程序的连接上有不同的方式,所以在规划使用的时候,必须要作事前测试,有的是利用Adapter的方式作网络封包转译,有的则是利用Port Forward的方式作介接,所以在使用前必须要作应用程序兼容性测试。
SSL VPN连接建立过程:
客户端浏览器连接到Web服务器,向VPN服务器发出建立安全连接通道的请求;
VPN服务器接受客户端请求,发送VPN服务器证书做为响应,客户端验证 VPN服务器证书的有效性,如果验证通过,则用VPN服务器证书中包含的VPN服务器公钥加密一个会话密钥,并将加密后的数据和客户端用户证书一起发送给VPN服务器;
VPN服务器收到客户端发来的加密数据后,先验证客户端证书的有效性,如果验证通过,则用其专用的私有密钥解开加密数据,获得会话密钥。然后 VPN服务器用客户端证书中包含的公钥加密该会话密钥,并将加密后的数据发送给客户端浏览器;
客户端在收到 VPN服务器发来的加密数据后,用其专用的私有密钥解开加密数据,把得到的会话密钥与原来发出去的会话密钥进行对比,如果两把密钥一致,说明服务器身份已经通过认证,双方将使用这把会话密钥建立安全连接通道。
1.2.2 SSL VPN的优势
SSL VPN的优势来自于HTTP的广泛应用,常见的使用HTTP 的应用有:SOAP,UDDI等。这类 B/S 架构管理软件只安装在服务器端上,用户界面主要事务逻辑在服务器端完全通过 WWW 浏览器实现。极少部分事务逻辑在前端实现,所有的客户端可以只有浏览器。
(1) 零客户端
客户端的区别是SSL VPN最大的优势。正因为SSL 协议被内置于IE等浏览器中,使用SSL 协议进行认证和数据加密的SSL VPN就可以免于安装客户端,有Web浏览器的地方就有SSL,所以预先安装了Web浏览器的客户机可以随时作为SSL VPN的客户端。通过SSL VPN,客户端可以在任何时间任何地点对应用资源进行访问。
SSL VPN的客户端属于即插即用的安装模式,不需要任何附加的客户端软件和硬件,即便是瘦客户端模式,由于是用自动下载的模式,所以对用户来讲仍然是透明的。
(2) 安全性
SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
对于SSL VPN的联机,病毒传播会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的,因此通过SSL VPN连接,受外界病毒感染的可能性大大减小。
在远程主机与SSL VPN 网关之间,采用SSL通讯端口443来作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,如果所有后台系统都通过SSL VPN的保护,那么在日常办公中防火墙只开启一个443端口就可以,从而减少内部网络受外部黑客攻击的可能性。
(3) 访问控制
部署 VPN是为了保护网络中重要数据的安全,在电子商务和电子政务日益发展的今天,各种应用日益复杂,需要访问内部网络人员的身份也多种多样,对内网资源的权限也有不同的级别。SSL VPN重点在于保护具体的敏感数据,比如SSL VPN可以根据用户的不同身份,给予不同的访问权限。通过配合一定的身份认证,不仅可以控制访问人员的权限,还可以对访问人员的每个访问的关键信息进行数字签名,以保证每次访问的不可抵赖性,为事后追踪提供了依据。
(4) 经济性
使用SSL VPN具有很好的经济性,只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入,就使用成本而言,SSL VPN具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。
1.2.3 H3C SSL VPN
H3C SSL VPN系统是一款采用 SSL连接建立的安全VPN系统,为单位移动办公人员提供了便捷的远程接入服务,SSL VPN与传统VPN系统相比,有更好的易用性、无需用户配置、免客户端安装、部署简单、安全性高、安全控制力度高。极大地方便了单位的移动办公用户和网络管理,目前我们单位就采用了杭州华三通讯技术有限公司开发的这款H3C SSL VPN系统。
H3C SSL VPN系统功能包括:支持Web页面的安全访问(支持JavaScript和实现内部URL到外部URL的改写,实现http链接到https链接的转换);为用户提供SSL VPN的Web访问界面(用户登录界面,VPN资源访问界面,用户信息管理界面);为管理员提供SSL VPN的Web管理界面(对VPN用户的资源权限管理界面,对SSL VPN网关的监控页面);管理员任务分担(可以配置单位的Logo、问候语等,提供用户的主页模板,并可将管理职责划分不同角色)等等。我们可以从我们单位这个实例中清晰的看到这些功能的实现。
图1 H3C SSL VPN用户访问界面
使用H3C SSL VPN系统,通过SSL VPN客户端可以在任何时间任何地点对应用资源进行访问,但是客户操作都需要经过安全的身份验证和加密,文献[1]中讨论的网络欺骗是不可能发生的。
基于不对称加密算法,详细分析了SSL VPN原理与连接过程及优势,并使用了一个实例H3C SSL VPN,从而有效保障了网络资源的安全性。
[1]陈鸿星,张红霞,林淑琴.RFC 特征剖析及网络安全性对策[J].实验室研究与探索.2008.
[2]William Stallings.Cryptography and Network Security Principles and Practices,Fourth Edition[M].New Jersey:Prentice Hall.2010.
[3]William Stallings.Network Security Essentials:Applications and Standards (4th Edition) [M].Beijing:Tsinghua University Press.2010.
[4]徐恪,吴建平,徐明伟编著.高等计算机网络——体系结构、协议机制、算法设计与路由器技术[M].北京:机械工业出版社.2005.
[5]伍孝金主编.计算机网络[M].清华大学出版社.2007.
[6]贺思德,申浩如主编.计算机网络安全与应用[M].科学出版社.2007.
[7]岳建国,杨清永编著.计算机网络实验教程[M].西安电子科技大学出版社.2007.
[8]胡道元.网络安全的挑战和对策[J].信息网络安全.2008.
[9]李军.未来网络安全技术发展趋势[J].网络安全技术与应用.2007.
[10]邓向林.加强计算机网络安全的对策思考[J].科技资讯.2008.