基于SSL VPN的设计与研究Word文档格式.docx
《基于SSL VPN的设计与研究Word文档格式.docx》由会员分享,可在线阅读,更多相关《基于SSL VPN的设计与研究Word文档格式.docx(28页珍藏版)》请在冰豆网上搜索。
2.1.1 VPN技术原理………………………………………………………3
2.1.2 VPN连接模式………………………………………………………3
2.1.3 VPN构成分类………………………………………………………3
2.1.4VPN应用优势………………………………………………………4
2.2 VPN关键技术……………………………………………………………4
2.2.1 隧道技术……………………………………………………………5
2.2.2 加解密技术…………………………………………………………5
2.2.3 密钥管理技术………………………………………………………6
2.2.4 使用者与设备身份认证技术………………………………………6
2.3 国内外VPN的研究和发展情况…………………………………………6
第3章 SSLVPN相关理论研究…………………………………………………6
3.1 SSL协议分析……………………………………………………………6
3.1.1 概述…………………………………………………………………7
3.1.2 体系结构……………………………………………………………7
3.1.3 SSL记录层协议……………………………………………………7
3.1.4 SSL握手协议………………………………………………………9
3.1.5 告警协议和修改密码参数协议……………………………………10
3.1.6 会话与连接…………………………………………………………10
3.1.7 密码套件……………………………………………………………10
3.2 SSL协议与其它安全协议的比较………………………………………11
3.2.1IPSec与SSL对比…………………………………………………11
3.2.2SSL与SET的比较…………………………………………………11
第4章 SSLVPN系统体系结构…………………………………………………12
4.1 系统功能模型……………………………………………………………12
4.2 系统基本工作流程………………………………………………………13
结论…………………………………………………………………………………14
参考文献……………………………………………………………………………14
致谢…………………………………………………………………………………15
摘要
VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
SSLVPN价格低廉、实施简单而又拥有良好安全访问控制机制,在远程访问VPN领域有着不俗的表现,具有广泛的应用前景。
本文首先介绍了对VPN技术分类、VPN技术优势和主要技术进行分析和总结;
其次,对SSL协议和基于SSL协议的VPN技术做了详细的分析,并做了面向SSLVPN的实验。
关键词虚拟专用网;
安全套接层协议;
VPN
Abstract
VPNistheexpansionofenterprisenetworks,itcanhelplong-rangeusers,companybranches,businesspartnersandsupplierstoestablishcredibleandsecuritylinkingwiththecompany'
sinternalnetwork,andtoguaranteethesecuritytransmissionofdata.SSLVPNhavelowprice,simpleimplementationandhasagoodcontrolmechanismforsecurityaccessto,withagoodperformanceinthefieldoflong-rangeaccesstoVPN,andhasawideprospectofapplication.ThispaperfirstlyanalysisandsummarisetoclassificationofVPNtechnology,advantageofVPNtechnologyandkeytechnology;
secondly,ithasdoneadetailedanalysistotheSSLprotocolandVPNtechnologybasedonSSLprotocol,andalsomadeaexperimentfacetotheSSLVPN.
Keywords:
virtualprivatenetwork;
SSL;
VPN
第1章绪论
1.1 课题背景
随着通信技术和计算机网络技术的快速发展,互联网的用户数量急剧增加,许多新的网络服务如电子商务、网上银行等已被越来越多的人采用。
传统的互联网没有提供服务质量保证,没有权限和相应的安全机制。
随着网络的开放性,共享性以及互联网规模的进一步扩大,加上黑客攻击手段越来越先进,网络的安全问题就越来越严重,世界上关于网络安全的事件也越来越多,黑客采用例如IP欺骗、中间人攻击、脚本漏洞、钓鱼式攻击等方法,对人们造成了巨大的经济损失。
目前网络安全已成为计算机网络的一大热点。
同时,随着企业本身的发展壮大与跨国化,每家企业的分支机构越来越多,企业与各分部之间也需要随时通信,这涉及到远程联网及网络的复杂性问题。
为了保证数据在传输过程的安全,须按传统需要为每个分部建立独立的专用网络,但大量的独立专用网需要进行重复的网络投资,会造成资源浪费,增加管理负担。
为了解决上述问题,人们提出了虚拟专用网(VitualPrivateNetwork)的概念,即利用公共通信网络(如因特网)实现安全的保密数据通信,其原理是:
需要进行机密数据传输的两个端点均连在公共通信网上,当需要进行机密数据传输时,通过端点上的VPN设备(硬件或软件)在公共网上建立一条虚拟的专用通信信道,并且所有的数据均经过加密后再在网上传输,这样就保证了机密数据的安全传输,从而实现对企业内部网的一个扩展。
通过VPN,授权的业务伙伴就可以在授权范围内使用单位内部的数据,实现数据的安全交换。
传统的VPN组网形式都要求用户进行非常繁琐的安装配置工作,而这些工作还会受到防火墙的设置和NAT的影响,这些不断变化的配置调试给用户带了太多的不便。
随着网络的飞速发展,Web成为标准平台已势不可挡,越来越多的企业开始将ERP、CRM、SCM移植到Web上,在Web应用热潮中,SSLVPN被认为是实现远程安全访问Web应用的最佳手段,几年来得到了长足的发展。
第2章 虚拟专用网(VPN)技术
2.1 VPN概念
V----Virtual;
虚拟的,不用真正的铺设线路;
P----Private;
私有的,安全的;
N----Network;
网络的,互联互通。
顾名思义,VPN即虚拟专有网络。
它不是真正的物理线路,但能够实现专有网络功能。
这里说的虚拟专有网络VPN技术,就是利用Internet技术来组建企业自己的专有网络,实现异地组网,本地通信效果。
VPN利用隧道加密技术,利用公用网络上建立专用的数据通信网络,实现企事业单位任何两个授权端点间的连接。
所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。
所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
我们所要构建的虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。
它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正的去铺设光缆之类的物理线路。
虚拟专用网络解决了传统专网组建中需要的费时、费钱、端对端的物理链接,而是利用Internet公网的物理链路资源,动态组成,使用户实现“不花钱的专网”效果。
用户只需购买VPN设备和软件产品,向企业所在地的网络服务提供商支付一定Internet接入费用,节约租用专线的费用,即可实现不同地域的客户联系,还大大节省长途通信费用。
2.1.1 VPN技术原理
首先主机把信息发送到VPN网关,VPN网关对信息进行处理(如加密或添加数字签名等)并把各种网络协议(IP、IPX、APPLETALK等)通过隧道协议在二层或者IP层进行封装,封装后的IP数据包通过IP网络传输至网络的VPN网关或终端。
然后再进行解包操作,并进行相关处理(拉完整性、验证等)。
整个隧道的处理过程对网络上的其他设备是高度透明。
2.1.2 VPN连接模式
VPN有两种基本类型的连接模式:
传输模式和隧道模式,它们用在设备之间传输数据并定义了两台实体设备之间传输数据时基本的封装过程。
2.1.2.1 传输模式
传输模式连接用于在设备的真正源和目的IP地址之间传输数据时使用。
在传输模式中,实际的用户数据被封装在一个VPN的数据包中。
需要注意的是,在传输模式中,如果VPN保护的数据包被窃听攻击所检查,攻击者将会知道通信中实际源和目标设备,且传输模式不具备很好的扩展性,不适合于多台设备在不同区域的通讯方式。
如果你正在使用加密作为VPN的一种保护方法,攻击者将不能解密在VPN设备之间传输的实际的负荷。
2.1.2.2 隧道模式
在隧道模式中,实际的源和目标设备通常是不保护流量的,相反,某些中间设备(如VPN网关)用于保护这些流量,且隧道模式弥补了传输模式不具备很好扩展性这一不足。
隧道模式的工作原理是,本地设备将IP数据包转发到本地VPN网关,当VPN网关接收到IP数据包后,VPN网关会封装这个带有VPN保护信息的数据包,可能是加密原始的整个IP数据包,下一步,VPN网关将这个信息放入到另一个IP数据包中发送出去。
此外隧道模式还能提供一些比传输模式更优越的特性,如扩展性、灵活性、隐藏了通讯、使用私有地址和使用现有的安全策略。
2.1.3 VPN构成分类
2.1.3.1 远程访问虚拟专用网(AccesVPN)
远程访问VPN通常使用隧道模式在低带或者带宽连接之间应用。
因此远程访问连接,流量需要从源到某些中间设备之间被保护,它可以验证被保护的信息,真正的目标将会收到被保护的信息。
这就要求,远程访问用户需建立一个IP数据包,这个数据包的源地址是内部地址,而目标地址是总部网络设备的地址,这个数据包的VPN信息被封装和保护,并且添加一个外部的IP头。
在外部的IP头中,源地址是远程访问用户的ISP分配的NIC地址,而目标地址是VPN网关。
VPN网关接收到被保护的数据包,就会验证这个数据包,解密封装的数据包,并检测是否需要转发。
2.1.3.2 企业内部虚拟专用网(IntranetVPN)
IntranetVPN即企业总部网络与分支机构间网络通过公网来构建虚拟网,以解决内联网结构安全和连接安全、传输安全,并实现企业内部的资源共享、文件传输等,以便节省构建DDN等专线所带来的高额费用。
同时,企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
2.1.3.3 扩展企业内部虚拟专用网(ExtranetVPN)
ExtranetVPN即公司和合作伙伴等不同企业网络之间通过公共网络来构建的虚拟网。
它是解决外联网结构安全和连接安全、传输安全的主要方法,可以少花费完成企业电子商务需求。
ExtranetVPN在拓扑结构上合IntranetVPN非常相似,只是需要在企业防火墙加强基于策略的网络安全措施,使企业拥有与专用网络相同的策略,包括安全、Qos、可管理性和可靠性。
2.1.4 VPN应用优势
VPN除了能有效地降低网络通讯费外,还具有安全保障性、服务质量保证(QoS)、可扩充性和灵活性以及可管理性等应用优势。
(1)安全保障:
VPN的安全保障性通过提供身份认证、访问控制、数据加密及数据完整来保障其安全可靠性。
(2)服务质量保证(QoS):
VPN服务质量保证(QoS)指包在一个或多个网络的传输过程中所表现的各种性能的具体描述,如丢包率、延迟等。
它能一些网络技术(如IPSec、MPLS)的结合根据用户需求为用户提供不同等级的服务质量保证,为重要数据提供可靠的带宽。
(3)可扩充性和灵活性:
VPN的可扩充性和灵活性必须能够支持通过Intranet和Extranet的任何类型数据流,方便增加新的结点,支持多种类型的传输媒介,可满足同时传输语音、图像和数据等新应用对高质量传输及带宽增加的需求。
(4)可管理性:
可管理性在VPN管理方面,VPN要求用户将管理功能从LAN无缝地延伸到公网,甚至是客户和合作伙伴。
虽然可将一些次要的网络管理任务交给服务供应商完成,用户需完成许多网络管理任务。
VPN网管理的目标是:
减小网络风险、具有高扩展性、经济性、高可靠性等优点。
事实上,VPN的管理主要包括安全管理、设备管理、配置管理、访间控制列表管理、QoS管理等。
2.2 VPN关键技术
在公共IP网上建设虚拟专用网进行数据通信,需要满足通信安全的需要,这些安全需求主要有以下三类:
认证(确认信息源,即确认和你正在通信的人的身份)、信息保密性和数据完整性、提供访问控制。
不同的用户对不同的企业内部资源有不同的访问权限。
只有建立能满足上述的三个安全需要的IP虚拟专用网,才是算是真正的安全虚拟专用网,正确配置的安全虚拟专用网使用了强大的加密技术,它对内部用户看来是一个独立的,使用专用线路连接的LAN或WAN,安全虚拟专用网和传统专用网络之间的主要差异是真正的安全性(并不仅仅是专用)、灵活性、可伸缩性和低成本。
由于企业网络中传输的是私有的信息,VPN虚拟专网中用户对数据的安全性都比较关心,安全问题是VPN技术的核心问题。
目前组建VPN虚拟专用主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&
Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication),保证企业员工安全访问公司内部网络中资源。
2.2.1 隧道技术
隧道技术是VPN的基本技术,具有分组封装技术,且能模仿点对点连接技术,依靠ISP在公用网中建立自己专用的“隧道”,让数据包通过这条隧道实现传输。
其基本过程是在内部网络与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的网络与公网的接口处将数据解封装,取出数据。
被封装的数据包在公网上传递时所经过的逻辑路径称为“隧道”。
隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信的。
隧道协议分为第二层隧道和第三层隧道,由传输封装形成的数据包的协议决定。
第二层隧道协议主要有三种:
PPTP(PointtoPointTunnelingProtocol,点对点隧道协议),L2F(Layer2Forwarding,第二层转发协议)和L2TP(Layer2TunnelingProtocol,第二层隧道协议)。
第三层隧道协议也并非一种新技术,早先的通用路由封装协议(GRE,GenericRoutingEncapsulation)就是一个第三层隧道协议,此外还有IPSec(IPSecurity)和虚拟隧道协议(VTP,VirtualTunnelingProtocol)。
2.2.2 加解密技术
在VPN中,对通过公共互联网络传递的数据必须经过加密,从而确保网络上未授权的用户无法读取信息。
可以说密码技术是网络安全的核心问题。
在VPN中更是如此。
数据加密的基本过程就是对原来为明文的文件或数据按某种算法处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示了本来内容。
通过这样的途径来达到保护数据不被非法人员窃取、阅读的目的。
2.2.2.1 两种加密技术
加密技术通常分为两大类:
对称式和非对称式。
对称式加密就是加密和解密使用同一个密钥。
非对称式加密就是指加密和解密所使用的不是同一个密钥。
通常有两个密钥:
公钥和私钥,它们两个必须配对使用,否则不能打开加密文件。
2.2.2.2 数字证书
数字证书是互联网通信中标志通信各方身份信息的一系列数据,提供了一种在Internet上验证你身份的方式。
简单说来,数字证书是一个经证书授权中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
最简单的证书包括一个公开密钥、名称以及证书授权中心的数字签名。
一般情况下证书中还包括密钥的有效时间、发证机关的名称、该证书的序列号等信息。
2.2.2.3 摘要算法
摘要是一种防止改动的方法,其中用到的函数叫摘要函数。
摘要有这样一个性质:
如果改变了输入消息中的任何东西,甚至只有一位,输出的摘要将会发生不可预测的改变。
也就是说输入消息的每一位对输出摘要都有影响。
总之,摘要算法从给定的文本块中产生一个数字签名,数字签名可以用于防止有人从一个签名上获取文本信息或改变文本信息内容和进行身份认证。
2.2.2.4 密钥交换和管理
密钥既然要求保密,这就涉及到密钥的交换和管理问题。
VPN中密钥的分发与管理非常重要。
密钥的分发有两种方法:
一种通过手工配置,另一种采用密钥交换协议动态分发。
手工配置的方法由于密钥更新困难,只适合安全要求较低的情况。
密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥更新快,可以显著提高VPN的安全。
2.2.3 密钥管理技术
密钥管理技术的主要任务是如何在公网上安全地传递密钥而不被窃取。
现行密钥管理技术又分为SKIP与ISAKMP两种。
SKIP是使用Diffie-Hellman的演算法则,在网络上传输密钥:
ISAKMP双方都有两把密钥,分别用于公用、私用。
2.2.4 使用者与设备身份认证技术
公用网络上有众多的使用者和设备,如何正确地辨认合法的使用者与设备,使只有授权的本单位人员才能与设备互通,构成一个安全的VPN,并让未授权者无法进入系统,这就是使用者与设备身份确认技术要解决的问题。
VPN技术通常使用CHAP(质询握手身份验证协议)、MS-CHAP(Microsoft质询握手身份验证协议)、EAP(可选的可扩展身份验证协议)这三种设备验证方法:
(a)CHAP:
使用MD5来协商加密身份验证的安全形式,在响应时使用质询一响应机制和单向MD5散列。
(b)MS—CHAP:
同CHAP相似,对远程Windows工作站进行身份验证,在响应时使用质询一响应机制和单向加密。
而且MS—CHAP使用不同密匙,但不要求使用原文或可逆加密密码,能提供了相互身份验证和更强大的初始数据密钥。
(c)EAP:
可以增加对许多身份验证方案的支持,包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其它身份验证。
能更好的满足其它安全设备的远程访问用户进行身份验证的需求,同时可以防止暴力攻击及密码猜测。
2.3 国内外VPN的研究和发展情况
人们对虚拟专用网(VPN)技术的研究开始于20世纪90年代,这与采用隧道封装技术和密码技术共享公共通信网络资源来组建内联网、外联网和远程拨入网有极为重要的关系。
目前实现VPN常用的技术包括配置管理技术、隧道技术、协议封装技术和密码技术等。
这些技术可以应用于TCP/IP协议中的数据链路层、IP层、TCP层和应用层。
目前较为成熟的VPN实用技术均有相应的协议规范和配置管理方法。
这些常用配置方法和协议主要包括路由过滤技术、GRE(GenericRoutingEncapsulation,通用路由封装协议)、L2TP(Layer2TunnelingProtocol,第二层隧道协议)、PPTP(Point-to-PointTunnelingProtocol,点对点隧道协议)、IPSec(IPSecurityProtocol,IP安全协议)等。
多年来,IPSec协议一直被认为是构建VPN的最好选择,它提供站点之间(例如分部到总部)及远程访问的安全联机。
它是一种成熟的标准,全球各地厂商提供这种解决方案。
IPSec/IKE事实上指的是IETF标准的集合,包括密钥管理协议(IKE)和加密封包格式协议(IPSec)。
IPSec/IKE可支持各种加密算法(DES、3DES、AES与RC4)及信息完整性检验机制(MD5、SHA-1)。
IPSec是网络层的VPN技术。
IPSec用自己的封包协议封装原始IP信息,因此可隐藏所有应用协议的信息。
它在IP层对数据包进行高强度的加密和验证,使安全服务独立于各种应用程序。
通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接。
因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式。
这包括加密运算法则和身份验证方法类型等。
因此,IPSec协议具有安全、高效、应用透明等特点,但是为了通信连接之前的协商,需要在双方设备上安装特定的客户端软件,而且配置非常的复杂。
最新的研究表明近乎90%的个企业利用VPN进行的内部网和外部网的连接都只是用来访问Internet和电子邮件通信,另外10%的用户只是利用如QQ和其他私有客户端应用,并不属于因特网应用。
而这些90%的应用都可以利用一种更加简单的VPN技术—SSLVPN来提供更加有效的解决方案。
基于SSL协议的VPN远程访问方案更加容易配置和管理,网络配置成本比起目前主流的IPSecVPN还要低许多,所以,许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现VPN通信了。
SSL协议是套接层协议,它是为保障在Internet上基于Web的通信的安全而提供的协议。
它具有很强的灵活性,因而广受欢迎,如今几乎所有浏览器都内建有SSL功能,它正式成为企业应用、无线接入设备、Web服务以及安全接入管理的关键协议。
SSLVPN保障Web浏览器和Web服务器之间的信息安全,每一个SSL会话一次只服务于一个应用程序,它提供的是应用程序的安全服务而不是网络的安全服务,因此也被称为“应用程序层的VPN”。
第3章 SSLVPN相关理论研究
3.1 SSL协议分析
SSLVPN是采用SSL协议进行加密和认证的VPN实施,在介绍SSLVPN相关理论前,必然要深入了解SSL协议的规范和运作原理。
3.1.1 概述
安全套接层(SecureSocketLayer,SSL)协议是Netsacpe公司于1994年提出的一个网络安全通信协议,是一种在两台机器之间提供安全通道的协议。
它具有保护传输数据以及识别通信机器的功能。
SSL最初是通过加密HTTP连接
升级会员 