维普资讯 http://www.cqvip.com 21307年第6期 福建 电脑 69 通过SSL VPN简化安全访问的策略 王硕,牧笛,冯文惠 (河南商业高等专科学校河南郑州450045) 【摘要】:随着远程访问的广泛应用,实现安全访问成为大家关注的问题。传统的VPN技术,采用IPsec实现安全策 略,但是IPsec存在着范围有限、技术要求高等缺陷,使得VPN技术推广困难,应用受到限制的局面。本文主要讨论SSLVPN 在实现安全访问方面的技术和优势。 【关键词】:远程访问;SSL;VPN;安全访问 0.前言 (4)身份认证技术 身份认证技术能够正确地辨认合法的使用者与设备.使属 经满足不了用户需求。VPN是依靠ISP(因特网服务提供商)和 于本单位的人员与设备互相通信.并让未经授权者无法进入该 其它NSP(网络服务提供商),在公用网络中建立专用的数据通 系统。认证技术防止数据的伪造和被篡改。可以采用”摘要”的技 信网络的技术。它利用公共网络提供的传输条件、网络端口及其 术。由于Hash函数的特性,两个不同的报文具有相同的摘要几 它网络资源。组成一个虚拟的专用网络.为一定的企业或集团用 乎不可能.该特性使得摘要技术在VPN中有验证数据的完整性 户使用,通过一定的技术手段,达到类似私有专网的数据安全管 和用户认证两种用途。目前一个基于标准的解决方案是远程验 理能力。VPN的组网方式为企业提供了一种低成本的网络基础 证拨号用户服务(RADIUS).它是一个维护用户配置文件的数据 设施,并增加了企业网络功能。 库。包括口令和访问优先权。代理RADIUS功能允许在ISP的接 企业实现VPN连接时.内部网络必须配置一台VPN服务 人点设备上接人客户的RADIUS服务器.获得必要的用户配置 器。VPN服务器一方面连接企业内部专用网络,另一方面要连接 文件信息。 到Internet。当客户机通过VPN连接与专用网络中的计算机进 传统的VPN技术安全策略的核心是IeSec.在这里我们称 行通信时.先由ISP将所有的数据通过多层的虚拟”隧道”传送 之为IPSec VPN。IPSec VPN在实现过程中存在着配置难、安装 到VPN服务器.然后再由VPN服务器负责将所有的数据传送 维护复杂、兼容性差、范围有限等缺点。这些问题的存在,使得 到目标计算机 VPN的应用推广有一定的障碍。对于用户来说,使用VPN技术 在实现远程访问的过程中.用户最关心的问题是安全问题. 必须经过专业的培训.而且网络环境的一些简单的改变就会造 没有安全保障的远程访问技术是不会被用户认可的。 成远程访问的失败:对于生产VPN设备的公司来说.需要提供 1.VPN技术的安全策略 大量的后期维护和技术支持。增加了企业的成本。因此,可以利 VPN来简化安全访问的操作过程。 VPN的安全技术主要包括隧道技术、加密技术、密钥管理 用SSL 和身份认证四个方面 2.SSL VPN的特点 SSL(Secure Sockets Layer)是Netscape公司提出的基于 (1)隧道技术 隧道技术的基本过程是在源局域网与公网的接口处.将数 Web应用的安全协议。SSL协议指定了一种在应用程序协议 据作为负载封装在一种可以在公网上传输的数据格式中.在目 (如HTrP、F1 、TeInet)和TCP/IP协议之间提供数据安全性 的局域网与公网的接口处将数据解封装,取出负载。隧道依赖于 分层的机制.它为TCP/IP连接提供数据加密、服务器认证、消息 隧道协议.分为第二层、第三层隧道协议。第三层隧道协议IPsec 完整性以及可选的客户机认证。 SSL协议层包含两类子协议一SSL握手协议和SSL记录协 (Intemet Protoeol security)是把各种网络协议直接装入隧道协议 中,形成的数据包依靠第三层协议进行传输。IPSec是IETF制定 议。它们共同为应用访问连接提供认证、加密和防篡改功能。SSL 的标准.其中包括一整套IP协议.用于在两个IP站之间商定所 能在TCP/IP和应用层间无缝实现Interact协议栈处理.而不对 用的加密和数字签名方法。第二层隧道协议基于第三层隧道协 其他协议层产生任何影响。 议.它先把各种网络协议封装到PPP中.再把整个数据包装人隧 SSL VPN客户端的应用是基于标准Web浏览器内置的加 道协议中.这种双层封装方法形成的数据包需要靠第二层协议 密套件与服务器协议出相应的加密方法.即经过授权用户只要 能上网就能够通过浏览器接人服务器建立SSL安全隧道。SSL 进行传输 VPN继承了IPSec VPN的远程使用与内网使用体验一致、与应 (2)加密技术 IPS 通过ISAKMP/IKE/Oakley协商确定几种可选的数据 用无关的优点.避免了因有客户端而导致的使用维护不便、某些 加密算法来解决安全传输问题.如DES(Data Encryption Stam. 网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业 现有认证服务器结合、无法审计等问题。提供web应用、c,S应 dam)、3DES、MD5、SHA等。 用和B,s应用访问。 (3)密钥交换与管理 密钥管理技术的主要任务是如何在公用数据网上安全地传 SSL VPN相对于IPSec VPN来说具有以下优点: 递密钥而不被窃取。现行密钥管理技术又分为互联网简单密钥 (1)简单性 SSL VPN不需要配置.可以立即安装、立即生效,客户端不 管理协议SKII)与因特网安全关联和密钥管理协议ISAKMP/ OAKLEY两种。SKIP主要是利用Ditife—Hellman的演算法则,在 需要安装.直接利用浏览器中内嵌的SSL协议就可以了。网络上传输密钥;在ISA ̄P中,双方都有两把密钥,分别用于 (2)安全性高 SSL工作于高层.它能基于Internet实现安全数据通信:数 公用、私用。 VPN中密钥的分发有两种方法:一种是通过手工配置:另 据在从浏览器发出时进行加密,到达数据中心后解密;同样地,种采用密钥交换协议动态分发。手工配置的方法由于密钥更 数据在传回客户端时也进行加密.再在Intemet中传输。SSL会 客户端与 新困难。只适合于简单网络的情况:密钥交换协议采用软件方式 话由两部分组成:连接会话和应用会话。在连接阶段,服务器交换证书并协商安全参数,如果客户端接(下转第51页) 动态生成密钥.适合于复杂网络的情况且密钥可快速更新。 一随着企业访问Intemet的增加.传统的Interilet接人服务已 维普资讯 http://www.cqvip.com 2007年第6期 福 建 电脑 51 Nane方法实现的多级安全树。 ation)的管理。GCKS是这种体系结构的核心,负责创建和维护密 在图1中.每一个安全级别有自 钥集.通过授权访问可能的组成员来推行组策略。 己独立的组播树。虚线(”一一”)连接 这种安全组播的解决方案在密钥管理方面有很强的实用 的是安全级别为1的成员组成的组播 性.但对于源认证等问题的处理还不够完善,也并没有考虑组播 树.根结点为结点2。实线(”一”)连接 组内部的条件接收情况。 的是级别为2的成员组成的组播树, 其他的安全组播实现方案还包括基于GDOI的解决方案、 根结点为结点1 结点1是两棵树共 基于IPsec安全机制的解决方案等。 有的成员.而结点3和6是安全级别 5.安全组播的发展前景 为O的结点.它们不属于任何一棵组 在组播应用不断扩大的同时.安全性已经成为了一种迫切 播树。 图l lotus的层次分布树 需求.而目前很多安全组播的解决方案还处于理论研究阶段。组 全机制的安全组播解决方案可以使信息在组播组中有条件 播的应用类型也就成为了决定安全组播应用的一个重要因素。 传送.更有利于保障组播信息的安全,这种方案特别适合于组播 如在远程教育中应重点考虑组播组扩展后的安全问题;视频点 组成员相对稳定的应用环境中。但组播组成员对多个密钥的拥 播中应考虑数据源的加密和认证问题等。 有会造成其存储资源耗费、认证负担加重等问题。 除了在应用层提供基本的安全服务外.也应该考虑在更低 4.2基于层次分布树的安全组播结构 层次实现组播安全。同时,安全组播的发展还应考虑将更多的安 Iolus是斯坦福大学的Suvo Mittra提出的一个基于层次分 全协议和其它组播协议(如可靠组播协议)结合起来,进一步提 布树的安全组播框架。组播组成员采用了分组的方式,使用层次 高实用性 分布树的结构进行管理。这种方式将所有的组播组成员分成几 个组.由组安全控制器(GSC)统一管理,而每个组则由一个组安 参考文献: 全中介(GSI)管理。组是相对独立的,并且拥有自己独立的组密 1.S.Holeman.G.Manimaran.Diferentially secure multicasting and its in1一 钥 Iolus体系结构的层次分布树如图1所示: plementation methods.Computer&Security.Vol 21.No 8.2002.pp736— 这种组播结构的优点是:使密钥更新的开销减小:实现了一 749 定层次上的分布安全性。当某个子组受到攻击时,不会影响其他 2.W.Ford.Computer Communications Secure:Principles,Standard 组成员:具有可扩展性。缺点是多个分组的管理增加了系统的存 Protocols and Techniques,Prentice H .1994 储开销和处理开销。 3.D.Maughan.M.Shertler.M.Schneider,J.Turner.IETF RFC 2408:In- 4-3基于GSAKMP的安全组播解决方案 temet Securiyt Association and Key Management Protocol,November 1998. 组安全联盟密钥管理协议GSAKMP(Group Secure Associa— 4.Moyer M J,Rao J tL.Rohatgi P.A survey ofSecuriyt Issues in Multicast ti0n Kev ManageInent Protoca1)是IETF提出的在网络上创建和 Communications.IEEE Network.1999-11/12 管理密钥组的一个安全框架.它的主要目的是以一种安全的模 5.R.Canetti.J.Garay,G.1tkis.D.Miccinacio.M.Naor.and B.Pinkas.” 式产生和分发组密钥 GSAKMP将它的密钥安全管理功能和职 MI11dc3st security:A taxonomy and some efifcient construc?tions.”in lnfo- 责分为三个部分:组的拥有者GO(Group Owner),组控制器/密钥 com 99,1999 服务器GCKS fGroup Controller Key Server和组成员GM(Group 6.Mittra S.1oisn:A Framework for Scalable Secure Multicasting.Proc of Member1。密钥管理的核心是组安全联盟(Group eScure Associ. ACM SIGCoMM.1997 (上接第69页) 受了服务器证书.便生成主密钥,并对所有后续通信进行加密。 通过以上的介绍.我认识到了SSLVPN的特点。但是SSL SSL安全功能组件包括三部分:第一.认证。在连接两端对服务 VPN并不是要完全取代IPSec VPN。SSL VPN主要解决的是高 器或同时对服务器和客户端进行验证:第二.加密。对通信进行 层协议.实现高层的安全性;而IPSec VPN主要解决的是网络层 加密,只有经过加密的双方才能交换信息并相互识别;第三,完 的安全性。SSLVPN可以实现端到端的安全.即客户机或浏览器 整性检验。进行信息内容检测.防止被篡改。 到目的服务器的安全访问:而IPSec VPN实现的是主机问的安 (3)兼容性好 全传输.即客户主机到目的网络问的Intemet网络上的安全传 目前。几乎所有的浏览器都内置了SSL.使用非常方便。 输。 ssL VPN可以适用于任何的终端及不同的操作系统。 因此.实现远程安全访问策略时。可以采用ssLVPN和 3.SSL VPN的安全访问策略 IPSec VPN相结合的方法。在主机之间采用If'See VPN技术。在 SSL VPN面向的是远程接人即管理系统.它考虑的是应用 端到端的应用中采用ssL VPN。这样,相对于传统的IPSee VPN 软件的安全性。它强调的是易于使用和管理、安全性等。一个 来说.安全机制从主机之间延伸到端到端问,远程访问的安全性 SSL vPN用户的登录包括ssL握手、认证、授权、记录日志等过 将大大提高。同时。用户直接和SSL打交道。用户可以充分体验 程。在远程访问控制时采用ssL VPN.可以更加有效的监控用户 到SSL VPN简单易用等优点.从而简化了安全访问的实现过 使用权限.所有访问被限制在应用层.提高了访问的安全性。 程