馬驄

摘 要：文章首先介紹分析了SSL協(xié)議，探討了SSL協(xié)議對VPN支持的方面可能存在缺陷，并提出了引入PKI數(shù)字證書系統(tǒng)，用于解決網(wǎng)絡(luò)環(huán)境下身份認(rèn)證、訪問控制等存在的問題，以來增強(qiáng)SSL VPN系統(tǒng)的安全性，并對PKI的加密算法的安全性進(jìn)行了分析比較。基于PKI技術(shù)的SSL VPN技術(shù)有效的彌補(bǔ)了SSL VPN在安全性的不足，添加了用戶權(quán)限分級控制，滿足了不同層次的需求，可以更加靈活配置管理遠(yuǎn)程接入的訪問，實現(xiàn)了資源的安全共享。

關(guān)鍵詞： SSL 協(xié)議； PKI 技術(shù)； 數(shù)字證書； VPN； 網(wǎng)絡(luò)技術(shù)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2016）12-0040-02

Abstract：This paper first introduces the SSL protocol， and discusses the possibility of how to use SSL protocol to support VPN. This paper introduces the PKI system to construct the secure and effective highly system which can support SSL VPN technology. The PKI system can vouch for the security of transmit， guarantee the users identity， and solve the problem of authentication.

Key words：SSL； PKI； digital certificate system； VPN； network

1 概述

SSL VPN是近年來興起的一種新的VPN技術(shù)，是一種解決遠(yuǎn)程用戶安全訪問本地網(wǎng)絡(luò)中敏感數(shù)據(jù)的解決方法。SSL VPN技術(shù)[1]有著易于實現(xiàn)安裝，不需要安裝客戶端，成本低廉，細(xì)粒度的訪問控制等優(yōu)勢，適用于遠(yuǎn)程分散用戶的鏈接。然而隨著SSL VPN的廣泛應(yīng)用，SSL VPN技術(shù)也暴露出來一些問題，例如黑客會利用所控制的合法終端進(jìn)行攻擊或造成數(shù)據(jù)的泄漏。SSL VPN雖然能夠抵御外部用戶的終端的攻擊，但是針對這些來自合法用戶的攻擊比較無力。

因此，本文將從SSL VPN存在的問題入手，針對這些安全保護(hù)上問題引入數(shù)字證書和數(shù)字簽名技術(shù)，改進(jìn)了SSL VPN的安全性能，從而使其滿足達(dá)到應(yīng)用到遠(yuǎn)程測控網(wǎng)絡(luò)的構(gòu)建的安全性的要求。

2 SSL VPN技術(shù)概述

SSL VPN技術(shù)是在現(xiàn)有的SSL協(xié)議的應(yīng)用基礎(chǔ)上發(fā)展而來的，它增加了客戶端執(zhí)行訪問控制和安全的級別和能力。SSL協(xié)議一般位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，其可分為兩層： SSL記錄協(xié)議層，SSL握手協(xié)議層。SSL握手協(xié)議是建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL記錄協(xié)議是建立在SSL握手協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

3 基于PKI技術(shù)的SSL VPN設(shè)計

3.1 PKI技術(shù)概述

公鑰基礎(chǔ)設(shè)施Public Key Infrastructure（PKI）[2，3]是一個采用非對稱密碼算法原理和技術(shù)實現(xiàn)的、具有通用性的安全基礎(chǔ)設(shè)施。該設(shè)施通過規(guī)范化地管理密鑰，并利用數(shù)字證書上的數(shù)字簽名來標(biāo)識在密鑰持有人的身份，為應(yīng)用系統(tǒng)進(jìn)行身份驗證、數(shù)據(jù)的完整性和保密性、不可否認(rèn)性等來進(jìn)行安全保障的措施，從而提供一個安全可靠的系統(tǒng)環(huán)境。常見的PKI系統(tǒng)如下圖所示：

PKI系統(tǒng)的基礎(chǔ)是數(shù)字證書[2，4，5]。數(shù)字證書其主要用于在網(wǎng)絡(luò)業(yè)務(wù)活動中對實體標(biāo)識身份，方便通信雙方對其身份的驗證，也會對證書的有效期進(jìn)行檢查，保證了不可抵賴性，解決了雙方信任問題。 數(shù)字證書通常由證書認(rèn)證中心簽名并發(fā)布出來，包含了公鑰持有者的信息以及公開的密鑰的文件。

數(shù)字證書主要分為兩大類，一類是簽名證書，主要用于對用戶信息進(jìn)行簽名，保證信息的不可否認(rèn)性和不可抵賴性；另一類則是加密證書，主要用于傳輸過程中對用戶傳送的信息進(jìn)行加密，以保證信息的真實性和完整性。

而數(shù)字證書的安全性則由加密算法的優(yōu)劣來決定。目前常見的非對稱加密算法主要有RSA，DSA和ECC。三種加密算法都有著很高的安全性，但以本文的角度上來考慮到用戶訪問的數(shù)據(jù)能夠在最短的時間內(nèi)進(jìn)行加密或解密從而進(jìn)行傳輸。所以本文會以加解密算法的復(fù)雜度作為首要條件進(jìn)行考慮，綜合考慮加密算法的安全性，最后選擇了橢圓曲線加密算法—ECC。

3.2 EEC算法

橢圓曲線加密算法ECC是一種公鑰加密算法，它具有計算量小，存儲空間占用小，帶寬要求低等優(yōu)點。它的算法的核心思想是利用橢圓曲線上的有理點構(gòu)成Abel加法群上橢圓離散對數(shù)計算的復(fù)雜性。

3.3 實驗結(jié)論

目前市面上的SSL大部分采用的是RSA非對稱加密算法，因此本文選取了RSA與EEC加密算法的比較。在實驗過程分別采用了依次遞增加密密鑰長度，來測試兩個算法的耗時和效率。

根據(jù)圖4和圖5的結(jié)果，可以得到實驗結(jié)論為：隨著密鑰長度越來越長，RSA性能大為降低。而ECC的算法則上升程度有限?？偟膩碚f，EEC算法比RSA更為適用與進(jìn)行數(shù)字證書的加密。

3.4 PKI技術(shù)在SSL VPN中的應(yīng)用

系統(tǒng)設(shè)計的目標(biāo)是建立一個具有高安全性，能夠適用基于互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程測控系統(tǒng)通信的SSL VPN安全系統(tǒng)。系統(tǒng)采用SSL協(xié)議為基礎(chǔ)，引入PKI數(shù)字證書技術(shù)，來保證測控信息通道安全的安全通訊系統(tǒng)。系統(tǒng)主要完成的工作分為以下幾個部分：

（1）建立SSL VPN服務(wù)器

（2）建立認(rèn)證中心CA，實現(xiàn)對數(shù)字證書的發(fā)放、管理和作廢等功能。

（3）建立LDAP目錄服務(wù)器，用于查詢用戶信息等功能。

SSL VPN服務(wù)要能夠接受用戶的訪問，提供給用戶相應(yīng)的功能權(quán)限，并能對訪問的用戶進(jìn)行管理。用戶從PKI數(shù)字證書系統(tǒng)中去申請用于建立SSL連接的所需求的數(shù)字證書，同時也會去申請角色的權(quán)限（通常內(nèi)嵌在數(shù)字證書中）。管理員根據(jù)不同的需求分配不同的角色給用戶，以便用戶使用自己相應(yīng)的資源。SSL VPN應(yīng)用服務(wù)器根據(jù)用戶的權(quán)限進(jìn)行識別，然后建立起一個隧道連接，同時也會檢測訪問的權(quán)限范圍，提供相應(yīng)的操作結(jié)果值和安全范圍內(nèi)的資源給用戶。

在用戶的訪問請求階段，SSL握手協(xié)議層中采用了生成隨機(jī)碼和驗證，保證建立過程的唯一性和隨機(jī)性。利用了PKI數(shù)字證書技術(shù)對用戶的身份進(jìn)行驗證。采用了用戶角色的設(shè)計，對不同的用戶提供了不同的訪問權(quán)限等級，保障了應(yīng)用服務(wù)器上的資源的安全使用。在SSL協(xié)議層采用了多種方法對數(shù)據(jù)的傳輸過程進(jìn)行加密。同時，在傳輸數(shù)據(jù)過程中采用MAC算法對傳輸數(shù)據(jù)的完整性進(jìn)行驗證，保證了數(shù)據(jù)的完整性。

4 結(jié)論

通過引入了PKI數(shù)字證書系統(tǒng)，彌補(bǔ)了SSL VPN在安全性方面的不足，添加了用戶權(quán)限分級控制，滿足了不同層次的需求，可以更加靈活配置管理遠(yuǎn)程接入的訪問，實現(xiàn)了資源的安全共享，極大提高了系統(tǒng)的數(shù)據(jù)的安全性，更能適應(yīng)不同的數(shù)據(jù)操作環(huán)境。

參考文獻(xiàn)：

[1] Charlie Hosner. OpenVPN and the SSL VPN Revolution. http：//openvpn.net/index. php/open-source/articles.html .

[2] 徐勇，袁丁.數(shù)字證書的研究與實現(xiàn)[J].通信技術(shù)，2009（1）.

[3] 虞歌. PKI體系的分析[J]. 現(xiàn)代計算機(jī)， 2003（7）.

[4] 張仕斌，何大可，盛志偉. PKI安全認(rèn)證模型的分析與研究[J]. 成都信息工程學(xué)院學(xué)報，2006（3）.

[5] 徐慶征.公開密鑰基礎(chǔ)設(shè)施PKI及其體系結(jié)構(gòu)的研究[J]. 數(shù)據(jù)通信，2004（3）.

[6] Ramy K. Khalil，F(xiàn)ayez W. Zaki，Mohamed M. Ashour， et al.A Study of Network Security Systems[J]. International Journal of Computer Science and Network Security ，2010.

[7] 陳向榮，余勝生.IPSec-VPN中應(yīng)用PKI的研究與實現(xiàn)方案[J]. 計算機(jī)與數(shù)字工程，2002（6）.

[8] Eric Young.OpenSSL project[EB/OL]. http：//www.openssl.org .

[9] Younglove R.Virtual Private network show they work[J]. Computing &Control Engineering Journal，2005，11（5）.