侯剛 周洲 杜波

1 云南省電子政務(wù)網(wǎng)絡(luò)管理中心 云南 650228

2 云南省委辦公廳信息技術(shù)中心 云南 650021

0 前言

虛擬專用網(wǎng)絡(luò)(Virtual Private Network,VPN)是一種在公共的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)(如Internet)上建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。VPN通過對數(shù)據(jù)包進(jìn)行加密和封包，在公共網(wǎng)絡(luò)基礎(chǔ)平臺(tái)上構(gòu)建出安全、可靠的專用隧道，使私有數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸。用戶使用 VPN技術(shù)，不需要建設(shè)自己的專用網(wǎng)絡(luò)，節(jié)省投資，使用便捷，VPN技術(shù)因而獲得了廣泛的應(yīng)用。

VPN技術(shù)發(fā)展至今，產(chǎn)生了多個(gè)種類，有工作在2層的L2TP VPN，工作在3層的IPsec VPN，工作在傳輸層和應(yīng)用層之間的安全套接層(Secure Socket Layer,SSL)VPN，基于虛擬路由表和標(biāo)簽轉(zhuǎn)發(fā)的MPLS/BGP VPN 等。其中SSL VPN由于接入方便、方便用戶通過公共網(wǎng)絡(luò)(如Internet)接入業(yè)務(wù)網(wǎng)絡(luò)，在遠(yuǎn)程接入上應(yīng)用廣泛。

SSL是一個(gè)獨(dú)立于平臺(tái)并獨(dú)立于應(yīng)用的協(xié)議，用戶保護(hù)基于TCP的應(yīng)用。在TCP/IP四層架構(gòu)中，SSL在傳輸層之上，應(yīng)用層之下，像TCP連接所連接的套接字一樣工作。

SSL VPN 技術(shù)幫助用戶使用標(biāo)準(zhǔn)的 Web 瀏覽器就可以通過公共網(wǎng)絡(luò)平臺(tái)接入所要訪問的遠(yuǎn)程資源。在用戶的計(jì)算機(jī)上，不需要安裝客戶端軟件及進(jìn)行復(fù)雜的配置，大大方便了用戶，僅僅通過一臺(tái)接入了Internet 的計(jì)算機(jī)就能訪問遠(yuǎn)程資源。這為企業(yè)及政府提高效率也帶來了方便。

SSL協(xié)議的體系架構(gòu)如圖1所示。

圖1 SSL協(xié)議的體系架構(gòu)

SSL工作在傳輸層和應(yīng)用層之間，本身的協(xié)議就分為上下兩層。下層是記錄協(xié)議；上層包含握手協(xié)議(Handshake Protocol)，修改密碼規(guī)范協(xié)議(Change Cipher Spec Protocol)，報(bào)警協(xié)議(Alert Protocol)和各種應(yīng)用協(xié)議。

下面對各協(xié)議的功能進(jìn)行闡述：

(1) 記錄協(xié)議。記錄協(xié)議是一個(gè)從相鄰層接收原始數(shù)據(jù)的協(xié)議，它將所接收到的數(shù)據(jù)進(jìn)行壓縮、加/減密、身份認(rèn)證和數(shù)據(jù)完整性檢查，然后提交給相鄰的上層或者下層。

(2) 握手協(xié)議。握手協(xié)議是通信主體雙方在進(jìn)行數(shù)據(jù)交換前協(xié)商各種參數(shù)的協(xié)議。所協(xié)商的參數(shù)包括：協(xié)議的版本號(hào)、雙方所使用的加密算法、雙方身份認(rèn)證的信息、密鑰材料等。

SSL VPN握手協(xié)議的協(xié)商過程如圖2所示。

① 客戶端發(fā)送“client hello”消息到服務(wù)器端，發(fā)起連接協(xié)商。在hello消息中包括客戶端隨機(jī)數(shù)和所支持的密碼套件。

② 服務(wù)器發(fā)送“server hello”消息響應(yīng)客戶端hello，在hello消息中包括服務(wù)器隨機(jī)數(shù)和所支持的密碼套件。

圖2 SSL VPN握手協(xié)議的協(xié)商過程

③ 服務(wù)器發(fā)送服務(wù)器證書到客戶端，以提供身份認(rèn)證。并且在許多情況下，也會(huì)向客戶端發(fā)出證書請求。

④ 服務(wù)器發(fā)送“server hello done”消息，表示服務(wù)器的協(xié)商過程將要完畢。

⑤ 如果服務(wù)器向客戶端請求證書，則客戶端發(fā)送證書。

⑥ 客戶端創(chuàng)建一個(gè)隨機(jī)預(yù)主密鑰，并用服務(wù)器證書中的公鑰進(jìn)行加密，然后把預(yù)主密鑰發(fā)送到服務(wù)器上。

⑦ 服務(wù)器收到預(yù)主密鑰，然后客戶端和服務(wù)器各自依據(jù)這個(gè)預(yù)主密鑰產(chǎn)生主密鑰和會(huì)話密鑰。

⑧ 客戶端發(fā)送修改密碼規(guī)范(change cipher spec)消息，通知服務(wù)器：客戶端將開始使用新的會(huì)話密鑰對消息進(jìn)行哈希計(jì)算和加密。

⑨ 客戶端發(fā)送“client finished”(客戶端完成)。

⑩ 服務(wù)器接收到客戶端發(fā)來的修改密碼規(guī)范消息，把記錄層切換到使用會(huì)話密鑰的對稱安全加密級(jí)別。

? 客戶端和服務(wù)器通過建立好的安全通道交換數(shù)據(jù)。

(3) 報(bào)警協(xié)議。報(bào)警協(xié)議是向通信主體傳遞SSL的相關(guān)警告信息的協(xié)議。報(bào)警信息傳遞的內(nèi)容為信息錯(cuò)誤的嚴(yán)重程度及警告描述。報(bào)警消息使用當(dāng)前的安全狀態(tài)發(fā)送，主要有警告、危急、致命三種，每一種報(bào)警協(xié)議對應(yīng)著相應(yīng)的處理方式。

(4) 修改密碼規(guī)范協(xié)議。修改密碼規(guī)范協(xié)議用來在SSL安全會(huì)話的雙方之間進(jìn)行加密策略改變的通知，使用一種稱為“修改密碼規(guī)范”的消息。協(xié)議由單個(gè)消息組成,該消息只包含一個(gè)值為1的單個(gè)字節(jié)。握手階段由服務(wù)器或者客戶端發(fā)給對方，用于通知對方：以后的數(shù)據(jù)交換將采用新協(xié)商的密碼規(guī)范和密鑰。

1 SSL VPN網(wǎng)關(guān)簡介

用戶所要訪問的資源位于企業(yè)網(wǎng)或者政務(wù)網(wǎng)內(nèi)部，在此情況下，需要部署SSL VPN 網(wǎng)關(guān)在企業(yè)網(wǎng)或者政務(wù)網(wǎng)的邊緣，介于服務(wù)器與遠(yuǎn)程用戶之間，控制二者的通信。如圖 3所示。

圖3 SSL VPN網(wǎng)關(guān)

SSL VPN網(wǎng)關(guān)除了作為隧道的終點(diǎn)，還要執(zhí)行以下三種功能：代理，應(yīng)用轉(zhuǎn)換、端口轉(zhuǎn)發(fā)。

(1) 代理：它將來自遠(yuǎn)端瀏覽器的頁面請求(采用HTTPS協(xié)議)轉(zhuǎn)發(fā)給Web服務(wù)器，然后將服務(wù)器的響應(yīng)回傳給遠(yuǎn)端用戶。

(2) 如果用戶所要訪問的應(yīng)用不是基于Web 的，就要借助于應(yīng)用轉(zhuǎn)換。將這些應(yīng)用對客戶端的響應(yīng)轉(zhuǎn)化為 HTTPS協(xié)議和HTML格式發(fā)往客戶端，遠(yuǎn)端用戶感覺這些服務(wù)器就是一些基于Web 的應(yīng)用。

(3) 端口轉(zhuǎn)發(fā)用于端口定義明確的應(yīng)用。它需要在終端系統(tǒng)上運(yùn)行一個(gè)非常小的 Java 或 ActiveX 程序作為端口轉(zhuǎn)發(fā)器，監(jiān)聽某個(gè)端口上的連接。當(dāng)數(shù)據(jù)包進(jìn)入這個(gè)端口時(shí)，它們通過SSL 連接中的隧道被傳送到SSL VPN 網(wǎng)關(guān)，SSL VPN 網(wǎng)關(guān)解開封裝的數(shù)據(jù)包，將它們轉(zhuǎn)發(fā)給目的應(yīng)用服務(wù)器。使用端口轉(zhuǎn)發(fā)器，需要終端用戶指向他希望運(yùn)行的本地應(yīng)用程序，而不必指向真正的應(yīng)用服務(wù)器。

2 Y省電子政務(wù)外網(wǎng)上的SSL VPN接入平臺(tái)

目前，國內(nèi)的電子政務(wù)蓬勃發(fā)展，國家電子政務(wù)外網(wǎng)管理中心啟動(dòng)了國家電子政務(wù)外網(wǎng)的建設(shè)，今后凡屬社會(huì)管理和公共服務(wù)范疇及不需在國家電子政務(wù)內(nèi)網(wǎng)上部署的業(yè)務(wù)應(yīng)用，原則上應(yīng)納入國家電子政務(wù)外網(wǎng)運(yùn)行。按照電子政務(wù)外網(wǎng)的定位，電子政務(wù)外網(wǎng)有廣泛的用戶群，需要為用戶提供靈活、方便的接入方式，SSL VPN是滿足此要求的最佳選擇。以Y省電子政務(wù)網(wǎng)絡(luò)管理中心在Y省電子政務(wù)外網(wǎng)上建設(shè)的SSL VPN接入平臺(tái)為實(shí)例來闡述SSL VPN在電子政務(wù)網(wǎng)中的應(yīng)用。

2.1 省級(jí)的VPN接入平臺(tái)

Y省的VPN接入平臺(tái)分省級(jí)和州市級(jí)兩級(jí)來進(jìn)行建設(shè)，省級(jí)VPN接入平臺(tái)如圖4所示。

圖4 省級(jí)VPN接入平臺(tái)

在省級(jí)層面建立全省統(tǒng)一的外網(wǎng) VPN接入平臺(tái)。VPN平臺(tái)由兩臺(tái)高性能 VPN網(wǎng)關(guān)、線路負(fù)載均衡設(shè)備以及防火墻、數(shù)據(jù)交換機(jī)等組成。省級(jí) VPN平臺(tái)通過負(fù)載均衡設(shè)備與電信運(yùn)營商提供的互聯(lián)網(wǎng)線路相連，網(wǎng)絡(luò)入口租用電信、移動(dòng)、聯(lián)通等運(yùn)營商線路，以保證帶寬及鏈路熱備；同時(shí)，用戶可以選擇不同的運(yùn)營商接入互聯(lián)網(wǎng)，通過該運(yùn)營商與VPN接入平臺(tái)的接口線路構(gòu)建VPN隧道接入電子政務(wù)外網(wǎng)。假設(shè) VPN接入平臺(tái)只與一家運(yùn)營商提供的互聯(lián)網(wǎng)接口線路相連，通過其他運(yùn)營商接入互聯(lián)網(wǎng)的用戶需要跨越不同的運(yùn)營商才能接入電子政務(wù)外網(wǎng)，而運(yùn)營商間的互聯(lián)網(wǎng)接口帶寬較小，影響接入。

省級(jí)VPN平臺(tái)設(shè)置的線路負(fù)載均衡設(shè)備可以對VPN接入流量進(jìn)行負(fù)荷分配，不至于造成單臺(tái) VPN網(wǎng)關(guān)壓力過重影響用戶的正常接入和網(wǎng)絡(luò)感知。

2.2 州市級(jí)VPN接入平臺(tái)

Y省下轄有16個(gè)州市，各州市的信息化水平參差不齊，各州市的 VPN用戶也多少不一。由于電子政務(wù)外網(wǎng)的骨干覆蓋省級(jí)及16個(gè)州市，各州市可根據(jù)本地區(qū)VPN用戶的數(shù)量來決定是否建設(shè) VPN接入平臺(tái)，如果不建設(shè)，本州市的VPN用戶就直接接入省級(jí)的VPN接入平臺(tái)。州市級(jí)VPN平臺(tái)的部署如圖5所示。

圖5 州市級(jí)VPN平臺(tái)

州市級(jí)VPN平臺(tái)主要由VPN網(wǎng)關(guān)、防火墻、交換機(jī)等網(wǎng)絡(luò)設(shè)備構(gòu)成。防火墻可以集成在VPN網(wǎng)關(guān)內(nèi)，也可以單獨(dú)設(shè)置。各州市根據(jù)本地區(qū)的用戶通過各家運(yùn)營商接入因特網(wǎng)的數(shù)量的多少來選擇合適的運(yùn)營商提供因特網(wǎng)接口線路。

2.3 VPN用戶的證書頒發(fā)

根據(jù)國家電子政務(wù)外網(wǎng)管理中心的要求，Y省電子政務(wù)網(wǎng)絡(luò)管理中心在省級(jí)建設(shè)了RA中心，實(shí)現(xiàn)了基于RA認(rèn)證的統(tǒng)一身份管理與授權(quán)管理系統(tǒng)。Y省省級(jí)和州市級(jí)的VPN用戶的證書都由省級(jí)RA中心頒發(fā)。

2.4 VPN網(wǎng)關(guān)如何支持多用戶同時(shí)接入

Y省電子政務(wù)外網(wǎng)的 VPN接入平臺(tái)建設(shè)的目的是為用戶提供一個(gè)簡潔、方便的接入電子政務(wù)外網(wǎng)的方法，當(dāng)多個(gè)用戶同時(shí)接入時(shí)，VPN網(wǎng)關(guān)如何支持？有以下兩種方法：

(1) 地址轉(zhuǎn)換的方法

當(dāng)同時(shí)接入的用戶的數(shù)量較少時(shí)，采用地址轉(zhuǎn)換的方法，如圖6所示。

圖6 用戶數(shù)較少時(shí)采用地址轉(zhuǎn)換的方法

用戶與SSL VPN網(wǎng)關(guān)協(xié)商完畢，建立VPN隧道后，用戶并沒有獲得電子政務(wù)外網(wǎng)的地址，用戶所獲得的是 VPN網(wǎng)關(guān)所分配的虛擬IP，每個(gè)用戶所獲得的虛擬IP是不同的，VPN網(wǎng)關(guān)用虛擬IP來區(qū)分不同用戶的VPN隧道。

用戶在訪問電子政務(wù)外網(wǎng)中的應(yīng)用時(shí)，經(jīng)過 VPN網(wǎng)關(guān)時(shí)要進(jìn)行地址轉(zhuǎn)換，轉(zhuǎn)換為VPN網(wǎng)關(guān)的內(nèi)口地址，由于VPN網(wǎng)關(guān)的內(nèi)口地址只有一個(gè)，在轉(zhuǎn)換完畢后，不同的虛擬 IP轉(zhuǎn)換成內(nèi)網(wǎng)地址加不同的端口號(hào)。也就是說，在電子政務(wù)外網(wǎng)內(nèi)部用VPN網(wǎng)關(guān)的內(nèi)口地址加端口號(hào)來對用戶進(jìn)行區(qū)分。

(2) 地址池的方法

當(dāng)同時(shí)接入的用戶數(shù)量較多時(shí)，采用地址池的方法。如圖7所示。

Y省電子政務(wù)外網(wǎng)專門分配一段IP給VPN的用戶使用，地址池存儲(chǔ)在VPN網(wǎng)關(guān)中。用戶與SSL VPN網(wǎng)關(guān)協(xié)商完畢，建立VPN隧道后，用戶獲得由VPN網(wǎng)關(guān)分配的電子政務(wù)外網(wǎng)的地址。

用戶在訪問電子政務(wù)外網(wǎng)中的應(yīng)用時(shí)，由于已經(jīng)獲得了電子政務(wù)外網(wǎng)的IP地址，不需要進(jìn)行地址轉(zhuǎn)換，直接訪問電子政務(wù)外網(wǎng)中的應(yīng)用。

目前Y省電子政務(wù)外網(wǎng)的VPN接入平臺(tái)采用的是第二種方法。

圖7 用戶數(shù)較多時(shí)采用地址池的方法

3 結(jié)語

SSL VPN由于用戶端配置簡單，使用方便，在公眾遠(yuǎn)程接入電子政務(wù)網(wǎng)方面應(yīng)用廣泛。Y省的VPN接入平臺(tái)有以下特點(diǎn)。

(1) 分層次建設(shè)，在省級(jí)建設(shè)全省統(tǒng)一的VPN接入平臺(tái)，各州市根據(jù)本州市的情況自行建設(shè)；

(2) 在省級(jí)建設(shè)統(tǒng)一的RA認(rèn)證中心，實(shí)現(xiàn)了基于RA認(rèn)證的統(tǒng)一身份管理與授權(quán)管理系統(tǒng)，可以根據(jù)用戶的需求頒發(fā)證書給用戶；

(3) 在省級(jí)建設(shè)了VPN網(wǎng)關(guān)群，配置負(fù)載均衡設(shè)備，實(shí)現(xiàn)了流量的負(fù)載均衡，VPN網(wǎng)關(guān)的熱備及多家運(yùn)營商線路的接入；由于州市級(jí)的用戶較少，州市級(jí)在建設(shè) VPN接入平臺(tái)時(shí)，只配置了單臺(tái)的VPN網(wǎng)關(guān)。

Y省通過在電子政務(wù)外網(wǎng)上建設(shè)SSL VPN接入平臺(tái)，有效的延伸了電子政務(wù)外網(wǎng)，方便了公眾對電子政務(wù)外網(wǎng)的訪問，推動(dòng)了Y省電子政務(wù)的發(fā)展。

[1]王達(dá)編著.飛思科技產(chǎn)品研發(fā)中心監(jiān)制.網(wǎng)絡(luò)工程師必讀—網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)2[M].電子工業(yè)出版社.2009.