張景琪，劉 新

（1. 甘肅省公安廳，甘肅省蘭州市 730000；2. 蘭州大學(xué) 信息科學(xué)與工程學(xué)院，甘肅省蘭州市 730000）

基于云計算的網(wǎng)絡(luò)加密業(yè)務(wù)系統(tǒng)的研究

張景琪，劉 新

（1. 甘肅省公安廳，甘肅省蘭州市 730000；2. 蘭州大學(xué) 信息科學(xué)與工程學(xué)院，甘肅省蘭州市 730000）

隨著新型互聯(lián)網(wǎng)技術(shù)的發(fā)展，人們對于網(wǎng)絡(luò)的使用程度得到極大的提高，越來越多的生活行為通過互聯(lián)網(wǎng)完成，這也意味著越來越多的信息將通過互聯(lián)網(wǎng)進行傳輸。因此，針對于用戶信息的攻擊行為也日益增多，大型網(wǎng)站被劫持的事件也屢有發(fā)生。本系統(tǒng)基于云技術(shù)進行構(gòu)建，綜合使用多種加密技術(shù)，極大的降低了用戶被攻擊的可能性，保護了用戶數(shù)據(jù)的私密性，同時可以起到一定的網(wǎng)絡(luò)加速效果，有助于改善用戶體驗。除此之外，本系統(tǒng)提供了對用戶進行流量統(tǒng)計、分析與計費的功能，適用范圍廣，對商業(yè)友好且易于部署，對于低成本地提升網(wǎng)絡(luò)安全性能、提升企業(yè)安全性能具有積極作用。

云計算；網(wǎng)絡(luò)加密；信息安全

0 引言

隨著經(jīng)濟水平與網(wǎng)絡(luò)技術(shù)的發(fā)展，互聯(lián)網(wǎng)正在給人們帶來越來越多的便利，人們也越來越倚重互聯(lián)網(wǎng)這一信息傳輸媒介，越來越多的信息通過互聯(lián)網(wǎng)傳輸。然而，在中國大陸地區(qū)，互聯(lián)網(wǎng)的發(fā)展極為迅速，但用戶的網(wǎng)絡(luò)安全意識尚處于較低水平。因此，越來越多的攻擊者盯上了互聯(lián)網(wǎng)，他們試圖通過盜取用戶數(shù)據(jù)、劫持用戶流量、惡意插入廣告等方法進行盈利。而中國大陸地區(qū)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施整體安全性較為薄弱，成為了攻擊者的一大入手點，這致使大量用戶數(shù)據(jù)被非法竊取、監(jiān)聽和篡改。

本系統(tǒng)將有效降低用戶遭遇中間人攻擊、嗅探攻擊等高危攻擊的風(fēng)險，保證用戶數(shù)據(jù)在傳輸過程中的安全性。同時，合理部署本系統(tǒng)具有提高網(wǎng)絡(luò)訪問速度的效果，有助于改善用戶體驗。本系統(tǒng)可以被部署于公有云環(huán)境，為用戶提供加密訪問與反追蹤服務(wù)；也可以被部署于私有云環(huán)節(jié)，為企業(yè)提供簡單可控的遠程訪問系統(tǒng)。

本系統(tǒng)支持的加密方式包括基于 HTTPS 技術(shù)的代理連接與基于PPTP、L2TP、Cisco AnyConnect、IKEv1、IKEv2的虛擬專有網(wǎng)絡(luò)連接。

1 系統(tǒng)設(shè)計

本系統(tǒng)使用目標(biāo)是給用戶提供工業(yè)級標(biāo)準(zhǔn)的網(wǎng)絡(luò)加密服務(wù)，給服務(wù)器管理者提供用戶流量統(tǒng)計、計費、登錄控制等功能。包括主控服務(wù)器、節(jié)點服務(wù)器兩種服務(wù)器類型，其中主控服務(wù)器為負(fù)責(zé)用戶信息存儲、用戶權(quán)限校驗等核心功能，節(jié)點服務(wù)器供用戶通過自選的協(xié)議類型建立安全連接使用。

1.1 系統(tǒng)需求

本系統(tǒng)采用傳統(tǒng)的軟件開發(fā)生命周期，采用自頂向下，逐步求精的結(jié)構(gòu)化的軟件設(shè)計方法。本系統(tǒng)主要有以下幾方面的功能：

（1）通過API、PPP等方法更新流量數(shù)據(jù)

（2）根據(jù)設(shè)置對用戶進行權(quán)限控制

（3）對用戶產(chǎn)生的流量進行計費

（4）可以注冊用戶、且具有用戶驗證與密碼找回功能

1.2 模塊功能邏輯關(guān)系

本系統(tǒng)的結(jié)構(gòu)如下圖所示，它包括位于主控服務(wù)器中的計費功能模塊（用于流量統(tǒng)計和計費）、用戶授權(quán)模塊（實現(xiàn)用戶注冊、登錄、認(rèn)證和找回密碼）、后臺功能模塊（用于用戶充值和流量查詢以及獲取幫助）、管理員模塊（用于完成管理員管理操作）、根模塊（設(shè)置基于 MVC 的路由和配置相關(guān)信息）、幫助模塊（用于用戶獲取幫助）和用于用戶通過自選的協(xié)議類型建立安全連接的節(jié)點服務(wù)器。

圖1 系統(tǒng)模塊結(jié)構(gòu)示意圖

2 技術(shù)實現(xiàn)

本系統(tǒng)使用Squid用于支持基于HTTPS 的代理連接，使用PPTPD支持PPTP協(xié)議，使用L2TPD支持L2TP協(xié)議，使用OCSERV支持Cisco Any-Connect協(xié)議，使用StrongSwan用于支持IKEv1與IKEv2協(xié)議，通過PPP用于VPN類型流量同時，通過開發(fā)Linux Bash Shell腳本分析Squid日志進行HTTPS代理流量統(tǒng)計，使用Radius進行用戶認(rèn)證，使用MVC模式開發(fā)主控服務(wù)器相關(guān)管理程序。

2.1 HTTPS代理

本系統(tǒng)使用Squid作為基礎(chǔ)實現(xiàn)HTTPS代理，在OpenSSL的支持下，使用https_port配置項來啟用HTTPS代理端口，并通過basic_radius_auth模塊配置用戶認(rèn)證。此后，通過設(shè)置request_header_ access 來避免用戶訪問某網(wǎng)站時，網(wǎng)站獲得用戶真實IP信息；通過設(shè)置request_header_replace來修改用戶UA來達到保護用戶UA不被泄露的目的。其認(rèn)證模式為HTTP基礎(chǔ)認(rèn)證，主要的認(rèn)證配置項為http_access（用于允許用戶登錄）、auth_param basic program（用于指定認(rèn)證程序），acl（用于完成 ACL控制）。

配置文件 squid.conf 中的關(guān)鍵配置項如下：

HTTPS代理不可使用PPP進行用戶流量統(tǒng)計與計費，因此，必須單獨開發(fā)計費腳本用于完成計費工作。本系統(tǒng)采用分析Squid日志的方式進行基于用戶的流量統(tǒng)計與計費腳本開發(fā)，其工作步驟如下：

2.2 虛擬專有網(wǎng)絡(luò)

本系統(tǒng)使用PPTPD、L2TPD、OCSERV完成對PPTP、L2TP與Cisco AnyConnect協(xié)議的支持，這三種開源軟件的配置方法與公開資料無特殊之處。本系統(tǒng)采用StrongSwan實現(xiàn)IKEv1（Cisco IPsec VPN）與IKEv2協(xié)議的支持，啟用基EAP-MSCHAPv2（用戶名+密碼）、EAP-TLS（證書）、EAP-TTLS（證書）、PEAP（用戶名+密碼）四種模式的用戶認(rèn)證。VPN 全部使用PPP進行用戶流量統(tǒng)計與計費。

本系統(tǒng)的虛擬專有網(wǎng)絡(luò)連接建立過程為：

圖2 日志分析流程圖

（1）用戶選擇節(jié)點服務(wù)器，發(fā)起特定協(xié)議連接

（2）節(jié)點服務(wù)器請求用戶提供身份信息并發(fā)送給主控服務(wù)器進行認(rèn)證

（3）節(jié)點服務(wù)器收到主控服務(wù)器返回的認(rèn)證消息

（4）若主控服務(wù)器認(rèn)證通過，則建立連接，開始調(diào)用PPP流量統(tǒng)計

（5）用戶使用虛擬專有網(wǎng)絡(luò)

（6）用戶斷開連接，節(jié)點服務(wù)器完成PPP流量統(tǒng)計

（7）節(jié)點服務(wù)器發(fā)送流量統(tǒng)計給主控服務(wù)器（8）主控服務(wù)器完成計費并更新數(shù)據(jù)庫

下圖為用戶與節(jié)點服務(wù)器在建立連接階段的認(rèn)證過程示意圖：

在這里需要注意的是，OCSERV原生不支持PPP協(xié)議計費，必須使用腳本使其完成PPP流量統(tǒng)計功能，該腳本的設(shè)計目的為利用OCSERV的connect-script配置項和disconnect-script配置項的連接時和連接后的調(diào)用，模擬PPP統(tǒng)計信息的發(fā)送，實現(xiàn)PPP流量統(tǒng)計與計費效果。

圖3 廉潔建立階段流程示意圖

3 結(jié)束語

通過本系統(tǒng)可以為用戶提供加密的網(wǎng)絡(luò)連接，在用戶訪問非HTTPS的網(wǎng)站時可以在一定程度上保證用戶的數(shù)據(jù)安全，與CloudFlare公司的HTTPS CDN服務(wù)類似，降低中間人攻擊、嗅探攻擊等針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊風(fēng)險，這些攻擊在中國大陸的運營商層面上經(jīng)常發(fā)生。但如果運維人員無法保證節(jié)點服務(wù)器所處的網(wǎng)絡(luò)環(huán)節(jié)是安全的，則無法保證用戶訪問的非HTTPS站點完全不會遭遇攻擊（如果節(jié)點部署于私有云或公有云機房，由于IDC網(wǎng)絡(luò)環(huán)節(jié)相對可控，則可以極大的降低風(fēng)險，除非攻擊者在IDC、主干網(wǎng)乃至被訪問的站點網(wǎng)絡(luò)環(huán)境層面上進行攻擊，而此類攻擊相對較少且難度較高）。

本系統(tǒng)除為個人用戶提供加密的網(wǎng)絡(luò)訪問服務(wù)外，也是一種易于實現(xiàn)的、高效的、安全的、可溯源的、低成本的且易于管理的企業(yè)級遠程訪問系統(tǒng)。企業(yè)員工可以便捷地使用不同設(shè)備，進行跨平臺地遠程內(nèi)網(wǎng)訪問，企業(yè)運維工程師也可以便捷地對網(wǎng)絡(luò)進行監(jiān)控和管理，在用戶體驗得到提高的同時，保障網(wǎng)絡(luò)邊界安全。

參考文獻

[1] 劉洪強. 基于SSL協(xié)議的VPN技術(shù)研究與實現(xiàn)[D]. 濟南:山東大學(xué), 2008.

[2] 康榮保, 張玲, 蘭昆. SSL中間人攻擊分析與防范[J]. 信息安全與通信保密, 2010, 03(1): 85-87.

[3] 黃存東. 關(guān)于計算機網(wǎng)絡(luò)信息安全問題的技術(shù)研究[J]. 軟件, 2013, 34(1): 140-141.

[4] 劉西青. 淺談計算機網(wǎng)絡(luò)安全問題[J]. 軟件, 2013, 34(12): 239.

[5] 荀邁華. 計算機網(wǎng)絡(luò)安全問題及防范策略[J]. 軟件, 2013, 34(12): 240.

[6] CloudFlare Inc. Secure Socket Layer (SSL)/TLS | Cloudflare[OL]. https: //www.cloudflare.com/ssl/, 2016.

[7] Squid ORG. squid: Optimising Web Delivery[OL]. http:// www.squid-cache.org/Doc/, 2016.

[8] StrongSwan ORG. strongSwan-Documentation[OL]. https:// www.strongswan.org/documentation.html, 2016.

[9] Small Bird. 在CentOS 7上搭建IKEv1與IKEv2[OL]. http:// www.smallbird.net/2016/04/27/strongswan-on-centos-7/, 2016.

[10] 金元海, 王西雁. 計算機網(wǎng)絡(luò)信息安全防范方法研究[J].軟件, 2014, 35(1): 89-91.

[11] 田紅廣. 如何加強計算機網(wǎng)絡(luò)的安全管理和安全防范[J].軟件, 2014, 35(1): 92-93.

[12] 劉斌. 校園網(wǎng)絡(luò)的安全防護策略[J]. 軟件, 2014, 35(1): 98-99.

[13] 劉炳奇. 影響計算機網(wǎng)絡(luò)安全的因素及應(yīng)對措施[J]. 軟件, 2014, 35(3): 152-154.

[14] 王曉艷. 云計算的應(yīng)用改進與安全問題分析[J]. 軟件, 2014, 35(3): 160.

[15] 唐琳, 陳蘭蘭, 付達杰. 一種基于IPsec VPN 的聯(lián)網(wǎng)信息系統(tǒng)審計方案[J]. 軟件, 2014, 35(4): 97-99, 102.

Research on Network Encryption System Based on Cloud Computing

ZHANG Jing-qi, LIU Xin
(1. Gansu Provincial Public Security Bureau, Lanzhou Gansu, 730000; 2. School of Information Science and Engineering, Lanzhou University, Lanzhou Gansu, 730000)

With the development of new Internet technology, the degree of network using has been increased. More and more through the Internet, it also means that more and more information will be transmitted through the internet. Therefore, the attack on the user information is also increasing and hijacking events on large websites have occurred frequently. This system is based on cloud technology to build the integrated use of multiple encryption technology, which greatly reduces the possibility of user attack, to protect the privacy of user data, and can play a certain network acceleration effect, help to improve the user experience. In addition, the system provides the statistics, analysis and flow of the user's billing functions, applicable to a wide range of business friendly and easy to deploy, for low cost plays an important role in improving the safety performance of local enterprises to improve network security and performance.

Cloud computing; Network encryption; Information security

000000

A

10.3969/j.issn.1003-6970.2017.01.030

張景琪(1958-)，男，工作于甘肅省公安廳，工程師，研究方向為信息技術(shù)研究與應(yīng)用、信息化工程建設(shè)、信息技術(shù)應(yīng)用推廣，網(wǎng)絡(luò)安全研究以及安全管理；劉新(1995-)，男，就讀于蘭州大學(xué)信息科學(xué)與工程學(xué)院，碩士研究生，研究方向網(wǎng)絡(luò)空間安全。

本文著錄格式：張景琪，劉新. 基于云計算的網(wǎng)絡(luò)加密業(yè)務(wù)系統(tǒng)的研究[J]. 軟件，2017，38（1）：139-142