摘 要：由于SSL VPN接入方式安全、簡單易用，且可進行有效的權(quán)限管理，同時具備跨平臺、免客戶端等特性，被大量使用，其認證方式多種多樣，目前使用較多的有動態(tài)口令認證技術(shù)、數(shù)字證書認證技術(shù)等。文章基于此，技術(shù)分析了企業(yè)SSL VPN認證方式。

關(guān)鍵詞：安全套接層協(xié)議; 虛擬專用網(wǎng)絡(luò);動態(tài)口令認證;數(shù)字證書認證

1 SSL VPN簡要介紹

安全套接層（Secure Sockets Layer，SSL）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。采用SSL協(xié)議的虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）設(shè)備稱之為SSL VPN，是解決用戶遠程訪問公司敏感數(shù)據(jù)最簡單、最安全的解決技術(shù)。SSL內(nèi)嵌在瀏覽器中，無需像IPSec VPN一樣為每一臺客戶機安裝客戶端軟件，任何安裝瀏覽器的機器都可以便捷地使用SSL VPN。

2 SSL VPN認證方式分析

2.1 認證技術(shù)介紹

SSL VPN的認證方式多種多樣，這也是大部分用戶在做SSL VPN選型的時候重點考察的一項問題。常見的身份認證方式有以下幾種：

（1）硬件令牌。一種專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運行專門的密碼算法，根據(jù)當前時間或使用次數(shù)生成當前密碼并顯示在顯示屏上。認證服務(wù)器采用相同的算法計算當前的有效密碼，用戶使用時只需要將動態(tài)令牌上顯示的當前密碼輸入客戶端計算機，即可實現(xiàn)身份的確認。

（2）手機短信。使用現(xiàn)有的移動電話系統(tǒng)網(wǎng)絡(luò)和手機短信的方式傳送密碼，將動態(tài)密碼和移動設(shè)備緊密結(jié)合，為用戶提供了一種安全可靠、方便易用的身份認證手段。一方面，為用戶提供安全、可靠的網(wǎng)絡(luò)應(yīng)用用戶認證手段;另一方面，無須用戶增加任何外在設(shè)備，巧妙地利用移動設(shè)備隨身攜帶的特點，將其變成一個識別個人身份的工具，只有使用攜帶的移動設(shè)備，才能獲取態(tài)密碼，使身份認證的可靠性得到保證。

（3）數(shù)字證書認證。由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的，以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性、交易實體身份的真實性和簽名信息的不可否認性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。

一般情況下，數(shù)字證書頒發(fā)過程是：首先，用戶產(chǎn)生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認證中心。其次，認證中心在核實身份后，執(zhí)行一些必要的步驟，以確定請求確實由用戶發(fā)送。再次，認證中心發(fā)給用戶一個數(shù)字證書，該證書內(nèi)包含用戶的個人信息和公鑰信息，同時附有認證中心的簽名信息。最后，用戶可以使用自己的數(shù)字證書進行各種相關(guān)的活動。數(shù)字證書由獨立的證書發(fā)行機構(gòu)發(fā)布。

（4）USB Key。一種USB接口的硬件設(shè)備，內(nèi)置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼學算法實現(xiàn)對用戶身份的認證。認證過程是，預先在USB Key和服務(wù)器中存儲一個證明用戶身份的密鑰（共享秘密），當需要在網(wǎng)絡(luò)上驗證用戶身份時，由客戶端向服務(wù)器發(fā)出一個驗證請求，服務(wù)器接到請求后生成一個隨機數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端?？蛻舳藢⑹盏降碾S機數(shù)提供給插在客戶端USB接口上的USB Key，由USB Key使用該隨機數(shù)與存儲在USB Key中的密鑰進行運算，將得到的結(jié)果作為認證證據(jù)傳給服務(wù)器。與此同時，服務(wù)器也使用該隨機數(shù)與存儲在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進行運算，如果服務(wù)器的運算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同，則認為客戶端是一個合法用戶[1]。

2.2 認證方式比較

2.2.1 動態(tài)密碼和數(shù)字證書對比

（1）可維護性。動態(tài)密碼容易維護，出現(xiàn)問題時可以遠程排除故障，大大降低維護成本，且客戶端無需安裝，系統(tǒng)集成方便;數(shù)字證書出現(xiàn)問題時需到現(xiàn)場才能排除故障，UK客戶端還需要安裝自帶的USB Key驅(qū)動程序，如果驅(qū)動程序無法正常安裝運行，則用戶無法使用系統(tǒng)。

（2）平臺無關(guān)性。動態(tài)密碼無需連接電腦安裝，非常便捷地實現(xiàn)移動辦公;數(shù)字證書需要連接至電腦USB口，對于某些出于安全考慮禁用USB口的企業(yè)，UK數(shù)字證書使用不便。

（3）系統(tǒng)擴展性。動態(tài)密碼非常容易擴展，通過配置即可，支持一個動態(tài)口令在多個系統(tǒng)使用;數(shù)字證書擴展性一般，只能用在指定的系統(tǒng)中使用。

（4）安全性。動態(tài)密碼安全性很高，隨機產(chǎn)生長度6位的口令，且口令60 s一變，只能使用一次;數(shù)字證書安全性一般，僅保存了一個證書的標識字符串，USB Key里的標識串是不會改變的，但假如在網(wǎng)絡(luò)傳輸過程中被盜取，則該標識串有可能會被破解。

（5）操作方便性。動態(tài)密碼操作十分方便，不需安裝任何程序，使用者無需具備任何電腦知識，且硬件令牌產(chǎn)品小巧、方便攜帶，手機令牌只要在手機端安裝軟件即可，一鍵獲取口令，無需攜帶額外設(shè)備。數(shù)字證書操作方便性一般，需要安裝驅(qū)動程序，要求使用者具備一定的電腦知識，使用時需插入電腦的USB口，操作不便，且存在用完后忘記撥出的風險。

（6）首次使用簡便性。動態(tài)密碼無須任何下載安裝;數(shù)字證書需要在計算機上下載安裝證書、簽名控件[2]。

（7）對計算機要求。動態(tài)密碼要求較高，缺少安全補丁的盜版操作系統(tǒng)有可能安裝證書困難;數(shù)字證書要求較低，只要瀏覽器版本達到IE6.0就可以。

2.2.2 幾種動態(tài)密碼技術(shù)之間的對比

（1）短信密碼。優(yōu)點：無需攜帶額外認證設(shè)備;管理成本低;適合登錄頻度不高的用戶移動辦公。缺點：短信可能出現(xiàn)延時或丟失;手機欠費、無手機信號（如國外出差），則無法正常使用。

（2）硬件令牌。優(yōu)點：響應(yīng)速度快;認證可靠性高;與用戶所在時區(qū)無關(guān);適合登錄頻度較高的非中國區(qū)用戶。缺點：令牌生命周期短，3年需更換;有物流及發(fā)放管理，管理成本較高;容易忘記攜帶。

（3）手機令牌。優(yōu)點：安裝在智能手機上，無需攜帶額外硬件;密碼生成完全離線，無需手機網(wǎng)絡(luò)支持。缺點：需智能手機支持。

3 SSL VPN認證方式測試

本團隊使用思科ASA5540防火墻作為SSL VPN網(wǎng)關(guān)，Windows Server 2008企業(yè)版服務(wù)器作為證書服務(wù)器和認證服務(wù)器，并采用寧盾科技有限公司的認證系統(tǒng)軟件和USB Key，電信100 M寬帶作為互聯(lián)網(wǎng)出口，搭建了測試環(huán)境。

3.1 企業(yè)根CA證書認證

將證書服務(wù)器加入公司域環(huán)境，并在服務(wù)器上安裝相關(guān)的證書服務(wù)，同時將證書服務(wù)器的根證書導入思科防火墻設(shè)備，并在防火墻上配置相關(guān)的參數(shù)，使防火墻和證書服務(wù)器可以進行正常通信、聯(lián)動。

使用過程如下：（1）用戶通過IE瀏覽器訪問證書服務(wù)器，提出證書申請。（2）證書服務(wù)器要求用戶輸入自己的域賬號和密碼進行認證，證書服務(wù)器會將用戶輸入的域賬號和密碼同AD進行比對，如果是AD中的賬號則響應(yīng)進入申請界面，如果不是則拒絕申請。（3）在申請界面選擇、填寫相關(guān)項目后就可完成申請。（4）VPN管理員在證書服務(wù)器的頒發(fā)程序中頒發(fā)掛起的申請。（5）用戶再次通過IE瀏覽器訪問證書服務(wù)器，下載已經(jīng)頒發(fā)的證書，將其導入SSL VPN客戶端軟件，即可正常使用。

該認證方式必須使用SSL VPN客戶端軟件，但在手機、平板等移動終端上無法使用。原因如下：（1）移動終端的操作系統(tǒng)一般都是蘋果iOS或者安卓系統(tǒng)，但證書是Windows系統(tǒng)生成的，如果要在這些移動終端上使用，就必須進行證書格式的轉(zhuǎn)換，使蘋果iOS或者安卓系統(tǒng)可以識別。（2）不同的移動終端操作系統(tǒng)對應(yīng)的SSL VPN客戶端各不相同。（3）相同的SSL VPN客戶端軟件在不同版本的安卓系統(tǒng)上或者相同版本的安卓系統(tǒng)不同品牌的手機上，也不是都可以正常運行的。

3.2 雙因素認證

雙因素認證系統(tǒng)由認證設(shè)備、認證代理軟件、認證服務(wù)器3者組成，具體如下：（1）認證設(shè)備，通常指雙因素認證令牌，此次測試采用了硬件USB-KEY數(shù)字證書和手機軟令牌（APP應(yīng)用程序）。（2）認證代理軟件，是當用戶想要訪問某個網(wǎng)絡(luò)資源時，將訪問請求發(fā)送至認證服務(wù)器進行認證，此次測試采用的是Cisco AnyConnect軟件。（3）認證服務(wù)器，負責接收雙因素認證請求及驗證雙因素認證管理工作，此次測試采用的是寧盾科技有限公司的認證服務(wù)器系統(tǒng)。

使用過程如下：首先，用戶通過運行Cisco AnyConnect軟件訪問SSL VPN網(wǎng)關(guān)。其次，軟件彈出對話框要求輸入用戶名及密碼，此用戶名和密碼可以是公司域控中的AD賬號和密碼，也可以是認證服務(wù)器本地創(chuàng)建的用戶名和密碼。再次，認證服務(wù)器比對用戶輸入的用戶名和密碼，如果比對成功，則觸發(fā)動態(tài)密碼的輸入驗證，否則拒絕。最后，輸入硬件USB-KEY數(shù)字證書上顯示的6位數(shù)字密碼或者手機軟令牌軟件上顯示的6位數(shù)字密碼，同認證服務(wù)器上計算出的6位數(shù)字密碼匹配無誤后，即可正常使用。

硬件USB-KEY數(shù)字證書和手機軟令牌須預先在認證服務(wù)器中和用戶的賬號綁定后才能使用，每個用戶對應(yīng)一個硬件USB-KEY數(shù)字證書或者手機軟令牌。該認證方式和用戶使用的終端無關(guān)，只要用戶有認證設(shè)備，在哪臺終端上都可以使用，相對于企業(yè)和CA證書認證方式靈活了很多。

該認證方式還可以使用無客戶端方式訪問公司VPN，用戶通過瀏覽器直接訪問SSL VPN網(wǎng)關(guān)，根據(jù)提示安裝相關(guān)的瀏覽器插件后輸入認證信息即可正常使用。但是無客戶端訪問也有局限性，只能夠訪問瀏覽器和服務(wù)器（Browser/Server，B/S）架構(gòu)的應(yīng)用，對于客戶機/服務(wù)器（Client/Server，C/S）架構(gòu)的應(yīng)用則無能為力。

4 結(jié)語

通過以上的分析和測試體驗，本團隊認為數(shù)字證書認證方式適用于臺式機或筆記本電腦;對于雙因素認證方式，無客戶端訪問模式適用于手機、平板等移動終端，有客戶端訪問模式在臺式機或筆記本電腦上使用比較合適。

作者簡介：王鵬（1980— ），男，河北深州人，高級工程師，碩士;研究方向：網(wǎng)絡(luò)建設(shè)、管理及運維，網(wǎng)絡(luò)安全，虛擬化管理，存儲管理等。

[參考文獻]

[1]徐博.面向SSL VPN的訪問控制及相關(guān)技術(shù)研究[D].杭州：浙江工業(yè)大學，2009.

[2]張方田，王開義，劉忠強，等.農(nóng)資電子交易平臺的身份認證研究與實現(xiàn)[J].農(nóng)機化研究，2010（6）：5-8，24.

Analysis of SSL VPN authentication mode in enterprises

Wang Peng

（Information Center of Powerchina Northwest Engineering Corporation Limited， Xian 710065， China）

Abstract：Because SSL VPN access mode is secure， simple and easy to use， and can carry on the effective authority management， at the same time has the cross-platform， the client-free and so on characteristic， at present is widely used， its authentication way is various， at present uses more has the dynamic password authentication technology， the digital certificate authentication technology and so on. Based on this， the article analyzes the enterprise SSL VPN authentication mode.

Key words：secure sockets layer; virtual private network; dynamic password authentication; digital certificate authentication