[信息保护系统中sslvpn应用]
摘要:本文主要介绍了SSLVPN在信息保护系统模型中的使用,及其建立网络安全通信信道的基本原理和主要实现。 关键词:信息保护系统SSLVPNSSL协议数据收发
1.引言
随着社会信息化的发展,无论是大型企业还是中小规模的公司都拥有对自身发展非常有价值的电子资源,而对于这些重要信息资源的访问和管理是每个企业和公司都非常重视的,并且人们对信息安全的关注也逐渐转移到内网安全领域上来。所谓内网安全是指对在内部网中的合法用户,对敏感信息资源的导入和导出,以及对资源安权限的访问和操作的控制。在建立这样一个有效的内网安全防护系统的同时,一条安全可靠的传输通道在内网安全机制中同样有着不可忽视的作用,而sslvpn正是为内网安全系统建立了一条稳妥可靠的传输通道。
2.信息保护系统中的SSLVPN
2.1 需求分析
很久以来,从客户到企业,即Client-to-Enterprise的连接方面, IPSec VPN有着许多不利的方面,原因之一在于随着客户端用户人数的增长,为他们安装IPSec VPN客户端和提供技术支持的工作已经让众多网络管理员不堪重负。另外,IPSec隧道也为攻击者留下了打通企业防火墙并直接威胁中心网络的通道。
考虑到IPSec VPN 存在这些基本的问题, SSL VPN越来越受到IT管理员的关注。SSL VPN 不需要安装其他客户端软件,对基本的B/S(BROWER/SERVICE)类服务客户主机只需要有支持SSL的浏览器就可以了,自然也就不需要对客户端进行维护和支持了。而对于C/S类的服务,只需拥有常用的客户端软件或使用IE浏览器即可。这不但节省了工作人员大量的时间和精力,同时也意味着远程用户在进行远程访问时,不会再受到地域限制,使用者只要有电脑,在有网络的前提下,远程访问就可以完成。
SSL VPN 是基于应用层的VPN,对企业而言,采用SSL VPN 不仅可以让外地使用者对Web 化的企业应用进行访问,而且还可以知道访问应用的数据连接由谁发起、使用者有哪些权限进行操作,这样对企业信息的安全管理提供了很多便利。
2.2 信息保护系统模型分析
2.2.1 信息保护系统功能概况
本文提出的信息保护系统给使用者提供了一个透明的工作环境,用户只有在这个环境内通过网络才能访问或下载需要的信息资源,而在环境外无法访问。同时只有通过环境内启动的相关软件才可以阅读下载到本地文件。具体保护措施如下:
(1)用户通过网络从受保护服务器上下载的文件在本地都已加密方式保存。
(2)用户在环境内创建新文件或阅读下载的文件时,无法通过复制、粘贴、拷屏等常用手段将文件内容以明文方式转移至环境外的文件或存储设备中。
(3)用户无法通过网络将上述下载的文件或在环境内创建的文件以明文传输到非法服务器上。
(4)用户在环境内创建或修改了文件后,可通过一条可信任的安全通道传送至合法的服务器上。
通过以上的保护措施,用户可以在提供的环境内正常阅读或修改受保护的企业信息资源,但无法将企业受保护信息资源泄漏,因为用户无法在本系统提供的环境外得到明文文件。一旦用户离开工作环境,所有环境内使用过的文件都会被加密存储。同时用户在将修改后的文件提交给企业内部服务器的过程是通过SSLVPN提供的安全通道来完成的,因此很难在传输过程中加以拦截和破译。
2.2.2 信息保护系统模型结构
本信息保护系统共由三大模块构成:
(1)本地信息防护系统:由文件I/O驱动,进程监控模块等构成,该部分为用户构建一个全透明的工作环境,并对用户在环境内打开的文件进行动态加解密,起到对信息资源的保护作用。
(2)网络监控系统:目的是防止用户通过网络泄漏敏感资源。该系统监控环境内启动的服务(如notepad、vc等),并对环境内的服务发向网络中的数据包进行拦截并对应用层数据进行加解密,从而有效地控制网络传输,防止数据泄漏。
(3)SSLVPN系统:该部分为数据的网络传输提供了可靠的加密信道,保证合法数据在网络中安全性。SSLVPN 在客户端是与网络监控系统一起完成对网络数据的保护。网络监控对环境内进程发出和接受的数据进行加解密,而SSLVPN在客户端对进入SSLVPN 通道的应用层数据进行相反的加解密操作,然后进行重新的封装并发送给SSLVPN服务器,这样可以保证用户发出的数据被以明文保存到指定服务器上。同时其与网络监控的配合没有进入SSLVPN通道的数据以密文在网络中传输,防止了信息资源在网络中的泄漏。而且客户端用户的身份认证也使用了SSLVPN证书对用户身份进行有效核实。
2.2.3 信息保护架构架构图
(1) 本地信息系统架构,如图1 。
(2) 网络监控与SSLVPN架构,如图2。
3. SSLVPN在信息保护系统中的实现
3.1认证与密钥体系
该信息保护系统使用的SSLVPN的加密通信体系采用的是标准的SSL/TLS协议。通用的SSL协议以对称密码技术和公开密码技术相结合,可以实现如下三个通信目标:
(1)秘密性: SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都将是无意义的密文信息。
(2)完整性: SSL利用密码算法和散列(HASH)函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息受到破坏。
(3)认证性:利用证书和可信的第三方认证,可以让客户机和服务器相互识别对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户), SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。
由于SSL协议的这三个特性,使SSLVPN可以建立一条安全可靠的加密通信信道,既保障了信息的完整性,又保障了信息的安全性。
3.2 SSLVPN客户端数据收发的实现
由于SSLVPN实现的是对用户应用层数据的加密,所以在为了获取用户进程发出和接受的数据包,SSLVPN 利用网络驱动构建了一个虚拟网卡,接受发往指定目的地的用户数据包并进一步加以处理。
3.2.1数据的发送
由于用户进程发往的网络数据是经过系统协议栈的处理后再依据系统路由表经网卡发出。因此为了使特定的用户数据进入SSLVPN隧道,系统在客户端与服务端建立连接后针对特定ip添加了路由,这样发往指定ip的数据会被协议栈送往SSLVPN的虚拟网卡,而通过虚拟网卡可以获取用户数据包并加以处理。具体数据处理过程如下:
首先,SSLVPN系统为了控制数据的收发,使用了一个循环控制。由于SSLVPN为虚拟设备读写和SOCKET读写分别创建相应的事件和读写接口,因此可以通过尝试从各个接口读取数据决定当前是应该接收数据还是发送数据。同时通过判断结果设定相应事件为下一步数据处理提供依据。接着,当通过虚拟网卡获取用户进程发出的网络数据后,由于网络监控系统已经对进入隧道的应用数据加密,这里首先要对用户应用层数据进行解密操作,以保证数据经SSLVPN服务器处理后转发给用户信息服务器的是明文数据。网络层数据的处理过程实现如下:
第一:当从接受到的网络层数据包中分离出应用层数据后,使用SSLVPN客户端启动时获取的与网络监控驱动相对应的密钥对用户数据进行解密。
第二:由于网络层TDI驱动位于TCP/IP之上,因此其处理的用户应用层数据是应用进程放入发送缓冲区的数据。而当用户发送数据长度小于MTU(最大传输单元)时,数据包不需要分片,相反则需要在TCP/UDP所在的传输层进行分片。而数据处理的区分如下:
(1) 当网络层包为非分片数据包时,进行完应用层数据的解密操作后只需对该数据包重新计算校验和并重新填充传输层包头的校验和。
(2) 当数据包被分片时,由于网络TDI驱动加密的是为分片之前的应用层数据,因此SSLVPN处理分片包时,既需要对每个分片包进行解密操作,还需要重新计算校验和,以使被转换为明文的数据在发送到服务器后可以被系统协议栈正确组装。由于校验和被保存在第一个分片中,只有在收集完所有分片并完成一次解密操作后才能计算出新校验和,因此需要实现一个分片重组机制。根据系统协议栈中数据包校验和的计算方法,实现了如下的策略:
当收到的分片不是第一个分片时,先将分片数据包复制到一个分片队列上,然后将原数据进行解密并通过设置相关事件将该数据发送给服务端;如果收到的是第一个分片同样复制到相应的分片队列中,但并不让SSLVPN发送该分片,而是直到分片队列收集完成后,对所有的应用数据进行解密,然后按照校验和计算方法计算出新的校验和并将值存入第一个分片中。完成以上操作后通过设定标志使SSLVPN调用发送函数将第一个分片发出,这样就完成了数据的发送。
3.2.2数据的接收
SSLVPN在对接受数据包的处理上与发送时基本一致。不同点在于发送时从虚拟网卡读取用户数据加以相应等处理,再以UDP方式发送至服务端。而接收时是通过网络接收另一端的数据并进行处理,然后将数据写到虚拟网卡上。
3.3 SSLVPN服务器的数据处理与转发
SSLVPN服务器工作在LINUX系统下,与客户端相对应也通过虚拟网卡收发数据包,并通过管理员配置相关服务。SSLVPN服务器接受到来自SSLVPN客户端的数据包后,通过与客户端相反的操作可以还原出受监控用户进程发出的明文数据包,然后通过网络发给相应的客户服务器,从而实现用户与服务器的加密通信。
栏目编辑 王胜举