2017毕业论文-基于PKI的SSL VPN关键技术的研究与实现.doc

湖湖 南南 科科 技技 大大 学学 毕毕 业业 设设 计（计（ 论论 文文 ） 题目题目 基于基于 PKI 的的 SSL VPN 关键技术的研究与实现关键技术的研究与实现 作者作者 学院学院计算机科学与工程学院计算机科学与工程学院 专业专业信息安全信息安全 学号学号 指导教师指导教师 二一 年 月 日 湖湖 南南 科科 技技 大大 学学 毕业设计（论文）任务书毕业设计（论文）任务书 计算机科学与工程学 学院 信息安全 系（教研室） 系（教研室）主任: （签名） 年 月 日 学生姓名学生姓名: : 学号学号: : 06050302230605030223 专业专业: : 信息安全信息安全 1 设计（论文）题目及专题：基于 PKI 的 SSL VPN 关键技术的研究与实现 2 学生设计（论文）时间：自 2009 年 12 月 11 日开始至 2010 年 6 月 8 日止 3 设计（论文）所用资源和参考资料： 1 Younglove R.Virtual private networks how they work.Computing of the SSL protocol, and using real equipment to achieve the SSL VPN communication. Keywords: SSL VPN; PKI; Network Security 湖南科技大学毕业设计（论文） -iii- 目目 录录 第一章第一章 绪绪 论论.- - 1 1 - - 1.1研究背景与意义.- 1 - 1.1.1 研究背景.- 1 - 1.1.2 研究意义.- 1 - 1.2主要研究内容.- 2 - 1.3 论文结构安排.- 3 - 第二章第二章 基于基于 PKIPKI 的的 SSLSSL VPNVPN 理论基础理论基础- - 4 4 - - 2.1SSL VPN 基本概念及原理- 4 - 2.1.1 SSL VPN 基本概念- 4 - 2.1.2 SSL VPN 的基本原理- 5 - 2.2 密码学技术分析- 6 - 2.2.1 对称密码学分析.- 6 - 2.2.2 非对称密码学分析.- 6 - 2.3 数字证书相关技术- 7 - 2.3.1 数字签名技术.- 7 - 2.3.2 公钥技术设施 PKI- 8 - 2.4 SSL 协议分析.- 8 - 2.5 SSL 隧道建立过程.- 11 - 第三章第三章 SSLSSL VPNVPN 关键技术的研究关键技术的研究.- - 1212 - - 3.1SSL VPN 关键技术分析- 12 - 3.1.1 安全隧道技术.- 12 - 3.1.2 SSL VPN 隧道技术- 13 - 3.1.3 身份认证技术.- 14 - 3.1.4 访问控制技术.- 16 - 3.1.5 SSL 代理技术- 17 - 3.1.6 应用转换代理.- 18 - 3.1.7 网络层代理.- 18 - 3.1.8 端口转发技术.- 19 - 3.2SSL VPN 与 IPSec VPN 的比较- 19 - 第四章第四章 SSLSSL VPNVPN 关键组件在关键组件在 LINUXLINUX 下的实现下的实现.- - 2323 - - 4.1 OpenSSL 介绍.- 23 - 湖南科技大学毕业设计（论文） -iv- 4.2 用 OpenSSL 实现 SSL VPN 关键组件- 23 - 4.2.1 产生 SSL VPN 工作所需的证书和签名.- 23 - 4.2.2 SSL 隧道服务端的实现- 24 - 4.2.3 SSL 隧道客户端的实现- 28 - 4.3 测试有 SSL 协议加密的安全通信隧道.- 30 - 第五章第五章 SSLSSL VPNVPN 典型应用的实现及验证典型应用的实现及验证.- - 3333 - - 5.1 SSL VPN 环境的搭建.- 33 - 5.1.1 SSL VPN 典型应用拓扑图- 33 - 5.1.2 SSL VPN 网关产品介绍- 33 - 5.2 在 Cisco 上部署 SSL VPN.- 34 - 5.2.1 上传 SSL VPN 组件到路由器.- 34 - 5.2.2 安装 SSL VPN 和配置组件.- 34 - 5.3 测试 SSL VPN 系统- 35 - 第六章第六章 结结 论论.- - 3939 - - 6.1 主要工作总结- 39 - 6.2 展望- 39 - 参考文献参考文献.- - 4040 - - 致致 谢谢.- - 4141 - - 湖南科技大学毕业设计（论文） - 1 - 第一章第一章 绪绪 论论 1.1 研究背景与意义研究背景与意义 1.1.1 研究背景研究背景 互联网的发展已经日趋成熟，互联网的用户数量也在急剧增加，许多涉及私密数 据的网络服务如电子商务、网上银行等已被越来越广泛的在互联网上使用。然而传统 的互联网没有提供服务质量保证，也没有权限和相应的安全机制1。随着网络的开放 性、共享性以及互联网规模的进一步扩大，加之黑客的攻击手段也越来越先进，对人 们造成了巨大的经济损失，网络的安全问题变得越来越严重。同时，随着企业本身的 发展壮大与跨国化，大型企业的分支机构越来越多，企业与各分部之间也需要随时通 信，这涉及到远程联网及网络的复杂性问题。为了保证数据在各个分支部门之间传输 过程的安全，按传统方式，需要为每个分部建立独立的专用网络，但大量的独立专用 网需要进行重复的网络投资，会造成资源浪费，增加管理负担。为了解决上述问题， 人们提出了虚拟专用网（Virtual Private Network）的概念，即利用公共通信网络 (如全球因特网)实现安全的保密数据通信。虚拟专用网以其独具特色的优势赢得了越 来越多企业的青睐。目前国内主流的 VPN 系统是基于 IPSec 协议的。IPSec 协议为被保 护的网络通讯提供较好的安全、认证和授权服务，同时保持了较高的性能。其能够 “透明”部署在较复杂的网络中，具有较高的易用性和灵活性2。但 IPSec VPN 都要 求用户进行非常专业的安装配置工作，而这些工作还会受到防火墙的设置和网络地址 转换的影响，这些不断变化的配置调试给用户带了很多不便。 近年来，基于 SSL 协议的 VPN 系统以其优良特性获得了广泛应用。通常只要客户 端系统安装了 WEB 浏览器，SSL VPN 即可工作，并且不会受到安装在与服务器之间的防 火墙的影响，能确保端到端的真正安全。随着市场的逐步成熟，SSL VPN 已经成为企业 首选的 VPN 设备。 1.1.2 研究意义研究意义 SSL VPN 是解决远程访问的主流安全方案，具有广阔的发展前景。几乎所有的主流 浏览器都集成了 SSL 协议，不需要再安装额外的客户端软件。SSL VPN 的“瘦客户端” 具有简单、灵活、易用性等特点，特别适合于远程用户安全连接。远程安全访问是未 来发展趋势，尤其是在互联网和移动通信的快速发展、网络接入方式多变、3G 高速网 络日益普及的今天，手持终端、PDA、移动 PC 等移动的计算通信工具迫切需要专门为 其量身定做远程安全访问方案，SSL VPN 因其与操作系统无关、瘦客户端等特点，成为 首选的解决方案。 湖南科技大学毕业设计（论文） - 2 - 权威机构 Frost /* 载入所有 SSL 算法 */ OpenSSL_add_all_algorithms(); /* 载入所有 SSL 错误消息 */ SSL_load_error_strings(); 接着，要载入用户的数字证书，此证书用来发给客户端，客户端通过这个证书可 以验证服务器的身份，证书里面包含了服务器的公钥： if(SSL_CTX_use_certificate_file(ctx, argv4, SSL_FILETYPE_PEM) client“); /* 发消息给客户端 */ len = SSL_write(ssl, buf, strlen(buf); if (len 0) printf(“接收消息成功:%s，共%d 个字节的数据n“, buf, len); else printf (“消息接收失败！错误代码是%d，错误信息是%sn“, errno, strerror(errno); 接受客户端的消息后，整个带有 SSL 协议的 Socket 安全通信已经完成，为了给下 一次通信做准备，需要关闭 SSL 连接、释放 SSL、关闭 Socket 以及关闭 Socket 的端口 监听： finish: /* 关闭 SSL 连接 */ SSL_shutdown(ssl); /* 释放 SSL */ SSL_free(ssl); /* 关闭 socket */ close(new_fd); /* 关闭监听的 socket */ close(sockfd); /* 释放 CTX */ SSL_CTX_free(ctx); return 0; 湖南科技大学毕业设计（论文） - 28 - 4.2.3 SSL 隧道客户端的实现隧道客户端的实现 客户端与服务器建立 SSL 安全隧道，首先要验证服务器端发来的数字证书，验证 通过后，输出数字证书的信息、数字证书的颁发者等： char *line; cert = SSL_get_peer_certificate(ssl); if (cert != NULL) printf(“数字证书信息:n“); line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0); printf(“证书: %sn“, line); free(line); line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0); printf(“颁发者: %sn“, line); free(line); X509_free(cert); else printf(“无证书信息！n“); 证书验证完毕后，开始为与服务器的通信做准备，读取用户输入服务器的 IP 地址 和端口： int sockfd, len; struct sockaddr_in dest; char bufferMAXBUF + 1; SSL_CTX *ctx; SSL *ssl; if (argc != 3) printf (“参数格式错误！正确用法如下：ntt%s IP 地址 端口nt 比如: t%s 80n 此程序用来从某个 IP 地址的服务器某个端口接收最多 MAXBUF 个字节的消息“, argv0, argv0); exit(0); 接下来初始化 SSL 库文件，载入所有的 SSL 算法和 SSL 错误消息： /* SSL 库初始化*/ SSL_library_init(); OpenSSL_add_all_algorithms(); SSL_load_error_strings(); 湖南科技大学毕业设计（论文） - 29 - ctx = SSL_CTX_new(SSLv23_client_method(); if (ctx = NULL) ERR_print_errors_fp(stdout); exit(1); /* 创建一个 socket 用于 tcp 通信 */ if (sockfd = socket(AF_INET, SOCK_STREAM, 0) 0) printf(“接收消息成功:%s，共%d 个字节的数据n“, buffer, len); else printf (“消息接收失败！错误代码是%d，错误信息是%sn“, errno, strerror(errno); goto finish; bzero(buffer, MAXBUF + 1); strcpy(buffer, “from client-server“); /* 发消息给服务器 */ len = SSL_write(ssl, buffer, strlen(buffer); if (len 0) printf (“消息%s发送失败！错误代码是%d，错误信息是%sn“, buffer, errno, strerror(errno); else printf(“消息%s发送成功，共发送了%d 个字节！n“, buffer, len);finish: /* 关闭连接 */ SSL_shutdown(ssl); SSL_free(ssl); close(sockfd); SSL_CTX_free(ctx); return 0; 至此，服务器与客户端的通信已经完成，客户端接收服务器发来的信息，同时也 向服务器发送了消息，而这些消息在网络上是加密传输的，即对其他用户来说是透明 的。 湖南科技大学毕业设计（论文） - 31 - 4.3 测试有测试有 SSL 协议加密的安全通信隧道协议加密的安全通信隧道 在以上的基础上，我们开始编译建立 SSL 隧道用到的服务端和客户端，SSL VPN 工 作需要的私钥和证书的签名也已经通过 OpenSSL 产生，接下来开始编译程序： gcc -Wall client.c -o client /-Wall:打开 gcc 的所有警告 gccWall server.c -o server 然后运行程序： ./server 7838 cacert.pem privkey.pem /参数“7838”指服务器对外服务 的端口，后面是签名和私钥； ./client 7838 /客户端指定服务器的 IP 和端口 图图 4.3 服务器端运行结果服务器端运行结果 如图 4.3，服务器接收、发送消息成功。当服务器端输出“got connection from ，port 49903”时，说明服务器已经和客户端建立 Socket 连接，49903 是客 户端使用的端口号，此端口号由客户端随机产生，用于和服务器 7838 端口建立连接。 湖南科技大学毕业设计（论文） - 32 - 客户端的运行结果如下图： 图图 4.4 客户端运行结果客户端运行结果 从客户端的运行结果可以看出，客户端验证服务器的证书成功，并输出了数字证 书的相关信息；客户端能接收和发送消息，与服务器端的通信正常。 湖南科技大学毕业设计（论文） - 33 - 第五章第五章 SSL VPN 典型应用的实现及验证典型应用的实现及验证 通过前面章节的理论研究与分析，以及在 Linux 系统下对 SSL VPN 关键组件的实 现，我们对 SSL VPN 系统的工作原理、加解密过程、工作流程都有了深刻的理解。但 是只做到这些还不是一个完整、成熟的 SSL VPN 系统。现阶段，SSL VPN 的应用技术已 经非常成熟，很多企业和学校都部署了自己的 SSL VPN 安全网关，在本章里，我们用 真实设备搭建出一个具体的 SSL VPN 应用实例，来更好、更直观的说明 SSL VPN 是如 何工作的，进而验证前面所做的理论研究。 5.1 SSL VPN 环境的搭建环境的搭建 5.1.1 SSL VPN 典型应用拓扑图典型应用拓扑图 图图 5.1 SSL VPN 典型应用拓扑图典型应用拓扑图 如图 5.1 所示，远程 PC 为在外出差人员，远程 PC 通过 Internet 能访问到公司的 SSL VPN 网关，远程 PC 的 IP 地址为：,公司 SSL VPN 网关的公网地址为： ，远程 PC 先登陆到 SSL VPN 网关上，进行相应的身份识别和密钥交换， 待 SSL VPN 隧道建立完成后，就可以开始在 Internet 网络上面传输加密了的数据。 表表 5.15.1 互联地址规划互联地址规划 主连设备主连设备互连互连 IPIP对端设备对端设备互连互连 IPIP SSL VPN 网关 /30 远程 PC /30 SSL VPN 网关 /30 内网服务器 /30 5.1.2 SSL VPN 网关产品介绍网关产品介绍 Cisco(思科)在网络设备市场份额、网络安全技术等方面处于全球领先地位，此次 SSL VPN 网关选用 Cisco 的模块化设备 Cisco 7200 系列，它集成了安全、加密和语音 等功能。 湖南科技大学毕业设计（论文） - 34 - 图图 5.2 Cisco 7200 系列路由器系列路由器 5.2 在在 Cisco 上部署上部署 SSL VPN 本案例使用 Cisco 7200 系列模块化路由器作为 SSL VPN 网关。此款路由器完美的 集成了安全、语音等功能，能很好的胜任需求。本次部署 SSL VPN 的目的主要是： 企业内部运行了的办公自动化软件（OA 系统） ，在外地的分公司和出差员工利 用 SSL VPN 就可以访问企业的 OA ，并且有足够的安全措施保证数据和系统安 全。 文件分发和共享,这是在用户 LAN 内的重要网络应用,通过 SSL VPN,员工可以从 外地和合作伙伴的办公地点对 LAN 内的文件和文件夹进行安全读写,同时必须 遵守由管理员制定的权限规则。 企业已将 ERP 、CRM 或进销存系统纳入企业的核心作业工具，业务人员和分公 司不论身在何处均必须及时将信息反馈到中央数据库，并即时取得业务数据。 有了 SSL VPN，用户只要可以上网，就可及时安全地访问处于总部内网的数据 库服务器。 5.2.1 上传上传 SSL VPN 组件到路由器组件到路由器 当路由器的 Flash 格式化完毕后，用如下命令即可上传 SSL VPN 安装组件到路由 器的 Flash 里： copy t/sslclient-win-77.pkg Disk:0/sslclient-win-77.pkg /从 TFTP 服务器上把 SSL VPN 组件的安装包上传到路由器的 Flash 中去。 湖南科技大学毕业设计（论文） - 35 - 5.2.2 安装安装 SSL VPN 和配置组件和配置组件 安装 SSL VPN 组件 R1(config)#webvpn install svc disk0:/sslclient-win-77.pkg SSLVPN Package SSL-VPN-Client : installed successfully 配置 SSL VPN R1(config)# aaa new-model R1(config)# aaa authentication login default local /设置登陆验证默认为本地验证 R1(config)# aaa authentication login webvpn local R1(config)# username cisco password cisco /定义 WEBVPN 本地认证用户名,密码 R1(config)# webvpn gateway vpngateway /定义 WEBVPN 在哪个接口上进行监听， 此时 IOS 会自动产生自签名证书。 R1 (config-WEBvpn-gateway)# ip address port 443 R1 (config-WEBvpn-gateway)# inservice?/启用 WEBvpn gateway 配置 R1 (config)# WEBvpn context WEBcontext /定义 WEBvpn 的相关配置，相当于 ASA 的 tunnel-group，在这里可以定义 R1 (config-WEBvpn-context)# gateway vpngateway /将 context 和 gateway 相关联 R1 (config-WEBvpn-context)# aaa authentication list WEBvpn R1 (config-WEBvpn-context)# inservice /启用 WEBvpn context 配置 R1(config-WEBvpn-context)# policy group sslvpn-policy /进入 sslvpn 策略组 R1(config-WEBvpn-group)# functions svc-enabled /激活 SSL 功能 5.3 测试测试 SSL VPN 系统系统 完成上面的步骤后，一个典型的 SSL VPN 应用实例已经搭建完毕，现在我们来对 这个 SSL VPN 系统进行测试。 如图，在浏览器中输入 SSL VPN 网关的地址即可进入身份验证界面，使用的协议 是 https，https 是以安全为目标的 HTTP 通道，简单讲是 HTTP 的安全版。即 HTTP 下 加入 SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。 湖南科技大学毕业设计（论文） - 36 - 图图 5.3 SSL VPN 登陆界面登陆界面 用户可以用分配到的用户名和密码进行登陆，SSL VPN 网关根据管理员的设置，对 不同的用户分配不同的权限，并控制其访问的资源。 图图 5.4 远程用户登陆远程用户登陆 SSL VPN 成功成功 远程用户成功登陆 SSL VPN 网关后，就会出现如图 5.4 的界面，URL 地址栏里可以 输入内网服务器的域名或者 IP 地址，进行安全访问。一般的，如果用户希望安全连接 到公司网络，用户应在浏览器上输入一个 URL，SSL VPN 服务器就会获得该连接并验证 湖南科技大学毕业设计（论文） - 37 - 用户身份，然后为远程用户提供与各种应用服务器之间的连接。对于 SSL VPN 而言， 起作用的是服务器端的 SSL 代理。SSL 客户端(例如支持 SSL 的浏览器)与 SSL VPN 服务 器建立连接时，实际上先与 SSL 代理建立连接。SSL 代理在客户端和 SSL VPN 服务器之 间提供信息转发服务，同时进行加解密操作。在公共网络(如 Internet)上 SSL 客户端 与 SSL 代理之间建立安全的 SSL 隧道传递密文信息；在私有网络(如 LAN)上，SSL 代理 与服务器可以建立 SSL 连接也可以直接传递明文信息。 图图 5.5 利用利用 SSL VPN 访问内网资源访问内网资源 图图 5.6 截获通信报文截获通信报文 如图 5.5，远程用户已经通过 SSL VPN 网关代理访问了内网服务器 上 的 web 服务。同样使用的是 https 协议。访问内网服务器的数据在公网上传输都已加 密。为了验证传输的数据包是否被加密，我们从用户登陆到 SSL VPN 网关前，到用户 成功访问内网 web 服务器开始抓包。 在 SSL VPN 运行后，在 Internet 网络上部署数据包截获工具，能截获到通信过程 中产生的所有数据包，所有的数据包都是经过加密了的，如图 5.6，我们可以很清晰的 看到：使用的协议是 SSL，而且传输的数据都是加密了的（Encryted） 。 湖南科技大学毕业设计（论文） - 38 - 图图 5.7 在在 SSL VPN 网关上查看网关上查看 PKI 证书证书 如图 5.7，我们可以用控制线缆登陆到 SSL VPN 设备上，查看 SSL VPN 网关为自己 颁发的 PKI 证书和签名信息。 湖南科技大学毕业设计（论文） - 39 - 第六章第六章 结结 论论 6.1 主要工作总结主要工作总结 本文在对 SSL VPN 基本原理进行研究的基础上，从对 SSL VPN 关键技术的研究开 始，探讨了 SSL VPN 工作模式，给出了 SSL VPN 的系统结构，包括对 SSL VPN 服务器 和 SSL VPN 客户端的设计及实现。本文所完成的主要工作包括: (l)给出了一个详细的 SSL VPN 概念，及其原理、模式。研究了 SSL VPN 系统中使 用到的安全隧道技术、身份认证技术、访问控制技术、SSL 代理技术等。把 SSL VPN 和 IPSec VPN 做了详细的对比，分析了各自在技术和应用上的利弊。 (2)探讨了 SSL 协议的体系结构，及 SSL 各个协议层的工作流程，从安全角度给出 了 SSL 协议的详细分析。分析了基于 PKI 的 SSL 协议，对基于 PKI 所用到的密码学、 数字证书等技术做了分析。 (3)给出了 SSL VPN 系统服务器和客户端关键组件的设计和实现。在 Linux 系统下， 利用 OpenSSL 产生 SSL VPN 所需的密钥和签名，用 C 语言实现了 SSL VPN 的通信过程。 (4)利用市面上现有的 SSL VPN 产品，搭建出了一个典型、真实的 SSL VPN 案例， 更好、更直观的说明 SSL VPN 是如何工作的，进而验证前面所做的理论研究。 6.2 展望展望 随着企业业务规模的扩大，将会有越来越多的企业选择部署 SSL VPN 移动办公系 统，使所有的人员都能够随时随地产生效益、获得收益。面向中小企业的 SSL VPN 应 用虽然处于发展阶段，却因其零客户端的简单灵活性、用户权限可分级管理、安全度 较高等特性，企业只需在总部安装 SSL 服务器，企业分公司或者其他外点通过 SSL VPN，就可借助 Web 浏览器安全、快速的使用企业总部的各种应用程序了。因此也就博 得了很多中小企业的目光。 随着越来越多的网络设备厂商参与进来，SSL 技术变得比前几年更加成熟，结合不 断创新的 SSL 应用功能，现今的 SSL VPN 产品可谓是种类繁多，企业用户因此有了更 多的选择，而且产品的价格也在厂家彼此的激烈竞争中比往年有了很大幅度的下降。 例如，某些厂商就提出了“中小企业专用 SSL VPN，打破高价传统”的理念。同时，像 Office、OA、Exchange、电子签证、ERP、订单系统、CRM 等应用服务的 Web 化趋势， 也符合 SSL VPN 被大量采用的需求特点。2010 年的经济回暖，中小企业在新一轮的发 展机遇中极有可能加快分公司、办事处等多点扩张的步伐，SSL VPN 也就会以它的优势， 即节省成本、简单灵活等特性，同样迅速的占领相关市场。