（计算机科学与技术专业论文）零配置vpn客户端的设计与实现.pdf

中文摘要 随着i n t e r n e t 应用的普及，应用服务模式从c s 结构逐渐向w e b 迁移，企业在 蜜旌v p n 组网的时候，必须面对一个新的挑战，即提供灵活快速的v p n 访问方 式，使得用户不再需要配置v p n 客户端，就能随时随地的访问到企业的内部资源。 现阶段，将v p n 技术移植到w e b 应用是解决c s 模式下客户端安装配置复杂的 可行方法。 现有的v p n 组网技术在w 曲应用方面主要采用s s l 协议，但是e l l 于s s l 协议本身不能同时支持多种应用层协议，其支持的应用比较单一，所以，本文将 以会话层的s o c k s5 协议为基础，研究一套基于w 曲应用的v p n 组网技术。其 中的v p n 客户端由于只需用户打开测览器就能访问到v p n 服务器，不用对其浏 览器进行任何配置，也不用安装v p n 客户端，因此将整个系统称为零配置的v p n 客户端系统。 本文重点讨论了将v p n 关键技术移植到w e b 应用。并使之以动态w 曲页面 的形式显示在用户厩前的解决方案。首先着重分析了实现v p 攥关键挣沓。才将 底层逶信、用户弼络请求重定向、身份认证三个子功能模块化，将它们以a c t i v e x 控件的形式封装到动态w e b 页面中。然后再设计架构w e b 应用服务器的基本方案， 实现动态w e b 页西与a c t i v e x 控件之闻的通信接口，完成v p n 技术与w e b 应用 的结合。 与普通c s 模式下的v p n 客户端相比，零配置v p n 客户端具有简单的测览 器客户端优势，用户只需打开w e b 网页就能实现v p n 连接与远程资源的访问；而 对于传统b s 模式下的v p n 客户端，零配置v p n 客户端具有更加多样化的应用 支持类型。结合了两种模式下优点的零配置v p n 客户端，将很好的实现了v p n w e b 化。 关键词：v p nw e b 化；b r o w s e r s e r v e r 模式：a c t i v e x 控件；网页控i t l hw e b v p n 服务器； 分类号：t p 3 9 3 a b s t r a c t w i t ht h ep o p u l a r i z a t i o no fi n t c m e = ta p p l i c a t i o n s ，a p p l i c a t i o ns e r v i c em o d e lf r o m t h ec ss t r u c t u r eo ft h eg 阳d u a lm i g r a t i o nt ot h ew e b w h e nc o r p o r a t i o ni m p l e m e n t s v p nn e t w o r k , i tm u s tf a c ean e wc h a l l 饥g e ，p r o v i d i n gf l e x i b l ea n dr a p i da o c e s so ft h e v p ns ot h a t 呱；e 稻w o u l dn ol o n g e rb en e e dt oc o n f i g u r et h ev p nc l i e n t , a n dm e yc a n v i s i ta ta n yt i m et ot h ee n t e r p r i s e si n t e r n a lr e s o u r c e s a tt h i ss t a g e ，v p nt e c h n o l o g y m i g r a t i n gt o 瑚南a p p l i c a t i o n si sag o o ds o l u t i o nt os o l v ec | sm o d ec o m p l e xi n s t a l l e x i s t i n gv p n n e t w o r kt e c h n o l o g yi nt h ew e b a p p l i c a t i o n su s es s lp r o t o c o l m a i n l y , b u ts s lp r o t o c o li t s d fe a nn o ts u p p o r taw i d er a n g eo fa p p l i c a t i o nl a y e r p r o t o c 0 1 t h i sa r t i c l ew i l lb a s eo ns o c k s5 t os t u d yt h ea p p l i c a t i o no fas e to f w e b - b a s e dv p n t e c h n o l o g y u s e rw i l lb ea b l et oa c c e s st ot h ev p n 默育v e r 、聃t l l o p e n i n gt h eb r o w s e r , d on o th a v ea n yo ft h e i rb r o w s e rc o n f i g u r a t i o na n di n s t a l lt h ev p n c l i e n t , s ot h ee n t i r es y s t e m ，k n o w na sz e r o - c o n f i g u r a t i o nv p nd i e n ts y s t e m t h i sa r t i c l ew i l lf o c u so nt h ek e yt e c h n o l o g i e sv p n m i g r a t et ow e ba p p l i c a t i o n s a n dd e s i g nw e b p a g e s t od i s p l a y f i r s to fa l l ，f o c u so na na n a l y s i so ft h ek e y t e c h n o l o g i e st oa c h i e v ev p n ，a n dt h eu n d e r l y i n gc o m m u n i c a t i o n sn e t w o r kar e q u e s tt o r e d i r e c tt h eu s e r , a u t h e n t i c a t i o nf e a t u r e st h r e es u b - m o d u l a r , a n dt h e yf o r map a c k a g eo f a c t i v e xc o n t r o l st od y n a m i cw c b p a g e t h e nd e s i g nt h es t r u c t u r eo ft h eb a s i cw e b a p p l i c a t i o ns e r v e rp r o g r a m , t h er e a l i z a t i o no fd y n a m i cw c bp a g e s 、i la c t i v e ) c o n t r o l st h ec o m m u n i c a t i o ni n t e r f a c eb e t w e e nt h ec o m p l e t i o no fv p n t e c h n o l o g ya n d t h ec o m b i n a t i o no fw e b a p p l i c a t i o n s a n dc o m p a r e dt og e n e r a lc | sm o d ev p n c l i e n t , z e r o - c o n f i g u r a t i o nv p n c l i e n t w i t has i m p l ec l i e n tp r o g r a m ，a n du s e t so p e n i n gt h ew e b p a g ew i l lb ea b l et oa c h i e v e t h ev p nc o n n e c t i o na n dr e m o t er e s o u r c e s ；a n dc o m p a r e dt ot r a d i t i o n a lb | sm o d ev p n c l i e n t , z e r o - c o n f i g u r a t i o nv p n c l i e n ts u p p o r tf o rm o r ed i v e r s et y p e so f a p p l i c a t i o n s ， a c h i e v eav e r yg o o dp u r p o s eo fv p nwe l b k e y w o r d s - v p nw e b - b a s e d ；b r o w s e r s e r v e rm o d e ；a c t i v e xc o n t r o l s ； p a g ec o n t r o l ；w e b v p ns e r v e r ；, c l a s s n o ：t p 3 9 3 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 躲豫久秘期7 年厶月f 7 日 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 提供阅览服务，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。 同意学校向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文储签名壕衙 签字日期：l p o c ) 年- ( 7 月l c 7 日 一名：肄礁 签字嗍m 年6 月【气日 致谢 本论文的工作是在我的导师韩臻教授，刘吉强副教授的悉心指导下完成的， 韩臻教授，刘吉强副教授严谨的治学态度和科学的工作方法给了我极大的帮助和 影响。在此衷心感谢三年来两位老师对我的关心和指导。 韩臻教授悉心指导我们完成了实验室的科研工作，在学习上和生活上都给予 了我很大的关心和帮助，在此向韩臻老师表示衷心的谢意。 刘吉强副教授对于我的科研工作和论文都提出了许多的宝贵意见，在此表示 衷心的感谢。 在实验室工作及撰写论文期间，韩磊，王亮等同学对我论文中的系统构建与 研究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢家人，他们的理解和支持使我能够在学校专心完成我的学业。 1 绪论 1 1 前言 当今世界，互联网技术的应用已经对传统的商业模式和办公模式形成了 巨大的冲击，越来越多的企业和政府部门的业务开始或已经通过互联网进行。 为了保护自己的业务流和信息流能够在互联网这个公震平台上安全的传输， 许多企业和政府部门开始考虑构建虚拟专用网( v p n ) 。 袁拟专用霹络，即v p n 技术( v i r t u a lp r i v a t en e t ) ，是在公用网络上逶 过对网络数据的封包和加密传输，建立一个临时的、安全的连接【l 】。过去的 几年中，巍于v p n 虚拟专用网比稳用专线更加便宜、灵活，越来越多的企事 业单位开始通过互联网等公共网络，采用v p n 将公司总部和在家工作、出差 在外以及分公司员工和合作伙伴连接到一起。 应用v p n 技术，企监能够灵活扩展金妲内部鹂，连接、整合跨地区分支 网络，构建企业专用网【2 】。在v p n 中，企业能够部署各种常见的网络应用， 例如：文件传输( 嚣订p 窿t p ) 、电子龉件、网络电话( v o i c e o v e ri p ，v o i p ) 、视 频会议，办公自动化系统( o f f i c ea u t o m a t i o n ，o a ) 、企业资源计2 i j 系统 ( e n t e r p r i s er e s o u r c ep l a n n i n g ，e r p ) 、文件服务( 网上邻居) 、远程终端( 远程控 制) 等。v p n 和传统的物理专网相比，具有组网成本低、安全性高、管理方便、 应用广泛、容易扩展等优点。因此，随着v p n 技术的日渐成熟，它将被越来 越多的企业和机构采用。 1 2 课题背景 传统的v p n 组织模式基本上都是客户端服务器的两层模式，逶过实现 i p s e c 协议族，提供安全服务：数据加密、完整性校验、数据源身份认证、访 阀控制f 3 】。i p s e c 协议是网络层的v p n 技术，用自己的封包协议封装原始糖信息， 因此可隐藏所有应用协议的信息。它在p 层对数据包进行高强度的加密和验证， 使安全服务独立于各种应用程序。通信双方要建立护i p s e c 通道，首先要采用一定 的方式建立通信连接。因为i p s e e 协议支持几种操作模式，所以通信双方先要确定 所要采用的安全策略和使用模式，这包括加密运算法则和身份验证方法类型等。 因此，i p s e c 协议具有安全、高效、应用透麓等特点。 工作在网络层的i p s e cv p n 能承担大部分数据传输任务，但是其安装配 置都要求用户进行非常繁琐地工作，而且这些工作还会受到防火墙的设置和 n a t ( n e t a d d r e s st r a n s f e r ，网络地址转换) 的影响，这些不断变化的配置调 试给用户带来了太多不便。 随着互联网上w e b 应用的繁荣，用户通过常见的w e b 应用就可以满足 网络办公的基本需求，如网上邮件，网上聊天，网上购物等等。因此，对于 v p n 应用来说，v p n 技术也迫切需要寻找一种轻量级的v p n 解决方案，以 便用户能够通过w e b 应用的方式，随时随地对公司网络的进行远程安全访问， 不用像i p s e cv p n 一样，对其安装配置进行繁琐的工作，只用简单的通过浏 览器访问方式，就可快速的操作v p n 应用。 因此v p nw e b 化也随之出现，v p nw e b 化即将v p n 传统实现技术向 w e b 应用方向上转化，通过简单快速的w e b 技术，来实现v p n 的远程访问 连接。 依据2 0 0 8 年3 月，国际知名研究机构f r o s t & s u l l i v a n 发布的 2 0 0 7 年中 国网络安全市场研究报告【4 】，中国v p n 中的w c b 市场迅猛增长，2 0 0 7 年 增长率达到1 7 3 8 ，预计从2 0 0 7 年到2 0 1 3 年，v p nw e b 化技术市场规模的 年复合增长率最高，将达到3 3 4 。v p nw e b 市场在全球的总收入2 0 0 7 年可 能达到4 亿6 千6 百万美元。现在，许多企业已经开始使用这项基于w e b 的 v p n 技术，简单、易用而且不需要高额费用的v p n 解决方案部署他们的系 统了。 v p n w e b 化以后的价值包括许多方面，最主要的是提高访问控制能力， 安全易用以及高额的投资回报率。同时还包括访问控制能力，w e b 化以后的 v p n 对访问控制更加有效，因为实施了用户集中化管理。所有的远程访问都 是通过v p n 控制台进行控管，这样可以更加有效的监控用户使用权限，这些 用户可能是公司内部员工，合作伙伴或客户。所有访问被限制在应用层，而 且可以将权限细分到一个u r l 或一个文件f 4 1 。 1 3 主要研究内容 本文的主要工作就是在c s 模式的v p n 客户端的基础上，结合b s 模式的应 用开发模式，将原有的v p n 客户端改进成为实现v p nw e b 化以后的v p n 客户端， 用户只需用打开w e b 浏览器，不需要进行任何客户端的软件配置，就能实现v p n 连接访问，达到零配置的效果，因此，本文的研究目的就是设计与开发出具有零 配置效果的v p n 客户端，即零配置v p n 客户端，实现v p n 的w e b 化。 在本次开发的零配置v p n 客户端中使用的v p n 技术，都是国家8 6 3 项目“计 算机信息系统安全体系结构研究一的成果转化。其客户端的基础原型是由北京交 2 通大学安全体系结构研究中心与深圳惠尔顿信息技术有限公司的合作开发的基于 c s 模式下s o c k s5v p n 客户端。 相对于传统的v p n 技术来说，s o c k s5v p n 客户端是基于应用层的远程访 问技术，因此能够根据用户请求的不同应用，来对用户进行非常详细的进行访问 控制，在保证信息安全传输的同时还可以很好的隐藏网络地址结构。s o c k sv p n 系统自推出以来，得到了众多企业用户的关注，在房地产、建筑、连锁、零售等 行业得到了广泛的应用，消除了公司关键数据在互联网上明文传输所带来的安全 隐患，提高了公司的办公效率。因此本文选择基于s o c k s5 协议的v p n 客户端， 正是考虑到其详细的访问控制优势，结合v p nw e b 化后的优势，将使得v p n 连 接更加安全与快速。 目前关于s o c k s5v p n 客户端所使用的技术都是在c s 模式下设计与开发 的，如何将这些技术移植到b s 模式下，并使之能和动态的w e b 页面结合起来， 将是本次开发的重点所在。 本文的主要工作主要表现在以下三个方面： 一、系统阐述和比较当前两种模式即c s 模式与b s 模式下的v p n 客户端， 深入分析通过b s 模式构建v p n 客户端的可行性，同时分析将c s 模式下应用技 术移植到b s 模式下的可行性。 二、分析s o c k s5v p n 客户端上的v p n 实现技术难点，以及b s 模式下软 件开发的技术要点，主要分为下面三个部分： ( 1 ) 分析c s 模式下客户端中的v p n 实现技术，将各个部分的实现技术模 块化，并考虑其不同模块在b s 应用上的转化：将可以直接复制到b s 模式下的 模块直接封装到客户端中；将需要修改与转化的部分功能模块实现w e b 化；对于 那些不能修改与转化的功能模块，必须找到相应的b s 模式下的实现技术完成其 模块功能。 ( 2 ) 分析b s 模式的组织框架图，以及b s 模式下自身拥有的优势技术，包 括b s 模式下的w e b 服务器，动态页面访问，a c t i v e x 控件技术以及可靠的安全 访问控制技术。考虑将这些技术移植到本次论文开发的零配置的v p n 客户端体系 中的方法。 ( 3 ) 设计v p n 封装模块与b s 动态页面之间的通信接口，这一部分是c s 模式下v p n 应用技术与b s 模式下w e b 页面的桥梁，详细描述通信接口的设计过 程，通过此通信接口的分析与研究，可以使得零配置的v p n 客户端在层次结构方 面更加清晰化。 三、详细讲述零配置的v p n 客户端系统的设计与实现细节，在实施过程上， 首先提出v p n 客户端系统的整体框架，以及各个模块所提供的功能，然后通过对 3 每个模块控制与数据流程的设计，提出实现每个模块的解决方案，最后，通过试 运行零配置的v p n 客户端，讲述零配置v p n 客户端的实际操作步骤以及具体的 w e b 页面。 1 4 论文组织 在论文组织上，本文将以如下章节展开讨论： 第一章介绍了论文写作背景及v p n 技术现状与发展前景，并简单介绍了本文 工作的意义，最后交待了论文的组织情况。 第二章介绍了v f ) n 的基础知识，介绍现有v p n 客户端的分类以及其实现技 术，并讨论了两种不同模式下v p n 客户端其相互的优缺点。最后介绍了传统的b s 模式下v p n 客户端存在的问题。 第三章具体分析了实际工程项目里对v p n 客户端的需求，以及设计目标，同 时介绍本系统设计与实现上的工程难点与技术难点，并做出了相应的解决方案。 最后对整个系统以及各个子系统的模块设计提出了整体的设计思路。 第四章具体讨论了第三章设计的项目中v p n 客户端各个模块的具体实现，同 时详细了各个模块之间的接口关系。 第五章主要是对零配置v p n 客户端进行测试与试运行。 第六章对全文进行了总结，并对v p n 技术的发展趋势进行了展望。 4 2v p n 技术概述 2 1v p n 的基本技术 v p n 的基本技术包括数据加密技术、身份认证技术、隧道技术和密钥管理技 术【5 】。下面简单介绍这几种v p n 的基本技术： ( 1 ) 数据加密技术 用于加密隐蔽传输信息，防止非授权用户读取。v p n 利用公共网络( i n t e r n e t ) 的基础设施来传输企业私有信息，因此传递的数据必须经过加密，从而确保网络 上非授权用户无法正确的解密并读出数据，因此可以说数据加密技术是实现v p n 的基本核心技术之一。 ( 2 ) 身份认证技术 保证只有拥有合法身份的用户可以访问y p n 。在正式的隧道连接开始之前需 要确认用户的身份，以便系统进一步实施资源访问控制或用户授权( a u t h o r i z a t i o n ) 。 由v p n 服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定 资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最 大限度的保护【5 】。从技术上说，身份认证基本上可以分为两类：非p k i 体系和p k i 体系的身份认证。非p k i 体系的身份认证基本上采用的是u i d + p a s s w o r d ( 用户 名+ 口令) 的模式。p k i 体系的身份认证，常用的方法是依赖于c a ( c e r t i f i c a t e a u t h o r i t y ，认证中心) 所颁发的符合x 5 0 9 规范的标准的数字证书。通信双方交换 数据之前，需首先确认彼此的身份，交换彼此的数字证书，对证书进行检验，只 有通过认证才能继续交换数据：否则，不进行后续通信。 ( 3 ) 隧道技术 隧道技术是使用互联网基础结构通过一个网络为另一网络传输数据的一种技 术。被传输的数据( 或载荷) 可以是其它协议的帧( 或分组) ，隧道协议传送的不是 由原始节点所产生的帧( 或分组) ，而是将帧( 或分组) 封装在附加的头中，附加的 头中提供了路由信息以便使封装的载荷能够穿越媒介网络。被封装的帧( 或分组) 通过互联网络在隧道的两个端点之间进行传输，其传输的逻辑路径称为一个隧道。 一旦封装的帧( 或分组) 到达目的网络，其即被解封装，然后被送往最终目标。隧 道技术包括整个处理过程：封装、传输和解封装。 为建立一个隧道，隧道两端的客户机和服务器必须使用相同的隧道协议。隧 道可以在t c p i p 网络模型的任何一层上建立。常见的隧道协议包括数据链路层隧 道协议、网络层隧道协议和应用层隧道协议。 数据链路层隧道协议：又称第二层隧道协议，是在网络中的数据链路层进行 s 的，先把各种网络协议封装到p p p 包中，再把整个数据包装入隧道协议中，这种 经过两层封装的数据包由第二层协议进行传输。第二层隧道协议有以下几种： l z f ( r f c 2 3 4 1 ，l a y e r 2 f o r w a r d i n g ) ，p p t p ( r f c 2 6 3 7 ，p o i n t - t o - p o i n tt u n n e l i n g p r o t o c 0 1 ) ，l z t p ( r f c 2 6 61 ，l a y e r 2t u n n e l i n gp r o t o c 0 1 ) 6 1 。 网络层隧道协议：又称第三层隧道协议，是在网络层进行的，把各种网络协 议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协 议有以下几种：i p s c c ( r f c 2 4 0 1i ps e c u r i t y ) ，是目前最常用的v p n 解决方案； g r e ( r f c 2 7 8 4 ， g e n e r a lr o u t i n ge n c a p s u l a t i o n ) 6 1 。 应用层隧道协议：是在应用层进行的，把上层传来的数据进行加密等处理后， 由应用层把数据传输出去在这一层工作的协议主要是s s l ( s e c u r es o c k e tl a y e r ) 协 议，s o c k s5 协议。 本次论文中v p n 客户端的隧道协议采用的是应用层中的s o c k s5 协议，此 协议是一种新兴的v p n 解决方案，是零配置v p n 客户端采用的隧道通信协议。 2 2 客户端基本模式 2 2 1c l i e n t s e r v e r 模式 c s 模式，即c l i e n t s e r v e r ( 客户栅服务器) 模式，在客户机服务器网络中， 服务器是网络的核心，而客户机是网络的基础，客户机依靠服务器获得所需要的 网络资源，而服务器为客户机提供网络必须的资源。 传统的c l i e n t s e r v e r 结构设计为两层模式，显示逻辑和事务处理部分均被放在 客户端，数据处理逻辑和数据库放在服务器端。客户端负责执行前台功能，如管 理用户接口、数据处理和报告请求等。而服务器端执行后台服务，如管理共享外 设、控制对共享数据库的操作、接受并应答客户机的请求等。由于客户端的任务 较重，服务器端的任务较轻，c s 模式实际上是所谓的“胖客户机 “瘦服务器 模式1 7 】。这种模式比较适合于在小规模、用户少、单一数据库且有安全性保障的局 域网环境下运行，所以在当时条件下得到了广泛的应用。随着应用系统的大型化 以及用户对系统性能要求的不断提高，c s 结构暴露出许多缺点：程序开发量大， 客户端维护困难，客户端负担重、成本高，系统安全性差等。 2 2 2b r o w s e r s e r v e r 模式 b s 模式，即b r o w s e r s e r v e r ( 浏览器服务器) 模式，是随着i n t e m a 技术的兴 6 起，对c s 模式的一种变化或者改进的结构。在这种结构下，用户界面完全通过 w w w 浏览器实现，一部分事务逻辑在前端实现，但是主要事务逻辑在服务器端 实现，形成所谓3 - t i e r 结构。b s 模式利用不断成熟和普及的浏览器技术实现原来 需要复杂专用软件才能实现的强大功能，并节约了开发成本，是一种全新的软件 系统构造技术。这种结构更成为当今应用软件的首选体系结构，当前利用j a v a 技 术和微软的a c t i v e x 控件技术都能实现b s 模式的v p n 客户端，并且这类技术已 经发展得很成熟【7 l 。 b s 模式的结构图如下图2 1 所示： 查询请求 据请求 客户浏览器l7 i w e b l 数据库服务器 返回数据返回数据 图2 1b r o w s e r s e r v e r 模式 f ig u r e2 - 1b r o w s e r s e r v e rm o d e 目前大多数应用软件系统都是c l i e n v s e r v e r 形式的两层结构，现在的软件应用 系统正在向分布式的w e b 应用发展；内部的和外部的用户都可以访问新的和现有 的应用系统，w e b 和c l i e n v s e r v e r 应用都可以进行同样的业务处理；不同的应用 模块共享逻辑组件：通过现有应用系统中的逻辑可以扩展出新的应用系统。这也 就是目前应用系统的发展方向。 传统的c s 模式结构虽然采用的是开放模式，但这只是系统开发一级的开放 性，在特定的应用中无论是c l i e n t 端还是s e r v e r 端都还需要特定的软件，没能提 供用户真正期望的开放环境；b s 结构则不同，它的前端是以t c p i p 协议为基础 的，企业内的w w w 服务器可以接受安装有w e b 浏览程序的i n t e m e t 终端的访问， 作为最终用户，只要通过w e b 浏览器，各种处理任务都可以调用系统资源来完成， 这样大大简化了客户端，减轻了系统维护与升级的成本和工作量，降低了用户的 总体拥有成本【引。 随着软件系统的改进和升级越来越频繁，b s 架构的产品明显体现的更方便的 特性。无论用户的规模有多大，有多少分支机构都不会增加任何维护升级的工作 量，所有的操作只需要针对服务器进行，如果是异地只需要把服务器连接上网即 可立即进行维护和升级，这对人力、时间、费用的节省是相当惊人的。 因此，在现在浏览器成为了普通用户计算机中的标准配置时，应用软件都在 7 逐渐变成b s 架构的，只安装在服务器上，所以服务器操作系统的选择是很多的， 不管选用那种操作系统都可以让大部分人使用w i n d o w s 作为桌面操作系统的情况 不受影响，这就使的很多免费的操作系统如现在最流行的l i n u x 得以快速发展，除 了操作系统是免费的以外，连数据库也是免费的，这样的选择非常流行。传统的 c s 结构的软件需要针对不同的操作系统系统开发不同版本的软件，由于产品的更 新换代十分快，这么高的代价和低效率已经越来越不适应了。 2 3 两种模式的v p n 客户端比较 根据客户端在b s 模式与c s 模式的各自特点，结合v p n 客户端的基本实 现过程，本文将对b s 模式与c s 模式下的v p n 客户端进行下面几个方面的比较。 2 3 1 使用复杂性和经济性 ( 1 ) 客户端配置 c s 模式下v p n 客户端的安装和维护都比较复杂，需要在每一客户端安装特 殊用途的客户端软件，用来替换或者增加客户系统的t c p i p 堆栈，这限制了用户 使用的灵活性。同时，还要在客户端和服务器端手动配置一些较复杂的网络参数 和策略。这些配置工作对于客户端的非专业人员显然过于困难，并且各厂商的产 品目前在兼容性上还缺乏一致的标准，几乎所有的c s 模式下v p n 客户端软件都 是专有的，不能与其它兼容，这也带来额外的问趔9 】。 b s 模式下采用瘦客户端软件，也无须变更原来的局域网络基础设施，员工可 利用任何网页浏览器，比如常见的i n t e r n e t e x p l o r e r 或者n c t s c a p e n a v i g a t o r 都可 以。用户只要给出用户名、密码和w e b v p n 服务器的u r l ，就可实现与远程服务 器的无缝连接，安全存取企业外网络、企业内网络及内部局域网络的资源。而且， 传统的c s 模式下v p n 对客户端采用的操作系统版本具有很高的要求，不同的终 端操作系统需要不同的客户端软件，而b s 模式下则完全没有这样的麻烦 ( 2 ) 防火墙和n a t 的问题 c s 模式下v p n 需要大量的1 1 r 技术支持，包括在运行和长期维护两个方面， 而且移动用户在远程访问时还存在接入端网络的防火墙和n a t 的限制问题。这主 要是由于在网络层要对口地址的数据进行认证和加密，可能会造成n a t 系统进行 内部保留网络地址和h l t e r n e t 地址转换时出错。 b s 模式下v p n 可以绕过防火墙和代理服务器进行访问公司资源，这是在c s 模式下的远程访问所难做到的。因此，w e b v p n 不需在防火墙上做任何修改，也 8 不会因为不同应用系统的需求，而来修改防火墙上的设定，减少了很多管理上的 问题。同时兼容性好，因此，w e b v p n 对于拥有移动用户或者大量商业伙伴，需 要更便捷、更快速的远程访问的公司和集体，是非常适用的【9 】。 ( 3 ) 经济性 对于c s 模式下v p n 来说，每增加一个需要访问的分支，就需要添加一个硬件设 备。b s 模式下v p n 只需要在总部放置一台硬件设备就可以实现所有用户的远程 安全访问接入。另外，就使用成本而言，b s 模式下v p n 避开了部署及管理必要 客户软件的复杂性和人力需求。在部署实施以后降低了部署成本，同时也减小了 对日常性支持和管理的需求。 2 3 2 可扩展性 可扩展性的比较主要有两方面内容：应用程序的扩展和用户的扩展。由于常 用的c s 模式下v p n 采用i p s c c 协议，此协议位于网络层，它保护通信双方传递 的所有数据，而与上层的应用程序无关，即i p s e c v p n 几乎适用于一切应用程序， 并且在访问本地资源时，远程用户与本地局域网内的用户感觉完全一样。利用这 一特性，企业可随意添加和修改应用程序，而不需改动v p n 本身。但是由于它对 客户端的要求较多，使它在添加新用户时相对麻烦【i o 】。 b s 模式下v p n 的优势在于它与网络层无关，故而添加用户或改变用户信息 相对快速和容易，不需要在远程客户端设备上安装软件，只需使用标准w e b 浏览 器即可访问到企业内部的网络资源。 b s 模式下v p n 是服务于应用层的，与应用层有密切的联系。所以改变应用 程序就要改变v p n 的接口，只能有限地支持w i n d o w s 应用或者其它非w e b 系统。 因此，它的应用范围主要是电子邮件系统、文件共享和w e b 应用程序。不过考虑 到i n t e r n e t 和i n t r a n e t 通信量的9 0 都是基于标准w e b 方式和电子邮件方式的，b s 模式下v p n 的应用范围也相当广泛。 2 3 3 访问控制能力 基于b s 模式下v p n 的远程访问允许公司为远程访问用户进行详尽的资源访 问控制。当前电子商务和电子政务日益发展，各种应用日益复杂，需要访问内部 网络人员的身份也多种多样，比如可能有自己的员工、控股公司的工作人员、供 货商、分销商、商业合作伙伴等等。与i p s e c v p n 只搭建虚拟传输网络不同的是， b s 模式下v p n 重点在于保护具体的敏感数据，比如其v p n 客户端可以根据用户 9 的不同身份给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同 人员可以访问的数据是不同的。所有访问被限制在应用层，而且可以将权限细分 到一个u r l 或一个文件。而且在配合一定的身份认证方式的基础上，不仅可以控 制访问人员的权限，还可以对访问人员的每个访问、做的每笔交易、每个操作进 行数字签名，保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供依据【1 。 3 3 4 两种v p n 客户端的应用选择 根据前面的分析和比较，两种不同模式下v p n 各具特色，互有长短。因此在 实际选择v p n 时应根据应用的实际情况，选择适合自己的v p n 技术。 ( 1 ) 适合选择b s 模式下v p n 的应用 b s 模式下v p n 的解决方案最适合移动办公人员对总部资源的访问，合作伙 伴、客户对本公司的相应的资源的访问【1 2 1 。 远程访问内网b s 应用服务器、邮件服务器等：这类访问移动性大、用户多、 应用面广，业务量占了i n t e r n c t i n t r a n c t 的极大多数，大多是非专业人员且可能在 公共场所使用，此模式下的v p n 对b s 业务的广泛适应性和使用的方便性，使其 成为最好的选择。 专有信息资源的访问：有些信息资源规定只有在企业或园区网内有权访问， 如需付费的科技期刊数据库、技术资料等，对用户需提供个性化的服务与管理。 b s 模式下v p n 因极强的可控制性，选择此模式可以很好地满足需求。 ( 2 ) 适合选择c s 模式下v p n 的应用 站点到站点通信：企业或园区网络的分支机构、内部专用网络，建立透明、 高效、安全、稳定可靠的连接。c s 模式下v p n 是首选。 专业人员和科研需要：1 1 r 专业人员的研究工作需要获得内部网络的更多权 限，以便进行各种应用与服务的开发、测试等工作。 网络管理：网络管理人员熟悉网络配置的参数，安装客户端软件这样的工 作对他们来说不成问题。网络管理相关的工s n m p 等协议的执行，需要i p s e c 隧道 建立的透明连接的支持。 1 0 表2 - 1 是两种模式的集中比较： 表2 1 两种模式的v p n 客户端比较 i a b k2 - 1c o m p a r i t i o no fb o t hv p nc l i e n tm o d e s c s 模式b s 模式 安全机制相对更安全；对客户端，提供一定的安全性； 全连通的网络模式非全连通的网络模式 身份认证 对整个网络认证 先认证w e b 服务器，在验证应用 程序 n a t 支持部分支持支持 防火墙支持部分支持 支持 可扩展性基于网络层的，有与应用程序无与网络层无关，提供良好的用户 关的特性，可提供良好的应用程扩展：但由于基于应用层，应用 序扩展；客户端程序复杂，用户程序的扩展有一定的局限性 扩展有一定局限性。 访问控制能力提供一般的访问控制提供细粒度的访问控制 常用的通信协议i p s e c 协议，s o c k s 协议 s s l 协议，s o c k s 协议 豫户骁愉固定用户、专业人员移动用户，大众用户 2 4 传统b s 模式下v p n 客户端存在的问题 前面我们对两种模式下的v p n 客户端进行了详细的比较，本节我们将对传统 的传统b s 模式下的v p n 客户端进行分析，并给出其存在的几个问题。 传统的b s 模式v p n 客户端是通过w 曲浏览器动态的从服务器端的w 曲服 务器获得客户端，并通过该客户端与w e b 服务器联系后访问v p n 远端服务群( 比 如：r d p 、e m a i l 和t c l n c ts e r v e r ) ，以达到安全、可靠地访问的目的。因此，传统 b s 模式v p n 客户端的接入控制是通过w e b 服务器的登陆机制实现的【l ”。 ( 1 ) 关键技术和理论的研究需要突破 目前，对于b s 模式下的v p n 客户端的关键技术和理论的研究还处于不断发 展的阶段。我们缺乏从v p n 的角度，即从身份认证技术、访问控制技术的角度出 发对其进行系统的讨论。因此，为了更有效地发挥b s 模式下的v p n 客户端技术 在网络安全中应有的作用，应该对其关键技术和理论进行更深入的研究【9 】。 ( 2 ) 有限地支持非w 曲应用 如前所述，由于b s 模式v p n 网络完全基于浏览器朋臣务器配置，只能通过 w e b 方式访问代理服务器，不具有虚拟专用网的私有性，不能在w i n d o w s 、u n i x 或者大型系统上进行非基于w e b 界面的应用。虽然目前有些很多b s 模式下v p n 客户端可通过某些方法来支持非w e b 程序，但这些方法实施起来十分复杂，每增 加支持一种应用程序，都要改变其接口，扩展性极差。虽然有些v p n 客户端提供 商已经开始合并终端服务来提供上述非w e b 应用，但不管如何，b s 模式下v p n 网络还未全面支持所有应用，这一技术还有待讨论。 ( 3 ) 有限的安全保障 传统b s 模式下v p n 存在的问题首先传统页面接入控制是通过w e b 服务器 的登陆机制实现的。而w e b 服务器的安全控制并不等同于v p n 的安全控制，存在 其局限性和安全隐患：其次，v p n 客户端需要具备对客户端的安全接入进行控制， 保证客户在合适的位置进行安全的认证；第三，虽然此模式下v p n 客户端提供 了细粒度的访问控制，但它只是对访问内容的细化，如何有效而灵活的控制客户 的访问权限，也是非常需要解决的问题。 2 5v p n 技术在b s 模式下实施的可行性分析 在传统的b s 模式下，v p n 管理员可以对用户的访问权限进行控制，通过细 分不同的u r l ，对用户实现细粒度的v p n 访问控制，这是b s 模式对c s 模式下 的客户端最具有竞争力的地方，但是在对于其他v p n 关键技术的支持，比如v p n 隧道技术，安全可靠的身份验证技术，b s 模式相对与c s 模式还有一定的差距， 因此本文结合前文所提到的传统b s 模式下的v p n 客户端存在的问题以及b s 模 式的特点，分析上面两个v p n 关键技术在b s 模式下实施的可行性。 2 5 1v p n 隧道技术 传统b s 模式下的v p n 客户端采用的隧道技术通常都是基于应用层上的s s l 协议，s s l 协议是一种在w e b 服务协议( h t r p ) 和t c p i p 之间提供数据连接安全 性的协议。它为t c p i p 连接提供数据加密、服务器身份验证和消息完整性验证【l o l 。 s s l 协议是一个分层协议，它是由一个记录层以及记录层上承载的不同消息 类型组成。而该记录层又会由某种可靠的协议如t c p 来承载。图2 2 描述了该协 议的结构。 1 2 图2 - 2s s l 协议示意图 f i g u r e2 - 2s s lp r o t o c o ld i a g r a m 由上图可以看出，s s l 协议通过记录层来对高层的应用数据进行封装，主要 是握手信息、报警信息和应用数据，所有这些信息被封装到记录的数据段，然后 在传到下面的传输层t c p 模块【1 4 1 。 虽然s s l 协议使用得很广泛，并且在常见的w e b 浏览器中几乎都内建有s s l 功，但是由于s s l 协议的记录层进行数据封装时，只对握手层协议