張景琪，劉 新

（1. 甘肅省公安廳，甘肅省蘭州市 730000；2. 蘭州大學 信息科學與工程學院，甘肅省蘭州市 730000）

基于云計算的網絡加密業(yè)務系統(tǒng)的研究

張景琪，劉 新

（1. 甘肅省公安廳，甘肅省蘭州市 730000；2. 蘭州大學 信息科學與工程學院，甘肅省蘭州市 730000）

隨著新型互聯網技術的發(fā)展，人們對于網絡的使用程度得到極大的提高，越來越多的生活行為通過互聯網完成，這也意味著越來越多的信息將通過互聯網進行傳輸。因此，針對于用戶信息的攻擊行為也日益增多，大型網站被劫持的事件也屢有發(fā)生。本系統(tǒng)基于云技術進行構建，綜合使用多種加密技術，極大的降低了用戶被攻擊的可能性，保護了用戶數據的私密性，同時可以起到一定的網絡加速效果，有助于改善用戶體驗。除此之外，本系統(tǒng)提供了對用戶進行流量統(tǒng)計、分析與計費的功能，適用范圍廣，對商業(yè)友好且易于部署，對于低成本地提升網絡安全性能、提升企業(yè)安全性能具有積極作用。

云計算；網絡加密；信息安全

0 引言

隨著經濟水平與網絡技術的發(fā)展，互聯網正在給人們帶來越來越多的便利，人們也越來越倚重互聯網這一信息傳輸媒介，越來越多的信息通過互聯網傳輸。然而，在中國大陸地區(qū)，互聯網的發(fā)展極為迅速，但用戶的網絡安全意識尚處于較低水平。因此，越來越多的攻擊者盯上了互聯網，他們試圖通過盜取用戶數據、劫持用戶流量、惡意插入廣告等方法進行盈利。而中國大陸地區(qū)的網絡基礎設施整體安全性較為薄弱，成為了攻擊者的一大入手點，這致使大量用戶數據被非法竊取、監(jiān)聽和篡改。

本系統(tǒng)將有效降低用戶遭遇中間人攻擊、嗅探攻擊等高危攻擊的風險，保證用戶數據在傳輸過程中的安全性。同時，合理部署本系統(tǒng)具有提高網絡訪問速度的效果，有助于改善用戶體驗。本系統(tǒng)可以被部署于公有云環(huán)境，為用戶提供加密訪問與反追蹤服務；也可以被部署于私有云環(huán)節(jié)，為企業(yè)提供簡單可控的遠程訪問系統(tǒng)。

本系統(tǒng)支持的加密方式包括基于 HTTPS 技術的代理連接與基于PPTP、L2TP、Cisco AnyConnect、IKEv1、IKEv2的虛擬專有網絡連接。

1 系統(tǒng)設計

本系統(tǒng)使用目標是給用戶提供工業(yè)級標準的網絡加密服務，給服務器管理者提供用戶流量統(tǒng)計、計費、登錄控制等功能。包括主控服務器、節(jié)點服務器兩種服務器類型，其中主控服務器為負責用戶信息存儲、用戶權限校驗等核心功能，節(jié)點服務器供用戶通過自選的協(xié)議類型建立安全連接使用。

1.1 系統(tǒng)需求

本系統(tǒng)采用傳統(tǒng)的軟件開發(fā)生命周期，采用自頂向下，逐步求精的結構化的軟件設計方法。本系統(tǒng)主要有以下幾方面的功能：

（1）通過API、PPP等方法更新流量數據

（2）根據設置對用戶進行權限控制

（3）對用戶產生的流量進行計費

（4）可以注冊用戶、且具有用戶驗證與密碼找回功能

1.2 模塊功能邏輯關系

本系統(tǒng)的結構如下圖所示，它包括位于主控服務器中的計費功能模塊（用于流量統(tǒng)計和計費）、用戶授權模塊（實現用戶注冊、登錄、認證和找回密碼）、后臺功能模塊（用于用戶充值和流量查詢以及獲取幫助）、管理員模塊（用于完成管理員管理操作）、根模塊（設置基于 MVC 的路由和配置相關信息）、幫助模塊（用于用戶獲取幫助）和用于用戶通過自選的協(xié)議類型建立安全連接的節(jié)點服務器。

圖1 系統(tǒng)模塊結構示意圖

2 技術實現

本系統(tǒng)使用Squid用于支持基于HTTPS 的代理連接，使用PPTPD支持PPTP協(xié)議，使用L2TPD支持L2TP協(xié)議，使用OCSERV支持Cisco Any-Connect協(xié)議，使用StrongSwan用于支持IKEv1與IKEv2協(xié)議，通過PPP用于VPN類型流量同時，通過開發(fā)Linux Bash Shell腳本分析Squid日志進行HTTPS代理流量統(tǒng)計，使用Radius進行用戶認證，使用MVC模式開發(fā)主控服務器相關管理程序。

2.1 HTTPS代理

本系統(tǒng)使用Squid作為基礎實現HTTPS代理，在OpenSSL的支持下，使用https_port配置項來啟用HTTPS代理端口，并通過basic_radius_auth模塊配置用戶認證。此后，通過設置request_header_ access 來避免用戶訪問某網站時，網站獲得用戶真實IP信息；通過設置request_header_replace來修改用戶UA來達到保護用戶UA不被泄露的目的。其認證模式為HTTP基礎認證，主要的認證配置項為http_access（用于允許用戶登錄）、auth_param basic program（用于指定認證程序），acl（用于完成 ACL控制）。

配置文件 squid.conf 中的關鍵配置項如下：

HTTPS代理不可使用PPP進行用戶流量統(tǒng)計與計費，因此，必須單獨開發(fā)計費腳本用于完成計費工作。本系統(tǒng)采用分析Squid日志的方式進行基于用戶的流量統(tǒng)計與計費腳本開發(fā)，其工作步驟如下：

2.2 虛擬專有網絡

本系統(tǒng)使用PPTPD、L2TPD、OCSERV完成對PPTP、L2TP與Cisco AnyConnect協(xié)議的支持，這三種開源軟件的配置方法與公開資料無特殊之處。本系統(tǒng)采用StrongSwan實現IKEv1（Cisco IPsec VPN）與IKEv2協(xié)議的支持，啟用基EAP-MSCHAPv2（用戶名+密碼）、EAP-TLS（證書）、EAP-TTLS（證書）、PEAP（用戶名+密碼）四種模式的用戶認證。VPN 全部使用PPP進行用戶流量統(tǒng)計與計費。

本系統(tǒng)的虛擬專有網絡連接建立過程為：

圖2 日志分析流程圖

（1）用戶選擇節(jié)點服務器，發(fā)起特定協(xié)議連接

（2）節(jié)點服務器請求用戶提供身份信息并發(fā)送給主控服務器進行認證

（3）節(jié)點服務器收到主控服務器返回的認證消息

（4）若主控服務器認證通過，則建立連接，開始調用PPP流量統(tǒng)計

（5）用戶使用虛擬專有網絡

（6）用戶斷開連接，節(jié)點服務器完成PPP流量統(tǒng)計

（7）節(jié)點服務器發(fā)送流量統(tǒng)計給主控服務器（8）主控服務器完成計費并更新數據庫

下圖為用戶與節(jié)點服務器在建立連接階段的認證過程示意圖：

在這里需要注意的是，OCSERV原生不支持PPP協(xié)議計費，必須使用腳本使其完成PPP流量統(tǒng)計功能，該腳本的設計目的為利用OCSERV的connect-script配置項和disconnect-script配置項的連接時和連接后的調用，模擬PPP統(tǒng)計信息的發(fā)送，實現PPP流量統(tǒng)計與計費效果。

圖3 廉潔建立階段流程示意圖

3 結束語

通過本系統(tǒng)可以為用戶提供加密的網絡連接，在用戶訪問非HTTPS的網站時可以在一定程度上保證用戶的數據安全，與CloudFlare公司的HTTPS CDN服務類似，降低中間人攻擊、嗅探攻擊等針對網絡基礎設施的網絡攻擊風險，這些攻擊在中國大陸的運營商層面上經常發(fā)生。但如果運維人員無法保證節(jié)點服務器所處的網絡環(huán)節(jié)是安全的，則無法保證用戶訪問的非HTTPS站點完全不會遭遇攻擊（如果節(jié)點部署于私有云或公有云機房，由于IDC網絡環(huán)節(jié)相對可控，則可以極大的降低風險，除非攻擊者在IDC、主干網乃至被訪問的站點網絡環(huán)境層面上進行攻擊，而此類攻擊相對較少且難度較高）。

本系統(tǒng)除為個人用戶提供加密的網絡訪問服務外，也是一種易于實現的、高效的、安全的、可溯源的、低成本的且易于管理的企業(yè)級遠程訪問系統(tǒng)。企業(yè)員工可以便捷地使用不同設備，進行跨平臺地遠程內網訪問，企業(yè)運維工程師也可以便捷地對網絡進行監(jiān)控和管理，在用戶體驗得到提高的同時，保障網絡邊界安全。

參考文獻

[1] 劉洪強. 基于SSL協(xié)議的VPN技術研究與實現[D]. 濟南:山東大學, 2008.

[2] 康榮保, 張玲, 蘭昆. SSL中間人攻擊分析與防范[J]. 信息安全與通信保密, 2010, 03(1): 85-87.

[3] 黃存東. 關于計算機網絡信息安全問題的技術研究[J]. 軟件, 2013, 34(1): 140-141.

[4] 劉西青. 淺談計算機網絡安全問題[J]. 軟件, 2013, 34(12): 239.

[5] 荀邁華. 計算機網絡安全問題及防范策略[J]. 軟件, 2013, 34(12): 240.

[6] CloudFlare Inc. Secure Socket Layer (SSL)/TLS | Cloudflare[OL]. https: //www.cloudflare.com/ssl/, 2016.

[7] Squid ORG. squid: Optimising Web Delivery[OL]. http:// www.squid-cache.org/Doc/, 2016.

[8] StrongSwan ORG. strongSwan-Documentation[OL]. https:// www.strongswan.org/documentation.html, 2016.

[9] Small Bird. 在CentOS 7上搭建IKEv1與IKEv2[OL]. http:// www.smallbird.net/2016/04/27/strongswan-on-centos-7/, 2016.

[10] 金元海, 王西雁. 計算機網絡信息安全防范方法研究[J].軟件, 2014, 35(1): 89-91.

[11] 田紅廣. 如何加強計算機網絡的安全管理和安全防范[J].軟件, 2014, 35(1): 92-93.

[12] 劉斌. 校園網絡的安全防護策略[J]. 軟件, 2014, 35(1): 98-99.

[13] 劉炳奇. 影響計算機網絡安全的因素及應對措施[J]. 軟件, 2014, 35(3): 152-154.

[14] 王曉艷. 云計算的應用改進與安全問題分析[J]. 軟件, 2014, 35(3): 160.

[15] 唐琳, 陳蘭蘭, 付達杰. 一種基于IPsec VPN 的聯網信息系統(tǒng)審計方案[J]. 軟件, 2014, 35(4): 97-99, 102.

Research on Network Encryption System Based on Cloud Computing

ZHANG Jing-qi, LIU Xin
(1. Gansu Provincial Public Security Bureau, Lanzhou Gansu, 730000; 2. School of Information Science and Engineering, Lanzhou University, Lanzhou Gansu, 730000)

With the development of new Internet technology, the degree of network using has been increased. More and more through the Internet, it also means that more and more information will be transmitted through the internet. Therefore, the attack on the user information is also increasing and hijacking events on large websites have occurred frequently. This system is based on cloud technology to build the integrated use of multiple encryption technology, which greatly reduces the possibility of user attack, to protect the privacy of user data, and can play a certain network acceleration effect, help to improve the user experience. In addition, the system provides the statistics, analysis and flow of the user's billing functions, applicable to a wide range of business friendly and easy to deploy, for low cost plays an important role in improving the safety performance of local enterprises to improve network security and performance.

Cloud computing; Network encryption; Information security

000000

A

10.3969/j.issn.1003-6970.2017.01.030

張景琪(1958-)，男，工作于甘肅省公安廳，工程師，研究方向為信息技術研究與應用、信息化工程建設、信息技術應用推廣，網絡安全研究以及安全管理；劉新(1995-)，男，就讀于蘭州大學信息科學與工程學院，碩士研究生，研究方向網絡空間安全。

本文著錄格式：張景琪，劉新. 基于云計算的網絡加密業(yè)務系統(tǒng)的研究[J]. 軟件，2017，38（1）：139-142