企業(yè)SSL VPN認(rèn)證方式分析

摘 要：由于SSL VPN接入方式安全、簡單易用，且可進(jìn)行有效的權(quán)限管理，同時具備跨平臺、免客戶端等特性，被大量使用，其認(rèn)證方式多種多樣，目前使用較多的有動態(tài)口令認(rèn)證技術(shù)、數(shù)字證書認(rèn)證技術(shù)等。文章基于此，技術(shù)分析了企業(yè)SSL VPN認(rèn)證方式。

關(guān)鍵詞：安全套接層協(xié)議; 虛擬專用網(wǎng)絡(luò);動態(tài)口令認(rèn)證;數(shù)字證書認(rèn)證

1 SSL VPN簡要介紹

安全套接層（Secure Sockets Layer，SSL）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。采用SSL協(xié)議的虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）設(shè)備稱之為SSL VPN，是解決用戶遠(yuǎn)程訪問公司敏感數(shù)據(jù)最簡單、最安全的解決技術(shù)。SSL內(nèi)嵌在瀏覽器中，無需像IPSec VPN一樣為每一臺客戶機(jī)安裝客戶端軟件，任何安裝瀏覽器的機(jī)器都可以便捷地使用SSL VPN。

2 SSL VPN認(rèn)證方式分析

2.1 認(rèn)證技術(shù)介紹

SSL VPN的認(rèn)證方式多種多樣，這也是大部分用戶在做SSL VPN選型的時候重點考察的一項問題。常見的身份認(rèn)證方式有以下幾種：

（1）硬件令牌。一種專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上。認(rèn)證服務(wù)器采用相同的算法計算當(dāng)前的有效密碼，用戶使用時只需要將動態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計算機(jī)，即可實現(xiàn)身份的確認(rèn)。

（2）手機(jī)短信。使用現(xiàn)有的移動電話系統(tǒng)網(wǎng)絡(luò)和手機(jī)短信的方式傳送密碼，將動態(tài)密碼和移動設(shè)備緊密結(jié)合，為用戶提供了一種安全可靠、方便易用的身份認(rèn)證手段。一方面，為用戶提供安全、可靠的網(wǎng)絡(luò)應(yīng)用用戶認(rèn)證手段;另一方面，無須用戶增加任何外在設(shè)備，巧妙地利用移動設(shè)備隨身攜帶的特點，將其變成一個識別個人身份的工具，只有使用攜帶的移動設(shè)備，才能獲取態(tài)密碼，使身份認(rèn)證的可靠性得到保證。

（3）數(shù)字證書認(rèn)證。由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的，以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性、交易實體身份的真實性和簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。

一般情況下，數(shù)字證書頒發(fā)過程是：首先，用戶產(chǎn)生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認(rèn)證中心。其次，認(rèn)證中心在核實身份后，執(zhí)行一些必要的步驟，以確定請求確實由用戶發(fā)送。再次，認(rèn)證中心發(fā)給用戶一個數(shù)字證書，該證書內(nèi)包含用戶的個人信息和公鑰信息，同時附有認(rèn)證中心的簽名信息。最后，用戶可以使用自己的數(shù)字證書進(jìn)行各種相關(guān)的活動。數(shù)字證書由獨立的證書發(fā)行機(jī)構(gòu)發(fā)布。

（4）USB Key。一種USB接口的硬件設(shè)備，內(nèi)置單片機(jī)或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內(nèi)置的密碼學(xué)算法實現(xiàn)對用戶身份的認(rèn)證。認(rèn)證過程是，預(yù)先在USB Key和服務(wù)器中存儲一個證明用戶身份的密鑰（共享秘密），當(dāng)需要在網(wǎng)絡(luò)上驗證用戶身份時，由客戶端向服務(wù)器發(fā)出一個驗證請求，服務(wù)器接到請求后生成一個隨機(jī)數(shù)并通過網(wǎng)絡(luò)傳輸給客戶端?？蛻舳藢⑹盏降碾S機(jī)數(shù)提供給插在客戶端USB接口上的USB Key，由USB Key使用該隨機(jī)數(shù)與存儲在USB Key中的密鑰進(jìn)行運(yùn)算，將得到的結(jié)果作為認(rèn)證證據(jù)傳給服務(wù)器。與此同時，服務(wù)器也使用該隨機(jī)數(shù)與存儲在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進(jìn)行運(yùn)算，如果服務(wù)器的運(yùn)算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同，則認(rèn)為客戶端是一個合法用戶[1]。

2.2 認(rèn)證方式比較

2.2.1 動態(tài)密碼和數(shù)字證書對比

（1）可維護(hù)性。動態(tài)密碼容易維護(hù)，出現(xiàn)問題時可以遠(yuǎn)程排除故障，大大降低維護(hù)成本，且客戶端無需安裝，系統(tǒng)集成方便;數(shù)字證書出現(xiàn)問題時需到現(xiàn)場才能排除故障，UK客戶端還需要安裝自帶的USB Key驅(qū)動程序，如果驅(qū)動程序無法正常安裝運(yùn)行，則用戶無法使用系統(tǒng)。

（2）平臺無關(guān)性。動態(tài)密碼無需連接電腦安裝，非常便捷地實現(xiàn)移動辦公;數(shù)字證書需要連接至電腦USB口，對于某些出于安全考慮禁用USB口的企業(yè)，UK數(shù)字證書使用不便。

（3）系統(tǒng)擴(kuò)展性。動態(tài)密碼非常容易擴(kuò)展，通過配置即可，支持一個動態(tài)口令在多個系統(tǒng)使用;數(shù)字證書擴(kuò)展性一般，只能用在指定的系統(tǒng)中使用。

（4）安全性。動態(tài)密碼安全性很高，隨機(jī)產(chǎn)生長度6位的口令，且口令60 s一變，只能使用一次;數(shù)字證書安全性一般，僅保存了一個證書的標(biāo)識字符串，USB Key里的標(biāo)識串是不會改變的，但假如在網(wǎng)絡(luò)傳輸過程中被盜取，則該標(biāo)識串有可能會被破解。

（5）操作方便性。動態(tài)密碼操作十分方便，不需安裝任何程序，使用者無需具備任何電腦知識，且硬件令牌產(chǎn)品小巧、方便攜帶，手機(jī)令牌只要在手機(jī)端安裝軟件即可，一鍵獲取口令，無需攜帶額外設(shè)備。數(shù)字證書操作方便性一般，需要安裝驅(qū)動程序，要求使用者具備一定的電腦知識，使用時需插入電腦的USB口，操作不便，且存在用完后忘記撥出的風(fēng)險。

（6）首次使用簡便性。動態(tài)密碼無須任何下載安裝;數(shù)字證書需要在計算機(jī)上下載安裝證書、簽名控件[2]。

（7）對計算機(jī)要求。動態(tài)密碼要求較高，缺少安全補(bǔ)丁的盜版操作系統(tǒng)有可能安裝證書困難;數(shù)字證書要求較低，只要瀏覽器版本達(dá)到IE6.0就可以。

2.2.2 幾種動態(tài)密碼技術(shù)之間的對比

（1）短信密碼。優(yōu)點：無需攜帶額外認(rèn)證設(shè)備;管理成本低;適合登錄頻度不高的用戶移動辦公。缺點：短信可能出現(xiàn)延時或丟失;手機(jī)欠費(fèi)、無手機(jī)信號（如國外出差），則無法正常使用。

（2）硬件令牌。優(yōu)點：響應(yīng)速度快;認(rèn)證可靠性高;與用戶所在時區(qū)無關(guān);適合登錄頻度較高的非中國區(qū)用戶。缺點：令牌生命周期短，3年需更換;有物流及發(fā)放管理，管理成本較高;容易忘記攜帶。

（3）手機(jī)令牌。優(yōu)點：安裝在智能手機(jī)上，無需攜帶額外硬件;密碼生成完全離線，無需手機(jī)網(wǎng)絡(luò)支持。缺點：需智能手機(jī)支持。

3 SSL VPN認(rèn)證方式測試

本團(tuán)隊使用思科ASA5540防火墻作為SSL VPN網(wǎng)關(guān)，Windows Server 2008企業(yè)版服務(wù)器作為證書服務(wù)器和認(rèn)證服務(wù)器，并采用寧盾科技有限公司的認(rèn)證系統(tǒng)軟件和USB Key，電信100 M寬帶作為互聯(lián)網(wǎng)出口，搭建了測試環(huán)境。

3.1 企業(yè)根CA證書認(rèn)證

將證書服務(wù)器加入公司域環(huán)境，并在服務(wù)器上安裝相關(guān)的證書服務(wù)，同時將證書服務(wù)器的根證書導(dǎo)入思科防火墻設(shè)備，并在防火墻上配置相關(guān)的參數(shù)，使防火墻和證書服務(wù)器可以進(jìn)行正常通信、聯(lián)動。

使用過程如下：（1）用戶通過IE瀏覽器訪問證書服務(wù)器，提出證書申請。（2）證書服務(wù)器要求用戶輸入自己的域賬號和密碼進(jìn)行認(rèn)證，證書服務(wù)器會將用戶輸入的域賬號和密碼同AD進(jìn)行比對，如果是AD中的賬號則響應(yīng)進(jìn)入申請界面，如果不是則拒絕申請。（3）在申請界面選擇、填寫相關(guān)項目后就可完成申請。（4）VPN管理員在證書服務(wù)器的頒發(fā)程序中頒發(fā)掛起的申請。（5）用戶再次通過IE瀏覽器訪問證書服務(wù)器，下載已經(jīng)頒發(fā)的證書，將其導(dǎo)入SSL VPN客戶端軟件，即可正常使用。

該認(rèn)證方式必須使用SSL VPN客戶端軟件，但在手機(jī)、平板等移動終端上無法使用。原因如下：（1）移動終端的操作系統(tǒng)一般都是蘋果iOS或者安卓系統(tǒng)，但證書是Windows系統(tǒng)生成的，如果要在這些移動終端上使用，就必須進(jìn)行證書格式的轉(zhuǎn)換，使蘋果iOS或者安卓系統(tǒng)可以識別。（2）不同的移動終端操作系統(tǒng)對應(yīng)的SSL VPN客戶端各不相同。（3）相同的SSL VPN客戶端軟件在不同版本的安卓系統(tǒng)上或者相同版本的安卓系統(tǒng)不同品牌的手機(jī)上，也不是都可以正常運(yùn)行的。

3.2 雙因素認(rèn)證

雙因素認(rèn)證系統(tǒng)由認(rèn)證設(shè)備、認(rèn)證代理軟件、認(rèn)證服務(wù)器3者組成，具體如下：（1）認(rèn)證設(shè)備，通常指雙因素認(rèn)證令牌，此次測試采用了硬件USB-KEY數(shù)字證書和手機(jī)軟令牌（APP應(yīng)用程序）。（2）認(rèn)證代理軟件，是當(dāng)用戶想要訪問某個網(wǎng)絡(luò)資源時，將訪問請求發(fā)送至認(rèn)證服務(wù)器進(jìn)行認(rèn)證，此次測試采用的是Cisco AnyConnect軟件。（3）認(rèn)證服務(wù)器，負(fù)責(zé)接收雙因素認(rèn)證請求及驗證雙因素認(rèn)證管理工作，此次測試采用的是寧盾科技有限公司的認(rèn)證服務(wù)器系統(tǒng)。

使用過程如下：首先，用戶通過運(yùn)行Cisco AnyConnect軟件訪問SSL VPN網(wǎng)關(guān)。其次，軟件彈出對話框要求輸入用戶名及密碼，此用戶名和密碼可以是公司域控中的AD賬號和密碼，也可以是認(rèn)證服務(wù)器本地創(chuàng)建的用戶名和密碼。再次，認(rèn)證服務(wù)器比對用戶輸入的用戶名和密碼，如果比對成功，則觸發(fā)動態(tài)密碼的輸入驗證，否則拒絕。最后，輸入硬件USB-KEY數(shù)字證書上顯示的6位數(shù)字密碼或者手機(jī)軟令牌軟件上顯示的6位數(shù)字密碼，同認(rèn)證服務(wù)器上計算出的6位數(shù)字密碼匹配無誤后，即可正常使用。

硬件USB-KEY數(shù)字證書和手機(jī)軟令牌須預(yù)先在認(rèn)證服務(wù)器中和用戶的賬號綁定后才能使用，每個用戶對應(yīng)一個硬件USB-KEY數(shù)字證書或者手機(jī)軟令牌。該認(rèn)證方式和用戶使用的終端無關(guān)，只要用戶有認(rèn)證設(shè)備，在哪臺終端上都可以使用，相對于企業(yè)和CA證書認(rèn)證方式靈活了很多。

該認(rèn)證方式還可以使用無客戶端方式訪問公司VPN，用戶通過瀏覽器直接訪問SSL VPN網(wǎng)關(guān)，根據(jù)提示安裝相關(guān)的瀏覽器插件后輸入認(rèn)證信息即可正常使用。但是無客戶端訪問也有局限性，只能夠訪問瀏覽器和服務(wù)器（Browser/Server，B/S）架構(gòu)的應(yīng)用，對于客戶機(jī)/服務(wù)器（Client/Server，C/S）架構(gòu)的應(yīng)用則無能為力。

4 結(jié)語

通過以上的分析和測試體驗，本團(tuán)隊認(rèn)為數(shù)字證書認(rèn)證方式適用于臺式機(jī)或筆記本電腦;對于雙因素認(rèn)證方式，無客戶端訪問模式適用于手機(jī)、平板等移動終端，有客戶端訪問模式在臺式機(jī)或筆記本電腦上使用比較合適。

作者簡介：王鵬（1980— ），男，河北深州人，高級工程師，碩士;研究方向：網(wǎng)絡(luò)建設(shè)、管理及運(yùn)維，網(wǎng)絡(luò)安全，虛擬化管理，存儲管理等。

[參考文獻(xiàn)]

[1]徐博.面向SSL VPN的訪問控制及相關(guān)技術(shù)研究[D].杭州：浙江工業(yè)大學(xué)，2009.

[2]張方田，王開義，劉忠強(qiáng)，等.農(nóng)資電子交易平臺的身份認(rèn)證研究與實現(xiàn)[J].農(nóng)機(jī)化研究，2010（6）：5-8，24.

Analysis of SSL VPN authentication mode in enterprises

Wang Peng

（Information Center of Powerchina Northwest Engineering Corporation Limited， Xian 710065， China）

Abstract：Because SSL VPN access mode is secure， simple and easy to use， and can carry on the effective authority management， at the same time has the cross-platform， the client-free and so on characteristic， at present is widely used， its authentication way is various， at present uses more has the dynamic password authentication technology， the digital certificate authentication technology and so on. Based on this， the article analyzes the enterprise SSL VPN authentication mode.

Key words：secure sockets layer; virtual private network; dynamic password authentication; digital certificate authentication