企业SSL VPN认证方式分析

来源:用户上传      作者:

　　摘 要：由于SSL VPN接入方式安全、简单易用，且可进行有效的权限管理，同时具备跨平台、免客户端等特性，被大量使用，其认证方式多种多样，目前使用较多的有动态口令认证技术、数字证书认证技术等。文章基于此，技术分析了企业SSL VPN认证方式。
　　关键词：安全套接层协议; 虚拟专用网络;动态口令认证;数字证书认证
　　1 SSL VPN简要介绍
　　安全套接层（Secure Sockets Layer，SSL）是为网络通信提供安全及数据完整性的一种安全协议。采用SSL协议的虚拟专用网络（Virtual Private Network，VPN）设备称之为SSL VPN，是解决用户远程访问公司敏感数据最简单、最安全的解决技术。SSL内嵌在浏览器中，无需像IPSec VPN一样为每一台客户机安装客户端软件，任何安装浏览器的机器都可以便捷地使用SSL VPN。
　　2 SSL VPN认证方式分析
　　2.1 认证技术介绍
　　SSL VPN的认证方式多种多样，这也是大部分用户在做SSL VPN选型的时候重点考察的一项问题。常见的身份认证方式有以下几种：
　　（1）硬件令牌。一种专用硬件，内置电源、密码生成芯片和显示屏，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码，用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。
　　（2）手机短信。使用现有的移动电话系统网络和手机短信的方式传送密码，将动态密码和移动设备紧密结合，为用户提供了一种安全可靠、方便易用的身份认证手段。一方面，为用户提供安全、可靠的网络应用用户认证手段;另一方面，无须用户增加任何外在设备，巧妙地利用移动设备随身携带的特点，将其变成一个识别个人身份的工具，只有使用携带的移动设备，才能获取态密码，使身份认证的可靠性得到保证。
　　（3）数字证书认证。由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性、交易实体身份的真实性和签名信息的不可否认性，从而保障网络应用的安全性。
　　一般情况下，数字证书颁发过程是：首先，用户产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。其次，认证中心在核实身份后，执行一些必要的步骤，以确定请求确实由用户发送。再次，认证中心发给用户一个数字证书，该证书内包含用户的个人信息和公钥信息，同时附有认证中心的签名信息。最后，用户可以使用自己的数字证书进行各种相关的活动。数字证书由独立的证书发行机构发布。
　　（4）USB Key。一种USB接口的硬件设备，内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用USB Key内置的密码学算法实现对用户身份的认证。认证过程是，预先在USB Key和服务器中存储一个证明用户身份的密钥（共享秘密），当需要在网络上验证用户身份时，由客户端向服务器发出一个验证请求，服务器接到请求后生成一个随机数并通过网络传输给客户端。客户端将收到的随机数提供给插在客户端USB接口上的USB Key，由USB Key使用该随机数与存储在USB Key中的密钥进行运算，将得到的结果作为认证证据传给服务器。与此同时，服务器也使用该随机数与存储在服务器数据库中的该客户密钥进行运算，如果服务器的运算结果与客户端传回的响应结果相同，则认为客户端是一个合法用户[1]。
　　2.2 认证方式比较
　　2.2.1 动态密码和数字证书对比
　　（1）可维护性。动态密码容易维护，出现问题时可以远程排除故障，大大降低维护成本，且客户端无需安装，系统集成方便;数字证书出现问题时需到现场才能排除故障，UK客户端还需要安装自带的USB Key驱动程序，如果驱动程序无法正常安装运行，则用户无法使用系统。
　　（2）平台无关性。动态密码无需连接电脑安装，非常便捷地实现移动办公;数字证书需要连接至电脑USB口，对于某些出于安全考虑禁用USB口的企业，UK数字证书使用不便。
　　（3）系统扩展性。动态密码非常容易扩展，通过配置即可，支持一个动态口令在多个系统使用;数字证书扩展性一般，只能用在指定的系统中使用。
　　（4）安全性。动态密码安全性很高，随机产生长度6位的口令，且口令60 s一变，只能使用一次;数字证书安全性一般，仅保存了一个证书的标识字符串，USB Key里的标识串是不会改变的，但假如在网络传输过程中被盗取，则该标识串有可能会被破解。
　　（5）操作方便性。动态密码操作十分方便，不需安装任何程序，使用者无需具备任何电脑知识，且硬件令牌产品小巧、方便携带，手机令牌只要在手机端安装软件即可，一键获取口令，无需携带额外设备。数字证书操作方便性一般，需要安装驱动程序，要求使用者具备一定的电脑知识，使用时需插入电脑的USB口，操作不便，且存在用完后忘记拨出的风险。
　　（6）首次使用简便性。动态密码无须任何下载安装;数字证书需要在计算机上下载安装证书、签名控件[2]。
　　（7）对计算机要求。动态密码要求较高，缺少安全补丁的盗版操作系統有可能安装证书困难;数字证书要求较低，只要浏览器版本达到IE6.0就可以。
　　2.2.2 几种动态密码技术之间的对比
　　（1）短信密码。优点：无需携带额外认证设备;管理成本低;适合登录频度不高的用户移动办公。缺点：短信可能出现延时或丢失;手机欠费、无手机信号（如国外出差），则无法正常使用。
　　（2）硬件令牌。优点：响应速度快;认证可靠性高;与用户所在时区无关;适合登录频度较高的非中国区用户。缺点：令牌生命周期短，3年需更换;有物流及发放管理，管理成本较高;容易忘记携带。 　　（3）手机令牌。优点：安装在智能手机上，无需携带额外硬件;密码生成完全离线，无需手机网络支持。缺点：需智能手机支持。
　　3 SSL VPN认证方式测试
　　本团队使用思科ASA5540防火墙作为SSL VPN网关，Windows Server 2008企业版服务器作为证书服务器和认证服务器，并采用宁盾科技有限公司的认证系统软件和USB Key，电信100 M宽带作为互联网出口，搭建了测试环境。
　　3.1 企业根CA证书认证
　　将证书服务器加入公司域环境，并在服务器上安装相关的证书服务，同时将证书服务器的根证书导入思科防火墙设备，并在防火墙上配置相关的参数，使防火墙和证书服务器可以进行正常通信、联动。
　　使用过程如下：（1）用户通过IE浏览器访问证书服务器，提出证书申请。（2）证书服务器要求用户输入自己的域账号和密码进行认证，证书服务器会将用户输入的域账号和密码同AD进行比对，如果是AD中的账号则响应进入申请界面，如果不是则拒绝申请。（3）在申请界面选择、填写相关项目后就可完成申请。（4）VPN管理员在证书服务器的颁发程序中颁发挂起的申请。（5）用户再次通过IE浏览器访问证书服务器，下载已经颁发的证书，将其导入SSL VPN客户端软件，即可正常使用。
　　该认证方式必须使用SSL VPN客户端软件，但在手机、平板等移动终端上无法使用。原因如下：（1）移动终端的操作系统一般都是苹果iOS或者安卓系统，但证书是Windows系统生成的，如果要在这些移动终端上使用，就必须进行证书格式的转换，使苹果iOS或者安卓系统可以识别。（2）不同的移动终端操作系统对应的SSL VPN客户端各不相同。（3）相同的SSL VPN客户端软件在不同版本的安卓系统上或者相同版本的安卓系统不同品牌的手机上，也不是都可以正常运行的。
　　3.2 双因素认证
　　双因素认证系统由认证设备、认证代理软件、认证服务器3者组成，具体如下：（1）认证设备，通常指双因素认证令牌，此次测试采用了硬件USB-KEY数字证书和手机软令牌（APP应用程序）。（2）认证代理软件，是当用户想要访问某个网络资源时，将访问请求发送至认证服务器进行认证，此次测试采用的是Cisco AnyConnect软件。（3）认证服务器，负责接收双因素认证请求及验证双因素认证管理工作，此次测试采用的是宁盾科技有限公司的认证服务器系统。
　　使用过程如下：首先，用户通过运行Cisco AnyConnect软件访问SSL VPN网关。其次，软件弹出对话框要求输入用户名及密码，此用户名和密码可以是公司域控中的AD账号和密码，也可以是认证服务器本地创建的用户名和密码。再次，认证服务器比对用户输入的用户名和密码，如果比对成功，则触发动态密码的输入验证，否则拒绝。最后，输入硬件USB-KEY数字证书上显示的6位数字密码或者手机软令牌软件上显示的6位数字密码，同认证服务器上计算出的6位数字密码匹配无误后，即可正常使用。
　　硬件USB-KEY数字证书和手机软令牌须预先在认证服务器中和用户的账号绑定后才能使用，每个用户对应一个硬件USB-KEY数字证书或者手机软令牌。该认证方式和用户使用的终端无关，只要用户有认证设备，在哪台终端上都可以使用，相对于企业和CA证书认证方式灵活了很多。
　　该认证方式还可以使用无客户端方式访问公司VPN，用户通过浏览器直接訪问SSL VPN网关，根据提示安装相关的浏览器插件后输入认证信息即可正常使用。但是无客户端访问也有局限性，只能够访问浏览器和服务器（Browser/Server，B/S）架构的应用，对于客户机/服务器（Client/Server，C/S）架构的应用则无能为力。
　　4 结语
　　通过以上的分析和测试体验，本团队认为数字证书认证方式适用于台式机或笔记本电脑;对于双因素认证方式，无客户端访问模式适用于手机、平板等移动终端，有客户端访问模式在台式机或笔记本电脑上使用比较合适。
　　作者简介：王鹏（1980— ），男，河北深州人，高级工程师，硕士;研究方向：网络建设、管理及运维，网络安全，虚拟化管理，存储管理等。
　　[参考文献]
　　[1]徐博.面向SSL VPN的访问控制及相关技术研究[D].杭州：浙江工业大学，2009.
　　[2]张方田，王开义，刘忠强，等.农资电子交易平台的身份认证研究与实现[J].农机化研究，2010（6）：5-8，24.
　　Analysis of SSL VPN authentication mode in enterprises
　　Wang Peng
　　（Information Center of Powerchina Northwest Engineering Corporation Limited， Xi’an 710065， China）
　　Abstract：Because SSL VPN access mode is secure， simple and easy to use， and can carry on the effective authority management， at the same time has the cross-platform， the client-free and so on characteristic， at present is widely used， its authentication way is various， at present uses more has the dynamic password authentication technology， the digital certificate authentication technology and so on. Based on this， the article analyzes the enterprise SSL VPN authentication mode.
　　Key words：secure sockets layer; virtual private network; dynamic password authentication; digital certificate authentication
转载注明来源:https://www.xzbu.com/8/view-15096728.htm