基于中間人攻擊的SSL VPN運(yùn)行參數(shù)深度檢測?

許 輝，周志洪，2，李建華，姚立紅，3

(1.上海交通大學(xué)電子信息與電氣工程學(xué)院，上海200240；2.上海交通大學(xué)深圳研究院，深圳518057；

3.信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室，上海201204)

基于中間人攻擊的SSL VPN運(yùn)行參數(shù)深度檢測?

許 輝1，周志洪1，2，李建華1，姚立紅1，3

(1.上海交通大學(xué)電子信息與電氣工程學(xué)院，上海200240；2.上海交通大學(xué)深圳研究院，深圳518057；

3.信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室，上海201204)

SSL VPN以其部署簡單、安全可靠的優(yōu)勢成為目前遠(yuǎn)程接入市場上的主流方案,被廣泛應(yīng)用于電子商務(wù)、電子政務(wù)等領(lǐng)域。文中在深入分析了SSL證書驗(yàn)證機(jī)制的基礎(chǔ)上,通過采用主動式的中間人攻擊方式,提出了一種SSL VPN深度檢測的方法,實(shí)現(xiàn)了對于SSL VPN產(chǎn)品運(yùn)行參數(shù)的深度檢測,這些檢測信息可進(jìn)一步被監(jiān)管機(jī)構(gòu)用于對SSL VPN產(chǎn)品的管理和評估。

SSL VPN;中間人攻擊;運(yùn)行參數(shù);證書;檢測

0 引言

SSL VPN是采用SSL協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種隧道傳輸技術(shù),用于確保內(nèi)部資源在各分支機(jī)構(gòu)間快捷而安全地共享。由于其具有部署簡單、免客戶端、運(yùn)維成本低等諸多優(yōu)勢,目前被廣泛應(yīng)用于電子商務(wù)、電子政務(wù)等領(lǐng)域。然而,SSL VPN服務(wù)器遭受網(wǎng)絡(luò)攻擊的事卻時有發(fā)生,如2014年9月以來,雅虎、微軟、蘋果等企業(yè)VPN服務(wù)器均遭遇攻擊,與此同時,國內(nèi)SSL VPN產(chǎn)品市場上仍然存在不達(dá)標(biāo)(如沒有采用國家密碼管理局指定的安全算法等)等現(xiàn)象,在目前國內(nèi)SSL VPN產(chǎn)品市場需求高速增長的背景下[1],這類安全隱患可能對企業(yè)、政府、用戶等造成極大的損失,因而對于運(yùn)行于企事業(yè)機(jī)構(gòu),尤其是政府、銀行等關(guān)鍵領(lǐng)域的SSL VPN產(chǎn)品的運(yùn)行參數(shù)進(jìn)行檢測顯得尤為必要?！?br>