基于SSL VPN民政安全加固系統的設計與實現

李國良 李三平 高健強 劉 川

1(中科恒運股份有限公司 河北 石家莊 050091)2(甘肅省民政廳信息中心 甘肅 蘭州 730030)

0 引 言

民政業務涉及到的品類繁多，包括養老、低保、婚姻、基層政權、殯葬、兒童福利等多項獨立的業務類別，而在民政部門內部也會根據不同的業務劃分不同的部門，在目前“大數據、大平臺”的指引思路下，建立民政統一的智慧應用平臺刻不容緩。民政數據的特點是分布廣、數據量大、涉及多級用戶、數據安全要求高。智慧民政應用平臺一般集中部署在民政廳的機房中，在建立智慧民政應用平臺之前，要確保各級數據的安全傳輸，對常用的安全解決方案進行分析。

(1) 專線傳輸。租用已經架設到村(社區)一級的運營商專線，通過購買專線服務的方式與政務網專線對接，實現所有數據通過專線交互。但每個行政單位每年的線路服務費用是3 600元，一般省份約有上萬個行政單位，初步計算，每年大約需支付幾千萬元的線路維護費用。

優點：數據傳輸安全，傳輸速度高，能夠滿足所有單位民政數據的提交、獲取要求。缺點：支付費用過高。

(2) 互聯網數據加密。行政單位通過互聯網與部署在民政廳機房的智慧民政應用平臺交換數據，對傳輸數據進行加密，以密文的形式在互聯網傳輸，智慧民政應用平臺對接收到的數據解密。

優點：費用低，智慧民政應用平臺對各類業務數據使用統一的算法加、解密，工作量小。缺點：數據容易被竊取和篡改，尤其是用戶認證數據，被竊取后影響較大。

(3) 使用SSL VPN。廳里部署一套SSL VPN網關設備，智慧民政應用平臺各業務系統作為訪問資源配置在SSL VPN網關中，提前給每個行政單位分配VPN賬號。行政單位使用已分配賬號實現SSL VPN認證，認證通過后，建立虛擬傳輸通道，并通過資源訪問各業務系統。

優點：費用較低，密碼不泄露的情況下，能確保數據傳輸的安全。缺點：由于行政單位眾多，已分配密碼不易更換；密碼沒有失效機制。

針對以上分析，本文提出一種基于SSL VPN的安全加固系統。基于LDAP提供的認證中心、方便讀寫、密碼管理等能力，實現了與SSL VPN很好的互補；設計了“雙認證一加密”的數據傳輸安全加固系統，確保了數據在低成本付出的情況下數據的傳輸安全。

1 應用技術概述

1.1 LDAP

LDAP(Lightweight Directory Access Protocol)是輕量級目錄訪問協議。它是在X.500標準的基礎上發展起來的，但比X.500更簡單易用，還可以自行定制。LDAP完全支持TCP/IP，所以允許訪問Internet。

(1) 存儲模型。LDAP的存儲類似樹型結構，條目的數據結構中存儲具體信息。若干條目組成一個目錄信息樹，條目與對象對應，DN為條目的唯一標識名，每個條目包含多個屬性，且每個屬性有一個或多個值。

LDAP服務器提供目錄服務，以目錄數據庫方式存儲網絡信息，LDAP協議的信息模型由目錄信息樹和其相關概念構成。

dc(domain component)表示域名部分，其格式是將完整的域名拆分為幾個部分；cn(common name)代表公共名稱；ou(organization unit)代表組織單位；uid代表用戶ID；關鍵字sn(surname)代表姓；dn(distinguished name)代表唯一辨別名，rdn(relative dn)代表相對辨別名；關鍵字c(country)代表國家；關鍵字o(organization)代表組織名。

(2) 安全模型。LDAP的安全模型主要通過安全通道、身份認證和訪問控制實現。

身份認證：

① 匿名認證。適用于沒有數據安全問題且不涉及訪問權限的完全公開方式。

② 基本認證。通過用唯一辨別名(DN)和密碼實現身份識別，密碼識別分為簡單密碼、摘要密碼認證。

③ SASL(Simple Authentication and Secure Layer)認證。在TLS和SSL安全通道基礎上實現的身份認證，包括以數字證書實現的認證。

LDAP中的通信安全提供了基于TLS/SSL的安全保障。TLS/SSL以PKI信息安全技術為基礎，該安全服務在Internet上廣泛采用。LDAP通過StartTLS方式啟動TLS服務，該服務既能夠實現客戶端身份與服務端身份的雙向驗證，又能夠提供通信中數據完整性、保密性保護。

訪問控制標準：目前并沒有訪問控制標準，但LDAP的訪問控制相當豐富和靈活。訪問控制策略語句實現LDAP中訪問控制，而訪問控制列表實現應用系統和RDBS。

由于行政單位眾多，且組織機構龐雜，為了更好地進行認證，在民政廳建立獨立的LDAP服務器，通過LDAP服務器來進行所有行政單位用戶的統一管理。LDAP可以根據組織內部的結構來進行人員的劃分，根據組織內部的組織架構來建立LDAP的人員用戶結構。

1.2 SSL VPN

SSL VPN是在傳統VPN和IPSec VPN等成熟技術基礎上提出來的，SSL VPN的明顯優勢在于移動接入和Web安全，它能夠提供遠程安全接入，而不需要安裝或設定單獨客戶端軟件。SSL在Web的安全性和易用性領域架起了一座橋梁。SSL VPN有三大好處：(1) 它很簡單，不需要過多配置，可以即刻安裝、即刻生效；(2) 不需要安裝獨立客戶端，直接使用瀏覽器內嵌的SSL協議；(3) 兼容性好，能夠適用于任何的操作系統及終端。

目前大部分SSL VPN產品支持Radius、LDAP/AD、LocalDB、第三方CA、Dkey、自建CA、硬件特征碼、動態令牌、短信認證等多種安全認證方式(如圖1所示)，最大程度地保證了合法用戶的介入。

圖1 SSL VPN認證方式

SSL VPN能夠與LDAP進行聯動，在SSL VPN設備上無需建立LDAP的用戶，直接把認證數據轉向LDAP服務器，讓LDAP直接判斷，如圖2所示。

圖2 SSL VPN與LDAP結合

2 需求分析與設計

智慧民政應用平臺部署在民政廳的機房里，很難通過架設專線到所有行政單位的高成本實現數據的安全傳輸，而面對業務類型多、涉及范圍廣、數據傳輸層級多、安全性要求高等的特性，妥善解決各類民政數據傳輸障礙，實現數據無縫對接，確保數據的安全傳輸，亟需一套高性能的安全加固系統。

在基于SSL VPN的密碼不易更換、密碼失效機制難以控制的基礎上，利用LDAP的優良特性，設計了“雙認證一加密”的實現方案。圖3為系統設計流程。

圖3 系統設計流程

應用客戶端集成SSL VPN網關的客戶端，通過SSL VPN配置界面配置服務端認證程序LDAP的地址和行政區劃編碼、隨機碼的獲取路徑。

應用服務端認證程序接受客戶端的調用，生成隨機碼(16位字母和數字的組合)。提前收集位于互聯網上用戶的姓名、身份證號、手機號、行政區劃編碼、單位名稱、郵箱、級別等，錄入到服務端認證程序的數據庫。

客戶端程序啟動后，讓用戶輸入姓名、身份證號、手機號、行政區劃編碼，把姓名、身份證號、行政區劃編碼存入到本地的dat文件，并提交到服務端認證程序，與庫里的已錄入信息進行比對，驗證身份。

驗證通過后，生成隨機碼，把行政區劃編碼、隨機碼(作為SSL VPN認證的用戶名和密碼)存入LDAP的指定位置。SSL VPN網關會定時從服務端認證服務器的LDAP中讀取行政區劃編碼。

服務端認證程序把隨機碼返回給客戶端程序，客戶端程序通過命令復制該隨機碼，啟動SSL VPN客戶端，并最小化自身。

把用戶名和動態密碼通過內部接口傳遞給SSL VPN客戶端，實現到SSL VPN網關的第二次認證，SSL VPN網關到LDAP服務中驗證動態密碼的合法性，認證通過后，建立VPN傳輸隧道，實現“雙認證一加密”的數據安全傳輸模式。

3 系統實現

本系統利用LDAP的可操作性和認證功能，研發了基于SSL VPN的安全加固系統，在SSL VPN的基礎上，實現了認證密碼動態生成、密碼失效機制，保證了民政業務數據的安全傳輸。圖4為系統結構圖。

圖4 系統結構

3.1 應用客戶端

錄入：填寫姓名、身份證號、區劃編碼、手機號等基本信息。

提交：把基本信息提交到服務端驗證。

保存：基本信息保存到客戶端本地文件，以后登錄時只輸入手機號即可實現第一次認證。

復制動態密碼：接收到服務端返回的動態密碼后，自動復制動態密碼，供直接粘貼使用。

啟動SSL VPN客戶端：啟動SSL VPN客戶端時，調用SSL VPN客戶端的啟動程序。當應用客戶端完成第一次認證并生成動態密碼后，啟動SSL VPN客戶端，供第二次認證。

使用.Net的Winform控件開發客戶端程序，并把SSL VPN客戶端的API集成到雙向認證客戶端程序中，第一次認證完成后，把用戶名和動態密碼傳遞給SSL VPN客戶端，并把該客戶端程序調起，向SSL VPN網關發起第二次認證。

3.2 應用服務端

服務端WebService接收客戶端程序的調用，驗證客戶端程序提交的姓名、身份證號、區劃編碼、手機號，驗證通過后，根據算法生成16位動態密碼，把動態密碼返回給客戶端程序，同時把動態密碼更新到LDAP中。

服務端管理工具維護認證所需的基礎數據，包括姓名、身份證號、區劃編碼、手機號、單位名稱、郵箱、級別、備注等，維護操作包括查詢、添加、刪除。

用C#語言開發Webservice和服務端管理工具，Webservice程序部署在IIS中，以服務的形式發布，供雙向認證客戶端調用。

提前收集所有行政單位用戶的姓名、身份證號、區劃編碼、手機號，存入Mysql數據庫。當客戶端發起第一次驗證請求時，與庫里的對應數據進行對比，比對成功后，作為第一次認證通過的依據。

數據加密應用客戶端提交的姓名、身份證號、行政區劃編碼、手機號等信息，會在互聯網上傳輸，為了保證數據傳輸的安全性與真實性，采用加密算法對數據進行加密。使用非對稱加密算法MD5對客戶端錄入的基本信息進行加密，確保在互聯網上傳輸的用戶基本信息是密文，以防用戶基本信息泄露。

3.3 LDAP

LDAP做為用戶認證中心，一方面接收應用服務端生成的動態密碼，并更新到對應的樹狀結構的節點下；另一方面接收SSL VPN網關的認證，驗證身份的真實性和有效性。在LDAP中管理的密碼，能夠配置密碼失效策略(本系統的密碼失效時間是1分鐘),從而實現了密碼的動態生成、失效管理，加固了SSL VPN自身的安全性。

用戶維護：收集所有鄉鎮(街道)用戶的區劃編碼，按節點錄入到LDAP中User父節點下，為下一步不斷更新各個子節點的密碼屬性做準備。

密碼更新：應用客戶端每發起一次認證請求，服務端都會生成一次唯一的動態密碼，并更新到LDAP中指定的子節點屬性下，為下一步用戶使用動態密碼認證做準備。

用戶認證：SSL VPN網關接收到SSL VPN客戶端的認證請求后，使用接收到的用戶名和密碼到LDAP中做認證，認證完成后，建立VPN虛擬通道。

密碼失效管理：在User節點下，建立policy子節點，在該子節點下配置密碼失效的策略，包括密碼有效期、密碼長度及復雜度、密碼錯誤驗證次數、密碼持續時間等。

3.4 SSL VPN客戶端

接收應用客戶端請求：應用客戶端嵌入SSL VPN客戶端的啟動程序，自動啟動SSL VPN客戶端。

發起VPN認證：通過API接收區劃編碼(做為用戶名)和動態密碼，發起認證請求。

3.5 SSL VPN網關

接收認證：接收SSL VPN客戶端發起的認證請求。

驗證密碼：接收到SSL VPN客戶端傳遞的區劃編碼、動態密碼后，到LDAP中驗證真實性和有效性。

建立虛擬通道：驗證通過后，建立安全虛擬傳輸通道。

SSL VPN網關配置LDAP的訪問地址、訪問用戶和密碼，定時從LDAP中把用戶名同步到網關中，拿到SSL VPN客戶端請求的用戶名和動態密碼后，到LDAP中驗證，實現了第三方驗證。

4 部署方案

本部署方案通過在民政廳單位網絡出口處旁路部署高性能SSL VPN安全設備，使用VPN技術建立專網，為省廳與各行政單位之間的各種業務、管理和相關通訊提供安全保障。同時，開啟訪問控制和攻擊防護等功能來保護廳核心區的服務器安全。通過安全設備為接入互聯網的民政單位辦公網提供安全的上網保障。SSL VPN網關、應用服務端的WebService部署在互聯網環境，便于各個行政單位用戶的訪問和認證，LDAP及應用服務端數據庫部署在內網環境，確保用戶賬號信息及基本信息的安全。

5 系統測試

5.1 測試方案設計

為充分驗證該安全加固系統的工程實用性，對系統進行綜合測試。

(1) 功能測試。測試方案如下：

在SSL VPN網關配置界面配置LDAP的連接地址、用戶名、密碼；

把一套姓名、身份證號、行政區劃編碼、手機號信息存入應用服務端的Mysql數據庫；

在應用客戶端輸入姓名、身份證號、行政區劃編碼、手機號，調用WebService提交認證信息；

自動啟動SSL VPN客戶端并向SSL VPN網關發起認證，認證完成后，能夠建立虛擬專用通道，看到已配置完成的智慧民政應用平臺的所有資源；

其他邊界測試。

(2) 性能測試。性能測試方案如表1所示。

表1 性能測試指標

續表1

5.2 測試結果

(1) 功能測試結果。能夠實現認證請求、生成動態密碼、動態密碼1分鐘失效、建立VPN虛擬通道、訪問內外智慧民政應用平臺資源。

(2) 性能測試結果。性能測試結果如表2所示。

通過在單服務器上壓力測試，400個用戶并發使用應用客戶端發起調用，持續10分鐘加壓，請求數為4 260，調用錯誤率為0.00%，平均響應時間約為25.8秒，最小響應時間為1.35秒，最大響應時間為30.4秒。應用服務端最終部署在4節點集群，能夠滿足實際用戶調用需求。

6 結 語

本文所設計與實現的“雙認證一加密”基于SSL VPN的安全加固系統，將應用客戶端、應用服務端、LDAP、SSL VPN客戶端與SSL VPN網關結合到了一起，利用LDAP的可操作性、密碼管理、失效策略、認證中心等特征，有效解決了SSL VPN本身密碼固化、長期有效的問題，極大地增強了SSL VPN的安全性。

“雙認證一加密”的安全加固系統已在多個省份的智慧民政應用平臺中得到了使用，從根本上解決了數據傳輸的安全問題，帶來的效益如下：

(1) 該方案只涉及到購買一套安全加固系統、SSL VPN網關設備和接入點的費用，相比租用運營商的專線，每省每年要節省兩個數量級的費用，給政府節約了相當可觀的成本。

(2) 動態密碼隨機生成、1分鐘失效策略，使整套安全加固系統的安全等級有了很大提高，為數據更加安全傳輸提供了有力支撐。

(3) 相比傳統VPN設備，不必為每個行政單位用戶配備一個客戶端硬件。與其他動態口令設備相比，該加固系統使用純軟件實現了動態密碼策略管理，給用戶使用提供了極大地便利，簡化了行政單位工作人員的操作，提高了工作人員的效率。

本系統在所推廣應用的幾個省份中，通過幾個版本的迭代，得到了廣大行政單位用戶的好評。