SSL/TLS VPN技術(shù)在警務(wù)工作中的應(yīng)用探討

時(shí)浩 孫兵兵 公安部第一研究所

引言

2022年7月，由工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心牽頭組織編制的《數(shù)據(jù)傳輸安全白皮書》正式發(fā)布。書中指出，隨著新一代信息技術(shù)的迭代發(fā)展和數(shù)字經(jīng)濟(jì)的快速推進(jìn)，各類數(shù)據(jù)海量匯集，數(shù)據(jù)安全問題日益凸顯。數(shù)據(jù)傳輸安全作為數(shù)據(jù)全生命周期安全的關(guān)鍵環(huán)節(jié)，對(duì)于保障數(shù)據(jù)整體安全有著重要的意義。

目前，在日常警務(wù)工作中，隨著各類信息化設(shè)備的大量部署，不斷的產(chǎn)生海量數(shù)據(jù)。其中，不乏在警務(wù)工作重點(diǎn)、熱點(diǎn)區(qū)域獲取的數(shù)據(jù)需要傳輸給系統(tǒng)、指揮中心或執(zhí)勤民警。這些數(shù)據(jù)在傳輸中面臨著被篡改、泄露、截取、監(jiān)聽等安全風(fēng)險(xiǎn)。數(shù)據(jù)在傳輸過程中的安全性、完整性對(duì)于保障警務(wù)工作的執(zhí)行以及公共安全有著重要意義。

SSL和TLS是數(shù)據(jù)傳輸認(rèn)證及加密協(xié)議，旨在為信息傳輸提供安全通信通道。目前，較為常用的SSL/TLS VPN技術(shù)，其客戶端形態(tài)多樣，成本相對(duì)低，適合部署于各類警用設(shè)備，在SSL/TLS VPN技術(shù)應(yīng)用中基于數(shù)字證書來實(shí)現(xiàn)身份認(rèn)證、數(shù)據(jù)校驗(yàn)、數(shù)據(jù)加密，是一種數(shù)據(jù)安全傳輸解決方案。

本文首先簡(jiǎn)單介紹了SSL/TLS協(xié)議及格式，然后根據(jù)目前的應(yīng)用情況總結(jié)了使用中遇到的痛點(diǎn)問題，同時(shí)提出了解決方案，并進(jìn)行了實(shí)際應(yīng)用，并結(jié)合衛(wèi)星互聯(lián)網(wǎng)熱點(diǎn)，對(duì)應(yīng)用進(jìn)行了展望。

一、SSL/TLS協(xié)議簡(jiǎn)介

SSL（Secure Socket Layer）/TLS（Transport Layer Security）一般認(rèn)為其工作在OSI會(huì)話層，對(duì)下使用TCP或者UDP協(xié)議，TLS協(xié)議主要包含以下核心內(nèi)容：協(xié)議格式及流程，認(rèn)證及密鑰交換算法。

宏觀上，SSL/TLS以記錄協(xié)議實(shí)現(xiàn)，記錄協(xié)議格式如圖1所示， 每一條記錄以一個(gè)短標(biāo)頭起始，標(biāo)頭包含1字節(jié)的類型、2字節(jié)的協(xié)議版本和2字節(jié)的長(zhǎng)度。記錄協(xié)議主要有四個(gè)核心子協(xié)議：握手協(xié)議（Handshake Protocol）、密鑰規(guī)格變更協(xié)議（Change Cipher Spec Protocol）、應(yīng)用協(xié)議（Application Data Protocol）、警報(bào)協(xié)議（Alert Protocol）。

握手協(xié)議是TLS協(xié)議中最精密復(fù)雜的部分，主要分以下子協(xié)議：ClientHello、ClientKeyExchange、ServerHello、ServerKeyExchange、Certificate、CertificateVerify。

SSL/TLS通過握手協(xié)議實(shí)現(xiàn)對(duì)加密套件的協(xié)商、服務(wù)端和客戶端的身份認(rèn)證，以及會(huì)話密鑰的交換。

SSL/TLS協(xié)議的技術(shù)特點(diǎn)，滿足了公共安全行業(yè)在傳輸安全方面的應(yīng)用需求，在行業(yè)內(nèi)得到了很好的應(yīng)用，不過在應(yīng)用中也漸漸顯露出一些問題。

二、SSL/TLS VPN應(yīng)用中的問題

目前SSL/TLS VPN產(chǎn)品已經(jīng)相對(duì)成熟，有很多廠商可以提供成套的解決方案，但是隨著物聯(lián)網(wǎng)不斷的發(fā)展，警用設(shè)備物聯(lián)應(yīng)用需求增長(zhǎng)，現(xiàn)有的SSL/TLS VPN產(chǎn)品在應(yīng)用過程中遇到了問題：

（1）一些嵌入式物聯(lián)設(shè)備，設(shè)備硬件CPU的處理能力較差，無法安裝VPN客戶端軟件，通常都是以VPN客戶端整機(jī)設(shè)備的形式連接物聯(lián)設(shè)備進(jìn)行使用，需要網(wǎng)線、串口線等接口進(jìn)行設(shè)備之間的連接，此方案需要外部接口連接，有安全風(fēng)險(xiǎn)，易受到破壞，同時(shí)設(shè)備體積大，使用受限。

（2）針對(duì)硬件CPU處理能力較強(qiáng)的物聯(lián)設(shè)備，可以安裝VPN客戶端軟件，需要根據(jù)用戶當(dāng)前業(yè)務(wù)終端的硬件和操作系統(tǒng)進(jìn)行軟件適配，需要開發(fā)周期和開發(fā)費(fèi)用，軟件適配周期長(zhǎng)，部署成本高。

（3）當(dāng)前SSL/TLS VPN應(yīng)用中，核心的數(shù)字證書和私鑰很多都在操作系統(tǒng)層面有緩存，有泄露的風(fēng)險(xiǎn)，即使是存儲(chǔ)在專用的硬件介質(zhì)中，如TF卡，UKey等，加密過程也需要硬件CPU和硬件介質(zhì)的交互，存在安全隱患。

鑒于以上問題，本文以安全芯片為基礎(chǔ)，使用鏈路共享技術(shù)，對(duì)SSL/TLS軟件代碼進(jìn)行優(yōu)化，將VPN客戶端軟件全部集成到安全芯片內(nèi)，解決以上問題。

應(yīng)用時(shí)，直接提供給第三方使用帶有VPN-Client的安全芯片，可以與警用設(shè)備集成，也可以獨(dú)立設(shè)備與警用設(shè)備外接，因?yàn)檐浖考傻叫酒瑑?nèi)部，無需和用戶設(shè)備進(jìn)行軟件層面的適配，應(yīng)用非常方便。數(shù)字證書、密鑰等敏感信息全部在芯片內(nèi)部，安全性大大提高，并且在服務(wù)端以數(shù)字證書信息為基礎(chǔ)開發(fā)了特色功能。

三、解決方案核心技術(shù)

（一）鏈路共享技術(shù)

SSL/TLS協(xié)議提供了數(shù)據(jù)安全傳輸?shù)耐ㄐ艡C(jī)制，很多軟件開發(fā)套件實(shí)現(xiàn)了協(xié)議相關(guān)接口，可以為應(yīng)用程序開發(fā)提供便捷的編程接口，不過在應(yīng)用中，存在如下問題：

（1）SSL/TLS編程接口和標(biāo)準(zhǔn)的TCP/UDP編程接口有差異，在調(diào)用流程上也不盡相同，如果應(yīng)用程序已經(jīng)開發(fā)完畢，面臨軟件層面的修改，工作量較大。

（2）如果一臺(tái)設(shè)備的不同應(yīng)用程序都調(diào)用TLS/SSL相關(guān)接口，每個(gè)應(yīng)用程序都需要一套根證書和用戶證書，面臨著證書管理的問題。證書在操作系統(tǒng)層面統(tǒng)一管理可以解決，這就需要開發(fā)應(yīng)用的不同廠家共同遵守證書的調(diào)用規(guī)則，這牽涉到操作系統(tǒng)和不同的應(yīng)用開發(fā)廠家，統(tǒng)一調(diào)用標(biāo)準(zhǔn)也很困難。

鑒于這種情況，以虛擬網(wǎng)卡技術(shù)為基礎(chǔ)，在芯片內(nèi)部實(shí)現(xiàn)了安全鏈路共享。

由SSL/TLS VPN軟件本身使用SSL/TLS標(biāo)準(zhǔn)的編程接口建立通信連接，然后將建立的連接共享給設(shè)備上的應(yīng)用程序；各個(gè)應(yīng)用程序無需再單獨(dú)建立SSL/TLS連接，只需要使用一個(gè)VPN軟件建立的連接即可。整個(gè)過程中，VPN服務(wù)端和客戶端軟件負(fù)責(zé)安全連接的建立和對(duì)其他應(yīng)用程序的通信數(shù)據(jù)進(jìn)行流轉(zhuǎn)，鏈路共享實(shí)現(xiàn)了安全連接的共享。在客戶端和服務(wù)端對(duì)應(yīng)設(shè)備上生成虛擬網(wǎng)卡，VPN服務(wù)端和客戶端借助虛擬網(wǎng)卡，采用SSL/TLS協(xié)議建立安全連接，形成安全隧道。然后通過修改TCP/IP協(xié)議棧的路由表為其他的應(yīng)用程序打開隧道入口，使其他的應(yīng)用程序可以通過安全隧道傳輸數(shù)據(jù)，鏈路共享技術(shù)的數(shù)據(jù)流轉(zhuǎn)基本原理如圖2所示，應(yīng)用程序發(fā)送數(shù)據(jù)流程如圖中藍(lán)色箭頭所示。

（1）應(yīng)用程序通過標(biāo)準(zhǔn)的Socket編程接口將應(yīng)用數(shù)據(jù)發(fā)送到系統(tǒng)TCP/IP協(xié)議棧；

（2）協(xié)議棧根據(jù)路由信息轉(zhuǎn)發(fā)數(shù)據(jù)，VPN安全隧道建立后，VPN進(jìn)程會(huì)修改TCP/TP協(xié)議棧的路由表，將需要加密的數(shù)據(jù)流指向虛擬網(wǎng)卡，TCP/IP協(xié)議棧將應(yīng)用數(shù)據(jù)轉(zhuǎn)發(fā)到虛擬網(wǎng)卡；

（3）虛擬網(wǎng)卡的另一端直接和VPN進(jìn)程相連，VPN進(jìn)程將來自虛擬網(wǎng)卡的數(shù)據(jù)整體進(jìn)行加密；

（4）然后重新發(fā)送到系統(tǒng)的TCP/IP協(xié)議棧；

（5）協(xié)議棧根據(jù)路由信息通過物理網(wǎng)卡將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)上。

數(shù)據(jù)的接收過程與發(fā)送過程正好是相反的，如圖中的灰色箭頭所示。

（二）安全芯片集成VPN客戶端

為提高應(yīng)用時(shí)的性能和安全性，在以下方面進(jìn)行了優(yōu)化：

（1）算法國(guó)產(chǎn)化，將SSL/TLS VPN認(rèn)證和加密涉及到的算法全部升級(jí)為國(guó)密算法，提高安全性。

（2）針對(duì)嵌入式設(shè)備，提高集成度，優(yōu)化實(shí)現(xiàn)SSL/TLS VPN的軟件代碼，以軟件模塊的形式集成在專用安全芯片內(nèi)，認(rèn)證和加密過程全部在芯片內(nèi)部完成，提升安全性，方便第三方集成應(yīng)用，架構(gòu)變化如圖3所示。針對(duì)嵌入式物聯(lián)設(shè)備，通常有兩種接入方案，一種是在設(shè)備操作系統(tǒng)層面適配VPN客戶端軟件，一種是VPN客戶端設(shè)備使用外部接口相連接，兩種架構(gòu)都存在章節(jié)二梳理的相關(guān)問題。安全芯片方案架構(gòu)的VPN客戶端軟件和證書全部集成到安全芯片，可以方便的和物聯(lián)設(shè)備進(jìn)行集成，解決以上問題。

（三）組管理、組播通信

新增特色功能，是在VPN客戶端增加子網(wǎng)組網(wǎng)功能，實(shí)現(xiàn)客戶端所在的子網(wǎng)之間的數(shù)據(jù)互通。VPN服務(wù)端根據(jù)客戶端數(shù)字證書信息和IP地址劃分不同的組，實(shí)現(xiàn)組管理和組通信。如圖4所示，VPN-Client和VPN-Server通過公眾移動(dòng)網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)建立安全連接，VPN-Client1的數(shù)字證書為Crt1，IP地址為192.168.1.0/24，劃分為組1，VPNClient2的數(shù)字證書為Crt2，IP地址為192.168.2.0/24，劃分為組2，VPN-Server可以根據(jù)數(shù)字證書和IP地址的對(duì)應(yīng)關(guān)系，向指定的組發(fā)送數(shù)據(jù)。不同的組，也可以根據(jù)這種對(duì)應(yīng)關(guān)系，向指定的組發(fā)送數(shù)據(jù)。

四、警務(wù)業(yè)務(wù)場(chǎng)景應(yīng)用

警務(wù)物聯(lián)設(shè)備形態(tài)多樣，如圖5所示，常見的有視頻監(jiān)控設(shè)備、智能機(jī)器人、交通誘導(dǎo)屏、傳感器等設(shè)備。設(shè)備根據(jù)自身?xiàng)l件，可以選擇安裝VPN Client軟件，也可以在不便于適配軟件的條件下外接專用VPN Client設(shè)備，也可以集成安全芯片。設(shè)備通過連接VPN終端，將業(yè)務(wù)數(shù)據(jù)加密后，通過有線網(wǎng)絡(luò)或者運(yùn)營(yíng)商無線通信網(wǎng)絡(luò)，基于數(shù)字證書完成身份認(rèn)證，協(xié)商交換會(huì)話密鑰，建立加密通信隧道與VPNServer聯(lián)接，由VPN-Server解密收到業(yè)務(wù)數(shù)據(jù)后，轉(zhuǎn)發(fā)業(yè)務(wù)數(shù)據(jù)到實(shí)際的應(yīng)用服務(wù)器。

VPN客戶端形態(tài)多樣，包括安全芯片、嵌入式終端設(shè)備、App等，應(yīng)用方便，以VPN客戶端內(nèi)使用的數(shù)字證書為基礎(chǔ)，VPN服務(wù)端可實(shí)現(xiàn)對(duì)設(shè)備的管理，接入的VPN客戶端的物聯(lián)設(shè)備可組成虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)物聯(lián)設(shè)備的跨NAT管理。

在實(shí)際的應(yīng)用中，可以快速的對(duì)已有物聯(lián)設(shè)備進(jìn)行安全改造，或者配合第三方廠家開發(fā)新產(chǎn)品，應(yīng)用效果良好。

五、應(yīng)用展望

衛(wèi)星互聯(lián)網(wǎng)技術(shù)將是未來下一代移動(dòng)通信技術(shù)的重要組成部分。衛(wèi)星互聯(lián)網(wǎng)是指利用位于地球上空的各類衛(wèi)星平臺(tái)向用戶終端提供寬帶互聯(lián)網(wǎng)接入服務(wù)的新型網(wǎng)絡(luò)。當(dāng)前主要是指利用地球低軌道衛(wèi)星（Low Earth Oribit Satellite,LEO）實(shí)現(xiàn)的低軌寬帶衛(wèi)星互聯(lián)網(wǎng)。2010年前后，全球三大低軌通信（Globalstar、Orbocomm、Iridium-NEXT）都開始了換代升級(jí)。我國(guó)于2016年在“十三五”國(guó)家科技創(chuàng)新規(guī)劃中提出具體要求，同時(shí)2020年將衛(wèi)星互聯(lián)網(wǎng)納入“新基建”體系，并推出了相應(yīng)的低軌通信星座計(jì)劃。衛(wèi)星互聯(lián)網(wǎng)技術(shù)將實(shí)現(xiàn)衛(wèi)星終端的小型化、便攜化，相比于當(dāng)前的衛(wèi)星終端可以適用于更多的場(chǎng)景；隨著衛(wèi)星互聯(lián)網(wǎng)產(chǎn)業(yè)鏈的成熟，衛(wèi)星通信設(shè)備使用成本將大幅下降，足以支撐各類用戶普遍使用；低軌寬帶衛(wèi)星技術(shù)將提供更高的帶寬，將為入網(wǎng)用戶提供大眾化的寬帶通信服務(wù)。

當(dāng)衛(wèi)星通信網(wǎng)絡(luò)與公眾移動(dòng)網(wǎng)絡(luò)互聯(lián)互通以后，衛(wèi)星終端用戶可以開展與公眾移動(dòng)網(wǎng)絡(luò)相同的業(yè)務(wù)應(yīng)用。基于SSL/TLS協(xié)議的VPN技術(shù)可以在衛(wèi)星互聯(lián)網(wǎng)中發(fā)揮重要作用，可為遠(yuǎn)程用戶提供VPN加密傳輸通道，確保通信完整性、保密性及抗抵賴。

如圖6所示，智能設(shè)備、傳感設(shè)備連接VPN終端，通過衛(wèi)星接收終端接入衛(wèi)星互聯(lián)網(wǎng)，采集的數(shù)據(jù)通過星間鏈路轉(zhuǎn)發(fā)到地面信關(guān)站，然后經(jīng)互聯(lián)網(wǎng)發(fā)送到業(yè)務(wù)中心，如圖中紅色1-2-3-4-5鏈路所示。以VPN客戶端設(shè)備為中心，組建設(shè)備組，設(shè)備組之間可實(shí)現(xiàn)信息互通。

便攜衛(wèi)星終端可集成安全芯片模組，終端采集的數(shù)據(jù)通過星間鏈路轉(zhuǎn)發(fā)到應(yīng)急通信車VPN-Server，經(jīng)過解密后在應(yīng)急通信車展示，如圖中藍(lán)色a-b鏈路所示。

基于衛(wèi)星的遠(yuǎn)程無線通信相比有線通信，在時(shí)延方面一般要大，而且無線的開放空間，更容易受到干擾，根據(jù)這些特點(diǎn)，結(jié)合VPN技術(shù)，后續(xù)可開展更深入的研究。

六、結(jié)語

SSL/TLS VPN技術(shù)已經(jīng)發(fā)展應(yīng)用多年，成熟可靠，為數(shù)據(jù)的安全傳輸提供了有力的保證，其技術(shù)特點(diǎn)非常契合公共安全行業(yè)的安全需求，本文梳理了目前應(yīng)用中的痛點(diǎn)、難點(diǎn)，并提出了相應(yīng)的解決方案，并在實(shí)戰(zhàn)中進(jìn)行檢驗(yàn)，取得了良好的效果。