基于SSL VPN协议的客户端安全接入应用
许文渊
ssl协议未开启的危害(中国铁路上海局集团有限公司上海通信段,上海 200080)
摘要:
采用基于安全套接字协议(Secure Sockets Layer,SSL)的虚拟专用网络(Virtual Private Network,VPN) 的接入认证及授权方式,通过SSL VPN 协议的网络扩展和web 代理等功能,实现铁路数据通信网各网管复示终端与网管服务器端的可信任安全加密通信。关键词:
SSL VPN 网关;准入认证;数据加密 中图分类号:
U285.5                  文献标志码:A                文章编号:1673-4440(2022)02-0035-03Application of Safety Access of Service Terminals
Based on SSL VPN Protocol
Xu Wenyuan
(Shanghai Communication Depot, China Railway Shanghai Group Co., Ltd., Shanghai    20080, China )
Abstract: This paper adopts the access authentication and authorization mode of virtual private network (VPN) based on secure sockets layer (SSL) protocol, and realizes the trusted and secure encrypted communication between each network management repeater terminal and network management server of railway data communication network through the functions such as network expansion and web agent of SSL VPN protocol, etc.
Keywords: SSL VPN gateway; access authentication; data encryption
DOI: 10.3969/j.issn.1673-4440.2022.02.008
收稿日期:2021-10-15;修回日期:2021-11-02作者简介:
许文渊(1987—),男,高级工程师,硕士,主要研究方向:铁道通信信号,邮箱:****************。1 组网方式
铁路数据通信网网管系统主要由路由器设
备、网管服务器、网管复示终端组成。网管服务器通过数据通信网与各路由器进行通信,对各路由器设备进行日常告警监控、数据配置等日常维护操作。网管复示终端通过数据通信网(Data Communication Network,DCN)网管网与网管服务器进行通信,获取路由器上报的各类告警信息
及数据。
根据《中国铁路总公司运输局关于做好铁路数
据通信网网络安全专项整治工作的通知》(运电通信函[2016]123号)要求,中国铁路上海局集团有限公司(简称上海局)铁路DCN 网络安全防护系统包括边界防火墙设备、入侵检测设备、准入控制
设备、堡垒机设备、防病毒服务器、日志审计服务器等,主要用于铁路DCN 网管系统的安全防护管理,如图1所示。上海局铁路DCN 网络安全防护系统中服务器采用异地备份方式,网络设备间部署防火墙实现逻辑隔离,在防火墙设备配置安全策略规则,进行网络安全防护。入侵检测设备主要对网
络入侵行为进行防护,防病毒服务器主要进行病毒防护,日志审计服务器用来进行日志采集分析,准
入控制设备用来对数据通信网网管系统终端进行准
入控制,堡垒机设备实现网管操作人员的集中登录与行为审计。
图� 铁路数据通信网网管系统安全组网
Fig.1    Security networking of railway data communication
network management system
DCN
DCN
网管网
复示终端
复示终端
车间网络
IDS IDS FW
FW
网管系统局域网
复示终端
网管服务器
堡垒机准入
控制
防病毒日志
审计安全中心
数据网网元
DCN网网元
网管及安全服务器
网管复示终端
边界安全
防火墙(FW)边界入侵防御设备(IDS)
接入交换机
图例:
2 IEEE 802.1x、SSL VPN协议简介
基于IEEE 802.1x 标准的终端准入控制
(IEEE 802.1x)协议是基于客户端/服务器(Client/Server,C/S)的访问控制和认证协议。它可以限制
未经授权的用户/设备通过接入端口(Access Port)访问LAN/WLAN。在获得交换机或LAN 提供的各种业务之前,IEEE 802.1x 对连接到交换机
端口上的用户/设备进行认证。在认证通过之前,IEEE 802.1x 只允许基于局域网的扩展认证协议
(Extensible Authentication Protocol Over Lan,EAPOL)数据通过设备连接的交换机端口;认证通过后,正常的数据可以顺利地通过以太网端口,采用IEEE 802.1x 协议认证方式需要在终端侧部署三
层交换机,通过三层交换机与准入控制系统平台进行EAP 报文交互,完成终端准入认证与接入授权。SSL VPN 是基于安全套接字协议的虚拟专用网络,SSL VPN 采用公钥加密的方式来保障数据
在传输过程中的安全性,SSL VPN 工作在应用层和TCP 层之间,它采用浏览器和服务器直接沟通的方式,客户端可利用浏览器内建的SSL 协议封包处理功能,用浏览器通过SSL VPN 网关连接到网管系统局域网,然后透过网络封包转向的方式,让客户端可以远程访问数据通信网网管服务器。
IEEE 802.1x 协议作为一种典型的准入控制协
议,接入控制点在交换机端口,控制点低,对接入终
端的控制能力强。当网络中增加客户端时,需要提前在终端安装好客户端软件,并需要在相应交换机、准入系统进行数据配置。所以新增接入控制点较多时,
部署实施和维护成本较高。同时IEEE 802.1x 需要
安装客户端,不能够简单便捷的应用。
SSL VPN 以SSL 协议为基础,除了可以实现远程接入认证外,SSL VPN 还能够对IP 通信进行保护。SSL VPN 通过握手协议来进行认证授权并生成会话密钥,通过记录协议来对传输的应用层数据
进行加密保护,使远端用户接入更加安全。
对于局域网内网用户准入控制,IEEE 802.1x
协议更加严格,对于远程接入用户接入控制,SSL VPN 更加方便、安全。所以IEEE 802.1x 协议适
用于局域网内部准入控制,而SSL VPN 更适用于远端用户的安全接入。
3 问题分析
上海局铁路DCN 安全防护系统主要针对DCN
网管系统进行安全防护,网管服务器设置在上海网管中心,网管中心复示终端与网管中心DCN 网管网路由器下挂的三层交换机连接,其余车间网管复示终端则直接就近接入车间所在地的DCN 网管网路由器,由于采用IEEE802.1x 协议认证方式需要
通过三层交换机与准入控制系统平台进行EAP 报文交互,因此上海局目前仅有网管中心复示终端配置了IEEE802.1x 协议认证方式,其余各车间网管复示终端均无任何安全措施,存在以下风险:1)攻击
者可随意接入网络,使用网络资源,访问局网管系
统局域网及设备,进行一系列的入侵行为。攻击者可随意仿冒终端IP地址与服务器进行通信,对网络设备进行操作,影响后期溯源分析调查;2)终端主机未使用有效的加密通信手段进行通信加密,攻击者可以通过获取终端与服务器的相关交换报文,窃取相关用户名、密码等敏感信息,有数据泄露风险,容易导致中间人攻击,攻击者对交互的报文数据进行篡改,影响日常设备正常运行。
4 解决办法
常用的终端准入及安全加密技术实现,主要通过IEEE802.1x、二层隧道协议(Layer 2 Tunneling Protocol,L2TP)VPN、互联网安全协议(Internet Protocol Security ,IPSec )VPN、SSL VPN等技术方法,在使用中各有特点。IEEE802.1x认证:需要在各车间网管复示终端接入DCN网前,加入三层交换机设备,通过三层交换机对接准入控制系统服务器,完成对终端主机的认证、授权控制,实现终端主机的准入需求。采用IEEE802.1x认证方式需要提前在网管复示终端安装特定客户端软件,并需要增加三层交换机投资和维护。同时单独使用IEEE802.1x认证,无法满足网管终端数据传输的保密性需求。SSL VPN认证:通过使用防火墙设备SSL VPN虚拟网关功能解决远端接入安全和通信加密问题。SSL VPN是指采用SSL协议来实现远程接入的一种新型VPN技术。可利用防火墙设备的SSL VPN虚拟网关功能,实现车间终端主机的远端接入安全及通信的保密性。SSL VPN基于B/S架构,主机接入后通过web浏览器访问SSL VPN网关进行用户认证,认证通过后可利用SSL VPN的网络扩展、web代理、端口转发功能,实现内部网络的通信访问。通过SSL VPN协议的安全加密功能,对通信过程进行安全加密,满足通信的
保密性需求。目前各主流厂家防火墙设备均支持SSL VPN 虚拟网关功能,充分利用既有防火墙资源,在不增加设备投入、不改变网络拓扑结构的情况下,启用SSL VPN功能,满足各车间网管复示终端的接入控制、访问授权和通信过程的保密性需求。
应用SSL VPN方式进行远端接入认证,需要在网络边界防火墙设备开启SSL VPN虚拟网关功能,并配置相关用户名、密码及资源授权控制规则。各车间复示终端接入DCN网络后,只能访问边界防火墙设备,无法直接访问网管服务器及服务器区域内堡垒机等资源。需要通过web浏览器在SSL VPN虚拟网关认证页面输入用户名和密码进行接入认证。认证通过后,在web页面点击启动网络扩展功能,SSL VPN虚拟网关会为远程接入终端分配私网IP地址并自动进行相关网络设置。此时复示终端主机才能通过SSL VPN分配的私网IP地址与网管服务器进行通信,登陆相关网管系统、堡垒机系统进行日常运维。在通信过程中使用SSL握手协议协商的会话密钥进行通信加密,整个通信过程只能看到终端主机与SSL VPN网管的通信报文交换,很好的对内部网络进行了隐藏。通过SSL VPN网络扩展功能,只允许终端主机访问网管服务器及服务器区域内堡垒机等资源,终端与数据网网元之间、各车间终端之间无法相互访问,提高安全性。
5 结论
针对铁路数据通信网管系统网络特点,可通过采用SSL VPN技术来解决车间复示终端安全接入、认证授
权、数据加密传送等问题。在SSL VPN虚拟网关侧可以通过与活动目录服务(Active Directory,AD)域控制器、远程用户拨号认证系统(Remote Authentication Dial In User Service,RADIUS)认证服务器、数字证书认证(Certification Authority,CA)等系统对接使用,实现全面的双因子用户认证。通过网络扩展功能实现网络转发,并利用主机安全检查、缓存清理、端口控制等组合功能,打造安全可控的车间网管复示终端安全计算环境,满足车间网管复示终端的三级等保需求。
(下转50页)
2021-06-29.
[2]于江,王春岭,沈刘平,等.扩频通信技术原
理及其应用[J].中国无线电,2010(3):44-47.
[3]王文俊.基于FRFT的Chirp水声扩频通信技术
研究[D].厦门:厦门大学,2014.
[4]童成意.扩频通信技术应用研究[J].湘潭师范
学院学报(自然科学版),2003,25(2):27-30.
Tong Chengyi. On the Application of Spread Spectrum Communication Techniques[J]. Journal of Xiangtan Normal University (Natural Science Edition), 2003, 25(2): 27-30.
[5]李勃,陈启美,沈薇.跻身未来的电力线通信
(五)宽带P L C的扩频技术融入[J].电力系统
自动化,2003,27(9):77-81.[6]殷敬伟,王蕾,张晓.并行组合扩频技术在
水声通信中的应用[J].哈尔滨工程大学学报,2010,31(7):958-962.
Y i n J i n g w e i,Wa n g L e i,Z h a n g X i a o.
The Application of Parallel Combinatory Spread Spectrum in Underwater Acoustic Communication[J]. Journal of Harbin Engineering University, 2010, 31(7): 958-962.
[7]谢和欢.支持G S M-R与L T E-R通信的双模车
载电台技术研究[J].铁路通信信号工程技术,2020,17(8):53-61.
Xie Hehuan. Technical Research on Dual-Mode Onboard Radio Supporting both GSM-R and LTE-R C
ommunication[J]. Railway Signalling & Communication Engineering, 2020, 17(8): 53-61.
(上接37页)
参考文献
[1]国家市场监督管理总局,国家标准化管理委员  会.GB/T 22239—2019 信息安全技术网络安全等级保护基本要求[S].北京:中国标准出版
社,2019.
[2]中国铁路总公司.运电通信函[2016]123号
运输局关于做好铁路数据通信网网络安全专项
整治工作的通知[S].北京:中国铁路总公司,2016.
[3]庄文林.铁路专用数据网探讨[J].铁路通信信
号工程技术,2008,5(1):56-57.
Z h u a n g We n l i n. E x p l o r a t i o n o n R a i l w a y Private Data Network[J]. Railway Signalling & Communication Engineering, 2008, 5(1): 56-57. [4]沈蕾.铁路数据网I S-I S协议下分层结构组
网优化[J].铁路通信信号工程技术,2019,16(7):30-35.
Shen Lei. Optimization of Hierarchical Structure of Railway Data Network under IS-IS Protocol[J].
Railway Signalling & Communication Engineering, 2019, 16(7): 30-35.
[5]蒋新.论VPN技术的安全问题[J].铁路通信信
号设计,2002(3):39-40.
[6]李文海.数据通信与网络[M].北京:电子工业
出版社,2008.
[7]中国铁路总公司.铁总运[2016]369号 关于印
发《铁路数据通信网编号规则及路由规范》的通知[S].北京:中国铁路总公司,2016.
[8]牛新春.铁路数据网M P L S D i f f S e r v模型的
应用分析[J].铁路通信信号工程技术,2020,17(8):47-52.
Niu Xinchun. Application Analysis of MPLS DiffServ Model in Railway Data Network[J].
Railway Signalling & Communication Engineering, 2020, 17(8): 47-52.
***********************************************

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。