SSL技术范文

SSL技术范文（精选10篇）

SSL技术 第1篇

关键词：网络安全,SSL,加密

0 引言

随着计算机网络的进一步普及,基于网络的社会应用不断增加,早已涉及到金融、经济和社会的很多方面,无线网络的兴起,使原本不够安全的计算机网络增加了威胁来源。再加上一些网络通信协议并不是十分安全,更是给攻击者以可乘之机。

网络信息流的生命周期包含两个过程:信息存储和信息传输。

信息存储于计算机硬盘或移动存储介质中,需要突破网络安全设备和终端操作系统的层层设防,才能得逞,此外,终端的安全防护在近几年得到了普遍的重视,无论用户的防护水平还是防护技术都大有提高,通过这种方式非法获取信息的难度大大增加。

但是,攻击者仍然可以在网络中设置嗅探器,将流经该节点的数据包捕获后进行分析重组,从而获取信息。这种攻击方式被称为网络嗅探侦听。特别是局域网中,这种风险要远远高于广域网。当终端通过基于C/S或B/S结构的系统提报数据或者通过FTP、电子邮件、共享等方式传输文件时,如果不采取有效措施,就可能会泄密。给信息加密是一种古老而有比较有效的信息安全手段。在计算机网络通信中,成本低、使用便捷、效果较好的当推SSL技术。文献[1]和文献[2]分别利用BAN逻辑方法和Spi演算验证了SSL协议的安全性。

1 SSL3.0协议分析

SSL协议的出现,为通信双方建立了一条安全通道基本上解决了Web通信协议HTTP和FTP的安全问题与其它协议相比,SSL更适于提供数据保密性服务。目前SSL己被大部分Web浏览器(如Netscape的Navigator和Microsoft的IE浏览器)和TOMCAT、IIS等Web服务器内置,使用十分方便。

SSL协议位于传输层和应用层之间如图1所示,独立于应用层协议,因此高层协议可迭加于SSL之上,进行透明传输。

SSL安全协议提供三种安全服务。

(1)数据保密服务。SSL协议使用了对称加密体制(如DES、RC4、IDEA等)对所传输的数据进行加密。

(2)身份认证。SSL协议使用了非对称加密体制(如RSA、DSS、DH等)对Client和Server身份的合法性进行判断,以防假冒。

(3)数据完整性服务。SSL协议使用了安全hash算法(如SHA、MD5等),产生MAC(Message Authentication Code),防止非法实体对数据进行修改、插人以及在传输过程中的数据丢失等。

SSL协议规定通信分为两个阶段。

(1)握手:通信双方通过数次交互,协商加密算法、会话密钥,同时通信双方进行相互认证。

(2)传输应用数据:用握手时协商的会话密钥对所有数据进行加密传输。

2 SSL在网络通信中的实际应用

SSL的应用是基于数字证书,启用SSL加密可以分为两个步骤。

(1)生成证书

数字证书本质是数字身份证,由证书管理机构发布,记录了证书发布机构、证书申请者资料、加密算法、证书签发日期和失效日期等信息。

证书的签发即可以通过某证书管理机构进行,也可自己签名。自己签名的证书是用户产生的证书,没有正式在大家所熟知的认证权威那里注册过,因此不能确保它的真实性,但可以保证数据传输的安全性。

自己生成证书的常用工具有Open SSL和JDK 1.5提供的keytool。

(2)配置、启用SSL服务

对于Web服务器,如TOMCAT、IIS,可通过配置服务器参数启动SSL服务。

由于SSL服务会消耗一定系统资源,因此,对于不需要对客户端进行身份验证的情况,

只需进行服务器单向认证即可。

2.1 SSL应用于TOMCAT服务器

用Tomcat配置SSL方案。

(1)生成证书

JDK 1.5提供了称为keytool的命令行工具,可以简单地产生“自己签名”的证书。

在命令行中输入如下命令:

按照提示输入相关信息后,即在磁盘C的根目录生成证书文件tomcat.keystore。

参数说明如表1。

(2)配置server.xml启动SSL服务

编辑tomcat的配置文件server.xml,去掉SSL Connector的注释,添加keystore Pass(证书密码)和keystore File(证书路径)两个属性,其它属性也可根据需要进行修改。本文配置如下所示:

配置完毕,保存,重启TOMCAT,打开IE浏览器,输入https://localhost:8443(注:SSL服务的访问方式为https://ip:port)进行测试。若成功配置SSL,则会弹出“安全警报”对话框,确定后会弹出数字证书的“安全警报”对话框,选择“查看证书”进行证书安装,之后选择“是”即可建立安全通道。建立SSL连接后,IE浏览器右下方的状态栏中会出现标志。

2.2 SSL应用于FTP服务器

一般的FTP服务器是以明文方式传输数据的,安全性极差,信息很容易被盗,即使它提供了SSL加密功能,默认情况下也可能没有启用,如常用的Serv-U FTP服务器。本文以Serv-U 6.0和Flash FXP 3.4.0为例,介绍SSL服务在FTP服务器中的应用。

(1)生成证书

默认生成的SSL证书在所有的Serv-U服务器中都是一样的,非常不安全,因此我们需要创建一个新的SSL证书。

在“Serv-U管理员”窗口中,展开“本地服务器设置”选项,然后切换到“SSL证书”标签页,输入相关信息,点击“应用”按钮,即创建了一个新的SSL证书。

(2)配置、启用SSL服务

以启用Serv-U服务器中域名为“XXH”的SSL功能为例。

在“Serv-U管理员”窗口中,依次展开“本地服务器域XXH”选项,然后在右侧的“域”管理框中的“安全性”下拉选项中选择“只允许SSL/TLS进程”选项,然后点击“应用”按钮,即可启用XXH域的SSL功能。

注:启用了SSL功能后,Serv-U服务器使用的默认端口号就不再是“21”了,而是“990”了,此端口号可以根据需要更改。

(3)应用SSL

启用Serv-U服务器的SSL功能后,就可以利用此功能安全传输数据了,但FTP客户端程序必须支持SSL功能。支持SSL的FTP客户端程序比较多,本文以Flash FXP 3.4.0为例,介绍如何连接到启用了SSL功能的Serv-U服务器。

第一步,运行“Flash FXP”程序后,点击“会话快速连接”选项,弹出“快速连接”对话框,在“服务器或URL”栏中输入Serv-U服务器的IP地址,在“端口”栏中输入Serv-U服务器端口号,如“990”,输入登录账号。

第二步,切换到“SSL”标签页后,选中“隐式SSL”选项。

第三步,点击“连接”按钮。

当用户第一次连接到Serv-U服务器时,Flash FXP会弹出一个“证书”对话框,点击“接受并保存”按钮,将SSL证书下载到本地后,就能成功连接到Serv-U服务器,成功连接后,在Flash FXP状态栏中有标志,客户端与Serv-U服务器间的数据传送就会受到SSL功能的保护,不再以明文形式传送,可避免FTP账号被盗、敏感信息被窃取。

3 结束语

本文在分析SSL协议工作原理的基础上,对其安全性进行了讨论,并以两个具体的应用为例介绍了具体的应用方式,对终端通信数据具备一定的加密保护能力。本文利用数据包分析工具对启用和禁用SSL功能两种情况进行了测试,对比分析后,认为启用SSL后双方通信安全程度得到了大幅提高。

参考文献

[1]王惠芳,郭金庚.用BAN逻辑方法分析SSL3.0协议.计算机工程,2001.

SSL技术 第2篇

关键词 SSL协议；数据传输安全；实现

中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2010)121-0034-01

随着计算机网络技术特别是Internet技术的发展，基于Internet的在线应用持续增加。与传统方式相比，远程办公、远程学习等在线应用更加高效、经济，且不受地域的制约和限制。但Internet是一个完全开放的环境，通过Internet的在线应用，需要考虑如何实现在此应用信息在计算机网络上的安全传输问题，计算机信息的安全传输包括信息的保密性、信息的完整性、通信双方的身份认证等多个方面，论文重点将SSL技术应用于在线应用系统的数据传输中，保障系统数据传输安全。

1 SSL安全传输协议原理

SSL（Secure Sockets Lays）协议是由Netscape公司设计的网络安全协议，主要目标是使用TCP来提供一种可靠的端到端的安全服务，已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议可分为两层，如图1所示。

图1 SSL协议结构

SSL记录协议位于可靠的运输层协议之上，如它对各种更高层协议进行封装，为不同的更高层协议提供了基本的安全服务，特别是为Web客户/服务器的交互提供的HTTP协议可以在SSL上面运行。三个更高层的协议被定义为成SSL的一部分：握手协议、修改密文规约协议、告警协议，这些协议用于管理SSL的交换。

1）SSL记录协议。SSL记录协议可以为SSL连接提供保密性业务和报文完整性业务。保密性业务是通信双方通过握手协议建立一个共享密钥，完整性业务则是通过用于计算报文鉴别代码MAC的共享密钥。SSL记录协议操作首先是对数据进行分片和压缩，然后在压缩数据上计算报文鉴别代码，最后将压缩数据和MAC进行加密后传送出去。其中，MAC的计算是关键步骤。

2）SSL握手协议。SSL中最复杂的部分是握手协议。这个协议使得服务器和客户能够相互鉴别对方的身份、协商加密和MAC算法以及用来保护在SSL记录中发送的加密密钥。在传输任何应用数据之前，必须先使用握手协议。当在进行握手协议或者传输数据时，任意一方有异常状况，都可以用告警协议通行对方；当任意一方想要更换密钥时，可以通过修改密文规约协议来更换密钥。

SSL是在Internet基础上提供的一种保证私密性的安全协议，使客户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对客户进行认证。SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议能透明的建立于SSL协议之上。

2 基于SSL的系统架构设计

在线应用系统在设计时首先需要考虑信息在Internet传输过程中的安全性，具体体现为信息的机密性和完整性，将SSL应用于系统设计中可以大大提高信息安全性，基于SSL的系统架构设计如图2所示。

1）SSL代理服务器的组成部分。SSL代理服务器有三个组成部分：客户代理、服务器代理、访问控制。需要注意的是：与客户代理相连的客户是来自外部网上的主机，与服务器代理相连的是外部主机想访问的内部服务器。因此，只能在客户与客户代理之间增加对SSL协议的支持，即将原来的客户与客户代理之间的请求、应答转发置于SSL协议的保护之下。

图2 基于SSL的系统架构设计

2）SSL代理服务器的工作原理。采用SSL协议传输数据之前，必须先进行SSL握手，即SSL安全代理服务器与客户之间先进行SSL握手，建立SSL安全连接，然后发送普通的服务请求、接收由代理服务器转发的应答。在结束连接之前，还要断开SSL连接以保证连接的安全。

浏览器通过SSL安全代理与服务器建立安全连接，SSL安全代理接管了浏览器的安全功能，可以提供高强度加密算法的支持，数据的安全传输不受浏览器所能提供的安全能力的限制。采用安全代理方式，客户端需要安装代理服务器，浏览器的数据通过代理传送。SSL代理先对传送的数据进行加密，再传送给服务器。Web服务器可以与客户的浏览器之间进行高强度的SSL身份认证、数据通信加密。

3 基于SSL技术的系统数据传输安全功能实现

基于以上设计架构，主要包括身份认证模块、握手消息处理模块、记录层处理模块，其中握手消息处理、记录层处理两个核心模块具体设计实现如下。

1）握手消息处理模块。客户端的握手过程和服务器端的握手过程是相互交叉的，要经过多次的信息交互，才能完成整个握手过程。通信双方在握手过程中进行协商生成密钥过程的实现如下：当客户收到服务器的Server_hello_done的消息之后，如果服务器要求对客户方进行身份认证，客户方将自己的证书发送给服务器方，然后发送Client_Key_Exchange消息。客户方产生一个随机数作准密数Pre_master_secret，并用对方的公开密钥加密后作为Client_Key_Exchange消息的内容发送给服务器方。服务器方收到该消息后用自己的私钥对加密数据进行解密，从而客户方与服务器方具有相同的准密数Pre_Master_Secret，然后双方以此准密数为基数，经过算法计算出密数Master_Secret，计算公式如下：

master_secret=MD5（pre_master_secret+SHA（‘A’+pre_master_secret+

Client_hello.randon+Server_hello.random））+

MD5（master_secret+SHA （‘BB’+master_secret+

Server_hello.random+Client_hello.random））+

MD5（master_secret+SHA （‘CCC’+master_secret+

Server_hello.random+Client_hello.random））

上述计算过程将不断进行，直到生成的Key_block的字节数足够生成所有所需要的最终密钥。然后对Key_block进行分切，从而得到所需要的最终密钥。

2）记录层处理模块。记录层处理模块主要完成数据的分段/组装、填充/恢复，以及数据的完整性检查。在SSL中，所有来自上层的数据，包括握手消息、改变密码参数消息、报警消息、应用数据等都首先被分段和填充，每一数据段作为一个记录，对每个记录计算其MAC值并附加在该记录的末尾，然后将整个记录进行加密，在加密后记录首部再添加一个记录头。记录头包括数据类型、数据长度和协议版本信息。每一个SSL记录都包括记录头、实际数据、填充数据和MAC这几部分。记录层对数据进行分段的原则是是每段不超过214字节，加密后段的长度不变。在记录层对数据进行分段后每个记录的数据结构为：

struct{

ContentType type；//消息类型

ProtocolVersion version；//版本信息

Unit16 length；//数据段长度

SSLopaque fragment[SSLPlaintest.length]；//数据段

}SSLPlaintext；//明文记录

上述的明文记录结构在计算MAC并且加密后，就变成了与上述明文结构对应的密文结构，且密文的结构随加密算法类型的不同而有所不同。

4 结束语

SSL协议提供的安全信道有以下三个特性：①在握手协议定义会话密钥，所有的消息都被加密。②通信双方的身份确认，服务器端始终是被认证的。③信息的完整性，握手协议定义了共享的、可以用来形成信息鉴别码的密钥。论文基于SSL协议实现在线应用系统数据传输安全功能，具有较强的实际参考价值。

参考文献

[1]S.Kent, R.Atkinson, Security Architecture for the Internet Protocol,RFC 2401,November 1998

[2]张曜,卢涛,张青.加密解密与网络安全技术.北京:冶金工业出版社2002.,7/

[3]谭毓安.在Java中实现SSL端到端的加密,计算机应用,2002,Vol19(8)/

作者简介

SSL技术 第3篇

关键词：网络安全,SSL技术,加密

1 引言

随着计算机网络的进一步普及,基于网络的社会应用不断增加,早已涉及到金融、经济和社会的很多方面,无线网络的兴起,使原本不够安全的计算机网络增加了威胁来源。再加上一些网络通信协议并不是十分安全,更是给攻击者以可乘之机。

网络信息流的生命周期包含两个过程:信息存储和信息传输。

信息存储于计算机硬盘或移动存储介质中,需要突破网络安全设备和终端操作系统的层层设防才能得逞,此外,终端的安全防护在近几年得到了普遍的重视,无论用户的防护水平还是防护技术都大有提高,通过这种方式非法获取信息的难度大大增加。

但是,攻击者仍然可以在网络中设置嗅探器,将流经该节点的数据包捕获后进行分析重组,从而获取信息。这种攻击方式被称为网络嗅探侦听。特别是局域网中,这种风险要远远高于广域网。当终端通过基于C/S或B/S结构的系统提报数据或者通过FTP、电子邮件、共享等方式传输文件时,如果不采取有效措施,就可能会泄密。给信息加密是一种古老而有比较有效的信息安全手段。在计算机网络通信中,成本低、使用便捷、效果较好的当推SSL技术。文献[1]和文献[2]分别利用BAN逻辑方法和Spi演算验证了SSL协议的安全性。

2 SSL3.0协议分析

SSL协议的出现,为通信双方建立了一条安全通道,基本上解决了Web通信协议HTTP和FTP的安全问题,与其他协议相比,SSL更适于提供数据保密性服务。目前SSL己被大部分Web浏览器(如Netscape的Navigator和Microsoft的IE浏览器)和TOMCAT、IIS等Web服务器内置,使用十分方便。

SSL协议位于传输层和应用层之间(如图1),独立于应用层协议,因此高层协议可迭加于SSL之上,进行透明传输。

SSL安全协议提供3种安全服务:

(1)数据保密服务。SSL协议使用了对称加密体制(如DES,RC4,IDEA等)对所传输的数据进行加密。

(2)身份认证。SSL协议使用了非对称加密体制(如RSA,DSS,DH等)对Client和Server身份的合法性进行判断,以防假冒。

(3)数据完整性服务。SSL协议使用了安全hash算法(如SHA,MD5等),产生MAC(Message Authentication Code),防止非法实体对数据进行修改、插人,以及在传输过程中的数据丢失等。

SSL协议规定通信分为两个阶段:

(1)握手:通信双方通过数次交互,协商加密算法、会话密钥,同时通信双方进行相互认证。

(2)传输应用数据:用握手时协商的会话密钥对所有数据进行加密传输。

3 SSL在网络通信中的应用

SSL的应用是基于数字证书,启用SSL加密可以分为两个步骤:

(1)生成证书:数字证书本质是数字身份证,由证书管理机构发布,记录了证书发布机构、证书申请者资料、加密算法、证书签发日期和失效日期等信息。

证书的签发即可以通过某证书管理机构进行,也可自己签名。自己签名的证书是用户产生的证书,没有正式在大家所熟知的认证权威那里注册过,因此不能确保它的真实性,但可以保证数据传输的安全性。

自己生成证书的常用工具有OpenSSL和JDK 1.5提供的keytool。

(2)配置、启用SSL服务。对于Web服务器,如TOM-CAT、IIS,可通过配置服务器参数启动SSL服务。

由于SSL服务会消耗一定系统资源,因此,对于不需要对客户端进行身份验证的情况,只需进行服务器单向认证即可。

3.1 SSL应用于TOMCAT服务器

用Tomcat配置SSL方案如下:

(1)生成证书

JDK 1.5提供了称为keytool的命令行工具,可以简单地产生“自己签名”的证书。

在命令行中输入如下命令:

按照提示输入相关信息后,即在磁盘C的根目录生成证书文件tomcat.keystore。

参数说明如表1所示。

(2)配置server.xml启动SSL服务

编辑tomcat的配置文件server.xml,去掉SSL Connector的注释,添加keystorePass(证书密码)和keystoreFile(证书路径)两个属性,其他属性也可根据需要进行修改。配置如下:

配置完毕,保存,重启TOMCAT,打开IE浏览器,输入https://localhost:8443(注:SSL服务的访问方式为https://ip:port)进行测试。若成功配置SSL,则会弹出“安全警报”对话框,确定后会弹出数字证书的“安全警报”对话框,选择“查看证书”进行证书安装,之后选择“是”即可建立安全通道。建立SSL连接后,IE浏览器右下方的状态栏中会出现标志。

3.2 SSL应用于FTP服务器

一般的FTP服务器是以明文方式传输数据的,安全性极差,信息很容易被盗,即使它提供了SSL加密功能,默认情况下也可能没有启用,如常用的Serv-U FTP服务器。这里以Serv-U 6.0和FlashFXP 3.4.0为例,介绍SSL服务在FTP服务器中的应用。

(1)生成证书

默认生成的SSL证书在所有的Serv-U服务器中都是一样的,非常不安全,因此需要创建一个新的SSL证书。

在“Serv-U管理员”窗口中,展开“本地服务器设置”选项,然后切换到“SSL证书”标签页,输入相关信息,点击“应用”按钮,即创建了一个新的SSL证书。

(2)配置、启用SSL服务

以启用Serv-U服务器中域名为“XXH”的SSL功能为例。

在“Serv-U管理员”窗口中,依次展开“本地服务器域XXH”选项,然后在右侧的“域”管理框中的“安全性”下拉选项中选择“只允许SSL/TLS进程”选项,然后点击“应用”按钮,即可启用XXH域的SSL功能。

注:启用了SSL功能后,Serv-U服务器使用的默认端口号就不再是“21”了,而是“990”了,此端口号可以根据需要更改。

(3)应用SSL

启用Serv-U服务器的SSL功能后,就可以利用此功能安全传输数据了,但FTP客户端程序必须支持SSL功能。支持SSL的FTP客户端程序比较多,以FlashFXP 3.4.0为例,介绍如何连接到启用了SSL功能的Serv-U服务器。

第一步,运行“FlashFXP”程序后,点击“会话快速连接”选项,弹出“快速连接”对话框,在“服务器或URL”栏中输入Serv-U服务器的IP地址,在“端口”栏中输入Serv-U服务器端口号,如“990”,输入登录账号。

第二步,切换到“SSL”标签页,选中“隐式SSL”选项。

第三步,点击“连接”按钮。

当用户第一次连接到Serv-U服务器时,Flash FXP会弹出一个“证书”对话框,点击“接受并保存”按钮,将SSL证书下载到本地后,就能成功连接到Serv-U服务器,成功连接后,在Flash FXP状态栏中有标志,客户端与Serv-U服务器间的数据传送就会受到SSL功能的保护,不再以明文形式传送,可避免FTP账号被盗、敏感信息被窃取。

4 结语

在分析SSL协议工作原理的基础上,对其安全性进行了讨论,并以两个具体的应用为例介绍了具体的应用方式,对终端通信数据具备一定的加密保护能力。本文利用数据包分析工具对启用和禁用SSL功能两种情况进行了测试,对比分析后,认为启用SSL后双方通信安全程度得到了大幅提高。

参考文献

[1]王惠芳,郭金庚.用BAN逻辑方法分析SSL3.0协议.计算机工程,2001.

实例介绍SSL加密的保护功能 第4篇

一般的FTP服务器是以明文方式传输数据的，安全性极差。信息很容易被盗，即使它提供了SSL加密功能，默认情况下也可能没有启用，如大家常用的Serv-U FTP服务器(以下简称Serv-U)。为了保证特殊环境下的数据安全，有时是有必要启用SSL功能的。下面笔者以Serv-U服务器为例，介绍如何启用SSL加密功能。

创建SSL证书

要想使用Serv-U的SSL功能，当然需要SSL证书的支持才行。虽然Serv-U在安装之时就已经自动生成了一个SSL证书，但这个默认生成的SSL证书在所有的Serv-U服务器中都是一样的，非常不安全，所以我们需要手工创建一个新的SSL证书。

笔者以Serv-U5.0汉化版为例，在“Serv-U管理员”窗口中，展开“本地服务器→设置”选项，然后切换到“SSL证书”标签页，在这里笔者创建一个新的SSL证书。

首先在“普通名称”栏中输入FTP服务器的IP地址，接着其他栏目的内容，如电子邮件、组织和单位等，根据用户的情况进行填写，完成SSL证书标签页中所有内容的填写后，点击下方的“应用”按钮即可，这时Serv-U就会生成一个新的SSL证书。

启用SSL功能

虽然为Serv-U服务器创建了新的SSL证书，但默认情况下，Serv-U是没有启用SSL功能的，要想利用该SSL证书，首先要启用Serv-U的SSL功能才行。

这里笔者要启用Serv-U服务器中域名为“RTJ”的SSL功能。在“Serv-U管理员”窗口中。依次展开“本地服务器→域→RTJ”选项，然后在右侧的“域”管理框中找到“安全性”下拉列表选项。这里Serv-U提供了3种选项，分别是“仅仅规则FTP，无SSL／TLS进程”、“允许SSL／TLS和规则进程”、“只允许SSL／TLS进程”，默认情况下。Serv-U使用的是“仅仅规则FTP，无SSL／TLS进程”，因此是没有启用SSL加密功能的。在这里，笔者在“安全性”下拉选项框中选择“只允许SSL／TLS进程”选项，然后点击“应用”按钮，即可启用RTJ域的SSL功能。

注意：启用了SSL功能后，Serv-U服务器使用的默认端口号就不再是“21”了，而是“990”了，这点FTP用户一定要留意，否则就会无法成功连接Serv-U服务器。

SSL应用

启用Serv-U服务器的SSL功能后，就可以利用此功能安全传输数据了，但FTP客户端程序必须支持SSL功能才行。

支持SSL的FTP客户端程序现在也比较多，笔者以“FlashFXP”程序为倒，介绍如何成功连接到启用了SSL功能的Serv-U服务器。运行“FlashFXP”程序后，点击“会话一快速连接”选项，弹出“快速连接”对话框，在“服务器或URL"栏中输入Serv-U服务器的lP地址。在“端口”栏中一定要输入“990”，这是因为Serv-U服务器启用SSL功能后，端口号就从“21”变为“990”；接着在“用户名”和“密码”栏中输入用户的登录账号。

然后切换到“SSL”标签页。选中“隐式SSL”选项，这一步骤是非常关键的，如果不选中“隐式SSL”，就无法成功连接到Serv-U服务器。最后点击“连接”按钮。

SSL技术 第5篇

利用市场上成熟的TCP/IP软硬件资源, 可以明显为用户提供安全、稳定的互联网功能, 尤其体现在一些性能较低的8位机设备上。然而, 随着TCP/IP技术的普及, 带来了数据安全隐患。单纯地依靠TCP/IP协议上的限制, 已不保证设备安全工作, 为这些设备提供加密的需求变的急迫起来。本文顺应这一需求, 从实际角度出发, 利用多功能网络控制芯片FS8610, 结合SSL协议, 实现了低端设备安全加密功能, 为用户解决后顾之忧。

1 方案介绍

本文使用的方案是软硬结合―网络控制芯片+SSL协议栈。在互联网上, 利用网络控制芯片FS8610的高运行速度和可靠性, 避免复杂TCP/IP协议栈带来的不稳定因素;安全上, 使用高安全性的SSL协议, 达到数据加密目的。

1.1 芯片介绍

FS8610是一颗内嵌硬件TCP/IP协议栈的8位高速网络微控制器芯片, 可以提供硬件处理的Ethernet/ARP/RARP/IPv4/ICMP/IGMPv2/TCP/UDP/PPPoE等网络协议, MCU使用1T RISC架构的8051处理器, 在完全兼容标准8051指令集的基础上, 可以提供超高速的处理能力 (最高可运行在160MHz) 。FS8610开发平台可适用于以太网连接需求的相关产品, 使得客户快速、简单的实现方案及产品的开发, 大幅缩短开发时间, 加速产品上市。

1.2 SSL介绍

SSL (Secure Socket Layer) 是Netscape公司提出的主要用于Web的安全通信标准, 分为2.0版和3.0版。SSL提供的安全机制可以保证应用层数据在互联网络传输不被监听、伪造和窜改。SSL在TCP/IP协议簇中处于运输层和高层协议之间, 主要功能有两个:其一, 加密、解密在网络中传输的数据包, 同时保护这些数据不被修改和伪造。其二, 验证网络对话中双方的身份。

SSL是一种分层次的协议, 主有两种类型:SSL记录协议和SSL握手协议。SSL记录协议说明SSL的数据包应该如何封装的, 所有的传输数据都被封装在记录中。SSL握手协议层包括SSL握手协议、SSL密码参数修改协议、应用数据协议和SSL报警协议, 握手协议层的这些协议用于SSL管理信息的交换, 允许应用协议传送数据之前相互验证, 协商加密算法和生成密钥等。

SSL协议工作之前必须经过握手, 建立SSL连接。它的工作过程是:通信双方通过不对称加密算法来协商好一个对称加密算法以及使用的key, 然后用这个算法加密以后所有的数据完成应用层协议的数据交换。

2 系统硬件设计

本方案硬件相对简单, 只需一颗FS8610网络控制芯片和一颗以太网接入芯片RTL8201, 成本相对较低。图1为本系统的系统框图。FS8610内部提供了完整的网络TCP/IP协议栈, 它通过以太网接入芯片RTL8201连接到以太网, 系统的硬件原理图如图2所示:

3 系统软件设计

系统在软件上分为两个部分:SSL协议栈和系统应用程序, SSL协议栈实现SSL协议基本功能;系统应用程序是系统的工作流程。

3.1 SSL协议设计

由于SSL协议本身很复杂, 不但包括很多复杂的算法, 如加密算法、压缩算法等, 还需要处理繁琐的证书编码。如果实现SSL所有的功能, 势必难度增大, 因此有选择的精简SSL协议是我们实现其功能的关键所在。而精简SSL协议主要任务在于加密算法的选择和SSL协议可选项的选择上。

(1) 加密算法的选择:在FS8610这种8位MCU的基础上实现广泛应用于PC端的加密算法, 是非常不易的, 比如涉及到的大数运算等, 所以我们只能选定一组加密算法 (包括公钥加密算法、对称加密算法、消息摘要算法) 作为一种定制规则来实现SSL协议的运作。这里选用SSL_RSA_WITH_RC4_128_MD5这组算法, 即RSA公钥加密算法、128位RC4对称加密算法, MD5消息摘要算法和SHA1消息摘要算法。另外, RSA加密过程非常复杂, 消耗的时间也非常多, 所以我们只实现RSA的解密。

(2) SSL可选项:SSL握手阶段很多消息包是可选的, 如Client Certificate Request、Clinet’s Certificate、CertificateVerify等。对于这些可选项, 在不影响SSL功能的情况下, 我们只保留关键步骤, 其余功能能简化尽量简化。另外, 网络数据大多数未经过压缩, 所以我们也不需要压缩和解压缩功能。

经过精简的SSL协议相对简单, 图3为SSL协议的工作流程图。

3.2 系统工作流程

系统工作时, 只需要将待发数据经由SSL加密后, 写入到FS8610的FIFO中, 由FS8610自动将数据发送出去;接收时相反, FS8610将接收到加密的数据, 传递给SSL协议, 由SSL协议解密后, 传递给高端用户。图4为系统工作流程图。数据在传输过程中, 经由SSL加密, 从而避免数据被外界获取或篡改。

4 结束语

FS8610具有高性能的网络协议处理能力, SSL协议有着卓越的加密性能。通过精简SSL协议和FS8610芯片的结合, 可以轻松地实现加密联网终端, 有效地缩短了开发时间, 加速产品上市。

摘要：通过使用网络控制芯片FS8610, 结合SSL协议栈, 实现8位单片机系统加密联网的功能。此方案简单、快捷、成本低廉, 是低端用户的好选择。

关键词：FS8610,SSL协议,X.509,加密技术

参考文献

[1]季海港.SSL协议的研究与应用[D].太原:太原理工大学, 2006.

[2]叶平丰.基于SSL协议和X.509的安全WEB访问控制技术[D].西安:西安电子科技大学, 2004.

[3]李海泉, 李健.计算机网络安全与加密技术[M].北京:科学出版社, 2001.

SSL技术 第6篇

1 VPN概述

VPN(虚拟专用网，Virtual Private Network)是指将在物理上分布于不同区域的网络通过公用骨干网络连接成的逻辑上的虚拟子网，它采用数据加密技术、身份认证技术、隧道技术和密钥管理技术等关键技术实施通信保护，防止通信信息被泄露、篡改和复制。

按照实现技术的不同，VPN可分为PPTP(Point-to-Point Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、MPLS(Multi Protocol Label Switch)、IPSec(IP security)、SSL(Secure Sockets Layer)等几种。其中，基于IPSec协议的VPN和基于SSL协议的VPN是目前应用最为广泛的两种VPN解决方案。

IPSec是一种由IETF设计的端到端的确保IP层通信安全的机制，它对IP数据包进行加密和认证，使得在公共网络上没有任何中间节点能够访问和修改受保护的报文内容。IPSec有两种工作模式：隧道模式和传输模式。IPSec VPN的优点是它为数据传输提供了良好的加密性、完整性和数据源身份认证服务以及抗重播保护，实现了连接的安全保障，可在现有的任何IP网络中部署。缺点是抗病毒入侵能力较低、与部分网络新技术有冲突(如隧道模式与网络地址转换NAT的冲突)、配置复杂等。

2 基于SSL协议的VPN

2.1 SSL协议

SSL(Secure Socket Layer,安全套接层)协议是一种在两台设备之间提供安全通道的网络安全通信协议，它具有通信双方身份认证及保护传输数据的功能。SSL协议建立在可靠的传输层协议之上(如TCP协议)，并且独立于应用层协议。高层的应用协议(如HTTP、FTP等)可透明的运行于SSL协议之上。

SSL协议在结构上分为两层，如图1所示，底层为记录层协议，上层为并列的握手协议、修改密码参数协议和报警协议。

2.1.1 握手协议

握手协议由一系列客户端与服务器之间交互的报文组成，所有报文遵循如图2的格式。

SSL握手过程有三个目的：1)客户端与服务器就一组用于数据保护的算法达成一致;2)双方确立一组加密密钥;3)选择对客户端的认证。在传输应用数据之前，必须首先完成握手过程。握手过程如图3所示。

握手过程分为以下几步：

1)客户端将支持的算法列表连同一个用于产生密钥的随机数发送给服务器;

2)服务器从列表中选择一种加密算法，将其连同服务器的证书发送给客户端，同时客户端还提供一个用于产生密钥的随机数;

3)客户端验证服务器证书，提取服务器公钥。产生一个称为pre_master_secert的随机密码串，用服务器公钥对其加密后发送至服务器;

4)客户端和服务器根据pre_master_secert以及各自的随机数独立计算出加密密钥和MAC密钥;

5)客户端将所有握手消息的MAC值发送给服务器;

6)服务器将所有握手消息的MAC值发送给客户端。

握手过程结束时，客户端与服务器已商定用于此后传输数据所使用的加密算法及密钥，握手过程未受干扰，协商过程可反映双方真实意图。其中，握手的每一步骤都需要通过一条或多条握手消息来完成。

2.1.2 警告协议和修改密码参数协议

警告协议用来为连接双方传递警告信息，包括警告消息与严重程度。警告信息也要经过压缩和加密后再进行传输。

修改密码参数协议是一个简单的特定协议，目的是用于表示密码策略的变化。握手完成之前，握手双方都要发送此消息以通知对方以后的数据使用新协商的密码算法及密钥。

2.1.3 记录协议

记录协议用来处理由上层获得的数据。记录层首先将数据分块，每个数据块中都包含数据类型、协议版本信息和要传输的数据，然后压缩数据块，按照握手协议中协商的散列算法计算MAC，再用握手中协商的加密算法对压缩后的数据连同MAC进行加密，最后发送出去。相应的，接收数据时要对数据解密、验证、解压和数据重组，再交给上层用户。图4为SSL记录协议的操作流程。

2.2 SSL VPN的实现原理

SSL VPN是指一种基于数据包封装技术的，利用SSL/TLS协议结合强加密算法和身份认证技术的、可靠安全的构建VPN的一种方法。尽管SSL协议并非为实现VPN而设计，但SSL对VPN实现所需的数据加密、身份认证和密钥管理等关键技术提供了良好的支持。

1)身份认证的支持

SSL协议中通信双方的身份验证基于PKI公钥体制，通过数字证书实现身份的验证。证书由可信的发证权威机构CA签发。

SSL协议支持三种验证模式：客户端与服务器都被验证、验证服务器而不验证客户端、客户端与服务器互不验证。常见的SSL VPN多采用第二种模式，在安全性要求较高的环境中推荐第一种模式，第三种匿名模式在任何有安全要求的环境中均不推荐使用。

2)密钥管理的支持

SSL协议的握手协议的功能除了验证双方身份，主要就是负责密钥管理，包括协商密钥交换算法、加密算法、MAC算法，完成密钥交换和生成密钥。

3)数据加密的支持

SSL协议记录协议对应用层数据加密的同时，对所有的数据包都采用HMAC强认证。每个连接使用的加密密钥和MAC密钥都从会话密钥中临时生成，不同连接密钥不同，同一连接的双向密钥也不相同。因此，只要采用足够安全的密钥长度，就能够保证SSL记录层不会受到被动监听和主动攻击的威胁。此外，SSL记录层在做MAC验证时，加入了消息序列号，不仅可以防止记录层的重放攻击，还可避免消息延迟、重排和删除。

4)隧道的支持

SSl协议自身对隧道技术的支持较弱，无法同时支持多种应用和协议，但SSL VPN可采用与其它技术相结合的方法增强SSL协议的隧道功能。例如，SSL VPN通过Tun/Tap虚拟网卡驱动程序将整个IP数据包或以太网帧封装成TCP或UDP数据包来构建隧道。SSL VPN隧道有Tun和Tap两种驱动模式，其中Tun驱动模式用来建立点到点IP路由形式的VPN隧道，Tap模式用来建立以太网桥接形式的隧道。

2.3 SSL VPN的特点

SSL VPN工作在系统用户空间，具有组网灵活性强、管理维护成本低、用户操作简单等优点。SSL VPN可以构建外联网、内联网和远程访问等多种VPN系统，支持IPv4/v6,Netware IPX,Appletalk等多种网络协议，并可穿越NAT设备。

3 SSL VPN的两种类型

SSL VPN的实现分为两种类型：代理型SSL VPN和隧道型SSL VPN。

3.1 代理型SSL VPN

代理型SSL VPN是一种基于HTTPS和代理技术实现的VPN。其突出特点是实现了应用级访问控制，并且用户只需通过WEB浏览器即可实现对VPN内部资源的安全访问，无需安装客户端软件、无需特殊配置。代理型SSL VPN的核心功能是代理和转发外部网络客户端的访问请求，使之能够进入内部网络。

一个典型的代理型SSL VPN架构由带浏览器功能的客户端、SSL VPN服务器和内网应用服务器组成，如图5所示。客户端浏览器与SSL VPN服务器之间建立HTTPS连接，其安全性由SSL协议保证;而SSL VPN服务器与www服务器之间可以建立SSL连接，也可以是普通连接。

3.2 隧道型SSL VPN

隧道型SSL VPN是一种基于虚拟网卡技术和SSL协议实现的VPN。通信双方都需要安装VPN软件以便创建虚拟网卡。隧道型SSL VPN进程运行在系统用户空间，通过虚拟网卡提供的接口将应用程序发送到网络层的数据包从操作系统内核空间转发给VPN进程，经过SSL建立的安全机制加密后，再通过物理网卡发送出去。

隧道型SSL VPN除了可实现主机到主机、主机到网络之间的VPN连接，还可以通过在VPN服务器上对虚拟网卡和内网物理网卡进行桥接或路由，实现网络到网络的连接。

隧道型SSL VPN具有可移植性好、可支持多种网络协议、能够穿越NAT和防火墙等优点。

4 一种SSL VPN技术实现的方案

4.1 OpenVPN概述

开源软件OpenVPN提供了一个可实现SSL VPN全部功能的VPN解决方案。使用OpenVPN可以在任意IP子网之间建立隧道连接，也可以通过单独的UDP或TCP端口在任意的虚拟网卡间建立隧道连接，并且能够配置一个具有可扩展性的、带有负载均衡功能的VPN服务器，它可以处理来自各地数量众多的VPN客户端的动态连接请求。

OpenVPN可以支持各种类型的网络应用，用户无需做出任何改变。OpenVPN可建立两种基本的隧道类型：路由IP隧道和桥接以太网隧道。前者适用于无需广播的点对点通信，比桥接网络隧道更有效率且容易配置，后者用于IP协议或非IP协议的隧道，更适合于使用广播的应用。

OpenVPN自身提供了包括DES、3DES、BLOW FISH、IDEA等加密算法，利用这些算法和认证功能来保证VPN中数据的安全传输。对于公钥加密算法和摘要算法，OpenVPN支持RSA、MD5和SHA。在Windows平台下，OpenVPN还支持从Windows CryptoAPI规范的智能卡中读取数字证书和私钥。

4.2 OpenVPN的安装与配置

搭建OpenVPN隧道需要分别安装OpenVPN服务器软件及OpenVPN客户端软件。其中，作为服务器的主机必须支持TUN/TAP设备，且OpenVPN需要LZO的支持。

安装完成后，根据设计需要分别修改服务器端配置文件server.conf和客户端配置文件.conf(在Linux或Unix环境下)或.ovpn(在Windows环境下)。

使用OpenVPN自带的脚本生成CA证书、DH文件、服务器端的cert和key文件，及若干个客户端的cert和key文件等。在建立隧道之前，将client.opvn,ca.crt，以及客户端的cert和key文件拷贝到客户端的openvpnconfig目录下。

若配置无误，启动软件后即可在客户端与服务器之间建立起一条可实现安全通信的SSL VPN隧道。

5 结束语

SSL协议制定的初衷是用于保护WEB应用的安全，而经过不断的完善SSL如今已经发展为一个受到普遍欢迎的实用安全协议。SSL协议最有价值的优点在于它为用户空间提供了一个简单高效的密钥交换协议。该文分析了SSL协议的结构层次及工作机制，研究了基于SSL协议的VPN技术的实现原理，简要介绍了代理型和隧道型两种SSL VPN技术及使用开源软件OpenVPN搭建SSL VPN的方法。

目前SSL VPN技术虽然已经被越来越多的企业和部门所广泛采用，但这项技术本身还是存在诸如访问控制颗粒度较粗等若干不足之处，需要在日后的深入研究中不断加以改进和完善。

参考文献

[1]刘洪强.基于SSL协议的VPN技术研究与实现[D].山东大学硕士论文,2008.

[2]赵新辉.基于OpenVPN技术SSL VPN的实现与研究[J].网络安全技术与应用,2008(9).

SSL技术 第7篇

1 SSL-VPN技术简介

1.1 VPN技术

虚拟专用网 (VPN) 是指公众互联网建立私有传输通路, 将远程的分支机构、商业伙伴、移动办公人员等连接起来, 并且提供安全的端到端的数据通信的一种技术[1]。它有两层含义:第一, 它是虚拟的, 即用户实际上并不存在一个独立专用的网络, 既不需要建设或租用专线, 也不需要装备专用的设备, 而是将其建立在分布广泛的公共网络上, 就能组成一个属于自己专用的网络;第二, 它是专用的, 相对于公用来说, 它强调私有性和安全可靠性。目前主流的VPN技术包括MPLS VPN、IPSec VPN和SSL VPN。

1.2 SSL-VPN技术

SSL (Secure Sockets Layer安全套接层) 是由网景 (Netscape) 公司提出的基于Web应用的安全协议, 它指定了一种在应用程序协议 (如Http、Telnet、SMTP和FT P等) 和TCP/IP协议之间提供数据安全性分层的机制, 它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证[2]。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。

SSL-VPN是指采用SSL协议来实现远程接入的一种新型VPN。用户利用浏览器内建的SSL封包处理功能, 通过浏览器连接到公司内部SSLVPN服务器, 然后透过网络封包转向的方式, 让使用者可以在远程计算机执行应用程序, 读取公司内部服务器数据。它采用标准的安全套接层 (SSL) 对传输中的数据包进行加密, 从而在应用层保护了数据的安全性。SSL-VPN网络示意图如图1所示。

1.3 SSL-VPN的优点

SSL VPN继承了IPSec VPN远程接入与应用无关的优点, 避免了因为客户端而导致的使用维护不便, 同时提供了网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能, 以及C/S应用和B/S应用访问, 避免了IPSec VPN的缺点。SSL VPN的安全性高, 可扩展性强, 最适合移动办公人员对总部资源的访问。

2 SSL-VPN技术在气象业务中的应用

2.1 基于SSL-VPN技术的远程接入方案

本文以克拉玛依气象局局域网为例, 采用天清汉马USG一体化安全网关设备, 介绍建立基于SSL VPN技术的远程接入方案。

克拉玛依气象局网络拓扑图如图2所示, 采用天清汉马USG一体化安全网关, 将外网用户和内网连接, 在一体化安全网关上面使用SSL协议, 建立CA用户证书认证和用户组, 配置用户资源和相关安全策略。

1) 首先需要启用SSL VPN服务, 设置登录端口, 用户超时时间, 访问路由等;

2) 建立SSL VPN CA服务认证;

3) 配置SSL VPN Web访问功能, 包括:配置要过滤的HTTP方法和启用HTML重写功能;

4) 根据用户组配置资源组, 资源组是将现有的资源进行按类别组合, 可以根据业务类型、用户权限级别等来对资源进行分类, 如邮件访问, WEB服务器访问, 远程登录访问等;

5) 配置客户端安全检查。分为客户端操作系统检测及运行进程检测, 对违反策略的处理方式有两种, 即禁止登录和限制访问。若选择了禁止登录且客户端操作系统和/或运行进程与客户端检查策略不匹配, 则将禁止用户登录;若选择了限制访问, 则违反准入控制策略的用户可登陆成功, 但无法访问内网资源;

6) 配置SSL VPN安全策略。用于控制SSL VPN用户可以访问的网络资源。将SSLVPN用户组绑定到指定的SSL VPN安全策略下, 该组的用户在登录后即可访问策略匹配的网络资源。

通过以上方案, 即可完成基本的SSL VPN的远程接入。在此基础上还可以根据需要更加系统的对VPN进行设置。

2.2 气象业务系统的远程接入

远程用户通过在浏览器中输入指定的IP地址, 利用管理员分配的帐号, 便可进入登录页面。SSL-VPN设备提供客户端应用绑定功能, 让用户可以针对某一个应用服务设定使用哪一种或多种应用客户端软件。当用户登录到内部网络时便可看到可访问的应用服务列表。在应用服务表中, 管理员可通过设置服务来绑定应用及启动该应用所需要的参数。一旦完成了以上设定, 用户登录系统后便能直接点击服务名称来开启应用软件。

3 结束语

目前, SSL-VPN技术是解决远程用户访问气象内部信息资源的首选方案。尽管SSL-VPN技术还存在着某些不足之处, 如只对通信双方的应用程序进行加密, 而不对通信双方的网络传输进行加密。但SSL-VPN的确能够让用户随时随地连接至内部网络中, 不但打破了局域网地理位置上的局限性, 同时提高了工作效率, 也提升了气象服务的质量和水平。

摘要：该文对SSL-VPN的技术特点及其在气象业务中的应用作了分析研究, 提出了远程用户登录气象业务网络, 获取内部资源的解决方案, 提高了工作效率, 也提升了气象服务的质量和水平。

关键词：SSL-VPN,气象,网络

参考文献

[1]王达.虚拟专用网 (VPN) 精解[M].北京:清华大学出版社, 2004.

[2][美]Ivan Pepelnjak, Jim Guichard, Jeff Apcar.卢MPLS和VPN体系结构[M].2卷, 卢泽新, 朱培栋, 齐宁, 译.北京:人民邮电出版社, 2004.

SSL技术 第8篇

随着Internet技术、网络技术、信息技术、无线技术的迅猛发展,网络已经成为人们管理、信息获取的重要手段,但其安全隐患也越来越严重,尤其是无线通信是在自由空间中进行传输,而不是像有线网络那样是在一定的物理线缆上进行传输,因此无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取,极易受到攻击。

本文主要针对无线局域网的安全缺陷,重点介绍了基于SSL VPN技术构建安全无线局域网的应用。

1无线局域网简介

无线局域网(Wireless Local Area Network,WLAN),指应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。

无线局域网是20世纪90年代计算机网络与无线通信技术相结合的产物,它使用无线信道来接入网络,为通信的移动化、个人化和多媒体应用提供了潜在的手段,并成为宽带无线接入的有效途径之一。

WLAN的出现,弥补了有线网络的不足,是对有线连网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速、方便地解决有线方式不易实现的网络联通问题。

相对有线局域网来说,无线局域网主要特点(见表1)。

2无线局域网安全现状与隐患

随着移动技术的不断进步,无线网络越来越受到青睐,已经广泛应用于服务、企业等行业,其安全性也进一步受到关注。

2.1无线局域网安全现状

目前无线局域网络产品主要采用的是IEEE 802.11b国际标准,大多应用DSSS(Direct Sequence Spread Spectrum)通信技术进行数据传输,该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。802.11b标准的基本安全机制包括服务集标识符(SSID)、物理地址(MAC)过滤和有效对等保密(WEP)机制。如表2所示。

为了保证通信安全,提高安全性,无线局域网中还采用了认证、加密、物理隔离等等安全技术,如802.1X认证机制、802.11i、我国的WAPI(WLAN Authentication and Privacy Infrastructure)等。

2.2无线局域网安全隐患

一般来讲,网络安全包括数据完整性(通过数据校验实现)、数据安全性(通过数据加密实现)、数据来源的可靠性(通过用户身份认证实现)等问题,主要的安全隐患有:

(1)在802.11协议中提供的开放系统认证,允许任何用户接入到无线网络中来,并没有提供数据方面的保护。

(2)利用SSID可以限制用户的任意漫游,实现用户群分组,起到了一定的安全作用,但是AP会定期广播,容易获取;另外,如果支持any方式,只要处于AP的工作范围,就会自动与AP连接,非法用户就加入到了合法用户群中。

(3)M A C地址过滤的方式是通过允许或禁止列表中的M A C地址来保证其安全性,但用户如果更换网卡或者伪造M A C地址则无法识别。

(4)Wep加密机制采用RC4加密算法(加密解密密钥同)和ICV校验,但密钥长度只有40位,且没有密钥的管理、更新和分发机制,配置不方便,容易遭受攻击且没有办法应对。

3 SSL VPN

3.1 VPN简介

虚拟专用网络(Virtual Private Network,VPN)利用Internet或其他网络为用户提供隧道通信方式。VPN分为PPTP、L2TP和IPSec几种方式,具有与专用网络类似的安全性能。在具体VPN应用中,用户首先需要登录到一个VPN服务器,随后用户所传输的数据帧就会在进行加密之后作为数据部分封装到新的传输帧中,再在网络上进行传输。

VPN应用了安全隧道、密钥管理、用户身份认证、访问控制等技术,安全可靠,广泛应用于有线网络中。

VPN主要采用IPSec或SSL隧道技术来保障数据传输的安全。

3.2 SSL简介

安全套接字层(Secure Socket Layer,SSL)协议为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。

SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:

(1)SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。

(2)SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务主要有:

(3)认证用户和服务器,确保数据发送到正确的客户机和服务器;

(4)加密数据以防止数据中途被窃取;

(5)维护数据的完整性,确保数据在传输过程中不被改变。

3.3 SSL VPN

SSL VPN是采用SSL协议来实现远程接入的一种新型V P N技术。

须满足的基本条件是:

(1)使用SSL协议实现认证和加密;

(2)直接使用浏览器完成操作,不需要安装独立的客户端。

3.4 SSL VPN相对IPSec VPN的优势

IPSec VPN是基于网络层工作的,能提供强有力的安全保障,支持几乎所有的加密算法。SSL VPN是针对通信提出的,两者各具特色,具体比较如表3所示。

4 SSL VPN技术在无线局域网中的应用

目前已广泛应用于局域网络及远程接入等领域的V P N安全技术也可用于无线局域网。与IEEE 802.11b标准所采用的安全技术不同,VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户,英特尔建议用户建网时,将现有的VPN安全技术与IEEE 802.11b安全技术结合起来,这是目前较为理想的无线局域网络的安全解决方案。

SSL VPN可以在两台计算机间提供安全通道,能保护数据传输并识别通信计算机,以免在WLAN中信息被截取、篡改后重新发送给目标主机。其在无线局域网中的应用如图1所示。

在无线局域网中,安全问题显得更加突出,应用SSL VPN需要解决的安全问题及策略包括:

(1)客户端认证。即通信双方能够确认对方是正确的通信者,可在SSL VPN服务器中设置访问控制策略的服务器,专门负责对客户端进行认证,不同的客户端选择不同的策略。

(2)保密性。即传输的数据需要加密,但由于在通信过程中需要加密解密,这会耗费大量的资源而影响传输性能,因此要考虑加密算法的复杂程度。同时还要考虑密钥的传输和管理。

(3)消息完整性。即能够保证传输的数据没有被篡改,这可以采用设置访问控制策略的方式解决,给不同的用户设置不同的权限,只有拥有权限的用户才能访问相应的资源。

(4)服务器性能。几乎所有的通信和IP地址分配等工作都需要SSL VPN服务器来完成,因此服务器的性能必须要高。

5结束语

SSL VPN技术在无线局域网中的应用已经非常流行,尤其是针对数据保密性非常强的应用。为了满足不同应用的需求,根据IPSec VPN和SSL VPN各自的优点,很多企业都是将两者结合起来使用,使网络更安全有效。

摘要：随着无线技术的发展和网络的广泛应用,无线局域网的角色显得越来越重要。本文在分析了无线局域网特点的基础上,提出无线局域网所面临的安全威胁,然后针对无线局域网的安全技术做了深入研究。

关键词：SSL,VPN,WLAN,安全

参考文献

[1]李园,王燕鸿,张钺伟.无线网络安全性威胁及应对措施[J].现代电子技术.2007.

[2]赵伟艇.无线局域网的加密和访问控制安全性分析[J].微计算机信息.2007.

SSL技术 第9篇

〔关键词〕电子资源；远程访问；开源软件；SSL VPN；ssl-exploer

〔中图分类号〕G250.72；TP393.2 〔文献标识码〕B 〔文章编号〕1008-0821(2009)04-0160-04

Remote Access to Library Based on SSL VPN Using Open Source SoftwareXu Xin

(Library，Chongqing Jiaotong University，Chongqing 400074，China)

〔Abstract〕The paper analyzed the principle of SSL protocol and its advantage of security，low cost，easy configuration，which constructs on VPN.Meanwhile，it suggested a project of remote access to library which was based on the open source software，ssl-exploer.And it also discussed the specific ways of realization and characters.

〔Key words〕digital resource；remote access；open source software；ssl vpnssl-exploer

远程访问图书馆，又叫校外访问，是指突破IP地址的物理限制，可以在任何能上网的地方使用图书馆电子资源[1]。由于受知识产权保护、商业利益、访问速度、图书馆局域网安全性等各方面因素影响，对于图书馆购买的电子资源，无论是电子资源开发商还是购买了电子资源的高校图书馆，都不希望就此成为免费的公众资源。因此，大多数电子资源都是通过IP地址来控制访问的，合法用户通常被限制在校园网IP地址范围内使用。这样造成了本校师生在校外无法使用图书馆电子资源的现象，不仅损害了图书馆合法用户的利益，也影响了图书馆电子资源的利用率。针对这种情况，一些高校图书馆先后采取了诸如拨号上网、反向代理、VPN等各种不同的技术解决方案为本校合法用户提供校外远程访问服务[2]。

从技术上讲，VPN(虚拟专用网)是目前解决远程访问的最好选择，因为它能利用公共网络将处于不同区域的多个局域网虚拟成一个局域网，并且能提供非常好的安全保障。但是采用传统的基于IP层安全协议(IPSec)实现的VPN方案存在成本高、配置复杂等一些缺陷，相比之下，基于安全套接层协议(SSL)的SSL VPN方案能克服IPSec VPN的不足，同时具有安全接入控制、维护管理方便的特点。但是目前市场SSL VPN产品成熟度不高，标准混乱，本文从开源软件研究入手，提出一个利用免费开源软件构建SSL VPN的图书馆电子资源访问方案。以期对图书馆远程访问的具体实施起到参考作用。

1 SSL VPN技术概述

1.1 传统IPSec VPN的缺点

VPN(virtual private network)是在公共通信网络中建立一条虚拟的专用通道，利用公共通信网络来传输内部网络数据的虚拟专用网络。IPSec协议族是基于IP网络层上，为保护IP通信安全而设计的一系列协议。通过IPSec协议族提供的隧道、加密和认证等安全服务而在公共网络上构造的虚拟专用网就叫做IPSec VPN，它能为两个网络之间数据传输提供安全性，是一个LAN to LAN的解决方案[3]。但是对校外访问图书馆电子资源的应用而言，只是需要将若干分散的单个远程用户简单方便、临时地接入校园网络，而不是把两个网络固定连在一起。因此，在这种场合下，IPSec VPN方案显然不太适用，况且安装、升级以及配置IPSec VPN客户端软件对普通用户来说也是个较困难的问题，同时这种方案在穿越防火墙、配置路由器端口上也是非常麻烦的，需要对网络配置进行修改调整，存在一定的安全隐患。

1.2 SSL协议及其安全性

近来基于SSL协议的SSL VPN技术崭露头角，SSL VPN技术实现的远程访问方案能实现安全接入，而且配置和管理方便、能穿透防火墙，建设成本比目前的IPSec VPN要低许多。

SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接协议层”，它是网景(Netscape)公司提出的基于Web应用的安全协议。SSL协议指定了一种在应用程序协议(如HTTPS、Telnet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证[4]。

SSL协议主要由握手层协议和记录层协议构成，它与TCP/IP协议间的关系如图1所示[5]。

由图1可见，SSL其实在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，从而达到数据安全并且透明传输的效果。透明性使得几乎所有的基于TCP的协议稍加改动就可以在SSL上运行。

1.3 SSL VPN实现方式

SSL VPN一般的实现方式是在内部网的防火墙后面，放置一个SSL网关服务器，如果远程用户希望安全地连接到内部网，用户只需在浏览器地址栏上输入SSL网关服务器的地址，访问请求将被SSL网关服务器取得并验证该用户的身份，通过身份验证后SSL网关服务器将根据远程用户的配置权限，提供相应的内部网络资源的访问能力。

目前SSL VPN的主要实现技术有Web代理、应用转换、SSL隧道等[6]。

(1)Web代理(Proxy)：SSL VPN网关将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器，然后将服务器的响应回传给远程用户。

(2)应用转换(Application Translation)：对于非Web页面的文件访问，往往借助于应用转换。SSL VPN网关与内部网的应用服务器通信，将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端。

(3)SSL隧道(SSL Tunnel)：它也需要在远程用户机器上运行一个小的Java或ActiveX程序，根据网络层信息(如目的IP地址和端口号)进行安全加密的接入控制。

从以上分析可以看出，基于SSL协议实现的SSL VPN能够满足TCP协议网络应用，包括传统的C/S模式应用和目前盛行的B/S模式应用，同时具备了安全加密传输的特点。更重要的是SSL协议已经被浏览器软件内置支持，客户端无需安装设置，使用简单便捷，这是SSL VPN相对于Ipsec VPN的最大优势。

2 基于开源软件实现SSL VPN方式的图书馆远程访问方案

2.1 方案设计思路

目前SSL VPN产品在VPN市场上比较热门，种类较多，产品性能各有不同。但同时我们也看到，SSL VPN市场标准尚未统一，良莠不齐，产品普遍价格较高，这些都给用户的SSL VPN设备选购带来了不小的困难。

对图书馆电子资源远程解决方案而言，Web方式访问的电子资源虽然占多数，但目前也有少量C/S方式的数据资源，同时图书馆也要求解决方案满足低成本，配置简单，扩展性好，管理方便的特点。通过分析比较，结合图书馆的实际需求，我们选用一款免费的功能强大的开源软件“ssl-explorer”来实现SSL VPN方式的图书馆远程资源访问，可大大节省网络建设成本，设置及维护也很简单。

2.2 ssl-explorer的特点

ssl-explorer是Internet上第一个开源的SSL VPN软件，由3SP公司开发维护，分为2个版本：一个是免费的Community Edition(社区版)，另一个是需要付费的Enterprise Edition(企业版)。企业版的功能比社区版多，但是对图书馆电子资源远程访问需求而言，免费的社区版的功能已足够满足要求。

ssl-explorer是用JAVA语言开发的，能运行在各种操作系统平台上。在对远程用户的鉴权认证方式上，既可以采用本地数据库方式，也能与第三方鉴权方式相配合(如RADIUS，AD，LDAP)[7]。

在SSL VPN技术实现方式上，ssl-explorer软件支持上文提及的Web代理、应用转换、SSL隧道，其中Web代理又分为四种模式“Tunneled Web”(隧道Web)、“Replacement Proxy”(替换代理)、“Path-Based Reverse Proxy”(基于路径的反向代理)、“Host-Based Reverse Proxy”(基于主机的反向代理)。

“Tunneled Web”是ssl explorer默认推荐模式，使用较简单，这种方式的工作原理如图2所示。

SSL VPN网关服务器是位于内部网内，它通过与因特网相连为远程用户提供SSL接入服务。远程用户使用Web浏览器访问SSL VPN网关服务器，服务器启用HTTPS协议首先对用户的身份进行验证，通过了身份验证，用户Web浏览器自动从SSL VPN网关服务器下载一个代理Agent程序(Java applet)，然后获得一个该用户权限所能访问的内部网络资源列表。当用户发出对某个内部资源主机的Web访问请求时，该请求不会直接发给拥有该资源的目标主机，而是被Agent截获，将数据加密用HTTPS协议先发给SSL VPN服务器，SSL VPN服务器收到加密数据后，通过代理方式向目标主机发出请求，并接收来自目标主机资源的数据，然后使用SSL加密数据，最后通过HTTPS协议回发给远程用户[6]。

Web代理方式中另外3种方式，与上面过程类似，只是不需要下载Agent程序。不管使用那种代理模式，远程用户客户端都只需使用Web浏览器，就能够安全接入到SSL VPN网关服务器，通过网关服务器提供的SSL VPN服务，像内部网络用户一样方便地享用网络资源。

2.3 系统的安装与本地部署

整个方案的连接示意图如图3。

在校园网的防火墙之后部署1台电脑安装和配置ssl-explorer软件作为SSL VPN网关服务器，即可实现图书馆电子资源远程访问。

安装和配置ssl-explorer的主要步骤如下：

2.3.1 下载编译ssl-explorer软件

本文选择windows xp系统安装ssl-explorer。从“http：∥3sp.com/showSslExplorer.do”下载免费版“ssl-explorer for windows”软件源码，然后再安装JDK1.5(或以上版本)和Apache ANT 1.6.0(或以上版本)2个软件保证必要的编译和运行环境，按照ssl-explorer的编译配置帮助，利用ANT编译安装即可。

ssl-explorer安装过程中需要注意以下几个地方：

①SSL证书设置：可以选择自建证书，提高系统安全性。

②鉴权方式：选择本地数据库最简单，不需要其他专门的数据库软件支持。

③选择管理员用户名和密码：后面的参数配置都要由管理员登录来完成。

2.3.2 ssl-explorer系统参数配置

软件安装完成后，在本机上用浏览器访问“https：∥localhost”，出现一个登录界面，输入管理员用户名和密码即进入系统管理页面，系统参数设置都在这个页面进行。在系统管理页面需要注意的是“Resources”(资源)的访问方式的参数设置，共有4种方式：

①“Web Forwards”，适用于Web应用。

②“SSL Tunnels”适用于基于TCP协议的C/S应用程序，类似于IPSec隧道实现技术。

③“Network Places”用于远程用户访问内部网的文件服务器(如FTP)。

④“Applications”用于网关服务器发布，由客户端下载运行的在线应用扩展程序。

一般选择“Web Forwards”即可。

2.3.3 访问控制管理

在系统管理页面的“Access Control”中可以设置远程用户组别、用户账号和初始密码、访问权限及策略、远程IP限制等参数。

2.3.4 防火墙的参数设置

不需要对现有的防火墙或网络设备做什么变动，只需要防火墙开启了443端口，以便远程用户机器能够通过HTTPS协议访问ssl-explorer网关服务器。

2.4 软件的优化与改进

原始的ssl-explorer软件无论从界面和功能设置上都不太适合中文用户的使用习惯，因此需要对软件做一些修改和完善。

2.4.1 汉化界面

ssl-explorer应用的主要障碍是界面汉化的问题，ssl-explorer是由ssl-explorer的服务器端代码和客户端agent代码两部分组成，汉化界面主要集中在服务器端，在Ant环境下对各模块界面和文字和图片进行替换即可。

2.4.2 客户端agent的修改和编译

客户端agent其实是一个java applet程序，它会自动从SSL VPN网关服务器下载运行，不需要远程用户安装和配置。这个applet软件的界面很简单，汉化较容易，需要改进的是增加对远程用户的提示帮助功能。另外客户端的java applet需要突破java本身固有的安全限制，它的编译和安装方式与服务端有所不同，主要步骤如下：

①利用jdkbin目录下的keytool创建RSA密钥：

keytool-genkey-keystore[storename.store]-alias[aliasname]

keytool-genkey-alias[aliasname]-keyalg RSA

(注：[aliasname]代表密钥的名称)

②安装自己的测试证书：

keytool-export-keystore[storename.store]-alias[aliasname]-file[certificate.cer]

keytool-export-alias[aliasname]-file[certificate.cer]

(注：[certificate.cer]代表证书的名称，一般证书都以.cer为后缀名)

③生成Applet使用的jar文件(将编译后的class文件打包成jar)：

jar cvf[jarname.jar][classfilename.class]

④用RSA密钥签名Applet：

jarsigner-keystore[storename.store][jarname.jar][aliasname]

jarsigner[jarname.jar][aliasname]

至此获得的这个Applet就是能SSL VPN的客户端agent程序。

2.5 ssl-explorer方案的优势

采用开源软件ssl-explorer来实现SSL VPN方式的远程访问方案，主要有以下优势：

(1)“零安装”的客户端：不需要对客户端做任何安装配置，客户端自动下载运行的Agent是Java Applet程序，完全兼容目前流行的各种web浏览器，对客户端操作系统类型也没有限制，具有广泛的适用范围。

(2)网络部署灵活方便：使用建立在SSL基础之上的HTTPS协议进行通讯，由于目前几乎所有的防火墙和网络设备都支持HTTPS协议，因此，不需要对设备或网络设备做任何改变就能方便地实施。

(3)安全性高：远程客户端对图书馆内部网络的所有访问都通过SSL VPN服务器代理完成，即客户机与图书馆内部网络间没有直接的网络连接，所以黑客和病毒无法对图书馆内部网络进行破坏，加强对SSL VPN服务器的网络安全防范措施即可提高对黑客和病毒的入侵攻击。

(4)开源代码免费，且功能可扩展：首先是开源软件的免费，降低了建设成本，其次是有完整的软件源代码，图书馆技术人员能够对软件功能进行修改、完善和个性化改造。

3 结 语

利用开源软件ssl-explorer实现的基于SSL VPN的图书馆电子资源远程访问方案具备安全性高、成本低、管理方便、易于扩展等优点，有很好的推广价值。该软件的功能相当丰富，本文只是重点分析了针对B/S模式的实现方式，其他比如“SSL Tunnel”实现C/S模式远程访问、“Network Places”实现文件服务器访问等等，限于篇幅都没有深入探讨。由于ssl-explorer的最新源码可以从Internet自由下载，在具备源代码的条件下，该软件的功能扩充和完善工作并不是一件困难的事情。从长远建设来看，要对开源软件的功能进行扩展优化或个性化改造，图书馆需要配备一定水平的技术人员，其实这也是图书馆数字化建设的必然要求和发展趋势。

参考文献

[1]夏志方.远程访问图书馆电子述[J].图书情报工作，2006，(3)：123-126.

[2]叶新明，陈光锋.校外访问代理软件的分析与比资源技术综较[J].现代图书情报技术，2006，(1)：83-85.

[3]海滨，唐全.VPN技术及其安全优势的分析[J].电气电子教学学报，2003，(6)：46-49.

[4]张学杰，李大兴.SSL技术在构建VPN中的应用[J].计算机应用，2006，(8)：1827-1830.

[5]朱伟珠.基于SSL协议的数字图书馆资源远程访问[J].图书馆建设，2007，(5)：41-43.

[6]郭铃，李伟生.SSL VPN的设计与实现[J].计算机技术与发展，2007，(8)：148-150.

SSL技术 第10篇

这是一个网络时代, 老师们都迫切的需要任何情况下访问校园网资源, 如何及时将各种资源提供给正在使用各种终端 (微软WINDOWS、谷歌ANDROID、苹果OSX/ISO、开源LINUX) 的老师们, 这是本文要解决的问题。

虚拟专用网络 (Virtual Private Network, 简称VPN) 指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网, 主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是架构在公用网络服务商所提供的网络平台之上的逻辑网络, 用户数据在逻辑链路中传输。随着各种机构, 特别是学校和企业对数据、安全的需求, VPN技术带来了灵活, 安全的数据访问方案。本文以莱芜职业技术学院VPN系统为例与读者共同探讨。

二、PFSENSE简介

PFSENSE是一个自由、开源基于FreeBSD的防火墙和路由平台。它自成立以来有超过100万下载, 在无数的公司、大学和其他组织应用。PFSENSE作为一个防火墙, 支持根据IP地址、源地址、目的地址、源端口、目标端口等进行过滤。例如, 如果我们使用源地址过滤, 并设置对内部网络的子网IP地址进行监视, 那么源自此地址的通信或请求将根据防火墙规则进行分析。如果我们使用目标过滤, 那么防火墙将监视数据通信将要到达的IP地址。如果目标地址位于防火墙规则中, 防火墙就会实施恰当的行动。PFSENSE使用IPSec、OpenVPN、PPTP支持虚拟专用网络 (VPN) 。

三、OPENVPN的优势

OpenVPN是Linux下开源VPN的先锋, 提供了良好的性能和友好的用户GUI。该软件最早由James Yonan编写。OpenVPN允许参与建立VPN的单点使用预设的私钥, 第三方证书, 或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库, 以及SSLv3/TLSv1协议。

OpenVPN能在Linux、xBSD、Mac OS X、IOS、AN-DROID与Windows 2000/XP上运行。它并不是一个基于Web的VPN软件, 也不与IPsec及其他VPN软件包兼容。

我们所看重的就是OPENVPN的多平台支持, 特别是目前IOS、ANDROID等移动平台快速普及的情况下, OPENVPN的优势全面体现出来, 其客户端在各类平台上都能完美运行。

四、RADIUS支持

RADIUS是一种C/S结构的协议, 它的客户端最初就是NAS (Net Access Server) 服务器, 现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活, 可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议, 它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。

目前统一认证已经成为共识, VPN实施首先考虑的就是统一认证的问题, PFSENSE给我们提供了方便的RADIUS扩展支持, OPENVPN模块可以很方便的增加RADIUS认证, 方便接入现有统一认证系统。

五、建设方案

1、明确用户规模

莱芜职业技术学院目前有600余名教职工, 校园网运行了大量的数据平台, 建设VPN服务的目的就是要让所有教职工使用任何终端可以随时接入校园网, 建设、使用庞大的电子资源。

2、选择合适版本和配套软件

PFSENSE最近刚刚发布了最新2.0版本, 该版本无论系统还是各配套软件的运行上稳定性都非常好, 而且整套系统都是开源且免费的, 非常适合学校使用, 其最大用户负载仅由系统所安装的硬件所决定。

3、测试、培训、运营

首次使用开源软件在正式的运营中, 本着负责的态度, 需经过长时间的测试, 然后对使用这个系统的教师培训后再进行正式运营。

拓扑图

六、实施步骤

1、下载最新PFSENSE镜像文件, 该镜像文件已集成操作系统, 所以我们只需将其刻录成CD安装光盘即可;

2、准备一台单独的服务器或者你也可以用台式机, 如果你做了虚拟化那也没有问题, 将安装关盘内的系统按提示安装到相应物理或虚拟服务器中;

3、登录网页版的管理页面, 配置OPENVPN服务, 建议初次设置的用户使用“Wizards”模式配置, 可以减少很多配置过程中出错的可能。

4、配置完成后在“System:User Manager”里面添加用户。

5、在出口防火墙上针对OPENVPN的服务端口做一个端口映射, 所有用户访问防火墙该端口即可。

七、其他问题

1、该系统是英文版, 目前已可以对其进行汉化, 并可以实现对管理页面的修改;

2、可以实现LDAP或RADIUS服务器作为用户数据库, 这也是用PFSENSE最方便的地方之一;

3、可以实现在任何终端接入校园网, OPENVPN的兼容性确实非常强。

摘要：基于网络的数字化应用越来越多的渗透到我们工作生活中, 学校更是各类应用的先锋, 如何用开源软件解决教师远程接入校园网使用校园网的资源是本文主要讨论的问题。

关键词：PFSENSE,OPEN VPN,开源,职业院校

参考文献

[1]VPN技术在高校图书馆的应用曾巧红情报学报2005/03

[2]企业的IP VPN系统设计研究王奋乾电子设计工程2011/05

[3]VPN电子政务网构建的设计孔庆彦, 李军, 王革非, 王义和, 李莉哈尔滨商业大学学报 (自然科学版) 2010/06