基于SSL VPN的江西省高速公路互聯(lián)網(wǎng)服務(wù)研究

陳釗正，何耀忠

(江西省高速公路聯(lián)網(wǎng)管理中心， 南昌 330003)

?

基于SSL VPN的江西省高速公路互聯(lián)網(wǎng)服務(wù)研究

陳釗正，何耀忠

(江西省高速公路聯(lián)網(wǎng)管理中心， 南昌 330003)

高速公路互聯(lián)網(wǎng)服務(wù)是當(dāng)前技術(shù)發(fā)展和用戶需求的重點發(fā)展方向，而互聯(lián)網(wǎng)進(jìn)入傳統(tǒng)行業(yè)的風(fēng)險也是目前需要重點探討和防范的主要問題。依托江西省高速公路信息化建設(shè)，針對高速公路互聯(lián)網(wǎng)服務(wù)的安全性進(jìn)行研究，提出將SSL+證書模式作為互聯(lián)網(wǎng)接入高速公路專網(wǎng)的安全保證。該模式不僅為互聯(lián)網(wǎng)服務(wù)提供準(zhǔn)入門檻和信息加密，同時還可保障系統(tǒng)的信息安全、用戶的身份確認(rèn)、各類信息的防篡改和防泄密。

高速公路；互聯(lián)網(wǎng)；服務(wù)；SSL；信息安全

目前，隨著全國14個省市ETC聯(lián)網(wǎng)，與全國高速公路聯(lián)網(wǎng)服務(wù)、聯(lián)網(wǎng)管理相關(guān)的各類需求愈加強烈，而“互聯(lián)網(wǎng)+”“物聯(lián)網(wǎng)”這類跨平臺、跨領(lǐng)域的技術(shù)融合和經(jīng)濟合作模式也得到進(jìn)一步的探索和研究[1]，將互聯(lián)網(wǎng)的平臺、技術(shù)和思維融入傳統(tǒng)高速公路運營和管理中也符合上述需求和發(fā)展。高速公路行業(yè)與其他行業(yè)一樣，在將業(yè)務(wù)開放到互聯(lián)網(wǎng)上時，必然涉及到數(shù)據(jù)、資金等方面的安全問題[2]。為此，本文基于高速公路安全方面的需求，研究了基于SSL VPN(基于安全套接層協(xié)議的遠(yuǎn)程安全訪問虛擬專網(wǎng)通道技術(shù))的江西省高速公路互聯(lián)網(wǎng)服務(wù)，并對高速公路互聯(lián)網(wǎng)服務(wù)進(jìn)行了相關(guān)探索和研究。

1 相關(guān)問題

高速公路聯(lián)網(wǎng)管理、服務(wù)是一個集信息查詢、信息反饋、服務(wù)和決策管理于一體的綜合管理服務(wù)平臺[3]。該平臺部署于Internet上，在享受互聯(lián)網(wǎng)自由開放的同時必然也面臨著其帶來的相關(guān)問題和風(fēng)險[4]。特別是涉及ETC相關(guān)服務(wù)時，該平臺作為龐大高速公路通行費的載體，是非法入侵、惡意行為的重點攻擊目標(biāo)[5]，所以必須針對相關(guān)問題進(jìn)行重點分析和研究。目前高速公路服務(wù)存在如下問題：

1) 身份認(rèn)證。由于非法用戶可以偽造、假冒業(yè)務(wù)用戶的身份，導(dǎo)致登錄到ETC云平臺應(yīng)用系統(tǒng)的用戶無法知道其所登錄的是不是可信的應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)也無法驗證登錄用戶是不是經(jīng)過認(rèn)證的合法用戶，而非法用戶可以借機進(jìn)行破壞?！坝脩裘?口令”的傳統(tǒng)認(rèn)證方式安全性較弱，用戶口令易被竊取而導(dǎo)致?lián)p失。

2) 信息的機密性。傳輸于客戶端與應(yīng)用系統(tǒng)服務(wù)器之間的敏感信息和交易數(shù)據(jù)，如用戶帳號、密碼等，有可能在傳輸過程中被非法用戶截取。

3) 信息的完整性。敏感信息和交易數(shù)據(jù)在傳輸過程中有可能被惡意篡改。

4) 信息的不可抵賴性。網(wǎng)上在線交易行為一旦被進(jìn)行交易的一方所否認(rèn)，則另一方就沒有已簽名的記錄來作為仲裁依據(jù)。

2 總體架構(gòu)

本文結(jié)合江西省高速公路服務(wù)的具體需求，提出了在江西省高速公路雙活數(shù)據(jù)中心的基礎(chǔ)上，采用基于SSL VPN的SSL安全通道和數(shù)字簽名作為系統(tǒng)的安全接入模式[6]，如圖1所示。在現(xiàn)有雙活數(shù)據(jù)中心的基礎(chǔ)上，構(gòu)建雙活數(shù)據(jù)中心DMZ區(qū)域，采用SSL VPN技術(shù)，對敏感數(shù)據(jù)、特別是ETC充值、查詢、寫卡業(yè)務(wù)流進(jìn)行數(shù)據(jù)加密和安全傳輸，并利用數(shù)字簽名實現(xiàn)交互過程的不可抵賴性、不可修改性，且兼顧實現(xiàn)相關(guān)服務(wù)的優(yōu)化和SSL卸載，提升總體處理性能。

圖1 基于SSL VPN的江西省高速公路雙活數(shù)據(jù)中心總體架構(gòu)示意

SSL VPN安全模式針對非關(guān)鍵業(yè)務(wù)，如網(wǎng)絡(luò)用戶注冊、接入、客戶端下載、服務(wù)認(rèn)證等，租用安全、可靠、成熟的商業(yè)云模式，并與DMZ區(qū)域之間采用專線連接。該安全模式規(guī)范非關(guān)鍵服務(wù)與高速公路DMZ區(qū)域之間的通信內(nèi)容、數(shù)據(jù)格式，將最易遭到攻擊的部分置于可靠性和安全性較好的商業(yè)互聯(lián)網(wǎng)區(qū)，并將高危、敏感數(shù)據(jù)及服務(wù)置于DMZ區(qū)域和生產(chǎn)區(qū)域，通過規(guī)范標(biāo)準(zhǔn)化的安全通道和操作才能讀取和修改相關(guān)數(shù)據(jù)和服務(wù)參數(shù)[7]。因此，該模式在物理上實現(xiàn)了數(shù)據(jù)和業(yè)務(wù)的最大分離，較大程度地保證了數(shù)據(jù)和服務(wù)的獨立性和安全性。

3 安全模式

SSL VPN安全模式構(gòu)建基于SSL VPN的CA(數(shù)字證書認(rèn)證機構(gòu)))認(rèn)證源，為用戶發(fā)放數(shù)字證書，提供證書管理(下載、更新、作廢等)服務(wù)。在傳統(tǒng)“用戶名+密碼”的基礎(chǔ)上，該模式構(gòu)建了基于數(shù)字證書的雙因子認(rèn)證，且結(jié)合客戶端業(yè)務(wù)和關(guān)鍵業(yè)務(wù)服務(wù)器，為用戶提供數(shù)字簽名服務(wù)[8]，具體步驟如下。

3.1 用戶申請證書

嚴(yán)格規(guī)范數(shù)字證書生成材料，將ETC用戶卡卡號、車牌號、行駛證號、手機硬件號、手機號作為CA證書申請材料，實現(xiàn)ETC與用戶、車輛的唯一性綁定。在完成唯一性判定后，交由CA認(rèn)證源進(jìn)行證書生成，并采用短信驗證碼再次確認(rèn)，實現(xiàn)對證書申請人的2次確認(rèn)并防止惡意申請。江西省高速公路用戶向SSL VPN發(fā)起用戶證書申請過程如圖2所示。從圖2可以看出，在證書申請過程中，需對申請信息進(jìn)行提交、獲取、驗證，然后生成證書，并將生成的證書下發(fā)給用戶等6個步驟。用戶證書格式見表1。

表1 用戶證書格式

圖2 用戶證書申請過程

3.2 安全通道建立與業(yè)務(wù)安全

當(dāng)互聯(lián)網(wǎng)服務(wù)發(fā)生數(shù)據(jù)交互時，系統(tǒng)自動觸發(fā)基于SSL VPN的安全模式，為數(shù)據(jù)交互提供認(rèn)證、數(shù)據(jù)加密功能。安全通道建立過程如圖3所示。從圖3可以看出，客戶端通過SSL VPN與DMZ區(qū)建立SSL安全通道，該通道僅用于數(shù)據(jù)查詢和非關(guān)鍵數(shù)據(jù)交互。

圖3 SSL安全通道建立示意

如圖4所示，當(dāng)ETC用戶發(fā)起充值與寫卡等關(guān)鍵性服務(wù)請求時，客戶端會通過SSL安全通道將服務(wù)請求信息進(jìn)行簽名后，發(fā)送給江西省高速公路互聯(lián)網(wǎng)服務(wù)端，互聯(lián)網(wǎng)服務(wù)端將充值扣款指令通過商業(yè)云服務(wù)發(fā)送給支付平臺以便對用戶賬戶實施扣款操作。在得到支付平臺成功扣款確認(rèn)后，互聯(lián)網(wǎng)服務(wù)端通過SSL安全通道向用戶客戶端提供寫卡服務(wù)并對服務(wù)信息進(jìn)行簽名。

圖4 ETC用戶卡寫卡過程

3.3 客戶端安全檢查

客戶端安全檢查從端點開始保障網(wǎng)絡(luò)安全。如圖5所示，用戶通過計算機瀏覽器或移動終端登錄業(yè)務(wù)界面時，SSL VPN會通過客戶端安全掃描功能檢查計算機系統(tǒng)是否打了補丁、是否安裝有相應(yīng)殺毒程序等，以確定客戶端是否符合安全策略，保證SSL VPN接入安全，從而可避免客戶端計算機的不安全因素通過SSL VPN傳輸?shù)絻?nèi)部網(wǎng)絡(luò)而產(chǎn)生安全隱患。

圖5 SSL VPN客戶端安全檢查保證接入安全

4 應(yīng)用案例

基于SSL VPN的安全模式可實現(xiàn)在線證書申請、認(rèn)證、安全通道建立、數(shù)字簽名等安全數(shù)據(jù)交互。SSL VPN與江西省高速公路互聯(lián)網(wǎng)服務(wù)進(jìn)行握手協(xié)議的數(shù)據(jù)包及交互過程如圖6所示，在SSL安全通道中的密文通信數(shù)據(jù)包如圖7所示。從圖7可以看出，網(wǎng)絡(luò)中可以獲取相關(guān)服務(wù)的數(shù)據(jù)流，但只能獲取密文，無法解析和破譯。由此可知，SSL VPN安全模式可為ETC互聯(lián)網(wǎng)服務(wù)提供安全的準(zhǔn)入和加密服務(wù)，其不僅為江西省高速公路互聯(lián)網(wǎng)服務(wù)提供了安全保障，而且還為我國高速公路系統(tǒng)網(wǎng)絡(luò)安全的探索和研究提供了示范點和前瞻性研究。

圖6 SSL VPN與江西省高速公路互聯(lián)網(wǎng)服務(wù)握手過程

圖7 相關(guān)服務(wù)密文流

5 結(jié)束語

基于SSL VPN的江西省高速公路ETC互聯(lián)網(wǎng)安全模式的實際應(yīng)用表明，將高速公路相關(guān)服務(wù)部署到互聯(lián)網(wǎng)上其安全性是可以得到保證的。同時，依托于商業(yè)云和負(fù)載均衡設(shè)備可以較好地實現(xiàn)傳統(tǒng)業(yè)務(wù)系統(tǒng)性能的有效拓展，保證系統(tǒng)的易用性。另外，本文在現(xiàn)有SSL VPN基礎(chǔ)上將建立一套專有的證書發(fā)行、管理體系并將其與交通運輸部公路科學(xué)研究院證書系統(tǒng)進(jìn)行對接，以構(gòu)建一套基于部-省2級的證書安全體系，進(jìn)一步拓展安全保障能力和性能，為高速公路出行提供更快、更好、更安全的互聯(lián)網(wǎng)服務(wù)。

[1] 王文博.基于VPN的交通觀測系統(tǒng)研究[D].西安：長安大學(xué)，2009.

[2] 謝耀華，付建勝，祖 暉.云計算技術(shù)及其在交通領(lǐng)域中的應(yīng)用[J].公路交通技術(shù)，2014(6)：231-232.

[3] 李曉春.高速公路電力自動化系統(tǒng)信息平臺的研究與應(yīng)用[J].公路交通技術(shù)，2008(11)：337-342.

[4] 周 洲，劉鴻偉，梅新明.淺析交通運輸行業(yè)的信息安全問題[J].公路交通科技，2012，S1(29)：17-20.

[5] 楊中岳，陳釗正，陳啟美.無線環(huán)境的OpenSSL辦公安全平臺實現(xiàn)[J].計算機工程與設(shè)計，2010，31(1)：22-29.

[6] 胡功宏，王小光，黃新民，等.基于行車穩(wěn)定性的高速公路自由流狀態(tài)下交通安全評價標(biāo)準(zhǔn)研究[J].公路交通技術(shù)，2007(4)：21-24.

[7] 王 春，王鳴宇，呂傲冰，等.基于iOS的交通事故預(yù)警系統(tǒng)設(shè)計與開發(fā)[J].公路交通技術(shù)，2015(1)：77-81.

[8] 雷榮富，唐 練.交通檢測多特征量數(shù)據(jù)融合研究[J].公路交通技術(shù)，2015(1)：91-95.

Study on SSL/VPN-based Internet Service on Highways in Jiangxi Province

CHEN Zhaozheng, HE Yaozhong

Highway Internet service is the key orientation of technology development and satisfying customer demand, yet the risk of Internet in conventional industries is the major concern at present. Based on IT in highways of Jiangxi Province, this paper studies security of highway Internet service, and suggests using SSL+ License mode as security guarantee of connecting Internet into Highway Network. This model will not only set an authorization and information encryption for Internet service, but also protect system information security, user identification, all information tamper proof and anti-alternation or release proof.

highway; Internet; service; SSL; information safety

10.13607/j.cnki.gljt.2016.05.027

2016-02-29

陳釗正(1983-)，男，江西省鄱陽縣人，博士，高工。

1009-6477(2016)05-0120-04

U412.36+6

A