万 开, 廖文军, 董昊聪
(上海通用识别技术研究所, 上海 201112)
主流网络代理安全性分析*
万 开, 廖文军, 董昊聪
(上海通用识别技术研究所, 上海 201112)
目前随着互联网的快速发展,从个人用户到企业、政府机构等通过网络代理连入互联网的方式非常普遍,一方面通过网络代理能够有效改善本地网络状况;另一方面也可解决目前IP地址资源有限的问题,同时也可对内部计算机进行一定的权限控制。首先介绍了目前几种主流的网络代理,然后结合各种网络代理实现原理在用户认证、代理服务等方面进行分析比较,最后研究了目前的代理在云计算安全中的作用。
网络安全 代理服务 网络安全 用户认证 云计算安全
近年来随着网络发展速度以指数级增长,内部网络通过网络代理访问互联网的方式越来越普遍。内部网络主机在采用网络代理的方式访问互联网时,整个内部网络只映射为一个IP地址,在节省IP开销和降低网络维护成本的同时,还可以过滤掉特定端口。此外通过设置IP地址过滤可以限制内部网络对于外部网络的访问权限,做到对内部计算机的权限控制。同时随着云计算的不断普及和推广,其数据与信息安全面临的问题也日益凸现,采用代理技术能在一定程度上解决云计算在数据安全方面的风险问题。目前,网络代理技术已在网络实际应用中发挥着非常重要的作用。
目前按照网络代理服务器的工作层次及其实现方式,可将网络代理主要分为:在线代理、HTTP代理、Socks代理和VPN代理。
1.1 在线代理
在线代理服务的功能主要就是代替网络用户去目标网站取得网络信息。一般情况下,采用网络浏览器直接访问目标网站获取网络信息,此时直接将Request请求发送给目标网站。但由于网络权限控制、网络屏蔽和网络过滤等因素,无法访问部分目标网站,有了在线代理服务,可以通过网络浏览器访问在线代理,浏览器不是直接到目标网站去取回页面而是向在线代理服务器发送Request请求,在线代理服务器再根据Request请求去目标网站取回页面并发送给浏览器。同时在线代理服务器一般都具有缓存功能,能够将新取得的数据保存在存储服务器上,这样就能显著提高浏览的速度和效率。
在线代理可以说是网络信息的中转站,在线代理服务器采用各种不同脚本和策略以绕过网络过滤和网络屏蔽,访问那些被封锁或连通性很差的网站,在线代理在用户使用方面操作非常简单,用户不需要对系统或浏览器进行任何设置,也不需要安装软件,只需要直接访问在线代理网站,并在在线代理网站中输入想要访问的网址,即可享受免费的在线代理服务。
1.2 HTTP代理
HTTP代理服务主要是基于HTTP协议,其与在线代理服务功能类似,在获得用户的Request请求后,根据请求去目标网站取回页面发送给浏览器。但不同的是,HTTP代理需要用户对浏览器进行设置才能使用,相对在线代理只需要输入访问网址的方式稍显复杂。
目前由于网络政策等原因在线代理网站数量非常有限,且经常被封禁,但是HTTP代理服务器的数量非常多,且部署简单,每天都有大量新的HTTP代理服务器出现。
1.3 SOCKS代理
SOCKS代理[2]服务主要是基于C/S架构运行的支持SOCK协议的软件服务,位于OSI模型的会话层,主要包括SOCKS服务器和SOCKS客户端两部分。SOCKS服务器在客户端与目标网络服务器之间传递数据,而客户端与目标网络服务器之间不存在直接连接的网络,有效提高了网络的安全性。
由于SOCKS代理与一般的应用层代理服务实现方式不同,应用层代理主要工作在OSI模型的应用层,其针对不同应用发出的代理请求会采取不同的处理方法,因此其灵活性非常有限。而SOCKS代理则提供了一种更加广义的代理服务,其对于具体应用是透明的。不管针对何种应用都能提供代理服务。
1.4 VPN代理
VPN代理主要指的是在VPN虚拟专网基础上衍生出来的提高网络访问速度和安全的技术。它利用VPN的特殊加密通讯协议,在位于非可信公用网络中的两个结点之间建立一条安全稳定的专用隧道。通常VPN是对企业机构内部网络的扩展,通过它可以帮助远程用户、公司、机构及同公司的内部网络建立可信的安全连接,从而保证数据的安全传输。
下面将逐一分析各类主流网络代理的工作原理[1],通过对用户认证、代理服务、数据传输等方面的测试与分析来了解其安全性。
2.1 在线代理安全性
在线代理服务的原理是在线代理服务器接收浏览器对于目标网站的浏览请求时,代理服务器开始在当前的服务器的缓存中寻找目标网站,找到目标网站后,代理服务器立即将目标网站的数据返回给用户的浏览器。如果当前服务器中没有目标网站的缓存,代理服务器则会自动读取目标网站,并将目标网站的网络信息提交给用户浏览器,同时将网络信息缓存以提供给下一次的浏览请求。
整个过程不存在数据加密处理,代理服务器只起到一个缓存与转发作用,因此是否使用在线代理访问网站在安全性上没有任何差异。
2.2 HTTP代理安全性
浏览器和HTTP代理服务器之间是通过HTTP代理协议进行通讯的。如果没有使用运行在自己电脑上的加密代理,而是直接在浏览器中设置了互联网的代理服务器地址,那么浏览器和代理服务器之间进行的通讯就会以明文方式发送到互联网。代理服务器常见的请求有GET、POST和CONNECT,下面以GET请求消息的数据抓包为例来分析其安全性。
如果通过代理服务器访问某个HTTP协议的网站网页,那么浏览器就会向HTTP代理服务器发送GET请求。比如通过代理服务器访问 http://www.microsoft.com/ ,那么浏览器就会向HTTP代理服务器发送数据:
GET http://www.microsoft.com/HTTP/1.1
……
之后代理服务器取得数据后把网页返回给浏览器:
HTTP/1.1 200 OK
……
……
与没有使用代理服务器的情况对比,如果没有使用代理服务器,那么访问 http://www.microsoft.com/ ,浏览器就会向www.microsoft.com这台服务器发送以下请求:
GET http://www.microsoft.com/ HTTP/1.1.1
……
服务器返回:
HTTP/1.1 200 OK
……
……
使用代理服务器后,GET请求和返回的格式基本没有变化,是否使用代理服务器在安全性上基本没有差异。
2.3 SOCKS安全性
SOCKS5是Socks协议[2]的第五版,相对于第四版增加了对身份验证、UDP和IPV6的支持。一般的代理协议(比如Http代理)都是工作在应用层,功能单一。而Socks代理协议旨在提供一种通用的代理服务,所以工作在应用层和传输层之间,只是传递传输层网络数据包(TCP/UDP),对于应用层的协议并不关心。
SOCKS5以典型的C/S模式运行,其服务可以分为身份认证和代理服务两大功能。每个功能又支持多种方法。
身份认证常用的方法是不需认证(No Authentication Required)和用户名/密码认证(Username/Password),多数应用软件都只支持这两种方法。
代理服务的模式有连接(Connect)、绑定(Bind)和UDP穿透(UDP Associate)。用户通过代理连接服务器的时候,是用的连接模式。例如通过代理服务器查看视频码流或实时聊天时用的是UDP穿透模式。
图1是SOCKS5中的UDP穿透示意图。客户端在与代理服务器进行数据传递前,首先要进行用户认证过程,该过程在与代理服务器的TCP连接时完成,完成用户认证后,客户端开始将数据发送到代理服务器,并由代理服务器来进行数据传送等操作,根据不同的需求,可以选择对传输的数据采用SSL进行动态加密,但它也存在严重缺陷,在认证过程中数据是明文传输的。因此SOCKS代理在数据加密传输方面已经有所考虑,但在认证方面存在较大不足。
图1 Socks5代理中UDP穿透流程
2.4 VPN安全性
我们通常认为VPN[3] 是在不安全的公用网中通信的,因此需要具有强大的安全功能来确保内部网络不受外来攻击,保证通过公用网络传输数据的安全性。VPN采用的安全技术主要有:防火墙技术、隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术等,通过这些技术来保证传输数据的安全性。
(1)用户认证技术
认证技术主要用于防止数据的伪造和被篡改,同时必须对内网的信息资源提供面向用户的访问控制,其基本前提条件是要实现用户身份的高强度认证。目前VPN的用户认证机制根据所面对的协议层分为链路层认证、网络层认证和应用层认证,链路层认证包括PPP认证机制和RADIUS认证机制,其中PPP认证机制在技术上相对较为成熟并被广泛使用;网络层认证包括SSL协议认证和IPSec协议认证;应用层认证主要有Kerberos协议认证,但是在此认证机制下需要维护一个完整的证书认证体系。
(2)加解密技术
VPN中使用的加解密技术是网络通信中较为成熟的技术。IPSec中可选的几种数据加密算法包括AES-128、AES-192、AES-256、MD5和SHA 1等。
(3)密钥管理技术
VPN中使用的密钥管理技术的主要任务是保证在公用网络中密钥的安全传递而不被窃取。目前密钥分发主要有两种方式:一是采用手工配置的方式;二是采用密钥交换协议来动态分发。手工配置方式只适用于简单网络。密钥交换协议采用了软件方式来动态生成密钥,适合于复杂网络,其密钥更新速度快,能够使VPN的安全性得到显著提高。
通过对VPN各项安全技术的介绍,我们不难发现VPN技术在安全性方面采用了非常完备的加密机制。虽然在安全性上还有继续改进的空间,比如设置更长的加密密钥、使用3DES代替DES、使用更多位数的密码等进一步提升VPN的安全性。然而与前述几种代理相比,VPN在安全性方面已有了很大突破。
目前,随着云计算[5]市场规模的快速扩大,云计算将逐渐成为互联网的核心,使用云计算服务的企业和机构,其数据与信息安全将严重依赖云计算服务所提供的保密和安全性。一旦掌握了云计算数据中心就控制了互联网信息,进而控制了互联网,这无疑给国家信息安全、企业安全和个人隐私不修改带来了前所未有的挑战。近年来发生的众多云计算安全事件更是给云计算的发展敲响了警钟。整个云计算产业链开始日益关注云计算的安全,国家将信息安全提升到国家安全的战略高度,云计算服务提供商纷纷研发相关技术保障自身云计算应用的安全,用户在选择云计算应用时也将安全性作为首要考虑因素。
云计算[6]面临的安全挑战主要有以下五类:身份假冒、共享风险、数据安全风险及隐私泄露、云计算平台业务连续性和不安全的接口。对于用户而言,数据的安全性和隐私保护是其最为关心的问题。数据安全方面的风险包括数据泄露、数据篡改和数据丢失,可能发生在数据传输、处理和存储的各个环节。
采用VPN技术能够较好地解决云计算在数据传输方面的风险问题。VPN技术会给云计算用户提供一个虚拟的企业内网地址和加密的网络通道,用户通过身份认证、授权等方式,利用这个虚拟地址访问云计算数据中心的实例,可防止网络传输数据被泄露。云计算提供商及用户可以设置灵活的访问控制策略,使用户如使用局域网一样使用云计算服务。
云计算环境中,IT系统的信任边界从静态转为动态,并且迁移到组织的控制范围之外。这种控制权的丢失,对已有的信任管理和控制模式形成了很大挑战。此外,虚拟化技术打破了硬件与软件之间的联系,把工作从单机的物理限制中解放了出来,而云计算则更进一步地使物理定位模糊化。用户与云端的数据交互,在网络传输中需要得到足够的加密保护;同时,对于同一物理主机上的不同虚拟机,通过采用VPN进行通信,也可以较好地实现数据隔离,保护用户隐私。
云计算环境下,VPN支持如点对点、点对多、多对多的应用模式。随着云计算应用的不断丰富,网络的流量逐步增大,除了保证足够的数据保密性,在有限的网络带宽资源下实现VPN,还能有一定的业务质量保证(QoS)。通过VPN与IAM技术相结合,云计算提供商可以设置灵活的访问控制策略,实现用户数据隔离和较高安全级的安全保护。
上述对目前主流的几种网络代理服务进行了概述,同时分析了其在网络访问中的安全性。通过分析比较,VPN代理在用户认证和数据加密传输方面都采取了相应有效的安全措施,较前几类代理有明显优势,适用于对个人隐私以及安全性有严格要求的情况下使用。同时随着云计算技术的快速发展,国家、企业与个人对信息安全的不断重视,云计算技术的安全性也至关重要,而目前VPN代理技术在解决云计算中的数据安全传输方面也起到了非常关键的作用。
[1] 孙伟平. 有关几种网络代理协议的探讨[J]. 微计算机信息, 2006,(12):167-169. SUN Wei-ping. Discussion on Several Network Agency Agreement [J].Micro Computer Information, 2006, (12):167-169.
[2] 余强. Socks代理协议分析[J]. 四川工业学院学报, 2004,23(1):34-36. YU Qiang. The Socks Proxy Protocol Analysis [J]. Journal of Sichuan Institute of Industry,2004,23(1):34-36.
[3] 丁琳娜, 张凤登. 虚拟专用网(VPN)及其隧道技术研究[J]. 电脑知识与技术, 2009,5(9):28-31. DING Lin-na, ZHANG Feng-deng. Virtual Private Network (VPN) and Research on Its Tunnel Technology Computer Knowledge and Technology[J], 2009, 5(9):28-31.
[4] Davis.R.Carlton.IPSec:VPN的安全实施[M].清华大学出版社,2002.
Davis Carlton.IPSec: VPN Security Implementation [M]. Tsinghua University Press, 2002.
[5] 中国电信网络安全实验室.云计算安全——技术与应用[M].电子工业出版社,2012. China Telecom Network Security Laboratory. Cloud Computing Security -- [M]. Technology and Application of Electronic Industry Press, 2012.
[6] 侯建,帅仁俊,侯文.基于云计算的海量数据存储模型[J].通信技术,2011,(05):163-165. HOU Jian, SHUAI Ren-jun, Hou Wen. Massive Data Storage Model based on Cloud Computing [J].Communications Technology, 2011, (05):163-165.
WAN Kai (1989- ), male, M.Sci., majoring in information security.
廖文军(1987—),男,硕士,主要研究方向为信息安全;
LIAO Wen-jun (1987- ), male, M.Sci., majoring in information security.
董昊聪(1988—),男,硕士,主要研究方向为信息安全。
DONG Hao-cong (1988- ), male, M.Sci., majoring in information security.
术语百科Technical Terms
大 数 据
大数据(Big Data)并不是一个新的概念,通常意义上,是指无法在可容忍的时间内用传统的数据分析方法对其进行感知、获取、管理、处理和服务的数据集合。大数据具有4个“V”的特征,即数据体量巨大(Volume)、数据类型繁多(Variety)、流动速度快(Velocity)、价值密度低(Value)。大数据分析的意义在于挖掘数据的价值。大数据的“4V”特征使得大数据分析成为一个科学问题,即大数据问题。大数据技术是指用以解决大数据问题的,包括集成、存储、处理、分析、评估、预测等方面在内的方法。大数据的分析具有两层涵义,其一是数据量巨大,这是存储的问题,其二是数据处理方法,这是计算的问题。现有的大数据技术形成了以存储、计算为核心的较为完整的生态系统。计算层面主要包括计算框架、分析工具和挖掘算法,具有代表性的有,Hadoop、Storm、Spark、Impala、Dremel、Mahout、Pig、Lucene等。存储层面以NoSQL数据库和分布式文件系统为主,具有代表性的有,HBase、Cassandra、Hive、GFS、HDFS等。目前,大数据技术可应用于广告推送、投资决策,以及比分、天气、彩票、股票的预测与分析。其中,精准广告推送是大数据技术的最广泛、最典型的商业应用。从发展趋势来看,大数据技术已经或正在向着医疗保健、金融证券、建筑设计、工业制造、机械自动化、科学研究、网络安全、人工智能等各行各业渗透。
Security Analysis of Mainstream Network Proxy
WAN Kai, LIAO Wen-jun, DONG Hao-cong
(Shanghai General Recognition Technology Institute, Shanghai 201112, China)
Nowadays, with rapid development of the internet, it is common for individual users, enterprises and government agencies to access the internet through network agent. On the one hand, the local network condition is effectively improved through network agent, on the other, the problem of limited IP address resource can also be solved, and meanwhile certain access control can be exerted on the internal computer. This paper firstly describes several current mainstream network agents, then combined with a variety of network proxy implementation, analyzes and does comparisons on some aspects like user authentication, proxy service, and finally discusses the role of agent in cloud computing security.
network security;proxy server;network security;user authentication;cloud-computing security
date:2014-09-17;Revised date:2015-01-09
TP393.08
A
1002-0802(2015)03-0357-05
万 开(1989—),男,硕士,主要研究方向为信息安全;
10.3969/j.issn.1002-0802.2015.03.021
2014-09-17;
2015-01-09