主流網絡代理安全性分析*

萬 開， 廖文軍， 董昊聰

(上海通用識別技術研究所， 上海 201112)

主流網絡代理安全性分析*

萬 開， 廖文軍， 董昊聰

(上海通用識別技術研究所， 上海 201112)

目前隨著互聯網的快速發展，從個人用戶到企業、政府機構等通過網絡代理連入互聯網的方式非常普遍，一方面通過網絡代理能夠有效改善本地網絡狀況；另一方面也可解決目前IP地址資源有限的問題，同時也可對內部計算機進行一定的權限控制。首先介紹了目前幾種主流的網絡代理，然后結合各種網絡代理實現原理在用戶認證、代理服務等方面進行分析比較，最后研究了目前的代理在云計算安全中的作用。

網絡安全 代理服務 網絡安全 用戶認證 云計算安全

0 引 言

近年來隨著網絡發展速度以指數級增長，內部網絡通過網絡代理訪問互聯網的方式越來越普遍。內部網絡主機在采用網絡代理的方式訪問互聯網時，整個內部網絡只映射為一個IP地址，在節省IP開銷和降低網絡維護成本的同時，還可以過濾掉特定端口。此外通過設置IP地址過濾可以限制內部網絡對于外部網絡的訪問權限，做到對內部計算機的權限控制。同時隨著云計算的不斷普及和推廣，其數據與信息安全面臨的問題也日益凸現，采用代理技術能在一定程度上解決云計算在數據安全方面的風險問題。目前，網絡代理技術已在網絡實際應用中發揮著非常重要的作用。

1 主流網絡代理簡介

目前按照網絡代理服務器的工作層次及其實現方式，可將網絡代理主要分為：在線代理、HTTP代理、Socks代理和VPN代理。

1.1 在線代理

在線代理服務的功能主要就是代替網絡用戶去目標網站取得網絡信息。一般情況下，采用網絡瀏覽器直接訪問目標網站獲取網絡信息，此時直接將Request請求發送給目標網站。但由于網絡權限控制、網絡屏蔽和網絡過濾等因素，無法訪問部分目標網站，有了在線代理服務，可以通過網絡瀏覽器訪問在線代理，瀏覽器不是直接到目標網站去取回頁面而是向在線代理服務器發送Request請求，在線代理服務器再根據Request請求去目標網站取回頁面并發送給瀏覽器。同時在線代理服務器一般都具有緩存功能，能夠將新取得的數據保存在存儲服務器上，這樣就能顯著提高瀏覽的速度和效率。

在線代理可以說是網絡信息的中轉站，在線代理服務器采用各種不同腳本和策略以繞過網絡過濾和網絡屏蔽，訪問那些被封鎖或連通性很差的網站，在線代理在用戶使用方面操作非常簡單，用戶不需要對系統或瀏覽器進行任何設置，也不需要安裝軟件，只需要直接訪問在線代理網站，并在在線代理網站中輸入想要訪問的網址，即可享受免費的在線代理服務。

1.2 HTTP代理

HTTP代理服務主要是基于HTTP協議，其與在線代理服務功能類似，在獲得用戶的Request請求后，根據請求去目標網站取回頁面發送給瀏覽器。但不同的是，HTTP代理需要用戶對瀏覽器進行設置才能使用，相對在線代理只需要輸入訪問網址的方式稍顯復雜。

目前由于網絡政策等原因在線代理網站數量非常有限，且經常被封禁，但是HTTP代理服務器的數量非常多，且部署簡單，每天都有大量新的HTTP代理服務器出現。

1.3 SOCKS代理

SOCKS代理[2]服務主要是基于C/S架構運行的支持SOCK協議的軟件服務，位于OSI模型的會話層，主要包括SOCKS服務器和SOCKS客戶端兩部分。SOCKS服務器在客戶端與目標網絡服務器之間傳遞數據，而客戶端與目標網絡服務器之間不存在直接連接的網絡，有效提高了網絡的安全性。

由于SOCKS代理與一般的應用層代理服務實現方式不同，應用層代理主要工作在OSI模型的應用層，其針對不同應用發出的代理請求會采取不同的處理方法，因此其靈活性非常有限。而SOCKS代理則提供了一種更加廣義的代理服務，其對于具體應用是透明的。不管針對何種應用都能提供代理服務。

1.4 VPN代理

VPN代理主要指的是在VPN虛擬專網基礎上衍生出來的提高網絡訪問速度和安全的技術。它利用VPN的特殊加密通訊協議，在位于非可信公用網絡中的兩個結點之間建立一條安全穩定的專用隧道。通常VPN是對企業機構內部網絡的擴展，通過它可以幫助遠程用戶、公司、機構及同公司的內部網絡建立可信的安全連接，從而保證數據的安全傳輸。

2 主流網絡代理安全性分析

下面將逐一分析各類主流網絡代理的工作原理[1]，通過對用戶認證、代理服務、數據傳輸等方面的測試與分析來了解其安全性。

2.1 在線代理安全性

在線代理服務的原理是在線代理服務器接收瀏覽器對于目標網站的瀏覽請求時，代理服務器開始在當前的服務器的緩存中尋找目標網站，找到目標網站后，代理服務器立即將目標網站的數據返回給用戶的瀏覽器。如果當前服務器中沒有目標網站的緩存，代理服務器則會自動讀取目標網站，并將目標網站的網絡信息提交給用戶瀏覽器，同時將網絡信息緩存以提供給下一次的瀏覽請求。

整個過程不存在數據加密處理，代理服務器只起到一個緩存與轉發作用，因此是否使用在線代理訪問網站在安全性上沒有任何差異。

2.2 HTTP代理安全性

瀏覽器和HTTP代理服務器之間是通過HTTP代理協議進行通訊的。如果沒有使用運行在自己電腦上的加密代理，而是直接在瀏覽器中設置了互聯網的代理服務器地址，那么瀏覽器和代理服務器之間進行的通訊就會以明文方式發送到互聯網。代理服務器常見的請求有GET、POST和CONNECT，下面以GET請求消息的數據抓包為例來分析其安全性。

如果通過代理服務器訪問某個HTTP協議的網站網頁，那么瀏覽器就會向HTTP代理服務器發送GET請求。比如通過代理服務器訪問 http://www.microsoft.com/ ，那么瀏覽器就會向HTTP代理服務器發送數據：

GET http://www.microsoft.com/HTTP/1.1

……

之后代理服務器取得數據后把網頁返回給瀏覽器：

HTTP/1.1 200 OK

……

……

與沒有使用代理服務器的情況對比，如果沒有使用代理服務器，那么訪問 http://www.microsoft.com/ ，瀏覽器就會向www.microsoft.com這臺服務器發送以下請求：

GET http://www.microsoft.com/ HTTP/1.1.1

……

服務器返回：

HTTP/1.1 200 OK

……

……

使用代理服務器后，GET請求和返回的格式基本沒有變化，是否使用代理服務器在安全性上基本沒有差異。

2.3 SOCKS安全性

SOCKS5是Socks協議[2]的第五版，相對于第四版增加了對身份驗證、UDP和IPV6的支持。一般的代理協議(比如Http代理)都是工作在應用層，功能單一。而Socks代理協議旨在提供一種通用的代理服務，所以工作在應用層和傳輸層之間，只是傳遞傳輸層網絡數據包(TCP/UDP)，對于應用層的協議并不關心。

SOCKS5以典型的C/S模式運行，其服務可以分為身份認證和代理服務兩大功能。每個功能又支持多種方法。

身份認證常用的方法是不需認證(No Authentication Required)和用戶名/密碼認證(Username/Password)，多數應用軟件都只支持這兩種方法。

代理服務的模式有連接(Connect)、綁定(Bind)和UDP穿透(UDP Associate)。用戶通過代理連接服務器的時候，是用的連接模式。例如通過代理服務器查看視頻碼流或實時聊天時用的是UDP穿透模式。

圖1是SOCKS5中的UDP穿透示意圖?？蛻舳嗽谂c代理服務器進行數據傳遞前，首先要進行用戶認證過程，該過程在與代理服務器的TCP連接時完成，完成用戶認證后，客戶端開始將數據發送到代理服務器，并由代理服務器來進行數據傳送等操作，根據不同的需求，可以選擇對傳輸的數據采用SSL進行動態加密，但它也存在嚴重缺陷，在認證過程中數據是明文傳輸的。因此SOCKS代理在數據加密傳輸方面已經有所考慮，但在認證方面存在較大不足。

圖1 Socks5代理中UDP穿透流程

2.4 VPN安全性

我們通常認為VPN[3] 是在不安全的公用網中通信的，因此需要具有強大的安全功能來確保內部網絡不受外來攻擊，保證通過公用網絡傳輸數據的安全性。VPN采用的安全技術主要有：防火墻技術、隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術等，通過這些技術來保證傳輸數據的安全性。

(1)用戶認證技術

認證技術主要用于防止數據的偽造和被篡改，同時必須對內網的信息資源提供面向用戶的訪問控制，其基本前提條件是要實現用戶身份的高強度認證。目前VPN的用戶認證機制根據所面對的協議層分為鏈路層認證、網絡層認證和應用層認證，鏈路層認證包括PPP認證機制和RADIUS認證機制，其中PPP認證機制在技術上相對較為成熟并被廣泛使用；網絡層認證包括SSL協議認證和IPSec協議認證；應用層認證主要有Kerberos協議認證，但是在此認證機制下需要維護一個完整的證書認證體系。

(2)加解密技術

VPN中使用的加解密技術是網絡通信中較為成熟的技術。IPSec中可選的幾種數據加密算法包括AES-128、AES-192、AES-256、MD5和SHA 1等。

(3)密鑰管理技術

VPN中使用的密鑰管理技術的主要任務是保證在公用網絡中密鑰的安全傳遞而不被竊取。目前密鑰分發主要有兩種方式：一是采用手工配置的方式；二是采用密鑰交換協議來動態分發。手工配置方式只適用于簡單網絡。密鑰交換協議采用了軟件方式來動態生成密鑰，適合于復雜網絡，其密鑰更新速度快，能夠使VPN的安全性得到顯著提高。

通過對VPN各項安全技術的介紹，我們不難發現VPN技術在安全性方面采用了非常完備的加密機制。雖然在安全性上還有繼續改進的空間，比如設置更長的加密密鑰、使用3DES代替DES、使用更多位數的密碼等進一步提升VPN的安全性。然而與前述幾種代理相比，VPN在安全性方面已有了很大突破。

3 云計算安全與代理

目前,隨著云計算[5]市場規模的快速擴大,云計算將逐漸成為互聯網的核心,使用云計算服務的企業和機構,其數據與信息安全將嚴重依賴云計算服務所提供的保密和安全性。一旦掌握了云計算數據中心就控制了互聯網信息，進而控制了互聯網，這無疑給國家信息安全、企業安全和個人隱私不修改帶來了前所未有的挑戰。近年來發生的眾多云計算安全事件更是給云計算的發展敲響了警鐘。整個云計算產業鏈開始日益關注云計算的安全，國家將信息安全提升到國家安全的戰略高度，云計算服務提供商紛紛研發相關技術保障自身云計算應用的安全，用戶在選擇云計算應用時也將安全性作為首要考慮因素。

云計算[6]面臨的安全挑戰主要有以下五類：身份假冒、共享風險、數據安全風險及隱私泄露、云計算平臺業務連續性和不安全的接口。對于用戶而言，數據的安全性和隱私保護是其最為關心的問題。數據安全方面的風險包括數據泄露、數據篡改和數據丟失，可能發生在數據傳輸、處理和存儲的各個環節。

采用VPN技術能夠較好地解決云計算在數據傳輸方面的風險問題。VPN技術會給云計算用戶提供一個虛擬的企業內網地址和加密的網絡通道，用戶通過身份認證、授權等方式，利用這個虛擬地址訪問云計算數據中心的實例，可防止網絡傳輸數據被泄露。云計算提供商及用戶可以設置靈活的訪問控制策略，使用戶如使用局域網一樣使用云計算服務。

云計算環境中，IT系統的信任邊界從靜態轉為動態，并且遷移到組織的控制范圍之外。這種控制權的丟失，對已有的信任管理和控制模式形成了很大挑戰。此外，虛擬化技術打破了硬件與軟件之間的聯系，把工作從單機的物理限制中解放了出來，而云計算則更進一步地使物理定位模糊化。用戶與云端的數據交互，在網絡傳輸中需要得到足夠的加密保護；同時，對于同一物理主機上的不同虛擬機，通過采用VPN進行通信，也可以較好地實現數據隔離，保護用戶隱私。

云計算環境下，VPN支持如點對點、點對多、多對多的應用模式。隨著云計算應用的不斷豐富，網絡的流量逐步增大，除了保證足夠的數據保密性，在有限的網絡帶寬資源下實現VPN，還能有一定的業務質量保證(QoS)。通過VPN與IAM技術相結合，云計算提供商可以設置靈活的訪問控制策略，實現用戶數據隔離和較高安全級的安全保護。

4 結束語

上述對目前主流的幾種網絡代理服務進行了概述，同時分析了其在網絡訪問中的安全性。通過分析比較，VPN代理在用戶認證和數據加密傳輸方面都采取了相應有效的安全措施，較前幾類代理有明顯優勢，適用于對個人隱私以及安全性有嚴格要求的情況下使用。同時隨著云計算技術的快速發展，國家、企業與個人對信息安全的不斷重視，云計算技術的安全性也至關重要，而目前VPN代理技術在解決云計算中的數據安全傳輸方面也起到了非常關鍵的作用。

[1] 孫偉平. 有關幾種網絡代理協議的探討[J]. 微計算機信息, 2006,(12):167-169. SUN Wei-ping. Discussion on Several Network Agency Agreement [J].Micro Computer Information, 2006, (12):167-169.

[2] 余強. Socks代理協議分析[J]. 四川工業學院學報, 2004,23(1):34-36. YU Qiang. The Socks Proxy Protocol Analysis [J]. Journal of Sichuan Institute of Industry,2004,23(1):34-36.

[3] 丁琳娜, 張鳳登. 虛擬專用網(VPN)及其隧道技術研究[J]. 電腦知識與技術, 2009,5(9):28-31. DING Lin-na, ZHANG Feng-deng. Virtual Private Network (VPN) and Research on Its Tunnel Technology Computer Knowledge and Technology[J], 2009, 5(9):28-31.

[4] Davis.R.Carlton.IPSec:VPN的安全實施[M].清華大學出版社,2002.

Davis Carlton.IPSec: VPN Security Implementation [M]. Tsinghua University Press, 2002.

[5] 中國電信網絡安全實驗室.云計算安全——技術與應用[M].電子工業出版社,2012. China Telecom Network Security Laboratory. Cloud Computing Security -- [M]. Technology and Application of Electronic Industry Press, 2012.

[6] 侯建,帥仁俊,侯文.基于云計算的海量數據存儲模型[J].通信技術,2011,(05):163-165. HOU Jian, SHUAI Ren-jun, Hou Wen. Massive Data Storage Model based on Cloud Computing [J].Communications Technology, 2011, (05):163-165.

WAN Kai (1989- ), male, M.Sci., majoring in information security.

廖文軍(1987—)，男，碩士，主要研究方向為信息安全；

LIAO Wen-jun (1987- ), male, M.Sci., majoring in information security.

董昊聰(1988—)，男，碩士，主要研究方向為信息安全。

DONG Hao-cong (1988- ), male, M.Sci., majoring in information security.

術語百科Technical Terms

大 數 據

大數據(Big Data)并不是一個新的概念，通常意義上，是指無法在可容忍的時間內用傳統的數據分析方法對其進行感知、獲取、管理、處理和服務的數據集合。大數據具有4個“V”的特征，即數據體量巨大(Volume)、數據類型繁多(Variety)、流動速度快(Velocity)、價值密度低(Value)。大數據分析的意義在于挖掘數據的價值。大數據的“4V”特征使得大數據分析成為一個科學問題，即大數據問題。大數據技術是指用以解決大數據問題的，包括集成、存儲、處理、分析、評估、預測等方面在內的方法。大數據的分析具有兩層涵義，其一是數據量巨大，這是存儲的問題，其二是數據處理方法，這是計算的問題?，F有的大數據技術形成了以存儲、計算為核心的較為完整的生態系統。計算層面主要包括計算框架、分析工具和挖掘算法，具有代表性的有，Hadoop、Storm、Spark、Impala、Dremel、Mahout、Pig、Lucene等。存儲層面以NoSQL數據庫和分布式文件系統為主，具有代表性的有，HBase、Cassandra、Hive、GFS、HDFS等。目前，大數據技術可應用于廣告推送、投資決策，以及比分、天氣、彩票、股票的預測與分析。其中，精準廣告推送是大數據技術的最廣泛、最典型的商業應用。從發展趨勢來看，大數據技術已經或正在向著醫療保健、金融證券、建筑設計、工業制造、機械自動化、科學研究、網絡安全、人工智能等各行各業滲透。

Security Analysis of Mainstream Network Proxy

WAN Kai, LIAO Wen-jun, DONG Hao-cong

(Shanghai General Recognition Technology Institute, Shanghai 201112, China)

Nowadays, with rapid development of the internet, it is common for individual users, enterprises and government agencies to access the internet through network agent. On the one hand, the local network condition is effectively improved through network agent, on the other, the problem of limited IP address resource can also be solved, and meanwhile certain access control can be exerted on the internal computer. This paper firstly describes several current mainstream network agents, then combined with a variety of network proxy implementation, analyzes and does comparisons on some aspects like user authentication, proxy service, and finally discusses the role of agent in cloud computing security.

network security;proxy server;network security;user authentication;cloud-computing security

date:2014-09-17；Revised date：2015-01-09

TP393.08

A

1002-0802(2015)03-0357-05

萬 開(1989—)，男，碩士，主要研究方向為信息安全；

10.3969/j.issn.1002-0802.2015.03.021

2014-09-17；

2015-01-09