SSL VPN技術的應用與研究

摘 要：企業通過Internet允許員工、客戶以及合作伙伴訪問企業內部的資源已成為一種趨勢，但需要提供一種安全接入機制來保障網絡安全。本文分析了SSL VPN網絡安全技術的基本原理及其實際應用。

關鍵詞：SSL；網絡安全；應用

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1674-7712 （2013） 20-0000-01

一、引言

SSL VPN是解決遠程用戶訪問敏感公司數據最簡單最安全的解決技術。與復雜的IPSec VPN相比，SSL通過簡單易用的方法實現信息遠程連通。基于SSL協議的VPN遠程訪問方案的更加容易配置和管理，網絡配置成本比起目前主流的IPSec VPN還要低許多，所以許多企業已經開始轉而利用基于SSL加密協議的遠程訪問技術來實現VPN通信了。

二、SSL概述

SSL的英文全稱是“Secure Sockets Layer”，中文名為“安全套接層協議層”。SSL協議的優勢在于它是與應用層協議獨立無關的，高層的應用層協議（例如：HTTP，FTP，Telnet）能透明的建立于SSL協議之上。SSL協議在應用層協議通信之前就已經完成加密算法、通信密鑰的協商以及服務器認證工作。

三、SSL的工作原理

SSL協議建立在傳輸層和應用層之間，包括兩個子協議：SSL記錄協議和SSL握手協議，其中記錄協議在握手協議下端。

（一）SSL握手協議

在SSL協議傳送任何應用協議之前，都需要握手協議來協商安全參數。握手報文有三個字段.第一個字節指示報文的類型，接下來的三個字節指示以字節為單位的報文長度.后來緊接著報文的內容。

SSL握手協議有三個目的，第一是客戶端與服務器就一組用于保護數據的算法達成一致：第二是它們需要確立一組由那些算法所使用的加密密鑰；第三，握手還可以選擇對客戶端進行認證，SSL握手協議的主要過程有以下4個步驟：

（1）初始化邏輯連接，客戶方先發出ClientHello消息，服務器方也應返回一個ServerHello消息。這兩個消息用來協商雙方的安全能力，包括協議版本、隨機參數、會話ID、交換密鑰算法、對稱加密算法和壓縮算法等。

（2）服務器方應發送服務器證書（包含了服務器的公鑰等）和會話密鑰，如果服務器要求驗證客戶方，則要發送CertificateRequest消息。最后服務器方發送ServerHeIloDone消息，表示hello階段結束，服務器等待客戶方的響應。

（3）如果服務器要求驗證客戶方，則客戶方先發送Certificate消息，然后產生會話密鑰，并用服務器的公鑰加密，封裝在ClientKeyExchange消息中，如果客戶方發送了自己的證書，則再發送一個數字簽名CertificateVerify來對證書進行校驗。

（4）客戶方發送一個ChangeCipherSpec消息，通知服務器以后發送的消息將采用先前協商好的安全參數加密，最后再發送一個加密后的Finished消息。服務器在收到上述兩個消息后，也發送自己的ChangeCipherSpec消息和Finished消息。

至此，握手全部完成。雙方可以開始傳輸應用數據。

（二）SSL記錄協議

SSL記錄協議用于傳輸SSL握手層的控制數據以及基于SSL通道傳輸的應用數據。記錄協議在客戶機和服務器握手成功后使用，即客戶機和服務器鑒別對方和確定安全信息交換使用的算法后，進入SSL記錄協議，上層數據被分割成若干數據塊，還可以對原始數據進行壓縮，并產生一個消息認證代碼（MAC），然后將結果加密并傳輸。接收方接收數據并對其解密，校驗MAC，解壓并重新組合.把結果挺供給相應的應用程序協議。

四、SSL VPN的技術特點以及應用領域

下面從以下四個方面對SSL VPN的技術特點進行分析。

（1）客戶端軟件需求方面

SSL VPN通過標準網絡瀏覽器，用戶可以訪問幾類應用和資源。包括基于HTTP和HTTPS的應用和內部網。以及文件和文件系統，支持FTP和Windows網絡文件共享。目前大多數的操作系統，都可以支持標準的瀏覽器，因此SSL VPN的可移植性很好。

（2）與防火墻的兼容性

SSL VPN與防火墻兼容性好。SSL VPN對網絡設備透明，由于是在傳輸層之上進行安全處理，不存在穿越NAT等防火墻的問題，管理員只需開通防火墻的443端口即可滿足SSL VPN的訪問要求。

（3）訪問控制

SSL VPN能進行細粒度的訪問控制，對于SSL VPN，網絡資源被作為對象，而用戶的訪問權限也是基于對象的，用戶只能訪問經過明確授權的資源。訪問權限是自下而上的（逐個添加資源），而不是自上而下設置的（開放所有，然后逐個排除）。

（4）應用層的安全性

在應用層建立的通道可以防止病毒、蠕蟲等經由網絡層傳輸的威脅。另外，由于SSL VPN還可以起到代理服務器的作用，所有客戶端訪問都是由SSL VPN網關轉發，而不能直接訪問應用服務器，從而使服務器不易受到病毒、黑客等攻擊，減少安全威脅。

五、總結

盡管SSL VPN技術存在著不足，但是SSL VPN通過特殊的加密通訊協議，被認為是實現遠程安全訪問Web應用的最佳手段，能夠讓用戶隨時隨地甚至在移動中連入企業內網，將給企業帶來很高的利益和方便。但SSL VPN只對通信雙方的某個應用通道進行加密，而不對通信雙方主機之間的整個通道進行加密。因此要實現網絡到網絡的安全互聯，尤其是對安全要求極高的遠程系統建議采用1PSEC VPN技術或IPSEC VPN和SSL VPN混合接入方式。

參考文獻：

[1]Stallings W，著.楊明，胥光輝，齊望東，譯.密碼編碼學與網絡安全原理與實踐（第二版）[M].北京：電子工業出版社，2001.

[2]Brown s，著.董曉宇，魏鴻，馬潔，譯.構建虛擬專用網[M].北京：人民郵電出版社，2000.

[3]歐陽凱，周敬利，夏濤.基于虛擬服務的SSL VPN 研究[J].小型微型計算機，2006，27.

[4]賈永杰.VPN隧道協議比較與分析[J].空軍雷達學院學報，2003，6.

[作者簡介]劉洋（1979-），重慶人，四川交通職業技術學院，碩士，講師，主要從事信息安全方面的教學和研究。