對SSL VPN安全關鍵技術的運用

汪志勇

摘? ?要：文章基于對SSL VPN技術原理和作用路徑進行分析，探究了該項技術在當前應用和發展中存在的不足，并在此基礎上探究了該項技術在今后的完善與優化方式，讓該項技術能夠更為全面地發揮應有的安全保障作用。

關鍵詞：SSL;VPN;安全關鍵技術

1? ? SSL VPN技術的運行原理和流程

1.1? SSL? VPN技術的運行原理

由Netscape公司開發的一套Internet數據安全協議（Secure Sockets Layer，SSL）有兩層，具體內容如下：（1）SSL記錄協議。記錄協議記錄在互聯網系統中的傳輸協議上，當前應用的傳輸協議主要為傳輸控制協議（Transmission Control Protocol，TCP）等，記錄協議發揮的作用為向高層協議提供服務，服務內容為對數據進行打包、加密以及壓縮等，這些作用為整個網絡系統中的基本功能[1]。（2）SSL握手協議。該協議的位置在記錄協議之上，在正式的數據傳輸過程開始前，需要對該協議進行合理應用，在正式的數據傳輸工作開始前，該協議會開展身份認證、密鑰交換和加密算法協商工作。

Internet數據安全協議虛擬專用網絡（SSL Virtual Private Network，SSL VPN）本質上為一種安全連接技術，在互聯網技術的運行中，應用瀏覽器以及專業軟件能夠在系統中建立數據傳輸通道，一個完整的SSL VPN系統包含服務器、網關和客戶端，網關為SSL VPN系統的服務器，能夠提供各項服務。SSL VPN通過對密鑰以及加密算法的協調提供安全保護功能。

1.2? SSL? VPN技術的運行流程

SSL VPN技術在運行過程中，該系統的運行流程如下：（1）瀏覽器請求等待過程。SSL VPN系統在運行過程中，會同時監聽多個Web服務器的請求端口，當發現某個服務器發送請求時，則需要開展對數據的處理工作，同時，對服務器的加密算法以及密鑰進行分析[2]。（2）安全連接建立。該過程發生在Web服務器發出申請后，當SSL VPN服務器接收到連接請求后，會建成安全連接。（3）服務器地址轉換過程。在系統的運行中，SSL VPN服務器會監測客戶端的端口以及服務地址，在轉換完成后，會將相關數據轉換成服務器的地址，并在完成轉換過程后向對應的Web服務器發送請求信號，后續工作主要為等待Web服務器的響應。（4）響應數據轉換。在SSL VPN系統獲取了響應數據后，會對該數據進行進一步處理，通過應用建成的安全連接將處理后的數據傳輸到客戶端的瀏覽器上。

2? ? SSL VPN技術當前存在的問題和優化方法

SSL VPN技術當前也存在一定問題，需要對這些問題的引發因素進行分析，在此基礎上探究優化方法。

2.1? SSL? VPN技術當前存在的問題

在SSL VPN技術應用過程中，增加了服務器的負載，同時，在該項技術當前的應用中，系統的反應速度較低，SSL VPN技術在響應速度上無法滿足高效運行要求。這是因為在SSL VPN技術的應用中，需要建成加密通道。在加密過程中，會產生大量的字符，SSL VPN3.0中，產生的密鑰字符至少為1 024 bit，當密鑰長度增加時，密鑰的字節數也會大幅提升，SSL VPN系統運行涉及解密過程，該過程需要消耗大量的解密時間[3]。另外，在密鑰產生和生成的過程中，產生的這些密鑰都會存在于系統中，當產生的無效密鑰未能及時清除時，就會占用大量的存儲空間，為整個服務器帶來重大運行負擔。

2.2? SSL? VPN技術的優化方法

在SSL VPN技術的優化過程中，本文從兩個方向開展針對該項技術的優化工作，具體優化思路如下。

2.2.1? 加密算法優化

目前SSL VPN技術應用中，應用的加密算法為RSA算法，這種算法從原理上來看較為簡單，但存在運行效率較低以及會為服務器帶來重大負擔的問題，需要應用其余類型的加密算法。本文選用的加密算法為錯誤檢查和糾正（Error Correcting Code，ECC）算法，其原理和應用方式如下。

首先，ECC算法原理。ECC算法的數學原理為構建橢圓曲線上的有理點，將這些有理點構成一個集群，獲取的密碼位于橢圓曲線定義的有限域上，有限域表達的橢圓曲線定義為：

在該公式中，P的含義為奇素數，對于該公式中的X來說，所有的X值都不小于0且小于P，但是在該公式的應用中存在一個限制條件，即4A3+27B2≠0 mod P，在該公式的應用和運行過程中，最終能夠生成針對曲線上的（X，Y）點集合，并且在該算法的實際應用中，可以將這些有效點表示為EP（A，B），獲取的有效點中的X值和Y值都需要不大于P值。

其次，ECC算法應用方式。在ECC算法的具體應用中，系統中存在一個基點，定義為G，公開密鑰為K，私有密鑰為k，其中，k小于G的階數，在滿足這兩個條件的情況下，ECC算法的應用方式如下：（1）獲取G點。G點的獲取來源為EP（A，B）上的任意一點，并且在瀏覽器發出請求的基礎上完成對G點的選擇工作。（2）私有密鑰選擇。瀏覽器在該過程中會選擇私有密鑰，由于私有密鑰要與公有密鑰建成一一聯系的關系，所以在該算法的應用中，選擇原則可以為K=kG。（3）密鑰數據傳輸。該過程中傳輸的內容包括EP（A，B）、基點G和公開密鑰K，這些數據的傳輸流程為從服務器A傳輸到服務器B。（4）SSL VPN服務器在接收到數據傳輸請求后，對服務器中的數據進行編碼，并且將編碼后的數據映射到曲線有效點EP（A，B）上，最終獲得一個點陣M，從該點陣中獲取各類整數。（5）數據反向傳輸過程。該過程中的數據傳輸方向為從服務器B到服務器A，SSL VPN服務器在對數據處理后，將數據整合成C1和C2形式，其中，C1計算公式為C1=M+RK，C2=RG，傳輸的數據類型為服務器最終獲取的C1和C2。（6）客戶端解密過程。客戶端的解密過程為獲取經過SSL VPN數據處理的點陣M，從最終的計算結果上來看，M=C1-kC2，推導過程如下：

所以，在ECC算法的具體應用中，應用M的計算公式即可以在瀏覽器上完成解密工作。

2.2.2? 加密級別優化

SSL VPN技術在運行過程中，會產生不同長度的密鑰，本文應用這一特點對數據的加密級別進行處理，建成的最終加密等級為A～D級，其中，A級為最高加密等級，產生的密鑰長度最長，D級為最低加密等級，密鑰長度最短。

在系統的運行過程中，需要對加密等級進行調整，在該項工作的開展中，系統的操作步驟如下：（1）密級設定過程。該過程中會假設當前的安全登記為D—X—B—A，其中，X的安全密級高于D小于A。而當前信息傳輸中的數據處理密級為X，其中，X和Y不相等[4]。（2）數據傳輸過程。在本文的研究中，將X密級轉換為Y密級，在數據的傳輸過程中，將服務器B應用Y密級對數據進行處理，服務器A應用X密級進行解密，在解密完成后將數據傳遞到服務器B，當發現服務器B允許操作時，在后續的處理中前全面應用Y密級進行數據處理，當服務器B不允許操作時，后續的數據加密全部應用X密級進行處理。（3）解密過程。解密過程需要在客戶端A上完成，解密過程的X，Y密級確定方法和數據傳輸過程完全相反。

3? ? 優化后SSL VPN技術的安全保障能力

本文主要優化目的為SSL VPN系統的響應速度，具體的分析結果如下。

3.1? 安全性測試

在SSL VPN技術的當前形式中，實際上已經有很高的安全保障能力，所以本文的測試方式為對ECC算法和RSA算法在安全性方面的研究和分析。從技術原理上來看，雖然RSA算法能夠對服務器中的所有數據進行高強度加密，ECC算法為一種分級性的加密算法，但是對于整個加密系統來說，并不需要對所有的數據進行高強度加密設計。密鑰生成過程ECC算法耗時3.76 ms，RSA算法耗時4.608 ms。兩種算法在安全性方面的性能相似，并且密鑰生成過程的耗時也較為相似，但是從簽名驗證、認證驗證以及DH密鑰交換過程來看，ECC算法消耗的時間要遠低于RSA算法，尤其是DH密鑰交換過程中，ECC算法的耗時為7.26 ms，而RSA算法的耗時為1 587 ms，在相同安全保證性能下，ECC算法的響應時間要遠低于RSA算法，經過優化后的SSL VPN技術能夠大幅提升響應速度。

3.2? 響應速度測試

在響應速度的測試中，本文采用未優化和優化后的SSL VPN技術下載一個固定文件，共下載了20次，通過對下載時間的記錄計算文件的傳輸速度，實現對SSL VPN技術運行效果的比較，最終獲取的結果如下。

（1）明文傳輸狀態。明文傳輸的數據傳輸速度為687.58 kB/s，本文在研究過程中，將明文傳輸狀態作為參考的基準點，另外兩種數據加密計算的數據傳輸速度都與明文傳輸狀態進行比較。

（2）未優化SSL VPN技術。數據傳輸速度為562.63 kB/s，與明文狀態的傳輸速度比值為81.8%。

（3）優化后SSL VPN技術。該技術的數據傳輸速度為627.56 kB/s，與明文狀態下的傳輸速度比值為91.3%。從最終結果上來看，優化后的SSL VPN技術在數據傳輸速度方面提升明顯，所以在該項技術今后的發展中，可以應用分級加密技術提高數據傳輸速度。

4? ? 結語

當前存在的主要問題為安全性和運行效率過低，導致SSL VPN技術在應用中數據的傳輸速度較低。應用ECC算法替代當前應用RSA算法，可以提高數據的傳輸速度，建成分級加密制度，提高整個系統的響應速度。

[參考文獻]

[1]劉陽.基于USBkey認證的SSL VPN網絡的設計與實現[D].長春：吉林大學，2014.

[2]鄭化浦，劉帥.SSL VPN網絡安全關鍵技術研究[J].河南城建學院學報，2013（4）：69-72.

[3]張宇.SSL VPN中訪問控制的研究以及教學實驗的實現[D].上海：上海交通大學，2010.

[4]梁鈞.基于SSL協議的VPN關鍵技術的分析與設計[D].昆明：云南大學，2010.

Abstract：Based on the analysis of the principle and action path of SSL VPN technology， this paper probes into the shortcomings of this technology in the current application and development， and on this basis， probes into the perfection and optimization mode of this technology in the future. So that the technology can play a more comprehensive role of safety and security.

Key words：SSL; VPN; security key technology