★黃 祎（重慶電子工程職業(yè)學(xué)院）

?

淺析SSL VPN技術(shù)的原理及應(yīng)用

★黃 祎
（重慶電子工程職業(yè)學(xué)院）

【摘要】本文首先論述了SSL VPN的工作原理,對(duì)于SSL VPN的基本屬性展開(kāi)了必要的分析,而后進(jìn)一步就其工作應(yīng)用場(chǎng)景和工作流程作了較為詳細(xì)的闡述，對(duì)于把握SSL VPN體系的特征有著一定的積極價(jià)值。

【關(guān)鍵詞】VPN；SSL VPN；Web

一、SSL VPN簡(jiǎn)介

SSLVPN是解決遠(yuǎn)程用戶(hù)訪問(wèn)公司敏感數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過(guò)相對(duì)簡(jiǎn)易的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺(tái)客戶(hù)機(jī)安裝客戶(hù)端軟件。[1][2]

SSL協(xié)議主要由SSL握手協(xié)議和SSL記錄協(xié)議組成，它們共同為應(yīng)用訪問(wèn)連接提供認(rèn)證、加密和防篡改功能。

SSL握手協(xié)議和IPSEC協(xié)議體系中的IKE(互聯(lián)網(wǎng)密鑰交換協(xié)議)協(xié)議類(lèi)似，主要用于客戶(hù)和服務(wù)器之間的相互認(rèn)證，MAC(MessageAuthenticationCode-消息認(rèn)證碼)算法和協(xié)商加密算法，主要用于SSL記錄協(xié)議中生成并使用的加密和認(rèn)證密鑰。

SSL記錄協(xié)議為各種應(yīng)用協(xié)議提供最基本的安全服務(wù)，和IPSEC的傳輸模式有易曲同工之處，應(yīng)用程序消息參照MTU(最大傳輸單元)被分割成可治理的數(shù)據(jù)塊(可進(jìn)行數(shù)據(jù)壓縮處理)的同時(shí)產(chǎn)生MAC信息，然后再加密并插入新的報(bào)頭最后在TCP中傳輸;收到的數(shù)據(jù)在接收端進(jìn)行解密，做身份驗(yàn)證(MAC認(rèn)證)、解壓縮、重組數(shù)據(jù)報(bào)最后提交給應(yīng)用協(xié)議進(jìn)行處理。

選擇VPN是為了支持遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)絡(luò)的應(yīng)用，這是最先需要考慮的一點(diǎn)，目前，大多數(shù)SSLVPN都兼容大部分日常會(huì)用的郵件系統(tǒng)、OA系統(tǒng)、CRM/ERP等，但并不是所有，如動(dòng)態(tài)端口的應(yīng)用就只有部分SSLVPN能夠支持。這一過(guò)程中，必須注意傳輸過(guò)程的安全其中必須保證用戶(hù)身份的驗(yàn)證、客戶(hù)端設(shè)備的安全性、訪問(wèn)后清楚客戶(hù)端緩存、服務(wù)端日志跟蹤，必須做到以上這幾點(diǎn)才能在保證傳輸過(guò)程安全的同時(shí)，提高系統(tǒng)安全性，構(gòu)建系統(tǒng)安全。

二、SSL VPN應(yīng)用場(chǎng)景及流程

SSLVPN網(wǎng)關(guān)在企業(yè)網(wǎng)的邊緣，介于企業(yè)服務(wù)器與遠(yuǎn)程用戶(hù)之間并對(duì)二者的通信加以控制。SSLVPN采用的是標(biāo)準(zhǔn)的安全套接層（SSL）對(duì)傳輸中的數(shù)據(jù)包進(jìn)行加密，并且在應(yīng)用層保護(hù)數(shù)據(jù)的安全性。[3]

在不斷擴(kuò)展的互聯(lián)網(wǎng)Web站點(diǎn)之間、無(wú)線熱點(diǎn)和客戶(hù)端間、遠(yuǎn)程辦公室、酒店、傳統(tǒng)交易大廳等場(chǎng)所，SSLVPN克服了IPSecVPN的不足，用戶(hù)可以輕松實(shí)現(xiàn)安全易用、無(wú)需客戶(hù)端安裝且配置簡(jiǎn)單的遠(yuǎn)程訪問(wèn)，SSLVPN應(yīng)用場(chǎng)景如圖1所示。

圖1SSLVPN應(yīng)用場(chǎng)景

SSLVPN最常見(jiàn)的入口是網(wǎng)絡(luò)頁(yè)面，其基本運(yùn)行流程：

1.登錄VPN的網(wǎng)址（通常為HTTPS），該網(wǎng)址在瀏覽器中打開(kāi)；

2.輸鍵入用戶(hù)身份信息，身份信息包括用戶(hù)名、數(shù)字證書(shū)（如USB-Key）、靜態(tài)口令、動(dòng)態(tài)口令的隨意組合，這樣以確保身份的真實(shí)性和保密性；

3.選擇服務(wù)類(lèi)型，其中WEB代理使用起來(lái)最為簡(jiǎn)單，同時(shí)WEB代理可以控制粒度最細(xì)的SSLVPN應(yīng)用，可以精確地制導(dǎo)任何一個(gè)鏈接；

4.端口映射的精細(xì)粒度僅次于WEB代理，它用TCP端口映射的方式（原理上類(lèi)似于NAT內(nèi)部服務(wù)器應(yīng)用）為使用者提供TCP遠(yuǎn)程接入的服務(wù)，但是它需要特定的與服務(wù)器相應(yīng)的SSLVPN客戶(hù)端程序輔助；

5.IP連接是SSLVPN中粒度精細(xì)程度相對(duì)較差的，但是它已經(jīng)被廣泛使用，它實(shí)現(xiàn)了和L2TP相似的特性，服務(wù)器可以給每一個(gè)客戶(hù)端一個(gè)VPN地址從而可以直接訪問(wèn)內(nèi)部服務(wù)器，但是它也與端口映射一樣需要專(zhuān)門(mén)的SSLVPN客戶(hù)端程序幫忙；

6.SSLVPN由于處在TCP層，所以可以進(jìn)行豐富的業(yè)務(wù)控制，如行為審計(jì)，可以記錄每名用戶(hù)的所有操作，為更好地管理VPN提供了有效統(tǒng)計(jì)數(shù)據(jù)；

7.當(dāng)使用者退出SSLVPN登陸頁(yè)面時(shí)，所有上述安全會(huì)話會(huì)統(tǒng)統(tǒng)釋放。

三、結(jié)論

SSLVPN適用于遠(yuǎn)程用戶(hù)基于Web的遠(yuǎn)程信息訪問(wèn)工作，能提供相對(duì)簡(jiǎn)單便捷且安全性高度可靠的網(wǎng)絡(luò)保障需求，且能滿(mǎn)足遠(yuǎn)程通信的要求。

參考文獻(xiàn)：

[1]邱兵.SSL VPN安全特征分析[J].電子技術(shù)與軟件工程,2015,(第4期).

[2]朱意秋.基于SSL協(xié)議的VPN技術(shù)研究和實(shí)現(xiàn)[J].輕工科技,2015,(第5期).

[3]毛一致,張晨東,陳珊.基于網(wǎng)絡(luò)質(zhì)量可視化建立SSL VPN網(wǎng)絡(luò)運(yùn)營(yíng)質(zhì)量管理[J].中國(guó)質(zhì)量,2014,(第5期).