鄭寧寧

摘要：SSLVPN是繼PPTP、L2TP

IPSseVPN后的又一項(xiàng)VPN連接技術(shù)，它位于系統(tǒng)的應(yīng)用層，介于遠(yuǎn)用戶與內(nèi)網(wǎng)服務(wù)器之間，控制二者的通信。SSLVPN技術(shù)可以使用戶通過Web瀏覽器進(jìn)行訪問，這大大增強(qiáng)了使用者操作的便捷性，但頻繁的訪問也會(huì)給服務(wù)器數(shù)據(jù)帶來安全隱患。該文主要對(duì)基于SSL協(xié)議的VPN技術(shù)進(jìn)行介紹，對(duì)其安全優(yōu)勢(shì)及存在的安全隱患進(jìn)行分析，為后續(xù)使用者提供參考。

關(guān)鍵詞：SSL VPN技術(shù)；安全優(yōu)勢(shì)；安全隱患

1概述

隨著互聯(lián)網(wǎng)及移動(dòng)設(shè)備的發(fā)展，通過公共網(wǎng)絡(luò)訪問局域網(wǎng)的需求越來越大，同時(shí)，安全性的問題也就越來越突出。用戶對(duì)使用過程的可靠性、靈活性、安全性等方面也有了更高的要求。SSLVPN是解決遠(yuǎn)程用戶通過公共網(wǎng)絡(luò)訪問內(nèi)網(wǎng)數(shù)據(jù)的技術(shù)之一，與以往的IPSec VPN相比，它通過內(nèi)嵌在瀏覽器中的SSL協(xié)議進(jìn)行訪問，從而不需要像傳統(tǒng)IPSec VPN一樣必須為每一臺(tái)終端安全客戶端軟件，實(shí)現(xiàn)了訪問的便捷性。

2SSLVPN的概念與特征

SSL（安全套接層）協(xié)議是一種在互聯(lián)網(wǎng)上保證發(fā)送信息安全的通用協(xié)議，是目前在Web瀏覽器和服務(wù)器之間發(fā)揮身份認(rèn)證和加密數(shù)據(jù)傳輸?shù)闹匾獏f(xié)議。它位于TCP/IP協(xié)議與應(yīng)用層協(xié)議之間，為各項(xiàng)數(shù)據(jù)通訊提供安全支持。

SSL協(xié)議可分為兩層：SSL記錄協(xié)議fSsL Record Protoc01）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為數(shù)據(jù)的傳輸提供數(shù)據(jù)封裝、壓縮、加密等功能。SSL握手協(xié)議（SSL Handshake Protoed）：它建立在SSL記錄協(xié)議之上，主要用于檢測(cè)用戶的賬號(hào)密碼是否正確，在實(shí)際的數(shù)據(jù)傳輸開始前，對(duì)通訊雙方進(jìn)行身份認(rèn)證，交換加密密鑰等。

VPN（“VirtualPrivate Network）即是虛擬專用網(wǎng)絡(luò)，利用認(rèn)證、加密、安全檢測(cè)、權(quán)限分配等一系列手段來構(gòu)建的安全業(yè)務(wù)網(wǎng)絡(luò)。一個(gè)完整的SSLVPN系統(tǒng)主要由服務(wù)器、網(wǎng)關(guān)、客戶端組成，服務(wù)器即是內(nèi)網(wǎng)中所需訪問的資源，客戶端即是互聯(lián)網(wǎng)中需要訪問服務(wù)器資源的Web瀏覽器，網(wǎng)關(guān)即是SSL VPN服務(wù)器，是整個(gè)系統(tǒng)訪問控制的核心?？蛻舳送ㄟ^瀏覽器發(fā)出請(qǐng)求，SSL VPN服務(wù)器收到請(qǐng)求后與客戶端瀏覽器建立SSL安全連接，并代替客戶端向所需訪問服務(wù)器發(fā)出請(qǐng)求，服務(wù)器響應(yīng)后SSLVPN將接收到的響應(yīng)數(shù)據(jù)進(jìn)行轉(zhuǎn)換，通過SSL安全連接發(fā)送給客戶端。

3SSL VPN的安全特征分析

3.1安全優(yōu)勢(shì)

SSL VPN是一系列基于web應(yīng)用的傳輸協(xié)議，包括服務(wù)器認(rèn)證、客戶身份認(rèn)證、SSL鏈路數(shù)據(jù)完整性及保密性認(rèn)證等，這對(duì)于數(shù)據(jù)傳輸?shù)陌踩院捅Ｃ苄杂兄匾饬x。

SSLVPN基于Web設(shè)計(jì)，主要通過互聯(lián)網(wǎng)實(shí)現(xiàn)從公網(wǎng)到內(nèi)網(wǎng)的訪問。用戶在登錄VPN時(shí)要通過三層防護(hù)：第一層就是用戶和主機(jī)服務(wù)器之間的安全驗(yàn)證，這一層主要驗(yàn)證用戶的秘鑰、安全證書是否正確，所登錄服務(wù)器是否合法，確保服務(wù)器和個(gè)人信息不被泄露。第二層主要用多種算法來保護(hù)數(shù)據(jù)的安全性，SSL協(xié)議在主機(jī)服務(wù)器和用戶之間建立一條安全隧道，通過隧道向用戶傳送數(shù)據(jù)。第三層是多重加密和驗(yàn)證技術(shù)，通過握手協(xié)議，檢測(cè)用戶的賬號(hào)密碼的正確性，在主機(jī)服務(wù)器和個(gè)人用戶之間驗(yàn)證雙方身份真實(shí)性，再通過記錄協(xié)議打包數(shù)據(jù)，加密壓縮數(shù)據(jù)包，發(fā)送過程中再次加密傳輸。

SSL VPN采用對(duì)稱密碼體制和非對(duì)稱密碼體制的加密算法進(jìn)行加密，通過建立安全隧道保證信息傳輸?shù)陌踩荨ＴL問采用takey文件從而在一定程度上減少了黑客對(duì)內(nèi)網(wǎng)的安全威脅。并提供客戶端和服務(wù)器端的雙向認(rèn)證，容易實(shí)現(xiàn)權(quán)限、資源等的控制。

3.2存在的安全隱患

對(duì)于該數(shù)據(jù)傳輸方式，可以較大限度保障數(shù)據(jù)和用戶的使用安全，但此種方式并非無懈可擊，由于SSLVPN采用Web服務(wù)器作為客戶端，因此瀏覽器的安全性直接關(guān)系到SSLVPN的安全，瀏覽器的安全隱患也會(huì)成為SSL VPN的安全隱患，如果用戶退出時(shí)只是關(guān)閉瀏覽器而并未關(guān)閉SSLVPN服務(wù)進(jìn)程，或者用戶在公共場(chǎng)所登錄系統(tǒng)，就會(huì)增加用戶資料的泄露風(fēng)險(xiǎn)。在建立SSL VPN連接時(shí)，蠕蟲或其他電腦病毒也可能會(huì)通過建立的隧道感染內(nèi)部服務(wù)器。

對(duì)于這些安全隱患，SSL VPN也逐步引入了令牌或短信認(rèn)證、用戶端無操作將強(qiáng)制下線等手段，管理員也可以對(duì)用戶按角色進(jìn)行劃分，根據(jù)不同角色確定不同的資源訪問權(quán)限，最大限度避免用戶端的安全風(fēng)險(xiǎn)。在數(shù)據(jù)傳輸過程中，也可以通過不斷提高應(yīng)用層過濾技術(shù)來抵制病毒風(fēng)險(xiǎn)等。

4 SSL VPN的應(yīng)用

由于SSL、VPN操作的便捷性和使用的安全性，越來越多的行業(yè)都逐步開始使用SSL VPN。用戶通過Web瀏覽器就可以訪問內(nèi)部網(wǎng)絡(luò)，這使得用戶可以隨時(shí)隨地通過任意一臺(tái)電腦，或者通過其他移動(dòng)設(shè)備時(shí)進(jìn)行內(nèi)部業(yè)務(wù)數(shù)據(jù)的訪問。

部署SSL VPN服務(wù)器時(shí)即是部署在內(nèi)網(wǎng)的邊緣，介于服務(wù)器與遠(yuǎn)程用戶之間，是遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的大門，控制二者的通信。當(dāng)用戶通過電腦或其他移動(dòng)設(shè)備遠(yuǎn)程訪問內(nèi)網(wǎng)時(shí)，則先通過互聯(lián)網(wǎng)向SSLVPN服務(wù)器發(fā)出請(qǐng)求，也就是認(rèn)證步驟，通過認(rèn)證后，SSL VPN服務(wù)器根據(jù)訪問者的身份權(quán)限建立連接，使其可以并僅可以訪問允許的服務(wù)器數(shù)據(jù)。

在傳輸過程中，SSL VPN服務(wù)器僅是一個(gè)數(shù)據(jù)的傳輸者，不會(huì)對(duì)用戶數(shù)據(jù)進(jìn)行解密，實(shí)現(xiàn)了傳輸過程的安全性和可靠性。

5總結(jié)

VPN設(shè)備最終使用者是業(yè)務(wù)系統(tǒng)使用者，這些終端用戶通常不會(huì)具備過多的IT技能，SSL VPN不需要安裝獨(dú)立的客戶端，具有架構(gòu)簡(jiǎn)單、運(yùn)營成本低、安全性能高等特點(diǎn)，只需要借助于電腦上的瀏覽器就可以使用。對(duì)于安全性，也比以往的PPTP、IPSec等有了極大的提升。在移動(dòng)終端遍地開花的今天，既保障了數(shù)據(jù)的安全又極大方便了用戶的使用。但安全是沒有絕對(duì)的，隨著技術(shù)的發(fā)展，SSL VPN也要與時(shí)俱進(jìn)，不斷更新，既要保證數(shù)據(jù)的安全陛，又要不斷提高系統(tǒng)的響應(yīng)速度，既要做好數(shù)據(jù)的安全傳輸，也要不斷提高用戶的使用體驗(yàn)。