SSL VPN技术的应用与研究

摘 要：企业通过Internet允许员工、客户以及合作伙伴访问企业内部的资源已成为一种趋势，但需要提供一种安全接入机制来保障网络安全。本文分析了SSL VPN网络安全技术的基本原理及其实际应用。

关键词：SSL；网络安全；应用

中图分类号：TP393.1 文献标识码：A 文章编号：1674-7712 （2013） 20-0000-01

一、引言

SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。基于SSL协议的VPN远程访问方案的更加容易配置和管理，网络配置成本比起目前主流的IPSec VPN还要低许多，所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现VPN通信了。

二、SSL概述

SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”。SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议（例如：HTTP，FTP，Telnet）能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。

三、SSL的工作原理

SSL协议建立在传输层和应用层之间，包括两个子协议：SSL记录协议和SSL握手协议，其中记录协议在握手协议下端。

（一）SSL握手协议

在SSL协议传送任何应用协议之前，都需要握手协议来协商安全参数。握手报文有三个字段.第一个字节指示报文的类型，接下来的三个字节指示以字节为单位的报文长度.后来紧接着报文的内容。

SSL握手协议有三个目的，第一是客户端与服务器就一组用于保护数据的算法达成一致：第二是它们需要确立一组由那些算法所使用的加密密钥；第三，握手还可以选择对客户端进行认证，SSL握手协议的主要过程有以下4个步骤：

（1）初始化逻辑连接，客户方先发出ClientHello消息，服务器方也应返回一个ServerHello消息。这两个消息用来协商双方的安全能力，包括协议版本、随机参数、会话ID、交换密钥算法、对称加密算法和压缩算法等。

（2）服务器方应发送服务器证书（包含了服务器的公钥等）和会话密钥，如果服务器要求验证客户方，则要发送CertificateRequest消息。最后服务器方发送ServerHeIloDone消息，表示hello阶段结束，服务器等待客户方的响应。

（3）如果服务器要求验证客户方，则客户方先发送Certificate消息，然后产生会话密钥，并用服务器的公钥加密，封装在ClientKeyExchange消息中，如果客户方发送了自己的证书，则再发送一个数字签名CertificateVerify来对证书进行校验。

（4）客户方发送一个ChangeCipherSpec消息，通知服务器以后发送的消息将采用先前协商好的安全参数加密，最后再发送一个加密后的Finished消息。服务器在收到上述两个消息后，也发送自己的ChangeCipherSpec消息和Finished消息。

至此，握手全部完成。双方可以开始传输应用数据。

（二）SSL记录协议

SSL记录协议用于传输SSL握手层的控制数据以及基于SSL通道传输的应用数据。记录协议在客户机和服务器握手成功后使用，即客户机和服务器鉴别对方和确定安全信息交换使用的算法后，进入SSL记录协议，上层数据被分割成若干数据块，还可以对原始数据进行压缩，并产生一个消息认证代码（MAC），然后将结果加密并传输。接收方接收数据并对其解密，校验MAC，解压并重新组合.把结果挺供给相应的应用程序协议。

四、SSL VPN的技术特点以及应用领域

下面从以下四个方面对SSL VPN的技术特点进行分析。

（1）客户端软件需求方面

SSL VPN通过标准网络浏览器，用户可以访问几类应用和资源。包括基于HTTP和HTTPS的应用和内部网。以及文件和文件系统，支持FTP和Windows网络文件共享。目前大多数的操作系统，都可以支持标准的浏览器，因此SSL VPN的可移植性很好。

（2）与防火墙的兼容性

SSL VPN与防火墙兼容性好。SSL VPN对网络设备透明，由于是在传输层之上进行安全处理，不存在穿越NAT等防火墙的问题，管理员只需开通防火墙的443端口即可满足SSL VPN的访问要求。

（3）访问控制

SSL VPN能进行细粒度的访问控制，对于SSL VPN，网络资源被作为对象，而用户的访问权限也是基于对象的，用户只能访问经过明确授权的资源。访问权限是自下而上的（逐个添加资源），而不是自上而下设置的（开放所有，然后逐个排除）。

（4）应用层的安全性

在应用层建立的通道可以防止病毒、蠕虫等经由网络层传输的威胁。另外，由于SSL VPN还可以起到服务器的作用，所有客户端访问都是由SSL VPN网关转发，而不能直接访问应用服务器，从而使服务器不易受到病毒、黑客等攻击，减少安全威胁。

五、总结

尽管SSL VPN技术存在着不足，但是SSL VPN通过特殊的加密通讯协议，被认为是实现远程安全访问Web应用的最佳手段，能够让用户随时随地甚至在移动中连入企业内网，将给企业带来很高的利益和方便。但SSL VPN只对通信双方的某个应用通道进行加密，而不对通信双方主机之间的整个通道进行加密。因此要实现网络到网络的安全互联，尤其是对安全要求极高的远程系统建议采用1PSEC VPN技术或IPSEC VPN和SSL VPN混合接入方式。

参考文献：

[1]Stallings W，著.杨明，胥光辉，齐望东，译.密码编码学与网络安全原理与实践（第二版）[M].北京：电子工业出版社，2001.

[2]Brown s，著.董晓宇，魏鸿，马洁，译.构建虚拟专用网[M].北京：人民邮电出版社，2000.

[3]欧阳凯，周敬利，夏涛.基于虚拟服务的SSL VPN 研究[J].小型微型计算机，2006，27.

[4]贾永杰.VPN隧道协议比较与分析[J].空军雷达学院学报，2003，6.

[作者简介]刘洋（1979-），重庆人，四川交通职业技术学院，硕士，讲师，主要从事信息安全方面的教学和研究。