SSL VPN更需改进

SSL VPN的技术特点面对IPSec VPN在市场上的强势地位，SSL VPN凭借其技术优势越来越受到人们的关注，应用正逐渐呈上升趋势，但是SSL VPN技术也有很多亟需改进之处。

随着Internet的普及和应用的扩展，越来越多的政府、企业希望在网上开展工作。然而Internet原先是建立在可信的基础上，从原理上不能保证通信的安全性。如何既能充分利用Internet的便利资源又可以保障通信的安全，成为人们最为关注的问题，虚拟专用网络(VPN)也就应运而生。

VPN是一种充分利用隧道、认证、加密等技术手段，使用户可以利用现有的Internet公共网络，安全地远程访问内部网络资源的网络系统。同传统的私有网络相比，VPN技术大大降低了成本，提高了灵活性。正是由于其具有的优点，近年来VPN已成为网络安全领域的一个热点。

作为一种加密协议，IPSec为数据通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道，首先要采用一定的方式建立通信连接。

因为IPSec协议支持几种操作模式，所以通信双方先要确定所要采用的安全策略和使用模式，这包括如加密运算法则和身份验证方法类型等。一旦IPSec通道建立，则通信双方的所有通信协议(如TCP、UDP、HTTP等)都要经过加密。IPSec VPN工作在OSI网络模型的网络层，从而使用户访问内部资源时,就像采用专线方式与公司网络直接物理连接一样。

基于SSL的VPN

SSL是网景(Netscape)公司提出的基于Web应用的安全协议。SSL协议指定了一种在应用程序协议(如HTTP TELENET、SMTP和FTP等)和TCP／IP协议之间提供数据安全性分层的机制，它为TCP／IP连接提供数据加密服务器认证、消息完整性以及可选的客户机认证。

SSL提供的加密和身份验证的安全方法与IPSec非常类似。但SSL协议只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一个主机的整个通道进行加密。

SSL VPN的技术特点面对IPSec VPN在市场上的强势地位，SSL VPN凭借其技术优势越来越受到人们的关注，应用正逐渐呈上升趋势。SSL安全通道则可以在客户到所访问的资源之间建立。确保端到端的真正安全。无论在内部网络还是在因特网上。数据都不是透明的。如图1所示。

图1 SSL VPN支持端到端的安全

SSL与IPSec安全协议一样，也可提供加密和身份验证安全方法。

但是不管怎样，SSL协议只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密。因为绝大多数客户应用，是不必加密从一个系统到另一个系统的整个通道的，仅加密应用数据这一方案更显恰当。

“加密”和“安全”协议都是属于传输协议，它们是用来确保重要数据的安全传输。加密是任何安全协议的核心技术，它相对采用明文密码加密或者不经过加密数据有三方面的优势:

数据的私密性:在传输过程中可以使数据保持隐藏，不被非法查看;

数据的真实性和完整性: 因为在有关数字加密、安全协议有关的技术可以确保数据在传输过程中不被修改或者损坏;

连接的可靠性:数据加密的另一个数学特征是可以证明事件的发生。

在使用SSL协议的通信中，每一个应用是一个安全的独立体，而不像IPSec那样，操作与应用脱节。

要使用SSL协议进行VPN通信，则所进行的远程通信应用必须能识别SSL技术，不过现在常见的应用一般都能识别SSL技术的，如IE、Netscape浏览器，OutLook、Eudora邮件应用等。

改进SSL VPN的新技术

SSL的一个运算法则是RSA，用来在客户端和服务器端传递密钥。

SSL加速技术

举例来说．一个Modem拨号的Web服务器，大约每秒可以接受75个新的SSL连接。每一个新的连接RSA都必须完成翻译和检验工作。如果系统每秒所有接受超过75个，CPU的利用率就会超过可接受极限而停止对新的网络连接请求进行响应。

为了提高服务器的接受能力，SSL VPN可以采用SSL加速器技术。一个SSL加速器就像一个核心处理器。用来完成RSA的解密功能以及密码交换和生成的过程。

其大致可分为三种类型:其一，使用协处理器，即使用专门的处理器来处理网络相关的操作，任何加密报文被收到后，直接交给协处理器处理，从而加速整个过程;其二，采用内置的安全处理器大幅度加速处理过程，这种方法速度很快，但是安全处理器的功能和网络处理器有重复;其三，是在网络处理器中直接集成加密等安全功能，这种方法可以最大限度地降低成本，并获得线性加速性能。

对于电子商务而言，SSL加速器可以有效提高交易的速度，所有的交易信息都是以符合安全机制的加密方式进行传递。通过加速后，一部智能完成接受75个SSL连接的服务器，就可打到接受每秒800个以上连接的性能。

SSL技术

SSL分为客户端和服务器端两种，对于SSL VPN而言，起作用的是服务器端的SSL。SSL客户端与Web服务器建立连接时，实际上先与SSL建立连接，SSL在客户端和Web服务器之间提供信息转发服务，同时进行加解密操作。

在公共网络上，SSL客户端与SSL之间建立安全的SSL连接，传递密文信息，在私有网络上，SSL与Web服务器可以建立SSL连接，也可以直接传递明文信息，这取决于用户对安全性的要求。对于SSL客户端来讲，SSL是SSL服务器，对于Web服务器来讲，SSL又是客户端。

SSL技术在通信中可提高VPN服务器通信的安全性能和身份验证能力，主要表现在以下两个方面:

提高安全性能 从原理上来说，SSL在外部访问者和内部服务器之间提供了一个缓冲地带，远程访问的连接实际上只能到达SSL VPN网关，从而实现了保护内部网络资源的目的。通过对连接请求的统计信息进行分析，制定并执行适当的安全策略，SSL在公共的因特网和私有的局域网之间建立了一道安全岗哨。SSL还可以通过查询外部认证服务器或者策略服务器，或者通过用户提供的证书，赋予不同的用户以不同的访问权限。

增加身份验证强度 SSL协议自身的验证方法包括在服务器端和客户端进行的密码身份验证，但这种安全基于一个前提:客户端的私钥密码被安全地保管。如果这个密钥遭到破坏或者丢失，客户端就不可能再得到信任。

许多Web服务器自身并不支持比SSL更加强大的身份验证方法，这就需要SSL提供更加强大的身份验证，如Radius第三方认证，USB key加PIN码的双因素认证等。

SSL虚拟通道技术 虚拟通道技术是利用对用户透明的SSL VPN客户端，把远程客户端和内部网络连接成一个虚拟网络的技术。在这个虚拟通道上，可以让受信任的用户登录到整个内部网络，支持任意基于IP的应用，如图2所示。

虚拟网卡驱动程序对于操作系统而言就像一块真正的物理网卡，操作系统可以对其进行所有真正物理网卡可以进行的控制，如收发数据包，禁用、启用、挂起、查询状态和绑定TCP/IP、IPX协议等。将虚拟网卡技术与SSL加密技术结合起来，建立SSL虚拟通道，用户可以通过操作系统在该通道上正常使用HTTP、FTP、Telnet等Internet服务和网络邻居等局域网应用。

图2 虚拟通道技术结构示意图

客户端可做成Applet或者ActiveX的形式，当用户通过认证后，自动从VPN网关下载，在整个安装和配置过程中，不需要用户干预。客户端安装成功之后，用户点击建立虚拟通道即可，无需输入任何配置信息。

以上所提到的几种新技术应用在SSL VPN上，一定程度上弥补了前述SSL VPN的不足。加速技术提高了SSL VPN的通信性能;技术同时对通信和认证的安全性有所改善;虚拟通道技术则大大拓宽了SSL VPN的应用范围，使之不再局限于基于Web的应用，而可以像传统的IPSec VPN一样，让远程用户感觉好像处于本地局域网之中。

随着技术的发展，SSL VPN将越来越完善，从性能到适用范围将全面达到，甚至超越IPSec VPN的水平。