基于SSL协议的VPN技术研究

[摘要] 本文分析了SSL协议的体系结构，提出了基于SSL的VPN技术的三种工作模式。

[关键词] 网络安全 VPN SSL 体系结构 工作模式

VPN（Virtual Personal Network，虚拟专用网）是通过一个私有的通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网,通过在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。SSL VPN是一种新的VPN的实现方法，是可靠安全地构建VPN的一种模式。

一、SSL协议

1.SSL概述

SSL（Secure Socket Layer,安全套接层）协议是 Netscape 公司于1994年提出的一个网络安全通信协议，是一种在两台机器之间提供安全通道的协议。它具有保护传输数据，以及识别通信机器的功能。SSL最初是通过加密HTTP连接为Web浏览器提供安全而引入的。

SSL在TCP上提供一种通用的通道安全机制，任何可以在TCP上承载的协议都能够使用SSL加以保护。在TCP或IP四层协议族中，SSL协议位于传输层与应用层之间，基于可靠传输协议TCP，服务于各种应用层协议，如HTTP、POP、TELNET等，它们在SSL协议上运行分别被称作HTTPS、POPS、TELNETS协议等，分别对应的端口号为443、995、992等。

图1 SSL协议结构图

2.SSL体系结构

SSL协议在结构上分为两个层次：底层为记录层协议（Record Protocol），负责封装高层协议（包括握手协议）的数据，保证SSL连接的数据保密性和完整性；高层为握手层，由四个并行的协议构成：握手协议（Handshake Protocol）、修改密码参数协议（Change Cipher Spec Protocol）、报警协议（Alert Protocol）、应用数据协议（Application data Protocol），高层协议需要记录层协议支持，其中握手协议与其他的高层协议不同，主要负责在交换应用层数据之前进行协商加密算法与密钥，其他高层协议属于应用开发的范畴，而要得到握手协议的支持，而握手协议则是SSL底层实现必须具有的功能，因为记录层协议的完成也由它来保证。

二、基于SSL协议的VPN技术研究

1.SSLVPN概念

SSL VPN是指一种基于数据包封装技术的，利用SSL或TLS协议结合强加密算法和身份认证技术的，可靠安全地构建VPN的一种方法。它作为一种新的VPN的实现方法，SSL VPN可以用来构建外联网、内联网和远程接入访问。它通过数据包封装的隧道技术来实现虚拟专用网的私有性，通过PKI技术和密码学技术来鉴别通信双方的身份和确保传输数据的安全。

2.SSL VPN的工作模式

(1)基于Web模式的SSL VPN系统

客户端使用浏览器通过SSLVPN 服务器来访问企业局域网的内部资源。SSLVPN 服务器相当于一个数据中转站，Web浏览器对WWW服务器的访问经过SSL VPN服务器的处理（解密、身份鉴别、访问控制）后转发给WWW服务器，从WWW服务器发往Web浏览器的数据经过SSL VPN服务器处理（过滤、加密）后送到Web浏览器。

图2 基于Web模式的SSL VPN系统

(2)基于客户模式的SSL VPN

用户在客户端安装一个SSL VPN客户端程序，当客户端访问企业内部的应用服务器时，需要经过SSL VPN客户端程序和SSL VPN服务器之间的保密传输后才能到达。从而在SSLVPN客户端和 SSLVPN服务器之间，由SSL协议构建一条安全通道，保护客户端与SSLVPN服务器之间的数据传输。此时，SSLVPN服务器充当服务器的角色，SSL VPN客户端充当客户端的角色。

图3 基于客户端模式的SSL VPN系统

(3)局域网到局域网模式的SSL VPN系统

在网络边缘都安装和配置了SSLVPN服务器。当一个局域网内的终端要访问远程网络内的应用服务器时，需要经过两个SSL VPN服务器之间的保密传输后才能到达。从而在两个SSLVPN服务器之间，由SSL协议构建一条安全通道，保护局域网之间的数据传输。此时，SSL VPN服务器充当安全网关的角色。

图4 局域网到局域网模式的SSL VPN系统

参考文献:

[1]徐家臻陈莘萌:基于IPSec与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004,(04)

[2]张梅:SSL VPN关键技术研究与系统设计[D].信息工程大学, 2006

[3]马淑文:SSL VPN技术在校园网中的应用与研究[J].计算机工程与设计,2007,(21)