基于SSL VPN的安全接入平台设计与实现

【 摘 要 】 SSL VPN是一种新兴的安全远程接入的实现方式，它采用SSL协议实现身份认证以及加密通道的建立等网络安全机制，目前正广泛地被企事业单位采用。SSL协议是互联网广泛使用的安全协议，身份认证主要是依靠非对称算法，而加密通道采用的是对称算法。本文主要讨论了基于SSL VPN的安全接入平台设计与实现。

【 关键词 】 SSL VPN；安全接入

【 中图分类号 】 TP 【 文献标识码 】 A

The Design and Implement of Security Access System Based on SSL VPN

Yang Yang 1 Hua Liang 2 Zhou Lu 3

（1.Dept. of Information and Communication， Jiangsu General Fire Brigade JiangsuNanjing 210036；2. Information and Communication of Changzhou Detachment，Jiangsu General Fire Brigade JiangsuChangzhou 213003；3. Information and Communication of Nanjing Detachment， Jiangsu General Fire Brigade JiangsuNanjing 210036）

【 Abstract 】 SSL VPN is a new way to achieve secure remote access， it adopts SSL protocol to realize authentication and the establishment of encrypted channel. It is now widely adopted by enterprises. The SSL VPN is a widely used security protocol in internet， authentication relies mainly on asymmetric algorithms， and encrptyed channel uses symmetric algorithm. The thesis mainly discusses the design and implementation of security access platform based on SSL VPN.

【 Keywords 】 SSL VPN； secure access

1 SSL VPN

SSL VPN是结合行业标准认证方法和SSL加密技术的一种技术，让访问者更安全地访问企业资源， 这种技术使用户不需要真正地连接到企业服务器就可以访问后台应用和服务。到目前为止，SSL VPN是解决远程用户访问企业敏感数据最简单最安全的解决方案。

SSL VPN是为了解决IPSec VPN的固有缺点而出现的。SSL VPN继承了IPSec VPN的远程使用与内网使用一致的优点，以及与应用无关的长处，避免了因有客户端而导致的使用维护不便、某些网络条件下无法接通、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题。在功能方面，SSL VPN不仅提供访问B/S应用功能，而且也提供访问C/S应用功能。

1.1 SSL VPN的特点

1.1.1 安全性方面

由于SSL协议本身就是一种安全技术，因此SSL VPN具有防止信息泄漏、拒绝非法访问、保护信息的完整性、防止用户假冒、保证系统的可用性的特点，能够进一步保障访问安全，从而扩充了系统的安全功能。首先SSL VPN可以实现128位数据加密，保证数据在传输过程中不被窃取，确保网络数据传输的安全性。其次，多种认证和授权方式的使用确保只让“安全”的用户访问内部网络，从而保护了企业内部网络的安全性。

1.1.2 应用性方面

SSL VPN不需要安装客户端软件。远程用户只需借助标准的浏览器连接Internet即可访问企业的网络资源。此外在管理维护和操作性方面，SSL VPN方案可以做到基于应用的细粒度的访问控制，基于用户和组赋予不同的应用访问权限，并对相关访问操作进行审计。SSL VPN通过特殊的加密通讯协议，被认为是实现远程安全访问Web应用的最佳手段，能够让用户随时随地连入企业内网。

2 安全接入平台设计与实现

2.1 安全接入平台架构

安全接入平台的架构图如图1所示。

基于SSL VPN的安全接入平台主要包括几个组成部分。

2.1.1 Manager管理平台

Manager管理平台是一个基于Web界面的管理员管理工具，通过该管理平台，可以轻而易举的建立以资源为对象的安全访问策略，控制可以访问该资源的用户，据此来定义资源获取级别——可以精确到URL。这样可以确保可以只对某些用户开放某些资源，而另外一些未被授权的用户却无法访问它，无论哪种方式的接入均接受统一的访问控制。

2.1.2 Access Portal访问门户

Access Portal，一个为终端用户定制的具有个人化风格的小型门户，管理员可以利用它来为终端用户提供个性化的定制。当用户登录进入Access Portal时，就会看到可进行维护的服务器资源列表，用户只需要点击列表，就可以方便地对相关服务器进行操作。

2.1.3 Secure Web Server

Secure Web是一个为远程用户提供无客户端接入到企业内网的基于Web架构的应用。Secure Web服务器提供以下功能：中心认证和单点登录，用户通过任何LDAP或者RADIUS认证后，Secure Web可以安全传递用户信息到后台的服务器；网络授权，提供对后台Web资源的细粒度的访问控制；安全连接管理，提供了可扩展的SSL连接的中央管理；为Web方式的运维管理提供可靠安全的网络通道；安全保护，隐藏了内部网络的真实信息。

2.1.4 Secure Net Server

Secure Net服务器为用户提供从外部网络接入企业内网的基于C/S架构的应用，可支持的网络服务器包括：Web服务器、文件服务器、瘦客户端应用程序和传统的C/S应用程序。Secure Net服务器和Light Agent、Access Agent等客户端软件的联合使用为用户提供安全的C/S远程接入服务。除此之外，Secure Net还提供以下功能：统一中心认证，可以使用外部LDAP或者RADIUS对用户进行认证；授权，用户只能接入其被授权的网络，无权访问其未被授权访问的网络；安全连接管理，通过SSL VPN能够中央管理所有的SSL链接；安全保护，使用应用层接入取代全网络接入；能够穿透防火墙和NAT；实时监控登录用户的所有相关操作；提供安全审计功能，为用户接入操作提供审计服务。

2.2 接入方式

基于SSL VPN的安全接入平台可根据不同的用户需求提供灵活的多种远程接入方式：基于Web浏览器的应用和文件共享；Light Agent，一个可下载的浏览器控件（Java Applet），提供简单的C/S应用的SSL；Tunnel Agent，一个可自动下载的客户端插件，提供C/S隧道应用；Access Agent，一个透明的提供安全网络资源访问的Windows SSL。

2.3 基于SSL VPN安全接入平台技术优势

基于SSL VPN的安全接入平台提供了细粒度的访问控制，保证内部网络重要数据的安全。SSL VPN重点在于保护具体的敏感数据，可以根据用户的不同身份，给予不同的访问权限。就是说，虽然都可以进入内部网络，但是不同人员可以访问的数据是不同的。更重要的是，SSL VPN技术在配合一定的身份认证方式的基础上，不仅可以控制访问人员的权限，还可以对访问人员的每个访问、每笔交易、每次操作都进行数字签名，从而保证每笔数据的不可抵赖性和不可否认性，为事后追踪提供了依据。此外，由于SSL VPN采用技术，用户通过网关与受保护的内网连接，不存在直接的物理通道，因此病毒无法传播并蔓延到内部网络，从而防止了病毒入侵。

3 结束语

基于SSL VPN的安全接入平台，通过集中管理各种远程接入操作行为，严格访问控制，有效审计操作行为等技术手段，可以有效地提供用户接入监控管理，极大提升了远程接入的安全性。

参考文献

[1] 王勇.随机函数及其在密码学中的应用研究[J].信息网络安全，2012，（03）：17-18.

[2] 段卓然.SSL VPN系统用户权限管理模块的设计与实现[D]. 北京邮电大学， 2008.

[3] 郭铃，李伟生. SSL VPN的设计与实现[J].计算机技术与发展，2007.8，（2）：148-150.

[4] 熊蜀峰，周本东.基于角色的访问控制在SSL VPN中的应用[J].计算机与数据工程，2011.（8）：105-108.

[5] 徐博.面向SSL VPN的访问控制及相关技术研究[D].浙江工业大学， 2009.

[6] 李俊岗.SSL VPN 在企业信息系统中的应用[J].微型电脑应用，2007.（1）：61-64.

[7] 周蕾，郑朝晖，张勇进.基于FPGA的SSL VPN加速器的设计与实现[J].计算机应用与软件，2011.7，（7）：92-94.

作者简介：

杨扬（1976-），女，毕业于理工大学通信工程学院，硕士，现任职江苏省消防总队信通处；主要研究领域：计算机网络、安全等。