[摘要] 本文分析了SSL協(xié)議的體系結構，提出了基于SSL的VPN技術的三種工作模式。

[關鍵詞] 網絡安全 VPN SSL 體系結構 工作模式

VPN（Virtual Personal Network，虛擬專用網）是通過一個私有的通道將遠程用戶、公司分支機構、公司業(yè)務伙伴等與公司的企業(yè)網連接起來，構成一個擴展的公司企業(yè)網，通過在公共網絡中建立專用網絡，數(shù)據通過安全的“加密通道”在公共網絡中傳播。SSL VPN是一種新的VPN的實現(xiàn)方法，是可靠安全地構建VPN的一種模式。

一、SSL協(xié)議

1.SSL概述

SSL（Secure Socket Layer，安全套接層）協(xié)議是 Netscape 公司于1994年提出的一個網絡安全通信協(xié)議，是一種在兩臺機器之間提供安全通道的協(xié)議。它具有保護傳輸數(shù)據，以及識別通信機器的功能。SSL最初是通過加密HTTP連接為Web瀏覽器提供安全而引入的。

SSL在TCP上提供一種通用的通道安全機制，任何可以在TCP上承載的協(xié)議都能夠使用SSL加以保護。在TCP或IP四層協(xié)議族中，SSL協(xié)議位于傳輸層與應用層之間，基于可靠傳輸協(xié)議TCP，服務于各種應用層協(xié)議，如HTTP、POP、TELNET等，它們在SSL協(xié)議上運行分別被稱作HTTPS、POPS、TELNETS協(xié)議等，分別對應的端口號為443、995、992等。

圖1 SSL協(xié)議結構圖

2.SSL體系結構

SSL協(xié)議在結構上分為兩個層次：底層為記錄層協(xié)議（Record Protocol），負責封裝高層協(xié)議（包括握手協(xié)議）的數(shù)據，保證SSL連接的數(shù)據保密性和完整性；高層為握手層，由四個并行的協(xié)議構成：握手協(xié)議（Handshake Protocol）、修改密碼參數(shù)協(xié)議（Change Cipher Spec Protocol）、報警協(xié)議（Alert Protocol）、應用數(shù)據協(xié)議（Application data Protocol），高層協(xié)議需要記錄層協(xié)議支持，其中握手協(xié)議與其他的高層協(xié)議不同，主要負責在交換應用層數(shù)據之前進行協(xié)商加密算法與密鑰，其他高層協(xié)議屬于應用開發(fā)的范疇，而要得到握手協(xié)議的支持，而握手協(xié)議則是SSL底層實現(xiàn)必須具有的功能，因為記錄層協(xié)議的完成也由它來保證。

二、基于SSL協(xié)議的VPN技術研究

1.SSLVPN概念

SSL VPN是指一種基于數(shù)據包封裝技術的，利用SSL或TLS協(xié)議結合強加密算法和身份認證技術的，可靠安全地構建VPN的一種方法。它作為一種新的VPN的實現(xiàn)方法，SSL VPN可以用來構建外聯(lián)網、內聯(lián)網和遠程接入訪問。它通過數(shù)據包封裝的隧道技術來實現(xiàn)虛擬專用網的私有性，通過PKI技術和密碼學技術來鑒別通信雙方的身份和確保傳輸數(shù)據的安全。

2.SSL VPN的工作模式

(1)基于Web模式的SSL VPN系統(tǒng)

客戶端使用瀏覽器通過SSLVPN 服務器來訪問企業(yè)局域網的內部資源。SSLVPN 服務器相當于一個數(shù)據中轉站，Web瀏覽器對WWW服務器的訪問經過SSL VPN服務器的處理（解密、身份鑒別、訪問控制）后轉發(fā)給WWW服務器，從WWW服務器發(fā)往Web瀏覽器的數(shù)據經過SSL VPN服務器處理（過濾、加密）后送到Web瀏覽器。

圖2 基于Web模式的SSL VPN系統(tǒng)

(2)基于客戶模式的SSL VPN

用戶在客戶端安裝一個SSL VPN客戶端程序，當客戶端訪問企業(yè)內部的應用服務器時，需要經過SSL VPN客戶端程序和SSL VPN服務器之間的保密傳輸后才能到達。從而在SSLVPN客戶端和 SSLVPN服務器之間，由SSL協(xié)議構建一條安全通道，保護客戶端與SSLVPN服務器之間的數(shù)據傳輸。此時，SSLVPN服務器充當服務器代理的角色，SSL VPN客戶端充當客戶端代理的角色。

圖3 基于客戶端模式的SSL VPN系統(tǒng)

(3)局域網到局域網模式的SSL VPN系統(tǒng)

在網絡邊緣都安裝和配置了SSLVPN服務器。當一個局域網內的終端要訪問遠程網絡內的應用服務器時，需要經過兩個SSL VPN服務器之間的保密傳輸后才能到達。從而在兩個SSLVPN服務器之間，由SSL協(xié)議構建一條安全通道，保護局域網之間的數(shù)據傳輸。此時，SSL VPN服務器充當安全網關的角色。

圖4 局域網到局域網模式的SSL VPN系統(tǒng)

參考文獻:

[1]徐家臻陳莘萌:基于IPSec與基于SSL的VPN的比較與分析[J].計算機工程與設計，2004，(04)

[2]張梅:SSL VPN關鍵技術研究與系統(tǒng)設計[D].解放軍信息工程大學， 2006

[3]馬淑文:SSL VPN技術在校園網中的應用與研究[J].計算機工程與設計，2007，(21)