★黃 祎（重慶電子工程職業(yè)學(xué)院）

?

淺析SSL VPN技術(shù)的原理及應(yīng)用

★黃 祎
（重慶電子工程職業(yè)學(xué)院）

【摘要】本文首先論述了SSL VPN的工作原理,對于SSL VPN的基本屬性展開了必要的分析,而后進一步就其工作應(yīng)用場景和工作流程作了較為詳細的闡述，對于把握SSL VPN體系的特征有著一定的積極價值。

【關(guān)鍵詞】VPN；SSL VPN；Web

一、SSL VPN簡介

SSLVPN是解決遠程用戶訪問公司敏感數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過相對簡易的方法實現(xiàn)信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN，這是因為SSL內(nèi)嵌在瀏覽器中，它不需要像傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件。[1][2]

SSL協(xié)議主要由SSL握手協(xié)議和SSL記錄協(xié)議組成，它們共同為應(yīng)用訪問連接提供認(rèn)證、加密和防篡改功能。

SSL握手協(xié)議和IPSEC協(xié)議體系中的IKE(互聯(lián)網(wǎng)密鑰交換協(xié)議)協(xié)議類似，主要用于客戶和服務(wù)器之間的相互認(rèn)證，MAC(MessageAuthenticationCode-消息認(rèn)證碼)算法和協(xié)商加密算法，主要用于SSL記錄協(xié)議中生成并使用的加密和認(rèn)證密鑰。

SSL記錄協(xié)議為各種應(yīng)用協(xié)議提供最基本的安全服務(wù)，和IPSEC的傳輸模式有易曲同工之處，應(yīng)用程序消息參照MTU(最大傳輸單元)被分割成可治理的數(shù)據(jù)塊(可進行數(shù)據(jù)壓縮處理)的同時產(chǎn)生MAC信息，然后再加密并插入新的報頭最后在TCP中傳輸;收到的數(shù)據(jù)在接收端進行解密，做身份驗證(MAC認(rèn)證)、解壓縮、重組數(shù)據(jù)報最后提交給應(yīng)用協(xié)議進行處理。

選擇VPN是為了支持遠程訪問內(nèi)部網(wǎng)絡(luò)的應(yīng)用，這是最先需要考慮的一點，目前，大多數(shù)SSLVPN都兼容大部分日常會用的郵件系統(tǒng)、OA系統(tǒng)、CRM/ERP等，但并不是所有，如動態(tài)端口的應(yīng)用就只有部分SSLVPN能夠支持。這一過程中，必須注意傳輸過程的安全其中必須保證用戶身份的驗證、客戶端設(shè)備的安全性、訪問后清楚客戶端緩存、服務(wù)端日志跟蹤，必須做到以上這幾點才能在保證傳輸過程安全的同時，提高系統(tǒng)安全性，構(gòu)建系統(tǒng)安全。

二、SSL VPN應(yīng)用場景及流程

SSLVPN網(wǎng)關(guān)在企業(yè)網(wǎng)的邊緣，介于企業(yè)服務(wù)器與遠程用戶之間并對二者的通信加以控制。SSLVPN采用的是標(biāo)準(zhǔn)的安全套接層（SSL）對傳輸中的數(shù)據(jù)包進行加密，并且在應(yīng)用層保護數(shù)據(jù)的安全性。[3]

在不斷擴展的互聯(lián)網(wǎng)Web站點之間、無線熱點和客戶端間、遠程辦公室、酒店、傳統(tǒng)交易大廳等場所，SSLVPN克服了IPSecVPN的不足，用戶可以輕松實現(xiàn)安全易用、無需客戶端安裝且配置簡單的遠程訪問，SSLVPN應(yīng)用場景如圖1所示。

圖1SSLVPN應(yīng)用場景

SSLVPN最常見的入口是網(wǎng)絡(luò)頁面，其基本運行流程：

1.登錄VPN的網(wǎng)址（通常為HTTPS），該網(wǎng)址在瀏覽器中打開；

2.輸鍵入用戶身份信息，身份信息包括用戶名、數(shù)字證書（如USB-Key）、靜態(tài)口令、動態(tài)口令的隨意組合，這樣以確保身份的真實性和保密性；

3.選擇服務(wù)類型，其中WEB代理使用起來最為簡單，同時WEB代理可以控制粒度最細的SSLVPN應(yīng)用，可以精確地制導(dǎo)任何一個鏈接；

4.端口映射的精細粒度僅次于WEB代理，它用TCP端口映射的方式（原理上類似于NAT內(nèi)部服務(wù)器應(yīng)用）為使用者提供TCP遠程接入的服務(wù)，但是它需要特定的與服務(wù)器相應(yīng)的SSLVPN客戶端程序輔助；

5.IP連接是SSLVPN中粒度精細程度相對較差的，但是它已經(jīng)被廣泛使用，它實現(xiàn)了和L2TP相似的特性，服務(wù)器可以給每一個客戶端一個VPN地址從而可以直接訪問內(nèi)部服務(wù)器，但是它也與端口映射一樣需要專門的SSLVPN客戶端程序幫忙；

6.SSLVPN由于處在TCP層，所以可以進行豐富的業(yè)務(wù)控制，如行為審計，可以記錄每名用戶的所有操作，為更好地管理VPN提供了有效統(tǒng)計數(shù)據(jù)；

7.當(dāng)使用者退出SSLVPN登陸頁面時，所有上述安全會話會統(tǒng)統(tǒng)釋放。

三、結(jié)論

SSLVPN適用于遠程用戶基于Web的遠程信息訪問工作，能提供相對簡單便捷且安全性高度可靠的網(wǎng)絡(luò)保障需求，且能滿足遠程通信的要求。

參考文獻：

[1]邱兵.SSL VPN安全特征分析[J].電子技術(shù)與軟件工程,2015,(第4期).

[2]朱意秋.基于SSL協(xié)議的VPN技術(shù)研究和實現(xiàn)[J].輕工科技,2015,(第5期).

[3]毛一致,張晨東,陳珊.基于網(wǎng)絡(luò)質(zhì)量可視化建立SSL VPN網(wǎng)絡(luò)運營質(zhì)量管理[J].中國質(zhì)量,2014,(第5期).