SSL VPN隧道技術研究與應用

董 輝 ，于潤橋 ，沈 翀

（1.南昌航空大學 測試與光電工程學院，江西 南昌330063；2.福建星網銳捷網絡有限公司，福建 福州350000）

隨著現代企事業單位業務的多樣化發展和單位本身需求的不斷增長，單位總部與分部之間、出差員工之間的聯系日趨緊密。怎樣利用公共互聯網建立一個安全的、專用的網絡以實現單位、員工之間的信息交流和信息共享已成為時代之需。專用線路(如幀中繼、DDN、ATM等)因其成本高、不靈活且資源不能合理利用而令很多企業望而卻步，虛擬專用網VPN(Virtual Private Network)的出現可以從根本上滿足企事業用戶的低通信費和高靈活性的雙重需求，更重要的是它可以提供與專線相媲美的通信安全保障，是一種低成本、安全、靈活的遠程網絡接入解決方案[1]。SSL VPN作為VPN新技術的一種，因其簡潔的Web登錄模式、較低的維護管理費用和良好的安全性逐漸被廣泛關注。

1 隧道技術

隧道技術是實現VPN的關鍵技術之一，也是VPN技術的核心。VPN就是依靠隧道技術跨越基于IP協議的公用網絡建立起來的一條透明的虛擬通道，可達到公網虛擬專用的目的，這個虛擬通道即稱為一個隧道。

隧道技術的核心是隧道協議[1]。為建立一個隧道，隧道兩端的客戶機和服務器必須使用相同的隧道協議。隧道協議用附加的帶有路由信息的報頭封裝數據幀，它規定了隧道建立、維護、刪除規則以及數據在隧道中的封裝及傳輸原理。隧道可以在TCP/IP網絡模型的任何一層上建立。按照封裝后的數據包在OSI參考模型傳輸層次的不同，隧道協議可分為第二層協議、第三層協議以及上層（Upper Layer）隧道協議。VPN技術各層隧道協議與OSI參考模型對應關系如圖1所示[2]。

第二層隧道協議也稱數據鏈路層隧道協議，在網絡中的數據鏈路層運行。先把各種網絡協議封裝到PPP包中，再把整個數據包裝入隧道協議中，這種經過兩層封裝的數據包由第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP 等。

第三層隧道協議也稱網絡層隧道協議，在網絡層運行。把各種網絡協議直接裝入隧道協議中，形成的數據包依靠第三層協議進行傳輸。第三層隧道協議主要有GRE和IPSec等。

上層(Upper Layer)隧道協議在傳輸層或其上層運行。把上層傳來的數據進行加密等處理后，由傳輸層把數據傳輸出去。在這一層工作的協議主要是安全套接協議SSL(Secure Socket Layer)。SSL是一種新興的VPN解決方案，與其他VPN相比其主要優點是用戶使用網頁瀏覽器登錄而不需要安裝任何專門的客戶端軟件[3]。

2 SSL 隧道協議[1，4]

SSL是Netscape公司設計的主要用于Web的安全傳輸協議。SSL技術位于OSI參考模型的傳輸層和應用層之間，最初主要是為TCP提供一個可靠的端到端的安全服務。同IPSec協議類似，它不是一個單獨的協議，而是由多個協議組成的一個兩層的協議體系，包括SSL握手協議(SSL Handshake Protoco1)、SSL修改密文規約協議(SSL Change Cipher SpecProtoco1)、SSL 警告 協議(SSL Alert Protoco1)和 SSL記錄協議(SSL Record Protoco1)。如圖2所示。圖示體系結構分為兩層：握手層協議層和記錄層協議層。其中握手層協議層包含3個協議，即SSL握手協議、SSL密鑰更改協議和SSL告警協議。

2.1 握手層協議

握手層協議用來在客戶端和服務器端傳輸應用數據之前建立安全通信機制，并保持通信雙方進行安全通信所需的安全參數及狀態信息。它使得服務器和客戶機能夠進行雙向的身份認證，并協商加密算法、MAC（消息認證代碼）算法以及SSL記錄中所用的加密密鑰。

首次通信時，雙方通過握手層協議協商密鑰加密算法、數據加密算法和報文摘要算法；然后互相驗證對方身份，最后使用協商好的密鑰交換算法產生一個只有雙方知道的秘密信息，客戶端和服務器端各自根據這個秘密信息確定數據加密算法的參數(一般是密鑰)。

握手層協議過程分為如下4個階段：

(1)建立安全能力。主要包括協商壓縮算法、報文摘要算法、加密算法以及SSL版本、會話標識符等安全參數與狀態信息。

(2)服務器認證和密鑰交換。此時服務器向客戶發送其數字證書，利用該證書對服務器進行認證。

(3)客戶認證和密鑰交換。此時客戶向服務器發送其數字證書，利用該證書對客戶進行鑒別。

(4)握手結束階段。握手建立過程如圖3所示。

首先客戶端啟動握手請求，發送Client Hello消息給服務器端，消息中包括客戶端支持的各種算法。若對端服務器不能支持，則本次會話失敗，握手協議不能建立。

服務器收到客戶端發來的Hello消息后發送Server Hello消息進行回復，并向客戶端發送Server Certificate證書消息，證書類型一般為x.509v3(若此階段服務器不使用證書，或證書中提供簽名而不提供密鑰時，服務器發送密鑰交換信息Server Key Exchange)。Certificate Request消息用于服務器向客戶端要求一個客戶證書。Server Hello Done消息表示服務器端的握手請求報文已經發送結束，正等待客戶端的回應信息。

客戶端收到Server Hello Done消息時檢查服務器提供的證書以及其他參數是否有效。Client Certificate是客戶端對服務器Certificate Request消息的響應，只有在服務器端要求客戶證書時使用。一般該消息是客戶端收到Server Hello Done消息后所發送的第一條消息。若客戶端沒有合適的證書，則向服務器端發送No Certificate的告警消息（無證書可能導致握手失敗。當客戶不使用證書，或其證書中僅提供簽名而不提供密鑰時，使用Client Key Exchange消息來交換密鑰)。Certificate Verify消息用于向服務器提供對客戶證書的驗證。

當客戶端發出修改密鑰協議(Change Cipher Spec)消息之后，發出Finished消息，至此完整的握手消息交換已經全部完成。

握手協議完成之后，客戶端與服務器端傳輸應用加密數據。應用加密數據一般為密鑰協商時確定的對稱加解密密鑰，如DES、3DE等。SSL中的握手協議將公鑰加密技術與對稱密鑰加密技術的應用有效、巧妙地結合在一起，有機地組成了互聯網（或其他網絡）上信息安全傳輸的通道。

2.2 記錄層協議

記錄層協議定義了要傳輸數據的格式，它位于可靠的傳輸協議TCP之上，用于各種更高層協議的封裝。主要提供數據分塊、壓縮、添加MAC、加密以及完整性服務，把應用數據封裝成多條記錄進行傳輸。協議數據采用SSL握手協議中協商好的加密算法及MAC算法進行保護。記錄層協議傳送的數據包括一個序列號，這樣就可以檢測消息的丟失、改動或重放。協商好壓縮算法后，SSL記錄協議還可以執行壓縮功能。如圖4所示。

發送數據時，將數據分成可操作的塊，對各分塊單元進行壓縮，接著再添加上由HASH算法得出的MAC值并加密，最后加上記錄協議頭部進行傳輸；接收方接收數據后，首先對其進行解密，接著校驗MAC，然后對各單元解壓并重新組合，把結果提供給相應的應用程序協議。

3 SSL VPN技術特點[5-6]

SSL運行于網絡體系結構中的傳輸層和應用層之間，它獨立于應用，因此任何一個應用程序都可以利用它的安全性而不必考慮執行細節。另外，SSL本身可以被幾乎所有的Web瀏覽器支持，這意味著客戶端不需要為了支持SSL連接而安裝額外的軟件。這兩個特征就是SSL能應用于VPN的關鍵原因。SSL VPN技術的發展是對現有SSL應用的一個補充，它增加了企業執行訪問控制和安全性的級別和能力。到目前為止，SSL VPN是解決遠程用戶訪問單位內部數據最簡單且安全的解決方案。與復雜的IPsec VPN相比，SSL VPN通過簡單易用的方法實現了信息的遠程連通。SSL VPN主要有以下技術特點：

(1)部署與應用：SSL VPN設備部署靈活方便，以橋接或側掛方式接入對原網絡拓撲結構不會造成影響。在終端，用戶可以在任何安裝了Web瀏覽器的PC上進行SSL VPN撥號登錄訪問內部網絡資源。這也是無需安裝客戶端軟件的SSL VPN的主要優勢。

(2)訪問控制：SSL VPN能對加密隧道進行細化，使終端用戶能夠同時接入Internet和訪問內部企業網資源。另外,SSL VPN還可以對接入控制功能進行分級，提供不同等級的用戶權限,依據安全策略授權不同權限的用戶訪問不同的內部網絡資源。

(3)安全性：SSL安全通道建立于客戶與所訪問的資源之間，客戶對資源的每一次操作都需要經過身份驗證和數據加密，保障了遠程連接過程中傳輸數據的安全。

(4)遠程連接：SSL VPN工作在傳輸層之上，能夠遍歷所有的NAT/PAT設備以及防火墻設備，這使得用戶可以從任何遠程網絡訪問到內網資源，極大地方便了出差用戶的遠程辦公。

4 SSL VPN應用實例

為滿足L市教育城域網各校區教職工遠程辦公的需要，該網絡建設之初便設計SSL VPN遠程訪問解決方案。出差教職工利用當地ISP提供的VPN服務,就可以與學校的VPN網關建立私有的隧道連接,使遠程用戶隨時隨地地以其所需的方式訪問學校內部網絡資源，實現遠程辦公或者家庭辦公。

4.1 L市教育城域網特點

L市教育城域網共有3個大校區，分別為東區高校區、西區中學和北區中學，每個區下屬15～40個中學。為實現各校區之間的高速互聯，在核心配置了兩臺S12000系列核心路由交換機，每個大校區各放置了一臺S8610交換機。全網采用網狀組網類型，物理接口采用萬兆或千兆光口高速互聯。L市教育城域網設計有兩個出口，分別為中國聯通出口和CERNET教育網出口。SSL VPN網關設備采用側掛的方式與核心交換機相連接，如圖5所示。

4.2 SSL VPN接入平臺

L市教育城域網建設的SSL VPN主要應用是內部網頁瀏覽、電子郵件以及文件傳輸等業務。通過一個擁有與專用網絡相同策略的共享基礎設施，可以對校園內網資源隨時隨地進行遠程訪問。能隨時使用包括如模擬撥號 Modem、ISDN、數字用戶線路（xDSL）無線上網等撥號技術，安全方便地連接遠程工作者。其接入平臺拓撲如圖6所示。

L市教育城域網的SSL VPN平臺由一臺高性能防火墻、VPN網關RG-FW1600V、線路負載均衡設備RGNPE組成。通過網絡出口的負載均衡設備與電信運營商提供的互聯網線路相連，出口租用聯通200 M、教育網100 M的線路以保障帶寬需求及鏈路熱備。通過運營商與VPN接入平臺的接口線路構建VPN隧道接入辦公網。

4.3 SSL VPN登錄

SSL VPN技術幫助用戶使用標準的Web瀏覽器就可以通過公共網絡平臺接入所要訪問的遠程資源。在用戶終端上，不需要安裝客戶端軟件及進行復雜的配置，大大方便了用戶，僅僅通過一臺接入了Internet的計算機就能訪問遠程資源。

用戶使用Web界面進行SSL VPN撥號登錄，與SSL VPN網關協商完畢，建立VPN隧道后，用戶并沒有獲得校內資源外網的地址，用戶所獲得的是VPN網關通過DHCP方式所分配的虛擬IP地址。每個用戶所獲得的虛擬IP是不同的，VPN網關用虛擬IP來區分不同用戶的VPN隧道。

當多個用戶同時登錄時，VPN網關的支持情況如圖7所示。

用戶在獲得虛擬地址后訪問校園內部資源時，經過VPN網關時要進行地址轉換，轉換為VPN網關的內口地址，由于VPN網關的內口地址只有一個，多用戶登錄轉換完畢后，不同的虛擬IP轉換成內網地址并對應不同的端口號。也就是說，在訪問校園網內部資源時用VPN網關的內口地址和端口號來對接入用戶進行區分。

至此，SSL VPN連接成功。用戶可以像在單位一樣使用本地的IP地址訪問內網資源，方便快捷地處理日常辦公事務。

SSL VPN技術以其簡潔、低成本和良好的網絡安全管理措施將逐漸成為首選的遠程訪問解決方案，同時SSL協議所采用的加密算法和認證算法也使它具有較高的安全性。但是，由于SSL VPN只對通信雙方單個應用通道進行加密，不是對通信雙方主機之間的整個通道加密，所以對安全性要求較高的行業遠程系統建設建議采用IPSec VPN技術或IPSec VPN和SSL VPN混合接入的方式進行安全防護。

[1]王達.虛擬專用網(VPN)精解[M].北京：清華大學出版社，2004.

[2]CARMOUCHE J H.IPsec virtual private network fundamentals[M].Cisco Press，2006.

[3]DEAL R.The complete cisco VPN configuration guide[M].Cisco Press，2005.

[4]張學杰，李大興.SSL技術在構建VPN中的應用[J].計算機應用，2006，26(8)：1827-1830.

[5]馬淑文.SSL VPN技術在校園網中的應用與研究[J].計算機工程與設計，2008(11):5137-5143.

[6]何亞輝.基于SSL協議的VPN技術研究及在校園網中的應用[J].重慶理工大學學報（自然科學版），2011，25(2)：86-90.