SSL VPN網絡安全技術的研究

陳榮

（長江工程職業技術學院，湖北 武漢 430212）

SSL VPN網絡安全技術的研究

陳榮

（長江工程職業技術學院，湖北 武漢 430212）

隨著互聯網的快速發展，企事業單位和個人越來越多地通過VPN進行網絡訪問，但是VPN訪問量的增加會給服務器帶來巨大的壓力，而且頻繁的訪問也會給服務器的數據安全帶來新的威脅。如何在復雜的網絡環境下保障VPN的安全性，是本文探討的重點。

網絡安全；數據保護；加密傳輸；隱私保護

1 引言

VPN（虛擬專用網絡）的工作原理是在公網的基礎上再建立一個加密傳輸的內部網絡，與傳統的DDN相比具有費用低、經濟實惠的特點。與撥號鏈接相比具有信息傳送安全、高效的特點。隨著近年來網絡大環境的轉變，為了響應國家關于加強網絡監控、打造綠色無毒網絡的要求，需要從安全性上入手加強對VPN網絡技術的開發和運用。SSL VPN以其高安全性得到廣泛的運用。

2 SSLVPN的特點及其運用

SSL VPN是一種既簡單又安全的遠程隧道訪問技術，使用非常簡單。SSL VPN采用公匙加密的方式來保障數據在傳輸的過程中的安全性，它采用瀏覽器和服務器直接溝通的方式，既方便了用戶的使用，又可以通過SSL協議來保證數據的安全。SSL協議是采用SSL/TLS綜合加密的方式來保障數據安全的。SSL協議從其使用上來說可以分為兩層：第一層是SSL記錄協議，這種協議可以為數據的傳輸提供基本的數據壓縮、加密等功能；第二層是SSL握手協議，主要用于檢測用戶的賬號密碼是否正確，進行身份驗證登錄。與IPSec VPN相比，SSL VPN具有架構簡單、運營成本低、處理速度快、安全性能高的特點，所以在企業用戶中得到大規模的使用。但是SSL協議是基于WEB開發的，通過瀏覽器來使用，由于近年來電腦病毒的多樣性，要想保障SSL VPN的安全運營，就需要在SSLVPN的安全技術上有所更新。

3 SSL協議與其它協議相比較的優勢

3.1 與IPSec協議相比較

IPSsec協議是一套完整的VPN技術，它有著一套體系完整的協議標準，對VPN的使用有著嚴格而復雜的要求。IPSEC協議利用Internet把封裝的數據進行傳輸，它還可以封裝內部網絡的IP地址，從而實現異地的網絡互通。IPSEC協議包含有包封裝協議、安全協議、身份認證等，再加上身份驗證、加密傳輸來保障安全性。與SSL VPN相比，IPSECVPN使用模式復雜，隧道模式雖然可以適用于任何場景，但是傳輸模式只限于pc到pc，無法實現手機和電腦的數據互通，這一點上SSL VPN就可以實現，因為SSL VPN是基于WEB開發的，不需要架構很多復雜的硬件去運行，不需要對VPN的軟硬件進行大量的評估、運營部署、后期維護升級，有利于減輕企業的經濟壓力，降低運營難度。

3.2 與PPTPVPN協議對比

PPTP VPN是在PPTP協議的基礎上開發的，是一種點對點隧道協議，PPTP VPN支持多協議，包含有密碼驗證協議、可擴展認證協議。用戶只需通過ISP來訪問內網。PPTP在使用上要求網絡必須為IP網絡且只能在兩個IP地址之間建立一個單一的隧道。在數據壓縮上PPTP占用的內存也較大，為了保障安全性，PPTP需要進行第二層協議上的隧道驗證。而SSL則沒有這么麻煩，且機動靈活，適用于任何網絡條件，只需要在瀏覽器內嵌入SSLVPN服務就可以。

3.3 SSLVPN的優勢所在

SSL VPN作為新興的技術，它具有傳統VPN所不具有的優勢即無需安裝客戶端，只需要在電腦上裝有瀏覽器就可以使用SSL VPN；適用于任何操作系統；支持網絡驅動器訪問；良好的安全性，用戶通過SSL訪問的并不是公司內網的真實IP節點，而是代理服務器節點，由此可以更好地保護公司的內部數據。SSL VPN可以繞過防火墻和安全服務器進行訪問，這一點是傳統VPN無法勝任的能力。現在很多人通過VPN訪問國外的網站，但是受限于網絡封鎖和防火墻的限制，很容易遭到封殺，而SSL VPN具備的繞開防火墻這一優勢，可以讓用戶更加愉快地訪問國外網站。

4 SSLVPN的安全協議

4.1 握手協議

握手協議是為了保障數據在傳送過程中的安全性，開始于數據傳輸之前的工作。它包含加密算法、密鑰等部分，由握手協議、修改密碼參數協議、警報協議三部分組成。實現客戶端與服務器之間的加密算法、為用戶確定一組加密密鑰、對用戶的身份進行認證并提供驗證密碼服務。握手協議的主要目的是確保服務器對用戶身份的確認和采用哪種方式進行數據傳輸，具有信息安全可靠和高效的特點。讓服務器和用戶按照既定的通訊協議進行交換工作。握手協議的工作方式分為四個階段：第一階段客戶機和服務器互相交換訪問信息；第二階段服務器端向用戶發送安全證書；第三階段服務器驗證用戶的安全證書和訪問密鑰；第四階段驗證通過后就允許用戶訪問內網資料。握手協議在工作中，每次握手都會生成新的密鑰以確保數據的安全。每次連接時的密鑰、MAC地址都會更新。在實際工作中，握手協議驗證三種身份：第一種是服務器的安全證書和身份；第二種是使用者和服務器的身份信息和密鑰，這種驗證方式安全性最高，使用最廣；第三種是客戶和服務器都不需要驗證，這種模式在實際中應用最少，因為其安全性很差。

4.2 記錄協議

SSLVPN的記錄協議是SSLVPN協議中最底下的一層，記錄協議主要用于記錄服務器內的數據，實現對數據的分類、加密壓縮、解密壓縮等工序，為數據的傳送做好準備工作，雖然處于底層，但是VPN中最基礎的一環。記錄協議是為SSL的高層協議提供封裝數據、壓縮數據、加密數據的功能。記錄數據是記錄協議的基本功能，在記錄數據上，記錄協議的工作流程是首先把高層協議分發的數據包進行分類、分塊重組，每個數據包均小于214字節；其次對數據包進行加密壓縮，在壓縮過程中要確保數據的完整性不被破壞；接著是在加密壓縮完成后計算數據包的MAC認證碼；最后給每一個加密壓縮完成的數據包打上唯一的標識碼，方便以后高層協議在調動時，可以快速地進行數據傳輸。

4.3 警告協議

SSL VPN的警告協議是運用于安全環節的，針對用戶驗證密鑰不正確或在遭受外來攻擊后能夠及時地發出警報，并及時地反饋給用戶和管理方，以便用戶的操作，及時地終止錯誤連接，避免發生更大的危害。警告協議分為重要警告和嚴重警告，重要警告時服務仍在繼續，但需要用戶及時驗證自己的密鑰并修改，嚴重警告時則立刻結束服務器和用戶之間的服務，終止雙方的工作，以保護服務器的數據不被外泄。

5 SSLVPN技術的安全保障

5.1 保密通信技術

信息化時代，數據安全是第一位的，數據安全得不到保障就會給企業和個人帶來巨大的損失。SSL VPN技術采用加密和解密算法去加密數據包。在保密技術上有對稱加密技術和非對稱加密技術。對稱加密的缺陷是加密后的密鑰過于復雜，優點是高效、算法速度快。非對稱加密算法是加密和解密的密鑰不同，加密密鑰可以公開，但是解密密鑰不會公開，要想知道內容需要專門的解密密鑰，在安全性上有一定的保障，非對稱加密技術的優點是便于用戶訪問和下載數據，免去記憶大量密碼的痛苦，缺點是加密后的數據臃腫，訪問效率低下。

5.2 SSLVPN的安全優勢

SSL VPN的主要協議有SSL握手協議、SSL記錄協議和SSL警告協議，他們為SSL VPN提供安全保障。SSL基于WEB設計，主要通過Internet實現公網到內網的訪問，可以說瀏覽器就是SSLVPN的客戶端，瀏覽器的安全性直接關系到SSL VPN的安全。SSL協議在安全方面提供三層防護：第一層用戶和主機服務器之間的安全驗證，這一環節主要驗證服務器和用戶各自的密鑰和安全證書。以此驗證用戶和服務器的身份合法性，確保服務器和個人的數據不被泄露；第二層是保護數據的安全性，SSL協議采用多種算法來保障數據的安全，在主機服務器和用戶之間建立一條安全隧道，通過隧道向用戶傳送數據；第三層是多重加密和驗證技術，在初始通訊中，首先握手協議發揮作用，在主機服務器和個人用戶之間互相驗證對方的身份真實性，其次是記錄協議打包數據，再加密壓縮、封裝數據包，做好發出準備，當密鑰驗證通過后，再次加密傳輸。

6 結語

SSL VPN作為新興的技術，其在安全問題上較前幾種有了極大的提升，尤其是SSL VPN以WEB為平臺開發，不需要獨立客戶端的優勢，是其它VPN協議所不具備的，在使用上有著很大的便利性。在移動終端大行其道的今天，數據互聯時代的到來，在帶給SSL VPN機遇的同時也帶來了挑戰，只有做好數據的傳輸和保存的安全服務才能占據主導地位。

[1]歐陽凱，周敬利，夏濤．基于虛擬服務的SSL VPN研究[J]．小型微型計算機，2006，27(2):29-32．

[2]王建良．分布式網絡數據傳輸中技術的研究計算機與網絡[J]．2013，5(6):60-65．

[3]汪志達，葉偉．Diffie-Hellman密鑰交換的算法實現與應用研究[J]．計算機應用與軟件，2008．5(9):90-93．

Study on the SSLVPN Network Security Technology

Chen Rong
(Changjiang Institute of Technology,Wuhan 430212,Hubei)

With the rapid development of the Internet,more and more enterprises and individuals access the network through VPN.But the increase of VPN access to the server will bring with tremendous pressure,and frequent access to the server will give new threats to data security.How to protect the security of VPN in the complex network environment is the key point of this paper.

network security;data protection;encryption transmission;privacy protection

TP393.01

A

1008-6609(2015)10-0050-02

陳榮，男，湖北仙桃人，碩士，講師，研究方向：計算機網絡、網絡安全。