陳榮

（長江工程職業(yè)技術(shù)學(xué)院，湖北 武漢 430212）

SSL VPN網(wǎng)絡(luò)安全技術(shù)的研究

陳榮

（長江工程職業(yè)技術(shù)學(xué)院，湖北 武漢 430212）

隨著互聯(lián)網(wǎng)的快速發(fā)展，企事業(yè)單位和個(gè)人越來越多地通過VPN進(jìn)行網(wǎng)絡(luò)訪問，但是VPN訪問量的增加會(huì)給服務(wù)器帶來巨大的壓力，而且頻繁的訪問也會(huì)給服務(wù)器的數(shù)據(jù)安全帶來新的威脅。如何在復(fù)雜的網(wǎng)絡(luò)環(huán)境下保障VPN的安全性，是本文探討的重點(diǎn)。

網(wǎng)絡(luò)安全；數(shù)據(jù)保護(hù)；加密傳輸；隱私保護(hù)

1 引言

VPN（虛擬專用網(wǎng)絡(luò)）的工作原理是在公網(wǎng)的基礎(chǔ)上再建立一個(gè)加密傳輸?shù)膬?nèi)部網(wǎng)絡(luò)，與傳統(tǒng)的DDN相比具有費(fèi)用低、經(jīng)濟(jì)實(shí)惠的特點(diǎn)。與撥號(hào)鏈接相比具有信息傳送安全、高效的特點(diǎn)。隨著近年來網(wǎng)絡(luò)大環(huán)境的轉(zhuǎn)變，為了響應(yīng)國家關(guān)于加強(qiáng)網(wǎng)絡(luò)監(jiān)控、打造綠色無毒網(wǎng)絡(luò)的要求，需要從安全性上入手加強(qiáng)對(duì)VPN網(wǎng)絡(luò)技術(shù)的開發(fā)和運(yùn)用。SSL VPN以其高安全性得到廣泛的運(yùn)用。

2 SSLVPN的特點(diǎn)及其運(yùn)用

SSL VPN是一種既簡單又安全的遠(yuǎn)程隧道訪問技術(shù)，使用非常簡單。SSL VPN采用公匙加密的方式來保障數(shù)據(jù)在傳輸?shù)倪^程中的安全性，它采用瀏覽器和服務(wù)器直接溝通的方式，既方便了用戶的使用，又可以通過SSL協(xié)議來保證數(shù)據(jù)的安全。SSL協(xié)議是采用SSL/TLS綜合加密的方式來保障數(shù)據(jù)安全的。SSL協(xié)議從其使用上來說可以分為兩層：第一層是SSL記錄協(xié)議，這種協(xié)議可以為數(shù)據(jù)的傳輸提供基本的數(shù)據(jù)壓縮、加密等功能；第二層是SSL握手協(xié)議，主要用于檢測用戶的賬號(hào)密碼是否正確，進(jìn)行身份驗(yàn)證登錄。與IPSec VPN相比，SSL VPN具有架構(gòu)簡單、運(yùn)營成本低、處理速度快、安全性能高的特點(diǎn)，所以在企業(yè)用戶中得到大規(guī)模的使用。但是SSL協(xié)議是基于WEB開發(fā)的，通過瀏覽器來使用，由于近年來電腦病毒的多樣性，要想保障SSL VPN的安全運(yùn)營，就需要在SSLVPN的安全技術(shù)上有所更新。

3 SSL協(xié)議與其它協(xié)議相比較的優(yōu)勢

3.1 與IPSec協(xié)議相比較

IPSsec協(xié)議是一套完整的VPN技術(shù)，它有著一套體系完整的協(xié)議標(biāo)準(zhǔn)，對(duì)VPN的使用有著嚴(yán)格而復(fù)雜的要求。IPSEC協(xié)議利用Internet把封裝的數(shù)據(jù)進(jìn)行傳輸，它還可以封裝內(nèi)部網(wǎng)絡(luò)的IP地址，從而實(shí)現(xiàn)異地的網(wǎng)絡(luò)互通。IPSEC協(xié)議包含有包封裝協(xié)議、安全協(xié)議、身份認(rèn)證等，再加上身份驗(yàn)證、加密傳輸來保障安全性。與SSL VPN相比，IPSECVPN使用模式復(fù)雜，隧道模式雖然可以適用于任何場景，但是傳輸模式只限于pc到pc，無法實(shí)現(xiàn)手機(jī)和電腦的數(shù)據(jù)互通，這一點(diǎn)上SSL VPN就可以實(shí)現(xiàn)，因?yàn)镾SL VPN是基于WEB開發(fā)的，不需要架構(gòu)很多復(fù)雜的硬件去運(yùn)行，不需要對(duì)VPN的軟硬件進(jìn)行大量的評(píng)估、運(yùn)營部署、后期維護(hù)升級(jí)，有利于減輕企業(yè)的經(jīng)濟(jì)壓力，降低運(yùn)營難度。

3.2 與PPTPVPN協(xié)議對(duì)比

PPTP VPN是在PPTP協(xié)議的基礎(chǔ)上開發(fā)的，是一種點(diǎn)對(duì)點(diǎn)隧道協(xié)議，PPTP VPN支持多協(xié)議，包含有密碼驗(yàn)證協(xié)議、可擴(kuò)展認(rèn)證協(xié)議。用戶只需通過ISP來訪問內(nèi)網(wǎng)。PPTP在使用上要求網(wǎng)絡(luò)必須為IP網(wǎng)絡(luò)且只能在兩個(gè)IP地址之間建立一個(gè)單一的隧道。在數(shù)據(jù)壓縮上PPTP占用的內(nèi)存也較大，為了保障安全性，PPTP需要進(jìn)行第二層協(xié)議上的隧道驗(yàn)證。而SSL則沒有這么麻煩，且機(jī)動(dòng)靈活，適用于任何網(wǎng)絡(luò)條件，只需要在瀏覽器內(nèi)嵌入SSLVPN服務(wù)就可以。

3.3 SSLVPN的優(yōu)勢所在

SSL VPN作為新興的技術(shù)，它具有傳統(tǒng)VPN所不具有的優(yōu)勢即無需安裝客戶端，只需要在電腦上裝有瀏覽器就可以使用SSL VPN；適用于任何操作系統(tǒng)；支持網(wǎng)絡(luò)驅(qū)動(dòng)器訪問；良好的安全性，用戶通過SSL訪問的并不是公司內(nèi)網(wǎng)的真實(shí)IP節(jié)點(diǎn)，而是代理服務(wù)器節(jié)點(diǎn)，由此可以更好地保護(hù)公司的內(nèi)部數(shù)據(jù)。SSL VPN可以繞過防火墻和安全服務(wù)器進(jìn)行訪問，這一點(diǎn)是傳統(tǒng)VPN無法勝任的能力?，F(xiàn)在很多人通過VPN訪問國外的網(wǎng)站，但是受限于網(wǎng)絡(luò)封鎖和防火墻的限制，很容易遭到封殺，而SSL VPN具備的繞開防火墻這一優(yōu)勢，可以讓用戶更加愉快地訪問國外網(wǎng)站。

4 SSLVPN的安全協(xié)議

4.1 握手協(xié)議

握手協(xié)議是為了保障數(shù)據(jù)在傳送過程中的安全性，開始于數(shù)據(jù)傳輸之前的工作。它包含加密算法、密鑰等部分，由握手協(xié)議、修改密碼參數(shù)協(xié)議、警報(bào)協(xié)議三部分組成。實(shí)現(xiàn)客戶端與服務(wù)器之間的加密算法、為用戶確定一組加密密鑰、對(duì)用戶的身份進(jìn)行認(rèn)證并提供驗(yàn)證密碼服務(wù)。握手協(xié)議的主要目的是確保服務(wù)器對(duì)用戶身份的確認(rèn)和采用哪種方式進(jìn)行數(shù)據(jù)傳輸，具有信息安全可靠和高效的特點(diǎn)。讓服務(wù)器和用戶按照既定的通訊協(xié)議進(jìn)行交換工作。握手協(xié)議的工作方式分為四個(gè)階段：第一階段客戶機(jī)和服務(wù)器互相交換訪問信息；第二階段服務(wù)器端向用戶發(fā)送安全證書；第三階段服務(wù)器驗(yàn)證用戶的安全證書和訪問密鑰；第四階段驗(yàn)證通過后就允許用戶訪問內(nèi)網(wǎng)資料。握手協(xié)議在工作中，每次握手都會(huì)生成新的密鑰以確保數(shù)據(jù)的安全。每次連接時(shí)的密鑰、MAC地址都會(huì)更新。在實(shí)際工作中，握手協(xié)議驗(yàn)證三種身份：第一種是服務(wù)器的安全證書和身份；第二種是使用者和服務(wù)器的身份信息和密鑰，這種驗(yàn)證方式安全性最高，使用最廣；第三種是客戶和服務(wù)器都不需要驗(yàn)證，這種模式在實(shí)際中應(yīng)用最少，因?yàn)槠浒踩院懿睢?/p>

4.2 記錄協(xié)議

SSLVPN的記錄協(xié)議是SSLVPN協(xié)議中最底下的一層，記錄協(xié)議主要用于記錄服務(wù)器內(nèi)的數(shù)據(jù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)的分類、加密壓縮、解密壓縮等工序，為數(shù)據(jù)的傳送做好準(zhǔn)備工作，雖然處于底層，但是VPN中最基礎(chǔ)的一環(huán)。記錄協(xié)議是為SSL的高層協(xié)議提供封裝數(shù)據(jù)、壓縮數(shù)據(jù)、加密數(shù)據(jù)的功能。記錄數(shù)據(jù)是記錄協(xié)議的基本功能，在記錄數(shù)據(jù)上，記錄協(xié)議的工作流程是首先把高層協(xié)議分發(fā)的數(shù)據(jù)包進(jìn)行分類、分塊重組，每個(gè)數(shù)據(jù)包均小于214字節(jié)；其次對(duì)數(shù)據(jù)包進(jìn)行加密壓縮，在壓縮過程中要確保數(shù)據(jù)的完整性不被破壞；接著是在加密壓縮完成后計(jì)算數(shù)據(jù)包的MAC認(rèn)證碼；最后給每一個(gè)加密壓縮完成的數(shù)據(jù)包打上唯一的標(biāo)識(shí)碼，方便以后高層協(xié)議在調(diào)動(dòng)時(shí)，可以快速地進(jìn)行數(shù)據(jù)傳輸。

4.3 警告協(xié)議

SSL VPN的警告協(xié)議是運(yùn)用于安全環(huán)節(jié)的，針對(duì)用戶驗(yàn)證密鑰不正確或在遭受外來攻擊后能夠及時(shí)地發(fā)出警報(bào)，并及時(shí)地反饋給用戶和管理方，以便用戶的操作，及時(shí)地終止錯(cuò)誤連接，避免發(fā)生更大的危害。警告協(xié)議分為重要警告和嚴(yán)重警告，重要警告時(shí)服務(wù)仍在繼續(xù)，但需要用戶及時(shí)驗(yàn)證自己的密鑰并修改，嚴(yán)重警告時(shí)則立刻結(jié)束服務(wù)器和用戶之間的服務(wù)，終止雙方的工作，以保護(hù)服務(wù)器的數(shù)據(jù)不被外泄。

5 SSLVPN技術(shù)的安全保障

5.1 保密通信技術(shù)

信息化時(shí)代，數(shù)據(jù)安全是第一位的，數(shù)據(jù)安全得不到保障就會(huì)給企業(yè)和個(gè)人帶來巨大的損失。SSL VPN技術(shù)采用加密和解密算法去加密數(shù)據(jù)包。在保密技術(shù)上有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)。對(duì)稱加密的缺陷是加密后的密鑰過于復(fù)雜，優(yōu)點(diǎn)是高效、算法速度快。非對(duì)稱加密算法是加密和解密的密鑰不同，加密密鑰可以公開，但是解密密鑰不會(huì)公開，要想知道內(nèi)容需要專門的解密密鑰，在安全性上有一定的保障，非對(duì)稱加密技術(shù)的優(yōu)點(diǎn)是便于用戶訪問和下載數(shù)據(jù)，免去記憶大量密碼的痛苦，缺點(diǎn)是加密后的數(shù)據(jù)臃腫，訪問效率低下。

5.2 SSLVPN的安全優(yōu)勢

SSL VPN的主要協(xié)議有SSL握手協(xié)議、SSL記錄協(xié)議和SSL警告協(xié)議，他們?yōu)镾SL VPN提供安全保障。SSL基于WEB設(shè)計(jì)，主要通過Internet實(shí)現(xiàn)公網(wǎng)到內(nèi)網(wǎng)的訪問，可以說瀏覽器就是SSLVPN的客戶端，瀏覽器的安全性直接關(guān)系到SSL VPN的安全。SSL協(xié)議在安全方面提供三層防護(hù)：第一層用戶和主機(jī)服務(wù)器之間的安全驗(yàn)證，這一環(huán)節(jié)主要驗(yàn)證服務(wù)器和用戶各自的密鑰和安全證書。以此驗(yàn)證用戶和服務(wù)器的身份合法性，確保服務(wù)器和個(gè)人的數(shù)據(jù)不被泄露；第二層是保護(hù)數(shù)據(jù)的安全性，SSL協(xié)議采用多種算法來保障數(shù)據(jù)的安全，在主機(jī)服務(wù)器和用戶之間建立一條安全隧道，通過隧道向用戶傳送數(shù)據(jù)；第三層是多重加密和驗(yàn)證技術(shù)，在初始通訊中，首先握手協(xié)議發(fā)揮作用，在主機(jī)服務(wù)器和個(gè)人用戶之間互相驗(yàn)證對(duì)方的身份真實(shí)性，其次是記錄協(xié)議打包數(shù)據(jù)，再加密壓縮、封裝數(shù)據(jù)包，做好發(fā)出準(zhǔn)備，當(dāng)密鑰驗(yàn)證通過后，再次加密傳輸。

6 結(jié)語

SSL VPN作為新興的技術(shù)，其在安全問題上較前幾種有了極大的提升，尤其是SSL VPN以WEB為平臺(tái)開發(fā)，不需要獨(dú)立客戶端的優(yōu)勢，是其它VPN協(xié)議所不具備的，在使用上有著很大的便利性。在移動(dòng)終端大行其道的今天，數(shù)據(jù)互聯(lián)時(shí)代的到來，在帶給SSL VPN機(jī)遇的同時(shí)也帶來了挑戰(zhàn)，只有做好數(shù)據(jù)的傳輸和保存的安全服務(wù)才能占據(jù)主導(dǎo)地位。

[1]歐陽凱，周敬利，夏濤．基于虛擬服務(wù)的SSL VPN研究[J]．小型微型計(jì)算機(jī)，2006，27(2):29-32．

[2]王建良．分布式網(wǎng)絡(luò)數(shù)據(jù)傳輸中技術(shù)的研究計(jì)算機(jī)與網(wǎng)絡(luò)[J]．2013，5(6):60-65．

[3]汪志達(dá)，葉偉．Diffie-Hellman密鑰交換的算法實(shí)現(xiàn)與應(yīng)用研究[J]．計(jì)算機(jī)應(yīng)用與軟件，2008．5(9):90-93．

Study on the SSLVPN Network Security Technology

Chen Rong
(Changjiang Institute of Technology,Wuhan 430212,Hubei)

With the rapid development of the Internet,more and more enterprises and individuals access the network through VPN.But the increase of VPN access to the server will bring with tremendous pressure,and frequent access to the server will give new threats to data security.How to protect the security of VPN in the complex network environment is the key point of this paper.

network security;data protection;encryption transmission;privacy protection

TP393.01

A

1008-6609(2015)10-0050-02

陳榮，男，湖北仙桃人，碩士，講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)安全。