汪志勇

摘? ?要：文章基于對SSL VPN技術(shù)原理和作用路徑進行分析，探究了該項技術(shù)在當(dāng)前應(yīng)用和發(fā)展中存在的不足，并在此基礎(chǔ)上探究了該項技術(shù)在今后的完善與優(yōu)化方式，讓該項技術(shù)能夠更為全面地發(fā)揮應(yīng)有的安全保障作用。

關(guān)鍵詞：SSL;VPN;安全關(guān)鍵技術(shù)

1? ? SSL VPN技術(shù)的運行原理和流程

1.1? SSL? VPN技術(shù)的運行原理

由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議（Secure Sockets Layer，SSL）有兩層，具體內(nèi)容如下：（1）SSL記錄協(xié)議。記錄協(xié)議記錄在互聯(lián)網(wǎng)系統(tǒng)中的傳輸協(xié)議上，當(dāng)前應(yīng)用的傳輸協(xié)議主要為傳輸控制協(xié)議（Transmission Control Protocol，TCP）等，記錄協(xié)議發(fā)揮的作用為向高層協(xié)議提供服務(wù)，服務(wù)內(nèi)容為對數(shù)據(jù)進行打包、加密以及壓縮等，這些作用為整個網(wǎng)絡(luò)系統(tǒng)中的基本功能[1]。（2）SSL握手協(xié)議。該協(xié)議的位置在記錄協(xié)議之上，在正式的數(shù)據(jù)傳輸過程開始前，需要對該協(xié)議進行合理應(yīng)用，在正式的數(shù)據(jù)傳輸工作開始前，該協(xié)議會開展身份認證、密鑰交換和加密算法協(xié)商工作。

Internet數(shù)據(jù)安全協(xié)議虛擬專用網(wǎng)絡(luò)（SSL Virtual Private Network，SSL VPN）本質(zhì)上為一種安全連接技術(shù)，在互聯(lián)網(wǎng)技術(shù)的運行中，應(yīng)用瀏覽器以及專業(yè)軟件能夠在系統(tǒng)中建立數(shù)據(jù)傳輸通道，一個完整的SSL VPN系統(tǒng)包含服務(wù)器、網(wǎng)關(guān)和客戶端，網(wǎng)關(guān)為SSL VPN系統(tǒng)的服務(wù)器，能夠提供各項服務(wù)。SSL VPN通過對密鑰以及加密算法的協(xié)調(diào)提供安全保護功能。

1.2? SSL? VPN技術(shù)的運行流程

SSL VPN技術(shù)在運行過程中，該系統(tǒng)的運行流程如下：（1）瀏覽器請求等待過程。SSL VPN系統(tǒng)在運行過程中，會同時監(jiān)聽多個Web服務(wù)器的請求端口，當(dāng)發(fā)現(xiàn)某個服務(wù)器發(fā)送請求時，則需要開展對數(shù)據(jù)的處理工作，同時，對服務(wù)器的加密算法以及密鑰進行分析[2]。（2）安全連接建立。該過程發(fā)生在Web服務(wù)器發(fā)出申請后，當(dāng)SSL VPN服務(wù)器接收到連接請求后，會建成安全連接。（3）服務(wù)器地址轉(zhuǎn)換過程。在系統(tǒng)的運行中，SSL VPN服務(wù)器會監(jiān)測客戶端的端口以及服務(wù)地址，在轉(zhuǎn)換完成后，會將相關(guān)數(shù)據(jù)轉(zhuǎn)換成服務(wù)器的地址，并在完成轉(zhuǎn)換過程后向?qū)?yīng)的Web服務(wù)器發(fā)送請求信號，后續(xù)工作主要為等待Web服務(wù)器的響應(yīng)。（4）響應(yīng)數(shù)據(jù)轉(zhuǎn)換。在SSL VPN系統(tǒng)獲取了響應(yīng)數(shù)據(jù)后，會對該數(shù)據(jù)進行進一步處理，通過應(yīng)用建成的安全連接將處理后的數(shù)據(jù)傳輸?shù)娇蛻舳说臑g覽器上。

2? ? SSL VPN技術(shù)當(dāng)前存在的問題和優(yōu)化方法

SSL VPN技術(shù)當(dāng)前也存在一定問題，需要對這些問題的引發(fā)因素進行分析，在此基礎(chǔ)上探究優(yōu)化方法。

2.1? SSL? VPN技術(shù)當(dāng)前存在的問題

在SSL VPN技術(shù)應(yīng)用過程中，增加了服務(wù)器的負載，同時，在該項技術(shù)當(dāng)前的應(yīng)用中，系統(tǒng)的反應(yīng)速度較低，SSL VPN技術(shù)在響應(yīng)速度上無法滿足高效運行要求。這是因為在SSL VPN技術(shù)的應(yīng)用中，需要建成加密通道。在加密過程中，會產(chǎn)生大量的字符，SSL VPN3.0中，產(chǎn)生的密鑰字符至少為1 024 bit，當(dāng)密鑰長度增加時，密鑰的字節(jié)數(shù)也會大幅提升，SSL VPN系統(tǒng)運行涉及解密過程，該過程需要消耗大量的解密時間[3]。另外，在密鑰產(chǎn)生和生成的過程中，產(chǎn)生的這些密鑰都會存在于系統(tǒng)中，當(dāng)產(chǎn)生的無效密鑰未能及時清除時，就會占用大量的存儲空間，為整個服務(wù)器帶來重大運行負擔(dān)。

2.2? SSL? VPN技術(shù)的優(yōu)化方法

在SSL VPN技術(shù)的優(yōu)化過程中，本文從兩個方向開展針對該項技術(shù)的優(yōu)化工作，具體優(yōu)化思路如下。

2.2.1? 加密算法優(yōu)化

目前SSL VPN技術(shù)應(yīng)用中，應(yīng)用的加密算法為RSA算法，這種算法從原理上來看較為簡單，但存在運行效率較低以及會為服務(wù)器帶來重大負擔(dān)的問題，需要應(yīng)用其余類型的加密算法。本文選用的加密算法為錯誤檢查和糾正（Error Correcting Code，ECC）算法，其原理和應(yīng)用方式如下。

首先，ECC算法原理。ECC算法的數(shù)學(xué)原理為構(gòu)建橢圓曲線上的有理點，將這些有理點構(gòu)成一個集群，獲取的密碼位于橢圓曲線定義的有限域上，有限域表達的橢圓曲線定義為：

在該公式中，P的含義為奇素數(shù)，對于該公式中的X來說，所有的X值都不小于0且小于P，但是在該公式的應(yīng)用中存在一個限制條件，即4A3+27B2≠0 mod P，在該公式的應(yīng)用和運行過程中，最終能夠生成針對曲線上的（X，Y）點集合，并且在該算法的實際應(yīng)用中，可以將這些有效點表示為EP（A，B），獲取的有效點中的X值和Y值都需要不大于P值。

其次，ECC算法應(yīng)用方式。在ECC算法的具體應(yīng)用中，系統(tǒng)中存在一個基點，定義為G，公開密鑰為K，私有密鑰為k，其中，k小于G的階數(shù)，在滿足這兩個條件的情況下，ECC算法的應(yīng)用方式如下：（1）獲取G點。G點的獲取來源為EP（A，B）上的任意一點，并且在瀏覽器發(fā)出請求的基礎(chǔ)上完成對G點的選擇工作。（2）私有密鑰選擇。瀏覽器在該過程中會選擇私有密鑰，由于私有密鑰要與公有密鑰建成一一聯(lián)系的關(guān)系，所以在該算法的應(yīng)用中，選擇原則可以為K=kG。（3）密鑰數(shù)據(jù)傳輸。該過程中傳輸?shù)膬?nèi)容包括EP（A，B）、基點G和公開密鑰K，這些數(shù)據(jù)的傳輸流程為從服務(wù)器A傳輸?shù)椒?wù)器B。（4）SSL VPN服務(wù)器在接收到數(shù)據(jù)傳輸請求后，對服務(wù)器中的數(shù)據(jù)進行編碼，并且將編碼后的數(shù)據(jù)映射到曲線有效點EP（A，B）上，最終獲得一個點陣M，從該點陣中獲取各類整數(shù)。（5）數(shù)據(jù)反向傳輸過程。該過程中的數(shù)據(jù)傳輸方向為從服務(wù)器B到服務(wù)器A，SSL VPN服務(wù)器在對數(shù)據(jù)處理后，將數(shù)據(jù)整合成C1和C2形式，其中，C1計算公式為C1=M+RK，C2=RG，傳輸?shù)臄?shù)據(jù)類型為服務(wù)器最終獲取的C1和C2。（6）客戶端解密過程?？蛻舳说慕饷苓^程為獲取經(jīng)過SSL VPN數(shù)據(jù)處理的點陣M，從最終的計算結(jié)果上來看，M=C1-kC2，推導(dǎo)過程如下：

所以，在ECC算法的具體應(yīng)用中，應(yīng)用M的計算公式即可以在瀏覽器上完成解密工作。

2.2.2? 加密級別優(yōu)化

SSL VPN技術(shù)在運行過程中，會產(chǎn)生不同長度的密鑰，本文應(yīng)用這一特點對數(shù)據(jù)的加密級別進行處理，建成的最終加密等級為A～D級，其中，A級為最高加密等級，產(chǎn)生的密鑰長度最長，D級為最低加密等級，密鑰長度最短。

在系統(tǒng)的運行過程中，需要對加密等級進行調(diào)整，在該項工作的開展中，系統(tǒng)的操作步驟如下：（1）密級設(shè)定過程。該過程中會假設(shè)當(dāng)前的安全登記為D—X—B—A，其中，X的安全密級高于D小于A。而當(dāng)前信息傳輸中的數(shù)據(jù)處理密級為X，其中，X和Y不相等[4]。（2）數(shù)據(jù)傳輸過程。在本文的研究中，將X密級轉(zhuǎn)換為Y密級，在數(shù)據(jù)的傳輸過程中，將服務(wù)器B應(yīng)用Y密級對數(shù)據(jù)進行處理，服務(wù)器A應(yīng)用X密級進行解密，在解密完成后將數(shù)據(jù)傳遞到服務(wù)器B，當(dāng)發(fā)現(xiàn)服務(wù)器B允許操作時，在后續(xù)的處理中前全面應(yīng)用Y密級進行數(shù)據(jù)處理，當(dāng)服務(wù)器B不允許操作時，后續(xù)的數(shù)據(jù)加密全部應(yīng)用X密級進行處理。（3）解密過程。解密過程需要在客戶端A上完成，解密過程的X，Y密級確定方法和數(shù)據(jù)傳輸過程完全相反。

3? ? 優(yōu)化后SSL VPN技術(shù)的安全保障能力

本文主要優(yōu)化目的為SSL VPN系統(tǒng)的響應(yīng)速度，具體的分析結(jié)果如下。

3.1? 安全性測試

在SSL VPN技術(shù)的當(dāng)前形式中，實際上已經(jīng)有很高的安全保障能力，所以本文的測試方式為對ECC算法和RSA算法在安全性方面的研究和分析。從技術(shù)原理上來看，雖然RSA算法能夠?qū)Ψ?wù)器中的所有數(shù)據(jù)進行高強度加密，ECC算法為一種分級性的加密算法，但是對于整個加密系統(tǒng)來說，并不需要對所有的數(shù)據(jù)進行高強度加密設(shè)計。密鑰生成過程ECC算法耗時3.76 ms，RSA算法耗時4.608 ms。兩種算法在安全性方面的性能相似，并且密鑰生成過程的耗時也較為相似，但是從簽名驗證、認證驗證以及DH密鑰交換過程來看，ECC算法消耗的時間要遠低于RSA算法，尤其是DH密鑰交換過程中，ECC算法的耗時為7.26 ms，而RSA算法的耗時為1 587 ms，在相同安全保證性能下，ECC算法的響應(yīng)時間要遠低于RSA算法，經(jīng)過優(yōu)化后的SSL VPN技術(shù)能夠大幅提升響應(yīng)速度。

3.2? 響應(yīng)速度測試

在響應(yīng)速度的測試中，本文采用未優(yōu)化和優(yōu)化后的SSL VPN技術(shù)下載一個固定文件，共下載了20次，通過對下載時間的記錄計算文件的傳輸速度，實現(xiàn)對SSL VPN技術(shù)運行效果的比較，最終獲取的結(jié)果如下。

（1）明文傳輸狀態(tài)。明文傳輸?shù)臄?shù)據(jù)傳輸速度為687.58 kB/s，本文在研究過程中，將明文傳輸狀態(tài)作為參考的基準點，另外兩種數(shù)據(jù)加密計算的數(shù)據(jù)傳輸速度都與明文傳輸狀態(tài)進行比較。

（2）未優(yōu)化SSL VPN技術(shù)。數(shù)據(jù)傳輸速度為562.63 kB/s，與明文狀態(tài)的傳輸速度比值為81.8%。

（3）優(yōu)化后SSL VPN技術(shù)。該技術(shù)的數(shù)據(jù)傳輸速度為627.56 kB/s，與明文狀態(tài)下的傳輸速度比值為91.3%。從最終結(jié)果上來看，優(yōu)化后的SSL VPN技術(shù)在數(shù)據(jù)傳輸速度方面提升明顯，所以在該項技術(shù)今后的發(fā)展中，可以應(yīng)用分級加密技術(shù)提高數(shù)據(jù)傳輸速度。

4? ? 結(jié)語

當(dāng)前存在的主要問題為安全性和運行效率過低，導(dǎo)致SSL VPN技術(shù)在應(yīng)用中數(shù)據(jù)的傳輸速度較低。應(yīng)用ECC算法替代當(dāng)前應(yīng)用RSA算法，可以提高數(shù)據(jù)的傳輸速度，建成分級加密制度，提高整個系統(tǒng)的響應(yīng)速度。

[參考文獻]

[1]劉陽.基于USBkey認證的SSL VPN網(wǎng)絡(luò)的設(shè)計與實現(xiàn)[D].長春：吉林大學(xué)，2014.

[2]鄭化浦，劉帥.SSL VPN網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究[J].河南城建學(xué)院學(xué)報，2013（4）：69-72.

[3]張宇.SSL VPN中訪問控制的研究以及教學(xué)實驗的實現(xiàn)[D].上海：上海交通大學(xué)，2010.

[4]梁鈞.基于SSL協(xié)議的VPN關(guān)鍵技術(shù)的分析與設(shè)計[D].昆明：云南大學(xué)，2010.

Abstract：Based on the analysis of the principle and action path of SSL VPN technology， this paper probes into the shortcomings of this technology in the current application and development， and on this basis， probes into the perfection and optimization mode of this technology in the future. So that the technology can play a more comprehensive role of safety and security.

Key words：SSL; VPN; security key technology