SSL VPN网络安全技术的研究

陈荣

（长江工程职业技术学院，湖北 武汉 430212）

SSL VPN网络安全技术的研究

陈荣

（长江工程职业技术学院，湖北 武汉 430212）

随着互联网的快速发展，企事业单位和个人越来越多地通过VPN进行网络访问，但是VPN访问量的增加会给服务器带来巨大的压力，而且频繁的访问也会给服务器的数据安全带来新的威胁。如何在复杂的网络环境下保障VPN的安全性，是本文探讨的重点。

网络安全；数据保护；加密传输；隐私保护

1 引言

VPN（虚拟专用网络）的工作原理是在公网的基础上再建立一个加密传输的内部网络，与传统的DDN相比具有费用低、经济实惠的特点。与拨号链接相比具有信息传送安全、高效的特点。随着近年来网络大环境的转变，为了响应国家关于加强网络监控、打造绿色无毒网络的要求，需要从安全性上入手加强对VPN网络技术的开发和运用。SSL VPN以其高安全性得到广泛的运用。

2 SSLVPN的特点及其运用

SSL VPN是一种既简单又安全的远程隧道访问技术，使用非常简单。SSL VPN采用公匙加密的方式来保障数据在传输的过程中的安全性，它采用浏览器和服务器直接沟通的方式，既方便了用户的使用，又可以通过SSL协议来保证数据的安全。SSL协议是采用SSL/TLS综合加密的方式来保障数据安全的。SSL协议从其使用上来说可以分为两层：第一层是SSL记录协议，这种协议可以为数据的传输提供基本的数据压缩、加密等功能；第二层是SSL握手协议，主要用于检测用户的账号密码是否正确，进行身份验证登录。与IPSec VPN相比，SSL VPN具有架构简单、运营成本低、处理速度快、安全性能高的特点，所以在企业用户中得到大规模的使用。但是SSL协议是基于WEB开发的，通过浏览器来使用，由于近年来电脑病毒的多样性，要想保障SSL VPN的安全运营，就需要在SSLVPN的安全技术上有所更新。

3 SSL协议与其它协议相比较的优势

3.1 与IPSec协议相比较

IPSsec协议是一套完整的VPN技术，它有着一套体系完整的协议标准，对VPN的使用有着严格而复杂的要求。IPSEC协议利用Internet把封装的数据进行传输，它还可以封装内部网络的IP地址，从而实现异地的网络互通。IPSEC协议包含有包封装协议、安全协议、身份认证等，再加上身份验证、加密传输来保障安全性。与SSL VPN相比，IPSECVPN使用模式复杂，隧道模式虽然可以适用于任何场景，但是传输模式只限于pc到pc，无法实现手机和电脑的数据互通，这一点上SSL VPN就可以实现，因为SSL VPN是基于WEB开发的，不需要架构很多复杂的硬件去运行，不需要对VPN的软硬件进行大量的评估、运营部署、后期维护升级，有利于减轻企业的经济压力，降低运营难度。

3.2 与PPTPVPN协议对比

PPTP VPN是在PPTP协议的基础上开发的，是一种点对点隧道协议，PPTP VPN支持多协议，包含有密码验证协议、可扩展认证协议。用户只需通过ISP来访问内网。PPTP在使用上要求网络必须为IP网络且只能在两个IP地址之间建立一个单一的隧道。在数据压缩上PPTP占用的内存也较大，为了保障安全性，PPTP需要进行第二层协议上的隧道验证。而SSL则没有这么麻烦，且机动灵活，适用于任何网络条件，只需要在浏览器内嵌入SSLVPN服务就可以。

3.3 SSLVPN的优势所在

SSL VPN作为新兴的技术，它具有传统VPN所不具有的优势即无需安装客户端，只需要在电脑上装有浏览器就可以使用SSL VPN；适用于任何操作系统；支持网络驱动器访问；良好的安全性，用户通过SSL访问的并不是公司内网的真实IP节点，而是代理服务器节点，由此可以更好地保护公司的内部数据。SSL VPN可以绕过防火墙和安全服务器进行访问，这一点是传统VPN无法胜任的能力。现在很多人通过VPN访问国外的网站，但是受限于网络封锁和防火墙的限制，很容易遭到封杀，而SSL VPN具备的绕开防火墙这一优势，可以让用户更加愉快地访问国外网站。

4 SSLVPN的安全协议

4.1 握手协议

握手协议是为了保障数据在传送过程中的安全性，开始于数据传输之前的工作。它包含加密算法、密钥等部分，由握手协议、修改密码参数协议、警报协议三部分组成。实现客户端与服务器之间的加密算法、为用户确定一组加密密钥、对用户的身份进行认证并提供验证密码服务。握手协议的主要目的是确保服务器对用户身份的确认和采用哪种方式进行数据传输，具有信息安全可靠和高效的特点。让服务器和用户按照既定的通讯协议进行交换工作。握手协议的工作方式分为四个阶段：第一阶段客户机和服务器互相交换访问信息；第二阶段服务器端向用户发送安全证书；第三阶段服务器验证用户的安全证书和访问密钥；第四阶段验证通过后就允许用户访问内网资料。握手协议在工作中，每次握手都会生成新的密钥以确保数据的安全。每次连接时的密钥、MAC地址都会更新。在实际工作中，握手协议验证三种身份：第一种是服务器的安全证书和身份；第二种是使用者和服务器的身份信息和密钥，这种验证方式安全性最高，使用最广；第三种是客户和服务器都不需要验证，这种模式在实际中应用最少，因为其安全性很差。

4.2 记录协议

SSLVPN的记录协议是SSLVPN协议中最底下的一层，记录协议主要用于记录服务器内的数据，实现对数据的分类、加密压缩、解密压缩等工序，为数据的传送做好准备工作，虽然处于底层，但是VPN中最基础的一环。记录协议是为SSL的高层协议提供封装数据、压缩数据、加密数据的功能。记录数据是记录协议的基本功能，在记录数据上，记录协议的工作流程是首先把高层协议分发的数据包进行分类、分块重组，每个数据包均小于214字节；其次对数据包进行加密压缩，在压缩过程中要确保数据的完整性不被破坏；接着是在加密压缩完成后计算数据包的MAC认证码；最后给每一个加密压缩完成的数据包打上唯一的标识码，方便以后高层协议在调动时，可以快速地进行数据传输。

4.3 警告协议

SSL VPN的警告协议是运用于安全环节的，针对用户验证密钥不正确或在遭受外来攻击后能够及时地发出警报，并及时地反馈给用户和管理方，以便用户的操作，及时地终止错误连接，避免发生更大的危害。警告协议分为重要警告和严重警告，重要警告时服务仍在继续，但需要用户及时验证自己的密钥并修改，严重警告时则立刻结束服务器和用户之间的服务，终止双方的工作，以保护服务器的数据不被外泄。

5 SSLVPN技术的安全保障

5.1 保密通信技术

信息化时代，数据安全是第一位的，数据安全得不到保障就会给企业和个人带来巨大的损失。SSL VPN技术采用加密和解密算法去加密数据包。在保密技术上有对称加密技术和非对称加密技术。对称加密的缺陷是加密后的密钥过于复杂，优点是高效、算法速度快。非对称加密算法是加密和解密的密钥不同，加密密钥可以公开，但是解密密钥不会公开，要想知道内容需要专门的解密密钥，在安全性上有一定的保障，非对称加密技术的优点是便于用户访问和下载数据，免去记忆大量密码的痛苦，缺点是加密后的数据臃肿，访问效率低下。

5.2 SSLVPN的安全优势

SSL VPN的主要协议有SSL握手协议、SSL记录协议和SSL警告协议，他们为SSL VPN提供安全保障。SSL基于WEB设计，主要通过Internet实现公网到内网的访问，可以说浏览器就是SSLVPN的客户端，浏览器的安全性直接关系到SSL VPN的安全。SSL协议在安全方面提供三层防护：第一层用户和主机服务器之间的安全验证，这一环节主要验证服务器和用户各自的密钥和安全证书。以此验证用户和服务器的身份合法性，确保服务器和个人的数据不被泄露；第二层是保护数据的安全性，SSL协议采用多种算法来保障数据的安全，在主机服务器和用户之间建立一条安全隧道，通过隧道向用户传送数据；第三层是多重加密和验证技术，在初始通讯中，首先握手协议发挥作用，在主机服务器和个人用户之间互相验证对方的身份真实性，其次是记录协议打包数据，再加密压缩、封装数据包，做好发出准备，当密钥验证通过后，再次加密传输。

6 结语

SSL VPN作为新兴的技术，其在安全问题上较前几种有了极大的提升，尤其是SSL VPN以WEB为平台开发，不需要独立客户端的优势，是其它VPN协议所不具备的，在使用上有着很大的便利性。在移动终端大行其道的今天，数据互联时代的到来，在带给SSL VPN机遇的同时也带来了挑战，只有做好数据的传输和保存的安全服务才能占据主导地位。

[1]欧阳凯，周敬利，夏涛．基于虚拟服务的SSL VPN研究[J]．小型微型计算机，2006，27(2):29-32．

[2]王建良．分布式网络数据传输中技术的研究计算机与网络[J]．2013，5(6):60-65．

[3]汪志达，叶伟．Diffie-Hellman密钥交换的算法实现与应用研究[J]．计算机应用与软件，2008．5(9):90-93．

Study on the SSLVPN Network Security Technology

Chen Rong
(Changjiang Institute of Technology,Wuhan 430212,Hubei)

With the rapid development of the Internet,more and more enterprises and individuals access the network through VPN.But the increase of VPN access to the server will bring with tremendous pressure,and frequent access to the server will give new threats to data security.How to protect the security of VPN in the complex network environment is the key point of this paper.

network security;data protection;encryption transmission;privacy protection

TP393.01

A

1008-6609(2015)10-0050-02

陈荣，男，湖北仙桃人，硕士，讲师，研究方向：计算机网络、网络安全。