浅析SSL VPN技术的原理及应用

★黄 祎（重庆电子工程职业学院）



浅析SSL VPN技术的原理及应用

★黄 祎
（重庆电子工程职业学院）

【摘要】本文首先论述了SSL VPN的工作原理,对于SSL VPN的基本属性展开了必要的分析,而后进一步就其工作应用场景和工作流程作了较为详细的阐述，对于把握SSL VPN体系的特征有着一定的积极价值。

【关键词】VPN；SSL VPN；Web

一、SSL VPN简介

SSLVPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。与复杂的IPSecVPN相比，SSL通过相对简易的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要像传统IPSecVPN一样必须为每一台客户机安装客户端软件。[1][2]

SSL协议主要由SSL握手协议和SSL记录协议组成，它们共同为应用访问连接提供认证、加密和防篡改功能。

SSL握手协议和IPSEC协议体系中的IKE(互联网密钥交换协议)协议类似，主要用于客户和服务器之间的相互认证，MAC(MessageAuthenticationCode-消息认证码)算法和协商加密算法，主要用于SSL记录协议中生成并使用的加密和认证密钥。

SSL记录协议为各种应用协议提供最基本的安全服务，和IPSEC的传输模式有易曲同工之处，应用程序消息参照MTU(最大传输单元)被分割成可治理的数据块(可进行数据压缩处理)的同时产生MAC信息，然后再加密并插入新的报头最后在TCP中传输;收到的数据在接收端进行解密，做身份验证(MAC认证)、解压缩、重组数据报最后提交给应用协议进行处理。

选择VPN是为了支持远程访问内部网络的应用，这是最先需要考虑的一点，目前，大多数SSLVPN都兼容大部分日常会用的邮件系统、OA系统、CRM/ERP等，但并不是所有，如动态端口的应用就只有部分SSLVPN能够支持。这一过程中，必须注意传输过程的安全其中必须保证用户身份的验证、客户端设备的安全性、访问后清楚客户端缓存、服务端日志跟踪，必须做到以上这几点才能在保证传输过程安全的同时，提高系统安全性，构建系统安全。

二、SSL VPN应用场景及流程

SSLVPN网关在企业网的边缘，介于企业服务器与远程用户之间并对二者的通信加以控制。SSLVPN采用的是标准的安全套接层（SSL）对传输中的数据包进行加密，并且在应用层保护数据的安全性。[3]

在不断扩展的互联网Web站点之间、无线热点和客户端间、远程办公室、酒店、传统交易大厅等场所，SSLVPN克服了IPSecVPN的不足，用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问，SSLVPN应用场景如图1所示。

图1SSLVPN应用场景

SSLVPN最常见的入口是网络页面，其基本运行流程：

1.登录VPN的网址（通常为HTTPS），该网址在浏览器中打开；

2.输键入用户身份信息，身份信息包括用户名、数字证书（如USB-Key）、静态口令、动态口令的随意组合，这样以确保身份的真实性和保密性；

3.选择服务类型，其中WEB代理使用起来最为简单，同时WEB代理可以控制粒度最细的SSLVPN应用，可以精确地制导任何一个链接；

4.端口映射的精细粒度仅次于WEB代理，它用TCP端口映射的方式（原理上类似于NAT内部服务器应用）为使用者提供TCP远程接入的服务，但是它需要特定的与服务器相应的SSLVPN客户端程序辅助；

5.IP连接是SSLVPN中粒度精细程度相对较差的，但是它已经被广泛使用，它实现了和L2TP相似的特性，服务器可以给每一个客户端一个VPN地址从而可以直接访问内部服务器，但是它也与端口映射一样需要专门的SSLVPN客户端程序帮忙；

6.SSLVPN由于处在TCP层，所以可以进行丰富的业务控制，如行为审计，可以记录每名用户的所有操作，为更好地管理VPN提供了有效统计数据；

7.当使用者退出SSLVPN登陆页面时，所有上述安全会话会统统释放。

三、结论

SSLVPN适用于远程用户基于Web的远程信息访问工作，能提供相对简单便捷且安全性高度可靠的网络保障需求，且能满足远程通信的要求。

参考文献：

[1]邱兵.SSL VPN安全特征分析[J].电子技术与软件工程,2015,(第4期).

[2]朱意秋.基于SSL协议的VPN技术研究和实现[J].轻工科技,2015,(第5期).

[3]毛一致,张晨东,陈珊.基于网络质量可视化建立SSL VPN网络运营质量管理[J].中国质量,2014,(第5期).