对SSL VPN安全关键技术的运用

2019-07-29 00:41汪志勇
无线互联科技 2019年9期

汪志勇

摘   要:文章基于对SSL VPN技术原理和作用路径进行分析,探究了该项技术在当前应用和发展中存在的不足,并在此基础上探究了该项技术在今后的完善与优化方式,让该项技术能够更为全面地发挥应有的安全保障作用。

关键词:SSL;VPN;安全关键技术

1    SSL VPN技术的运行原理和流程

1.1  SSL  VPN技术的运行原理

由Netscape公司开发的一套Internet数据安全协议(Secure Sockets Layer,SSL)有两层,具体内容如下:(1)SSL记录协议。记录协议记录在互联网系统中的传输协议上,当前应用的传输协议主要为传输控制协议(Transmission Control Protocol,TCP)等,记录协议发挥的作用为向高层协议提供服务,服务内容为对数据进行打包、加密以及压缩等,这些作用为整个网络系统中的基本功能[1]。(2)SSL握手协议。该协议的位置在记录协议之上,在正式的数据传输过程开始前,需要对该协议进行合理应用,在正式的数据传输工作开始前,该协议会开展身份认证、密钥交换和加密算法协商工作。

Internet数据安全协议虚拟专用网络(SSL Virtual Private Network,SSL VPN)本质上为一种安全连接技术,在互联网技术的运行中,应用浏览器以及专业软件能够在系统中建立数据传输通道,一个完整的SSL VPN系统包含服务器、网关和客户端,网关为SSL VPN系统的服务器,能够提供各项服务。SSL VPN通过对密钥以及加密算法的协调提供安全保护功能。

1.2  SSL  VPN技术的运行流程

SSL VPN技术在运行过程中,该系统的运行流程如下:(1)浏览器请求等待过程。SSL VPN系统在运行过程中,会同时监听多个Web服务器的请求端口,当发现某个服务器发送请求时,则需要开展对数据的处理工作,同时,对服务器的加密算法以及密钥进行分析[2]。(2)安全连接建立。该过程发生在Web服务器发出申请后,当SSL VPN服务器接收到连接请求后,会建成安全连接。(3)服务器地址转换过程。在系统的运行中,SSL VPN服务器会监测客户端的端口以及服务地址,在转换完成后,会将相关数据转换成服务器的地址,并在完成转换过程后向对应的Web服务器发送请求信号,后续工作主要为等待Web服务器的响应。(4)响应数据转换。在SSL VPN系统获取了响应数据后,会对该数据进行进一步处理,通过应用建成的安全连接将处理后的数据传输到客户端的浏览器上。

2    SSL VPN技术当前存在的问题和优化方法

SSL VPN技术当前也存在一定问题,需要对这些问题的引发因素进行分析,在此基础上探究优化方法。

2.1  SSL  VPN技术当前存在的问题

在SSL VPN技术应用过程中,增加了服务器的负载,同时,在该项技术当前的应用中,系统的反应速度较低,SSL VPN技术在响应速度上无法满足高效运行要求。这是因为在SSL VPN技术的应用中,需要建成加密通道。在加密过程中,会产生大量的字符,SSL VPN3.0中,产生的密钥字符至少为1 024 bit,当密钥长度增加时,密钥的字节数也会大幅提升,SSL VPN系统运行涉及解密过程,该过程需要消耗大量的解密时间[3]。另外,在密钥产生和生成的过程中,产生的这些密钥都会存在于系统中,当产生的无效密钥未能及时清除时,就会占用大量的存储空间,为整个服务器带来重大运行负担。

2.2  SSL  VPN技术的优化方法

在SSL VPN技术的优化过程中,本文从两个方向开展针对该项技术的优化工作,具体优化思路如下。

2.2.1  加密算法优化

目前SSL VPN技术应用中,应用的加密算法为RSA算法,这种算法从原理上来看较为简单,但存在运行效率较低以及会为服务器带来重大负担的问题,需要应用其余类型的加密算法。本文选用的加密算法为错误检查和纠正(Error Correcting Code,ECC)算法,其原理和应用方式如下。

首先,ECC算法原理。ECC算法的数学原理为构建椭圆曲线上的有理点,将这些有理点构成一个集群,获取的密码位于椭圆曲线定义的有限域上,有限域表达的椭圆曲线定义为:

在该公式中,P的含义为奇素数,对于该公式中的X来说,所有的X值都不小于0且小于P,但是在该公式的应用中存在一个限制条件,即4A3+27B2≠0 mod P,在该公式的应用和运行过程中,最终能够生成针对曲线上的(X,Y)点集合,并且在该算法的实际应用中,可以将这些有效点表示为EP(A,B),获取的有效点中的X值和Y值都需要不大于P值。

其次,ECC算法应用方式。在ECC算法的具体应用中,系统中存在一个基点,定义为G,公开密钥为K,私有密钥为k,其中,k小于G的阶数,在满足这两个条件的情况下,ECC算法的应用方式如下:(1)获取G点。G点的获取来源为EP(A,B)上的任意一点,并且在浏览器发出请求的基础上完成对G点的选择工作。(2)私有密钥选择。浏览器在该过程中会选择私有密钥,由于私有密钥要与公有密钥建成一一联系的关系,所以在该算法的应用中,选择原则可以为K=kG。(3)密钥数据传输。该过程中传输的内容包括EP(A,B)、基点G和公开密钥K,这些数据的传输流程为从服务器A传输到服务器B。(4)SSL VPN服务器在接收到数据传输请求后,对服务器中的数据进行编码,并且将编码后的数据映射到曲线有效点EP(A,B)上,最终获得一個点阵M,从该点阵中获取各类整数。(5)数据反向传输过程。该过程中的数据传输方向为从服务器B到服务器A,SSL VPN服务器在对数据处理后,将数据整合成C1和C2形式,其中,C1计算公式为C1=M+RK,C2=RG,传输的数据类型为服务器最终获取的C1和C2。(6)客户端解密过程。客户端的解密过程为获取经过SSL VPN数据处理的点阵M,从最终的计算结果上来看,M=C1-kC2,推导过程如下:

所以,在ECC算法的具体应用中,应用M的计算公式即可以在浏览器上完成解密工作。

2.2.2  加密级别优化

SSL VPN技术在运行过程中,会产生不同长度的密钥,本文应用这一特点对数据的加密级别进行处理,建成的最终加密等级为A~D级,其中,A级为最高加密等级,产生的密钥长度最长,D级为最低加密等级,密钥长度最短。

在系统的运行过程中,需要对加密等级进行调整,在该项工作的开展中,系统的操作步骤如下:(1)密级设定过程。该过程中会假设当前的安全登记为D—X—B—A,其中,X的安全密级高于D小于A。而当前信息传输中的数据处理密级为X,其中,X和Y不相等[4]。(2)数据传输过程。在本文的研究中,将X密级转换为Y密级,在数据的传输过程中,将服务器B应用Y密级对数据进行处理,服务器A应用X密级进行解密,在解密完成后将数据传递到服务器B,当发现服务器B允许操作时,在后续的处理中前全面应用Y密级进行数据处理,当服务器B不允许操作时,后续的数据加密全部应用X密级进行处理。(3)解密过程。解密过程需要在客户端A上完成,解密过程的X,Y密级确定方法和数据传输过程完全相反。

3    优化后SSL VPN技术的安全保障能力

本文主要优化目的为SSL VPN系统的响应速度,具体的分析结果如下。

3.1  安全性测试

在SSL VPN技术的当前形式中,实际上已经有很高的安全保障能力,所以本文的测试方式为对ECC算法和RSA算法在安全性方面的研究和分析。从技术原理上来看,虽然RSA算法能够对服务器中的所有数据进行高强度加密,ECC算法为一种分级性的加密算法,但是对于整个加密系统来说,并不需要对所有的数据进行高强度加密设计。密钥生成过程ECC算法耗时3.76 ms,RSA算法耗时4.608 ms。两种算法在安全性方面的性能相似,并且密钥生成过程的耗时也较为相似,但是从签名验证、认证验证以及DH密钥交换过程来看,ECC算法消耗的时间要远低于RSA算法,尤其是DH密钥交换过程中,ECC算法的耗时为7.26 ms,而RSA算法的耗时为1 587 ms,在相同安全保证性能下,ECC算法的响应时间要远低于RSA算法,经过优化后的SSL VPN技术能够大幅提升响应速度。

3.2  响应速度测试

在响应速度的测试中,本文采用未优化和优化后的SSL VPN技术下载一个固定文件,共下载了20次,通过对下载时间的记录计算文件的传输速度,实现对SSL VPN技术运行效果的比较,最终获取的结果如下。

(1)明文传输状态。明文传输的数据传输速度为687.58 kB/s,本文在研究过程中,将明文传输状态作为参考的基准点,另外两种数据加密计算的数据传输速度都与明文传输状态进行比较。

(2)未优化SSL VPN技术。数据传输速度为562.63 kB/s,与明文状态的传输速度比值为81.8%。

(3)优化后SSL VPN技术。该技术的数据传输速度为627.56 kB/s,与明文状态下的传输速度比值为91.3%。从最终结果上来看,优化后的SSL VPN技术在数据传输速度方面提升明显,所以在该项技术今后的发展中,可以应用分级加密技术提高数据传输速度。

4    结语

当前存在的主要问题为安全性和运行效率过低,导致SSL VPN技术在应用中数据的传输速度较低。應用ECC算法替代当前应用RSA算法,可以提高数据的传输速度,建成分级加密制度,提高整个系统的响应速度。

[参考文献]

[1]刘阳.基于USBkey认证的SSL VPN网络的设计与实现[D].长春:吉林大学,2014.

[2]郑化浦,刘帅.SSL VPN网络安全关键技术研究[J].河南城建学院学报,2013(4):69-72.

[3]张宇.SSL VPN中访问控制的研究以及教学实验的实现[D].上海:上海交通大学,2010.

[4]梁钧.基于SSL协议的VPN关键技术的分析与设计[D].昆明:云南大学,2010.

Abstract:Based on the analysis of the principle and action path of SSL VPN technology, this paper probes into the shortcomings of this technology in the current application and development, and on this basis, probes into the perfection and optimization mode of this technology in the future. So that the technology can play a more comprehensive role of safety and security.

Key words:SSL; VPN; security key technology