基于SSL協議的VPN技術安全性研究

鄭寧寧

摘要：SSLVPN是繼PPTP、L2TP

IPSseVPN后的又一項VPN連接技術，它位于系統的應用層，介于遠用戶與內網服務器之間，控制二者的通信。SSLVPN技術可以使用戶通過Web瀏覽器進行訪問，這大大增強了使用者操作的便捷性，但頻繁的訪問也會給服務器數據帶來安全隱患。該文主要對基于SSL協議的VPN技術進行介紹，對其安全優勢及存在的安全隱患進行分析，為后續使用者提供參考。

關鍵詞：SSL VPN技術；安全優勢；安全隱患

1概述

隨著互聯網及移動設備的發展，通過公共網絡訪問局域網的需求越來越大，同時，安全性的問題也就越來越突出。用戶對使用過程的可靠性、靈活性、安全性等方面也有了更高的要求。SSLVPN是解決遠程用戶通過公共網絡訪問內網數據的技術之一，與以往的IPSec VPN相比，它通過內嵌在瀏覽器中的SSL協議進行訪問，從而不需要像傳統IPSec VPN一樣必須為每一臺終端安全客戶端軟件，實現了訪問的便捷性。

2SSLVPN的概念與特征

SSL（安全套接層）協議是一種在互聯網上保證發送信息安全的通用協議，是目前在Web瀏覽器和服務器之間發揮身份認證和加密數據傳輸的重要協議。它位于TCP/IP協議與應用層協議之間，為各項數據通訊提供安全支持。

SSL協議可分為兩層：SSL記錄協議fSsL Record Protoc01）：它建立在可靠的傳輸協議（如TCP）之上，為數據的傳輸提供數據封裝、壓縮、加密等功能。SSL握手協議（SSL Handshake Protoed）：它建立在SSL記錄協議之上，主要用于檢測用戶的賬號密碼是否正確，在實際的數據傳輸開始前，對通訊雙方進行身份認證，交換加密密鑰等。

VPN（“VirtualPrivate Network）即是虛擬專用網絡，利用認證、加密、安全檢測、權限分配等一系列手段來構建的安全業務網絡。一個完整的SSLVPN系統主要由服務器、網關、客戶端組成，服務器即是內網中所需訪問的資源，客戶端即是互聯網中需要訪問服務器資源的Web瀏覽器，網關即是SSL VPN服務器，是整個系統訪問控制的核心?？蛻舳送ㄟ^瀏覽器發出請求，SSL VPN服務器收到請求后與客戶端瀏覽器建立SSL安全連接，并代替客戶端向所需訪問服務器發出請求，服務器響應后SSLVPN將接收到的響應數據進行轉換，通過SSL安全連接發送給客戶端。

3SSL VPN的安全特征分析

3.1安全優勢

SSL VPN是一系列基于web應用的傳輸協議，包括服務器認證、客戶身份認證、SSL鏈路數據完整性及保密性認證等，這對于數據傳輸的安全性和保密性有著重要意義。

SSLVPN基于Web設計，主要通過互聯網實現從公網到內網的訪問。用戶在登錄VPN時要通過三層防護：第一層就是用戶和主機服務器之間的安全驗證，這一層主要驗證用戶的秘鑰、安全證書是否正確，所登錄服務器是否合法，確保服務器和個人信息不被泄露。第二層主要用多種算法來保護數據的安全性，SSL協議在主機服務器和用戶之間建立一條安全隧道，通過隧道向用戶傳送數據。第三層是多重加密和驗證技術，通過握手協議，檢測用戶的賬號密碼的正確性，在主機服務器和個人用戶之間驗證雙方身份真實性，再通過記錄協議打包數據，加密壓縮數據包，發送過程中再次加密傳輸。

SSL VPN采用對稱密碼體制和非對稱密碼體制的加密算法進行加密，通過建立安全隧道保證信息傳輸的安全陛。訪問采用takey文件從而在一定程度上減少了黑客對內網的安全威脅。并提供客戶端和服務器端的雙向認證，容易實現權限、資源等的控制。

3.2存在的安全隱患

對于該數據傳輸方式，可以較大限度保障數據和用戶的使用安全，但此種方式并非無懈可擊，由于SSLVPN采用Web服務器作為客戶端，因此瀏覽器的安全性直接關系到SSLVPN的安全，瀏覽器的安全隱患也會成為SSL VPN的安全隱患，如果用戶退出時只是關閉瀏覽器而并未關閉SSLVPN服務進程，或者用戶在公共場所登錄系統，就會增加用戶資料的泄露風險。在建立SSL VPN連接時，蠕蟲或其他電腦病毒也可能會通過建立的隧道感染內部服務器。

對于這些安全隱患，SSL VPN也逐步引入了令牌或短信認證、用戶端無操作將強制下線等手段，管理員也可以對用戶按角色進行劃分，根據不同角色確定不同的資源訪問權限，最大限度避免用戶端的安全風險。在數據傳輸過程中，也可以通過不斷提高應用層過濾技術來抵制病毒風險等。

4 SSL VPN的應用

由于SSL、VPN操作的便捷性和使用的安全性，越來越多的行業都逐步開始使用SSL VPN。用戶通過Web瀏覽器就可以訪問內部網絡，這使得用戶可以隨時隨地通過任意一臺電腦，或者通過其他移動設備時進行內部業務數據的訪問。

部署SSL VPN服務器時即是部署在內網的邊緣，介于服務器與遠程用戶之間，是遠程用戶訪問內網的大門，控制二者的通信。當用戶通過電腦或其他移動設備遠程訪問內網時，則先通過互聯網向SSLVPN服務器發出請求，也就是認證步驟，通過認證后，SSL VPN服務器根據訪問者的身份權限建立連接，使其可以并僅可以訪問允許的服務器數據。

在傳輸過程中，SSL VPN服務器僅是一個數據的傳輸者，不會對用戶數據進行解密，實現了傳輸過程的安全性和可靠性。

5總結

VPN設備最終使用者是業務系統使用者，這些終端用戶通常不會具備過多的IT技能，SSL VPN不需要安裝獨立的客戶端，具有架構簡單、運營成本低、安全性能高等特點，只需要借助于電腦上的瀏覽器就可以使用。對于安全性，也比以往的PPTP、IPSec等有了極大的提升。在移動終端遍地開花的今天，既保障了數據的安全又極大方便了用戶的使用。但安全是沒有絕對的，隨著技術的發展，SSL VPN也要與時俱進，不斷更新，既要保證數據的安全陛，又要不斷提高系統的響應速度，既要做好數據的安全傳輸，也要不斷提高用戶的使用體驗。