基于ＳＳＬ協(xié)議的ＶＰＮ技術(shù)研究

[摘要] 本文分析了SSL協(xié)議的體系結(jié)構(gòu)，提出了基于SSL的VPN技術(shù)的三種工作模式。

[關(guān)鍵詞] 網(wǎng)絡(luò)安全 VPN SSL 體系結(jié)構(gòu) 工作模式

VPN（Virtual Personal Network，虛擬專用網(wǎng)）是通過(guò)一個(gè)私有的通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)，通過(guò)在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。SSL VPN是一種新的VPN的實(shí)現(xiàn)方法，是可靠安全地構(gòu)建VPN的一種模式。

一、SSL協(xié)議

1.SSL概述

SSL（Secure Socket Layer，安全套接層）協(xié)議是 Netscape 公司于1994年提出的一個(gè)網(wǎng)絡(luò)安全通信協(xié)議，是一種在兩臺(tái)機(jī)器之間提供安全通道的協(xié)議。它具有保護(hù)傳輸數(shù)據(jù)，以及識(shí)別通信機(jī)器的功能。SSL最初是通過(guò)加密HTTP連接為Web瀏覽器提供安全而引入的。

SSL在TCP上提供一種通用的通道安全機(jī)制，任何可以在TCP上承載的協(xié)議都能夠使用SSL加以保護(hù)。在TCP或IP四層協(xié)議族中，SSL協(xié)議位于傳輸層與應(yīng)用層之間，基于可靠傳輸協(xié)議TCP，服務(wù)于各種應(yīng)用層協(xié)議，如HTTP、POP、TELNET等，它們?cè)赟SL協(xié)議上運(yùn)行分別被稱作HTTPS、POPS、TELNETS協(xié)議等，分別對(duì)應(yīng)的端口號(hào)為443、995、992等。

圖1 SSL協(xié)議結(jié)構(gòu)圖

2.SSL體系結(jié)構(gòu)

SSL協(xié)議在結(jié)構(gòu)上分為兩個(gè)層次：底層為記錄層協(xié)議（Record Protocol），負(fù)責(zé)封裝高層協(xié)議（包括握手協(xié)議）的數(shù)據(jù)，保證SSL連接的數(shù)據(jù)保密性和完整性；高層為握手層，由四個(gè)并行的協(xié)議構(gòu)成：握手協(xié)議（Handshake Protocol）、修改密碼參數(shù)協(xié)議（Change Cipher Spec Protocol）、報(bào)警協(xié)議（Alert Protocol）、應(yīng)用數(shù)據(jù)協(xié)議（Application data Protocol），高層協(xié)議需要記錄層協(xié)議支持，其中握手協(xié)議與其他的高層協(xié)議不同，主要負(fù)責(zé)在交換應(yīng)用層數(shù)據(jù)之前進(jìn)行協(xié)商加密算法與密鑰，其他高層協(xié)議屬于應(yīng)用開(kāi)發(fā)的范疇，而要得到握手協(xié)議的支持，而握手協(xié)議則是SSL底層實(shí)現(xiàn)必須具有的功能，因?yàn)橛涗泴訁f(xié)議的完成也由它來(lái)保證。

二、基于SSL協(xié)議的VPN技術(shù)研究

1.SSLVPN概念

SSL VPN是指一種基于數(shù)據(jù)包封裝技術(shù)的，利用SSL或TLS協(xié)議結(jié)合強(qiáng)加密算法和身份認(rèn)證技術(shù)的，可靠安全地構(gòu)建VPN的一種方法。它作為一種新的VPN的實(shí)現(xiàn)方法，SSL VPN可以用來(lái)構(gòu)建外聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)和遠(yuǎn)程接入訪問(wèn)。它通過(guò)數(shù)據(jù)包封裝的隧道技術(shù)來(lái)實(shí)現(xiàn)虛擬專用網(wǎng)的私有性，通過(guò)PKI技術(shù)和密碼學(xué)技術(shù)來(lái)鑒別通信雙方的身份和確保傳輸數(shù)據(jù)的安全。

2.SSL VPN的工作模式

(1)基于Web模式的SSL VPN系統(tǒng)

客戶端使用瀏覽器通過(guò)SSLVPN 服務(wù)器來(lái)訪問(wèn)企業(yè)局域網(wǎng)的內(nèi)部資源。SSLVPN 服務(wù)器相當(dāng)于一個(gè)數(shù)據(jù)中轉(zhuǎn)站，Web瀏覽器對(duì)WWW服務(wù)器的訪問(wèn)經(jīng)過(guò)SSL VPN服務(wù)器的處理（解密、身份鑒別、訪問(wèn)控制）后轉(zhuǎn)發(fā)給WWW服務(wù)器，從WWW服務(wù)器發(fā)往Web瀏覽器的數(shù)據(jù)經(jīng)過(guò)SSL VPN服務(wù)器處理（過(guò)濾、加密）后送到Web瀏覽器。

圖2 基于Web模式的SSL VPN系統(tǒng)

(2)基于客戶模式的SSL VPN

用戶在客戶端安裝一個(gè)SSL VPN客戶端程序，當(dāng)客戶端訪問(wèn)企業(yè)內(nèi)部的應(yīng)用服務(wù)器時(shí)，需要經(jīng)過(guò)SSL VPN客戶端程序和SSL VPN服務(wù)器之間的保密傳輸后才能到達(dá)。從而在SSLVPN客戶端和 SSLVPN服務(wù)器之間，由SSL協(xié)議構(gòu)建一條安全通道，保護(hù)客戶端與SSLVPN服務(wù)器之間的數(shù)據(jù)傳輸。此時(shí)，SSLVPN服務(wù)器充當(dāng)服務(wù)器代理的角色，SSL VPN客戶端充當(dāng)客戶端代理的角色。

圖3 基于客戶端模式的SSL VPN系統(tǒng)

(3)局域網(wǎng)到局域網(wǎng)模式的SSL VPN系統(tǒng)

在網(wǎng)絡(luò)邊緣都安裝和配置了SSLVPN服務(wù)器。當(dāng)一個(gè)局域網(wǎng)內(nèi)的終端要訪問(wèn)遠(yuǎn)程網(wǎng)絡(luò)內(nèi)的應(yīng)用服務(wù)器時(shí)，需要經(jīng)過(guò)兩個(gè)SSL VPN服務(wù)器之間的保密傳輸后才能到達(dá)。從而在兩個(gè)SSLVPN服務(wù)器之間，由SSL協(xié)議構(gòu)建一條安全通道，保護(hù)局域網(wǎng)之間的數(shù)據(jù)傳輸。此時(shí)，SSL VPN服務(wù)器充當(dāng)安全網(wǎng)關(guān)的角色。

圖4 局域網(wǎng)到局域網(wǎng)模式的SSL VPN系統(tǒng)

參考文獻(xiàn):

[1]徐家臻陳莘萌:基于IPSec與基于SSL的VPN的比較與分析[J].計(jì)算機(jī)工程與設(shè)計(jì)，2004，(04)

[2]張梅:SSL VPN關(guān)鍵技術(shù)研究與系統(tǒng)設(shè)計(jì)[D].解放軍信息工程大學(xué)， 2006

[3]馬淑文:SSL VPN技術(shù)在校園網(wǎng)中的應(yīng)用與研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，(21)