基于SSL协议的VPN技术安全性研究

郑宁宁

摘要：SSLVPN是继PPTP、L2TP

IPSseVPN后的又一项VPN连接技术，它位于系统的应用层，介于远用户与内网服务器之间，控制二者的通信。SSLVPN技术可以使用户通过Web浏览器进行访问，这大大增强了使用者操作的便捷性，但频繁的访问也会给服务器数据带来安全隐患。该文主要对基于SSL协议的VPN技术进行介绍，对其安全优势及存在的安全隐患进行分析，为后续使用者提供参考。

关键词：SSL VPN技术；安全优势；安全隐患

1概述

随着互联网及移动设备的发展，通过公共网络访问局域网的需求越来越大，同时，安全性的问题也就越来越突出。用户对使用过程的可靠性、灵活性、安全性等方面也有了更高的要求。SSLVPN是解决远程用户通过公共网络访问内网数据的技术之一，与以往的IPSec VPN相比，它通过内嵌在浏览器中的SSL协议进行访问，从而不需要像传统IPSec VPN一样必须为每一台终端安全客户端软件，实现了访问的便捷性。

2SSLVPN的概念与特征

SSL（安全套接层）协议是一种在互联网上保证发送信息安全的通用协议，是目前在Web浏览器和服务器之间发挥身份认证和加密数据传输的重要协议。它位于TCP/IP协议与应用层协议之间，为各项数据通讯提供安全支持。

SSL协议可分为两层：SSL记录协议fSsL Record Protoc01）：它建立在可靠的传输协议（如TCP）之上，为数据的传输提供数据封装、压缩、加密等功能。SSL握手协议（SSL Handshake Protoed）：它建立在SSL记录协议之上，主要用于检测用户的账号密码是否正确，在实际的数据传输开始前，对通讯双方进行身份认证，交换加密密钥等。

VPN（“VirtualPrivate Network）即是虚拟专用网络，利用认证、加密、安全检测、权限分配等一系列手段来构建的安全业务网络。一个完整的SSLVPN系统主要由服务器、网关、客户端组成，服务器即是内网中所需访问的资源，客户端即是互联网中需要访问服务器资源的Web浏览器，网关即是SSL VPN服务器，是整个系统访问控制的核心。客户端通过浏览器发出请求，SSL VPN服务器收到请求后与客户端浏览器建立SSL安全连接，并代替客户端向所需访问服务器发出请求，服务器响应后SSLVPN将接收到的响应数据进行转换，通过SSL安全连接发送给客户端。

3SSL VPN的安全特征分析

3.1安全优势

SSL VPN是一系列基于web应用的传输协议，包括服务器认证、客户身份认证、SSL链路数据完整性及保密性认证等，這对于数据传输的安全性和保密性有着重要意义。

SSLVPN基于Web设计，主要通过互联网实现从公网到内网的访问。用户在登录VPN时要通过三层防护：第一层就是用户和主机服务器之间的安全验证，这一层主要验证用户的秘钥、安全证书是否正确，所登录服务器是否合法，确保服务器和个人信息不被泄露。第二层主要用多种算法来保护数据的安全性，SSL协议在主机服务器和用户之间建立一条安全隧道，通过隧道向用户传送数据。第三层是多重加密和验证技术，通过握手协议，检测用户的账号密码的正确性，在主机服务器和个人用户之间验证双方身份真实性，再通过记录协议打包数据，加密压缩数据包，发送过程中再次加密传输。

SSL VPN采用对称密码体制和非对称密码体制的加密算法进行加密，通过建立安全隧道保证信息传输的安全陛。访问采用takey文件从而在一定程度上减少了黑客对内网的安全威胁。并提供客户端和服务器端的双向认证，容易实现权限、资源等的控制。

3.2存在的安全隐患

对于该数据传输方式，可以较大限度保障数据和用户的使用安全，但此种方式并非无懈可击，由于SSLVPN采用Web服务器作为客户端，因此浏览器的安全性直接关系到SSLVPN的安全，浏览器的安全隐患也会成为SSL VPN的安全隐患，如果用户退出时只是关闭浏览器而并未关闭SSLVPN服务进程，或者用户在公共场所登录系统，就会增加用户资料的泄露风险。在建立SSL VPN连接时，蠕虫或其他电脑病毒也可能会通过建立的隧道感染内部服务器。

对于这些安全隐患，SSL VPN也逐步引入了令牌或短信认证、用户端无操作将强制下线等手段，管理员也可以对用户按角色进行划分，根据不同角色确定不同的资源访问权限，最大限度避免用户端的安全风险。在数据传输过程中，也可以通过不断提高应用层过滤技术来抵制病毒风险等。

4 SSL VPN的应用

由于SSL、VPN操作的便捷性和使用的安全性，越来越多的行业都逐步开始使用SSL VPN。用户通过Web浏览器就可以访问内部网络，这使得用户可以随时随地通过任意一台电脑，或者通过其他移动设备时进行内部业务数据的访问。

部署SSL VPN服务器时即是部署在内网的边缘，介于服务器与远程用户之间，是远程用户访问内网的大门，控制二者的通信。当用户通过电脑或其他移动设备远程访问内网时，则先通过互联网向SSLVPN服务器发出请求，也就是认证步骤，通过认证后，SSL VPN服务器根据访问者的身份权限建立连接，使其可以并仅可以访问允许的服务器数据。

在传输过程中，SSL VPN服务器仅是一个数据的传输者，不会对用户数据进行解密，实现了传输过程的安全性和可靠性。

5总结

VPN设备最终使用者是业务系统使用者，这些终端用户通常不会具备过多的IT技能，SSL VPN不需要安装独立的客户端，具有架构简单、运营成本低、安全性能高等特点，只需要借助于电脑上的浏览器就可以使用。对于安全性，也比以往的PPTP、IPSec等有了极大的提升。在移动终端遍地开花的今天，既保障了数据的安全又极大方便了用户的使用。但安全是没有绝对的，随着技术的发展，SSL VPN也要与时俱进，不断更新，既要保证数据的安全陛，又要不断提高系统的响应速度，既要做好数据的安全传输，也要不断提高用户的使用体验。