浅析SSLVPN及其优势

2022-09-11

SSL VPN提供了公司分支, 合作伙伴, 以及外出人员办公需要远程访问公司内部敏感数据最简易最安全的技术。SSL VPN能在用户不安装和设置任何客户端软件的情况下就可以通过HTTP连接实现应用层的访问控制, 具有数据加密、完整性检测和认证的功能。

1 SSL协议

1.1 SSL概述

安全套接层协议SSL (Security socket layer) 协议, 是介于HTTP层及TCP层的安全协议, SSL协议指定了一种在应用程序协议和TCP协议之间提供数据安全性分层的机制, 它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。SSL协议提供了网络上通信双方的安全保护, 避免信息在网络传输过程中被截取、改编和破坏。

1.2 SSL体系结构

SSL协议结构上下层为记录协议, 上层为握手协议、修改密码参数协议、告警协议、应用数据协议。记录协议:主要用于交换应用层数据。将数据分片成可管理的块, 进行分割、压缩、验证、加密, 最后增加有内容类型、主要版本、次要版本、和压缩长度组成的首部。被接收的数据正好与接受数据过程相反。握手协议:允许通信实体在交换应用数据之前协商密钥的算法、加密密钥和对客户端进行认证的协议。为下一步记录协议要使用的密钥信息进行协商, 使客户端和服务器建立并保持安全通信的状态信息。告警协议:用来为对等实体传递SSL的相关警告。上层中修改密码参数协议、报警协议、应用数据协议属于应用开发的范畴, 要得到握手协议的支持。记录层协议和握手协议互相支持, 缺一不可。

2 VPN协议

2.1 VPN概述

VPN (Virtual Private Network) 虚拟专用网络即通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。

2.2 VPN技术的实现方式

V P N技术的三种主要实现方式有MPLS、IP SEC和SSL VPN。

MPLS VPN是一种基于MPLS (Multiprotocol Label Switching, 多协议标记交换) 技术的IP虚拟专用网络, 是在网络路由和交换设备上应用M P L S技术。在M P L S域中使用了LSR (Label Switching Router, 标记交换路由器) , 域内部LSR之间使用MPLS协议进行通信, 而在MPLS域的边缘, 由MPLS的LER (Label Edge Router, 标签边缘路由器) 进行与传统IP的适配。

IPSec VPN是基于IPSec协议的VPN产品, 由IPSec协议提供隧道安全保障。IPSec是集多种安全技术为一体的安全体系结构, 是一组IP安全协议集。IPSEC定义了在传输层使用的安全服务, 其功能包括数据加密、对网络支持对数据加密, 对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。

3 SSL VPN技术

3.1 SSL VPN概述

SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术。它包括:服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。

3.2 SSL VPN的通信过程

SSL VPN一般的实现方式是在企业的防火墙后面放置一个SSL代理服务器, SSL代理服务器将提供一个远程用户与各种不同的应用服务器之间的连接, 实现起来主要有握手协议、记录协议、警告协议的通信, SSL VPN的通信过程主要集中在握手协议上, 主要有:第1步:SSL客户机连接到SSL服务器, 并要求服务器验证身份;第2步:服务器通过发送它的数字证书证明自身的身份。这个交换包括整个证书链, 直到某个证书颁发机构 (CA) , 通过检查有效日期并确认证书包含可信任C A的数字签名来验证证书的有效性;第3步:服务器发出一个请求, 对客户端的证书进行验证;第4步:双方协商用于加密的消息加密算法和用于完整性检查的H A S H函数, 通常由客户端提供它所支持的所有算法列表, 然后由服务器选择其中最强大的加密算法;第5步:客户机和服务器通过下列步骤生成会话密钥。 (1) 客户机生成一个随机数, 并使用服务器的公钥 (从服务器证书中获得) 对它加密, 再送到服务器; (2) 服务器用更加随机的数据, 用客户机的公钥加密, 发送至客户机以表示响应; (3) 使用HASH函数从随机数据中生成密钥。

4 SSL VPN优势

下面走易用性, 安全性浅谈SSL VPN的优势。

4.1 易用性

(1) 安装简单。SSL内嵌在浏览器中, SSL VPN不需要为每一台客户机安装客户端软件, 在需要客户端的时候可以及时下载, 不象IPsec VPN需要事先要安排好, 其灵活性强。

(2) 部署容易。SSL VPN开通TCP的443的端口, 穿透力非常好, 不需要对IP架构做很大的调整, 不需要每个网管人员亲自安装, 部署起来容易。

(3) 支持各种结构的应用程序。S S L VPN将能够实现各种基于B/S, C/S结构设计的应用程序如:FTP、文件共享、数据库、ERP、Windows网上邻居等。

4.2 安全性

(1) 多重身份认证, SSL协议数据加密。SSL VPN产品其本身也内置有认证服务器并结合多重身份认证来实现接入者的身份认证。多重身份认证包括:用户名及密码校验;数字证书;第三方的PKI体系;CA中心;USB KEY的认证;动态密钥等等。SSL VPN采用SSL协议对数据进行加密, 加密强度为128位, 能满足一般数据传输层的要求。

(2) 接入的是应用, 而不是网络。SSL VPN保障到具体应用, 开放了企业内部的具体应用, 并且只有有权限的用户才能进行访问, 并没有开放到整个总部的局域网, 提高网络安全。

(3) 网络端口打开受限。对于网关上的防火墙, 只需打开有限的安全端口, 而用开放所有的应用端口, 降低了网络被攻击的可能。

(4) 用户访问权限受限。SSL VPN可以对用户、用户组的权限、资源、服务、文件进行细致的控制, 减少了网络风险。

(5) 破解难度提高。各家公司使用的加密算法都不一样, 如:D E S, 3 D E S, R S A等等, 有的还有自己的加密算法, 提高了黑客破解数据包的难度。

(6) 自动停止会话。在会话停止一段时间以后自动停止会话, 如需继续访问则要从新登陆, 通过对Session的保护来起到数据被窃听后伪装访问的攻击。

摘要：首先介绍SSL, 其次介绍VPN, 然后介绍SSLVPN, 最后介绍SSLVPN的优势。

关键词：安全套接层协议,虚拟专用网络