SSLVPN的技术原理与应用.docx

1、SSLVPN的技术原理与应用SSL VPN的技术原理与应用1 概述1.1 产生背景随着互联网的普及和电子商务的飞速发展，越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络，访问公司的内部资源。接入用户的身份可能不合法、远端接入主机可能不够安全，这些都为公司内部网络带来了安全隐患。通过加密实现安全接入的VPNSVPN（Security VPN）技术提供了一种安全机制，保护公司的内部网络不被攻击，内部资源不被窃取。SVPN技术主要包括IPsec VPN和SSL VPN。由于IPsec VPN实现方式上的局限性，导致其存在着一些不足： 部署IPsec VPN网络时，需要在用户主机上安装

2、复杂的客户端软件。而远程用户的移动性要求VPN可以快速部署客户端，并动态建立连接；远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点。这些问题是IPsec VPN技术难以解决的。 无法检查用户主机的安全性。如果用户通过不安全的主机访问公司内部网络，可能引起公司内部网络感染病毒。 访问控制不够细致。由于IPsec是在网络层实现的，对IP报文的内容无法识别，因而不能控制高层应用的访问请求。随着企业经营模式的改变，企业需要建立Extranet，与合作伙伴共享某些信息资源，以便提高企业的运作效率。对合作伙伴的访问必须进行严格有效地控制，才能保证企业信息系统的安全，而IPsec VPN

3、无法实现访问权限的控制。 在复杂的组网环境中，IPsec VPN部署比较困难。在使用NAT的场合，IPsec VPN需要支持NAT穿越技术；在部署防火墙的网络环境中，由于IPsec协议在原TCP/UDP头的前面增加了IPsec报文头，因此，需要在防火墙上进行特殊的配置，允许IPsec报文通过。IPsec VPN比较适合连接固定，对访问控制要求不高的场合，无法满足用户随时随地以多种方式接入网络、对用户访问权限进行严格限制的需求。SSL VPN技术克服了IPsec VPN技术的缺点，以其跨平台、免安装、免维护的客户端，丰富有效的权限管理而成为远程接入市场上的新贵。1.2 技术优点SSL VPN是以

4、HTTPS为基础的VPN技术，它利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，为用户远程访问公司内部网络提供了安全保证。SSL VPN具有如下优点： 支持各种应用协议。SSL位于传输层和应用层之间，任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节。 支持多种软件平台。目前SSL已经成为网络中用来鉴别网站和网页浏览者身份，在浏览器使用者及Web服务器之间进行加密通信的全球化标准。SSL协议已被集成到大部分的浏览器中，如IE、Netscape、Firefox等。这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接。SSL VPN的客户端基于SS

5、L协议，绝大多数的软件运行环境都可以作为SSL VPN客户端。 支持自动安装和卸载客户端软件。在某些需要安装额外客户端软件的应用中，SSL VPN提供了自动下载并安装客户端软件的功能，退出SSL VPN时，还可以自动卸载并删除客户端软件，极大地方便了用户的使用。 支持对客户端主机进行安全检查。SSL VPN可以对远程主机的安全状态进行评估，可以判断远程主机是否安全，以及安全程度的高低。 支持动态授权。传统的权限控制主要是根据用户的身份进行授权，同一身份的用户在不同的地点登录，具有相同的权限，称之为静态授权。而动态授权是指在静态授权的基础上，结合用户登录时远程主机的安全状态，对所授权利进行动态地

6、调整。当发现远程主机不够安全时，开放较小的访问权限；在远程主机安全性较高时，则开放较大的访问权限。 SSL VPN网关支持多种用户认证方式和细粒度的资源访问控制，实现了外网用户对内网资源的受控访问。 SSL VPN的部署不会影响现有的网络。SSL协议工作在传输层之上，不会改变IP报文头和TCP报文头，因此，SSL报文对NAT来说是透明的；SSL固定采用443号端口，只需在防火墙上打开该端口，不需要根据应用层协议的不同来修改防火墙上的设置，不仅减少了网络管理员的工作量，还可以提高网络的安全性。 支持多个域之间独立的资源访问控制。为了使多个企业或一个企业的多个部门共用一个SSL VPN网关，减少S

7、SL VPN网络部署的开销，SSL VPN网关上可以创建多个域，企业或部门在各自域内独立地管理自己的资源和用户。通过创建多个域，可以将一个实际的SSL VPN网关划分为多个虚拟的SSL VPN网关。2 SSL VPN技术实现2.1 概念介绍SSL VPN用户分为超级管理员、域管理员和普通用户： 超级管理员：整个SSL VPN网关的管理者，可以创建域，设置域管理员的密码。 域管理员：负责管理所在域，可以创建本地用户和资源、设置用户访问权限等。域管理员可能是某个企业的网管人员。 普通用户：简称用户，为服务器资源访问者，权限由域管理员指定。2.2 SSL VPN系统组成图1 SSL VPN典型组网架

8、构SSL VPN的典型组网架构如图1所示，SSL VPN系统由以下几个部分组成： 远程主机：管理员和用户远程接入的终端设备，可以是个人电脑、手机、PDA等。 SSL VPN网关：SSL VPN系统中的重要组成部分。管理员在SSL VPN网关上维护用户和企业网内资源的信息，用户通过SSL VPN网关查看可以访问哪些资源。SSL VPN网关负责在远程主机和企业网内服务器之间转发报文。SSL VPN网关与远程主机之间建立SSL连接，以保证数据传输的安全性。 企业网内的服务器：可以是任意类型的服务器，如Web服务器、FTP服务器，也可以是企业网内需要与远程接入用户通信的主机。 CA：为SSL VPN网

9、关颁发包含公钥信息的数字证书，以便远程主机验证SSL VPN网关的身份、在远程主机和SSL VPN网关之间建立SSL连接。 认证服务器：SSL VPN网关不仅支持本地认证，还支持通过外部认证服务器对用户的身份进行远程认证。2.3 SSL VPN工作过程SSL VPN的工作过程可以分为以下三步：(1) 超级管理员在SSL VPN网关上创建域。(2) 域管理员在SSL VPN网关上创建用户和企业网内服务器对应的资源。(3) 用户通过SSL VPN网关访问企业网内服务器。1. 超级管理员创建域图2 超级管理员创建域如图2所示，超级管理员创建域的过程为：(1) 超级管理员在远程主机上输入SSL VPN

10、网关的网址，远程主机和SSL VPN网关之间建立SSL连接，通过SSL对SSL VPN网关和远程主机进行基于证书的身份验证。(2) SSL连接建立成功后，进入SSL VPN网关的Web登录页面，输入超级管理员的用户名、密码和认证方式。SSL VPN网关根据输入的信息对超级管理员进行身份验证。身份验证成功后，进入SSL VPN网关的Web管理页面。(3) 超级管理员在SSL VPN网关上创建域，并设置域管理员密码。2. 域管理员创建用户和企业网内服务器对应的资源图3 域管理员创建用户和企业网内服务器对应的资源如图3所示，域管理员创建用户和企业网内服务器对应资源的过程为：(1) 域管理员在远程主机

11、上输入SSL VPN网关的网址，远程主机和SSL VPN网关之间建立SSL连接，通过SSL对SSL VPN网关和远程主机进行基于证书的身份验证。(2) SSL连接建立成功后，进入SSL VPN网关的Web登录页面，输入域管理员的用户名、密码和认证方式。SSL VPN网关根据输入的信息对域管理员进行身份验证。身份验证成功后，进入SSL VPN网关的Web管理页面。(3) 域管理员在SSL VPN网关上创建用户和企业网内服务器对应的资源，并设定用户对资源的访问权限。3. 用户访问企业网内服务器图4 用户访问企业网内服务器如图4所示，用户访问企业网内服务器的过程为：(1) 用户在远程主机上输入SSL

12、 VPN网关的网址，远程主机和SSL VPN网关之间建立SSL连接，通过SSL对SSL VPN网关和远程主机进行基于证书的身份验证。(2) SSL连接建立成功后，进入SSL VPN网关的Web登录页面，输入普通用户的用户名、密码和认证方式。SSL VPN网关根据输入的信息对普通用户进行身份验证。身份验证成功后，进入SSL VPN网关的Web访问页面。(3) 用户在Web访问页面上查看可以访问的资源列表，如Web服务器资源、文件共享资源等。(4) 用户选择需要访问的资源，通过SSL连接将访问请求发送给SSL VPN网关。(5) SSL VPN网关解析请求，检查用户权限，如果用户可以访问该资源，则

13、以明文的形式将请求转发给服务器。(6) 服务器将响应报文以明文的形式发送给SSL VPN网关。(7) SSL VPN网关接收到服务器的应答后，将其通过SSL连接转发给用户。2.4 SSL VPN接入方式SSL VPN支持三种接入方式： Web接入方式 TCP接入方式 IP接入方式通过不同的接入方式，用户可以访问不同类型的资源；不同接入方式下，SSL VPN网关在远端主机和企业网内服务器之间转发数据的过程也有所不同。下面将分别对其进行介绍。2.4.1 Web接入方式Web接入方式是指用户使用浏览器以HTTPS方式、通过SSL VPN网关对服务器提供的资源进行访问，即一切数据的显示和操作都是通过W

14、eb页面进行的。通过Web接入方式可以访问的资源有两种：Web服务器和文件共享资源。1. Web服务器资源Web服务器以网页的形式为用户提供服务，用户可以通过点击网页中的超链接，在不同的网页之间跳转，以浏览网页获取信息。SSL VPN为用户访问Web服务器提供了安全的连接，并且可以防止非法用户访问受保护的Web服务器。图5 Web资源访问机制如图5所示，Web服务器访问过程中，SSL VPN网关主要充当中继的角色：(1) SSL VPN网关收到用户的HTTP请求消息后，将HTTP请求URL中的路径映射到资源，并将HTTP请求转发到被请求资源对应的真正的Web服务器；(2) SSL VPN网关收到HTTP回应消息后，将网页中的内网链接修改为指向SSL VPN网关的链接，使用户在访问这些内网链接对应的资源时都通过SSL VPN网关，从而保证安全，并实现访问控制。SSL VPN将改写后的HTTP回应消息发送给用户。在Web服务器访问的过程中，从用户角度看，所有的HTTP应答都来自于SSL VPN网关；从Web服务器的角度看，所有的HTTP