当今信息安全的概念正从单纯关注网络安全转向关注以业务为核心的应用安全、远程接入安全领域。SSL VPN以无需客户端软件、保护具体应用、细粒度的访问控制、详细的审计等特性,在易用性、安全性和管理性方面都有着相当的优势。也正因此,近几年来SSL VPN的应用范围正在迅速扩大。
SSL协议集成了非对称加密、对称加密、数字签名以及信息校验等多项技术,能出色地完成防冒充、防破解和防篡改三个保障信息安全的基本任务。SSL协议的通讯过程主要分为四个阶段,原理大致如下:
第一阶段,客户端向服务器发出SSL连接请求,并附上一段随机产生的信息,服务器端在通讯之前会向证书颁发组织申请并获得自己的公钥、私钥以及证书。
第二阶段,服务器收到客户端的连接请求后,把收到的随机信息用私钥加密,然后连同公钥和身份信息发回给客户端。
第三阶段,客户端收到服务器端的回应后,将先用从服务器端发来的公钥解密信息,还原后与自己之前产生的随机信息比较异同,从而验证服务器端的身份。在服务器端身份得到验证后,客户端将产生一个对称密钥,用于加密真正的传输信息,并将该对称密钥用公钥加密后发给服务器端。
第四阶段,服务器端得到信息后,用自己私钥解密并获得该对称密钥,之后客户端和服务器之间就可以用这个对称密钥进行加密通讯了。
在整个通讯过程中,服务器端只要保护好私钥不被泄漏就可以保证自己的身份不会被冒充,对称密钥也不会被破解,从而保证了加密信息不会被破解,再加上校验信息也采用公钥和私钥加密机制,因此信息篡改也不可能发生,保证了传输的安全性。
SSL协议通讯过程示意图
近年来,随着国内信息化建设的深入,网银系统、企业移动办公、电子政务、数字图书馆等的大规模建设,国内用户对SSL VPN的需求不断增加,丰富的需求催生了国产品牌SSL VPN产品的迅速崛起,那么,SSL VPN都有哪些关键技术呢?
Web代理
该技术的实现原理是:客户端通过浏览器向SSL VPN网关发送页面访问请求,由SSL VPN网关代为向Web服务器发送请求,然后将Web服务器回应的HTTP页面经过复杂的处理和转换后封装成HTTPS页面转发给客户端的浏览器。由于目前大部分浏览器已经集成了SSL(HTTPS)协议处理功能,因此客户端在通过SSL VPN访问Web应用时,直接用浏览器加解密信息即可,无需额外的客户端程序和控件,做到了真正100%零客户端。
端口转发
该技术主要用于实现客户端对C/S架构应用的访问。由于Outlook、FTP等各种C/S应用的客户端软件并不具备SSL协议处理功能,因此需要借助控件程序来完成不同应用端口服务的转发功能。客户端在建立SSL VPN隧道后,会下载并运行一个控件程序,该程序将Outlook等应用软件发出的相应端口数据包截获,加密封装成SSL协议端口数据包发给SSL VPN网关,网关经过解密、还原相应的应用端口后再代替客户端与内部服务器进行通讯。
应用转换
利用该技术,客户端通过SSL VPN访问内部的FTP、文件共享、邮件、SSH、Telnet、RDP等服务时都可以Web的形式进行。而SSL VPN产品则需要将这些应用的操作界面和各种功能基于Web形式重新实现。
网络连接
网络连接即通常所说的NC(Network Connection)功能,该技术可以让客户端通过SSL VPN拥有对内部整个子网的访问权限,也是目前应用比较广泛的一项技术。在SSL VPN产品上集成该技术后,即有IPsec VPN与应用无关的优势,又保持了SSL VPN的高安全性。客户端通过NC连接SSL VPN时,会获得一个虚拟IP地址,然后通过这个虚拟IP地址与内网通讯。
