SSL VPN安全特征分析

SSL VPN安全特征分析

本文首先从VPN的安全角度出发，对于SSL VPN的基本属性展开必要的分析，而后进一步就其体系中存在的不足与改善进行了讨论，对于深入把握SSL VPN体系的安全特征有着一定的积极价值。

【关键词】SSL VPN 安全 缺陷

在当前信息环境之下，数据传输的安全性成为直接关系到社会生产生活正常展开的重要因素，因此如何有效提升数据传输环境中的信息安全水平，是当前网络环境中的重要问题。而对于某些大型企业环境而言，虚拟专用网（VPN，Virtual Private Network）是切实提升数据传输安全的有效手段，其通过在公共数据网物理层面上构建起相对虚拟专用数据通道来实现对于传输数据的保护，实用价值极强。 1 VPN的应用浅析

当前在VPN领域中，主要关注远程安全接入的两种技术为SSL VPN以及IPSec VPN，二者在应用中的表现各有千秋。SSL VPN相对而言不需要客户端软件，因此特别适用于远程用户的链接，用户无需安装任何软件或者搭建任何专用平台即可通过Web浏览器访问企业环境中的应用。但是SSL VPN也只能对通信双方的某一个引用通道展开加密保护，而无法对整个通道实现加密，因此这成为了SSL VPN无法避免

的弊端。但是从总体应用特征的角度看，SSL VPN在经济性等方面都明显 优于IPSec VPN，因此在应用领域有着良好的认可度。

从SSL VPN的工作原理看，是采用安全套接层（SSL，Secure Socket s Layer）协议来实现远程接入的VPN技术，是实现SSL协议嵌入的VPN网络应用。这样一组基于Web的应用安全协议包括多个层面内容，诸如服务器认证、客户身份认证、SSL链路数据完整性以及SSL链路数据保密性等方面都在其涵盖范畴之内。这样的一个安全协议体系，对于切实保证VPN数据传输环境的安全性和保密性有着毋庸置疑的积极意义。SSL VPN通过以安全控制策略作为依据，面向分散的移动用户展开服务，确保其能够从外网实现对于企业内网资源的安全访问通道建设。

SSL VPN在实际数据传输环境中需要实现三个方面的基本职能，用以对其应用需求加以有效支持。首先需要职能Web方式的应用，这是最为基本的一个方面，包括诸如通过SSL VPN建立的安全数据通路来访问基于Web的邮件系统等都包括在这样的需求层面之内。其次则是需要能够支持非Web方式应用，即能够支持用户实现对于非Web页面的文件共享。这一方面需要SSL VPN网关能够有效将其与内网服务器的通信内容转化成为基于Web的格式和协议，并且进一步实现面向客户端的数据发送。此种方式对用户透明，即从用

户角度看并无法区分这些应用是否基于Web特征。最后，SSL VPN还需要能够支持基于客户端/服务器的应用代理。对于此类应用实现支持的过程中，通常会需要在终端建立起一个端口转发器，通常表现为一个小型Java或者ActiveX程序，其功能在于实现对于端口连接的有效监听。当数据包通过此端口传输的时候，即会经由SSL连接隧道传送至SSL VPN网关，并且由网关对数据包进行解封，进一步转发给相应的应用服务器。

2 SSL VPN体系的安全特征分析

对于SSL VPN体系而言，其在当前的数据传输环境安全体系中占据着重要的地位，其意义不容忽视。但是此种协议方式并非无懈可击，从应用层面看，仍然存在两个方面的问题需要重点关注： 2.1 浏览器端的安全

在浏览器端，可能会因为用户习惯或者计算机日常工作方式等多种因素造成SSL VPN的安全机制失效。例如用户在退出系统之后，相应的个人数据仍然会保存，而如果其他人继续使用同一台计算机，则拥有权限阅读这些相关数据，这是SSL VPN体系所无法杜绝的。类似的问题还有用户的登陆保持状态，通常用户都会将关闭浏览器作为退出的代替动作，但是关闭浏览器并不意味着关闭SSL VPN服务器端进程，因此同样会造成安全漏洞。此外，病毒也是浏览器端的

安全问题之一，蠕虫或其他病毒可能会通过使用SSL VPN 建立的隧道感染内部网络。

面对此种情况，SSL VPN同样采取了相应的手段用以降低浏览器段的安全威胁。主要采取的方法包括引入残留信息清理机制以及进程超时机制，并且在应用层网关技术以及内部网络信息加密等方面给予更多关注。 2.2 服务器端的安全

服务器端同样存在安全隐患，重点体现在应用层安全威胁以及身份认证两个主要方面。对于应用层安全威胁而言，由于SSL VPN体系大多采用Web服务器作为底层工作平台，因此Web服务器的安全隐患会成为SSL VPN无法克服的障碍。并且在身份认证方面，SSL VPN允许所有的浏览器登录系统，从而造成如果用户在公共场合登陆系统，就会进一步增加用户资料的泄漏风险。这些安全问题都从客观上要求更为严谨的身份认证体系出台。

对于服务器端的安全问题，SSL VPN同样有相应的应对措施，以实现对于安全水平的提升。具体而言，常见的做法可以利用应用层过滤技术抵制黑客对服务器端应用层漏洞的攻击，即只允许身份确定的应用层数据包通过，此种方式对于加强黑客非法请求等方面的防范也有一定积极价值。另一个方面是可以采用强认证机制，当前SSL VPN 系统使用较多的认证方式有MS Act ive Directory、LDAP、令牌鉴别

机制和短信息认证等都属于这一范畴。 3 结论

SSL VPN是数据传输领域中的重要技术之一，其理论以及安全实践在当前环境中已经日趋成熟。虽然如此，但是随着技术的进步，更多安全隐患不断涌向，SSL VPN的安全防卫机制也必须同样与时俱进。唯有如此才能切实为数据传输用户提供安全可靠的网络环境，并且实现其自身的成熟与发展。

参考文献

[1]包丽红，李立亚.基于SSL的VPN 技术研究[J]. 网络安全技术与应用，2004（05）.

[2]欧阳凯，周敬利，夏涛等.基于虚拟服务的SSL VPN研究[J].小型微型计算机，2006，27（2）. 作者单位

中国电子科技集团公司第五十四研究所 河北省石家庄市 050081