SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。
SSLVPN是解决远程用户访问公司敏感数据最简单最安全的解决技术。与复杂的IPSecVPN相比,SSL通过相对简易的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中,它不需要像传统IPSecVPN一样必须为每一台客户机安装客户端软件。
SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。SSL VPN的典型组网架构如图 1所示。管理员在SSL VPN网关上创建企业网内服务器对应的资源;远程接入用户访问企业网内的服务器时,首先与SSL VPN网关建立HTTPS连接,选择需要访问的资源,由SSL VPN网关将资源访问请求转发给企业网内的服务器。SSL VPN通过在远程接入用户和SSL VPN网关之间建立SSL连接、SSL VPN网关对用户进行身份认证等机制,实现了对企业网内服务器的保护。
SSL VPN是这几年越来越火的远程访问VPN了,因为它基于browser来实现一个安全的访问,它跟IPsec的远程访问,方便在于不需要安装任何的客户端,这对于远程办公或者需要突然临时有事需要访问公司内部的文件,可以就在附近网吧进行访问,而不需要任何的客户端安装。
SSL和TLS历史:
安全套接层俗称Secure Socket Layer (SSL )是由Netscape Communitcation于1990年开发,用于保障Wo r d Wi d e We b(WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。1994 年改版为SSLv2 ,1995 年改版为SSLv3 。
Transport Layer Security(TLS )标准协议由 IETF 于1999年颁布,整体来说TLS 非常类似与SSLv3 ,只是对SSLv3 做了些增加和修改。 现在大部分使用的是TLS了,因为它属于标准化协议,后续开发了基于无线的WTLS和基于UDP传输数据的DTLS。
SSL是一个不依赖与平台和运用程序的协议,用于保障TCP-Based 运用安全,SSL在TCP层和应用层之间,就像应用连接到TCP连接的一个插口。
我们常用的HTTPS,就是HTTP over SSL,它工作过程:PC访问服务器的时候,如果证书是信任的,那么直接推送到PC上,如果是不信任,我们就需要手动信任它。然后PC的IE浏览器产生一个随机化对称密钥,用服务器推送的证书的公钥对这个密钥做加密,然后发送给服务器,服务器收到以后用这个私钥解密后,得到对称密钥,后续的数据包就利用这个对称密钥来保证安全.这个在我们访问https的时候经常遇到询问你是否信任这个证书站点,SSL VPN实验中也是经常遇到。
SSL VPN特点
1、不需要预先安全客户端软件
2、使用标准的网页浏览器建立远程VPN连接
3、使用浏览器拥有SSL安全技术提供数据私密性,完整性校验,和源认证
4、提供细致的访问控制
5、客户端运行程序可以通过多种方式动态的下载。如:连接时在线下载,通过JAVA,activex或者EXE文件分发
6、为连接互联网的系统灵活的建立VPN连接,不过这个系统是否被公司管理
7、在任何地点都能轻松的穿越防火墙和网络
8、支持透明的无线漫游
9、可以使用集成的IOS防火墙特性提供增强的安全性。
SSL VPN的工作机制为:
(1) 管理员以HTTPS方式登录SSL VPN网关的Web管理界面,在SSL VPN网关上创建与服务器对应的资源。
(2) 远程接入用户与SSL VPN网关建立HTTPS连接。通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。
(3) HTTPS连接建立成功后,用户登录到SSL VPN网关的Web页面,输入用户名、密码和认证方式(如RADIUS认证),SSL VPN网关验证用户的信息是否正确。
(4) 用户成功登录后,在Web页面上找到其可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。
(5) SSL VPN网关解析请求,与服务器交互后将应答发送给用户。
SSL VPN是一种既简单又安全的远程隧道访问技术,使用非常简单。SSL VPN采用公匙加密的方式来保障数据在传输的过程中的安全性,它采用浏览器和服务器直接沟通的方式,既方便了用户的使用,又可以通过SSL协议来保证数据的安全。SSL协议是采用SSL/TLS综合加密的方式来保障数据安全的。SSL协议从其使用上来说可以分为两层:第一层是SSL记录协议,这种协议可以为数据的传输提供基本的数据压缩、加密等功能;第二层是SSL握手协议,主要用于检测用户的账号密码是否正确,进行身份验证登录。与IPSec VPN相比,SSL VPN具有架构简单、运营成本低、处理速度快、安全性能高的特点,所以在企业用户中得到大规模的使用。但是SSL协议是基于WEB开发的,通过浏览器来使用,由于近年来电脑病毒的多样性,要想保障SSL VPN的安全运营,就需要在SSL VPN的安全技术上有所更新。
认证方式:
1) LDAP认证:
系统组织已经采用LDAP进行用户管理。它只需要在SSL VPN设备中根据LDAP中的OU组结构建立用户组结构,并为用户组绑定相应的OU结构,不需要再在设备中建立具体用户。当用户向SSL VPN提交用户名密码认证身份时,SSL VPN可自动将此认证信息提交给LDAP认证,并根据反馈的信息判断该用户是否为合法用户。
1) Radius认证
在 SSL VPN设备中建立相应的用户组结构,并选用Radius认证并绑定相应的Class属性值。当用户向SSL VPN提交用户名密码认证信息时,SSL VPN就会将此信息以标准的Radius协议格式向Radius服务器发出认证请求,之后Radius将返回认证结果。
1) CA认证
内置CA的SSL VPN安全网关,可以支持PKI体系的认证。
1) USB KEY认证
将CA中心生成的数字证书颁发给USB KEY,并为该USB KEY设置PIN码。利用“硬件存储数字证书+PIN码”的方式为用户提供高安全的认证方式。
1) 硬件绑定
仅使用用户名/密码认证的用户,为了保证用户登录 SSL VPN限定在某一台或是某几台客户端上,有效解决用户账号意外泄露、账号盗用导致数据泄露的问题,可绑定登录客户端。通常情况下,客户端绑定都是采用IP/MAC、MAC、IP绑定方式实现的。
1) 动态令牌认证
动态令牌认证是技术领先的一种双因素身份认证体系,内嵌特殊运算芯片,与事件同步的技术手段。它是通过符合国际安全认可的OATH动态口令演算标准,使用HMAC-SHA1算法产生6位动态数字进行一次一密的方式认证。
SSL VPN认证方式多种多样,指定的用户登录SSL VPN后,通过指定的账号访问指定的应用,可以达到增强重要系统认证安全性的目的。