SSL VPN详细介绍 SSL协议基础

就在当前大多数远程访问解决方案是利用基于IPSec安全协议的VPN网络的情况下，一种最新的研究表明近乎90%的企业利用VPN进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信，另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用，属非因特网应用。而这些90%的应用都可以利用一种更加简单的VPN技术--SSL VPN来提供更加有效的解决方案。基于SSL协议的VPN远程访问方案的更加容易配置和管理，网络配置成本比起目前主流的IPSec VPN还要低许多，所以许多企业已经开始转而利用基于SSL加密协议的远程访问技术来实现VPN通信了。

　　SSL基础

　　VPN技术可以扩展企业的内部网络，使在外工作的员工和合作伙伴通过标准、公用的因特网访问他们的内部网络。它相对传统的专线网络方案的主要优势是各项费用将大大降低。专线网络需要在合作伙伴或者远程员工与公司总部之间有一个物理封闭的网络连接，或者采用远程拨号访问方案，或者采用T1之类的数字专线连接。VPN是一个非常实用的技术，它允许客户（包括员工）和合作伙伴利用标准的因特网进行廉价连接，它允许采用IPSec安全协议方案。事实上，在VPN技术中包括许多加密和安全协议，SSL就是其中一个，同样主流VPN应用的IPSec也是其中的一种。所以总的来说IPSec VPN与SSL VPN是VPN技术在两种不同的安全协议下实现VPN通信的两种平等方案。所以理解SSL VPN的关键就在于理解SSL这一安全协议。

　　SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”，它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

　　对于电子商务应用来说，使用SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名，因此不能提供交易的不可否认性，这是SSL在电子商务中使用的最大不足。有鉴于此，网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作“Form Signing”（表单签名）的功能，在电子商务中，可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名，从而保证交易信息的不可否认性。综上所述，在电子商务中采用单一的SSL协议来保证交易的安全是不够的，但采用"SSL+表单签名"模式能够为电子商务提供较好的安全性保证。因它是一个应用层协议，所以通常SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。

　　SSL与IPSec安全协议一样，也可提供加密和身份验证安全方法。但是不管怎样，SSL协议只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密。因为绝大多数客户应用，是不必加密从一个系统到另一个系统的整个通道的，仅加密应用数据这一方案更显恰当。

　　“加密”和“安全”协议都是属于传输协议，它们是用来确保重要数据的安全转输。加密是任何安全协议的核心技术，它相对采用明文密码加密或者不经过加密数据有3方面的优势：