【IT168 专稿】近段时间来，基于SSL的VPN似乎越来越热，真有大举要蚕食传统的VPN老大IPSec的市场份额之势。笔者一直持这样的观点：IPSec VPN是“工业级”的VPN，而其它VPN只是初级的应用，安全方面无法与IPSec 相提并论。但是SSL VPN真的越来越热，甚至于大企业都已经在纷纷部署它了，这多少令人始料未及呀。本文将为读者全部剖析SSL与IPSec之间的对决，试图以客观的观点为将要部署VPN的朋友分析我们应该选择何种合适的VPN技术。本文侧重点略偏向SSL VPN，着重阐述为何SSL VPN值得我们关注。

SSL VPN工作原理

    Secure Sockets Layer （SSL/安全套接层）是由Netscape(网景)公司开发的用于在INTERNET上传递隐密的消息的协议。Netscape的安全套接层是利用RSA数据安全公司的公用密钥密码技术来实现的。RSA的公用密钥密码系统广泛地应用于计算机工业的认证和加密方面。Netscape得到RSA数据安全公司的许可可以使用公用密钥密码系统。

    公用密钥加密技术使用不对称的密钥来加密和解密，每对密钥包含一个公钥和一个私钥，公钥是公开广泛分布，而私钥是隐密的，只有自己知道。用公钥加密的数据只有私钥才能解密，相反的，用私钥加密的数据只有公钥才能解密。

    认证是一个验明正身的过程，目的使一方能够确信对方就是它本身。下面的例子包括甲方和乙方，我们来看如何使用公用密钥密码系统来验证它们的身份。

    假设甲方要认证乙方，乙方有一个密钥对，即一个公钥和一个私钥，乙方透露给甲方他的公钥。然后甲方产生一段随机的消息，然后把它发给乙方。

    乙方用自己的私钥来加密这段消息，然后把加密后的消息返回给甲方。

    甲方接到了这段消息，然后用乙方以前发过来的公钥来解密。甲方把解密后的消息和原始的消息做比较，如果匹配的话，就知道自己正在和乙方通信。一个入侵者应该不知道乙方的私钥，因此就不能正确的加密那段甲方要检查的随机消息。

    SSL安全协议主要提供三方面的服务：（1）认证用户和服务器, 使得它们能够确信数据将被发送到正确的客户机和服务器上；（2）加密数据以隐藏被传送的数据；（3）维护数据的完整性, 确保数据在传输过程中不被改变。

    随着公司企业内部基于Web应用的增多以及远程接入访问需要的增长，SSL VPN正在成为一个热门市场。与复杂的IPSec VPN相比，SSL VPN通过任何安装了WEB浏览器的设备都可以使用SSL通过互联网安全地访问公司企业的内部WEB应用，这是因为目前SSL技术已经内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为要有客户端软件。这一点对于拥移动和零散的用户访问总部提了极大的方便。通过SSL VPN是接入企业内部的应用，而不是企业的局域网络。SSL VPN利用浏览器本身只能做到访问B/S（浏览器/服务器）应用和访问ftp 服务。如果要实现桌面级的应用，比如传统的C/S（客户/服务器）结构的系统，SSL VPN仍然需要安装专门的客户端。