基于SSL協(xié)議的VPN技術(shù)研究與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，越來越多的企業(yè)和部門將其業(yè)務(wù)放到互聯(lián)網(wǎng)上進行，這直接導(dǎo)致了對信息安全產(chǎn)品需求的增長。近幾年的市場調(diào)查報告顯示，VPN市場增長突飛猛進。由于IPsec VPN在應(yīng)用中逐漸顯現(xiàn)出來的不足(比如，與NAT設(shè)備沖突、配置和使用復(fù)雜、給操作系統(tǒng)內(nèi)核帶來的安全隱患等)，人們開始尋求更加安全易用的VPN技術(shù)。 基于SSL，協(xié)議的VPN是當前最引人關(guān)注的一種新興的VPN技術(shù)。但由于缺乏統(tǒng)一的標準和規(guī)范，目前市場上基于SSL

2、協(xié)議的VPN產(chǎn)品(一般稱為SSL VPN)，技術(shù)參差不齊，功能差異較大，這給VPN產(chǎn)品的選擇帶來困難。另外，由于受美國對出口密碼產(chǎn)品管制的限制，在標準的SSL協(xié)議實現(xiàn)中，密鑰長度較短，因而其安全強度被大大削弱，不符合在國內(nèi)一些對安全要求較高的領(lǐng)域(比如政府、軍隊、金融等)應(yīng)用的需要。因此有必要對基于SSL協(xié)議的VPN技術(shù)進行深入系統(tǒng)的研究并加以改進。 本文首先結(jié)合SSL協(xié)議的安全性，分析了SSL協(xié)議對VPN實現(xiàn)的支持，總結(jié)出基于

3、SSL協(xié)議的VPN的特征，提出將基于SSL協(xié)議的VPN劃分為代理型SSL VPN和隧道型SSL VPN兩大類。并對SSL協(xié)議在VPN應(yīng)用中應(yīng)該注意的問題進行了總結(jié)。 代理型SSL VPN的特點是基于代理技術(shù)實現(xiàn)和“無客戶端”的運行模式，即其運行只需要WEB瀏覽器即可，無需專門安裝客戶端。本文研究了代理型SSL VPN的技術(shù)原理；總結(jié)了代理型SSL VPN支持的應(yīng)用類型，并針對不同應(yīng)用類型所采用的代理技術(shù)進行了研究；分析了代理型S

4、SL VPN客戶端存在的安全缺陷并提出了解決方案；總結(jié)了代理型SSL VPN的優(yōu)勢、不足以及適用的場合。 隧道型SSL VPN基于虛擬網(wǎng)卡技術(shù)實現(xiàn)，其運行需要通信雙方安裝VPN軟件，通過虛擬網(wǎng)卡建立的隧道進行安全數(shù)據(jù)傳輸。本文研究了隧道型SSL VPN的技術(shù)原理；詳細說明了虛擬網(wǎng)卡的原理；對隧道型SSL VPN中可能出現(xiàn)的TCP over TCP的隧道數(shù)據(jù)封裝方式帶來的問題進行了討論，并給出了解決辦法；總結(jié)了代理型SSL VPN

5、的優(yōu)勢、不足以及適用的場合。 本文在最后提出了一種支持國產(chǎn)密碼設(shè)備和算法的基于SSL協(xié)議的VPN實現(xiàn)方案。該方案基于成熟的隧道型VPN開源項目OpenVPN實現(xiàn)，通過自定義OpenSSL Engine實現(xiàn)對國產(chǎn)密碼設(shè)備和算法的調(diào)用，以彌補標準SSL協(xié)議的密鑰強度較弱的缺陷。這種方案既滿足了國內(nèi)對基于SSL協(xié)議VPN的應(yīng)用需要，又加快了開發(fā)進度，降低了VPN構(gòu)建成本。 概括起來，本文的主要研究工作(創(chuàng)新點)包括：