版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、基于安全套接層協(xié)議的虛擬專用網(wǎng)絡(luò)(SSL VPN,Secure Socket Layer based Virtual Private Network)為用戶提供了一種安全而又便捷的遠程訪問方式。利用SSL協(xié)議(Secure Socket Layer protocol,安全套接層協(xié)議)、TLS協(xié)議(Transport Layer Security protocol,傳輸層安全協(xié)議)以及隧道技術(shù),SSL VPN實現(xiàn)了端點認證,并保證了數(shù)據(jù)傳
2、輸?shù)陌踩院屯暾?。目前SSL VPN正處于發(fā)展和繁榮期,但是SSL VPN在系統(tǒng)性能、可擴展性和安全性等方面還存在一些問題尚待解決。
首先,SSL VPN的系統(tǒng)性能受安全計算負載的影響較大,往往需要額外的SSL專用加速硬件才能滿足高端應(yīng)用的要求;其次,SSL VPN服務(wù)軟件需要頻繁調(diào)用I/O多路接口(I/O Multiplexing Interface)來查看網(wǎng)絡(luò)事件,而傳統(tǒng)I/O多路接口的可擴展性和執(zhí)行效率較差,這也嚴
3、重影響了系統(tǒng)的服務(wù)性能;此外,SSL VPN無法保證用戶終端的安全,不安全的用戶終端訪問VPN內(nèi)部資源往往會造成極大的破壞和損失。
SSL VPN的性能和擴展性問題可以從VPN系統(tǒng)架構(gòu)和操作系統(tǒng)內(nèi)核兩個方面來解決。在傳統(tǒng)的SSL VPN架構(gòu)中,VPN服務(wù)器是系統(tǒng)的性能瓶頸,它的計算量非常龐大,其處理速度決定了整個VPN的通信質(zhì)量。為此提出了一種基于非對稱SSL隧道(AST,Asymmetrical SSL Tunnel)的
4、VPN架構(gòu)。采用非對稱SSL隧道之后,發(fā)往VPN客戶的數(shù)據(jù)由內(nèi)部服務(wù)器自行封裝,這樣可以將VPN服務(wù)器的部分計算荷載轉(zhuǎn)移到那些I/O密集但是CPU資源相對空閑的內(nèi)部服務(wù)器上,充分利用內(nèi)部服務(wù)器的計算能力,提高VPN系統(tǒng)的整體性能。該VPN方案中的密鑰管理辦法,對SSL協(xié)議進行了適當(dāng)?shù)臄U展,使得客戶機、VPN服務(wù)器和內(nèi)部應(yīng)用服務(wù)器三者能夠同步協(xié)商所使用的加密密鑰信息,而且能夠滿足SSL VPN特定的安全性要求:定期更新密鑰。此外,根據(jù)隧道
5、所使用底層協(xié)議的不同,還提出了IP嫁接算法和UDP散射算法,進一步提高VPN的整體性能。
根據(jù)Amdahl定理,提高系統(tǒng)性能的最有效方法是加快經(jīng)常性事件的速度,因此提出了一種新的I/O多路接口:內(nèi)核-用戶共享事件隊列(KSEQ,Kernel-user Shared Event Queue)。VPN服務(wù)軟件多采用單進程事件驅(qū)動(Single Process Event Driven)的結(jié)構(gòu),KSEQ接口利用這種軟件結(jié)構(gòu)的特點
6、,解決了VPN服務(wù)進程與系統(tǒng)內(nèi)核共享數(shù)據(jù)結(jié)構(gòu)的難題,從而避免了大量的系統(tǒng)調(diào)用開銷,并保證了良好的可擴展性。使用基于邏輯時鐘的形式化分析模型對KSEQ的時序分析表明,內(nèi)核-用戶共享數(shù)據(jù)結(jié)構(gòu)的取值結(jié)果總是能夠符合其邏輯定義。理論分析和實驗測試證明KSEQ接口在可擴展性方面優(yōu)于傳統(tǒng)的I/O多路接口,并且與其他同類研究的結(jié)果相比具有更高的執(zhí)行效率。
針對SSL VPN技術(shù)無法保證客戶端安全的現(xiàn)實,從消息傳遞的角度,將日志系統(tǒng)視為一
7、種跨越時間和空間的單向消息傳遞系統(tǒng),并在此認識的基礎(chǔ)上,構(gòu)建了一種支持計算機取證的日志系統(tǒng)(FLEA,F(xiàn)orensic Log Evidence Assurance)。該系統(tǒng)采用了入侵容忍(Intrusion Tolerant)的設(shè)計原則,在操作系統(tǒng)內(nèi)核的支持下,即使SSL VPN服務(wù)器受到入侵,也能保證日志系統(tǒng)的客觀和公正。使用擴展的GNY標(biāo)記邏輯可以證明,F(xiàn)LEA系統(tǒng)能夠保證日志消息的真實性,完整性和保密性。受到FLEA系統(tǒng)保護的V
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- SSL VPN安全關(guān)鍵技術(shù)研究.pdf
- SSL VPN服務(wù)器關(guān)鍵技術(shù)研究及改進.pdf
- SSL VPN關(guān)鍵技術(shù)研究及其在Linux下的實現(xiàn).pdf
- 基于幀轉(zhuǎn)發(fā)的SSL VPN服務(wù)器關(guān)鍵技術(shù)研究.pdf
- 畢業(yè)論文---基于pki的ssl vpn關(guān)鍵技術(shù)的研究與實現(xiàn)
- 基于隧道技術(shù)的SSL VPN的改進與設(shè)計.pdf
- IPSec VPN中關(guān)鍵技術(shù)的研究.pdf
- 高場非對稱波形離子遷移譜關(guān)鍵技術(shù)研究.pdf
- 一種非對稱數(shù)據(jù)接入方案及關(guān)鍵技術(shù)研究.pdf
- IPSEC VPN關(guān)鍵技術(shù)的研究和實現(xiàn).pdf
- 簡支梁橋非對稱加寬關(guān)鍵技術(shù)研究與應(yīng)用.pdf
- SSL VPN虛擬通道技術(shù)研究.pdf
- VPN協(xié)議識別關(guān)鍵技術(shù)研究.pdf
- MPLS若干關(guān)鍵技術(shù)的研究.pdf
- IP VPN關(guān)鍵技術(shù)的研究及其實現(xiàn).pdf
- IPSec VPN中關(guān)鍵技術(shù)的研究與實現(xiàn).pdf
- DNC系統(tǒng)若干關(guān)鍵技術(shù)的研究.pdf
- WEB應(yīng)用若干關(guān)鍵技術(shù)的研究.pdf
- 面向無線接入的IPSec VPN關(guān)鍵技術(shù)研究.pdf
- HEVC若干關(guān)鍵技術(shù)研究.pdf
評論
0/150
提交評論