论文摘要
随着互联网技术的发展,越来越多的企业和部门将其业务放到互联网上进行,这直接导致了对信息安全产品需求的增长。近几年的市场调查报告显示,VPN市场增长突飞猛进。由于IPsec VPN在应用中逐渐显现出来的不足(比如,与NAT设备冲突、配置和使用复杂、给操作系统内核带来的安全隐患等),人们开始寻求更加安全易用的VPN技术。基于SSL协议的VPN是当前最引人关注的一种新兴的VPN技术。但由于缺乏统一的标准和规范,目前市场上基于SSL协议的VPN产品(一般称为SSL VPN),技术参差不齐,功能差异较大,这给VPN产品的选择带来困难。另外,由于受美国对出口密码产品管制的限制,在标准的SSL协议实现中,密钥长度较短,因而其安全强度被大大削弱,不符合在国内一些对安全要求较高的领域(比如政府、军队、金融等)应用的需要。因此有必要对基于SSL协议的VPN技术进行深入系统的研究并加以改进。本文首先结合SSL协议的安全性,分析了SSL协议对VPN实现的支持,总结出基于SSL协议的VPN的特征,提出将基于SSL协议的VPN划分为代理型SSL VPN和隧道型SSL VPN两大类。并对SSL协议在VPN应用中应该注意的问题进行了总结。代理型SSL VPN的特点是基于代理技术实现和“无客户端”的运行模式,即其运行只需要WEB浏览器即可,无需专门安装客户端。本文研究了代理型SSL VPN的技术原理;总结了代理型SSL VPN支持的应用类型,并针对不同应用类型所采用的代理技术进行了研究;分析了代理型SSL VPN客户端存在的安全缺陷并提出了解决方案;总结了代理型SSL VPN的优势、不足以及适用的场合。隧道型SSL VPN基于虚拟网卡技术实现,其运行需要通信双方安装VPN软件,通过虚拟网卡建立的隧道进行安全数据传输。本文研究了隧道型SSL VPN的技术原理;详细说明了虚拟网卡的原理;对隧道型SSL VPN中可能出现的TCP over TCP的隧道数据封装方式带来的问题进行了讨论,并给出了解决办法;总结了代理型SSL VPN的优势、不足以及适用的场合。本文在最后提出了一种支持国产密码设备和算法的基于SSL协议的VPN实现方案。该方案基于成熟的隧道型VPN开源项目OpenVPN实现,通过自定义OpenSSLEngine实现对国产密码设备和算法的调用,以弥补标准SSL协议的密钥强度较弱的缺陷。这种方案既满足了国内对基于SSL协议VPN的应用需要,又加快了开发进度,降低了VPN构建成本。概括起来,本文的主要研究工作(创新点)包括:(1)总结出基于SSL协议的VPN的特征,提出将基于SSL协议的VPN划分为代理型SSL VPN和隧道型SSL VPN两大类。(2)对代理型SSL VPN和隧道型SSL VPN的关键技术进行了系统的研究,分析了其各自的优势和不足,总结了其各自适用的场合和支持的应用。(3)提出了一种支持国产密码设备和算法的基于SSL协议的VPN实现方案。本人在读期间参加过SSL VPN预研项目,对完成本文有较大帮助。