面向SSL VPN网关的链路管理优化技术研究

摘要

随着经济和互联网技术的高速发展，公司企业、高校以及政府等各种社会机构的内部网路日益庞大。内部网络的资源日益丰富和多样化的办公场景的需求，导致不同地域私有网络之间通信的需求、公共互联网访问私有网络的的需求越来越多。在这种情况下，如何让处于不同地域的员工安全、高效、便捷的访问企业内部的办公网络成为的一个重要问题;SSL VPN技术作为解决问题的一种重要手段逐渐发展和流行起来。本文从SSL VPN网关服务器的并发连接管理能力和SSL VPN链路上的密钥协商性能两个方面，对SSL VPN网关的链路管理技术进行研究。
　　本文对SSL VPN链路管理中，服务器并发连接管理技术进行研究。通过对常用的基于线程池的并发连接管理模型进行分析，指出在线程池的使用过程中存在一定的问题。当线程池中的工作线程数量过少时，系统资源不能充分得到利用，线程之间的切换频繁，影响系统运行效率，导致用户的请求不能得到及时响应;当线程池中的工作线程数量过多时，会造成系统资源浪费，极端的情况下会导致系统资源(堆栈空间、文件描述符等有限的资源)耗尽，影响系统的稳定性。基于平均数的自适应算法就是一种常用的动态改变线程池大小的算法，能一定程度的弱化上述问题，但是基于平均数的自适应算法对请求的响应时机滞后，线程池中工作线程数目的预测因素单一且不稳定，造成资源利用率不高，线程池的并发性能不足。因此本文提出一种基于分段的自适应算法来动态改变线程池的大小，通过对使用两种算法的并发连接管理模型的对比实验，结果表明在处理相同数量的请求时，使用基于分段的自适应算法的并发连接管理模型单位时间处理的请求数多，系统吞吐率高，并发性能好。
　　本文对SSL VPN链路管理中，SSL链路上密钥协商相关技术进行研究。通过对SSL链路密钥协商常用的Diffie-Hellman算法进行研究分析，在SSL密钥协商过程中，Diffie-Hellman算法生成密钥对所消耗的时间比重较大，而密钥对生成的核心是大素数的生成。Diffie-Hellman算法在大素数生成过程中存在，使用Miller-Rabin素性测试时合数的过多，即存在素性检测范围过广的问题，本文提出一种大素数预处理的方法，加速大素数的生成。同时结合SSL硬件加速解决方案中的并行处理思想，提出一种基于并行处理的密钥协商优化模型，以Diffie-Hellman算法为基础进行密钥协商过程的并行处理，从而优化密钥协商性能。通过对比实验，表明使用优化模型的密钥协商过程能够有效降低SSL握手消耗的时间，可以优化SSL链路的密钥协商性能。

目录

声明

摘要

第1章绪论

1．1课题研究背景与意义

1．2课题研究内容

1．3论文组织结构

第2章相关理论研究及国内外研究现状

2．1引言

2．2．1服务器并发连接管理技术

2．2．2SSL密钥协商相关理论

2．3．1服务器并发连接管理技术研究现状

2．3．2SSL密钥协商研究现状

2．4本章小结

第3章一种基于线程池的并发连接管理优化模型

3．1引言

3．2相关工作

3．2．1线程池技术分析

3．3基于分段的自适应并发管理模型

3．3．1基于平均数的自适应算法

3．3．2基于分段的自适应算法

3．4实验结果与分析

3．4．1实验方案

3．4．2实验结果

3．5本章小结

第4章一种基于并行处理的密钥协商优化模型

4．1引言

4．2相关工作

4．3基于大素数预生成的并行处理模型

4．3．1大素数预生成算法

4．3．2大素数的并行管理

4．4实验结果与分析

4．4．1实验方案

4．4．2实验结果

4．5本章小节

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢