SSL VPN系统的可视化管理与性能测试研究

摘要

SSLVPN是一种重要的安全VPN。和IPSecVPN相比，它具有组网灵活、管理维护成本低、用户操作简便等优势，有很强的市场竞争力。 OpenVPN是一种典型的基于隧道技术的SSLVPN，采用SSL/TLS协议协商隧道加密密钥，借鉴ESP协议封装隧道数据，运用OpenSSL加密库加密隧道数据，使用虚拟网卡TUN/TAP驱动来扩展网络。OpenVPN支持IPv4/v6、NetwareIPX、Appletalk等多种网络协议，可部署内联网、外联网、远程访问等多种VPN系统，是一种“全功能”的VPN软件。 OpenVPN是一款免费的开源软件，尚无可视化管理界面，缺乏权威性的测评报告，致使其推广应用不够广泛。针对OpenVPN的缺陷和不足，作者在OpenVPN可视化管理、软件测评等方面进行了试验性研究。 本文在研究SSL/TLS协议、ESP协议、虚拟网卡TUN/TAP驱动原理的基础上，从密钥协商、数据封装、数据处理流程等方面阐明了OpenVPN的工作原理，指出了OpenVPN、IPSecVPN、SSLVPN网关产品之间的主要差异。 为了提高OpenVPN的可用性，作者设计了基于Web的OpenVPN可视化管理系统。该系统包括证书管理、访问控制、运行状态监控、服务器管理、系统流量统计与分析五个功能模块。该系统能帮助管理员高效、安全、直观地管理VPN系统。 为了消除人们对开源软件的顾虑和疑问，作者全面、科学地测试分析了OpenVPN的性能、功能及抗攻击能力。性能方面主要测试了用户登陆时间、加密吞吐量、并发用户数等指标。在和FreeS/Wan(IPSecVPN)及SSL-Explorer(SSLVPN网关)对比测试的基础上，对OpenVPN的性能作出了定位和评价。作者在实验室部署了站到站、远程访问等多种VPN系统，并在VPN系统中逐一测试了Web、FTP、Email、Telnet、网上邻居、远程终端等常用的网络服务。此外，还对VPN系统的抗攻击能力进行了测试。 本文对OpenVPN的安全性进行了全面的分析，并指出了通信双方以明文形式交换证书的缺陷。针对该缺陷，作者提出了理论上可行的改进措施，并通过修改OpenSSL源码来具体实现。 作者在开发访问控制模块时，制定了分部门、分级别的访问控制策略，提高了OpenVPN网关对内网安全的保护能力。在解决负载平衡问题时，引入了分级加密机制。该机制允许VPN用户自主选择隧道加密强度，从而使OpenVPN服务器的CPU资源得以合理使用。 本研究对提高OpenVPN的可用性、安全性有较大作用，有助于OpenVPN在国内推广应用，也有助于人们正确认识和合理选择SSLVPN产品。

目录

文摘

英文文摘

声明及关于学位论文使用权的说明

第一章 绪论

第二章 OpenVPN工作原理研究

第三章OpenVPN可视化管理系统设计与实现

第四章OpenVPN性能测试与研究

第五章OpenVPN安全性分析及握手协议改进

第六章结论

参考文献

致谢

攻读学位期间发表的学术论文目录