基于安全套接层的虚拟专用网服务器的开发

摘要

基于SSL(SecureSocketLayer，安全套接层)协议的虚拟专用网技术易于使用、成本较低，近年来获得了飞速发展。但SSLVPN存在一个较大的缺陷：只能访问通过浏览器连接的资源。传统的C/S模式的应用只能支持少部分，而且不能支持ICMP、ARP等应用层以下协议。这就使客户的应用局限在一个小的范围内，随着网络的发展用户需求增长必定打破这个狭小的范围。 传统的SSLVPN解决方案是建立在WEB基础上的，对非WEB应用支持不理想。而企业内部提供的资源服务各异，为使得远程Linux用户能够通过不同的应用层协议安全地访问内网资源，可设计SSLVPN客户端安全接入模型。接入模型在Linux内核插入一个字符设备来完成对访问请求的过滤。该设备会把对虚拟专用网内部服务器的连接请求重定向到VPN网关，然后再由VPN网关转发到真实服务器。远程客户与VPN网关的连接建立在开放的公共网络上，而SSL协议在公共网络上为通信的双方提供安全的通道。 对各种资源访问控制策略进行了详细分析，实现了基于角色和基于内容的访问控制策略，能更灵活，更细粒度的对资源进行控制。 作为唯一的客户接入点，服务器需要仔细设计以提高SSLVPN架构的性能。在连接建立阶段主要是公钥算法影响性能，而在数据传输阶段主要是加解密操作影响性能，相应的给出了连接重用，数据包压缩，添加硬件加速卡的方法来提高服务器的性能。经测试，改进后的SSLVPN系统简单易用，实现了对大多数传统应用程序的支持，解决了SSLVPN的应用范围受限问题。

目录

文摘

英文文摘

独创性声明及学位论文版权使用授权书

1绪论

2开发相关技术研究

3SSL VPN服务器改进模型的建立

4SSL VPN服务器改进模型的设计与实现

5全文总结

致谢

参考文献