基于帧转发的SSL VPN服务器关键技术研究

摘要

随着当代企业内部结构逐渐分散，网络应用服务模式面临新的问题，即在不影响最终用户使用的前提下，实现在任何地方灵活地访问应用服务。虚拟专用网在此基础上逐渐发展起来，其中一个最新发展是SSL VPN，它结合SSL保密特性，辅以细粒度的访问控制机制达到远程客户对私有资源的无缝访问。 传统的SSL VPN解决方案是基于应用数据转发的，对非Web应用服务支持不理想。针对上述缺陷，设计和实现基于帧转发的SSL VPN解决方案。在此方案中，建立虚拟网卡设备截获以太帧，并通过系统服务器端在客户端与内网之间转发，从而建立由所有客户端和内网组成的虚拟局域网。该方案可以支持所有基于IP协议的应用服务，并实现客户端之间的相互访问。 服务器是SSL VPN系统的关键部分，其主要功能是控制客户端的安全接入和转发系统帧数据。根据系统服务器端安全目标和功能需求，设计客户端连接服务器端的安全接入方案。采用SSL协议建立服务器端与客户端之间的安全通道，并通过对比研究在帧转发机制下，单通道接入模式和多通道接入模式的优缺点，选择单通道模式作为系统的接入方式。设计私有交互协议实现和完善系统安全性能。 然后着重研究系统服务器端的帧转发模式，在比较研究NAT转发、路由转发、桥接转发三种模式之后，选择路由转发模式作为本课题系统的帧转发模式。 最后提出一种新的非对称算法实现的改进方案，在系统运行过程中进行分布式解密/数字签名，以提高整个系统的安全性能。 经测试，SSL VPN服务器端实现了系统内所有节点与内网安全互访的目标，并具有较好的速度和并发性能。