随着网络技术的迅速发展,对网络需求的不断增强。由于Internet是一个开放的网络,随着技术的发展,网络中有越来越多的不安全因素,网络安全日益成为被关注的课题,特别是现代电子商务和电子政务的快速发展,相关VPN技术和产品也得到了飞速发展。 VPN技术是利用有关密码学知识在开放的公共网络上建立虚拟专用网络的技术。IPSec VPN和SSL VPN是目前用得最多的两种VPN技术和产品。IPSec VPN工作在网络层,SSL VPN工作在安全套接层,比较两者,后者比前者有部署、管理成本底;有更高的安全性;具有更好的可扩展性;有更细粒度的访问控制能力;有更好的经济性等优点。同时也有自身的不足,需要进一步改进。 在SSL VPN中用到了的一系列相关密码技术,包括对称加密、非对称加密、数字签名、数字证书及消息摘要算法等,本文仔细分析了各种相关密码技术的原理、侧重的应用方向,并将它们综合利用,在保障安全性的同时提高了性能。 SSL协议是建立在TCP连接的基础之上,包括两层共四个协议的协议族,即记录层协议、握手协议、改变密码规约协议、警告协议。本文仔细分析了各协议的工作原理和功能,对协议的安全性和性能也作了详细的分析,并提出了协议性能的改进方法。 在分析了VPN技术、相关密码技术和SSL协议的基础上提出了本系统的解决方案,将整个安全网关系统划分为通信处理模块、SSL握手处理模块、记录处理模块、认证管理模块、以及数据/请求转发功能模块,阐明了各模块所实现的功能:然后重点阐明了SSL握手处理模块、记录处理模块以及认证处理模块的具体实现原理和过程,并对多线程技术、连接策略、会话恢复等关键技术进行了详细阐述。在研究现有SSL VPN有关产品的基础上,对认证算法进行了改进,将基于CA证书的认证和基于用户名/口令的认证方式相结合,同时还通过用户列表和访问控制列表实现了访问控制的功能,在保证系统安全的同时,提高了系统的性能。最后提出了系统的改进方向。