论文部分内容阅读
随着Internet应用的快速普及,提供安全的企业资源访问已经成为一项迫切的需求。无论用户是在远程的办公室还是出差的宾馆里工作,他们都需要通过简单的访问到企业资源来开展工作。VPN虚拟专用网满足了这种需求,在过去数年间发展迅速,逐渐确立了现在的IPSec VPN和SSL VPN两大解决方案。从目前的市场情况看,IPSec占据最大的市场份额,但在未来几年内,SSL VPN凭借其简单易用、部署及维护成本低,受到企业用户的青睐,将会有更大的发展空间。目前SSL VPN系统在性能上存在不足,大量的加密操作消耗了太多的系统资源,对服务器的性能影响巨大。其中高强度加密操作比低强度的要消耗更多的系统资源和时间。其实,在实际应用中,真正需要保护的内容只是非常有限的一部分。并且不同资源也可能需要不同的加密级别来保护。因此将按需分级加密的概念引入VPN系统成为本课题的研究重点。本文研究的关键技术,创新点和所作的工作如下:1对VPN技术的应用现状和发展前景进行全面介绍,并简述了VPN实现的一般原理,包括隧道技术,加密技术等基础知识。2对SSL VPN的协议体系,实现机制和安全机制等关键技术加以深入的分析。详细探讨了握手协议的整个握手过程以及对握手过程中所使用的消息进行具体说明。其中在重点分析了握手协议的基础上,提出一套SSL协议性能的改进策略,从会话恢复,客户端认证的改进,加密套件的选择,记录块大小以及硬件加速等方面提升系统性能。3在深入研究传统的SSL VPN应用系统的体系结构模块框架后,为了提高SSL VPN的连接传输速度,根据基于角色和内容的访问控制设计了一种新型按需计算、分级加密的实施方案。不但能动态的根据实际情况决定是否需要建立SSL连接,还能根据用户的角色和访问的不同资源提供不同级别的加密方式,从而大大增强服务器的性能。4针对按需分级加密的SSL VPN应用系统的各个模块进行详细设计,并利用开源开发工具包OpenSSL结合VC++6.0开发环境对其进行了部分实现。在此基础上对系统的改进进行了实验对比。最终结果证明系统稳定可靠,并提高了效率。