SSL+VPN教学实验系统的设计与实现

上海交通大学硕士学位论文SSLVPN教学实验系统的设计与实现姓名：龙锦远申请学位级别：硕士专业：通信与信息系统指导教师：杨树堂20090101上海交通大学工学硕士学位论文摘要第I页SSLVPN教学实验系统的设计与实现摘要当前，随着远程访问不断增加，价格低廉、实施简单而又拥有良好安全访问控制机制的SSLVPN越来越引起人们的关注，具有广泛的应用前景。SSLVPN是一种基于数据包封装技术的，利用SSL/TLS协议结合强加密算法和身份认证技术的VPN。SSLVPN使用数据包封装的隧道技术来实现虚拟专用网的私有性，使用PKI技术和密码学技术来鉴别通信双方的身份和确保传输数据的安全。SSLVPN技术不断发展，产品也不断更新换代。但是，现在却缺少行之有效的SSLVPN教学实验产品。因为现在的SSLVPN产品不论采用哪种技术，它们都是基于商业需求研制的，并不适合直接应用于VPN教学实验环节之中。因为市场上的SSLVPN产品只注重结果，不注重过程，交互性不强，将它们直接应用于教学实验中注定会有很多不方便的地方，难以达到理想的教学实验效果。正是在上述背景下，本文研究并设计了一种SSLVPN教学实验系统。通过对SSLVPN技术的详细分析，设计并实现了SSLVPN教学实验系统的体系结构和功能模块。本文采用了三层B/S架构技术、多线程编程技术和信上海交通大学工学硕士学位论文摘要第II页息截取技术，有效的解决了实验系统的交互性问题，同时可以满足多用户和集中管理的需求。本实验系统支持不同层次的多个SSLVPN实验，可以有效引导实验者进行实验，提高他们的动手能力和解决问题的能力。因此，该系统具有积极的现实意义和很好的应用推广前景。关键词：SSL，VPN，隧道，多用户，实验系统上海交通大学工学硕士学位论文ABSTRACT第III页EXPERIMENTALTEACHINGSYSTEMDESIGNANDIMPLEMENTATIONABSTRACTAtpresent,withtheincreaseofremoteaccess,SSLVPNwhichisinexpensiveandsimpleandhasgoodsecurityaccesscontrolmechanismcausespeople'sextensiveconcernmoreandmore.Ithasabroadapplicationprospects.SSLVPNisamethodthatbasesonpacketpackagingtechnologyandthatusesSSL/TLSprotocolandstrongencryptionalgorithmsandauthenticationtechnologiestobuildVPNsecurelyandreliably.SSLVPNcanbeusedtoconstructextranet,intranetandremoteaccess.SSLVPNrealizestheprivateofVirtualprivatenetworkbyusingthetunnelpacketpackagingtechnologyandensuresthesecurityofdatatransmissionbyusingPKItechnologyandcryptographytechnology.SSLVPNtechnologycontinuestodevelopandSSLproductsareconstantlyupgrading.Butatpresent,therearefewSSLVPNteachingexperimentproductsinthemarket.VPNproductsinthemarketarebasedonthedemandforcommercialdevelopmentandarenotsuitablefordirectapplicationintheVPN上海交通大学工学硕士学位论文ABSTRACT第IV页teachingexperiment.BecauseVPNproductsinthemarketonlycaretheresultanddon’tcaretheprocessandcan’tmeettheneedofinteractiveandcentralizedmanagement,usingtheseVPNproductsinexperimentsystemisnotsuitable.Inthissituation,thispaperresearchesanddesignsaSSLVPNteachingexperimentsystem.ThroughadetailedanalysisofSSLVPNtechnology,thispaperdesignsandrealizestheSSLVPNteachingexperimentsystem’ssystemstructureandfunctionmodules.Byusingthree-tierB/Sarchitecturetechnologyandmulti-threadedprogrammingtechnology,thispapersolvesexperimentalsysteminteractiveproblemswellandcanmeettheneedofmulti-userandcentralmanagement.ThisexperimentalsystemsupportsdifferentSSLVPNexperimentsofdifferentlevels.Itcanmeetthetrainingneedofinformationsecuritytechnologypeople.Therefore,thissystemhasthepositivepracticalsignificanceandtheverygoodpromotionalprospectofapplication.Keywords:SSL,VPN,tunnel,multi-user,experimentsystem上海交通大学工学硕士学位论文英文缩略语对照表第1页英文缩略语对照表英文缩略语英文全称中文对照AESAdvancedEncryptionStandard高级加密标准DESDataEncryptionStandard数据加密标准DHDiffie-HellmanDHDSADigitalSignatureAlgorithm数字签名算法IDEAInternationalDataEncryptionAlgorithm国际数据加密算法IETFInternetEngineeringTaskForce因特网工程任务组IPInternetProtocol互联网协议IPSecInternetProtocolSecurity互联网协议安全KDFkeyDerivationFunction密钥导出函数KEAkeyexchangealgorithm密钥交换算法MACMessageAuthenticationCode消息认证码MD5message-digestalgorithm5信息-摘要算法PCTPrivateCommunicationsTechnology保密通信技术QoSQualityofService服务质量RSARivest-Shamir-AdlemanRSASHASecureHashAlgorithm安全散列算法SSLSecureSocketsLayer安全套接层TCPTransmissionControlProtocol传输控制协议TLSTransportLayerSecurity传输层安全VPNVirtualPrivateNetwork虚拟专用网://vpn.3lunche.com/VPN上海交通大学工学硕士学位论文第一章绪论第1页第一章绪论1.1课题背景随着全球经济的不断发展，企业的合作伙伴日益增多，需要移动办公的人员也随之增加。在这样的背景下，企业的各分支机构、企业与合作伙伴、企业与客户之间都可能需要建立连接通道以进行信息传送。当前大多数远程访问解决方案还是利用基于IPSec安全协议的VPN网络的情况下，一种昀新的研究表明，几乎是90%的企业利用VPN进行的内部网和外部网的连接都是用来进行因特网访问和电子邮件通信，另外10%的用户是利用诸如X11、聊天协议和其他私有客户端应用，属非因特网应用。这些90%的应用有研究表明可以利用一种更加简单的VPN技术——SSLVPN来提供更加有效的解决方案。SSL（SecureSocketsLayer，安全套接层）协议是网景公司提出的基于Web应用的安全协议。SSL协议指定了一种在应用层协议和可靠的传输层协议（如TCP协议）之间提供数据安全性分层的机制。它可以为网络连接提供数据加密、服务器认证、消息完整性以及可选的客户端认证。SSLVPN一般在网关上或者在防火墙后面，把企业内部需要被授权外部访问的内部应用注册到SSLVPN上,这样对于网关来讲,需要开通一个固定的端口（如443）到SSLVPN即可，而不需要开通所有内部应用的端口。如果有黑客发起攻击也只能到SSLVPN这里，攻击不到内部的实际应用，因此相对而言SSL比IPSec更加安全。同时基于SSL协议的VPN远程访问方案更加容易配置和管理，网络配置成本比起目前主流的IPSecVPN还要低很多，所以许多企业已经开始转向利用基于SSL加密协议的远程访问技术来实现VPN通信[1][2][3]。1.2课题的研究状况及研究意义SSL协议是基于Web应用的安全协议，为诸如网站、电子邮件、网上传真等等数据传输进行保密。现在主要的浏览器中都集成了对SSL协议的支持。上海交通大学工学硕士学位论文第一章绪论第2页SSL历经多次修订，从开始的版本1到版本3，再到IETF（InternetEngineeringTaskForce,因特网工程任务组）昀终所采纳的TLS（TransportLayerSecurity,传输层安全）标准。目前已有不少文章对其进行分析，并对其进行适当的改进，使其更加安全、实用。由于SSL协议没有对传输数据的压缩作规范，现在有一些研究在这个方面提出了一些方案，对于在低速链路上的SSL传输起到了良好的增强作用。当前，随着宽带技术的普及和发展，SSLVPN技术越来越引起了人们的广泛关注。SSLVPN是一种基于SSL技术的VPN，是解决远程用户访问公司敏感数据简单而安全的解决技术。与复杂的IPSecVPN相比，SSL通过简单易用的方法实现信息的远程传送。SSLVPN技术不断发展，产品也不断更新换代。但是，现在却缺少行之有效的SSLVPN教学实验产品，因为当前的VPN产品不论采用哪种技术，它们都是基于商业需求研制的，并不适合应用于VPN教学实验环节之中。因为市场上的VPN产品只注重结果，不注重过程，交互性不强，将它们直接应用于教学实验中注定会有很多不方便的地方，难以达到理想的教学实验效果。正是在这种背景下，给本文提出了一个新的命题，研究一种支持不同层次的教学实验的SSLVPN实验系统，它可以有效满足信息安全技术人员对培训的需求，提高他们的实践经验和动手能力。因此，研究这样的系统是很有现实意义的。1.3本文的组织结构正是在上述背景下，本文设计并实现了一种面向SSLVPN教学的实验系统。针对实验教学的特点以及SSLVPN的技术要点，本文主要的研究内容是如何实现大规模、交互式、易于管理的面向SSLVPN教学的实验系统，同时可以实现基于SSLVPN的多种实