SSL VPN中非對(duì)稱隧道等若干關(guān)鍵技術(shù)的研究.pdf_第1頁
已閱讀1頁,還剩166頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、基于安全套接層協(xié)議的虛擬專用網(wǎng)絡(luò)(SSL VPN,Secure Socket Layer based Virtual Private Network)為用戶提供了一種安全而又便捷的遠(yuǎn)程訪問方式。利用SSL協(xié)議(Secure Socket Layer protocol,安全套接層協(xié)議)、TLS協(xié)議(Transport Layer Security protocol,傳輸層安全協(xié)議)以及隧道技術(shù),SSL VPN實(shí)現(xiàn)了端點(diǎn)認(rèn)證,并保證了數(shù)據(jù)傳

2、輸?shù)陌踩院屯暾?。目前SSL VPN正處于發(fā)展和繁榮期,但是SSL VPN在系統(tǒng)性能、可擴(kuò)展性和安全性等方面還存在一些問題尚待解決。
   首先,SSL VPN的系統(tǒng)性能受安全計(jì)算負(fù)載的影響較大,往往需要額外的SSL專用加速硬件才能滿足高端應(yīng)用的要求;其次,SSL VPN服務(wù)軟件需要頻繁調(diào)用I/O多路接口(I/O Multiplexing Interface)來查看網(wǎng)絡(luò)事件,而傳統(tǒng)I/O多路接口的可擴(kuò)展性和執(zhí)行效率較差,這也嚴(yán)

3、重影響了系統(tǒng)的服務(wù)性能;此外,SSL VPN無法保證用戶終端的安全,不安全的用戶終端訪問VPN內(nèi)部資源往往會(huì)造成極大的破壞和損失。
   SSL VPN的性能和擴(kuò)展性問題可以從VPN系統(tǒng)架構(gòu)和操作系統(tǒng)內(nèi)核兩個(gè)方面來解決。在傳統(tǒng)的SSL VPN架構(gòu)中,VPN服務(wù)器是系統(tǒng)的性能瓶頸,它的計(jì)算量非常龐大,其處理速度決定了整個(gè)VPN的通信質(zhì)量。為此提出了一種基于非對(duì)稱SSL隧道(AST,Asymmetrical SSL Tunnel)的

4、VPN架構(gòu)。采用非對(duì)稱SSL隧道之后,發(fā)往VPN客戶的數(shù)據(jù)由內(nèi)部服務(wù)器自行封裝,這樣可以將VPN服務(wù)器的部分計(jì)算荷載轉(zhuǎn)移到那些I/O密集但是CPU資源相對(duì)空閑的內(nèi)部服務(wù)器上,充分利用內(nèi)部服務(wù)器的計(jì)算能力,提高VPN系統(tǒng)的整體性能。該VPN方案中的密鑰管理辦法,對(duì)SSL協(xié)議進(jìn)行了適當(dāng)?shù)臄U(kuò)展,使得客戶機(jī)、VPN服務(wù)器和內(nèi)部應(yīng)用服務(wù)器三者能夠同步協(xié)商所使用的加密密鑰信息,而且能夠滿足SSL VPN特定的安全性要求:定期更新密鑰。此外,根據(jù)隧道

5、所使用底層協(xié)議的不同,還提出了IP嫁接算法和UDP散射算法,進(jìn)一步提高VPN的整體性能。
   根據(jù)Amdahl定理,提高系統(tǒng)性能的最有效方法是加快經(jīng)常性事件的速度,因此提出了一種新的I/O多路接口:內(nèi)核-用戶共享事件隊(duì)列(KSEQ,Kernel-user Shared Event Queue)。VPN服務(wù)軟件多采用單進(jìn)程事件驅(qū)動(dòng)(Single Process Event Driven)的結(jié)構(gòu),KSEQ接口利用這種軟件結(jié)構(gòu)的特點(diǎn)

6、,解決了VPN服務(wù)進(jìn)程與系統(tǒng)內(nèi)核共享數(shù)據(jù)結(jié)構(gòu)的難題,從而避免了大量的系統(tǒng)調(diào)用開銷,并保證了良好的可擴(kuò)展性。使用基于邏輯時(shí)鐘的形式化分析模型對(duì)KSEQ的時(shí)序分析表明,內(nèi)核-用戶共享數(shù)據(jù)結(jié)構(gòu)的取值結(jié)果總是能夠符合其邏輯定義。理論分析和實(shí)驗(yàn)測試證明KSEQ接口在可擴(kuò)展性方面優(yōu)于傳統(tǒng)的I/O多路接口,并且與其他同類研究的結(jié)果相比具有更高的執(zhí)行效率。
   針對(duì)SSL VPN技術(shù)無法保證客戶端安全的現(xiàn)實(shí),從消息傳遞的角度,將日志系統(tǒng)視為一

7、種跨越時(shí)間和空間的單向消息傳遞系統(tǒng),并在此認(rèn)識(shí)的基礎(chǔ)上,構(gòu)建了一種支持計(jì)算機(jī)取證的日志系統(tǒng)(FLEA,F(xiàn)orensic Log Evidence Assurance)。該系統(tǒng)采用了入侵容忍(Intrusion Tolerant)的設(shè)計(jì)原則,在操作系統(tǒng)內(nèi)核的支持下,即使SSL VPN服務(wù)器受到入侵,也能保證日志系統(tǒng)的客觀和公正。使用擴(kuò)展的GNY標(biāo)記邏輯可以證明,F(xiàn)LEA系統(tǒng)能夠保證日志消息的真實(shí)性,完整性和保密性。受到FLEA系統(tǒng)保護(hù)的V

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論