现在很多公司使用高成本的IPSec VPN去实现远程访问服务。公司需要购买使用而且维护费用高。对于这些公司来说,他们需要一种使用简单、低成本的远程访问方案。
1.1.2 研究意义
SSL VPN是目前主流的解决远程访问的方案。大多数浏览器中都内嵌了SSL协议,不需要安装额外的客户端软件就可以使用,成本低。而且SSL VPN几乎可以兼容在任何操作系统,使用起来方便简单。使用SSL VPN实现远程访问服务是目前大多数用户和企业的很好选择。
1.2 国内外研究现状
目前,国内外对OpenVPN的态度,更倾向于使用而非研究,毕竟OpenVPN的诞生本就是面向应用的。这是国内外研究现状的共同特点,而且由于是面向应用的,其关注点自然而然地聚焦于具体应用中出现的问题,比如针对不同的客户端设定不同的访问权限,实现网对网的连通,内部DHCP服务等。在同样的方向下,国内的研究与国外的研究又有所差异。国内侧重于如何在具体的不同的网络环境下搭建OpenVPN。而国外则几乎把OpenVPN当成一个“开箱即用的工具”,从而利用OpenVPN辅助进行各种实验,如利用OpenVPN模拟真实的网络环境,测试OpenVPN的性能瓶颈,考量OpenVPN的安全性等。SSL VPN技术在国内外都算比较新型的技术,而且大部分浏览器都支持SSL协议,所以多数企业都非常看好SSL VPN的发展前景。
1.3 主要研究内容
本论文主要研究VPN技术的原理及相关技术,针对SSL VPN技术进行深入研究,包括SSL协议、OpenSSL、OpenVPN等。设计了OpenVPN系统的部署方案和技术路线,对涉及的多种安全访问认证技术进行研究。然后在实验环境下进行实现,在Linux下搭建OpenVPN服务器,使用SSL协议实现SSL VPN系统。
第二章 OpenVPN及相关技术
2.1 VPN工作原理
VPN是虚拟专用网络,它通过公有网络建立私有数据传输通道将处于不同地方的内部网连接起来。
图2-1 VPN原理示意图
如图2-1所示,pc1的IP视为源地址,pc2的IP视为目标地址。pc1建立分组,将分组发送到VPN1上,VPN1将自己的IP地址当作源地址,将VPN2当作目标地址,通过Internet网将新建分组发送到VPN2上,VPN2对分组进行拆除,按照原分组发送给pc2,实现远程访问服务。
2.2 SSL VPN基本概念及原理
2.2.1 SSL VPN基本概念
通常人们口中说的SSL VPN是实现远程访问服务,但是与IPSec VPN有所差别的VPN。它利用浏览器内嵌的封装包处理机制,通过网络封装包转向方式连接配置好的SSL VPN服务器,读取内部数据。SSL VPN采用标准的安全套接层协议对网络中传输的数据加密,可以保障数据信息的安全不被泄露和截获。
2.2.2 SSL VPN原理
SSL VPN可以通过外网访问内网资源。一般公司内部网络服务器会向外网提供一个虚拟地址,当用户想要访问内网资源时,会发出访问这个虚拟地址的请求。这个请求被SSL VPN网关获得,通过认证后SSL VPN网关会根据这个虚拟地址映射出真实服务器地址,从而访问到内网资源。在这个过程中,SSL VPN网关相当与代理服务器,它进行对用户的身份认证和访问控制,认证通过后才能够允许数据请求到达服务器,这样能够保障资源信息的安全不被窃取。
SSL VPN网关有四种功能,代理、应用转换、端口转发和网络扩展。实现SSL VPN服务至少SSL VPN网关实现一种功能。
代理功能将页面请求转发给服务器,然后将服务器的相应回传给用户。应用转换功能将非web页面的访问发送给服务器,服务器的响应以HTTP协议和HTML格式返回给客户端。端口转发功能可以防止一些应用外观的丢失。网络拓展功能可以将终端用户的系统连接到终端上,实现文件共享。 基于OpenVPN的SSL VPN系统应用与实现(2):http://www.youerw.com/jisuanji/lunwen_47506.html