基于OpenVPN技术的SSL VPN系统设计文献综述

文献综述：

1. 课题背景

随着企业的分支机构分布日益广泛以及对信息安全的日益重视，企业迫切需要一种技术把原有的各个孤立的局域网联成一个整体，构筑一个安全可靠高效的信息传输和管理平台。虚拟专用网VPN(Virtual Private Network)以其独具特色的优势，成为越来越多的企业的首选。

VPN技术通过密钥交换、封装、认证、加密手段在公共网络上建立起私密的隧道，保障传输数据的完整性、私密性和有效性。OpenVPN是近年来新出现的开放源码项目，实现了SSL VPN的一种解决方案。

1. 课题现状

在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。目前实现VPN的技术包括配置管理技术、隧道技术、协议封装技和密码技术等。这些技术可以应用在TCP/IP协议的数据链路层、IP层、TCP层和应用层。

传统SSL VPN通过端口代理的方法实现，代理服务器根据应用协议的类型（如http，telnet等）做相应的端口代理，客户端与代理服务器之间建立SSL安全连接，客户端与应用服务器之间的所有数据传输通过代理服务器转发。这种实现方式烦琐，应用范围也比较窄：仅适用于用TCP固定端口进行通信的应用系统，且对每个需要代理的端口进行单独配置；对于每个需要用到动态端口的协议都必须重新开发，且在代理中解析应用协议才能实现代理，如FTP协议；不能对TCP以外的其它网络通信协议进行代理；代理服务器前端的防火墙也要根据代理端口的配置变化进行相应调整。SSL VPN 是近年来兴起的一种新型安全VPN。它是一种基于隧道技术，利用SSL/TLS协议结合强加密算法、身份认证技术开发而成的安全VPN。它通过数据包封装技术来实现虚拟专用网的私有性，通过PKI技术和加密技术来鉴别通信双方的身份和确保传输数据的安全。SSL VPN 工作在系统用户空间，具有组网灵活性强，管理维护成本低，用户操作简便等特点。

尽管OpenVPN实现在用户空间，但它依然是工作在网络2、3层的VPN技术，因此它能够支持任意几种iP应用。OpenVPN使用TUN／TAP驱动程序将网络2、3层的数据包传送到用户空问，然后使用应用层SSL／TLS技术加密传输，从而实现隧道功能。TUN／TAP驱动程序实现了虚拟网卡的功能。TUN表示虚拟的是点对点设备，TAP表示虚拟的是以太网设备。TUN／TAP驱动程序中包含两个部分，一部分是字符设备驱动，另一部分是网卡驱动。网卡驱动可以用来接收来自TCP／IP协议栈的网络包并发送出去，或者将接收到的网络包传送给协议栈处理；而字符驱动可以实现网络包在内核与用户空间之间传送，模拟物理链路的数据接收和发送。

OpenVPN的隧道协议是建立在UDP协议上的。也就说OpenVPN使用UDP数据包传送隧道数据。尽管OpenVPN也支持TCP，但是这只不过是UDP隧道协议的一个变体，而并不是完全基于TCP的SSL／TLS实现。大多数网络应用程序都采用TCP协议进行通信，因为TCP可以提供可靠的传输以及流量控制。如果隧道协议也使用TCP协议实现，就相当于采用了双重的可靠性保障机制，以及流量控制机制，这会造成严重的性能问题。而UDP协议就不同。网络层本来就是不可靠的，使用UDP协议更能反映真实的网络环境。即使隧道数据包丢失了，隧道上层的TCP协议也同样可以保证数据传输的可靠性。

OpenVPN 提供了一个实现SSL VPN 全部功能的VPN 解决方案。使用OpenVPN 可以在任意的IP 子网之间建立隧道连接，也可以通过单独的UDP或TCP端口在任意的虚拟网卡之间建立隧道连接。并且可以配置一个具有可扩展性的、带有负载平衡功能的VPN服务器，用它可以处理来自不同地方的、成千上万的VPN 客户端的动态连接请求。OpenVPN 自身提供了多种加密算法，利用加密算法和认证功能来保护 VPN 中的数据在无联网上传输。使用OpenVPN，可以实现以下功能：①使用特定udp或tcp端口实现两台主机的之间的vpn连接；②实现C/S结构，实现多台client通过server服务器互连互通；③通过TLS/SSL加密保证数据传输的安全；④通过数据的压缩，提高数据传输的速度。OpenVPN 是一个具备完全特征的SSL VPN解决方案，能够进行大范围的配置操作，包括远程访问、站点与站点间VPN、WiFi安全及企业级远程访问解决方案，支持负载均衡，错误恢复及细粒度的访问控制。它通过使用工业标准SSL/TLS协议 实现了OSI 2层及3层安全网络扩展，支持灵活的基于证书、智能卡的客户端认证方法，允许通过在VPN虚拟接口上应用防火墙规则实现用户及组访问控制策略。

OpenVPN 在 Windows 下通常只能在控制台窗口中以命令行的形式运行，很不方便。而 OpenVPN GUI lets you runOpenVPN without this console window.OpenVPN GUI可以在不需要控制台的情况下运行OpenVPN，在配置目录下有配置文件(*. ovpn)存在时用户就可以点击系统任务栏中的图标来控制启动或是停止VPN隧道。但是 OpenVPN GUI 需要手动编辑配置文件，这样为用户增加使用困难，同时将太多细节暴露给了用户，如果用户没有网络和 VPN 基础，那么对于用户来说，搭建一个 VPN 隧道将是一个很艰巨的任务。OpenVPN 客户端接入软件应该有一个友好的配置与启动界面，使得用户不必介入编辑配置文件这个繁琐的过程，降低用户使用难度。因此，可以编写一个可视化的用户登录程序，通过验证身份，可以成功地连接 SSL VPN 服务器，实现访问。

三、课题意义

当涉及具体问题时，例如，通过在校园网上架设 OpenVPN 接入服务器，校外用户只需要安装一客户端程序（可以根据自己的操作系统而定），在不增加额外投资的情况下，就实现了对校内资源的安全访问。使用户突破了时间和空间的限制 ，不仅方便了校外住户，而且还大大提高了校园网信息资源的利用率。同时，也为校园网建设提供了一种新的思路：可以在公共网络上通过建立虚拟连接来传输私有数据。

参考文献：

[1]郭学超, 翟正军. OpenVPN 体系安全性研究[J]. 科学技术与工程, 2007, 7(8): 1742-1745.

[2]赵新辉, 郭瑞. 基于 OpenVPN 技术的 SSL VPN 的实现与研究[J]. 网络安全技术与应用, 2008 (9).

[3]林月钗. OpenVPN 技术在远程安全访问图书馆信息资源中的应用[J]. 福建工程学院学报, 2007, 5(3): 287-290.

[4]王谦. 基于 LINUX PHP MYSQL 的 OpenVPN 客户端实现[J]. 电脑学习, 2009 (4): 55-56.

[5]周淑萍, 张丽. 利用 OpenVPN 实现对校内资源的访问[J]. 通信技术, 2010, 43(8): 135-137.

[6]Yonan, James. 'Openvpn.' 2002. http://openvpn. net (2007).

[7]Charlie, H. 'OpenVPN and the SSL VPN revolution.' 2009203205].

[8]唐黎, 朱正超. 利用 OpenVPN 实现在系统中的多种安全访问. 计算机与信息技术, 2008, 12: 014.

[9]王伟. 基于 J2EE 平台的 OpenVPN 研究及其应用. 中南民族大学, 2010.

[10]林梦圆, 廉诗阳. SSL VPN 技术在高校图书馆中的应用研究. 机电产品开发与创新, 2011 (4): 92-94.

[11]刘洪强. 基于SSL协议的VPN技术研究与实现[D].山东大学 2008.

[12]马川,MA Chuan. VPN的IPSec和SSL实施对比研究[J].计算机安全 2008

[13]胡鼎. SSL VPN身份认证的研究[D].安徽大学 2013.

[14]邱劲. 基于SSL协议的VPN网关的设计与实现[D].苏州大学 2012.

[15]黄玉梅. SSL协议的应用开发研究[D].天津大学 2010.