面向中小企业低成本SSLVPN网关的设计与实现.docx

面向中小企业低成本网关的设计与实现沈 卫 文 肖磊胡 智 文（武汉交通职业 学 院 ，湖 北武 汉；、温 州 大 学 ，浙 江温 州）摘要 ： 以其独有的适应移动办公用户 和其他远程终端随时随地灵活接入的优势 ，在 市 场 中 占 据 了越来越多的份额 。 为开拓更多的市场应用 ，本 文 基 于 芯片设计并实现了面向中小企业的低成本 产 品 。关 键 词 ： 中 小 企 业 ；低 成 本 ； ；中 图 分 类 号 ：文 献 标 识 码 ：文 章 编 号 ：（）引 言 年 月 日 ，全 球 知 名 的 调 研 公 司 发 布 了 年 中 国 市 场 分 析 报 告 。 该 报 告 显 示 ，中 国 市 场 在 过 去 的 一 年 里 保 持 了 的 增 长 。 这 主 要 源于 中国企事业单位的快速扩张及网络信息 化 的 高速 建 设 。目 前 国 内 外 基 于 安 全 网 关 的 研 究 及 开 发 ，大多都是以大型企业为应用背景 ，并 且 大 多 数的 是 基 于 技 术 。 一方面为适应企业 的 高性能及高负荷需求 ，这 类 采 用 了 专 用 处理 器 及 硬 件 加 密卡来提高产品性能 ，这 无 疑 大 大增 加 了 成 本 ，使其无法被普通中小企业用户所接 受 ；另 一 方 面 ， 的 技 术 特点也决定了它 难 以 避 免 的 部署管理复杂性问题 ，需 要 专 业 人 员 来 配 置 和 维 护 。 对于普通中小 企 业 用 户 而 言 ，这 过 于 复 杂 ，难 以 适 用 。 而 新 兴 的 技术却解决了这一难题 ，满足了中小企业需求 。因 此 ，研究基于面向中小企业 的 安 全 可 靠 、成本 低 廉 、简 单 易 用 的 安全网关显得尤为 重 要 ，也有着广阔的市场应用前景 。 网关的国内外研发及应用现状 与 相比具有部署简单 、使 用 灵 活 、维 护 成 本 低 、对网络设备透明 、应 用 安 全 性 高 等 优 点 ， 能 够保障应用系统的安 全 并适应移动办公用户和其他远程终端随 时 随 地 的 灵 活 接 入 ，因此众多的安全设备厂商都在研究 和 推 出 相 关 的 产 品 。目 前 在国内市场推广面临几大不利 因 素 。 首 先 ，当前很多防火墙已经把 做 为 一 个 默 认 功 能 安 装 进 去 ，无需再购买专门的 终 结 设 备 ，而 设备需要单独购 买 。 这 样 ， 相对较高的价格 ，就 限 制 了 它应 用 的 普 及 性 。 其 次 ，国 内 主 流 运 营 商 在 领 域 已 经 有足够成熟的解决方案与运营 体 系 。 从商业的角度出发 ，在过去的一段时间内 ，收 稿 日 期 ：基 金 项 目 ：温 州 市 科 技 计 划 项 目 “基 于 嵌 入 式 中 小 企 业 低 成 本 安 全 网 关 的 研 发 ”（编 号 ：）。作 者 简 介 ：沈 卫 文 （），男 ，湖 北 公 安 人 ，武汉交通职业学院电信系讲师 ，硕 士 ，主要从事网络安全研究 。肖磊 （），男 ，浙 江 永 嘉 人 ，温州大学物理与信息学院教师 ，硕 士 ，主要从事信息安全研究 。胡 智 文 （），男 ，湖 北 黄 冈 人 ，温州大学瓯江学院信息系主任 ，博 士 ，主要从事计算机软件与理论研究 。沈 卫 文 ，肖磊 ，胡 智 文 ：面向中小企业低成本 网关的设计与实现 运 营 商 更 倾 向 于 从 而 对 的 推广采取了保守策略 。虽 然 存 在 这 样 一 些 问 题 ，但 是 在 国 内市场的前景光明 。 在国内笔记本销售逐 年 增 长情 况 下 ，移动办公越来越成为企业普遍的现象 ，用户 需 要 更 灵活的远程安全访问 方 案 ，而 无疑是最适合的一种 。另 外 ，从 国 家 对 安 全 产 品 的 限 制 来 看 ， 的发展也更符合我国 “国 情 ”。 产品本身涉及到加密算法 ，而我国国家规定 ，在 政 府 、军队等信息敏感部门 ，要采取经过国家相关部 门 认 证 的 “第 三 方 ”加 密 算 法 。 实 际 上 ，很 多 的 厂 商 ，都是在采取自己的一套加密算 法 ，虽 然 大 家 也都在口头上表示支持第三方加密 算 法 ，但是在同自身硬件紧密结合上 ，以 及 由 此 带 来 的 加 密效率和性能体现上都不 尽 如 人 意 。 而 则 不 存 在 这 个 问 题 ，由于其加密算法是 由 协 议 实 现 ，而 且 这 是 在 浏 览 器 中 受 到 支 持 。 除 非 国 家禁止浏览器的使用 ，否 则 就 没 有 办法来严禁当前 的 加 密 。 低 成 本 网关的设计思路 是 正 在 发 展 的 技 术 ，更 新 换 代 可 能 会 比 较 快 ，因 此用户在选购时可以少考虑一些扩 展 性 ，多注重产品的实用性 。 毕 竟 ，只 有 适 合 企 业 实际需求的才是最理想的选择 。由 于潜在目标客户群体 （中 小 企 业 主 ）对 设 备 购 置 费 用 的 敏 感度要远高于大中型国有企业 ，在 相 近 性 能 的 情 况 下 ，价格优势将是决定产品能否 迅 速 抢 占 市 场 的 第 一 要 素 。 因 此 ，低 成 本 网 关 的 设 计 ，必须同时兼顾性 能 指 标 和 产 品 成 本 等 因 素 。低 成 本 嵌 入 式 网关的设计方案包括 硬 件 架 构 设 计 及软件系统开发 ，其中硬件架构的 选型及设计直接决定了产品的硬件成本 。广 ，客户接受度最好的一款 。 集成有三个专门 针 对 网 络 应 用 设 计 的 网 络 处 理 引 擎 （）。 每 个 引 擎 连 有 协 处 理 单 元 ，专注于内核比较难 对 付 的 加 密 、解 密 和译码等特定功 能 处 理 ，并 且 能 够 与 网 络处理引擎的内核同时并行工作处理数 据 ，进 一 步 提 高 网 络 处 理 效 率 ；引 擎 的 内 核 在 硬 件 上 支 持 多 线程的快速切换 ，以满足高速网 络 的 需 要 。 网 络 处 理 器 借 助 网 络 处 理引擎处理数据的能 力 从 而 达 到 线 性 的 速 度 ，特 别 是 在 、 等 对 数 据 处理运算要求不高的应用 ， 可 以达到非常优越的性能。在 一 个 应 用 的 网 关 上 ， 可 以 达 到 的 带 宽 ，满 足 大多数非加密通 道 的 需 求 。 在进行加解密 数 据 处 理 时 ， 的能 力 相 对 有 限 ，利用网络处理引擎硬件加密进行 、 运 算 仅 能 提 供 的 带 宽 。 不 过 考虑到中小型企业的 实 际 使 用 情 况 ，该 性能指标已经能满足绝大多数情况的需要 。如 果 在 某 些 特 殊 环 境 下 ，需 要 更 高 性 能 的 连 接 ，该 硬 件 设 计 也 可 以 利 用 自 带 的 接 口 来 扩充对专用加密卡的 支 持 。 例 如 ，利 用 高 效 的 数 据 转 发 功 能 ，结 合 公 司 的 系列加解密卡或是国密 办 批 准 的 分 组 加 密 卡 来提高加解密的速 率 ，共同实现一个更加高速的 网 关 。此 外我们在设计中采用了 一种硬件和软件加 密 模 块 相 结 合 的 方 式 ，使 得 我 们 的 网 关 可以在性能和价格上取得一定平衡 。 在 要 求 不 高的 情 况 下 ，也可以采用纯软件加密从而降低成本 ；在 要 求 较 高 的 情 况 下 ，可选用硬件加密来提升性 能 。 在 本 设 计 的 默 认 配 置 中 将 使 用 嵌 入 式 自带的加密引擎 。硬 件 架 构 设 计在 安 全 网 关 中 ，加 密 算 法 的 安 全 、高 效 ，是 网 关 安全性和有效 性 的 重 要 保 证 。 由 于 本 设 计 要 兼 顾 高网络性能和低成本 ，并 且 还 要 支持 硬 件 加 密 ，通过比较市场上的多款适用 ，我们初步选定了 。 属 于 公 司 专 门 面 向 嵌 入 式 领 域 涉 及 的 处理器系列中的 一 款 低 端 网 络 处 理 器 ，属于网络通信领域应用最 图 系 统 框 架 示 意第 卷 总 第 期武汉交通职业学院学报 年 第 期整个系统的结 构 框 如 图 所 示 。与 及 共同组成一个最小 系 统 。 芯片用于实现网卡的 层 ，共 支 持 个 网 口 。 一个用于连接外网 ，接 受 外 部 发 起 的 连 接 。 另 四个连接企业内网 ，可 分 别 连 接 不 同 的 服 务 器 。 用于实现串行口终 端 ，可 用 于 对调试信息输出和系统管理 。用于对系统进行调试和在线编程 。 包 含 了 一 套 程序以及函数库 ，提 供 前 端使 用 功 能 ，并 且 允 许软件开发人员将 模 块与他们的程序结合 。 本设计将充分使用 这 一 资源来确保认证及加密的安全性 。 由 于 本 设 计 需 要支 持 系列内置加密加速引擎 ，我 们 将 开发其硬件加 密 引 擎 的 驱 动 ，并 整 合 到 ，通 过 设 备 驱 动 来实现对硬件加密 引 擎 的 调 用 。产 品 指 标 分 析通 过对按照设计方案试制 的样机进行初步测 试 ，本产品能实现以下指标 ：软件系统技术路线 目 前 的 大 多 数 通过端口代理的方 法 实 现 。 “代 理 服务器根据应用协议的类型 （如， 等 ）做相应的端口代理 ，客 户 端 与 代理服务器之间 建 立 应 用 层 的 安 全 连 接 ，所 有 数 据 传 输 通过代理服务器转发 ”。这 种 实 现 仅 适 用 于 用 固定端口进行 通 信 的 应 用 系 统 并 每个需要代理的端口进行单独配置 ；对 于使用动态端口的协议需要重新开发并 在 代 理中 解 析 才 能 实 现 代 理 ；不 能 对 以 外 的 其 它 网 络通信协议进行代理 ；严 格 地 来 说 ，这 并 非 一 种 真正意义上的虚 拟 网 络 ，只 是 一 个 代 理 网 关 而 已 。 本方案将实现一个如图 所 示 真 正 的 基 于 网 络 层 的 隧 道 连 接 ，通 过 虚 拟 网 卡及虚拟网络的 方 式 实 现 了 的 功 能 。 其工作原理如下 ： 服务器为每一个 成 功 建 立 连 接的 客 户 端 动 态分配一个虚拟 地 址 。 这 样 物 理 网 络 中 的 客 户 端 和 服务器就连接 成 一 个 虚 拟 网 络 上的星型结构局域网 ， 服 务 器 成 为每 个 客 户端在虚拟网络上的网关 。 当 客 户 端 对 服务器后端的应用 服 务器的任何访问时 ，数 据包都会经过路由流 经 虚 拟 网 络 ， 程 序 上 截 获 数 据 报 文 ，然 后 使 用 协 议 将 这 些 报 文 封 装 起 来 ，再经过物理网卡发送出 去 。服 务 器 和 客 户端就建立起一个虚拟的局域网络 ，这个虚拟的局域网对系统的用户来说是透明的 。产 品 技 术 指 标（）提 供 基 于 协议的点对点安全传输通 道 ；（）支 持 加 密 方式 ；（）支持基于数字证书的强身份鉴 别 及 静 态密 钥 共 享的简单身份认证 ；（）提 供 基 于 硬 件 加 密 与 软 件加密压缩相结合的安全功能 ；（）支 持 至 多 八 点同时接入虚拟网络 ；（）非 加 密 通 道 实 现 的 吞 吐 量 ；加 密 通 道 实 现 的 吞 吐 量 。产 品 经 济 指 标通 过 以 嵌 入 式 芯 片 为 硬 件 核 心 ，以 嵌 入 式 操 作 系 统 为 软 件 平 台 ，来 实 现 系 统 ，可 以 极 大 的 降 低 安 全 网 关 的 部 署 费 用 ，对中小企业信息安全提供 强 有 力 的 保 障 。目 前 国 内 市 场 主 流 市 场 价 格 一 般 处 于 高 位 。 即便是国内市场占有率最大的 深 信 服公 司 ，其 低 端 产 品 如 ，其 市 场 的 报 价 也 大 致 位 于 ￥ ￥ 之间 ，而联想系列相关产品价格一般位于 万 以 上