沈衛(wèi)文 肖 磊 胡智文

（1．武漢交通職業(yè)學院，湖北 武漢 430065；2、3．溫州大學，浙江 溫州 325035）

0 引言

2011年4月6日，全球知名的IT調研公司Frost＆Sullivan發(fā)布了2010年中國SSL VPN市場分析報告。該報告顯示，中國SSLVPN市場在過去的一年里保持了10．3%的增長。這主要源于中國企事業(yè)單位的快速擴張及網(wǎng)絡信息化的高速建設。

目前國內外基于VPN安全網(wǎng)關的研究及開發(fā)，大多都是以大型企業(yè)為應用背景，并且大多數(shù)的VPN是基于IPSEC技術。一方面為適應企業(yè)的高性能及高負荷需求，這類VPN采用了專用處理器及硬件加密卡來提高產品性能，這無疑大大增加了成本，使其無法被普通中小企業(yè)用戶所接受；另一方面，IPSECVPN的技術特點也決定了它難以避免的VPN部署管理復雜性問題，需要專業(yè)人員來配置和維護。對于普通中小企業(yè)用戶而言，這過于復雜，難以適用。而新興的SSLVPN技術卻解決了這一難題，滿足了中小企業(yè)需求。

因此，研究基于面向中小企業(yè)的安全可靠、成本低廉、簡單易用的SSLVPN安全網(wǎng)關顯得尤為重要，也有著廣闊的市場應用前景。

1 SSL VPN網(wǎng)關的國內外研發(fā)及應用現(xiàn)狀

SSLVPN與IPSecVPN相比具有部署簡單、使用靈活、維護成本低、對網(wǎng)絡設備透明、應用安全性高等優(yōu)點，SSLVPN能夠保障應用系統(tǒng)的安全并適應移動辦公用戶和其他遠程終端隨時隨地的靈活接入，因此眾多的安全設備廠商都在研究和推出相關的SSLVPN產品［1］。

目前SSLVPN在國內市場推廣面臨幾大不利因素。首先，當前很多防火墻已經(jīng)把IPSecVPN做為一個默認功能安裝進去，無需再購買專門的IPSecVN終結設備，而SSLVPN設備需要單獨購買。這樣，SSLVPN相對較高的價格，就限制了它應用的普及性。其次，國內主流運營商在IPSecVPN領域已經(jīng)有足夠成熟的解決方案與運營體系。從商業(yè)的角度出發(fā)，在過去的一段時間內，運營商更傾向于IPSecVPN從而對SSLVPN的推廣采取了保守策略。

雖然存在這樣一些問題，但是SSLVPN在國內市場的前景光明。在國內筆記本銷售逐年增長情況下，移動辦公越來越成為企業(yè)普遍的現(xiàn)象，用戶需要更靈活的遠程安全訪問方案，而SSLVPN無疑是最適合的一種。

另外，從國家對安全產品的限制來看，SSLVPN的發(fā)展也更符合我國“國情”。IPSecVPN產品本身涉及到加密算法，而我國國家規(guī)定，在政府、軍隊等信息敏感部門，要采取經(jīng)過國家相關部門認證的“第三方”加密算法。實際上，很多IPSecVPN的廠商，都是在采取自己的一套加密算法，雖然大家也都在口頭上表示支持第三方加密算法，但是在同自身硬件緊密結合上，以及由此帶來的加密效率和性能體現(xiàn)上都不盡如人意。而SSLVPN則不存在這個問題，由于其加密算法是由SSL協(xié)議實現(xiàn)，而且這SSL是在瀏覽器中受到支持。除非國家禁止瀏覽器的使用，否則就沒有辦法來嚴禁當前SSLVPN的加密。

2 低成本SSL VPN網(wǎng)關的設計思路

SSLVPN是正在發(fā)展的技術，更新?lián)Q代可能會比較快，因此用戶在選購時可以少考慮一些擴展性，多注重產品的實用性。畢竟，只有適合企業(yè)實際需求的才是最理想的選擇。

由于潛在目標客戶群體（中小企業(yè)主）對設備購置費用的敏感度要遠高于大中型國有企業(yè)，在相近性能的情況下，價格優(yōu)勢將是決定產品能否迅速搶占市場的第一要素。因此，低成本SSLVPN網(wǎng)關的設計，必須同時兼顧性能指標和產品成本等因素。

低成本嵌入式SSLVPN網(wǎng)關的設計方案包括硬件架構設計及軟件系統(tǒng)開發(fā)，其中硬件架構的選型及設計直接決定了產品的硬件成本。

2．1 硬件架構設計

在VPN安全網(wǎng)關中，加密算法的安全、高效，是VPN網(wǎng)關安全性和有效性的重要保證。由于本設計要兼顧高網(wǎng)絡性能和低成本，并且還要支持硬件加密，通過比較市場上的多款適用CPU，我們初步選定了INTELXSCALIXP425。

INTELXSCALIXP425屬于INTEL公司專門面向嵌入式領域涉及的XScale處理器系列中的一款低端網(wǎng)絡處理器，屬于網(wǎng)絡通信領域應用最廣，客戶接受度最好的一款CPU。

IXP425集成有三個專門針對網(wǎng)絡應用設計的網(wǎng)絡處理引擎NPE（NetworkProcessorEngine）。每個NPE引擎連有協(xié)處理單元，專注于內核比較難對付的加密、解密和譯碼等特定功能處理，并且能夠與網(wǎng)絡處理引擎的內核同時并行工作處理數(shù)據(jù)，進一步提高網(wǎng)絡處理效率；引擎的內核在硬件上支持多線程的快速切換，以滿足高速網(wǎng)絡的需要。網(wǎng)絡處理器借助網(wǎng)絡處理引擎處理數(shù)據(jù)的能力從而達到線性的速度，特別是在NAT、Firewall等對數(shù)據(jù)處理運算要求不高的應用，IXP425可以達到非常優(yōu)越的性能［2］。

在一個Firewall／NAT應用的網(wǎng)關上，IXP425可以達到90Mb／s的帶寬，滿足大多數(shù)非加密通道的需求。在進行加解密數(shù)據(jù)處理時，IXP425的能力相對有限，利用網(wǎng)絡處理引擎硬件加密進行3DES、SHA1運算僅能提供20Mb／s的帶寬。不過考慮到中小型企業(yè)的VPN實際使用情況，該性能指標已經(jīng)能滿足絕大多數(shù)情況的需要。

如果在某些特殊環(huán)境下，需要更高性能的VPN連接，該硬件設計也可以利用IXP425自帶的miniPCI接口來擴充對專用加密卡的支持。例如，利用IXP425高效的數(shù)據(jù)轉發(fā)功能，結合SafeNet公司的SafeXcel系列加解密卡或是國密辦批準的分組加密卡SSF10來提高加解密的速率，共同實現(xiàn)一個更加高速的VPN網(wǎng)關。

此外我們在設計中采用了一種硬件和軟件加密模塊相結合的方式，使得我們的SSLVPN網(wǎng)關可以在性能和價格上取得一定平衡。在要求不高的情況下，也可以采用純軟件加密從而降低成本；在要求較高的情況下，可選用硬件加密來提升性能。在本設計的默認配置中將使用XSCALE IXP425嵌入式CPU自帶的加密引擎。

圖1 XSCALE IXP 425系統(tǒng)框架示意

整個系統(tǒng)的結構框如圖1所示。CPU IXP425與8MFLASH及16MDRAM共同組成一個最小系統(tǒng)。Switch芯片用于實現(xiàn)網(wǎng)卡的PHY層，共支持5個網(wǎng)口。一個用于連接外網(wǎng)，接受外部發(fā)起的SSLVPN連接。另四個連接企業(yè)內網(wǎng)，可分別連接不同的服務器。RS232用于實現(xiàn)串行口終端，可用于對調試信息輸出和系統(tǒng)管理。JTAG用于對系統(tǒng)進行調試和在線編程。

2．2 軟件系統(tǒng)技術路線

目前的大多數(shù)SSL VPN通過端口代理的方法實現(xiàn)?！按矸掌鞲鶕?jù)應用協(xié)議的類型（如TELNET，SMTP，HTTP等）做相應的端口代理，客戶端與代理服務器之間建立應用層的SSL安全連接，所有數(shù)據(jù)傳輸通過代理服務器轉發(fā)”［3］。這種實現(xiàn)僅適用于用TCP固定端口進行通信的應用系統(tǒng)并每個需要代理的端口進行單獨配置；對于使用動態(tài)端口的協(xié)議需要重新開發(fā)并在代理中解析才能實現(xiàn)代理；不能對TCP以外的其它網(wǎng)絡通信協(xié)議進行代理；嚴格地來說，這并非一種真正意義上的虛擬網(wǎng)絡，只是一個SSL代理網(wǎng)關而已。本方案將實現(xiàn)一個如圖2所示真正的基于網(wǎng)絡層的IP隧道連接，通過虛擬網(wǎng)卡及虛擬網(wǎng)絡的方式實現(xiàn)了SSLVPN的功能。其工作原理如下：

SSLVPN服務器為每一個成功建立SSL連接的客戶端動態(tài)分配一個虛擬IP地址。這樣物理網(wǎng)絡中的客戶端和VPN服務器就連接成一個虛擬網(wǎng)絡上的星型結構局域網(wǎng)，VPN服務器成為每個客戶端在虛擬網(wǎng)絡上的網(wǎng)關。當客戶端對VPN服務器后端的應用服務器的任何訪問時，數(shù)據(jù)包都會經(jīng)過路由流經(jīng)虛擬網(wǎng)絡，VPN程序上截獲數(shù)據(jù)IP報文，然后使用SSL協(xié)議將這些IP報文封裝起來，再經(jīng)過物理網(wǎng)卡發(fā)送出去［4］。VPN服務器和客戶端就建立起一個虛擬的局域網(wǎng)絡，這個虛擬的局域網(wǎng)對系統(tǒng)的用戶來說是透明的。

圖2 本方案技術示意圖

目前，SSL有其開放源碼的實現(xiàn)庫OpenSSL。OpenSSL包含了一套程序以及函數(shù)庫，提供前端使用SSL功能，并且允許軟件開發(fā)人員將SSL模塊與他們的程序結合。本設計將充分使用這一資源來確保認證及加密的安全性。由于本設計需要支持Intel IXP425系列內置加密加速引擎，我們將開發(fā)其硬件加密引擎的驅動，并整合到OpenSSL，通過設備驅動CryptoDev來實現(xiàn)對硬件加密引擎的調用。

3 產品指標分析

通過對按照設計方案試制的樣機進行初步測試，本產品能實現(xiàn)以下指標：

3．1 產品技術指標

（1）提供基于SSL協(xié)議的點對點安全傳輸通道；（2）支 持 Blowfish／AES／DES／DES3 加 密 方式；（3）支持基于數(shù)字證書的強身份鑒別及靜態(tài)密鑰共享的簡單身份認證；（4）提供基于硬件加密與軟件加密壓縮相結合的安全功能；（5）支持至多八點同時接入虛擬網(wǎng)絡；（6）非加密通道實現(xiàn)80－90Mb／s的吞吐量；加密通道實現(xiàn)10－20Mb／s的吞吐量。

3．2 產品經(jīng)濟指標

通過以XSCALE RISC嵌入式CPU芯片為硬件核心，以嵌入式LINUX操作系統(tǒng)為軟件平臺，來實現(xiàn)SSLVPN系統(tǒng)，可以極大的降低SSLVPN安全網(wǎng)關的部署費用，對中小企業(yè)信息安全提供強有力的保障。

目前國內市場主流SSL VPN市場價格一般處于高位。即便是國內市場占有率最大的深信服公司，其低端產品SSLVPN如 M5100－S，其市場的報價也大致位于￥14000．00－￥16800．00之間，而聯(lián)想系列相關產品價格一般位于3萬以上。

本設計將能極大幅度的降低該類產品的價格，經(jīng)初步測算成本約為M5100－S市場價格的15%甚至更低。

［1］劉洋．IPSecVPN 和SSLVPN 的分析比較［J］．電 腦知識與技術，2009，（2）：67－69．

［2］叢欣．ARM處理器在網(wǎng)絡安全領域中的應用［J］．信息安全與通信保密，2011，（5）：48－49．

［3］唐黎，朱正超．利用OpenVPN實現(xiàn)在系統(tǒng)中的多種安全訪問．計算機與信息技術，2008，（12）：41－43．

［4］龍錦遠．SSLVPN技術研究及系統(tǒng)構建［J］．微計算機信息，2009，（36）：110－112．