沈衛(wèi)文 肖 磊 胡智文
(1.武漢交通職業(yè)學院,湖北 武漢 430065;2、3.溫州大學,浙江 溫州 325035)
2011年4月6日,全球知名的IT調(diào)研公司Frost&Sullivan發(fā)布了2010年中國SSL VPN市場分析報告。該報告顯示,中國SSLVPN市場在過去的一年里保持了10.3%的增長。這主要源于中國企事業(yè)單位的快速擴張及網(wǎng)絡信息化的高速建設。
目前國內(nèi)外基于VPN安全網(wǎng)關的研究及開發(fā),大多都是以大型企業(yè)為應用背景,并且大多數(shù)的VPN是基于IPSEC技術。一方面為適應企業(yè)的高性能及高負荷需求,這類VPN采用了專用處理器及硬件加密卡來提高產(chǎn)品性能,這無疑大大增加了成本,使其無法被普通中小企業(yè)用戶所接受;另一方面,IPSECVPN的技術特點也決定了它難以避免的VPN部署管理復雜性問題,需要專業(yè)人員來配置和維護。對于普通中小企業(yè)用戶而言,這過于復雜,難以適用。而新興的SSLVPN技術卻解決了這一難題,滿足了中小企業(yè)需求。
因此,研究基于面向中小企業(yè)的安全可靠、成本低廉、簡單易用的SSLVPN安全網(wǎng)關顯得尤為重要,也有著廣闊的市場應用前景。
SSLVPN與IPSecVPN相比具有部署簡單、使用靈活、維護成本低、對網(wǎng)絡設備透明、應用安全性高等優(yōu)點,SSLVPN能夠保障應用系統(tǒng)的安全并適應移動辦公用戶和其他遠程終端隨時隨地的靈活接入,因此眾多的安全設備廠商都在研究和推出相關的SSLVPN產(chǎn)品[1]。
目前SSLVPN在國內(nèi)市場推廣面臨幾大不利因素。首先,當前很多防火墻已經(jīng)把IPSecVPN做為一個默認功能安裝進去,無需再購買專門的IPSecVN終結設備,而SSLVPN設備需要單獨購買。這樣,SSLVPN相對較高的價格,就限制了它應用的普及性。其次,國內(nèi)主流運營商在IPSecVPN領域已經(jīng)有足夠成熟的解決方案與運營體系。從商業(yè)的角度出發(fā),在過去的一段時間內(nèi),運營商更傾向于IPSecVPN從而對SSLVPN的推廣采取了保守策略。
雖然存在這樣一些問題,但是SSLVPN在國內(nèi)市場的前景光明。在國內(nèi)筆記本銷售逐年增長情況下,移動辦公越來越成為企業(yè)普遍的現(xiàn)象,用戶需要更靈活的遠程安全訪問方案,而SSLVPN無疑是最適合的一種。
另外,從國家對安全產(chǎn)品的限制來看,SSLVPN的發(fā)展也更符合我國“國情”。IPSecVPN產(chǎn)品本身涉及到加密算法,而我國國家規(guī)定,在政府、軍隊等信息敏感部門,要采取經(jīng)過國家相關部門認證的“第三方”加密算法。實際上,很多IPSecVPN的廠商,都是在采取自己的一套加密算法,雖然大家也都在口頭上表示支持第三方加密算法,但是在同自身硬件緊密結合上,以及由此帶來的加密效率和性能體現(xiàn)上都不盡如人意。而SSLVPN則不存在這個問題,由于其加密算法是由SSL協(xié)議實現(xiàn),而且這SSL是在瀏覽器中受到支持。除非國家禁止瀏覽器的使用,否則就沒有辦法來嚴禁當前SSLVPN的加密。
SSLVPN是正在發(fā)展的技術,更新?lián)Q代可能會比較快,因此用戶在選購時可以少考慮一些擴展性,多注重產(chǎn)品的實用性。畢竟,只有適合企業(yè)實際需求的才是最理想的選擇。
由于潛在目標客戶群體(中小企業(yè)主)對設備購置費用的敏感度要遠高于大中型國有企業(yè),在相近性能的情況下,價格優(yōu)勢將是決定產(chǎn)品能否迅速搶占市場的第一要素。因此,低成本SSLVPN網(wǎng)關的設計,必須同時兼顧性能指標和產(chǎn)品成本等因素。
低成本嵌入式SSLVPN網(wǎng)關的設計方案包括硬件架構設計及軟件系統(tǒng)開發(fā),其中硬件架構的選型及設計直接決定了產(chǎn)品的硬件成本。
在VPN安全網(wǎng)關中,加密算法的安全、高效,是VPN網(wǎng)關安全性和有效性的重要保證。由于本設計要兼顧高網(wǎng)絡性能和低成本,并且還要支持硬件加密,通過比較市場上的多款適用CPU,我們初步選定了INTELXSCALIXP425。
INTELXSCALIXP425屬于INTEL公司專門面向嵌入式領域涉及的XScale處理器系列中的一款低端網(wǎng)絡處理器,屬于網(wǎng)絡通信領域應用最廣,客戶接受度最好的一款CPU。
IXP425集成有三個專門針對網(wǎng)絡應用設計的網(wǎng)絡處理引擎NPE(NetworkProcessorEngine)。每個NPE引擎連有協(xié)處理單元,專注于內(nèi)核比較難對付的加密、解密和譯碼等特定功能處理,并且能夠與網(wǎng)絡處理引擎的內(nèi)核同時并行工作處理數(shù)據(jù),進一步提高網(wǎng)絡處理效率;引擎的內(nèi)核在硬件上支持多線程的快速切換,以滿足高速網(wǎng)絡的需要。網(wǎng)絡處理器借助網(wǎng)絡處理引擎處理數(shù)據(jù)的能力從而達到線性的速度,特別是在NAT、Firewall等對數(shù)據(jù)處理運算要求不高的應用,IXP425可以達到非常優(yōu)越的性能[2]。
在一個Firewall/NAT應用的網(wǎng)關上,IXP425可以達到90Mb/s的帶寬,滿足大多數(shù)非加密通道的需求。在進行加解密數(shù)據(jù)處理時,IXP425的能力相對有限,利用網(wǎng)絡處理引擎硬件加密進行3DES、SHA1運算僅能提供20Mb/s的帶寬。不過考慮到中小型企業(yè)的VPN實際使用情況,該性能指標已經(jīng)能滿足絕大多數(shù)情況的需要。
如果在某些特殊環(huán)境下,需要更高性能的VPN連接,該硬件設計也可以利用IXP425自帶的miniPCI接口來擴充對專用加密卡的支持。例如,利用IXP425高效的數(shù)據(jù)轉發(fā)功能,結合SafeNet公司的SafeXcel系列加解密卡或是國密辦批準的分組加密卡SSF10來提高加解密的速率,共同實現(xiàn)一個更加高速的VPN網(wǎng)關。
此外我們在設計中采用了一種硬件和軟件加密模塊相結合的方式,使得我們的SSLVPN網(wǎng)關可以在性能和價格上取得一定平衡。在要求不高的情況下,也可以采用純軟件加密從而降低成本;在要求較高的情況下,可選用硬件加密來提升性能。在本設計的默認配置中將使用XSCALE IXP425嵌入式CPU自帶的加密引擎。
圖1 XSCALE IXP 425系統(tǒng)框架示意
整個系統(tǒng)的結構框如圖1所示。CPU IXP425與8MFLASH及16MDRAM共同組成一個最小系統(tǒng)。Switch芯片用于實現(xiàn)網(wǎng)卡的PHY層,共支持5個網(wǎng)口。一個用于連接外網(wǎng),接受外部發(fā)起的SSLVPN連接。另四個連接企業(yè)內(nèi)網(wǎng),可分別連接不同的服務器。RS232用于實現(xiàn)串行口終端,可用于對調(diào)試信息輸出和系統(tǒng)管理。JTAG用于對系統(tǒng)進行調(diào)試和在線編程。
目前的大多數(shù)SSL VPN通過端口代理的方法實現(xiàn)。“代理服務器根據(jù)應用協(xié)議的類型(如TELNET,SMTP,HTTP等)做相應的端口代理,客戶端與代理服務器之間建立應用層的SSL安全連接,所有數(shù)據(jù)傳輸通過代理服務器轉發(fā)”[3]。這種實現(xiàn)僅適用于用TCP固定端口進行通信的應用系統(tǒng)并每個需要代理的端口進行單獨配置;對于使用動態(tài)端口的協(xié)議需要重新開發(fā)并在代理中解析才能實現(xiàn)代理;不能對TCP以外的其它網(wǎng)絡通信協(xié)議進行代理;嚴格地來說,這并非一種真正意義上的虛擬網(wǎng)絡,只是一個SSL代理網(wǎng)關而已。本方案將實現(xiàn)一個如圖2所示真正的基于網(wǎng)絡層的IP隧道連接,通過虛擬網(wǎng)卡及虛擬網(wǎng)絡的方式實現(xiàn)了SSLVPN的功能。其工作原理如下:
SSLVPN服務器為每一個成功建立SSL連接的客戶端動態(tài)分配一個虛擬IP地址。這樣物理網(wǎng)絡中的客戶端和VPN服務器就連接成一個虛擬網(wǎng)絡上的星型結構局域網(wǎng),VPN服務器成為每個客戶端在虛擬網(wǎng)絡上的網(wǎng)關。當客戶端對VPN服務器后端的應用服務器的任何訪問時,數(shù)據(jù)包都會經(jīng)過路由流經(jīng)虛擬網(wǎng)絡,VPN程序上截獲數(shù)據(jù)IP報文,然后使用SSL協(xié)議將這些IP報文封裝起來,再經(jīng)過物理網(wǎng)卡發(fā)送出去[4]。VPN服務器和客戶端就建立起一個虛擬的局域網(wǎng)絡,這個虛擬的局域網(wǎng)對系統(tǒng)的用戶來說是透明的。
圖2 本方案技術示意圖
目前,SSL有其開放源碼的實現(xiàn)庫OpenSSL。OpenSSL包含了一套程序以及函數(shù)庫,提供前端使用SSL功能,并且允許軟件開發(fā)人員將SSL模塊與他們的程序結合。本設計將充分使用這一資源來確保認證及加密的安全性。由于本設計需要支持Intel IXP425系列內(nèi)置加密加速引擎,我們將開發(fā)其硬件加密引擎的驅動,并整合到OpenSSL,通過設備驅動CryptoDev來實現(xiàn)對硬件加密引擎的調(diào)用。
通過對按照設計方案試制的樣機進行初步測試,本產(chǎn)品能實現(xiàn)以下指標:
(1)提供基于SSL協(xié)議的點對點安全傳輸通道;(2)支 持 Blowfish/AES/DES/DES3 加 密 方式;(3)支持基于數(shù)字證書的強身份鑒別及靜態(tài)密鑰共享的簡單身份認證;(4)提供基于硬件加密與軟件加密壓縮相結合的安全功能;(5)支持至多八點同時接入虛擬網(wǎng)絡;(6)非加密通道實現(xiàn)80-90Mb/s的吞吐量;加密通道實現(xiàn)10-20Mb/s的吞吐量。
通過以XSCALE RISC嵌入式CPU芯片為硬件核心,以嵌入式LINUX操作系統(tǒng)為軟件平臺,來實現(xiàn)SSLVPN系統(tǒng),可以極大的降低SSLVPN安全網(wǎng)關的部署費用,對中小企業(yè)信息安全提供強有力的保障。
目前國內(nèi)市場主流SSL VPN市場價格一般處于高位。即便是國內(nèi)市場占有率最大的深信服公司,其低端產(chǎn)品SSLVPN如 M5100-S,其市場的報價也大致位于¥14000.00-¥16800.00之間,而聯(lián)想系列相關產(chǎn)品價格一般位于3萬以上。
本設計將能極大幅度的降低該類產(chǎn)品的價格,經(jīng)初步測算成本約為M5100-S市場價格的15%甚至更低。
[1]劉洋.IPSecVPN 和SSLVPN 的分析比較[J].電 腦知識與技術,2009,(2):67-69.
[2]叢欣.ARM處理器在網(wǎng)絡安全領域中的應用[J].信息安全與通信保密,2011,(5):48-49.
[3]唐黎,朱正超.利用OpenVPN實現(xiàn)在系統(tǒng)中的多種安全訪問.計算機與信息技術,2008,(12):41-43.
[4]龍錦遠.SSLVPN技術研究及系統(tǒng)構建[J].微計算機信息,2009,(36):110-112.