基于SSL协议的VPN技术研究与实现
|
摘要
随着互联网技术的发展,越来越多的企业和部门将其业务放到互联网上进行,这直接导致了对信息安全产品需求的增长。近几年的市场调查报告显示,VPN市场增长突飞猛进。由于IPsec VPN在应用中逐渐显现出来的不足(比如,与NAT设备冲突、配置和使用复杂、给操作系统内核带来的安全隐患等),人们开始寻求更加安全易用的VPN技术。
基于SSL协议的VPN是当前最引人关注的一种新兴的VPN技术。但由于缺乏统一的标准和规范,目前市场上基于SSL协议的VPN产品(一般称为SSL VPN),技术参差不齐,功能差异较大,这给VPN产品的选择带来困难。另外,由于受美国对出口密码产品管制的限制,在标准的SSL协议实现中,密钥长度较短,因而其安全强度被大大削弱,不符合在国内一些对安全要求较高的领域(比如政府、军队、金融等)应用的需要。因此有必要对基于SSL协议的VPN技术进行深入系统的研究并加以改进。
本文首先结合SSL协议的安全性,分析了SSL协议对VPN实现的支持,总结出基于SSL协议的VPN的特征,提出将基于SSL协议的VPN划分为代理型SSL VPN和隧道型SSL VPN两大类。并对SSL协议在VPN应用中应该注意的问题进行了总结。
代理型SSL VPN的特点是基于代理技术实现和“无客户端”的运行模式,即其运行只需要WEB浏览器即可,无需专门安装客户端。本文研究了代理型SSL VPN的技术原理;总结了代理型SSL VPN支持的应用类型,并针对不同应用类型所采用的代理技术进行了研究;分析了代理型SSL VPN客户端存在的安全缺陷并提出了解决方案;总结了代理型SSL VPN的优势、不足以及适用的场合。
隧道型SSL VPN基于虚拟网卡技术实现,其运行需要通信双方安装VPN软件,通过虚拟网卡建立的隧道进行安全数据传输。本文研究了隧道型SSL VPN的技术原理;详细说明了虚拟网卡的原理;对隧道型SSL VPN中可能出现的TCP over TCP的隧道数据封装方式带来的问题进行了讨论,并给出了解决办法;总结了代理型SSL VPN的优势、不足以及适用的场合。
本文在最后提出了一种支持国产密码设备和算法的基于SSL协议的VPN实现方案。该方案基于成熟的隧道型VPN开源项目OpenVPN实现,通过自定义OpenSSLEngine实现对国产密码设备和算法的调用,以弥补标准SSL协议的密钥强度较弱的缺陷。这种方案既满足了国内对基于SSL协议VPN的应用需要,又加快了开发进度,降低了VPN构建成本。
概括起来,本文的主要研究工作(创新点)包括:
(1)总结出基于SSL协议的VPN的特征,提出将基于SSL协议的VPN划分为代理型SSL VPN和隧道型SSL VPN两大类。
(2)对代理型SSL VPN和隧道型SSL VPN的关键技术进行了系统的研究,分析了其各自的优势和不足,总结了其各自适用的场合和支持的应用。
(3)提出了一种支持国产密码设备和算法的基于SSL协议的VPN实现方案。
本人在读期间参加过SSL VPN预研项目,对完成本文有较大帮助。
With the development of Internet technology,a growing number of enterprises and departments put their business on the Internet,which led directly to the growth of demand for information security products.The market survey report of recent years shows that VPN market is growing by leaps and bounds.As the shortcomings coming to appear gradually in the application of IPsec VPN(for example,confliction with NAT equipment,complexity in configuration and use,the security risks brought to the operating system kernel,etc.),people began to seek more secure and easy-to-use VPN technology.
SSL-based VPN is the most spectacular VPN technology,which is a new type of VPN.Due to the lack of unified standards and norms,the current VPN products based on the SSL protocol(commonly known as SSL VPN)differs greatly from each other in technology and function,as brings difficulties to the choice of VPN products.In addition,because of the United States's controls on the export of encryption products, the key in the standard SSL protocol implementation is shorter and thus its strength was greatly weakened.So it can not be used in some fields that require more stringent security(such as government,military,financial,etc.).Therefore it is necessary to make an in-depth study on SSL-based VPN and to improve it.
Firstly,the thesis analyses the supports provided by the SSL protocol for VPN implementation,which bases on the security analyse of the SSL protocol.The thesis summarizes the characteristic of SSL-based VPN and proposes dividing SSL-based VPNs into two categories:proxy-based SSL VPN and tunnel-based SSL VPN.The security issues are summarized that should be paid attention to in the applications of SSL-based VPNs.
The characteristics of proxy-based SSL VPN are its implementation relying on proxy technology and "clientless" operation mode,which only needs WEB browser without installation of specialized client.The thesis studies the technical principles of proxy-based SSL VPN,summarizes the application types supported by proxy-based SSL VPN and illustrates the proxy technologies adopted by every application type, analyses the security flaws of the proxy-based SSL VPN clients and puts forward solutions.The thesis summarizes the proxy-based SSL VPN's advantages, disadvantages,and applicable occasions.
Tunnel-based SSL VPN bases on virtual NIC technology.The ends of VPN both require for the installation of the VPN software and it transmits data through the secure tunnel established between the virtual NICs.The thesis studies the technical principles of tunnel-based SSL VPN,illustrates the virtual NIC technology,discusses the problem brought by TCP over TCP encapsulation and gives a solution.The tunnel-based SSL VPN's advantages,disadvantages,and applicable occasions are also summarized in the thesis.
Finally,the thesis presents an implementation of VPN based on the SSL protocol which provides support for the domestic crypto equipments and algorithms.The implementation is based on the mature tunnel-based SSL VPN,OpenVPN,an open source project,and calls the domestic crypto equipments and algorithms through a custom OpenSSL Engine to compensate for the defects of weak key strength of standard SSL protocol.The implementation not only meets domestic needs for VPN based on the SSL protocol,but also accelerated the VPN's development and reduces the cost of constructing the VPN.
To sum up,the thesis mainly:
(1)summarizes the characteristic of SSL-based VPN and proposes dividing SSL-based VPNs into two categories:proxy-based SSL VPN and tunnel-based SSL VPN.
(2)makes a in-depth study on the key technologies of proxy-based SSL VPN and tunnel-based SSL VPN,analyzes their respective advantages and disadvantages,and sums up their applicable occasions and the applications supported.
(3)presents an implementation of SSL-based VPN with support for the domestic crypto equipments and algorithms.
I took part in the SSL VPN preliminary research project during my studying for a master's degree,which give me a big help to complete the thesis.
基于SSL协议的VPN是当前最引人关注的一种新兴的VPN技术。但由于缺乏统一的标准和规范,目前市场上基于SSL协议的VPN产品(一般称为SSL VPN),技术参差不齐,功能差异较大,这给VPN产品的选择带来困难。另外,由于受美国对出口密码产品管制的限制,在标准的SSL协议实现中,密钥长度较短,因而其安全强度被大大削弱,不符合在国内一些对安全要求较高的领域(比如政府、军队、金融等)应用的需要。因此有必要对基于SSL协议的VPN技术进行深入系统的研究并加以改进。
本文首先结合SSL协议的安全性,分析了SSL协议对VPN实现的支持,总结出基于SSL协议的VPN的特征,提出将基于SSL协议的VPN划分为代理型SSL VPN和隧道型SSL VPN两大类。并对SSL协议在VPN应用中应该注意的问题进行了总结。
代理型SSL VPN的特点是基于代理技术实现和“无客户端”的运行模式,即其运行只需要WEB浏览器即可,无需专门安装客户端。本文研究了代理型SSL VPN的技术原理;总结了代理型SSL VPN支持的应用类型,并针对不同应用类型所采用的代理技术进行了研究;分析了代理型SSL VPN客户端存在的安全缺陷并提出了解决方案;总结了代理型SSL VPN的优势、不足以及适用的场合。
隧道型SSL VPN基于虚拟网卡技术实现,其运行需要通信双方安装VPN软件,通过虚拟网卡建立的隧道进行安全数据传输。本文研究了隧道型SSL VPN的技术原理;详细说明了虚拟网卡的原理;对隧道型SSL VPN中可能出现的TCP over TCP的隧道数据封装方式带来的问题进行了讨论,并给出了解决办法;总结了代理型SSL VPN的优势、不足以及适用的场合。
本文在最后提出了一种支持国产密码设备和算法的基于SSL协议的VPN实现方案。该方案基于成熟的隧道型VPN开源项目OpenVPN实现,通过自定义OpenSSLEngine实现对国产密码设备和算法的调用,以弥补标准SSL协议的密钥强度较弱的缺陷。这种方案既满足了国内对基于SSL协议VPN的应用需要,又加快了开发进度,降低了VPN构建成本。
概括起来,本文的主要研究工作(创新点)包括:
(1)总结出基于SSL协议的VPN的特征,提出将基于SSL协议的VPN划分为代理型SSL VPN和隧道型SSL VPN两大类。
(2)对代理型SSL VPN和隧道型SSL VPN的关键技术进行了系统的研究,分析了其各自的优势和不足,总结了其各自适用的场合和支持的应用。
(3)提出了一种支持国产密码设备和算法的基于SSL协议的VPN实现方案。
本人在读期间参加过SSL VPN预研项目,对完成本文有较大帮助。
With the development of Internet technology,a growing number of enterprises and departments put their business on the Internet,which led directly to the growth of demand for information security products.The market survey report of recent years shows that VPN market is growing by leaps and bounds.As the shortcomings coming to appear gradually in the application of IPsec VPN(for example,confliction with NAT equipment,complexity in configuration and use,the security risks brought to the operating system kernel,etc.),people began to seek more secure and easy-to-use VPN technology.
SSL-based VPN is the most spectacular VPN technology,which is a new type of VPN.Due to the lack of unified standards and norms,the current VPN products based on the SSL protocol(commonly known as SSL VPN)differs greatly from each other in technology and function,as brings difficulties to the choice of VPN products.In addition,because of the United States's controls on the export of encryption products, the key in the standard SSL protocol implementation is shorter and thus its strength was greatly weakened.So it can not be used in some fields that require more stringent security(such as government,military,financial,etc.).Therefore it is necessary to make an in-depth study on SSL-based VPN and to improve it.
Firstly,the thesis analyses the supports provided by the SSL protocol for VPN implementation,which bases on the security analyse of the SSL protocol.The thesis summarizes the characteristic of SSL-based VPN and proposes dividing SSL-based VPNs into two categories:proxy-based SSL VPN and tunnel-based SSL VPN.The security issues are summarized that should be paid attention to in the applications of SSL-based VPNs.
The characteristics of proxy-based SSL VPN are its implementation relying on proxy technology and "clientless" operation mode,which only needs WEB browser without installation of specialized client.The thesis studies the technical principles of proxy-based SSL VPN,summarizes the application types supported by proxy-based SSL VPN and illustrates the proxy technologies adopted by every application type, analyses the security flaws of the proxy-based SSL VPN clients and puts forward solutions.The thesis summarizes the proxy-based SSL VPN's advantages, disadvantages,and applicable occasions.
Tunnel-based SSL VPN bases on virtual NIC technology.The ends of VPN both require for the installation of the VPN software and it transmits data through the secure tunnel established between the virtual NICs.The thesis studies the technical principles of tunnel-based SSL VPN,illustrates the virtual NIC technology,discusses the problem brought by TCP over TCP encapsulation and gives a solution.The tunnel-based SSL VPN's advantages,disadvantages,and applicable occasions are also summarized in the thesis.
Finally,the thesis presents an implementation of VPN based on the SSL protocol which provides support for the domestic crypto equipments and algorithms.The implementation is based on the mature tunnel-based SSL VPN,OpenVPN,an open source project,and calls the domestic crypto equipments and algorithms through a custom OpenSSL Engine to compensate for the defects of weak key strength of standard SSL protocol.The implementation not only meets domestic needs for VPN based on the SSL protocol,but also accelerated the VPN's development and reduces the cost of constructing the VPN.
To sum up,the thesis mainly:
(1)summarizes the characteristic of SSL-based VPN and proposes dividing SSL-based VPNs into two categories:proxy-based SSL VPN and tunnel-based SSL VPN.
(2)makes a in-depth study on the key technologies of proxy-based SSL VPN and tunnel-based SSL VPN,analyzes their respective advantages and disadvantages,and sums up their applicable occasions and the applications supported.
(3)presents an implementation of SSL-based VPN with support for the domestic crypto equipments and algorithms.
I took part in the SSL VPN preliminary research project during my studying for a master's degree,which give me a big help to complete the thesis.
引文
[1]胡道元 阂京华 编著,《网络安全》,清华大学出版社,2004
[2]戴宗坤 唐三平 著,《VPN与网络安全》,电子工业出版社,2002
[3]Gentry P B,What is a VPN,Information Security Techoical Report,2001,1(1),31-34
[4]Charlie Kaufman Radia Perman Mike Speciner,《网络安全一公共世界中的秘密通信》,电子工业出版社,2004年
[5]王达,《虚拟专用网(VPN)精解》,清华大学出版社,2004
[6]SSL VPN产品市场调查分析报告,http://net.it168.com/pl/2008-01-25/200801251842301.shtml
[7]张峰,远程安全走了多远?-2005年度SSL VPN公开比较测试报告,网络世界,2005.6 HTTP://www.cnw.com.cn/
[8]Carlton R.Davis[美]著 周永彬 冯登国等译,《IPsec:VPN的安全实施》,清华大学出版社,2002
[9]FreeS/WAN Project:Home Page,http://www.freeswan.org
[10]Schneier,B Ferguson,"A Cryptograhic Evaluation of IPSec ",http://www.schneier.com/paper-ipsec.pdf,1999
[11]S.Kent,R.Atkinson."Security Architecture for the Internet Protocol",RFC2401.IETF,Nov 1998,p1-36
[12]FreierA.O.KarltonP.KocherPC.,The SSL protocol version3.0,1996,http://home.netscape.com/eng/ssls/ssl-toc.html
[13]IETF:The TLS Protocol version 1.0http://www.ietf.org/rfc/rfc2246.txt?number=2246
[14]Andrew Harding,SSL Virtual Private Networks,Computers and Security,2003;20(5):416-420.
[15]Joseph Steinberg Timothy Speed,Understanding,evaluating,and planning secure,web-based remote access,Packt Publishing Ltd.,2005
[16]张鹏 李建 王坤,IPSec和SSL的分析和比较,信息工程大学学报,2002;3(1):67-30
[17]唐如鸿,SSL VPN与IPSec VPN技术比较,计算机安全,2004;8:8-9
[18]徐家臻 陈萃萌,基于IPSec与基于SSL的VPN的比较与分析,计算机工程与设计,2004;Vol.25(4):586-588.
[19]蒋东毅 吕述望 罗晓广,VPN的关键技术分析,计算机工程与应用,2003.1
[20]Douglas R.Stinson著 冯登国译,《密码学原理与实践》北京:电子工业出版社,2003
[21]王衍波,《应用密码学》,机械工业出版社,2003
[22]冯登国,《密码学导引》,科学出版社,2001
[23]Stallings W.,密码编码学与网络安全,第三版.电子工业出版社,2004
[24]关振胜,《公钥基础设施PKI与认证机构CA》,电子工业出版社
[25]谢冬青 冷健,《PKI原理与技术》,清华大学出版社,2004
[26]Eric Rescorla著,崔凯译.《SSL与TLS》.北京;中国电力出版社,2002
[27]卿斯汉 编著,《安全协议》,清华大学出版社,2005
[28]唐文 罗君舟,VPN中隧道技术的研究,计算机工程,2002;Vol.28(4):55-57.
[29]戴英侠 左英男 许剑卓,SSL协议的安全缺陷与改进,中国科学院研究生院学报,2000年11月第17卷第1期
[30]苏成 殷兆麟,SSL协议的安全性分析与应用,现代计算机,2002;(6):29-32.
[31]电子政务特点及其系统安全全攻略,中国计算机安全http://www.infosec.org.cn/
[32]周敬利 曾海鹏,SSL VPN服务器关键技术研究,计算机工程与科学,2005.27
[33]马军峰,SSL VPN技术原理及其应用,电信网技术,2005.8
[34]欧阳凯 周敬利 夏涛等,基于SSLVPN接入机制的研究,计算机科学,2005.5
[35]张引明,《SSL VPN服务器的研究与设计》.华中科技大学硕士论文.2004
[36]包丽红 李立亚,基于SSI的VPN技术研究,网络安全技术与应用,2004(5)
[37]陈圩贤 廖洪銮 冯登国,一种基于SSL/TLS的Web安全代理的设计与实现,计算机工程,2004年6月第30卷第11期
[38]刘敬轩 戴英侠,基于SSL的VPN网关的设计与实现,计算机应用,2005年12月第25卷
[39]Thomas Powell著,杨正华 李金波等译,《HTML参考大全》,清华大学出版社,2002
[40]TCP/IP Ports,http://www.chebucto.ns.ca/~rakerman/port-table.html
[41]张梅 张红旗 杜学绘,一种实现随机端口的SSL VPN,信息安全,2006年第 22卷第11-3期
[42]余胜生 王勇,Linux下一种安全的SSL VPN设计与研究,计算机工程与科学,2006;28(1);
[43]余胜生 欧阳长春 周敬利 欧阳凯,访问控制技术在SSL VPN系统中的应用,华中科技大学学报(自然科学版),第34卷第7期2006年7月
[44]周敬利 王宇 余胜生,SSL VPN中动态密码的研究与应用,计算机应用研究,2006年第8期
[45]李之棠 贺济美 雷杰,SSL VPN的安全漏洞及其解决方案,计算机工程与科学,2006年第28卷第8期
[46]韩卫 薛健 白灵,一种基于安全隧道技术的SSL VPN及其性能分析,科学技术与工程,2005;5(12)
[47]赵华 周利华,一种基于DTLS协议的VPN方案设计,电子科技,2006年第7期(总第202期)
[48]Maxim Krasnyansky,Universal TUN/TAP Driver,http://vtun.sourceforge.net/tun/.
[49]麻利辉,虚拟网卡TUN/TAP驱动程序设计原理,http://www-128.ibm.com/developerworks/cn/linux/l-tuntap/index.html
[50]陈爱和 徐敬东 刘晓欣 张建忠,支持多路负载平衡的SSL VPN系统的设计与实现,计算机工程与设计,2006年11月第27卷第21期
[51]]杨杰 李涛 王姝姐 王丽辉 杜雨,应用虚拟设备驱动的SSL VPN系统改进的实现,计算机工程,2006年8月第32卷第16期
[52]W.Richard Stevens著 范建华 青光辉 张涛等译,《TCP/IP详解 卷1:协议》机械工业出版社,2004
[53]Olaf Titz,Why TCP Over TCP Is A Bad Idea,http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
[54]RFC2406 IP Encapsulating Security Payload,http://www.ietf.org/rfc/rfc2406.txt
[55]The HMAC Papers,http://www.cs.ucsd.edu/users/mihir/Papers/hmac.html
[56]The OpenVPN Project,http://www.openvpn.net/
[57]Markus Feilner,OpenVPN:Building and Integrating Virtual Private Networks, Packt Publishing Ltd.,2006
[58]Charlie Hosner,Open VPN and the SSL VPN Revolution,SANS Institute,2004.8.8
[59]James Yonan,Understanding the User-Space VPN-History,Conceptual Foundations,and Practical Usage,2003
[60]Charlie Hosner,SSL VPNs and Open VPN:A lot of lies and a shred of truth,http://www.linux.com/feature/48330,September 28,2005
[61]郭学超 翟正军,Open VPN体系安全性研究,科学技术与工程,第7卷第8期2007年4月
[62]OpenSSL,http://www.opensssl.org
[63]王志海 童新海 沈寒辉编著,OpenSSL与网络信息安全,清华大学出版社 北京交通大学出版社,2007
[64]钟源,崔树鹏,容晓峰,周利华,基于OpenSSL的密码支撑平台的研究与开发,计算机与现代化,2004年第8期
[65]何志平 康荣保 罗慧,基于CSP的与硬件无关的OpenSSL Engine分析与实现,信息安全与通信保密,2006.7
[66]谭良,OpenSSL Engine安全平台下的Engine对象分析,四川师范大学学报(自然科学版),2004年7月第27卷第4期
[67]谢小鹏,谭汉松,在OpenSSL中自定义加密卡中的SCB算法,咸宁学院学报,第26卷第6期2006年12月
[68]PKCS#11,CryptographicToken Interface Standard,Version2.11,RSA Laboratories,2001
[69]齐洪喜 周大水,基于OpenSSL的安全密码平台的设计与实现,计算机工程与设计,第28卷第2期2007年1月
[70]赵大鹏,中国电子政务安全问题分析,大连海事大学学报(社会科学版),2007年10月,第6卷第5期
[71]安天:2007年度信息安全威胁综合报告,中国计算机安全http://www.infosec.org.cn/
[72]吴鸿钟 关义章,IPSec VPN与SSL VPN在电子政务中的应用研究,计算机安全,2003.7
[2]戴宗坤 唐三平 著,《VPN与网络安全》,电子工业出版社,2002
[3]Gentry P B,What is a VPN,Information Security Techoical Report,2001,1(1),31-34
[4]Charlie Kaufman Radia Perman Mike Speciner,《网络安全一公共世界中的秘密通信》,电子工业出版社,2004年
[5]王达,《虚拟专用网(VPN)精解》,清华大学出版社,2004
[6]SSL VPN产品市场调查分析报告,http://net.it168.com/pl/2008-01-25/200801251842301.shtml
[7]张峰,远程安全走了多远?-2005年度SSL VPN公开比较测试报告,网络世界,2005.6 HTTP://www.cnw.com.cn/
[8]Carlton R.Davis[美]著 周永彬 冯登国等译,《IPsec:VPN的安全实施》,清华大学出版社,2002
[9]FreeS/WAN Project:Home Page,http://www.freeswan.org
[10]Schneier,B Ferguson,"A Cryptograhic Evaluation of IPSec ",http://www.schneier.com/paper-ipsec.pdf,1999
[11]S.Kent,R.Atkinson."Security Architecture for the Internet Protocol",RFC2401.IETF,Nov 1998,p1-36
[12]FreierA.O.KarltonP.KocherPC.,The SSL protocol version3.0,1996,http://home.netscape.com/eng/ssls/ssl-toc.html
[13]IETF:The TLS Protocol version 1.0http://www.ietf.org/rfc/rfc2246.txt?number=2246
[14]Andrew Harding,SSL Virtual Private Networks,Computers and Security,2003;20(5):416-420.
[15]Joseph Steinberg Timothy Speed,Understanding,evaluating,and planning secure,web-based remote access,Packt Publishing Ltd.,2005
[16]张鹏 李建 王坤,IPSec和SSL的分析和比较,信息工程大学学报,2002;3(1):67-30
[17]唐如鸿,SSL VPN与IPSec VPN技术比较,计算机安全,2004;8:8-9
[18]徐家臻 陈萃萌,基于IPSec与基于SSL的VPN的比较与分析,计算机工程与设计,2004;Vol.25(4):586-588.
[19]蒋东毅 吕述望 罗晓广,VPN的关键技术分析,计算机工程与应用,2003.1
[20]Douglas R.Stinson著 冯登国译,《密码学原理与实践》北京:电子工业出版社,2003
[21]王衍波,《应用密码学》,机械工业出版社,2003
[22]冯登国,《密码学导引》,科学出版社,2001
[23]Stallings W.,密码编码学与网络安全,第三版.电子工业出版社,2004
[24]关振胜,《公钥基础设施PKI与认证机构CA》,电子工业出版社
[25]谢冬青 冷健,《PKI原理与技术》,清华大学出版社,2004
[26]Eric Rescorla著,崔凯译.《SSL与TLS》.北京;中国电力出版社,2002
[27]卿斯汉 编著,《安全协议》,清华大学出版社,2005
[28]唐文 罗君舟,VPN中隧道技术的研究,计算机工程,2002;Vol.28(4):55-57.
[29]戴英侠 左英男 许剑卓,SSL协议的安全缺陷与改进,中国科学院研究生院学报,2000年11月第17卷第1期
[30]苏成 殷兆麟,SSL协议的安全性分析与应用,现代计算机,2002;(6):29-32.
[31]电子政务特点及其系统安全全攻略,中国计算机安全http://www.infosec.org.cn/
[32]周敬利 曾海鹏,SSL VPN服务器关键技术研究,计算机工程与科学,2005.27
[33]马军峰,SSL VPN技术原理及其应用,电信网技术,2005.8
[34]欧阳凯 周敬利 夏涛等,基于SSLVPN接入机制的研究,计算机科学,2005.5
[35]张引明,《SSL VPN服务器的研究与设计》.华中科技大学硕士论文.2004
[36]包丽红 李立亚,基于SSI的VPN技术研究,网络安全技术与应用,2004(5)
[37]陈圩贤 廖洪銮 冯登国,一种基于SSL/TLS的Web安全代理的设计与实现,计算机工程,2004年6月第30卷第11期
[38]刘敬轩 戴英侠,基于SSL的VPN网关的设计与实现,计算机应用,2005年12月第25卷
[39]Thomas Powell著,杨正华 李金波等译,《HTML参考大全》,清华大学出版社,2002
[40]TCP/IP Ports,http://www.chebucto.ns.ca/~rakerman/port-table.html
[41]张梅 张红旗 杜学绘,一种实现随机端口的SSL VPN,信息安全,2006年第 22卷第11-3期
[42]余胜生 王勇,Linux下一种安全的SSL VPN设计与研究,计算机工程与科学,2006;28(1);
[43]余胜生 欧阳长春 周敬利 欧阳凯,访问控制技术在SSL VPN系统中的应用,华中科技大学学报(自然科学版),第34卷第7期2006年7月
[44]周敬利 王宇 余胜生,SSL VPN中动态密码的研究与应用,计算机应用研究,2006年第8期
[45]李之棠 贺济美 雷杰,SSL VPN的安全漏洞及其解决方案,计算机工程与科学,2006年第28卷第8期
[46]韩卫 薛健 白灵,一种基于安全隧道技术的SSL VPN及其性能分析,科学技术与工程,2005;5(12)
[47]赵华 周利华,一种基于DTLS协议的VPN方案设计,电子科技,2006年第7期(总第202期)
[48]Maxim Krasnyansky,Universal TUN/TAP Driver,http://vtun.sourceforge.net/tun/.
[49]麻利辉,虚拟网卡TUN/TAP驱动程序设计原理,http://www-128.ibm.com/developerworks/cn/linux/l-tuntap/index.html
[50]陈爱和 徐敬东 刘晓欣 张建忠,支持多路负载平衡的SSL VPN系统的设计与实现,计算机工程与设计,2006年11月第27卷第21期
[51]]杨杰 李涛 王姝姐 王丽辉 杜雨,应用虚拟设备驱动的SSL VPN系统改进的实现,计算机工程,2006年8月第32卷第16期
[52]W.Richard Stevens著 范建华 青光辉 张涛等译,《TCP/IP详解 卷1:协议》机械工业出版社,2004
[53]Olaf Titz,Why TCP Over TCP Is A Bad Idea,http://sites.inka.de/sites/bigred/devel/tcp-tcp.html
[54]RFC2406 IP Encapsulating Security Payload,http://www.ietf.org/rfc/rfc2406.txt
[55]The HMAC Papers,http://www.cs.ucsd.edu/users/mihir/Papers/hmac.html
[56]The OpenVPN Project,http://www.openvpn.net/
[57]Markus Feilner,OpenVPN:Building and Integrating Virtual Private Networks, Packt Publishing Ltd.,2006
[58]Charlie Hosner,Open VPN and the SSL VPN Revolution,SANS Institute,2004.8.8
[59]James Yonan,Understanding the User-Space VPN-History,Conceptual Foundations,and Practical Usage,2003
[60]Charlie Hosner,SSL VPNs and Open VPN:A lot of lies and a shred of truth,http://www.linux.com/feature/48330,September 28,2005
[61]郭学超 翟正军,Open VPN体系安全性研究,科学技术与工程,第7卷第8期2007年4月
[62]OpenSSL,http://www.opensssl.org
[63]王志海 童新海 沈寒辉编著,OpenSSL与网络信息安全,清华大学出版社 北京交通大学出版社,2007
[64]钟源,崔树鹏,容晓峰,周利华,基于OpenSSL的密码支撑平台的研究与开发,计算机与现代化,2004年第8期
[65]何志平 康荣保 罗慧,基于CSP的与硬件无关的OpenSSL Engine分析与实现,信息安全与通信保密,2006.7
[66]谭良,OpenSSL Engine安全平台下的Engine对象分析,四川师范大学学报(自然科学版),2004年7月第27卷第4期
[67]谢小鹏,谭汉松,在OpenSSL中自定义加密卡中的SCB算法,咸宁学院学报,第26卷第6期2006年12月
[68]PKCS#11,CryptographicToken Interface Standard,Version2.11,RSA Laboratories,2001
[69]齐洪喜 周大水,基于OpenSSL的安全密码平台的设计与实现,计算机工程与设计,第28卷第2期2007年1月
[70]赵大鹏,中国电子政务安全问题分析,大连海事大学学报(社会科学版),2007年10月,第6卷第5期
[71]安天:2007年度信息安全威胁综合报告,中国计算机安全http://www.infosec.org.cn/
[72]吴鸿钟 关义章,IPSec VPN与SSL VPN在电子政务中的应用研究,计算机安全,2003.7