基于虚拟网卡的改进型SSLVPN设计与实现.pdfVIP

第39卷 第6期 航 空 计 算 技 术 V01．39No．6 2009年 11月 AeronauticalComputingTechnique N0v．2o09 基于虚拟网卡的改进型 SSLVPN设计与实现 乔 淼 ，赵政文 (西北工业大学计算机学院，陕西 西安710072) 摘 要 ：给出了一种基于虚拟网卡的改进型SSLVPN 系统结构模型，解决了传统客户端模式 SSL VPN中采用NDIS中间层驱动程序报文拦截技术所引入的软件冲突问题。同时，模型通过客户端防 火墙的引入也解决了传统客户端模式SSLVPN存在的安全性不足问题，增强了隧道通信的安全性。 目前，所研究的SSLVPN系统结构模型已成功地应用于相关商业产品中。 关键词：SSLVPN；虚拟网卡；NDIS；客户端防火墙 中图分类号：TP393．09 文献标识码：A 文章编号：1671—654X(2009)06—0131．04 一 引言 1．1 Windows系统虚拟网卡技术 在Windows系统中，虚拟网卡的数据转发功能是 随着全球经济一体化及 Internet技术的高速发展， 基于NDIS框架，通过微端 口驱动程序实现。NDIS微 基于 SSL协议的VPN技术受到了越来越多企业 的青 端 口驱动程序有两个基本功能：(1)管理网络接 口卡 睐。其中，客户端模式的SSLVPN得到了广泛应用 。 (NIC)，包括通过网络接 口卡发送、接收数据；(2)提供 传统的客户端模式 SSLVPN在报文截获技术上 与高层驱动程序交互的接 口。NDIS框架的结构如图1 通常采用网络驱动程序接 口规范(NetworkDriverInter． 所示 。虚拟网卡通过微端 口驱动程序提供的一组人 口 faceSpecification，NDIS)中的中间层驱动技术，即通过 点(Minpo~Xxx)函数，在NDIS框架中注册一个微端 口 在物理网卡和协议层之间插入中间层驱动以实现报文 驱动程序，由此向高层中间层驱动程序提供相应接 口， 拦截。但是，NDIS框架要求各模块根据驱动程序类 从而使操作系统认为有一块物理网卡的存在 。当有报 型，在主人 口函数DriverEntry中注册相应的输 出函数 文需通过虚拟网卡发送时，将其交付给虚拟网卡的微 集入 口，因此当众多模块 同时向NDIS框架注册各 自 端 口驱动程序处理，通过实际的物理网卡发送到物理 的处理函数，并同时对流经协议栈的网络报文进行类 链路中 。 似操作时，就很容易引起冲突，导致安全系统不可用， 甚至系统崩溃 j。另外，传统的客户端模式 SSLVPN 的客户端安全性较差，在建立SSL隧道进行数据传输 时易受到来 自Internet的攻击 ，从而导致数据泄漏，通 信安全不被保障。 针对以上问题，本文提出了一种基于虚拟网卡技