[发明专利]一种嵌入式SSL VPN的实现方法

说明书

技术领域

本发明涉及嵌入式通信系统技术领域，特别是一种使用Internet协议和SSL协议的嵌入式VPN安全通信系统。 

背景技术

随着Internet和嵌入式技术的迅速发展，嵌入式设备(探测器、智能家居、个人医疗、移动设备等)连接入网的数量急剧增长，并且这种增长的趋势将会持续下去。具有通信功能的嵌入式设备使得计算机技术应用于现场监控、医疗紧急响应、战场管理和家居自动化等设备中成为可能，这些设备种类复杂，通过各种不同的方式连入Internet，这些嵌入式设备都需具备高安全性保障，如果没有足够的安全性，攻击者可能窃取通信数据，破坏数据完整性，甚至控制这些设备并引发灾难性的后果。 

嵌入式设备除了存在一些通信安全问题外，在资源管理方面也有很多问题需要改进。越来越多的嵌入式设备应用于远程控制，例如：水利系统监控、电力系统监控、油田数据采集等。在数据采集或监控的过程中，每一个设备节点采集的数据最终被汇集在公司内部中央数据库统一管理。随着远程化办公趋势的到来，工作人员常常希望能够在世界各地通过像手机、手持电脑等移动嵌入式设备直接访问公司内部中央数据库或者各个设备节点的数据，这使得解决嵌入式系统资源统一管理的问题迫在眉睫。 

嵌入式设备所面临的通信安全问题和资源统一管理问题在全社会各行业应用中逐渐凸显。例如：银行作为国家的重要金融机构，位于城市的各个角落，它具有规模多样、重要设施繁多、出入人员管理复杂、涉及领域广等特点。而今高科技犯罪越来越多，因此，银行需要建立一套先进、可靠的嵌入式监控系统。该系统保证24小时全天候不间断地工作，且进行安全实时的数据传输，能满足扩大营业网点或机构调整，可随时增大监控的规模。 

银行的监控系统主要应用在：收银柜台监控、储蓄所现场、ATM机监控等，有了监控系统能有效地解决抢劫、信息被盗等案件。尤其对ATM业务来说，其犯罪现象越来越多，在全国各地出现了多起盗取合法持卡人钱款的犯罪活动以及各种破坏ATM的恶性事件，如何保护用户的合法财产及银行的利益，防范各种针对银行的犯罪行为是一个亟待解决的问题，因此许多银行都开始积极推进嵌入式监控系统的深入应用。 

目前大多数银行通过专网进行业务传送，专网的带宽往往不能支撑监控等视频信息的传 送。专网的高带宽是以高成本为代价，如1M的DDN专线每个月的线路费用为两千元，因此用户无法将监控业务通过网络集中管理、集中保存监控数据。由于带宽限制，目前绝大部分的监控图像只能在本地保存，这样一方面由于数据分散，设备的投入和维护工作量都较大，数据丢失风险就更高；另一方面由于无法实现集中管理，使得系统的随意性较大，增加了数据丢失风险。近年来基于Internet协议通过VPN(Virtual Private Network，虚拟专用网络)技术来实现的集中监控系统开始逐渐为银行所接受，由于其廉价的宽带接入，并且有足够的带宽保证银行集中监控系统，同时还可通过VPN技术获得了很好的数据安全保障，可谓是一举两得。目前，Ethernet、ADSL等接入线路一般都能够提供1～100M的带宽，完全能满足传送多媒体等业务。 

目前主流的VPN技术主要有两类：IPSec VPN和SSL(Secure Socket Layer，安全套接层)VPN。 

IPSec VPN是基于IPSec协议的，属于OSI模型第三层VPN技术，协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护措施。过去，大多数公司都是使用传统的IPSec VPN来解决远程接入的问题，但是IPSec VPN最初是为了解决网对网(Lan To Lan)的安全问题而制定的协议，因此在此基础上建立的远程接入方案在面临越来越多的点对网(End To Lan)或者点对点(End To End)应用情况下已经力不从心。由于IPSec VPN自身的局限性，导致其还存在以下缺点： 

1.部署IPsec VPN网络时，需要在用户设备上安装复杂的客户端软件，而远程用户的移动性要求VPN可以快速部署客户端，并动态建立连接；远程终端的多样性还要求VPN的客户端具有跨平台、易于升级和维护等特点，这些问题基于IPSec协议实现VPN技术难度很大。 

2.传统的IPSec解决方案无法检查用户设备的安全性。如果用户通过不安全的嵌入式终端设备访问公司内部网络，可能引起公司内部网络感染病毒。