一种基于Open VPN和智能卡的多级安全网络设计

摘要

VPN(虚拟专用网)技术是利用有关密码学原理在开放的公共网络上建立一条虚拟专用通道的技术，现在主要有IPSec VPN和SSL VPN两种VPN技术。 OpenVPN是一种典型的基于隧道技术的SSL VPN，采用SSL/TLS协议协商隧道加密密钥，借鉴ESP协议封装隧道数据，运用OpenSSL，加密库加密隧道数据，使用虚拟网卡TAP-Win32驱动扩展网络。使用OpenVPN建立虚拟专用网络，保障通信安全是论文的重点研究内容。 本文设计了一种支持OpenVPN多节点接入的基于智能卡认证的网络安全平台解决方案。论文首先在研究SSL/TLS协议、ESP协议的基础上，从密钥协商、数据封装、数据处理流程等方面详细分析了OpenVPN的工作原理。并进一步分析了OpenVPN的安全性，指出了通信双方以明文方式交换证书的安全性缺陷，针对该缺陷对OpenVPN的握手过程进行了改进，从理论上解决了这个安全性问题。其次，由于OpenVPN缺乏细粒度的访问控制能力，论文设计了以SQL Server作为运行平台的用户信息管理服务器来实现对用户的认证、授权以及访问控制。用户信息管理服务器使用身份信息库统一管理用户信息，引入多种安全机制，为用户提供安全服务。再次，论文为了解决OpenVPN系统缺乏数字证书管理设施的问题，在用户信息管理服务器中加入PKI处理模块，通过编译OpenSSL源码库，设计了密钥生成软件，简化OpenVPN繁琐的密钥生成过程，同时集成智能卡读写功能，使用智能卡认证的办法，提高整个系统的安全性。 论文在实践基础上，掌握了官方编译工具MinGW Developer Studio的使用，并尝试使用应用更广泛的VC 6.0来编译OpenVPN。使用中发现VC 6.0编译过程繁琐，且其编译的OpenVPN传输性能不及MinGW。 总体来讲，这种基于OpenVPN和智能卡的网络安全方案，保护了私钥，实现了访问控制，增强了系统安全性，对提高OpenVPN的可用性和安全性有较大作用。

目录

文摘

英文文摘

声明

1绪论

1.1研究背景与目的

1.2国内外研究现状

1.3课题的主要研究内容及意义

1.4结构安排

2 OpenVPN工作原理分析及编译

2.1 OpenVPN的体系结构研究

2.1.1 OpenVPN的数据通道

2.1.2开放协议

2.2 OpenVPN的标准协议

2.3 OpenVPN的控制通道

2.4 OpenVPN数据隧道

2.4.1数据隧道密钥生成模式

2.4.2隧道数据封装

2.4.3虚拟网卡驱动

2.4.4隧道数据处理过程

2.5 Windows中编译OpenVPN

2.5.1 MinGW Developer Studio编译

2.5.2 VC 6.0编译

2.6本章小结

3 OpenVPN安全性分析和站到站的网络构建

3.1 OpenVPN站到站的网络构建

3.1.1 OpenVPN的Server端配置

3.1.2 OpenVPN的Client端配置

3.1.3 OpenVPN站到站配置扩展

3.2 OpenVPN安全性分析及改进

3.2.1 OpenVPN安全性分析

3.2.2对安全缺陷的改进

3.3本章小结

4基于OpenVPN和智能卡的多级安全系统模型研究

4.1引入用户信息管理

4.2引入智能卡技术

4.2.1智能卡简述

4.2.2几种不同形式的智能卡

4.2.3 Mifare 1非接触式IC卡

4.3系统网络应用结构

5基于OpenVPN和智能卡的多级安全网络方案的设计

5.1系统的设计思想

5.2用户信息服务器的架构

5.3各子功能模块的设计与实现

5.3.1身份信息库的数据模型

5.3.2证书管理模块

5.3.3智能卡读写的编程实现

5.3.4分级算法的实现

5.3.5用户角色模块的设计与实现

5.3.6认证模块的设计与实现

5.3.7授权模块的设计和实现

5.4性能测试

5.5本章小结

6总结和展望

致 谢

参考文献