应用层加密传输VPN的研究与实现

摘要

随着远程办公和远程访问的应用逐渐增多，如何即让访问者可以方便快捷的访问内网资源，又可以最大程度的保证访问通道上的数据不被破坏或截获、窃取成为当今远程访问控制的一个研究方向。当前IPSEC VPN是被广泛使用的一种远程访问控制接入方案，IPSEC VPN丰富的加密算法库和安全的密钥协商方式使其有很高的安全性，但其客户端复杂的配置，比较粗的访问控制和较差的网络穿透能力是其最大的缺点，特别单客户端到网关的访问，因此它被普遍应用于网关到网关的访问方式，而SSINPN是一种新兴的虚拟专网技术，它以部署成本低、安全性高、便捷的访问方式和更细致的访问权限划分等优点成为当今远程接入方案的一个更好的选择。 本文针对IPSEC VPN在客户端到网关的访问上的不足提出一种应用层加密传输VPN的方案，它具备SSLVPN的基本特点。本文提出的方案提供了一种便捷的远程访问方式，使访问者无须进行任何复杂的配置就可以进行远程访问，并在应用层完成了对访问数据的加解密，同时具有安全的加密规范协商方法，这些都保证了数据传输的安全性和可靠性。除了提供便捷的访问方式和安全的数据传输，本方案还提供了更好的访问权限控制，使其可以有效的限制外部用户在受保护的内网中的视野，而且如何有效的提高访问权限的划分也是本研究今后的一个方向。本文将主要讨论应用层加密传输VPN中加密体系的建立和数据通信机制，并列举了相关的实现，最后会对该系统在“信息保护系统”中的应用进行分析和讨论。

目录

文摘

英文文摘

创新性说明及关于论文使用授权的说明

第一章绪论

1.1远程访问控制技术的发展情况

1.2 SSLVPN的概念和发展情况[13]

1.3系统结构概要

1.4章节安排

第二章客户端与服务端的认证和协商体系

2.1引言

2.2 X.509体系分析

2.3 TLS/SSL协议分析

2.4用户访问和身份认证方式的选择和实现

2.5数据加密体系的分析

2.6客户端加密体系的实现

2.6.1密钥交换初始化

2.6.2密钥更新方式的研究与实现

2.6.3 SSL会话的初始化

2.6.4密钥交换过程的实现

2.6.5控制通道上的数据解析

2.7本章小节

第三章SSLVPN的数据通信机制

3.1引言

3.2虚拟网卡的机制

3.2.1虚拟网卡概念

3.2.2虚拟网卡工作原理

3.2.3虚拟网卡在SSLVPN数据处理中的应用

3.3虚拟网卡的创建与使用

3.3.1.虚拟网卡的定义

3.3.2.虚拟网卡字符设备属性的研究与实现[2][16]

3.3.3.虚拟网卡网络属性的研究与实现

3.4客户端数据处理的实现

3.4.1.数据处理中的事件控制机制

3.4.2.数据处理流程的分析

3.4.3.数据处理流程的实现

3.5服务端对多客户端的数据处理概要

3.6性能分析

3.7本章小结

第四章SSLVPN在信息保护系统中的应用研究

4.1引言

4.2信息保护系统功能模型

4.3信息保护系统模型结构

4.4信息保护系统架构图

4.5网络监控系统与SSLVPN的结合

4.6 SSLVPN应用的改进性研究

4.6.1应用层数据的获取

4.6.2数据包校验和的计算

4.6.3 UDP分片数据重组传输的分析和实现

4.7应用性能分析

4.8本章小节

第五章服务端管理系统

5.1 SSLVPN的基本配置

5.2 SSLVPN的客户端认证系统

结束语

致谢

参考文献

研究成果