基于安全套接层虚拟私有网安全接入机制研究

摘要

随着计算机技术和网络技术的不断发展及其应用日益广泛，远程接入技术已经从租赁专用线路为主转向基于数据包上的加密和隔离通信量的虚拟连接上来。虚拟专用网通过安全协议和隧道技术实现了数据的保密性、消息完整性和端点认证，使得用户可以在Internet的任意位置访问VPN内部的服务群。其中一个最新发展是SSLVPN，它结合SSL保密特性，辅以细粒度的访问控制机制达到远程用户对私有资源的无缝访问。传统的SSLVPN解决方案是建立在Web基础上的，对非Web应用支持不理想,而私有网络内部提供的资源服务各异，为使远程用户能够通过不同的应用层协议安全地访问内网资源，可以采用网络连接截获技术对TCP/IP连接进行重定向，通过SSLVPN服务器转发到远端内网服务器。采用此方案可以支持基于TCP/IP的绝大多数网络应用。 本文首先分析了SSL VPN的技术和应用背景，系统地研究了VPN、访问控制技术的相关理论。其次，通过对支持网络应用安全传输所涉及到关键技术的分析，给出了SSL VPN远程接入的设计方案，深入研究了在简单模式客户端中采用的TDI过滤驱动机制、安全代理的原理和工作方式，通过对DNS域名解析原理的研究建立了虚拟DNS服务器，实现了内网服务资源的域名机制；深入研究了基于角色的访问控制技术及其在SSL VPN中的应用，通过对角色的定义、权限的定义、用户的配置和权限的配置来细分访问网络资源的权限并通过角色把权限分配给不同的用户；在所设计的SSLVPN系统中的终端安全性检测系统采取了分别对客户端的防火墙软件、反病毒软件和操作系统的状态进行评估和检测，以这些检测结果生成安全状态报告，服务端根据、状态报告实现对客户端进一步的访问控制。最后，从会话超时控制和防止密码破解两个方面给出了一些设计思想，为进一步研究加强SSL VPN远程接入的安全性打下基础。

目录

文摘

英文文摘

论文说明：图表目录

声明

致谢

第一章绪论

1.1研究背景

1.2国内外研究现状

1.2.1 VPN领域现状与发展趋势

1.2.2身份认证和访问控制技术研究现状

1.3系统实现的关键技术

1.4主要研究工作

第二章VPN相关理论研究

2.1通信安全分析

2.1.1通信安全威胁

2.1.2通信安全目标

2.2 SSL协议分析

2.2.1 SSL分层协议分析

2.2.2协议安全性分析

2.3网络数据包截获技术

2.3.1用户态网络数据包截获

2.3.2内核态网络数据包截获

2.4 PKI安全机制

第三章访问控制技术研究

3.1传统的访问控制技术

3.1.1自主型访问控制

3.1.2强制型访问控制

3.2基于角色访问控制(RBAC)的基本思想

3.3 RBAC96模型

3.3.1基本模型RBAC0

3.3.2角色分级模型RBAC1

3.3.3角色限制模型RBAC2

3.3.4统一模型RBAC3

3.4职责分离原则

3.4.1互斥权限、互斥用户

3.4.2互斥角色

第四章SSL VPN远程接入系统设计

4.1 SSL VPN远程接入拓扑结构

4.2 SSL VPN远程接入客户端设计

4.3用户名/口令与数字证书相结合的认证策略

4.4基于角色的访问控制设计

4.4.1基于角色的访问控制整体设计

4.4.2管理控制台设计

4.4.3访问控制机制

4.5终端安全性检测模块设计

4.5.1各功能模块设计

4.5.2安全列表与安全报告设计

4.6 SSLVPN远程接入的安全设计

4.6.1基于连接超时的隧道控制

4.6.2防止试探性的密码破解

4.7应用案例分析

4.7.1远程办公

4.7.2多路复用

4.8某公司SSL VPN部署例分析

第五章总结与展望

5.1总结

5.2后续工作

参考文献