IPSec和SSL技术在构建VPN中的应用研究
随着计算机网络技术的飞速发展,各种网络服务已经渗透到人们生活的各个领域,一方面给人类生活带来了巨大的便利和好处,另一方面又带来了前所未有的威胁。由于一些重要数据在网络上传输,所以其保密性、完整性和认证性必须得到保证。信息安全技术是解决这一问题的有效方法。
虚拟专用网VPN作为新一代安全技术以其能够提供简单、廉价、安全和可靠的Intemet访问隧道而备受青睐。目前,虚拟专用网主要有IPsec和SSL两种技术。IPSec(IP Security)协议提供的安全服务保证数据在网络上传输过程的机密性、完整性和抗重放保护以及提供网络访问控制能力。NAT(Network AddressTranslation,网络地址翻译)主要为了解决IPv4网络地址短缺问题,同时NAT也具有屏蔽内部网络拓扑结构的作用,为缺乏全局IP地址的公司提供Internet接入服务。一般的IPSec VPN只提供设备级认证(通过预共享密钥和数字证书),而没有提供用户级认证,这样存在极大的安全隐患。仔细研究了认证扩展体制XAuth,然后基于RADIUS结合LDAP和OTP构造了一个适用、有效的方案可以提供用户级认证,验证用户动态口令和用户权限,并在实践中实现。
IPSec和NAT存在本质上的不兼容性。对IETF提供的UDP封装方案进行研究,并对它的一个改进方案进行了研究分析,找出其不足,使IPSec和NAT协调工作。现在SSL技术构建VPN已成为一个热点。SSL VPN比IPSec VPN有部署、管理成本低,有更好的可扩展性,有更细粒度的访问控制能力,有更好的经济性等优点。但也有自身的不足,需要更进一步改进。同时,由于实现技术和功能干差万别,SSL VPN还没有一个统一的认识和标准。分析了SSL协议并用SSLDump来跟踪SSL连接的过程消息,使对SSL的连接过程有一个感性认识,分析了SSLVPN的提出背景。通过研究最简单的SSL VPN-Web反向代理运行原理,揭示SSL VPN的本质,并提出了一个端到端安全的SSLVPN方案,最后对SSL VPN和IPSec VPN进行了一个对比分析。
虚拟专用网;计算机网络;SSL;安全协议;网址翻译
山东大学
硕士
系统分析与集成
李大兴
2007
中文
TP393.08
89
2007-08-27(万方平台首次上网日期,不代表论文的发表时间)