基于移動(dòng)代理的虛擬專用網(wǎng)安全機(jī)制研究.pdf

1、現(xiàn)在網(wǎng)絡(luò)技術(shù)的飛速發(fā)展要求不斷出現(xiàn)新的安全技術(shù)來保護(hù)信息的安全，為了保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受非授權(quán)用戶的攻擊，人們最常采用的手段是防火墻技術(shù)，它能有效地阻止非授權(quán)用戶訪問內(nèi)部網(wǎng)絡(luò)的信息和過濾不良信息，并且在不危及內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)及其它資源的前提下允許本地用戶使用外部網(wǎng)絡(luò)資源。 另外，為了能在不安全網(wǎng)絡(luò)中安全可靠地傳輸私有信息，人們廣泛采用了虛擬專用網(wǎng)絡(luò)技術(shù)(VPN)。VPN利用不可靠的公共互聯(lián)網(wǎng)為信息傳輸媒介，通過附加的安全隧道和加密

2、等技術(shù)實(shí)現(xiàn)與專用網(wǎng)絡(luò)相似的安全性能。使用VPN具有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的主流方向。 但是，這兩種技術(shù)單獨(dú)使用在安全性方面都存在不足，因此人們將這兩種技術(shù)有機(jī)地結(jié)合起來，建立了基于防火墻的虛擬專用網(wǎng)絡(luò)(FVPN)。FVPN表現(xiàn)出良好的安全特性，既能保護(hù)網(wǎng)絡(luò)上傳輸數(shù)據(jù)的機(jī)密性和完整性，又使VPN具有防火墻的基本功能。但是，在FVPN中的加密信息在通過防火墻時(shí)與防火墻

3、檢測機(jī)制互相沖突，因?yàn)榉阑饓榱艘罁?jù)預(yù)定的安全策略檢查流經(jīng)信息的內(nèi)容，必須將這些信息翻譯成明文，這時(shí)加密信息使用的密鑰必須被防火墻共享。也就是說，在FVPN中的加密信息在傳輸過程中被解密過，這就有被攻擊的可能，這就使得被傳輸?shù)募用苄畔⒌陌踩源蟠蛘劭?。消除這種沖突正是本論文的目標(biāo)。即在不需要解密也不需要與防火墻共享密鑰的情況下，使在FVPN中傳輸?shù)募用苄畔⒛芡ㄟ^防火墻的檢測。消除這種沖突后的FVPN更加安全可靠。本論文在移動(dòng)代理技術(shù)的支

4、持下，將VPN技術(shù)與防火墻檢測機(jī)制更好地融合，構(gòu)建了更為安全的VPNAgent系統(tǒng)，同時(shí)實(shí)現(xiàn)了一種分布式防火墻體系結(jié)構(gòu)。 移動(dòng)代理是一個(gè)自主程序，它可以在異構(gòu)網(wǎng)絡(luò)中按照自己的意愿從一臺(tái)計(jì)算機(jī)遷移到另一臺(tái)計(jì)算機(jī)。也就是說，這種程序可以選擇何時(shí)遷移以及遷移的目的地，它能夠在任意點(diǎn)懸掛，把自己傳送到另一臺(tái)機(jī)器上恢復(fù)執(zhí)行。由于移動(dòng)代理具有自主計(jì)算、支持離線計(jì)算、減少網(wǎng)絡(luò)通信量、利用和控制遠(yuǎn)程設(shè)施、動(dòng)態(tài)部署、增強(qiáng)應(yīng)用的健壯性、提供平臺(tái)無關(guān)

5、性和提供更自然的電子商務(wù)模式等優(yōu)點(diǎn)，目前在許多領(lǐng)域已經(jīng)得到應(yīng)用。在本論文中，移動(dòng)代理作為防火墻的代表，被派遣到VPN連接的另一端。通過它攜帶的(防火墻授予它的)安全策略，移動(dòng)代理可以檢測出合法信息，并對該信息進(jìn)行簽名。當(dāng)某信息流經(jīng)防火墻時(shí)，防火墻可根據(jù)信息中是否帶有代表該防火墻的移動(dòng)代理的簽名來采取不同的措施，或允許通過或拒絕通過，而不用再對信息解密。 本論文結(jié)合防火墻與移動(dòng)代理技術(shù)對虛擬專用網(wǎng)的安全機(jī)制進(jìn)行了研究，主要工作及成

6、果包括： 1)研究了虛擬專用網(wǎng)和防火墻的安全機(jī)制，將移動(dòng)代理引進(jìn)到VPN中，改進(jìn)現(xiàn)有的VPN的安全機(jī)制和防火墻的檢測機(jī)制，使VPN傳輸中要求嚴(yán)格保密的絕密級數(shù)據(jù)，在不需要解密的情況下，通過防火墻的檢測，進(jìn)而滿足了用戶對VPN更高的安全性要求。 2)定義了基于移動(dòng)代理的虛擬專用網(wǎng)絡(luò)系統(tǒng)一VPNAgent系統(tǒng)的體系結(jié)構(gòu)，并對體系結(jié)構(gòu)中各單元的功能和工作流程進(jìn)行了詳細(xì)定義。 3)研究網(wǎng)絡(luò)傳輸協(xié)議和加密機(jī)制，討論了VPN

7、Agent需要使用的加密機(jī)制和傳輸協(xié)議。本論文中VPNAgent系統(tǒng)主要使用的協(xié)議包括： ●Identificationverificationandauthenticationprotocol(身份證明與實(shí)體認(rèn)證協(xié)議)：一個(gè)或多個(gè)信息的參與者需要彼此驗(yàn)證身份。在這個(gè)研究中，我們假定每個(gè)參與者都有一個(gè)可信任的certificationauthority(CA，證書權(quán)力機(jī)構(gòu))頒發(fā)的X.509證書，其中表明用戶的信息，包括他的驗(yàn)證公

8、鑰和交換密鑰。當(dāng)然，也可以用其他的證書。 ●Keysexchangeprotocol(密鑰交換協(xié)議)：VPNAgent協(xié)議用對稱和非對稱算法來交換密鑰。VPNAgent協(xié)議用一個(gè)非對稱密鑰交換結(jié)構(gòu)來做驗(yàn)證方法的底層結(jié)構(gòu)和初始化交換密鑰來得到公鑰。 ●Hashandsignaturealgorithms(哈希和簽名算法)：加密和解密協(xié)議作用于VPN網(wǎng)絡(luò)，VPNAgent會(huì)用數(shù)字簽名算法來對數(shù)據(jù)包進(jìn)行簽名。 4)對系