基于移動代理的虛擬專用網安全機制研究.pdf

1、現在網絡技術的飛速發(fā)展要求不斷出現新的安全技術來保護信息的安全，為了保護內部網絡的信息不受非授權用戶的攻擊，人們最常采用的手段是防火墻技術，它能有效地阻止非授權用戶訪問內部網絡的信息和過濾不良信息，并且在不危及內部網絡數據及其它資源的前提下允許本地用戶使用外部網絡資源。 另外，為了能在不安全網絡中安全可靠地傳輸私有信息，人們廣泛采用了虛擬專用網絡技術(VPN)。VPN利用不可靠的公共互聯網為信息傳輸媒介，通過附加的安全隧道和加密

2、等技術實現與專用網絡相似的安全性能。使用VPN具有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現全面控制等好處，是目前和今后企業(yè)網絡發(fā)展的主流方向。 但是，這兩種技術單獨使用在安全性方面都存在不足，因此人們將這兩種技術有機地結合起來，建立了基于防火墻的虛擬專用網絡(FVPN)。FVPN表現出良好的安全特性，既能保護網絡上傳輸數據的機密性和完整性，又使VPN具有防火墻的基本功能。但是，在FVPN中的加密信息在通過防火墻時與防火墻

3、檢測機制互相沖突，因為防火墻為了依據預定的安全策略檢查流經信息的內容，必須將這些信息翻譯成明文，這時加密信息使用的密鑰必須被防火墻共享。也就是說，在FVPN中的加密信息在傳輸過程中被解密過，這就有被攻擊的可能，這就使得被傳輸的加密信息的安全性大打折扣。消除這種沖突正是本論文的目標。即在不需要解密也不需要與防火墻共享密鑰的情況下，使在FVPN中傳輸的加密信息能通過防火墻的檢測。消除這種沖突后的FVPN更加安全可靠。本論文在移動代理技術的支

4、持下，將VPN技術與防火墻檢測機制更好地融合，構建了更為安全的VPNAgent系統(tǒng)，同時實現了一種分布式防火墻體系結構。 移動代理是一個自主程序，它可以在異構網絡中按照自己的意愿從一臺計算機遷移到另一臺計算機。也就是說，這種程序可以選擇何時遷移以及遷移的目的地，它能夠在任意點懸掛，把自己傳送到另一臺機器上恢復執(zhí)行。由于移動代理具有自主計算、支持離線計算、減少網絡通信量、利用和控制遠程設施、動態(tài)部署、增強應用的健壯性、提供平臺無關

5、性和提供更自然的電子商務模式等優(yōu)點，目前在許多領域已經得到應用。在本論文中，移動代理作為防火墻的代表，被派遣到VPN連接的另一端。通過它攜帶的(防火墻授予它的)安全策略，移動代理可以檢測出合法信息，并對該信息進行簽名。當某信息流經防火墻時，防火墻可根據信息中是否帶有代表該防火墻的移動代理的簽名來采取不同的措施，或允許通過或拒絕通過，而不用再對信息解密。 本論文結合防火墻與移動代理技術對虛擬專用網的安全機制進行了研究，主要工作及成

6、果包括： 1)研究了虛擬專用網和防火墻的安全機制，將移動代理引進到VPN中，改進現有的VPN的安全機制和防火墻的檢測機制，使VPN傳輸中要求嚴格保密的絕密級數據，在不需要解密的情況下，通過防火墻的檢測，進而滿足了用戶對VPN更高的安全性要求。 2)定義了基于移動代理的虛擬專用網絡系統(tǒng)一VPNAgent系統(tǒng)的體系結構，并對體系結構中各單元的功能和工作流程進行了詳細定義。 3)研究網絡傳輸協議和加密機制，討論了VPN

7、Agent需要使用的加密機制和傳輸協議。本論文中VPNAgent系統(tǒng)主要使用的協議包括： ●Identificationverificationandauthenticationprotocol(身份證明與實體認證協議)：一個或多個信息的參與者需要彼此驗證身份。在這個研究中，我們假定每個參與者都有一個可信任的certificationauthority(CA，證書權力機構)頒發(fā)的X.509證書，其中表明用戶的信息，包括他的驗證公

8、鑰和交換密鑰。當然，也可以用其他的證書。 ●Keysexchangeprotocol(密鑰交換協議)：VPNAgent協議用對稱和非對稱算法來交換密鑰。VPNAgent協議用一個非對稱密鑰交換結構來做驗證方法的底層結構和初始化交換密鑰來得到公鑰。 ●Hashandsignaturealgorithms(哈希和簽名算法)：加密和解密協議作用于VPN網絡，VPNAgent會用數字簽名算法來對數據包進行簽名。 4)對系