论文部分内容阅读
本文研究了VPN的分类方法,系统分析了处于TCP/IP网络不同层次的VPN协议规范,详细分析了SSL协议的工作机制和消息格式,就SSL与IPSec、SET、S-HTTP、S/MIME等协议在安全、性能、应用等方面进行了综合比较。概括了SSL VPN的定义和关键特性,并研究了其主要实现和部署技术。
为实现SSL VPN系统,首先运用模块化方法建立了一个可扩展的SSL VPN服务器模型。该模型解决了常用基于Web的远程文件共享方法的缺陷,设计了基于WebDAV的文件共享技术,能够与SMB/CIFS、NFS等内网文件共享技术协同工作,具有良好的开放性和通用性。在分析了基于OTP的认证技术、基于RBAC的访问控制技术相关原理和应用必要性的基础上,设计了各自在系统中的应用模型。
所实现的系统能够支持安全远程访问C/S应用和B/S应用这两个SSL VPN基本功能。设计了一种新型的C/S应用安全隧道技术,具备灵活选择建立端到端安全隧道功能,改进了常用技术的安全隐患和性能缺陷。在其客户端Applet实现中,克服了Java虚拟机"沙盒"机制限制,并采用基于X.509数字证书的双向强认证机制,保证通信实体身份真实性。通过研究过滤规则、替换算法、一致性规则等Web对象缓存策略,设计了B/S应用反向代理所采用的缓存机制,并采用HTTP消息头域变换、URL地址改写等技术,初步实现了B/S应用反向代理。
最后,简要介绍了系统的应用和测试结果,并进行了简单总结。