一種基于Open VPN和智能卡的多級安全網(wǎng)絡設計.pdf

1、VPN(虛擬專用網(wǎng))技術是利用有關密碼學原理在開放的公共網(wǎng)絡上建立一條虛擬專用通道的技術，現(xiàn)在主要有IPSec VPN和SSL VPN兩種VPN技術。 OpenVPN是一種典型的基于隧道技術的SSL VPN，采用SSL/TLS協(xié)議協(xié)商隧道加密密鑰，借鑒ESP協(xié)議封裝隧道數(shù)據(jù)，運用OpenSSL，加密庫加密隧道數(shù)據(jù)，使用虛擬網(wǎng)卡TAP-Win32驅動擴展網(wǎng)絡。使用OpenVPN建立虛擬專用網(wǎng)絡，保障通信安全是論文的重點研究內容。

2、 本文設計了一種支持OpenVPN多節(jié)點接入的基于智能卡認證的網(wǎng)絡安全平臺解決方案。論文首先在研究SSL/TLS協(xié)議、ESP協(xié)議的基礎上，從密鑰協(xié)商、數(shù)據(jù)封裝、數(shù)據(jù)處理流程等方面詳細分析了OpenVPN的工作原理。并進一步分析了OpenVPN的安全性，指出了通信雙方以明文方式交換證書的安全性缺陷，針對該缺陷對OpenVPN的握手過程進行了改進，從理論上解決了這個安全性問題。其次，由于OpenVPN缺乏細粒度的訪問控制能力，論文設計

3、了以SQL Server作為運行平臺的用戶信息管理服務器來實現(xiàn)對用戶的認證、授權以及訪問控制。用戶信息管理服務器使用身份信息庫統(tǒng)一管理用戶信息，引入多種安全機制，為用戶提供安全服務。再次，論文為了解決OpenVPN系統(tǒng)缺乏數(shù)字證書管理設施的問題，在用戶信息管理服務器中加入PKI處理模塊，通過編譯OpenSSL源碼庫，設計了密鑰生成軟件，簡化OpenVPN繁瑣的密鑰生成過程，同時集成智能卡讀寫功能，使用智能卡認證的辦法，提高整個系統(tǒng)的安全