欢迎来到天天文库
浏览记录
ID:30994179
大小:67.00 KB
页数:4页
时间:2019-01-05
《基于pki的校园网vpn系统的设计与实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、基于PKI的校园网VPN系统的设计与实现摘要:概述了面向高校校园网vpn系统的研究现状与理论基础;然后对高校校园网vpn系统的技术进行了深入的分析和研究;在比较分析了各高校校园网vpn系统的基础上,提出通过采用单ca多ra的pki体系结构,确定其实现的具体思路是基于pki技术的ipsec为基础,在此基础上构建了校园网vpn系统。关键词:虚拟专用网数字证书身份认证校园网中图分类号:tp391文献标识码:a文章编号:1007-9416(2012)02-0147-011、引言虚拟专用网(vpn)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基
2、础设施。目前,一些企业在架构vpn时都会利用防火墙和访问控制技术来提高vpn的安全性,但存在不少的安全隐患[1]o因此针对现有vpn系统无法满足校园网安全使用的问题,深入分析、研究了vpn系统中的关键技术和主要功能,构建了一种基于pki的校园网vpn系统的体系架构。2、系统框架设计及系统功能模块描述2.1系统框架设计vpn系统需要解决的首要问题是网络上的用户与设备都需要确定性的身份认证。错误的身份认证。不管其他安全设施有多严密[2]。将导致整个vpn的失效,ipsec本身的因为它的身份认证规模较小、比较固定的vpn上是可行的,把pki技术引进vpn中是
3、为了网络的可扩展性和保证最大限度的安全,ca为每个新用户或设备核发一张身份数字证书,利用ca强大的管理功能,证书的发放、维护和撤销等管理极其容易,借助ca,vpn的安全扩展得到了很大的加强[3]。传统的vpn系统屮,设备的身份是由其ip地址来标识的。2.2系统功能模块描述从软件结构上分vpn网关系统分为应用层模块和内核层模块,sad手工注入接口模块和密钥管理程序模块为运行在应用层的软件模块[5]。ipsec处理模块(包括策略管理模块、ipsec基本协议及密码算法、ipsec协议引擎)、ca模块和防火墙模块为运行在内核层的软件模块。3、vpn系统分析3.
4、1系统的需求分析师生们越来越多地走出校园。他们也可能需要用到校园内部专用网络资源。这是因为随着我校的发展、项目的合作以及文化的交流越来越频繁,通过校园网vpn网统在公共网络中建立的可保密、控制授权、鉴别的临吋安全虚拟连接,它是-条穿越相当混乱的公用网络的安全隧道,是高校内部网的扩展,采用通道加密技术的vpn系统,通过基础公网为使用高校提供安全的网络互联服务。这样师生们很方便的访问我校内网的网络资源,而且相对专用网、校园网vpn系统人人降低成本;相对internet通信,vpn系统又具有相当高的安全性。3.2流程分析设计想要使pki和ipsec结合,就要
5、在doi中定义必须的pki属性,通过密钥交换,实现pki与ipsec的结合。具体过程:(1)将pki的认证、机密性和完整性协议定义为pki专用数据,并把它们置于doi字段屮,同时加载证书字段,生成带pki性能的ike载荷;⑵ike进行野蛮模式或者主模式交换,互换证书,建立ikesa;(3)双方用公钥检查ca和证书中的身份信息在证书上的数字签名;(4)用公开密钥加密算法验证机密性;(6)用数字签名算法验证完整性;(6)协商一致后,生成具体的saoipsec与pki结合后,在密钥交换过程中,通过交换证书的方式交换了公钥和身份信息,验证数字签名、机密性和完整
6、性,从而充分的保证了信息来源的可信度、完整性等,同吋,ipsec配置文件中实现与多数用户的通信,只需少数的ca证书即可。在解决以上技术后,通信双方按以下步骤来进行安全通信:(1)身份数字证书由ca向vpn的通信双方签发,并将被存放到ldap录服务器供相关的应用来访问;(2)属性证书由ra>ca向vpn的通信双方签发,它们规定了双方的访问权限,也被存放到ldapM录服务器供相关的应用来访问;(3)通信双方交换身份数字证书,并验证对方的身份(可以通过ca来实现),检查证书不在c刃名单之列;(4)访
7、njldapg录服务器得到通信双方的属性证书,由股、ca检
8、验属性证书是否允许双方建立连接;(5)若身份数字证书和属性证书全都通过验证,则通信双方建立安全隧道连接;(6)通信双方第一次连接时,分别产生相应的sa,并rhike交换密钥;(7)vpn网关依据发送方应用程序传來的ip包查询spd数据库,然后决定对该ip包采取什么策略,如果该策略说明该ip包需要进行安全保护,则利用sa中指定的算法,ip包中的数据在esp中加密,随后产生和应的ah。数据包加密后,经由安全隧道发送给对方;(8)在接收方,vpn网关根据ip头中的ah和esp部分提取出元组查询sadb,并得到sa,若正确返iHlsa,则检查ah,这样可以验证
9、数据源和数据完整性,进行esp解密,查询sd(根据所得数据的ip地址来实现),若符合处理策略,
此文档下载收益归作者所有