论文部分内容阅读
VPN(Virtual Private Network,虚拟专用网)能够让企业为移动用户、分支机构以及合作伙伴提供安全方便访问企业内部资源。现在市场上主要有两种形式的VPN系统:IPSec VPN和SSL VPN。但是IPSec VPN的客户端安装非常复杂而且需要专业的维护人员维护系统,不适合中小型企业及学校等单位。而基于SSL(Security Socket Layer,安全套接层)协议构建的VPN系统能给中小企业和学校带来诸多便利,比如客户端安装简便,成本低,维护操作简单等等。目前企业普遍采用数字证书的方式来对客户端进行鉴别。虽然数字证书鉴别在信息机密性、完整性和不可抵赖性等方面能提供比较完备的技术手段,但是国内PKI(Public Key Infrastructure,公钥基础设施)却受制于诸多因素,而且建设一套完备的PKI体系对企业在人力物力财力上都有很高的要求,所以这种鉴别方式并不适合于一些中小型企业和校园构建SSL VPN系统。 综合上述原因,本文提出了一种新型的SSL VPN系统,即利用一次性口令机制对客户端进行身份鉴别,在现有的一次性口令基础上提出基于口令序列的改进方案,使口令之间不存在相关性,并且口令都不依赖于用户的秘密通信短语。一次性口令具有很多优点,一方面客户端不需要进行任何运算,减轻了客户端的工作负荷,做到了真正的瘦客户端;另一方面服务器并不保存用户的口令,防止系统管理员获知用户口令而造成内部泄密。 本文首先对比了IPSec VPN与SSL VPN系统的优缺点,阐述了今后的发展趋势,并针对当前广泛流行的采用数字证书承载鉴别信息来鉴别客户端身份的方式在中小型企业中的不适用性,提出了作者自己的改进观点,即利用基于口令序列的一次性口令机制的身份鉴别方式,在最后详细说明其理论可行性,实现的性能以及改进后系统针对哪些网络攻击提高了安全性。