大云网论文资料论文范文正文

基于SSL VPN系统架构网络的应用

2013-12-05 15:10:53 电力信息化　点击量：评论 (0)

摘要：本文对实现VPN（Virtual Private Network）的几种技术做了介绍，比较详细地对IPSec VPN和SSL VPN进行比较，从应用、安全角度等考虑如何选择合适的VPN技术，并且结合天津电力的应用和安全需求，介绍了S

rnet防火墙的 DMZ区，远程和移动用户通过Internet访问发布在SSL VPN上的应用。由SSL VPN安全接入系统作为用户和内网应用之间的安全代理。

SSL VPN安全接入系统从以下方面加强性能：

l 安全性：采用专用的操作系统和硬件平台；远程接入只是从应用层面建立安全连接，同时对内网资源提供非常细的访问控制粒度，提高了公司内部网络系统的安全；

l 系统性能和可靠性：代理功能和VPN远程接入功能在不同的平台上实现，系统性能得到了提高。同时双机或者集群方式可以进一步提高系统的性能和可靠性；

l 稳定性：采用专用硬件平台，系统地稳定性提高；

l 可管理性：SSL VPN安全接入系统具有非常方便的管理工具，可以对系统、用户、访问控制和日志进行直观的管理。

l 对PKI系统的支持：远程接入和移动用户通过载有证书信息的USB Key进行用户身份认证和授权，SSL VPN安全接入系统将用户信息直接转发给身份认证服务器Active Directory Server，PKI系统不需要做任何改动。

六、用户认证和授权介绍

在身份认证机制上，以公司PKI系统为基础，采用证书作为远程和移动接入的身份认证机制，提供用户身份认证的安全性。SSL VPN安全接入系统用户身份认证通过认证服务器完成。

PKI系统以Active Directory作为用户属性和证书存储服务器，并提供用户认证服务。以Active Directory作为用户身份认证服务器。在SSL VPN系统上并不存储用户身份信息。避免由于Active Directory服务器上用户信息更新时，SSL VPN安全接入系统需要进行用户身份信息的同步和更新。在进行用户身份认证时，SSL VPN安全接入系统会将用户证书和认证信息转发到Active Directory，由Active Directory进行身份认证后将相关信息发送给SSL VPN安全接入系统，从而完成用户身份认证。为了提高用户认证、访问控制和数据传输的安全性，引入了PKI系统，利用数字证书作为用户身份的唯一识别标志。数字证书包含了用户基本信息、签发者信息、用户公钥、用户数字签名信息。数字证书的存放可以是在IE等软件中，也可以存放在智能卡等专用硬件设备中。为了保证数字证书的安全性，系统考虑采用专用硬件设备USBKey来存放数字证书，提高数字证书的安全。

如果员工遗失了智能卡，可以取消遗失智能卡的合法性，从而使遗失的智能卡无法用于远程访问。即时能够访问合法的智能卡，入侵者也必须有 PIN 才能访问智能卡的登录证书，这进一步降低了无授权网络访问的风险。

用户认证和授权流程示意图

用户的认证和授权包