大云網論文資料論文范文正文

基于SSL VPN系統架構網絡的應用

2013-12-05 15:10:53 電力信息化　點擊量：評論 (0)

摘要：本文對實現VPN（Virtual Private Network）的幾種技術做了介紹，比較詳細地對IPSec VPN和SSL VPN進行比較，從應用、安全角度等考慮如何選擇合適的VPN技術，并且結合天津電力的應用和安全需求，介紹了S

rnet防火墻的 DMZ區，遠程和移動用戶通過Internet訪問發布在SSL VPN上的應用。由SSL VPN安全接入系統作為用戶和內網應用之間的安全代理。

SSL VPN安全接入系統從以下方面加強性能：

l 安全性：采用專用的操作系統和硬件平臺；遠程接入只是從應用層面建立安全連接，同時對內網資源提供非常細的訪問控制粒度，提高了公司內部網絡系統的安全；

l 系統性能和可靠性：代理功能和VPN遠程接入功能在不同的平臺上實現，系統性能得到了提高。同時雙機或者集群方式可以進一步提高系統的性能和可靠性；

l 穩定性：采用專用硬件平臺，系統地穩定性提高；

l 可管理性：SSL VPN安全接入系統具有非常方便的管理工具，可以對系統、用戶、訪問控制和日志進行直觀的管理。

l 對PKI系統的支持：遠程接入和移動用戶通過載有證書信息的USB Key進行用戶身份認證和授權，SSL VPN安全接入系統將用戶信息直接轉發給身份認證服務器Active Directory Server，PKI系統不需要做任何改動。

六、用戶認證和授權介紹

在身份認證機制上，以公司PKI系統為基礎，采用證書作為遠程和移動接入的身份認證機制，提供用戶身份認證的安全性。SSL VPN安全接入系統用戶身份認證通過認證服務器完成。

PKI系統以Active Directory作為用戶屬性和證書存儲服務器，并提供用戶認證服務。以Active Directory作為用戶身份認證服務器。在SSL VPN系統上并不存儲用戶身份信息。避免由于Active Directory服務器上用戶信息更新時，SSL VPN安全接入系統需要進行用戶身份信息的同步和更新。在進行用戶身份認證時，SSL VPN安全接入系統會將用戶證書和認證信息轉發到Active Directory，由Active Directory進行身份認證后將相關信息發送給SSL VPN安全接入系統，從而完成用戶身份認證。為了提高用戶認證、訪問控制和數據傳輸的安全性，引入了PKI系統，利用數字證書作為用戶身份的唯一識別標志。數字證書包含了用戶基本信息、簽發者信息、用戶公鑰、用戶數字簽名信息。數字證書的存放可以是在IE等軟件中，也可以存放在智能卡等專用硬件設備中。為了保證數字證書的安全性，系統考慮采用專用硬件設備USBKey來存放數字證書，提高數字證書的安全。

如果員工遺失了智能卡，可以取消遺失智能卡的合法性，從而使遺失的智能卡無法用于遠程訪問。即時能夠訪問合法的智能卡，入侵者也必須有 PIN 才能訪問智能卡的登錄證書，這進一步降低了無授權網絡訪問的風險。

用戶認證和授權流程示意圖

用戶的認證和授權包