虛擬專用網(wǎng)安全機(jī)制的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、在分析現(xiàn)有虛擬專用網(wǎng)VPN(VirtualPrivateNetwork)采用的安全技術(shù)基礎(chǔ)上,提出了一種新的安全機(jī)制.該安全機(jī)制針對當(dāng)前VPN系統(tǒng)的效率與安全性能進(jìn)行了分析與改進(jìn),實(shí)現(xiàn)了身份認(rèn)證、密鑰協(xié)商以及IP數(shù)據(jù)報(bào)文安全性封裝.在該安全機(jī)制中,身份認(rèn)證引入新的嵌套證書認(rèn)證機(jī)制NPKI(NestedCertificateInfrastructureBasedPKI).NPKI在驗(yàn)證嵌套證書路徑過程中僅使用一次公鑰算法,這使得對多層次的

2、證書路徑進(jìn)行驗(yàn)證時(shí)變得非常高效,對快速啟動(dòng)VPN隧道有著積極意義.同時(shí)引入了BAN邏輯,對NPKI的安全性進(jìn)行形式化分析與證明.在NPKI的實(shí)現(xiàn)中,針對NPKI證書服務(wù)器與證書客戶端設(shè)計(jì)了專門接口,與IKE進(jìn)行無縫連接.在密鑰協(xié)商方面,對標(biāo)準(zhǔn)的Internet密鑰交換協(xié)議(IKE)進(jìn)行改進(jìn),提高了系統(tǒng)的安全性能.經(jīng)過分析標(biāo)準(zhǔn)IKE密鑰協(xié)商過程,發(fā)現(xiàn)存在一定的安全漏洞,易遭受中間人攻擊.改進(jìn)IKE后,能夠有效的增強(qiáng)防御中間人攻擊能力.對于