论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　摘要：文章首先介绍分析了SSL协议，探讨了SSL协议对VPN支持的方面可能存在缺陷，并提出了引入PKI数字证书系统，用于解决网络环境下身份认证、访问控制等存在的问题，以来增强SSLVPN系统的安全性，并对PKI的加密算法的安全性进行了分析比较。基于PKI技术的SSLVPN技术有效的弥补了SSLVPN在安全性的不足，添加了用户权限分级控制，满足了不同层次的需求，可以更加灵活配置管理远程接入的访问，实现了资源的安全共享。

　　关键词：SSL协议；PKI技术；数字证书；VPN；网络技术

　　Abstract：ThispaperfirstintroducestheSSLprotocol，anddiscussesthepossibilityofhowtouseSSLprotocoltosupportVPN.ThispaperintroducesthePKIsystemtoconstructthesecureandeffectivehighlysystemwhichcansupportSSLVPNtechnology.ThePKIsystemcanvouchforthesecurityoftransmit，guaranteetheusers’identity，andsolvetheproblemofauthentication.

　　Keywords：SSL；PKI；digitalcertificatesystem；VPN；network

　　1概述

　　SSLVPN是近年来兴起的一种新的VPN技术，是一种解决远程用户安全访问本地网络中敏感数据的解决方法。SSLVPN技术[1]有着易于实现安装，不需要安装客户端，成本低廉，细粒度的访问控制等优势，适用于远程分散用户的链接。然而随着SSLVPN的广泛应用，SSLVPN技术也暴露出来一些问题，例如黑客会利用所控制的合法终端进行攻击或造成数据的泄漏。SSLVPN虽然能够抵御外部用户的终端的攻击，但是针对这些来自合法用户的攻击比较无力。

　　因此，本文将从SSLVPN存在的问题入手，针对这些安全保护上问题引入数字证书和数字签名技术，改进了SSLVPN的安全性能，从而使其满足达到应用到远程测控网络的构建的安全性的要求。

　　2SSLVPN技术概述

　　SSLVPN技术是在现有的SSL协议的应用基础上发展而来的，它增加了客户端执行访问控制和安全的级别和能力。SSL协议一般位于TCP/IP协议与各种应用层协议之间，其可分为两层：SSL记录协议层，SSL握手协议层。SSL握手协议是建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL记录协议是建立在SSL握手协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

　　3基于PKI技术的SSLVPN设计

　　3.1PKI技术概述

　　公钥基础设施PublicKeyInfrastructure（PKI）[2，3]是一个采用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。该设施通过规范化地管理密钥，并利用数字证书上的数字签名来标识在密钥持有人的身份，为应用系统进行身份验证、数据的完整性和保密性、不可否认性等来进行安全保障的措施，从而提供一个安全可靠的系统环境。常见的PKI系统如下图所示：

　　PKI系统的基础是数字证书[2，4，5]。数字证书其主要用于在网络业务活动中对实体标识身份，方便通信双方对其身份的验证，也会对证书的有效期进行检查，保证了不可抵赖性，解决了双方信任问题。数字证书通常由证书认证中心签名并发布出来，包含了公钥持有者的信息以及公开的密钥的文件。

　　数字证书主要分为两大类，一类是签名证书，主要用于对用户信息进行签名，保证信息的不可否认性和不可抵赖性；另一类则是加密证书，主要用于传输过程中对用户传送的信息进行加密，以保证信息的真实性和完整性。

　　而数字证书的安全性则由加密算法的优劣来决定。目前常见的非对称加密算法主要有RSA，DSA和ECC。三种加密算法都有着很高的安全性，但以本文的角度上来考虑到用户访问的数据能够在最短的时间内进行加密或解密从而进行传输。所以本文会以加解密算法的复杂度作为首要条件进行考虑，综合考虑加密算法的安全性，最后选择了椭圆曲线加密算法—ECC。