支持TNC的SSL VPN系统的研究
本文选题:可信网络连接 + 虚拟专用网 ; 参考:《西安电子科技大学》2014年硕士论文
【摘要】:SSL VPN是一种用于安全远程访问企业内部敏感数据的VPN技术,与复杂的IPSec VPN相比,SSL VPN配置简单,部署方便,已成为商业应用领域最主要的安全远程接入方式。传统SSL VPN能保证只有授权用户才能接入企业内部网络,还能对在线传输的敏感数据进行加密保护,但接入者使用的终端是否安全,传统SSL VPN并不关心。如果终端不安全,比如已经中了病毒或木马,接入企业内部网络后,很可能因不合规的终端行为,导致企业内部敏感数据泄露,甚至对整个企业内部网络的安全带来威胁。TNC是一种对接入终端进行完整性度量的技术,可利用其对终端的完整性进行保护,进而保证终端行为的合规。目前,TNC在局域网接入控制中的应用已很成熟,但在远程接入控制中的应用则鲜有成功案例。本文研究“支持TNC的SSL VPN系统”,就是要将TNC技术应用到远程接入技术SSL VPN中,以保证远程接入时,不仅接入者身份合法,而且接入终端行为合规。 本文先对TNC技术和SSL VPN技术进行了介绍,,然后对SSL VPN系统的底层协议TLS进行了扩展,以使其支持TNC需要的EAP消息的传递。在此基础上,基于OpenVPN、FreeRADIUS和TNC@FHH,设计并实现了一个支持TNC的SSLVPN系统,并针对BIOS的完整性检查、BOOTLOADER的完整性检查、系统配置的合规性检查编写了TNC要求的IMC和IMV模块。最后,对系统进行了测试,结果表明,系统工作正常,实现了保证远程接入时,不仅接入者身份合法,而且接入终端行为合规的目标。
[Abstract]:SSL VPN is a kind of VPN technology used for secure remote access to sensitive data in enterprises. Compared with the complex IPSec VPN, SSL VPN has become the most important secure remote access mode in the commercial application field because of its simple configuration and convenient deployment. The traditional SSL VPN can guarantee that only authorized users can access the internal network of the enterprise and encrypt the sensitive data transmitted online. However, the traditional SSL VPN does not care about the security of the terminal used by the accessor. If the terminal is not secure, such as having been hit by a virus or a Trojan horse and connected to the internal network of an enterprise, it is very likely that sensitive data inside the enterprise will be leaked due to irregular terminal behavior. TNC is a technology to measure the integrity of the access terminal, which can be used to protect the integrity of the terminal and ensure the compliance of the terminal behavior. At present, the application of TNC in LAN access control is very mature, but there are few successful cases in remote access control. In this paper, "SSL VPN system supporting TNC" is studied, which is to apply TNC technology to the remote access technology SSL VPN, so as to ensure that the remote access system not only has the legitimate identity of the accessor, but also the behavior compliance of the access terminal. This paper first introduces TNC and SSL VPN technology, then extends the underlying protocol TLS of SSL VPN system to support the EAP message transmission required by TNC. On this basis, a SSLVPN system supporting TNC is designed and implemented on the basis of OpenVPN Freeradius and TNC @ FHH, and the IMC and IMV modules required by TNC are written for the integrity check of BIOS and the compliance check of system configuration. Finally, the system is tested and the results show that the system works normally and achieves the goal of not only the legal identity of the accessor, but also the behavior compliance of the access terminal when the remote access is guaranteed.
【学位授予单位】:西安电子科技大学
【学位级别】:硕士
【学位授予年份】:2014
【分类号】:TP393.08
【共引文献】
相关会议论文 前3条
1 白雪松;刘杰民;刘国华;;基于802.1x协议的校园网认证系统[A];2008年中国高校通信类院系学术研讨会论文集(下册)[C];2009年
2 倪若杰;;利用802.1x技术实现网络安全管理[A];2010年MIS/S&A学术交流会议论文集(中国造船工程学会学术论文集)[C];2010年
3 陈亮;彭栋琦;刘剑锋;张大钢;叶旭鸣;;基于视频的指挥调度系统[A];2013第一届中国指挥控制大会论文集[C];2013年
相关博士学位论文 前10条
1 刘孜文;基于可信计算的安全操作系统研究[D];中国科学技术大学;2010年
2 刘昌平;可信计算环境安全技术研究[D];电子科技大学;2011年
3 杨力;无线网络可信认证技术研究[D];西安电子科技大学;2010年
4 邱罡;可信系统保护模型研究与设计[D];西安电子科技大学;2010年
5 胡浩;基于可信计算的分布式访问控制研究[D];中国科学技术大学;2010年
6 马文静;下一代无线网络安全及切换机制研究[D];北京邮电大学;2010年
7 闫建红;可信计算的动态远程证明研究[D];太原理工大学;2012年
8 段新东;网络存储安全协议研究[D];西安电子科技大学;2011年
9 辛思远;操作系统可信证明体系结构与模型研究[D];解放军信息工程大学;2012年
10 方明伟;基于可信计算的移动智能终端安全技术研究[D];华中科技大学;2012年
相关硕士学位论文 前10条
1 胡勇强;内网主机监控与接入控制研究[D];浙江大学;2010年
2 邓帆;基于SPALL逻辑的安全协议设计与分析[D];解放军信息工程大学;2010年
3 杨磊;基于TLPRBAC的政务内网访问控制研究[D];西安电子科技大学;2011年
4 李春雅;基于802.1X的可信网络连接认证模型研究和实现[D];西安电子科技大学;2010年
5 刘磊;可信网络连接关键技术研究与实现[D];西安电子科技大学;2010年
6 梁良;网络系统中的拥塞控制研究[D];吉林大学;2011年
7 张忠杰;基于TNC体系的移动终端可信网络接入模型研究[D];吉林大学;2011年
8 王宁;基于行为信任的可信网络模型研究[D];陕西师范大学;2011年
9 许庆;基于802.1x的准入控制的设计与实现[D];南京信息工程大学;2011年
10 赖韬;电子政务内网安全网关研究与实现[D];电子科技大学;2011年
本文编号:1860975
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1860975.html
