摘要: VPN系统提供的安全远程接入方案可以有效地解决企事业单位异地部门之间的安全通信问题,其中用户认证管理作为安全远程接入方案的重要组成部分,受到了越来越广泛的关注。目前的VPN系统认证技术只是保证了用户身份的合法性,却无法保证用户计算环境的安全... 展开 VPN系统提供的安全远程接入方案可以有效地解决企事业单位异地部门之间的安全通信问题,其中用户认证管理作为安全远程接入方案的重要组成部分,受到了越来越广泛的关注。目前的VPN系统认证技术只是保证了用户身份的合法性,却无法保证用户计算环境的安全性。利用可信计算技术增强VPN系统的安全性,对VPN客户端的计算环境进行安全性评估,将潜在的攻击隔离在VPN隧道之外,具有非常重要的实际应用意义。 本文重点研究与探讨了可信VPN系统中用户认证与管理子系统的相关问题,主要工作如下: (1)将可信计算技术引入到了VPN系统认证与访问控制领域,参照TNC规范提出了VPN系统可信接入的整体架构;结合安全管理中心提出了基于VPN客户端平台完整性的VPN系统认证;在原有的VPN系统访问控制基础上,根据平台的完整性度量确定平台的安全级,执行相应的访问权限:对没有通过评估的终端平台提供了隔离补救服务。 (2)基于实验室自主研发的USBKey对客户端、安全管理中心等设计与实现了强双因子认证与安全控制,设计了基于USBKey的Windows认证方案和远程认证方案,实现了基于USBKey的系统锁定功能,并提供用户管理工具对系统用户进行统一管理。 通过上述工作,在保留系统方便简洁的同时保证了可信VPN系统的强安全性,解决了VPN系统不能同时保证用户身份与用户计算环境安全性的问题,使得VPN合法用户能够在可信的使用环境中进行业务操作。 图66幅,表2个,参考文献32个 收起