随着网络技术的快速发展以及企业信息化建设的进一步开展，越来越多的企业都建成了自己的网络系统，通过这个网络系统可以实现企业员工上网、内部资料交流和内部办公等。随着企业内部网络应用的日益增多，人们对内部网络应用的访问要求也越来越高，员工不再满足于只能在企业内上班的时候才能访问内部网络，而是要求在家里，或者出差时都要能访问企业内部的资源。VPN密码系统正是在这样的需求背景下产生的，并且得到越来越广泛的应用。 VPN密码系统可以分为三类，分别是远程访问VPN，内部网VPN和外部网VPN。本文以远程访问VPN密码系统为研究对象，对与其相关的协议和技术进行了详细和深入的研究。研究的主要内容包括以下几个方面： 1、VPN密码系统的构建涉及几个方面的技术，包括加密技术、认证技术、实现协议等。在加密技术方面，本文对对称加密算法、非对称加密算法以及国内专用密码算法做了详细的讨论和比较；在认证技术方面，本文比较了基于口令的认证方法、智能卡认证方法、CHAP认证方法、RADIUS认证方法、Kerberos认证协议和数字证书的认证方法；在VPN实现协议方面，本文对PPTP／L2TP协议、IPSec协议、SOCKS协议以及MPLS协议进行了讨论和比较。针对远程访问VPN密码系统的实现，我们采用SOCKS协议做为VPN实现协议，使用Kerberos协议来进行身份认证，使用国内专用密码算法来进行数据的加解密。 2、本文详细阐述了Kerberos认证协议的原理，并指出了该协议存在的局限性。由于Kerberos协议中用户的密钥是将用户的口令通过公开的加密算法运算得到的，因此容易遭受口令猜测攻击。对此，本文提出了将用户口令与用户拥有的USB认证加密卡中的唯一序列号相结合的双因子Kerberos认证技术，该技术有效地解决了Kerberos协议的口令猜测攻击缺陷。 3、Kerberos协议对大量用户身份认证的处理能力不足，对此，本文采用了将Kerberos协议与第三方CA相结合来进行身份认证的方法，该方法通过CA的数字证书来认证用户的身份，而无须在Kerberos数据库中保存大量的用户密钥，有效地提高了Kerberos的处理能力。 浙江大学博士学位论文 基于改进Kerberos认证协议的远程访问VPN密码系统研究 4、本文详细阐述了 SOCKS协议和 GSS－API协议的原理，以及 SOCKS协议中的GSS．API认证方法。同时对SOCKS协议报文进行了适当扩展，增强了SOCKS协议的功能。 5．本文在对各项技术讨论和改进的基础上，采用Kerberos协议、SOCKS协议和国内专用密码算法，实现了一个远程访问VPN密码系统，并给出了该密码系统的实际应用。同时，本文也指出了下一步的研究方向，即结合IPSec的协议来增强VPN的功能，同时在VPN密码系统中增加防火墙功能，从而使其更加安全。