现在网络技术的飞速发展要求不断出现新的安全技术来保护信息的安全,为了保护内部网络的信息不受非授权用户的攻击,人们最常采用的手段是防火墙技术,它能有效地阻止非授权用户访问内部网络的信息和过滤不良信息,并且在不危及内部网络数据及其它资源的前提下允许本地用户使用外部网络资源。另外,为了能在不安全网络中安全可靠地传输私有信息,人们广泛采用了虚拟专用网络技术(VPN)。VPN利用不可靠的公共互联网为信息传输媒介,通过附加的安全隧道和加密等技术实现与专用网络相似的安全性能。使用VPN具有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处,是目前和今后企业网络发展的主流方向[38]。但是,这两种技术单独使用在安全性方面都存在不足,因此人们将这两种技术有机地结合起来,建立了基于防火墙的虚拟专用网络(FVPN)。FVPN表现出良好的安全特性,既能保护网络上传输数据的机密性和完整性,又使VPN具有防火墙的基本功能。但是,在FVPN中的加密信息在通过防火墙时与防火墙检测机制互相冲突,因为防火墙为了依据预定的安全策略检查流经信息的内容,必须将这些信息翻译成明文,这时加密信息使用的密钥必须被防火墙共享。也就是说,在FVPN中的加密信息在传输过程中被解密过,这就有被攻击的可能,这就使得被传输的加密信息的安全性大打折扣。消除这种冲突正是本论文的目标。即在不需要解密也不需要与防火墙共享密钥的情况下,使在FVPN中传输的加密信息能通过防火墙的检测。消除这种冲突后的FVPN更加安全可靠。本论文在移动代理技术的支持下,将VPN技术与防火墙检测机制更好地融合,构建了更为安全的VPNAgent系统,同时实现了一种分布式防火墙体系结构。移动代理是一个自主程序,它可以在异构网络中按照自己的意愿从一台计算机迁移到另一台计算机。也就是说,这种程序可以选择何时迁移以及迁移的目的地,它能够在任意点悬挂,把自己传送到另一台机器上恢复执行[42]。由于移动代理具有自主计算、支持离线计算、减少网络通信量、利用和控制远程设施、动态部署、增强应用的健壮性、提供平台无关性和提供更自然的电子商务模式等优点,目前在许多领域已经得到应用。在本论文中,移动代理作为防火墙的代表,被派遣到VPN连接的另一端。通过它携带的(防火墙授予它的)安全策略,移动代理可以检测出合法信息,并对该信息进行签名。当某信息流经防火墙时,防火墙可根据信息中是否带有代表该防火墙的移动代理的签名来采取不同的措施,或允许通过或拒绝通过,而不用再对信息解密。本论文结合防火墙与移动代理技术对虚拟专用网的安全机制进行了研究,主要工作及成果包括:1)研究了虚拟专用网和防火墙的安全机制,将移动代理引进到VPN中,改进现