企业vpn的接入规划与设计毕业设计论文(编辑修改稿)

企业vpn的接入规划与设计毕业设计论文(编辑修改稿)内容摘要：

PN。 随着信息时代的到来，各个企业越来越重视各种信息的处理。 希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，信息交换日益频繁。 Inter 为这样的一种发展趋势提供了良好的基础，而如何利用 Inter 进行有效的信息管理，是企业发展中不可避免的一个关键问题。 利用 VPN 技术可以组建安全的 Extra，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。 Extra VPN 通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。 企业拥有与专用网络的相同政策，包括安全、服务质量 (QoS)、可管理性和可靠性。 [1] 4 VPN 的特点 VPN 技术除了可以节省费用外，还具有其它特点： （ 1）伸缩性：能够随着 网络的扩张，很灵活的加以扩展。 Inter 对于用户来说，可以以任何技术、任何地点访问。 当增加新的用户或者子网时，只需修改已有网络软件配置，在新增客户机或者网关上安装相应软件并接入 Inter 后，新的 VPn 即可工作，对于最终用户来说完全感觉不到任何变化。 （ 2）灵活性： Inter 的容量完全可以随着需求的增长而增长，除了能够方便地将新的子网扩充到企业的网络中外，由于 Inter 的全球连通性， VPN 可以使企业随时安全地将信息存取到全球的商贸伙伴和顾客。 （ 3）易于管理：用专线将企业的各个子网连接 起来时，随着子网数量的增加，需要的专线数以几何级数增长。 而使用 VPN 时 Inter 的作用类似一个 HUB，只需将各个子网接入 Inter 即可，不需要进行各个线路的管理。 [2] 3. IPSec 技术 IPSec简介 “ Inter 协议安全性 （ IPSec）” 是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Inter 协议 (IP)网络上进行保密而安全的通讯。 Microsoftamp。 reg。 Windowsamp。 reg； 20xx 、 Windows XP 和 Windows Server 20xx 家族实施 IPSec是基于“ Inter 工程任务组 (IETF)” IPSec 工作组开发的标准。 IPSec 是安全联网的长期方向。 它通过端对端的安全性来提供主动的保护以防止专用网络与 Inter 的攻击。 在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。 在 Windows XP 和 Windows Server 20xx 家族中， IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、 Extra 以及漫游客户端之间的通信。 IPSec 的主要 特征在于它可以对所有 IP 级的通信进行加密和认证，正是这一点才使IPSec 可以确保包括远程登录、客户 /服务器、电子邮件、文件传输及 Web 访问在内多种应用程序的安全。 IPSec 在传输层之下，对于应用程序来说是透明的。 当在路由器或防火墙上安装 IPSec 时，无需更改用户或服务器系统中的软件设置。 即使在终端系统中执行 IPSec，应用程序一类的上层软件也不会被影响。 IPSec 对终端用户来说是透明的，因此不必对用户进行安全机制的培训。 如果需要的话， IPSec 可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。 IPSec 正向 Inter 靠拢。 已经有一些机构部分或全部执行了 IPSec。 IAB 的前任总裁 Christian Huitema 认为，关于如何保证 Inter 安全的讨论是他所见过的最激烈的讨论之一。 讨论的话题之一就是安全是否在恰当的协议层上被使用。 想要提供 IP5 级的安全， IPSec 必须成为配置在所有相关平台（包括 Windows NT， Unix 和 Macintosh系统）的网络代码中的一部分。 实际上，现在发行的许多 Inter 应用软件中已包含了安全特征。 例如， Netscape Navigator 和 Microsoft Inter EXPlorer 支持保护互联网通信的安全套层协议（ SSL），还有一部分产品支持保护 Inter 上信用卡交易的安全电子交易协议（ SET）。 然而， VPN 需要的是网络级的功能，这也正是 IPSec 所提供的。 IPSec体系结构 ESP(封装安全载荷 ) IPSec 封装安全负载（ IPSec ESP）是 IPSec 体系结构中的一种主要协议，其主要设 计来在 IPv4 和 IPv6 中提供安全服务的混合应用。 IPSec ESP 通过加密需要保护的数据以及在 IPSec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。 根据用户安全要求，这个机制既可以用于加密一个传输层的段（如： TCP、 UDP、 ICMP、 IGMP），也可以用于加密 整个的 IP 数据报。 封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性。 ESP 头可以放置在 IP头之后、上层协议头之前（传送层），或者在被封装的 IP 头之前（隧道模式）。 IANA 分配给 ESP 一个协议数值 50， 在 ESP 头前的协议头总是在 “ next head” 字段（ IPv6）或 “ 协议 ” （ IP v4）字段里包含该值 50。 ESP 包含一个非加密协议头，后面是加密数据。 该加密数据既包括了受保护的 ESP 头字段也包括了受保护的用户数据，这个用户数据可以是整个 IP 数据报，也可以是 IP的上层协议帧（如： TCP 或 UDP）。 ESP 提供机密性、数据源认证、无连接的完整性、抗重播服务（一种部分序列完整性的形式） 和有限信息流机密性。 所提供服务集由安全连接（ SA）建立时选择的选项和实施的布置来决定，机密性的选择与所有其他服务相独 立。 但是，使用机密性服务而不带有完整性 /认证服务（在 ESP 或者单独在 AH 中）可能使传输受到某种形式的攻击以破坏机密性服务。 数据源验证和无连接的完整性是相互关联的服务，它们作为一个选项与机密性 （可选择的）结合提供给用户。 只有选择数据源认证时才可以选择抗重播服务，由接收方单独决定抗重播服务的选择。 [3] AH（验证头） 验证头（ AH）协议用于为 IP 数据包提供数据完整性、数据包源地址验证和一些有限的抗重播服务， AH 不提供对通信数据的加密服务，与 ESP 协议相比， AH 不提供对通信数据的加密服务，但能比 ESP 提供更加广的数据验证服务。 AH是另一个 IP 协议，它分配到的数是 51。 在 IPv6 的情况下，下一个头字段的值由扩展头的存在来决定。 如果没有扩展头， IPv6 头中的下一个头字段将是 51。 如果 AH6 头之前有扩展头，紧靠在 AH 头前面的扩展头中的下一个头字段就会被设成 51。 将 AH头插入 IPv6 的规则与 ESP 插入规则类似。 AH和 ESP 保护的数据相同时， AH 头会一直插在 ESP 头之后。 AH头比 ESP 头简单得多，因为它没有提供机密性。 由于不需要填充和一个填充长度指示器，因此也不存在尾。 另外，也不需要一个初始化向量。 SA（安全联 盟） SA是一种安全关联， SA 对两台计算机之间的策略协议进行编码，指定它们将使用哪些算法和什么样的密钥长度，以及实际的密钥本身。 安全关联 SA（ Security Association）是单向的，在两个使用 IPSec 的实体（主机或路由器）间建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。 它由下列元素组成： ① 安全参数索引 SPI； ② IP 目的地址； ③ 安全协议。 （ 1） SA 是一个单向的逻辑连接，也就是说，在一次通信中， IPSec 需要建 立两个SA，一个用于入站通信，另一个用于出站通信。 若某台主机，如文件服务器或远程访问服务器，需要同时与多台客户机通信，则该服务器需要与每台客户机分别建立不同的 SA。 每个 SA 用唯一的 SPI 索引标识，当处理接收数据包时，服务器根据 SPI 值来决定该使用哪种 SA。 （ 2） 第一阶段 SA（主模式 SA，为建立信道而进行的安全关联） IKE 建立 SA 分两个阶段。 第一阶段，协商创建一个通信信道（ IKE SA），并对该信道进行认证，为双方进一步的 IKE 通信提供机密性、数据完整性以及数据源认证服务；第二阶段，使用已建立的 IKE SA 建立 IPSec SA。 分两个阶段来完成这些服务有助于提高密钥交换的速度。 第一阶段协商（主模式协商）步骤： ① 策略协商，在这一步中，就四个强制性参数值进行协商： 1）加密算法：选择 DES 或 3DES； 2） hash 算法：选择 MD5 或 SHA； 3）认证方法：选择证书认证、预置共享密钥认证或 Kerberos v5 认证 ； 4） DiffieHellman 组的选择② DH 交换虽然名为 “ 密钥交换 ” ，但事实上在任何时候，两台通信主机之间都不会交换真正的密钥，它们之间交换的只是一些 DH 算法生成共享密钥所需要的基本材料信息。 DH交换， 可以是公开的，也可以受保护。 在彼此交换过密钥生成 材料 后，两端主机可以各自生成出完全一样的共享 “ 主密钥 ” ，保护紧接其后的认证过程。 ③ 认证 DH 交换需要得到进一步认证，如果认证不成功，通信将无法继续下去。 “ 主密钥 ” 结合在第一步中确定的协商算法，对通信实体和通信信道进行认证。 在这一步中，整个待认证的实体载荷，包括实体类型、端口号和协议，均由前一步生成的 “ 主密钥 ” 提供机密性和完整性保证。 （ 3） 第二阶段 SA（快速模式 SA，为数据传输而建立的安全关联）这一阶段协商建立 IPSec SA，为数据交换提供 IPSec 服务。 第二阶段协商消息受第一阶段 SA 保护，任何没有第一阶段 SA 保护的消息将被拒收。 第二阶段协商（快速模式协商）步骤： ① 策略协商，双方交换保护需求：使用哪种 IPSec 协议： AH 或 ESP 使用哪种 hash 算法： MD57 或 SHA 是否要求加密，若是，选择加密算法： 3DES 或 DES 在上述三方面达成一致后，将建立起两个 SA，分别用于入站和出站通信。 ② 会话密钥 材料 刷新或交换 在这一步中，将生成加密 IP 数据包的 会话密钥。 生成 会话密钥 所使用的 材料 可以和生成第一阶段 SA 中 主密钥 的相同，也可以不同。 如果不做特殊 要求，只需要刷新 材料 后，生成新密钥即可。 若要求使用不同的 材料 ，则在密钥生成之前，首先进行第二轮的 DH 交换。 ③ SA 和密钥连同 SPI，递交给 IPSec 驱动程序。 第二阶段协商过程与第一阶段协商过程类似，不同之处在于：在第二阶段中，如果响应超时，则自动尝试重新进行第一阶段 SA协商。 第一阶段 SA 建立起安全通信信道后保存在高速缓存中，在此基础上可以建立多个第二阶段 SA 协商，从。