发布时间 : 星期六 文章基于Ipsec-VPN的企业信息安全架构设计与实现--毕业论文更新完毕开始阅读
第一章 引言
1.1 背景介绍及意义
当今,随着现代计算机科技以及互联网科技的历程不断飞速的推进,开始有越来越多的企事业单位等机构的日常办公越来越依赖数字化的信息网络平台,并且也开始有意识地去构建统一的办公系统平台。自动化办公系统互联网络化、应用集中系统化的升级带来了数字化信息进行集中配置、业务流程化、办公规范化的巨大优势。
据有关调查,截止到2016年底,约有90%以上的的企业员工拥有并把自己的比如iPhone智能手机、iPad平板电脑或安、安卓智能手机或安卓平板电脑等智能终端设备带入各自办公的场所,办理工作有关的事务。信息技术的消费带来了BYOD(即英文全称:Bring Your Own Device)新风尚,完成了Any device的真正的自由化办公。现在,BYOD已经是一个越来越流的趋势的新概念,它正以不可阻挡之势对人们的生活、工作等方式的变革产生巨大的作用,成为生活、办公手段的一个必要补充。我们能够使用越来越多的工作间隙去接收或发送电子邮件、去追踪可能的商业机会,把组织机构内部的数字化的管控推向最前端,使面向用户的界面变得更扁平化,从而进一步提高决策以及响应的速度。然而,BYOD带来了方便的同时,也存在着非常大的风险,因为方便是基于开放性的,开放性最大的缺点就是非常容易引入各种各样的网络安全的风险。因此,这就是一个不得不考虑的问题。
在本文中,基于某一组织机构内部已经构建了较为完善的信息化应用系统,比如OA系统(自动化办公系统)、财务管理系统、邮件服务系统等,且有一个及以上的分支机构需要与集团公司本部互联或出差人员常用内部信息资源比较多。在这种情况,由外部网络接入到系统内部网络就需要构建一套完整的安全管
1
理方式。
目前一种公认普遍有效的解决办法是在公共通信基础设施上构建虚拟专用网或私有网,进而在公用信道上传递私有“秘密”数据。此方法就是目前非常流行的VPN技术[1]。VPN 技术的实现方式有很多种形式,而基于 IPSec 协议的实现方式在身份鉴别及完整性、抗抵赖性、保密性方面凭其独特的优势备受青睐。本课题不仅在理论上具有较重要的意义,在实践中,由于应用 VPN 技术可以提高通信系统的效/费比,从而降低通信成本、保障通信质量,因此在社会上得到广泛的应用。在 IPSec VPN 中硬件密码卡的广泛使用也使得系统的性能得到现实意义的提高。最典型的实践应用场景是公安政务网和警用移动设备的通信等[2]。
1.2 研究现状分析
IPSec技术的出现和运用能够明显地提高局域网、各种类型的广域网以及Internet互联环境中的各种类型信息在网络传输过程中的安全性水平[3]。IPSec 技术被用于IP层,以数据包为处理对象,实现了高强度的安全性保障,具体表现为对数据源进行全面验证、对处于无连接状态下数据进行完整性检验、对数据开展机密性和抗重播性的检查以及对有限业务流所具有的机密性实施检验等各种安全性作用。而运行在系统中的各种类型的应用型程序都可以得到IP层的建立的密钥以及其他安全保障作用,而不需要独立设计和执行各自的安全保护机制,这就使得系统中的密钥协商所需要花费的系统资源大大减少,也因为统一的安全保证,能够明显降低出现安全漏洞的概率[4]。
目前,国内外对IPSec VPN的实现都朝着硬件实现的方向发展,这也是该技术发展的主要方向,正是在这种环境下研发出一种专用硬件设备——数据密码卡
[5]
。目前对该卡的研究,主要集中在卡的性能方面的提升,如采用高速的 DSP、
安全性较高的算法、优质的密码算法芯片等。IPSec VPN 在国内也有数年的研究
2
发展历史了,初期主要是通过研究、分析国外的技术产品。随着技术积累沉淀,国内研究在机密算法、认证方式等适应国内网络发展现状的技术领域中取得了长足进步。
1.3 本文结构
本文总共分成6章,各部分的主要完成的工作如下:
第一章是引言,基于IPSec的VPN系统产生背景及分类、应用领域进行了阐述,并介绍了国内外研究现状和本文的主要研究内容,说明了研究此系统的必要性。
第二章IPSec的技术介绍,主要对IPSec技术协议的体系结构、协议工作原理以及VPN的技术实现方式进行了详细的分析和介绍。
第三章需求分析,该部分主要基于某一企业的真实业务为基础,分别对其业务现状、安全性、访问速度、易用性、稳定性以及管理便利性进行全方面的需求分析。
第四章IPSec VPN的实现,在本部分首先以一个真实企业的网络工程实例为背景,介绍了网络拓扑结构,并根据实际情况构建了一个模拟的网络实验平台,并在该平台下进行了详细的配置步骤说明,同时对该模拟实验网络进行了测试,测试结果表明,完全达到了预期。
第五章总结,主是要对本次论文工作进行了整体的总结。
3
第二章 IPSec的技术介绍
2.1 IPSec 协议体系结构
IPSec成功的利用多种安全系统的优势通过技术处理结合成为一种较为成熟的安全体系,主要包括协议部分和密匙两部分,协议中,主要是利用八个文档来对该协议加以定义,具体结构和结构关系如下图 2-1 所示。
图2-1 IPSec协议体系结构图
(1)IPSec安全体系:对于安全需求和整体概念的阐述,同时对于技术机制加以详细阐述;
(2)安全封装载荷 ESP:对于加密和格式中的常见问题提供了详细处理方案;
(3)验证头部 AH:对于格式和AH认证的多种约定的阐述; (4)加密算法:在多种程序中使用加密算法的详细情况的描述; (5)鉴别算法:在 AH/ESP中利用身份验证算法的详细方案;
4