基于VPN技术的校园网络安全的设计与实现毕业设计论文Word文件下载.docx
《基于VPN技术的校园网络安全的设计与实现毕业设计论文Word文件下载.docx》由会员分享,可在线阅读,更多相关《基于VPN技术的校园网络安全的设计与实现毕业设计论文Word文件下载.docx(35页珍藏版)》请在冰豆网上搜索。
所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。
除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律后果由本人承担。
日期:
年月日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
涉密论文按学校规定处理。
日期:
导师签名:
日期:
注意事项
1.设计(论文)的内容包括:
1)封面(按教务处制定的标准封面格式制作)
2)原创性声明
3)中文摘要(300字左右)、关键词
4)外文摘要、关键词
5)目次页(附件不统一编入)
6)论文主体部分:
引言(或绪论)、正文、结论
7)参考文献
8)致谢
9)附录(对论文支持必要时)
2.论文字数要求:
理工类设计(论文)正文字数不少于1万字(不包括图纸、程序清单等),文科类论文正文字数不少于1.2万字。
3.附件包括:
任务书、开题报告、外文译文、译文原文(复印件)。
4.文字、图表要求:
1)文字通顺,语言流畅,书写字迹工整,打印字体及大小符合要求,无错别字,不准请他人代写
2)工程设计类题目的图纸,要求部分用尺规绘制,部分用计算机绘制,所有图纸应符合国家技术标准规范。
图表整洁,布局合理,文字注释必须使用工程字书写,不准用徒手画
3)毕业论文须用A4单面打印,论文50页以上的双面打印
4)图表应绘制于无格子的页面上
5)软件工程类课题应有程序清单,并提供电子文档
5.装订顺序
1)设计(论文)
2)附件:
按照任务书、开题报告、外文译文、译文原文(复印件)次序装订
3)其它
毕业设计(论文)中文摘要
针对当前高校跨地域分布导致的校园网安全建设中所遇到的问题,文章结合VPN技术的特点,提出将VPN技术应用在高校网络的建设中,给出了一种基于VPN技术的高安全性网络解决方案,用于提供高效、安全、灵活和经济的网络数据传输,该技术的应用可以提供可靠的校区互联、移动办公和校际交流三个方面的拓展功能。
关键词:
校园网VPN技术虚拟专用网IPSecVPNSSLVPN
毕业设计(论文)外文摘要
Title:
ResearchofVPNtechnologytocampuses’network
Abstract:
Theconstructionofcampuses’networkmeetssomequestionscausedbycampusescrossingregions.ThearticleproposesapplicationtheVPNtechnologyintheconstructionofcampuses’network,producesthehighsecurenetworksolutionbasedontheVPNtechnologywhichisusedtoprovidehighlyeffective,safe,activeandeconomicalnetworkdatatransmission.Itcanprovidereliablecommunicationwithcampus’sregions,themobileworkandtheintercollegiateexchangethreeaspectsdevelopmentfunction.
Keywords:
campuses’network,VPNtechnology,virtualprivatenetwork,IPSecVPNSSLVPN
1绪论
1.1 研究背景
随着计算机技术和信息通信技术的不断发展,网络作为计算机与通信技术融合的产物,从刚刚出现到现在的大规模普及,己经越来越和人们的生活密不可分,可以说计算机网络己经和人们的日常生活息息相关。
从1995年因特网的诞生到现在网络的普及,可以说网络在短短十几年中呈现出了几何爆炸式的增长,发展之快是史料未及的。
但随之而来的问题也凸显了出来,由于网络协议在当初设计时是基于双方互信的机制,为今天的互联网埋下了“不可信”的隐患,嗅探、篡改、重放等网络攻击随处可见,网上政务、商务、银行等组织团体的业务发展受到了严重的阻滞。
人们需要给自己的信息加密,防止在传输的过程中信息泄露,保证网络传输的安全可靠。
特别是进入新世纪以后,随着中国加入WTO,我国许多大公司都在别的国家设立了分支机构,如何使这些分支机构、办事处能随时随地的连接到总部的主站上来,也是一个待解决的问题。
从网络诞生的那一刻起,高校校园网络就一直充当着网络研究平台和人才培养基地的重要作用。
一直以来,校园网以其开放性和快速性己经成为高校信息交流必不可少的工具,尤其最近以来,随着我国经济的发展,高校也进行了扩招,许多学校建立了自己的新校区和分校区,如何让各个校区之间的数据能够安全的进行传输;
校园的资源是开放的,因为每位师生都可以访问校园网资源。
但校园网资源又是独有的,在校园网覆盖范围之外,特别是偏远的教工和学生需要接入学校或者访问校内资源,这时如果按照传统方法是不能满足这些需求的,另外,校园网内一些重要的服务如财务、一卡通、图书馆等如何既能确保优先传输,又要保证传输安全。
所以针对以上这些问题,我们需要在校园网中建立一种行之有效,既节省成本、又方便易行的网络安全体系机构,而VPN刚好可以满足我们以上需求。
1.2VPN的发展和现状
1.2.1VPN的发展及国外的现状
当前VPN技术发展己经历了四代:
第一代,传统的VPN,以FR/ATM技术为主,在虚电路方式的基础上建立起了虚拟连接通道,从而实现物理链路的复用,其安全性是在虚拟隔离的基础之上。
IP网络的飞速发展,这种传统的VPN不再具有优势,应用范围逐步缩小。
第二代,初期的VPN,是在PPTP/L2TP隧道协议的基础之上建立,这种VPN对于远程拨号方式的访问更加适合,但在认证及加密方面的功能较弱,其虚连接和数据的安全性能都较低,对于大规模IP网络的发展应用需求不能很好的适应,逐步在市场中被淘汰。
第三代,主流VPN,这种VPN的主要技术为IPSec/MPLS技术,对于IP网络分组及其安全性能需求都能基本满足,是当前应用最为广泛的VPN。
第四代,不断发展的VPN,其主要技术为SSL/TLS技术,通过对应用层的认证和加密以实现VPN安全传输的简单、高效、灵活等需求,但在安全性能方面弱于基于IPSec技术的VPN,其应用功能支持方面也不如IPSecVPN全面。
1.2.2VPN的发展及国外的现状
在中国,VPN市场从2000年开始才正式起步,并且与信息产业的其它分支类似,经历了由金融、政府和通信等行业带动起步的过程,取得了长足的发展。
各大国内网络设备厂商也纷纷来分享VPN这个大蛋糕,深信服、华三等厂商脱颖而出,成为国内从事VPN系统集成的主要厂商。
尽管我国VPN市场起步较晚,但近两年发展势头不断加快,到目前为止,一些大中企业己经建立了自己的VPN,一些学校的校园网也已经尝试利用VPN技术进行远程访问,一些高校和科研院所也正在研究VPN技术,开发使用VPN软件产品,提高全方位的VPN技术服务。
1.2.3VPN在校园网中应用的现状
目前,校园网对VPN技术的关注热度到了一个相对的高潮期,据《中国教育网络》调查,许多高校已经开始或者准备实施VPN。
各高校实施VPN的目的大致相同,首先,将校外需要VPN的学生或教职工引进来,为其提供VPN接入的服务,比如:
北航的VPN远程访问校园网资源系统正在部署;
其次,要保证VPN服务的接入服务只为授权者提供,可以在本部与分校区之间建立一条VPN通道,从而进行信息传递和共享。
针对不同高校而言,其自身的需求也是不同的,有的高校需求较为独特,如:
东北大学的VPN建设,其主要目的是在校外的师生访问IPv6资源时,为其提供更方便的服务。
在当前的高校中,对于VPN的需求主要有以下二个方面:
第一,满足校外师生对校内站点的访问需求。
VPN方案能够在公众的IP网络上建立私有的数据传输通道,从而进行分校的合作伙伴、分支办公室及移动办公人员等的远程连接,以降低校园网的访问负担,从根本上节约远程访问费用开支。
第二,满足分校之间相互访问的需求。
当前很多高校都在进行不同分校之间的服务器整合研究,以方便进行管理控制,对资源进行统一获取、分配,对各分校web通讯的制在学校地理分布上面临着极大的困难。
1.3研究内容及章节安排
论文先从VPN技术出发,介绍几种常见的VPN,选择出VPN在校园网实施的优势;
再对VPN技术的现状、分类、发展和实现方式等方面对VPN技术做一个全面的介绍,然后对与VPN技术相关的理论知识予以介绍,并对VPN技术进行了相关的论述,最后,结合学院校园网具体情况,提出将VPN技术应用于多校区校园网的实现方案。
论文共分为四部分,具体内容如下:
a)介绍了论文的选题背景与技术现状,分析VPN技术在校园网中应用的可行性和必要性。
b)对目前两种主流的VPN技术IPSecVPN及SSLVPN,从其隧道协议、加解密和认证方法、工作原理等方面做了详细阐述,分析了各自的优缺点并对其主要性能进行了比较。
c)介绍我校校园网基本概况,根据我校的网络现状与应用需求,提出了我校VPN网络的设计方案和我校VPN网络的具体实施过程,从而构建符合我校特点的校园网安全体系。
d)对论文的研究工作做了概括和总结,提出了进一步需要解决的问题与不足。
1.4小结
本章简要介绍了选题背景和研究目的及意义,在此基础上介绍了国内外VPN的研究与应用概况,重点对高校校园网应用VPN的情况进行了论述,介绍了高校校园网应用VPN的需求。
2VPN与VPN技术
2.1VPN的概念
VPN(virtualPrivateNetworks)即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
通常VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
2.2VPN的分类
2.2.1按接入方式进行划分
通常情况下,这种划分方式是运营商和用户最为关心的。
用户可能是拨号上网,也可能是专线上网,基于IP网络的VPN也有着对应的接入方式,即专线接入和拨号接入。
a)专线接入VPN:
这种方式主要是为ISP边缘路由器的专线接入用户提供相应的VPN解决方案。
它是永远在线的,能够节省以往的用户长途专线费用。
b)拨号接入VPN:
也可以称之为VPDN,就是向接入ISP(利用ISDN或PSTN)的用户提供相应的VPN解决方案。
这种VPN是按需连接的,能够为用户节省长途电话费用。
2.2.2按协议实现类型进行划分
这种划分方式是ISP和VPN厂商最为关心的。
可以根据VPN分层类型将其建立于第二层或第三层。
a)第二层隧道协议:
其中包括第二层隧道协议(L2TP)、第二层转发协议(L2F)、点到点隧道协议(PPTP)、多协议标记交换(MPLS)等。
b)第二层隧道协议:
其中包括IP安全(IPSec)和通用路由封装协议(GRE),在现阶段,这两种三层协议是最为流行的。
第二、三层隧道协议存在的主要区别就是在网络协议栈中用户数据在第几层被封装,这些协议之间并不存在冲突,通常可以结合使用。
2.2.3按VPN的发起方式进行划分
这种VPN分类方式是ISP和客户最为关心的。
其业务能够由客户自主独立的实现,也可以通过ISP提供。
a)客户发起(基于客户的):
VPN服务的出发点和目标都是针对客户的,其实施和管理、内部技术组成都是面向客户的、可见的。
这就需要隧道服务器方和客户方安装隧道软件。
隧道由客户方的软件发起,在公司服务器隧道终止。
在这种情况下,ISP不需要做任何工作来支持隧道的建立。
通过对用户的口令和身份符验证,隧道在双方的建立极为容易。
在通信过程中,客户方和隧道服务器也可以采取加密的方式。
隧道建立之后,用户就可以察觉到ISP在此时的通信中不再参与。
b)服务器发起(基于网络的或客户透明方式):
VPN软件在ISP处或公司的中心部分安装,客户不需要安装。
这种方式主要是为了提供给ISP全面VPN管理服务,服务于ISP的POP起始和终止,这种情况下,其实施和管理及内部构成技术对客户是完全透明的。
2.2.4按VPN的服务类型进行划分
按照VPN的服务类型可以将其业务分为大致三种类型:
接入VPN(AccessVPN)、外联网VPN(ExtranetVPN)和内联网VPN(IntranetVPN)。
通常情况下,内联网VPN属于专线VPN。
a)接入VPN:
这种VPN方式通常是企业中的员工或分支机构通过公网进行企业内部网络的远程访问方式。
一般情况下,远程用户不是网络,而是一台计算机,所以VPN的组成是主机到网络的拓扑模型。
需要指出的是接入VPN不同于前面的拨号VPN,这是一个容易发生混淆的地方,因为远程接入可以是专线方式接入的,也可以是拨号方式接入的。
b)外联网VPN:
这种VPN方式多用于企业发生兼并、收购或企业联盟等情况下,不同企业之间通过公网进行虚拟网络的构建。
这种VPN的组成是以不对等方式连接起来的网络到网络方式。
c)内联网VPN:
这种VPN方式多为企业的总部与其分支机构之间的虚拟网络构建,这种VPN是以对等方式连接起来的网络到网络方式。
2.3VPN的关键技术
2.3.1隧道技术
隧道技术是VPN实现的关键技术之一,是通过某种协议进行另一种协议传输的技术,主要通过隧道协议进行这种功能的实现。
其中包含了三种协议,隧道、传输和乘客协议。
隧道协议主要负责建立、拆卸和保持隧道,传输协议主要进行隧道协议的传送,而乘客协议则是进行协议的封装。
通过隧道传递的数据通常为不同协议的数据包或数据帧,通过隧道协议将其重新封装并发送。
路由信息由新的帧头提供,确保封装的数据包通过互联网传递而到达目的节点,随后通过解封得到原始的数据包。
2.3.2用户认证技术
在隧道正式连接准备开始前,通常使用用户认证技术对用户的身份进行确认,从而实现系统的用户授权和进一步资源访问控制。
通常情况下,认证协议采用的是摘要技术,它是通过HASH函数对长报文的长度进行函数变换,映射成为长度固定的摘要。
但由于HASH函数的特性难以掌握,使得在不同报文中找到长度相同的摘要变得更加困难。
在VPN中,这种特性使摘要技术有以下两种用途。
a)数据的完整性验证。
发送方发送数据报文及其摘要,接收方对此进行计算对比,报文摘要与发送的摘要相同则表示报文没有经过修改。
b)用户认证。
实质上而言,这种功能在一定程度上是第一种功能的延伸。
当某方希望对另一方进行验证,但不希望验证结果传送到网络时,这方可以随机发送一段报文,使对方将该报文摘要及秘密信息发回,另一方可以对摘要进行验证,如果正确,则可以达到对方进行验证的目的。
2.3.3数据加密技术
在数据包的传输过程中,主要靠数据加密技术来对数据包进行隐藏。
如果在这个过程中数据包通过的因特网不够安全,即使己经通过了用户认证,VPN也不是一定安全的。
在发送端隧道,用户认证应该首先加密,然后再进行数据传送。
在接收端隧道,通过认证的用户应该先将数据包解密,按照密钥类型的差异可以将当前的密码技术进行分类,主要分为两类:
对称和非对称加密系统。
在实际中,通常对大量的数据加密采用对称密码体制,而对于关键的核心数据加密则通常采用公钥密码体制。
2.3.4访问控制
决定了是否允许访问系统,允许访问系统的资源及资源的使用,通过适当的控制能够对未得到允许的用户的数据获取和授权用户的资源访问起到阻止作用。
2.4VPN的特点
2.4.1安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为一个隧道的建立。
够通过加密技术来进行隧道数据传输的加密,从而确保数据的了解对象仅限于发送者和接收者,以确保数据的安全性。
在这方面,由于VPN是直接在公用网上构建的,实现了网络的方便、简单和灵活等性能,但其安全问题也更加突出。
企业在运营过程中必须保证VPN中的数据传送不受攻击者篡改和偷窥,而且,必须阻止非法用户对私有信息进行访问。
ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
2.4.2服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。
不同的用户和业务对服务质量保证的要求差别较大。
如移动办公用户,在VPN的服务保证中,确保提供广泛的覆盖性连接是其中一个重要的环节;
对于专线VPN网络而言,由于其中存在着众多的分支机构,因此,在企业网内部交互式的专线网络则需要提供更加稳定的VPN;
对于如视频等其他网络应用而言,则对网络有着更加明确的要求。
上述的网络应用都对网络服务提供提出了不同的服务质量要求。
从优化角度考虑,VPN网络的构建还有着另一个重要的要求,就是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。
广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;
而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
2.4.3可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
2.4.4可管理性
从用户角度和运营商角度应可方便地进行管理、维护。
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。
虽然可以将些次要的网络管理任务交给服务提供商去完成,但企业自身仍有着很多的网络管理工作要做。
因此,在VPN业务运营中,必须建立一个完善的VPN管理系统。
管理目标设定为:
具有高扩展性、可靠性、经济性,还能够极大程度上减小网络风险。
管理内容主要应该包括、配置管理、设备管理、访问控制、安全管理、QoS管理、列表管理等。
2.4.5费用低廉
由于使用因特网进行传输相对于租用专线来说,费用极为低廉,所以VPN的出现使企业通过因特网安全又经济的传输私有的机密信息成为可能。
2.5主流VPN技术概述
2.5.1IPSecVPN
a)IPSec协议简介
IPSec产生于IPv6的制定中,主要用于为IP层提供安全性能。
在所有主机进行通信的过程中,必须经过IP层的处理,因此提高IP层的安全性能也是奠定整个网络通信的安全基础。
由于IPv4的应用仍较为广泛,因此,在后来的IPSec制定中还添加了对IPv4的支持。
b)IPSec基本工作原理
从基本工作原理来看,IPSec与包过滤防火墙有些相似,可以理解为是在包过滤防火墙的基础上进行的一种扩展。
当一个IP数据包被接收时,包过滤防火墙会在一个规则表中对其头部进行匹配。
IPSec通过对安全策略的数据库进行查询,从而做出对接收的IP数据包的处理决定。
但相对于包过滤防火墙而言,IPSec在数据包的处理上,除了转发、丢弃等方法外,还能够进行IPSec处理。
这多出来的处理方法为网络的安全性能提高起到了极大的积极作用,比包过滤防火墙更进一步。
IPSec处理就是对IP数据包进行认证和加密。
相比较而言,包过滤防火墙只能对通过某个站点的IP数据包进行控制,可以对某个站点访问的IP数据包拒绝,但它不能保证内部传送出去的数据包的安全,也不能确保内部网络中存在的数据包的安全。
只有在对内部数据包实施IPSec处理之后,才能在内部和外部的网络数据传输过程中,保证IP数据包的真实性、完整性和机密性,通过网络的安全通信才能实现。
IPSec可以只对IP数据包进行认证,也可以只进行加密,还可以同时进行加密和认证。
但无论是哪种方法,它的工作模式只有两种,即传输模式和隧道模式。
c)IPSec中的主要协议
在上文中己经提到IPSec的主要功能,就是对网络传输中的IP数据包进行加密和认证。
为了这项功能的进行,IPSec还必须实现密钥的交换和管理功能,从而为加密和认证过程提供必须的密钥,并实现对密钥使用的管理。
上述三方面的工作是由AH、IKE和ESP三个协议所规定。
下面笔者对这三个协议进行了介绍,在介绍之前,必须先引入安全关联(SA)这一极其重要的术语。
安全关联,就是安全服务及其服务载体之间的连接。
在AH和ESP中SA是必须使用的,而IKE的主要工作就是进行SA的建立与维护。
只要对SA进行支持,才能实现AH和ESP。
如果采用IPSec的方式为通信双方建立安全的数据传统通道的话,就必须按照实现协商的安全策略进行,其中包括密钥使用、生存期及加密算法等内容。
当双方的安全策略得以协商妥当时,就可以理解为双方建立了SA。
也就是说在数据传输的过程中SA能够提供某种IPSec的安全保障连接,这个连接是由AH或ESP提供的。
当一个SA建立,就决定了IPSec处理工作的执行方法,如加密和认证等。
SA可以进行两种方式的组合,分别为传输临近和嵌套隧道。
1)AH(authenticationheader)
AH存在着两种实现方式,即传输和隧道方式,当其以传输方式实现的时候,主要是对高层协议提供保护,在这种情况下,数据不采取加密。
当其以隧道方式实现的时候,主要用于隧道通过的IP包协议。
AH的功能只有认证,没有加密。
AH的长度是可以变化的,但其长度必须是32比特数据报的长度倍数。
在AH域中,可以进行几个自语的细分,其中包含着为IP数据包的密码提供所需数据。
在IPSec服务中,认证是一种强制性服务,从实质上讲,就是确保带有源身份信息的数据的完整性,该保护服务的提供所需数据在AH的两个子域中包含。
其中一个称为安全
升级会员 