毕业设计开题报告(亓兵200812010120).doc

计算机科学系毕业设计（论文）开 题 报 告 题 目： IPsec VPN的原理与实现 姓 名： 亓 兵 学 号： 200812010120 年 级：08级专升本 1班 专 业： 计算机科学与技术 指导教师： 李 旭 宏 职 称： 枣庄学院计算机科学系制说 明一、开题报告前的准备毕业设计（论文）题目确定后，学生应尽快征求导师意见，讨论题意与整个毕业设计（论文）（或设计）的工作计划，然后根据课题要求查阅、收集有关资料并编写研究提纲，主要由以下几个部分构成：1研究（或设计）的目的与意义。应说明此项研究（或设计）在生产实践上或对某些技术进行改革带来的经济与社会效益。有的课题过去曾进行过，但缺乏研究，现在可以在理论上做些探讨，说明其对科学发展的意义。2国内外同类研究（或同类设计）的概况综述。在广泛查阅有关文献后，对该类课题研究（或设计）已取得的成就与尚存在的问题进行简要综述，只对本人所承担的课题或设计部分的已有成果与存在问题有条理地进行阐述，并提出自己对一些问题的看法。引用内容要有标注。3课题研究（或设计）的内容。要具体写出将在哪些方面开展研究，要重点突出。研究的主要内容应是物所能及、力所能及、能按时完成的，并要考虑与其它同学的互助、合作。4研究（或设计）方法。科学的研究方法或切合实际的具有新意的设计方法，是获得高质量研究成果或高水平设计成就的关键。因此，在开始实践前，学生必须熟悉研究（或设计）方法，以避免蛮干造成返工，或得不到成果，甚至于写不出毕业设计（论文）或完不成设计任务。5实施计划。要在研究提纲中按研究（或设计）内容落实具体时间与地点，有计划地进行工作。二、开题报告1开题报告可在导师所在教研室或系内举行，须适当请有关不少于3位老师参加，导师及所有同导师的同学必须参加。2本表（页面：A4）在开题报告通过论证后填写，一式三份，本人、导师、所在系（要原件）各一份。三、注意事项1开题报告的撰写完成，意味着毕业设计（论文）工作已经开始，学生已对整个毕业设计（论文）工作有了周密的思考，是完成毕业设计（论文）关键的环节。在开题报告的编写中指导教师只可提示，不可包办代替。2无开题报告者不准申请答辩。一、 选题依据1.背景：随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。与此相应，Internet的安全问题也日益受到重视。Internet 是一个建立在TCP/IP协议基础上的开放的分组交换网，由于其在最初设计时缺乏安全考虑，导致目前Internet的安全性能严重不足。网络上的IP数据包几乎都是用明文传输的，非常容易遭到窃听、篡改等攻击。在各种网络安全的解决方案中，IETF于1998年推出的IPSec协议有着独特的优势，占据着重要的基础地位。IPSec协议是现在VPN开发中使用的最广泛的一种协议。采用IPSec VPN互联各节点，企业不再需要担心硬件等前期大量的硬件投入，也不再需要因网络瓶颈而担心有重复或者浪费的二期投入;IPSec VPN的高安全性及端到端的加密特性保证了信息网络的安全性;还有非常重要的一点就是，各分支机构的工作人员也不必去考虑复杂的应用，网管人员在企业总部中心就可以通过IPSec VPN对每个客户端进行端到端的管理与访问，并且使用移动办公客户端就可以远程维护解决各远端电脑故障。2.目的：解决网络通信的安全性和在开放的Internet中实现异地的局域网之间的虚拟连接,为数据传输提供了完整性、认证性和保密性,应用于各种访问控制中。3.意义：（1）理论意义IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能共同操作/使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。（2）现实意义基于IPsec VPN架构的网络硬件交换平台可用于任何有分支机构、分公司、分店的行业。我们提供远程实时类似局域网运行网络平台。只要有Internet的地方，就可以实时运行任何的ERP软件、财务软件、内部邮件和办公系统、零售管理销售系统等。而且它还由于其通讯成本低，无需专线，设备维护成本低（几近零维护），可广泛用于跨省、跨地区、中、大型企业和跨国企业建立远程监控、远程视讯会议、远程教学和文件资料共享、财务等ERP软件的远程使用等。同时大大提高给企业全体人员的工作效率。 二、 文献综述内容随着Internet的快速发展，人们逐渐把技术的焦点从网络的可用性、信息的获取性转移到网络的安全性、应用的简易性上来，建立在IP技术基础上的虚拟专用网（Virtual Private Network，VPN）正快速成为新一代网络服务的基础，许多服务供应商推出了基于VPN的各种业务。与此相应，Internet的安全问题也日益受到重视。Internet 是一个建立在TCP/IP协议基础上的开放的分组交换网，由于其在最初设计时缺乏安全考虑，导致目前Internet的安全性能严重不足。网络上的IP数据包几乎都是用明文传输的，非常容易遭到窃听、篡改等攻击。在各种网络安全的解决方案中，IETF于1998年推出的IPSec协议有着独特的优势，占据着重要的基础地位。IPSec协议是现在VPN开发中使用的最广泛的一种协议，它有可能在将来成为IPVPN的标准。但是IPSec协议是一个比较新的安全协议，而且非常复杂，作为一个还没有完全成熟的协议，IPSec 在理论上和实践上都有一些问题有待改进。鉴于它的重要作用，很有必要对IPSec协议及其VPN做相关的探讨及研究。 主要参考文献：1ipsec vpn design(2005) VijayBollapragada, MohamedKhalid, ScottWainner Cisco Press 2005 P73-P1592IPsecVirtualPrivate Network Fundamentals(2006) JamesHenryCarmouche Cisco Press 2006 P68-P1723VPN技术 高海曲/薛元星/辛阳等/ 机械工业出版社 2004 P15-P1724IPSec VPN的安全实施 美Carlton R. Davis 清华大学出版社 2002年1月 P21-P2135唐三平.VPN与网络安全. 戴宗坤 电子工业出版社 2002 P123-P1936IPSec VPN的研究设计与实现 刘伟 山东大学 2007 P63-P1637一个改进的IPSec协议及其实现研究 姜正强 华中科技大学 2006 P56-P1698基于IP技术的VPN网关设计与实现 卢建刚 浙江大学 2006P21-P196三、研究方案研究内容：IPsec VPN的原理与实现主要是研究网络通信的安全性和在开放的Internet中实现异地的局域网之间的虚拟连接,为数据传输提供了完整性、认证性和保密性,应用于各种访问控制中。其目标用户是多分支机构的公司和多合作伙伴的公司等。因此，本课题的研究主要是为这些用户提供便利。通过调查分析，该系统的应用需求主要有：（1）实现数据的不可否认性：不可否认性可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。不可否认性是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但不可否认性不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。 （2）确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。 （3）保证数据完整性：防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。 （4）确保数据的可靠性（加密）：在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。 （5）认证：数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。研究目标：本系统的研究目标是网络通信的安全性和在开放的Internet中实现异地的局域网之间的虚拟连接,为数据传输提供了完整性、认证性和保密性,应用于各种访问控制中，其现实的主要作用是：IPSec VPN能为IPv4/IPv6网络提供能共同操作/使用的、高品质的、基于加密机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。研究方法和技术方案：系统总体设计，从需求分析开始，保证网络数据的认证性、保密性、完整性，最大限度地提高网络数据传输的安全性和整体性能，建立安全高效的网络传输坏境，使企业到企业，总部到分支机构实现信息数据的安全快速交换。从硬件实现上，本次研究基于Cisco系列路由器（3745系列）、交换机、windows server 2003进行配置和实现。从体系结构上看，IPSec将几种安全技术结合形成一个完整的安全体系，它包括安全协议部分和密钥协商部分。（1）安全关联和安全策略：安全关联（Security Association，SA）是构成IPSec的基础，是两个通信实体经协商建立起来的一种协定，它们决定了用来保护数据包安全的安全协议（AH协议或者ESP协议）、转码方式、密钥及密钥的有效存在时间等。（2）IPSec 协议的运行模式：IPSec协议的运行模式有两种，IPSec隧道模式及IPSec传输模式。（3）AH（Authentication Header，认证头）协议：设计AH认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务，但是AH不提供任何保密性服务。（4）ESP（Encapsulate Security Payload，封装安全载荷）协议：封装安全载荷（ESP）用于提高Internet协议（IP）协议的安全性。它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。（5）Internet 密钥交换协议（IKE）：Internet密钥交换协议（IKE）是IPSec默认的安全密钥协商方法。IKE通过一系列报文交换为两个实体（如网络终端或网关）进行安全通信派生会话密钥。从实现方案以及使用需求来看，本实现方案是完全可行的。另外，关于IPsec VPN、Cisco路由、交换和windows server 2003系统，网上有较多的资料，图书馆有很多的书籍，这都为本此研究的顺利进行提供了保证。研究进度：本项目的研究进度如下：对系统需求进行调查分析，通过一些IPsec VPN实例进行了解；根据系统需求，对用于实现IPsec VPN各个部分进行注重研究。对系统进行调试和发布，着手撰写学年论文。四、进程计划根据本项目的研究计划，本项目的进程计划如下：2009年12月1日-2009年12月15日：通过查看具体实例，网上查阅资料和与老师的交流，明确本系统的系统需求，完成开题报告的论证。2009年12月16日-2009年12月31日：对VPN进行深入的学习和研究，并完成对VPN部分研究的记录。2009年1月1日-2009年3月1日：逐步引入对Ipsec