（计算机软件与理论专业论文）vpn环境下crm系统的开发与集成.pdf

v p n 环境下c r m 系统的开发与集成摘要随着网络技术的高速发展，拥有分支机构的企业大多使用v p n技术来构造企业的通信与网络系统，从而实现高效透明的信息共享与数据访问。由于安全性和价格低廉，) n 技术已经成为i n t e m e t 网上广泛应用的业务之一，提高v p n 的数据传输的效率和安全性就有着重要的意义和作用。本文在研究企业) n 的特点及安全机制的基础上，提出了在其上实施应用系统的解决方案。以c r m 系统的开发为背景，详细阐述了在大数据量传输与数据访问效率方面做出了改进：通过数据分页、对象序列化、修改防火墙配置等技术实现了对数据传输效率和安全性的平衡；并且通过使用s o c k e t 异步机制，获取并解析用户的h 即请求数据包，实现了应用程序中的v p n 用户验证。为大多数基于v p n环境中小型企业的信息化提出了优化的解决方案和开发模式。采用敏捷开发技术，通过与企业业务人员的密切合作形成了联合开发团队，经过多轮的“设计开发测试一修改一交付”的迭代过程，最终形成了以b s 架构为基础的可用、高效的c i 蝴系统。在企业的v p n 网络环境之上，通过d t s 、远程访问等技术，实现c 蹦系统与已经运行的e i 心系统部分模块的逻辑集成和数据集成。作者在项目开发中担任客户管理、营销团队、售后服务、营销活动管理模块的开发，以及系统的安装部署和用户培训工作。在迭代开发过程中参与系统调研，与客户进行业务逻辑的设计和协商。关键词：c i 洲，i p s e cv p n ，e i 冲，系统集成，a j a ) 【d e v e l o p m e n ta n di n t e g r a t i o no fc i 之ms y s t e mb a s e0 nv p ne n v i r o n m e n ta bs t r a c ta l o n gw i t h 也er a p i dd e v e l o p m e n to fc o m p u t e rn e t w o r k s ，t h ee n t e 印n s e sw h i c hh a v eb r a n c h e sa no v e rt h ec o u n t 巧a r eb u i l d i n gt h et e l e c o m m u l l i c a t i o na j l di n t e m e ts y s t e mw i t hv p nt e c l m o l o g yt oa t t a i nd a t aa c c e s s i n ga n di n f o m a t i o ns h 撕n gi na 胁s p a r e n tw a y b e c a u s eo ft h es e c u r i t ya n d1 0 wc o s t ，v p nh a sb e e nb e c 锄et h em o s tw i d e s p r e a da p p l i c a t i o no ni n t e m e t i ti sm o r ei m p o n a n tt h a ti n l p r o v e st h ee 瓶c i e n c ya n ds e c u 打t yo fd a t at 1 1 m s p o r t a t i o n a 盘e rr e s e a r c h i n gt h ef e a t u r e sa n ds e c u r i t yo fv p ns y s t e m ，t h i sp 印e rc a m eu pw i t has 0 1 u t i o na b o u td 印1 0 y i n ga na p p l i c a t i o ns y s t e mo nt h ev p ns y s t e m t h ei m p r o v e m e n t so ft h et r a n s p o r t a t i o no fg r e a tq u a n t 时o fd a t aa n de 珩c i e n c yo fd a t aa c c e s sh a v eb e e nt a k e nb a s eo nt h ed e v e l o p m e n to fc r ms y s t e m ：t h e s et e c h n i q u e ss u c ha sd a t ap a g e d i v i s i o n ，b o j e c ts 甜a l i z a t i o n ，a n df i x i i l gt h ec o n f i g u r a t i o no ft h ef i r e w a l lh a v e b e e nw o 凼n gt oi m p l e m e n t e dt h a tt h eb a l a n c eo fe f j e i c i e n c yi a n ds e c u t i 巧；也ea s y n c h r o n o u ss o c k e th a sb e e nw o 出n gt oi m p l e m e n t e dt h a tt h ev p nc u s t o m e rv e r i f i c a t i o ni nt h ea p p l i c a t i o ns y s t e mw i t hc a t c h i n ga 1 1 da n a l y z i n gt h eh t t pr e q u e s td a t a g r 锄a d v a n c e ds 0 1 u t i o na n dd e v e l o p m e n tp a n t e mf o ri n f i o n l l a t i o ns y s t e mb a s eo nv p ne n v i r o i l i l l e n th a sb e e nf o u n db yt h i sp 印e r t h ef l e x i b l ea n da v a i l a b l ec i 洲s y s t e mw h i c hb a s e do nb sa r c h i t e c t u r e ，d u r i n gm a n yi t e r a t i o np r o c e s s e sa b o u t “d e s i g n d e v e l o p t e s t f i x p r o v i d e ”，h a sb e e nd e v e l o p e db yt h ec o n l b i n e dt e a mw h i c hi n c l u d et h es o r w a r ed e v e l 叩e n g i n e e r sa n db u s i n e s ss t a f f sw i t ht h es 虹l lo fa g i l ed e v e l o pt e c h n o l o g y t h ei n t e g i a t i o no fc i ms y s t e ma n de i 冲s y s t e mi np a n so fm o d u l e sh 2 l sb e e na c h i e v e d w i t ht e c l l l l 0 1 0 9 yo fd t sa n dr e m o t ea c c e s s b e s i d e ss y s t e md 印1 0 y m e n ta n du s e rt r a i n i n g ，t h em o d u l e so fc u s t o m e rm a n a g e m e n t ，m a r k e t i n gt e a mm a n a g e m e n ta n ds e r v i c eo ft h ec r ms y s t e mp r i 。l j e c th a v e b e e nd e v e l o p e db yt h ea u t h o r i nt h ep r o c e s so fi t e m t i o n ，it o o kp a r ti nt h er e s e a r c h ，s y s t e md e s i g na j l dc o o r d i n a t ew i mt h ec u s t o m e ra b o u tt h es y s t e mr e q u i r e m e n t k e yw o r d ：c r m ，i p s e c ) n ，e r p ，s y s t e mi n t e g r a t i o n ，a j a x东华大学学位论文原创性声明本人郑重声明：我恪守学术道德，崇尚严谨学风。所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得的成果。除文中已明确注明和引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写过的作品及成果的内容。论文为本人亲自撰写，我对所写的内容负责，并完全意识到本声明的法律结果由本人承担。学位论文作者签名：砑日期：y 。乒年；月j 日东华大学学位论文版权使用授权书学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅或借阅。本人授权东华大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。保密口，在年解密后适用本版权书。本学位论文属于不保密口。学位论文作者签每：1 勘日期：n 导年；月j 日l 0鲡r夕名年，签矿东华大学硕士学位论文第一章绪论1 1c r m 与e r p 概述c l w 系统与e i 冲系统是高速发展的信息技术与商业管理营销模式相结合的产物。它既保持了传统商务模型的理念和规则，又融入了新型的信息技术，极大提高的管理效率和利润收入，是实现电子商务的道路中不可缺少的工具。1 1 1e r p 系统e i 冲( e m e 印r i s er e s o u r c ep l a n n i n g ：企业资源计划) 由国际著名咨询公司g a r t r l e r u p 于1 9 9 0 年初提出的概念，它由m i 冲( m a n u f a c t u i er e s o u r c ep l 锄1 1 i 1 1 9 ：制造资源计划) 发展而来【1 1 。它包含客户端朋艮务器架构，使用图形用户界面，采用开放式的系统设计，并随着因特网的出现与发展，e i 冲也可以支持浏览器朋艮务器架构。除了m i 冲i i 已有的标准功能，它还包括其它特性，如品质、过程运作管理以及均衡报告等。此外，e r p 采用的基础技术将带给用户软件和硬件的独立性，从而使升级更加容易。e r p 的关键在于用户能够裁剪其应用，因而具有内在的易用性。e i 冲是指建立在信息技术基础上，以系统化的管理思想，为企业决策层及员工提供决策运行手段的管理平刨2 1 。e r p 是一个对企业资源进行有效共享与利用的系统。一般来说，e r p 是一个以管理会计为核心的信息系统，用来识别和规划企业资源，从而获取客户订单，完成加工和交付，最后得到客户付款，最终获得收入和利润【3 1 。实际上，e i 冲系统就是将企业内部所有资源整合在一起，对采购、生产、成本、库存、销售、运输、财务、人力资源进行规划和优化，从而达到最佳资源组合，获取最高利润的行为。如今，e i 冲广泛应用于企业管理，通过运用最优的业务规范以及集成企业关键业务流程来提高企业利润。同时，企业处在日新月异的市场机遇、价格和服务水平等的挑战环境中，必须不断改变、改善企业经营模式，提高企业竞争力【4 1 。东华大学硕士学位论文1 1 2c r m 系统c i t m ( c u s t o m e rr e l a t i o n s l l i pm a l l a g e m e n t ：即客户关系管理) 最初同样是由g a m l e r u p 提出。美国是最早发展客户关系管理的国家。早在二十世纪八十年代便有所谓的接触管理( c o n t a c t m a n a g e m e n t ) ，即专门收集客户与公司联系的所有信息，并进行相关分析指导营销活动【5 】。进入二十世纪九十年代以来客户关系管理系统整合并支持实现了如下功能：呼叫中心( c a l lc e n t e r ) 、销售力自动化s f a ( s a l e sf 0 r c ea u t o m a t i o n ) 、一对一营销( o n et 0o n em 址e t i n g ) 、商业智能( b u s i l l e s sh l t e l l i g e l l c e ) 等等。二十世纪九十年代，c r m 的概念以及c r m 系统进入中国，引起了国内软件行业的关注。当时的企业信息化建设既有基于企业信息管理的m i s( m a z l a g e m e n ti l l f o i m a t i o ns y s t e m ：管理信息系统) ，又有基于物流和渠道管理的企业资源计划系统。但这些信息系统都是围绕如何提高企业内部运营效率开展的。c r m 系统则是在此基础之上构建了一个面向客户关系和客户管理的系统。同时，由于c i 蝴迎合了广大企业对客户，特别是大客户管理方面的迫切需要，c i 己m 的理念被广泛传播。随着c r m 在银行、电信等信息化水平较高企业的深入应用，人们越来越认识到c r m 不只是单纯的一种信息技术，而是演进成一个获取、保持和增加客户价值的系统工程，并引发了很多企业在管理模式、商业流程、营销方法等方面的种种变革。c i 蝴就是在企业文化同业务系统结合的同时，形成的以客户为中心的经营理念。c i 洲是一种旨在改善企业与客户之间关系的新型管理机制，它主要实施于企业的市场营销、销售、服务与技术支持等与客户相关的领域，使客户时时感觉到企业的存在，企业随时了解到客户的变化。这种思想将推动企业最大限度的利用其与客户有关的资源，实现企业从市场营销到销售到最后的服务和技术支持的交差立体管理。c r m 的目标是一方面通过提供更快速、周到和准确的优质服务吸引和保持更多的客户，达到个性化的服务；另一方面通过对业务流程的全面管理来降低企业的成本。所以说，c 刚既是一种理念，也是一套管理软件和技术【6 j 。在c i w 系统刚刚被中国的企业接受的时候，一些报道及资料往往都是以大型企业的解决方案为依据，这就使得人们认为c i 洲是比较复杂，庞大，业务逻2东华大学硕士学位论文辑复杂的管理系统。而随着c i 蝴系统的管理理念的逐步深入人心，一些中小型企业也走上了c 1 w 之路，成为现代电子商务的受益者。而对于中小型企业实施c i w 系统主要由于以下两点原因。1 企业管理制度的改善c r m 实质是一套集管理思想、管理方法和管理工具于一体的整套解决方案和客户关系管理，是一项长期的企业经营战略，它通过有效的流程、绩效、组织和技术体系得以实现。因此，企业还必须制定相应的c r m 战略，来逐渐实现“以客户为中心 的经营模式。c i 蝴战略体现了企业为了优化管理客户资源，实现最大化客户价值而制定的受到管理的、并得到信息技术支撑的长远规划和目标。2 企业的市场发展需求在当今快速发展和高度竞争的市场空间中，提高客户忠诚度和开发新客户成为企业在市场发展发面首要的目标。实施客户关系管理，企业可以有效地培养顾客忠诚度、实现顾客挽留和最大化顾客终生价值，并且运用顾客知识来有效地构筑与顾客的长期关系，维持顾客忠诚，从而实现较高的投资回报率。企业通过c r m 软件对顾客历史数据进行分析，识别顾客可能购买的产品类型，从而挖掘出具有市场需求而企业为提供的产品品种和产品功能，进而有效地识别交叉销售和扩大销售的机会，并结合赢利模型预算，在企业生产研发环节为确定产品品种、产品功能、产品产量等提供决策支持，使得企业在顾客生命周期内创造出最大化的价值【刀。而对于中小型企业，实施大型c i 泓系统也有着耗资巨大，业务逻辑差别明显等劣势。由于中小型企业的资金投入无法和大型企业相比，实施大型c 刚系统势必会影响企业的资金运作，造成一定的经济影响。而大型c i 蝴系统虽然功能完善，但是繁杂的业务流程和管理理念也不一定适合种小型企业，反而会造成员工对c i 蝴系统的误解或者增加不必要的业务流程，从而降低生产和管理效率。这就需要对中小型企业实施定制化的c 1 w 产品，用企业原有的管理理念和业务流程，与c 蹦现代化科学的管理方式相结合，针对不同的行业和企业，制定不同的功能流程，使得c i 蝴系统能够最大化的满足企业的需求。东华大学硕士学位论文1 2 企业v p n1 2 1v p n 概述p n ( v i n u a lp r i v a t en e 咐o r k ：虚拟专用网) 就是依靠i s p ( i n t e n l e ts e r 、r i c ep r o v i d e r ：m t e n l e t 服务提供商) 和其它n s p ( n e 铆o r ks e r v i c ep r o v i d e r ：网络服务提供商) ，在公用网络中建立专用的数据通信网络的技术【8 】。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。通过对网络数据的封包和加密传输，在一个公用网络( 通常是因特网) 建立一个临时的、安全的连接，从而实现在公网上传输私有数据、达到私有网络的安全级别。通常，) n 是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。p n 可用于不断增长的移动用户的全球因特网接入，以实现安全连接。同时 n 也可用于实现企业网站之间安全通信的虚拟专用线路【9 】，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。v p n 允许远程通讯方，销售人员或企业分支机构使用i n t e n l e t 等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。，n 结构如图1 1 ：移动办公图1 1 p n 结构示意图 n 通过公众口网络建立了私有数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来。减轻了企业的远程访问费用负担，节省电话4东华大学硕士学位论文费用开支，并且提供了安全的端到端的数据通讯。1 2 2v p n 分类) n 技术虽然出现时间不长，但由于其突出的优越性和低廉的部署成本在较短的时间内得到了企业用户的青睐。因此v p n 技术也得到了飞速的发展，各种v p n 技术层出不穷，根据不同的划分标准，) n 可以按照以下几类进行划分。1 按) n 的平台分类可分为软件平台、专用硬件平台和辅助平台。1 ) 软件平台v p n对数据连接速度要求不高，性能和安全性要求不强时，可以通过软件公司提供的完全基于软件的v p n 产品来实现简单的v p n 功能，如c h e c k p o i n ts o f l w a r e和a v 饥t a i lc o i p 等公司的产品 1 0 1 。由于这类? n 速率较低，同时安全性一般，所以只适用于较少的小型企业用户。2 ) 专用硬件平台v p n可以满足企业或个人对高数据安全性以及稳定的通信性能的需求。提供这类平台的厂商有c i s c o 、华为、联想等。因为这类产品虽然在性能和安全性方面有很大的优势，但是其高成本对于中小型企业用户很难承受，并且对于使用全硬件来构筑平台，其灵活性和管理性就大大降低。但对于般的) n 服务提供商来说，具备资金和技术人员的优势，选择硬件平台较为合适。3 ) 辅助平台v p n这类) n 的平台介于软件平台和硬件平台之间，主要是以现有网络设备为基础，添加适当的v 】) n 软件来实现其) n 的功能。是最常见的v p n 平台，也是性能最稳定的一种。目前大多数企业都会选用这种解决方案。2 按v p n 的隧道协议分类可分为二层隧道、三层隧道以及二三层混合隧道协议。隧道技术是) n 的核心技术，是一种通过使用互联网络的基础设施在网络之间传递数据的方式【l l 】。使用隧道传递的数据( 或负载) 可以是不同协议的数据包或数据帧。隧道协议将这些其它协议的数据包或数据帧重新封装在新的数据包中发送【1 2 】。新的报头提供了路由信息，从而使封装的负载数据能够通过互联网络传递【1 3 】。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。5一旦到达网络终点，数据将被解包并转发到最终目的地，v p n 隧道如图1 2 所示隧道技术可以分别以第二层隧道协议或第三层隧道协议。p fj 7j。一数据包，、髟公用传输刚图1 2 隧道示意图1 ) 二层隧道协议顾名思义，第二层隧道协议对应0 s i 模型中的数据链路层，使用数据帧作为数据交换单位 。数据包在链路层被封装隧道报头，进行隧道传输，到达目的地时在第二层被解封装，p p t p ( p o 血t t o p o m tt u 皿e l i n g p r o t o c o l ：点到点隧道协议) ，l 2 t p ( l a ”r21 u 蛐e l m gp r o t o c 0 1 第2 层隧道协议) 和l 2 f ( l e v e l2f o 刑a r d l n g p r o t o c 。l ：第二层转发协议) 都属于第2 层隧道协议。2 ) 三层隧道协议第三层隧道协议对应o s i 模型中的网络层，使用包作为数据交换单位。i p s e c隧道模式都属于第三层隧道协议，它将i p 包封装在附加的i p 包头中通过i p 网络传送。i p s e c 是一系列基于i p 网络( 包括i n i m n e t 、e x a n 乩和i n t e m e t ) 的旧，由i e t f ( i n t 唧d e n 目n e e n n g 隅k f o r c e ：工程任务组) 正式定制的开放性i p 安全标准。3 ) 二三层相结合的隧道协议利用第二层隧道协议l 2 什与第三层隧道协议i p s e c 相结合可| 三【组建性能安全更为稳定的l 2 t p 、i p s e c 的v p n 网络。i p s e c 协殴是也t f 安全工作组制定的安全协议，可以为上层协议提供透明的安全保证，既可以保护端到端系统的安全性，同时也可以保证网关到网关的安全性。i p s e c 包括两个予协议，认证头协议( a h 协议) 以及封装安全协议( e s p 协议) 。a h 协议负责完整性与数据源认证，而e s p 则提供数据保密、完整性以及传输流量的保密功能。网国东华大学硕士学位论文3 按) n 服务类型分类可分为a c c e s s ) n 、i i l 仃a 1 1 e tv p n 和e x 仃a i l e t ) n1 ) a c c e s s v p na c c e s s ) n 通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。a c c e s s m 能使用户随时、随地以其所需的方式访问企业资源。a c c e s sv p n 包括模拟、拨号、i s d n 、移动p 和电缆技术，能够安全地连接移动用户、远程工作者或分支机构【1 6 1 。a c c e s s ，n 最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地i s p 提供的v p n 服务，就可以和公司的v p n 网关建立私有的隧道连接。奶i u s 服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低【1 刀。2 ) m 乜a i l e t v p n利用n 特性可以在i n t 锄e t 上组建世界范围内的h l t r 趾e tv p n 。利用h 删的线路保证网络的互联性，而利用隧道、加密等) n 特性可以保证信息在整个h 1 仃a n e t ) n 上安全传输。i n 仃a i l e t ) n 通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量( q o s ) 、可管理性和可靠性。3 ) e x 仃a n e t v p ne x 仃锄e t ) n 通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量( q o s ) 、可管理性和可靠性。e x 缸- 锄e tv p n 结构的主要好处是，能容易地对外部网进行部署和管理，外部网的连接可以使用与部署内部网和远端访问p n 相同的架构和协议进行部署【1 8 】。主要的不同是接入许可外部网的用户被许可只有一次机会连接到其合作人的网络。1 3c r m 与e r p 的系统整合e r p 和c r m 系统是随着信息化发展而形成的两个概念，它们从不同的角度来推动企业信息化的发展，从而提高企业的生产力和生产效率。e r p 系统是建立在信息技术基础上，以提高企业资源效能为系统思想，为企业提供业务集成运行中的资源管理方案。而c 蹦系统则是通过对客户详细资料的深入分析，来提高7东华大学硕士学位论文客户满意程度，从而提高企业的竞争力的一种工具。c i 洲的重点在市场、销售等环节，e r p 则将重点放在了生产、制造环节。作为一个企业，自身的供产销必定是环环相扣的。可以说，e i 冲系统是企业的内部管家，而c i 蝴系统则是企业的对外窗口，而两个独立的管理系统又有着很多的业务交叉点，如客户的订单包括客户的详细信息和订单中的产品种类以及生产流程，而销售数据也是衡量客户等级的重要标准【19 1 。另外，随着企业竞争环境和商务模式的改变，原有的e l 氇和c r m 系统中内部用户和外部用户交叉的现象越来越普遍，内部用户和外部用户之间的界线己经变得越来越模糊。因此将内部用户和外部用户进行整合已经成为必然。目前，国内外对e r p 和c 蹦整合的研究呈现几种趋势。一种是以e i u 为基础，构建c i t m 功能模块。这类整合一般是在e r p 系统的基础上开发一些客户管理以及市场分析的模块，使之具备c i 蝴系统的部分功能，例如o r a c l e 公司开发的o r a c l ec i 系统，基于原有的o r a c l ee i 冲服务器上增设了一些c i 功能的子模块，并且利用e i 冲系统的数据，实现c 蹦的客户管理和市场分析功能【2 0 】。第二种整合是独立开发c i 蝴和e i 冲系统，再通过中间件进行数据和逻辑上的整合，这种方法适合于不同开发商的系统整合，不必破坏原有系统的完整性而实现两个系统的整合。另一种整合模式是基于模块的开发，单独开发e i 冲和c 1 w 组件，使之可以像积木一样任意组合，根据公司的实际要求做出快速的调整。目前的s a a s ( s o 脚a r ea sas e r v i c e ：软件即服务) 【2 1 】模式提出了这样的新型软件发展理念。它是一种通过i i l t e m e t 提供软件的模式，用户不用再购买软件，而改用向提供商租用基于w 曲的软件，来管理企业经营活动，且无需对软件进行维护，服务提供商会全权管理和维护软件。这种模式使得软件的开发与维护更加灵活和有效，不仅提高了软件的通用性，而且极大的延长的软件的使用寿命，而这种模式尚未成熟，还在处于发展阶段。1 4 主要思路及研究工作1 分析d s e cv p n 的体系结构和特点，对口s e c 相关技术，包括认证头( a h ) 、封装安全载荷( e s p ) 、安全关联数据库( s a d ) 、安全策略数据库( s p d )等进行了深入的研究，并对口s e cv p n 性能进行数据包延迟和路径的跟踪测试。东华大学硕士学位论文2 在分析研究i p s e cv p n 特点的基础上，以某电器公司的c i 蝴系统的开发为研究对象，研究了e i 冲系统在客户管理方面的不足，定制出一套针对该公司的业务特点和管理理念的c i 蝴系统，在数据结构，业务逻辑以及用户界面上实现无缝的整合。3 在多层次整合的同时还要兼顾大数据量的网络传输问题，在适当的地点架设合理的 n 环境，充分利用网络资源实现系统数据的传输的透明化。系统采用数据分页、对象序列化和配置防火墙的访问过滤等技术方面实现在 n 环境中数据传输的效率最大化。9东华大学硕士学位论文第二章企业v p n2 1 企业v p n 环境2 1 1 公司简介上海某电器有限公司是1 9 9 7 年成立，是主营限位开关、凸轮开关、警示灯、接线端子的专业生产厂家，其产品广泛应用于机械、机床、电力、自动化等行业。短短1 0 年时间已经在行业内迅速崛起，市场份额不断扩大，到目前该电器公司已成为一个拥有3 0 0 多名员工，年产值超亿元的企业，奠定了行业中领先地位。公司总部设在上海市徐汇区，工厂设在上海松江区，分公司设在苏州、浙江、天津、北京、广州等近十个省市，分布距离远、面积广。并且每个分公司都要满足员工移动办公的要求。这就要求在子公司之间以及公司与员工之间建立一条安全的网络访问连接，以确保公司的信息能够快速准确并且安全的传输。而公司最大的需求就是能够让处于不同地点的员工可以随时访问到公司总部的c i w 系统，以确保业务数据能够及时提交到公司。同时，还要保证c i 洲系统和已经运行的金蝶e r p 系统的协调合作，在位于公司总部的c i 洲系统和位于工厂的e i 冲系统之间建立安全的连接，而且需要两地的局域网可以互相访问。2 1 2v p n 系统配置公司的部门分为销售部、市场部、财务部、人力资源部、生产部以及采购部六大部门。其中生产部门和采购部门设在松江，而销售部、市场部、财务部以及人力资源部则位于徐汇区。鉴于公司的分布和业务状况，公司采用a c c e s s ) n 作为公司总部到各分公司员工之间的连接，而采用i n 仃a n e t ，n 的方案连接总部和工厂以确保两地实现局域网的互联。公司) n 网络拓扑如图2 1 所示：l o东华大学硕士学位论文拣赙公司公司公司图2 1 公司) n 网络拓扑图为了实现前面提到的应用需求，我们分别在总部的，n 网关上配置两条v p n 连接，其中一条用于实现总部和工厂之间的v p n 隧道连接，另一条用于为各个v 】) n 终端( 包括各分公司的远程办公人员) 提供远程接入服务，使之能够随时随地登录公司总部的c i 洲系统。这种) n 架构不仅满足了公司员工的远程办公的需求，并且使异地的c r m 和e r p 系统能够实现虚拟专线互联，保证大数据量的安全传输。公司总部采用华为q ! u i d w a y 3 6 0 0 e - 1 路由器，工厂采用q u i d w a yr 2 6 3 0 - e 路由器以实现最好的兼容性与安全性。异地分公司的销售人员则通过i s d n 等拨号上网方式连接i n t 锄e t 网络并访问公司) n ，实现远程安全访问c i w 系统。2 2v p n 特点及安全机制2 2 1v p n 特点1 安全保证虽然实现v p n 的技术和方式很多，但所有的v p n 均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用口网络上建立一个逻辑的、东华大学硕士学位论文点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性【捌。在安全性方面，由于v p n 直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其v p n 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。e x 仃a 1 1 e t ) n 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求2 服务质量保证( q o s ) n 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证p n 服务的一个主要因素；而对于拥有众多分支机构的专线) n 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用( 如视频等) 则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建p n 的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。q o s 通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生【2 3 1 。3 灵活性和扩展性) n 必须能够支持通过h l 乜孤e t 和e x 缸觚e t 的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。4 可管理性从用户角度和运营商角度应可方便地进行管理、维护。在v p n 管理方面，) n 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的v 】附管理系统是必不可少的。烈管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等1 2东华大学硕士学位论文优点。事实上，v p n 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、q o s 管理等内容。2 2 2i ps e cv p n 基本框架v 】) n 的实现包含管理模块、密钥分配和生成模块、身份认证模块、数据加密解密模块、数据传送模块几部分【2 4 】。1 ) 管理模块负责整个系统的管理，可以决定传输模式、密钥生成、分配方式，数据包加解密模式等。2 ) 密钥管理模块负责完成身份认证和数据加密所需的密钥生成和分配。密钥的生成采取自动手动随机生成的方式，密钥的分配采用手动、非网络传输分配的方式。3 ) 身份认证模块对口数据包完成数字签名的运算与认证。数字签名在保证数据完整性的同时也起到了身份认证的作用数据加解密模块完成对i p 数据包的加密和解密操作。4 ) 加密算法有对称加密算法和非对称加密算法( 如d e s 算法和d e a 算法) ，也可以采用专用硬件的方式实现数据的加密和解密。5 ) 数据传送的实现包含数据分组的封装模块和封装分解模块两部分。当从安全网关发送口数据分组时，数据分组封装、分解模块为p 数据分组附加上身份认证头a h ( a l l 也e i l t i c a t i o nh e a d e r ) 和安全数据封装头e s p ( e n c 印s u l a t i n gs e c u r ep a v l o a d ) 。接收方收到数据分组时，数据分组封装、分解模块对a h 和e s p进行协议分析，并根据包头信息进行身份验证和数据解密。2 2 3i p s e cv p n 体系结构研究口s e c 工作在网络层，在p 层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。口s e c 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。口s e c 能提供的安全服务包括访问控制、无连接的完整性、数据源认证、拒绝重发、保密性和有限传输流保密性【2 5 1 。因为这些服务均在口层提供，所以任何高层协议均能使用它们，例如t c p 、u d p 、i c m p ( c tc o n 臼0 1m e s s a g e1 3东华大学硕士学位论文p r o t o c o l ：因特网控制报文协议) 等等。这些安全服务是通过使用两大传输安全协议，头部认证( a h ) 【2 6 】和封装安全负载( e s p ) 【2 7 1 ，以及密钥管理等协议来完成的。所需的i p s e c 协议内容及其使用的方式是由用户、应用程序、组织对安全和系统的需求来决定。i p s e c 体系结构如图2 2 所示：! 厂二l 一主一一解释域( d o i )k t j图2 2 p s e c 体系结构图邛s e c 整个协议结构中包含众多协议和算法，上图显示出了s a 的各个组成部分以及它们的关系。1 a h 协议即分组头认证协议，在i 强c 1 8 2 6 和2 4 0 2 中定义了a h 协议，用来提供数据完整性、数据源认证以及可选的反重传服务。a h 包头用于保证数据包的完整性和真实性，防止黑客截获数据包或插入其他的伪造的数据包。考虑到计算效率，a h 没有采用数字签名，而是采用了哈希算法来对数据包进行保护。a h 在p 数据包中的位置如图2 3 所示：图2 3a h 处理示意图2 e s p 协议即封装安全有效净荷协议，它提供数据保密性、完整性、拒绝重发、以及有限传输流量的保密 2 8 】。该协议主要是为口层提供加密保证及数据1 4东华大学硕士学位论文源的省份认证。e s p 协议主要用来处理对口数据包的加密。该协议是一种与具体加密算法相独立的安全协议。该协议几乎支持所有的对称密钥加密算法，例d e s 、3 d e s 、d e a 、r c s 等加密算法【2 9 1 。e s p 在口数据包中的位置如图2 4所示：i pt c pd a t ai p 2e s pi pt c p d a t at r a i l e ra u t h图2 - 4 e s p 处理不恿图3 以上两种协议都是网络层安全协议，但二者的侧重点不同，主要体现在认证、保密和拒绝重发功能上。1 ) 认证a h 协议和e s p 协议都提供认证服务功能。a h 协议是专门用来提供认证保护；e s p 协议的认证服务是它的选项。e s p 提供的认证服务范围要比a h 的小，即e s p 头之前的d 报文部分不会被保护；而a h 协议认证了几乎所有的口报文字段【3 0 1 。2 ) 保密a h 协议不提供保密服务，而e s p 主要用于数据保密。3 ) 拒绝重发a h 协议和e s p 协议都有拒绝重发的功能。但是e s p 协议必须要有认证机制的配合才能起作用。i p s e cv p n 的主要优点有一下三点：1 口s e c 工作于网络层，对终端站点间所有传输数据进行保护，而不管是哪类网络应用。它将公司远程客户端“置于 企业内部网，使远程客户端拥有内部网用户一样的权限和操作功能【3 l 】。2 口s e c 嘲要求在远程接入客户端适当安装和配置口s e c 客户端软件和接入设备，这样由于受到特定接入设备、客户端软件的限制，提高了安全级别。3 易于配置，降低了部署v p n 环境的风险和成本。东华大学硕士学位论文2 2 4i p s e cv p n 的缺陷及改进1 防火墙穿越技术增强安全就要以牺牲性能为代价，在口s e c 的实施过程中，安全与性能往往会顾此失彼，d s e c 会增加延迟和降低吞吐量。在建立隧道之后，i p s e c 网关将对输出的业务负载进行加密，并对输入网络的业务负载进行解密。加密和解密需要大量的计算，而计算的开销意味着通过i p s e c 隧道的吞吐量将受到网关的加密与解密能力的限制【3 2 】。从对强s e cv p n 的研究与分析可知，报文的p 头中的协议字段是e s p 协议号5 0 ，或者a h 协议号5 1 ，而不是传统的t c p 协议号6 和u d p 协议号1 7 。那么当这种报文经过防火墙网络的时候，严格的防火墙规则可能会阻止p s e c报文的通过。同时如果网络中存在n a l ( n e 储o r k a d d r e s st r a l l s l a t i o n ：网络地址转换) 设备，由于n a t 设备需要检查和修改报文的端口地址，但是i p s e c 报文把这些信息全部进行了加密保护，也就使得n a t 设备会对报文做出错误的处理。因此从这些方面可以看出，p s e c 报文穿过具有访问控制功能的网络环境的时候，会由于协议和规则的兼容性问题，而造成通信阻塞( 3 3 3 4 3 5 ，3 6 1 。针对n a = r 的穿越问题，i e t f 制定了口s e c 进行n a t 穿越的协议n 御盯。n 触盯协议的基本思路是在p s e c 封装好的数据包外再进行一次u d p 的数据封装，这样当此数据包穿过上层n a t 网关时，被修改的只是最外层的口加d p 数据，而对其内部真正的口s e c 数据没有进行改动。在目的主机处再把外层的m 肘d p 封装去掉，就可以获得完整的口s e c 数据包。2 隧道交换技术传统的v 】) n 体系架构中，在数据包开始传输的时候，通过读取路由表中的路由信息，确定唯一一条隧道通路，数据包按照隧道进行数据的传输【3 7 】。由于端到端之间的隧道被唯一固定，在传输负载加大的同时，单条隧道的拥挤程度也会逐渐增加。n 隧道交换技术能够将来自某条隧道的信息流经过一定的处理，查询虚拟的交换路由，转发到另一条不同的隧道中，使之沿着新的隧道继续向前传输【3 8 1 。因此，隧道交换技术能够有效的提高、伊n 组网的灵活性和可扩展性。现有的n 技术都是在专有网络的边缘一防火墙以外或两道防火墙之间的非军事一1 6东毕大学碗十学位论文区( d m z ) 结束隧道，而隧道交换技术的采用，使v p n 可以安全地跨越防火墙延伸到企业网内部特定的隧道终端。2 4l p s e cv p n 性能分析构建完整的v p n 网络环境，稳定性是重要的考虑因素，主要表现在吞吐率、延时和最大连接数量三个方面。实施i p s e c 所带来的延迟增加与吞吐量减小会干扰网络的当前应用，并在总体上降低网络性能。通过i c m p 的a c e n 命令和p l n g 命令对v p n 网络的吞吐量和延迟作简单的测试工作。i c m p 是一个“错误侦测与回报机制”，其目的就是让我们能够检测网路的连线状况，也能确保连线的准确性。图2 5 为工厂e r p 服务器到公司的c r m 服务器数据包的路径分析，其中公司的i p 地址为2 2