（计算机应用技术专业论文）xx建筑公司虚拟专用网的设计与应用研究.pdf

哈尔滨下程大学硕十学位论文 i i i i i i i i i i i i i i i i i i i i i i i i ；i i ；| i a i i i 置自i i i i i i i 一 摘要 建筑企业的特点是项目分散，跨地域运营，而管理却需要集中，所以， 建筑企业网络建设比其他行业建设要困难得多。在国际互联网迅速发展的基 础上，产生了虚拟专用网络技术，并开始将这些技术广泛用于企业网络建设 当中，它为建筑这类企业的网络建设开辟了一个新方向。本文结合x x 建筑 公司的实际，研究了如何应用虚拟专用网技术建设一个高效、安全和灵活的 虚拟网。 首先，本文深入剖析了虚拟专用网络的实现技术。 其次，本文全面分析了公司企业网络建设的状况，确定了现阶段公司网 络建设的目标，并指出，灵活的通信网络组建、访问者的身份识别和完善的 访问控制，是目前公司网络建设面临的主要问题。通过对虚拟专用网络技术 的优势分析，并与其他信息技术比较，本文认为该技术是解决上述三个问题 的最好办法，它实现了基于身份认证和经过授权的网络通信，从底层提供了 技术支持，具有安全性好、效率高、对用户透明的优点。 最后，在上述研究分析之后，本文研究了虚拟专用网络技术在公司通信 网络组建中的具体应用，并结合虚拟专用网络技术的应用，采取双因素动态 口令的身份认证技术和基于角色授权访问控制技术，设计开发了公司的身份 识别和访问控制系统。 关键词：虚拟专用网络；身份认证；建筑企业；访问控制 哈尔滨工程大学硕士学位论文 a b s t r a c t ni st h ec h a r a c t e r i s t i c so ft h eb u i l d i n gc n t 盯p r i s et h a ti t s 刚c c ii ss c a t t e r e d , c a r r y i n gi s 枷鹤t h el c g i o n b u tt h em a n a g e m e n tn e e d sc o n c e n w d t i o n , s o , b u i l d i n ge m e r p r i 鸵n e t w o r kd e v e l o p m e n t i sm u c hm o l ed i 纽b 1 l tt h a nt h a to f o t h e r i n d u s t r i e s o nt h eb a s i so ft h ef a s td e v e l o p m e n to fi n t e n g t , t h ev i r t u a lp f i v a t e n e t w o r kt e c h n i q u eg e n e r a t e d , a n di tb e g a nb e i n ge x t e n s i v e l yu s e df o re n t e r p r i s e n e t w o r k d e v e l o p m e n t s , i te s t a b l i s h e d - n e wd i r e c t i o n i nt h en e t w o r k d c - v c k , p m e n t so ft h i st y p eo fe l t t e r p g i 鸵a sb u i l d i n g c o m b i n i n gt h ea c l m a l i t yo f x xb i | j l d i 唱c o m p a n y , t h i sp a p e rn 鼬a c b e db o wt oa p p l yt h ev i r t u a l 硼坩把 n c t w o d ct e c h n i q u et os c t 叩锄e f f i c i e n t , s a f ea n dv i v i dv h t o a lp r i v a t en e t w o r k i r t r s t , 也j sp a p e rd e e p l ya n a l r s e dt h er e a l i z a t i o nt e c h n i q u eo fv i r t m dp r i v a t e n e t w o r k 一 n e x t , t h i sp a p e r a n a l y z e d t h es i t u a t i o no ft h e c o m p a n y n e t w o r k d e v e l o p m e n t sc o m p l e t e l y , m a d es u 托t h eo b j e c to fc u r r e n tc o m p a n yn e t w o r k d e v e l o p m e 飚，a n dp o i n t e do u tt h a tt h em a i np l 曲l 删略o ft h ec o m p a n y n e t w o r k d e v e l o p m e n t si st h ev i v i dt e l e c o m m u n i c a t i o nn e t w o r kc o n s t r u c t i o n , t h ev i s i t o r s i d e n t i f i c a t i o na u t h e n t i c a t i o na n dt h ep e r f e c ta c c 嘟c o n t r o ln o w b ya n a l y s i n gt h e a d v a n t a g eo fy i r h l a lp r i v a t en e t w o r ka n dc o m p i n gw i t ho t h e r i n f o r m a t i o n t e c h n i q u e ，t h i sp a p e rp o i n t so u tt h a tt h i st e c h n i q u ei st h eb e s tw a y t os o l v et h e a b o v l ：t h r e e p r o b t e m s , i tn 墙l i z c s t h en e t w o 呔t e l e c o m m u n i c a t i o nt h r o u g h a u t h o r i z a t i o nb a s e d 蛐i d e n t i f i c a t i o na u t h e n t i c a t i o na n dp r o v i d e st h et e c h n i q u e s u p p o r tf r o mt h eb o t t o ml a y e r , h a v i n gt h e s ea d v a n t a g e so fg o o ds a f e t y , h i g h e f f i c i e n c ya n dt r a n s p a r e n c yt oc u s t o m e r ， f i n a l l y , a f t e ra b o v er e s e a r c ha n da n a l y s i s , t h i sp a p e rl z s e a c h e dt h ec o n c r e t e a p p l i c a t i o no ft h ev i r t u a l 两v a t cn e t w o r kt e c h n i q u ei nt e l e c o m m u n i c a t i o nn e t w o r k c o n s t r u c t i o no ft b ec o m p a n y , t h e nc o m b i n i n gt h ea p p l i c a t i o n o ft h ev i r t u a lp r i v a t e n e t w o r kt e c h n i q u e , d e s i g n e da n dd e v e l o p e dt h ei d e n t i f i c a t i o na u t h e n t i c a t i o n s y s t e ma n da c c e s sc o n t r o ls y s t e mo ft h ec o m p a n yw i t ht h ct e c h n i q u eo fd y n a 吨， 哈尔滨工程大学硕七学位论文 誓_ _ _ _ l i - i _ _ 置i 置_ 一 p a s s w o r d sb a s e do nap a i ro ff a c t o r sa n dt h et e c h n i q u eo f a c c c s sc o n t r o lb a s e do n k e yw o r d g ； v h 瞳u a l f i v 蹴m w a r t ；“砸碰i 囱6 0 n 卸出嘶哑蛐b u i l d i n g e n t e r p r i s e ；a c c e m c o n u o l 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导 下，由作者本人独立完成的。有关观点、方法、数据和文 献的引用已在文中指出，并与参考文献相对应。除文中已 注明引用的内容外，本论文不包含任何其他个人或集体已 经公开发表的作品成果。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到 本声明的法律结果由本人承担。 作者( 签字) ：2 塑 日 期；) 唧年月罗日 哈尔滨丁程大学硕十学位论文 皇一i r ii i 第1 章绪论 1 1 问题的提出及研究的意义 1 1 1 问题的提出 随着企业规模的不断扩大和企业业务的不断扩充，企业的范围也不断扩 大，企业跨地区、跨国发展成为一种趋势随着企业的不断发展，与此同时随 着互联网络的迅猛发展为企、事业发展带来了前所未有的机遇和挑战。建设 电子政务、电子商务系统，构筑政府、企业网络平台，推进政企弼公网络化、 自动化，全面实现信息共享、交流与集成已是发展的必然。企业建立自己的 计算机信息网络处理方式，实现办公自动化，完成从单机使用到网络化、从 酱通信息管理系统到信息支持决策系统、从规范化系统到智能化系统的过渡， 从一个本地网络发展到跨地区跨城市甚至是跨国家的网络，是企业生存发展、 进步的必然选择【l 】。 x x 建筑公司是一个市场化运作的企业，面向市场，自负盈亏。由于企 业的经营是以施工建设工程项目为主，所以公司的办公地点十分分散，最远 的办公地点距离公司总部在在1 0 0 公里左右，进行跨市甚至跨省施工。这样 就造成公司运营效率低下，分支机构对信息和反应迟钝，总部和其下属分支 机构联系不畅通，管理成本居高不下，还存在许多管理漏洞。鉴于这种状况， 公司领导寄希望于建设一个企业网络体系，以此束提升公司运营效率，加强 市场信息搜集和开发利用，降低管理成本，堵住管理漏洞。但是，根据公司 目前的实际状况，公司还不能在网络建设上投入过高，而且由于随着项目的 撤离办公地点也随之发生改变，所以公司希望尽可能地保护已有的投入，降 低变动后的追加投资。 根据公司管理运营的需要和要求，作者对其他公司的网络建设状况进行 了考察。研究后发现，如果公司采用现有的局域网和广域网技术，网络建设 哈尔滨1 = 程大学硕士学位釜文 就根本无法完成，因为仅通信网络建设这块投入就已经超过整个系统建设的 全部预算。然而作者在考察中还发现了另外一种新兴的、完全不同的组网 技术虚拟专用网络( v m u a lp r i v a t en e t w o r k , v p n ) 。在上个世纪末，随 着宽带接入国际互联网技术的成熟和费用的降低，充分利用国际互联网资源 的v p n 技术正在飞速发展，并开始应用于企业网络建设当中，为企业网络体 系建设牙辟了一个新的方向。因此，如何结合企业网络建设的实际状况和该 公司的发展规律，将v p n 技术应用到该公司网络建设当中，成为本文研究的 课题。 1 1 2 课题意义 本文希望通过对v p n 技术及其在x x 建筑企业网络建设中的应用研究， 能够为那些想突破地域限制开展业务的中小企业，提供了一个经济、实用网 络体系建设思路；也为那些想创业的有识之士指出了一个方向，在国际互联 网上深入耕耘开发。尤其是我国现阶段的信息化建设更需要深化信息技术特 别是网络的应用。本文的研究能够在这方面做一有益尝试，为丰富我国网络 建设的应用抛砖引玉。 1 2 建筑企业网络建设的状况及分析 1 、计算机已经普及化，单位局域网初见规模。勘察设计类企业已脱离了 手工作业。这类企业是我国信息化建设起步较早、发展较快、效益也比较高 的行业。扶上个世纪八十年代后期开始推广采用c a d 、三维动画、多媒体等 技术手段，开发建设设计与管理集成化、智能化应用系统，目前，c a d 普及 率达8 5 ，甲乙级设计单位计算机出图率己达到1 0 0 ，彻底把工程设计人 员从传统的绘图中解放出来。大大缩短了设计周期，使方案的比选、优化更 为直观，提高了设计质量，经济效益十分显著。设计院在国际化工作方式中， 对与国际接轨的理解和认识有很大的进步。 计算机出图率1 0 0 ，图纸报批实行电子报批方式( 此方式由2 0 0 4 年全面 2 哈尔滨1 = 程大学硕十学位论文 i1 1 i j 自i i i i i 目；j i i i i i i ；i i i i | 目j _ 实旌) 。其中中国建筑设计研究院、中原国际工程设计研究院、北京建筑设计 院都创建了企业内部网、企业外部网，每一终端都可以实时连接互联网。中 国建筑设计研究院可以通过公共服务器f t p 提供开放区域，在这个区域中可 以实现异地设计及建筑勘测设计阶段各流程环节的图纸传送、查看、意见反 馈等。 2 、建立了行业性的网络系统。在建筑施上类企业，己开始应用计算机辅 助施上系统( c a c ) 、计算机辅助的建设工程项目管理等。一些建设工程管理 部门己经建立了覆盖管理业务职能的计算机管理信息系统，对促进建筑业科 学管理起到了良好的激励作用。目前，全国建立的3 0 0 多个有形建筑市场， 将收集、发布工程信息、企事业单位的资源信息、建筑材料价格及工程建设 法规政策信息和业务流程计算机管理融为一体，有的还实现了区域性联网。 中国工程建设信息网己与全国1 0 0 多个城市招投标办联网。 ( 1 ) 按工程项目建设各阶段需要的单项软件开发蓬勃发展。在建设工程 项目管理上有许多项目用项目管理软件进行管理控制，也有很多种类的项目 管理软件被使用。 ( 2 ) 建筑企业开始重视建设工程项目的信息管理 国内一些特级和一级建筑企业，无论在信息技术基础设施建设还是有关 专业领域应用方面，都取得了可喜成绩。根据不完全统计，国内建筑企业微 机拥有量达到1 5 0 万台。不少企业开始重视工程项目信息管理，并可能在不 久的将来有所突破。特级建筑企业与大部分一级建筑企业，普遍建立了企业 互联网站。电子邮件己成为建筑企业信息交换的工具之一。信息技术应用增 强了企业的核心竞争力，提高了企业的效能与效率。 国内己经有许多企业开始借助自身的行业优势，吸收最先进的网络技术， 来获得新的发展机会。例如，易建科技公司目前已经依托沿海国际控股集团 的优势，并利用自身在建筑、咨询、商业、管理等方面的优势，积极策划推 广互联网在建筑行业的应用，并推出了建筑行业首家电子商务网站( w w w 3 哈尔滨下程大学硕士学位论文 e b i l i l d s n e t ) 3 、城市的信息化为建筑企业的网络建设发展奠定了基础。在城市规划行 业，以卫星定位、遥感和地理信息系统技术为核心的地理空间信息技术在城 市规划、建设与管理实践中得到广泛应用。目前许多城市己经建立起城市基 础地理信息系统。信息技术在城市市政公用事业中的应用，有力地促进了城 市运行效率和服务水平的提高。全国所有大城市、大多数中等城市都建立了 计算机辅助供水监测调度系统。 4 、相关行业的信息系统对建筑业信息需求加大。在房地产行业，不少地 区建立了建筑工程管理信息系统、产籍产权管理信息系统、物业管理信息系 统、房地产项目管理系统等应用系统，并逐步探索建立房地产市场预警预报 体系。这些系统的应用，对改变房地产行业传统的经营、管理模式，提高服 务水平，起到了积极的作用。 、 作为关系到国计民生的重要行业，建筑企业有着十分显著的特点。它以 房屋建设为主，通常一个项目就是一项复杂的系统工程。从工程立项到概预 算的编制、招投标管理以及旖工、建设等，涉及面广，参与单位和人员多。 因此，建筑行业是公认的上下产业链长、数据量大、投资周期长、不确定和 风险程度高的产业，对信息的互通性和共享性要求很高，能快速便捷的得到 相关信息以对出现的状况作出及时的调整。因此，所以建筑企业对网络的需 求一直十分强烈。 1 3 国内外虚拟专用网技术的研究及应用现状 v p n 是一种新型的远程网络访问技术，它的出现已有好几年的历史，但 在近两年内得到了企业用户的广泛关注。越来越多的网络设备开发、生产商 投入到v p n 设备的开发和技术支持。 1 3 1 国外虚拟专用网技术的研究及应用 1 9 9 4 年1 0 月，互联网工程任务组( i n t e m e t e n g i n e e r t a s k f o r c e ，i e t f ) 4 哈尔滨丁程大学硕七学位论文 发布了r f c l 7 0 0 文件。在这个文件中，作者们定义了一个隧道方法，他们称 之为口mi pe n c a p s u l a t i o np r o t o c o l p a y l o a dn u m b e r 4 。同月，i e t f 又发布了 r f c l 7 0 1 文件，即通用路由选择封装协议( g r e ) 。这个文件进一步定义了 r f c l 7 0 0 描述的过程。这是将隧道( 建立虚信道) 和加密( 进行数据安全) 相结合的第一个描述，是最早的真正，n 技术的文字报道m 。时隔几年，利 用i p 网络，尤其是利用国际互联网建设专用网络的应用逐步开展起来。本文 主要讨论的就是这种基于i p 网络的v p n 技术，只称为i p - v p n 技术。 按照开放系统互联( o s i ) 的参考模型，根据v p n 技术的隧道发起的层 次不同，v p n 技术可以划分为二层和三层技术。二层v p n 技术主要有点对 点隧道协议( p p t p ) 、第2 层转发协议( l 2 f ) 、第2 层隧道协议l 2 t p ，三层 v p n 技术主要有m 安全协议( 口s ) 。 p p t p 协议是将p p p 数据桢封装在坤数据报内通过i p 网络传送。p p t p 协议、鼍搿连接的思路通常是先将客户通过p p p 协议拨号连接到i s p ，然后通 过p p t p 协议在客户端与目的v p n 中心网络服务器之间开通一个专用v p n 隧道，把客户的数据传输过去。r f c 文件“点对点隧道协议”对p p t p 协议进 行了说明和介绍。该文件由p p t p 论坛的成员，包括微软、a s c e n d 、3 c o m 和 e c i 等公司在1 9 9 6 年6 月提交至i e t f 。 l 2 f 是c i s c o 公司提出隧道技术，作为一种传输协议l 2 f 支持拨号接入 服务器，将拨号数据流封装在p p p 桢内，通过广域网链路传送到l 2 f 服务器 ( 路由器) 。它也支持多种协议的连接，但主要用于思科公司的路由器和拨号 访问服务器之间通信。 c i s c o 、a s c e n d 、m i c r o s o f t 和r e d b a c k 公司的专家们在修改了十几个版 本后，终于在1 9 9 9 年8 月公布了l 2 t p 标准的文件r f c 2 6 6 1 。l 2 t p 作 为一种网络层协议，也是p p p 协议的扩展，它综合了p f r p 和l 2 f 两个隧道 协议的优势，支持封装的p p p 桢在口、x 2 5 、桢中继或a t m 等的网络上进 行传送。当使用m 作为l 2 t p 的数据报传输协议时，还可以使用l 2 t p 作为 5 哈尔滨丁程大学硕十学位论文 i m e m e t 网络上的隧道协谢引。 最初的一组有关i p s e c 标准由i e t f 在1 9 9 5 年制定，但由于其中存在一 些未解决的问题，从1 9 9 7 年开始i e t f 又开展了新一轮的i p s e e 的制定工作， 截止至1 9 9 8 年1 1 月份主要协议已基本制定完成。在1 9 9 9 年底，i e t f 安全 工作组又进行了i p s e c 的扩展，在i p s e c 协议中加上i s a k m p ( i n t e 】m e ts e c u r i t y a s s o c i a t i o na n dk e ym a n a g e m e n tp r o t o c 0 1 ) 协议和密钥分配协议i k e 、o a k l e y 。 i s a k m p i k e o a k l e y 支持自动建立加密、认证信道，以及密钥的自动安全分 发和更新。i p s e e 是一个标准的第三层安全协议，它定义了一套用于保护私 有性和完整性的标准协议。i p s e e 支持一系列加密算法如d e s 、3 d e s 。它能 做到检查传输的数据包的完整性，以确保数据没有被修改，具有数据源认证 功能。i p s e c 还可确保运行在t c p i p 协议上的 n 之间的互操作性。它用于 0 现在，i p s e c 标准正发展成为m v 6 的重要组成部分嘲。 此外，还有一种介于二层和三层之间的v p n 技术一多协议标记交换虚 拟专用网络技术( m u l t i p r o t o c o ll a b e ls w i l c h i n gv p n ，m p l sv p n ) 近几年正 在快速发展。 1 9 9 6 年，i p s i l o n 公司推出了i ps w i t c h i n g 协议，弃用a t m 控制平面，高 效地集成a t m 交换机与i p 路由器，使之具有a t m 交换机的高性能，突破传 统路由器的性能限制。i ps w i t c h i n g 的提出，引发了路由技术的一次革命。各 公司纷纷推出自己的三层交换方案，其中c i s c o 公司推出t a gs w i t c h i n g 技术， 并提出要使之标准化。在该公司提出了一系列有关标签交换的草案以后不久， 1 9 9 6 年l o 月份，正t f 召开了一个筹备组会议，c i s c o 、i b m 、t o s h i b a 等公 司均参加了这次会议。1 9 9 7 年，i e t f 成立一个工作组，经过多次商讨，m p l s 这个术语被确定，并作为独立于各厂商的一系列标准的名称”o l 。 现在，m t f 有以下两个工作小组正在对v p n 技术进行标准化，以便利 于推广： ( 1 ) i e t fp p v p n 工作组p p v p n 是指由运营商参与管理和实施的 6 哈尔滨1 = 程大学硕十学位论文 v p n 。i e t f 新近成立的p p v p n 工作组主要是负责定义和规范少数几组用于 支持运营商实施的v p n 方案。该工作组的目的并不是要开发新的协议或扩展 现有的协议，而是将多种v p n 技术整合在一起形成特定的v p n 业务方案， 开发出框架文件、业务需求文件以及若干技术文件，以加速不同v p n 技术实 现之间的互通性。框架文件定义了组建和部署p p v p n 的通用组成部分，提 出了p p v p n 目前的主要研究内容，包括基于网络的二层v p n 、基于网络的 三层v i n 以及运营商参与实施的基于用户设备( c e ) 的管理型的v p n 。业 务需求文件提出了p p v p n 必须满足的要求。尤其是根据未来几年用户的数 量、复杂性以及客户v p n 变化的频率，提出了对p p v p n 的安全性、可扩展 性以及可管理性的要求。p p v p n 工作组考虑到了b g p v p n ( 如r f c2 5 4 7 ) 、 虚拟路由器以及基于端口的v p n ( 比如运营商在i p 上提供a t m f r e t h e m e t 等二层接口) 3 种方式的v p n 。另外，该工作组也考虑到了跨自制域( a s ) 或跨运营商的v p n 的互联问题。该工作组目前已经提出的草案有p p v p n 框 架、p p v p n 业务要求、二层v p n 体系结构、基于r f c 2 5 4 7 的b g p m p l sv p n 以及p e - p e 的i p s e c v p n 等。 ( 2 ) i e i fp w e 3 工作组运营商正在寻求通过一种公用的分组交换网 络( p s n ) 来提供多种业务的方式。新近成立的m t fp w e 3 工作组已经开始 了 a t m f r s d h d w d mo v e ri p ”、 e t h e m e to v e ri p ”的v p n 技术的研究，该 研究的目的是在伊包交换网络上提供如a t m f r 电路的仿真业务和v l a n 业务。p w e 3 是边缘到边缘伪线路仿真( p s e u d og r l r e se d g e t o e d g ee m u l a t i o n ) 的编写，“伪线路”就是通常所说的隧道技术。从用户的角度看，伪线路就是 其选择的业务所使用的不共享的链路或电路。p w e 3 关注的是特定业务伪线 路的边缘到边缘的仿真以及维护机制，其封装技术可以使用i p v 4 1 p v 6 、l 2 t p 或m p l s 。p w e 3 并不打算对下层分组交换网做改动，而只是工作在伪线路 的两个端点。如果需要，p w e 3 将使用r 1 p 协议传递时钟信息。该工作组的 主要目标是开发封装和仿真业务的伪线路标准：封装到达逻辑接入端1 ：3 的特 7 哈尔滨下程大学硕士学位论文 定业务的数据传输单元，通过一条隧道加以承载，并管理时间标记、顺序以 及其他进入和离开隧道的信息，以最大限度地仿真业务的行为和特征【l i l 。 v p n 技术在网络的应用主要有三种方案，分别是虚拟专用拨号网 ( v p d n ) 、企业内部虚拟网( i n t r a n e t v p n ) 和企业扩展虚拟网( e x t r a n e t v p n ) ， 这三种类型的v p n 分别与传统的远程访问网络、企业内部的i n t r a n e t 以及企 业网和相关合作伙伴的企业网所构成的e 船a n c t 相对应。 v p d n 是在远程用户或移动雇员和公司内言网之间的v p n ，实现过程如 下：用户拨号网络服务提供商( n s p ) 的网络访问服务器( n e t w o r ka c c e s s s e r v e r ，n a s ) ，发出p p p 连接请求，n a s 收到呼叫后，在用户和n a s 之间 建立p p p 链路，然后，n a s 对用户进行身份验证，确定是合法用户，就启动 v p d n 功能，与公司总部内部连接，使其访问公司内部资源。 i n t r a n e tv p n 是在公司远程分支机构的局域网和公司总部局域网之间实 现互联的v p n 。通过i n t e m e t 这一公共网络将公司在各地分支机构的局域网 联到公司总部的局域网，以便公司内部的资源共享、文件传递等，可节省d d n 等专线所带来的高额费用。 e x t r a n e tv p n 是在供应商、商业合作伙伴的局域网和公司的局域网之间 实现互联的v p n 。由于不同公司网络环境的差异性，该产品必须能兼容不同 的操作平台和协议。由于用户的多样性，公司的网络管理员还应该设置特定 的访问控制表a c l ( a c c e s sc o n t r o ll i s t ) ，根据访问者的身份、网络地址等 参数来确定他所相应的访问权限，开放部分资源而非全部资源给外联网的用 户。 随着v p n 技术的成熟，国外许多新的v p n 技术应用正在探索之中，主 要有基于v p n 技术的语音、视频专用网络应用和基于移动v p n 技术的移动 办公应用。此外，基于应用层的v p n 技术也正在发展成熟，其中基于安全套 接尿s e e ms o c k e t l a y e r ，s s l ) 的v p n 技术正广泛应用于w e b 的保护之中【1 2 】。 8 哈尔滨_ t 程大学硕十学位论文 l - 3 2 国内虚拟专用网络技术的研究及应用 我国v p n 技术研究和应用起步较晚，直到1 9 9 9 年v p n 技术才在我国市 场出现。目前，中国i p 标准研究组已经起草完成了基于网络的i pv p n 框 架体系( 报批稿) 。该标准以正t f 的r f c 2 7 6 4 和i t u t 的y i p v p n 草案为 基础，制定了一个基于网络的m 路由、转发、q o s 、业务管理和业务提供等 能力。制定此框架目的是确保i pv p n 业务能够灵活跨越不同类型或不同运 营商的骨干网，使得i pv p n 真正成为一种可以管理、可以运营的i p 增值业 务1 1 3 1 。 在我国，v p n 技术的应用有两种形式：一种应用是以单独的产品形式存 在。如兴唐通讯、c h e c k p o i n t 等，此外，天融信推出了其单独的v p n 解决方 案，巨龙也推出了神獒v p n 产品；另一种应用则是作为防火墙的一个模块形 式，实现v p n 的功能，如东软、卫士通龙马、华为、联想、方正数码等厂商。 与此同时，电信运营商业也提供v p n 技术服务，来提高竞争力。2 0 0 1 年中国电信在中国宽带互联网上推出了基于m p l s 技术的i p v p n 业务，满 足其位于不同国际、国内城市分支机构问低成本、安全、快速、可靠的内部 通信需求。并于2 0 0 3 年在上海开发i p s e cv p n 虚拟网项目，2 0 0 4 年投入使 用。 中国网通也推出以高速宽带互联网为基础的m p l sv p n 服务，可使用户 实现全国范围内的内部网络高速互连。 中国移动的虚拟专用网包括v p n 和拨号v p n ( v p d n ) 两类。v p d n 主 要面向企业移动办公，应用主要面向银行、证券、政府、税务、海关、学校、 科研机构、大型工矿企业等全国范围或全省范围一勺集团客户。 2 0 0 2 年4 月，北京联通的c d m a 网络上的无线虚拟专n ( w v p n ) 业务在 北京正式放号，北京成为联通在全国第一个开放w v p n 业务的地区，这也是 联通c d m a 网络首个智能业务正式投入运营。今年下半年中国联通在全国范 围内即将推出被称为“网中网”的w v p n 业务。使用此项业务，集团内部用户 9 哈尔滨1 = 程大学硕十学位论文 互相联系时只需拨打c d m a 手机的最后四位号码。 铁通网络的虚拟专用两主要是建设铁路系统的三大m i s 系统( t m i s 、 p m i s 和d m i s ) ，实施“畅通工程”，推动铁路运输的信息化。在三大m i s 系 统的基础上，再帮助用户组建各种v p n 应用子系统。 据赛迪顾问预测，中国v p n 技术应用的增长超过网络安全产品市场的增 长速度，并且将在2 0 0 7 年达到5 4 3 亿元的市场份额f j 4 】。 经过一段时期的发展，v p n 技术的应用出现明显的两个趋势： 一是通信运营商对v p n 技术的需求逐渐高涨。随着语音、视频和数据业 务在基于i p 技术网络上的统一实现，通信运营商利用v p n 技术，能够实现 可管理的m 网络，并以此提高服务质量( q o s ) 和服务级n ( c o s ) ，保证企业视 频、音频会议或会话等更高要求的业务实现，做到通信增值服务。因此，近 几年来，m p l sv p n 技术被通信运营商广泛采用。 二是在国际互联网中进行商务活动的企业，对v p n 技术的需求越来越强 烈。v p n 技术，尤其是i p s c cv p n 技术可以提供十分安全的网络应用环境。 随着手机联入国际互联网技术成熟，i p s e cv p n 技术还可以扩展到移动网络 上。保护企业灵活的移动办公，满足企业在当今瞬息万变的商业环境进行快 速灵活的商业业务的需求。 1 4 本文研究的主要内容及结构 本文结合x x 建筑公司网络建设的实际，全面分析了x x 建筑公司网络 建设鸵现状及存在的问题，对v p n 技术的原理和优势进行了深入研究探讨， 并结合公司网络开发建设的实际，进行了v p n 技术在企业组网、身份认证和 访问控制三个方面的研究。 本文由四章组成。第一章为绪论，指出本文研究的背景和意义，介绍并 分析了建筑企业网络建设和国内外v p n 技术研究应用的状况，提出本文的主 要研究内容。第二章研究了v p n 实现的基础技术，以及典型的二层v p n 和 1 0 哈尔滨t 程大学硕士学位论文 三层v p n 技术实现细节。第三章对公司网络建设状况进行了全面分析，指出 公司网络建设的目标和存在的问题，对v p n 技术的优势进行了探讨研究，提 出v p n 技术可以在企业网络组建、身份认证和访问控制三个方面为网络建设 开发设计提供解决方案。第四章结合公司网络建设实际，研究了v p n 技术在 通信网络组建、身份认证和访问控制的具体应用。论文的最后给出了研究结 论。 哈尔滨工程大学硕十学位论文 第2 章虚拟专用网络实现技术研究 2 1 虚拟专用网络实现技术的基本要求 随着i n t e m e t 的迅速发展，越来越多的企业、组织和机构利用网络进行工 作。企业和组织利用网络把分布在全球各地的分支机构联系起来，并为自己 的远程公司员工提供远程接入服务。各种日常事务( 包括企业事务、商业事务、 政府事务等) 在网上进行。世界经济的网络化己经是实实在在的趋势。企业在 选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以 控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接， 不同分支机构之间的资源共享；又能够确保企数据在公共互联网络或企业 内部网络上传输时安全性不受破坏。因此，通常一个v p n 方案应当能够满足 以下所有方面的要求： ( 1 ) 用户验证v p n 技术必须能够验证用户身份并严格控制只有授权 用户才能使用v p n 。另外，v p n 技术还必须能够提供审计和记费功能，显示 何人在何时访问了何种信息。 f 2 、地址管理v p n 技术必须能够为用户分配专用网络上的地址并确 保地址的安全性。 ( 3 ) 数据加密对通过公共互联网络传递的数据必须经过加密，确保网 络其他未授权的用户无法读取该信息。 ( 4 ) 密钥管理v p n 技术必须能够生成并更新客户端和服务器的加密 密钥。 ( 5 ) 多协议支持v p n 技术必须支持公共互联网络上普遍使用的基本 协议，包括m ，i p x 等。 以点对点隧道协议( p p l p ) 或第2 层隧道协议( l 2 t p ) 为基础的v p n 方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的国际 1 2 哈尔滨丁程大学硕十学位论文 互联网络的优势。其它方案，包括安全碑协议( i p s e c ) ，虽然不能满足上述 全部要求，但是仍然适用于在特定的环境同。 2 2 虚拟专用网络实现技术基础研究 2 1 2 。1v p n 隧道技术分析 在v p n 中，通过采用一种所谓“隧道”的技术，模仿点对点连接技术，依 靠i s p 和其他的n s p 在公网中建立自己专用的“隧道”，让数据包通过隧道传 送，对不同的信息源，可以分别给他们开出不同的隧道。v p n 技术是建立在 隧道技术和网络安全技术基础之上的综合复杂的技术解决方案。 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方 式。使用隧道传递的数据( 或负载) 可以是不同协议的数据帧或包。隧道协 议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供 了路由信息，从而使封装的负载数据能够通过互联网络传递。封装是构建隧 道的基本手段。 被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被 封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到 达网络终点，数据将被解包并转发到最终目的地。隧道技术是指包括数据封 装，传输和解包在内的全过程1 6 1 。 隧道所使用的传输网络可以是任何类型的公共互联网络，本文主要以目 前普遍使用i n t 咖e t 为例进行讨论。此外，在企业网络同样可以创建隧道。 近几年不断出现了一些新的隧道技术，具体包括： ( 1 ) 点对点隧道协议( p p t p ) p p t p 协议允许对口，口x 或n e t b e u i 数据流进行加密，然后封装在m 包头中通过企业i p 网络或公共互联网络发 送。 ( 2 ) 第2 层隧道协议( l 2 t p )l 2 t p 协议允许对m ，e p x 或n e t b e u i 数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如口， 1 3 哈尔滨丁程大学硕十学位论文 x 2 5 ，够中继或a t m 。 ( 3 ) 安全i p ( i p s e e ) 隧道模式i p s e c 隧道模式允许对m 负载数据进 行加密，然后封装在口包头中通过企业口网络或公共口互联网络如i n t e m e t 发送。 为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。按 隧道协议的网络分层，v p n 可划分为第2 层隧道协议和第3 层隧道协议。隧 道技术可以分别以第2 层或第3 层隧道协议为基础。上述分层按照开放系统 互联( o s i ) 的参考模型划分。第2 层隧道协议对应o s i 模型中的数据链路 层，使用桢作为数据交换单位。p p t p 、l 2 p 和l 2 t p 都属于第2 层隧道协议， 都是将数据封装在点对点协议( p p p ) 桢中通过互联网络发送。球s e c 属于第 3 层隧道协议，第3 层隧道协议对应o s i 模型中的网络层，使用包作为数据 交换单位，都是将m 包封装在附加的口包头中通过p 网络传送【m 。m p l s 跨越第2 层和第3 层。v p n 的实现往往将第2 层和第3 层协议配合使用，如 l 2 1 1 p s e c 。当然，还可根据具体的协议来进步划分v p n 类型，如p p t p v p n 、l 2 t pv p n 、i p s e ev p n 和m l sv p n 等。 第2 层和第3 层隧道协议的区别主要在于用户数据在网络协议栈的第几 层被封装。第2 层隧道协议可以支持多种路由协议，如i p 、i p x 和a p p l e t a l k ， 也可以支持多种广域网技术，如帧中继、a t m 、x 2 5 或s d h s o n e t ，还可 以支持任意局域网技术，如以太网、令牌环网和f d d i 网等。另外，还有第 4 层隧道协议，如s s l v p n 。 根据v p n 隧道建立方式，可分为两种模型： 第一，自愿隧道( v o l u n t a r y t u n n e l ) 。 指客户计算机或路由器可以通过发送v p n 请求配置和创建的隧道。用户 或客广装； 算机可以通过发送v p n 请求配置和创建一条自愿隧道。此时，用 户端计算机作为隧道客户方成为隧道的一个端点。 这种方式也称为基于用户设备的v p n 。v p n 的技术实现集中在v p n 用 1 4 哈尔滨1 = 程大学硕士学位论文 户端，v p n 隧道的起始点和终止点都位于v p n 用户端，隧道的建立、管理 和维护都由用户负责。 当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟 连接时建立自愿隧道。为实现这一目的，客户端计算机必须安装适当的隧道 协议，寞匾隧道需要有一条口连接( 通过局域网或拨号线路) 。使用拨号方 式时，客户端必须在建立隧道之前创建与公共互联网络的拨号连接。一个最 典型的例子是i n t e r n e t 拨号用户必须在创建i n t e r n e t 隧道之前拨通本地i s p 取 得与i n t e m e t 的连接，i s p 只提供通信线路，不承担建立隧道的业务。 对企业内部网络来说，客户机已经具有同企业网络的连接，由企业网络 为封装负载数据提供到目标隧道服务器路由。 这种方式技术实现容易，不过对用户的要求较高。不管怎样，这仍然是 目前最普遍使用的v p n 组网类型。 第二，强制隧道( c o m p u l s o r y t u n n e l ) 。 指由v p n 服务提供商配置和创建的隧道。支持v p n 的拨号接入服务器 也可以配置和创建条强制隧道。此时，用户端的计算机不作为隧道端点， 而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户 端，成为隧道的一个端点。这种方式也称为基于网络的v p n 。v p n 的技术 实现集中在i s p ，v p n 隧道的起始点和终止点都位于i s p ，隧道的建立、管 理和维护都由i s p 负责。v p n 用户不承担隧道业务，客户端无需安装