系统分析师论文范文：远程接入中安全访问控制.doc

远程接入中的安全访问控制 　　VPN技术、防火墙的安全过滤技术、三层交换机的路由和控制技术共同实现了远程用户对企业不同应用域的安全访问控制。　　大型企业通常会有若干分驻全国各地的分支机构和为数不少的出差人员，为了解决这些员工的远程办公问题，使他们能够及时了解企业运转情况和参与生产、经营、管理工作的流程运转，远程接入成为一个现实的需求。而VPN的出现使得安全、经济地实现远程办公成为可能。通过VPN接入，企业可以保证出差在外的员工访问公司里的信息，更进一步，通过笔记本电脑和一张带基于VPN的CDMA1X卡，员工可以真正实现随时随地访问企业局域网的愿望。　　远程访问的主要技术手段　　附图是某大型供电企业网络远程访问系统的拓扑图，主要由VPN客户端软件、VPN客户端E-Key、VPN网关、密钥管理中心、防火墙和策略路由交换机组成。该系统解决了企业员工通过多种网络环境，利用互联网通道访问企业内部网络资源的需要。通过身份认证系统确保了远程网络用户的真实性；通过对网络传递数据的加密，确保了网络传输数据的机密性、真实性和完整性；通过对用户的分级管理和访问管理域的划分，设定了不同类别的认证用户对OA办公区域、输变电生产管理区域、配网生产管理区域、市场营销管理区域等不同应用区域的访问权限，有效降低了企业信息资源的潜在风险。　　如附图所示，系统主要采用了PKI技术、IPSec技术、防火墙技术和策略路由交换技术。其中，IPSec技术是一个关键组成部分，而经济、灵活、安全是该企业选择IPSec技术的主要原因。　　经济：不用承担昂贵的固定线路的租费。DDN、帧中继、SDH的异地收费随着通信距离的增加而递增，分支越远，租费越高，而基于Internet则只承担本地的接入费用。此外，VPN设备功能强劲但造价低廉。　　灵活：连接Internet的方式可以是10M、100M端口，也可以是2M或更低速的端口，还可以是便宜的DSL连接，甚至可以是拨号连接。　　广泛：IPSecVPN的核心设备扩展性好，一个端口可以同时连接多个分支，包括分支部门和移动办公的用户，而不像SDH、DDN等一个端口对应一个远端用户。　　多业务：远程的IP话音业务和视频也可传送到远端分支和移动用户，连通数据业务一起，为现代化办公提供便利条件，节省大量长途话费。 　　安全：IPSecVPN的显著特点是它的安全性，这是它保证内部数据安全的根本。在VPN交换机上，通过支持所有领先的通道协议、数据加密、过滤/防火墙、通过Radius、LDAP和SecurID实现授权等多种方式保证安全。同时，VPN设备提供内置防火墙功能，可以在VPN通道之外，从公网到私网接口传输流量。　　系统的实现　　该大型企业采用北电的PP8606路由交换机，以提供不同应用安全域的网段划分和策略控制。同时，部署有带VPN功能的NetEye防火墙，它集VPN网关、密钥管理中心、防火墙于一体，提供密钥的生成、管理与分发，完成认证区域的划分、用户的接入和用户的认证、用户IP地址的分配与访问控制功能。　　1.通信密钥的生成与管理。VPN网络安全的关键是保证整个系统的密钥管理安全。NetEyeVPN采用基于PKI的密钥管理框架，实现安全可靠的密钥分发与管理。　　密钥管理中心设立在网络中心。登录密钥管理中心后，在密钥加密卡内生成RSA公私钥对，通过使用专用的密钥加密卡作为密钥传递介质，并采用密钥加密密钥，保证了密钥颁发过程中的安全性。然后通过密钥管理中心，添加VPN网关的IP地址和密钥交换端口信息，生成网关密钥和全局公钥文件，全局公钥文件使用管理中心的私钥签名，可以防止在传送过程中被替换或篡改。 　　2.VPN网关的密钥配置及用户E-Key的生成。上载合适的License许可后，就开启了NetEyeVPN防火墙的VPN功能，形成VPN网关。对VPN网关注入密钥管理中心生成的网关密钥对和全局公钥文件后，就可以在VPN网关上建立用户认证域。创建时可以选择本地认证或Radius认证，在认证域中创建用户，添加用户名和用户密码信息，生成用户E-Key。用户E-Key主要保存用户认证证书文件和用户名信息，以增强用户认证的安全性。 ????? 3.用户的登录认证与数据传输安全性的保证。当VPN用户通过VPN客户端软件和VPN客户端E-Key对VPN网关发送连接请求时，VPN网关对VPN用户进行鉴别与认证。其中会话密钥按照IKE协议，自动协商生成，并用协商好的密钥对数据进行加密。用户认证成功后，通过创建SA以及SA的组合（AH、ESP、IPIP）建立远程用户的访问隧道。NetEyeVPN遵循IPSec(IPSecurity)安全协议，采用隧道方式为用户数据提供加密、完整性验证，并通过集成的认证服务，为信息传输提供安全保护。NetEyeVP