ipsecvpn技术在中石油山东分公司的应用6vk5eud2.docVIP

山东大学硕士学位论文 摘要 以Ｉｎｔｅｒｎｅｔ为代表的全球信息化浪潮日益高涨，信息网络技术的应用正日益 普及，应用层次正在深入，应用领域从传统的、小型的业务系统逐渐向大型、关键 业务系统扩展，伴随着网络的普及，安全日益成为影响网络效能的重要问题，目 前，ＴＣＰ／ＩＰ几乎是所有网络通信的基础，而ＩＰ本身是没有提供“安全＂的，在传 输过程中，ＩＰ包可以被伪造、篡改或者窥视。针对这些问题，ＩＰＳｅｃ可有效地保 护ＩＰ数据报的安全，它提供了一种标准的、健壮的以及包容广泛的机制，可用它 为ＩＰ及上层协议（如ＵＤＰ和ＴＣＰ）提供安全保证。 ＩＰＳｅｃ技术产生的一个主要原因，就是在以ＩＰｖ４协议为基础的互联网上提供 安全性的增强，以抵御日益猖獗的网络安全威胁。基于该技术的ＩＰＳｅｃＶＰＮ也由 此成为用户所广泛看好的一种应用，其既保留了ＩＰＶＰＮ的灵活性，又克服了安全 方面的隐患，业已在网络中得到了相关的部署并成为未来ＶＰＮ应用的主流。据有 关资料显示，目前有意采用ＩＰＶＰＮ构建其网络的用户中，有超过５０％的用户看好 ＩＰＳｅｃＶＰＮ。 作为中国最大的石油天然气生产和供应商，中石油的分支机构众多，分布地 域广，有的甚至位于偏远地区，在其信息系统中有多个Ｉｎｔｅｒｎｅｔ接入点，并且各 个接入点分布在不同的ＩＳＰ网络中。因此，他们迫切需要一种成本低、安全性好、 扩展性强的解决方案，能够在不同的ＩＳＰ之间互通，并对接入域名和用户身份进 行统一管理，以便在公司总部和分支机构的各种应用系统之间构建起安全的应用 环境，确保业务持续的开展。中国联通利用自身优势成功中标中石油加油站ＶＰＮ 组网项目，为中石油全国上万家加油站提供服务，实现了中国石油总公对加油站 的扁平化管理。 本论文主要是对中石油山东分公司ＶＰＮ改造过程进行论述。设计思想是在网 络平滑过度的基础上实现对原网络的ＩＰＳＥＣ改造。ＩＰＳｅｃ是基于一组开放的网络 安全协议，业务数据流通过ＩＰＳｅｃ加密，ＩＰＳＥＣ能够提供服务器及客户端的双向 身份认证，并且为ＩＰ及其上层业务数据提供安全加密保护，能够支持数据加密（包 括常见的ＤＥＳ，３ＤＥＳ，ＡＥＳ加密算法），数据完整性验证，数据身份验证，以及防重 /台湾VPN 山东大学硕士学位论文 放等功能，充分保证业务数据的安全性。ＩＰＳｅｃＶＰＮ利用Ｉｎｔｅｒｎｅｔ构建三层隧道 ＶＰＮ的方式，可以允许用户以任意方式接入ＶＰＮ，并且不受地理因素的限制，无论 用户在外地或海外，只需要从当地接入Ｉｎｔｅｒｎｅｔ即可。在ＶＰＮ通道里，省中心和 各地方的数据在本端ＶＰＮ设备汇集，经过ＩＰＳｅｃ封装和加密后，通过ＶＰＮ隧道传 输，充分保证数据传输的可靠性、完整性和安全性。 本课题主要分四部分：对ＩＰＳＥＣＶＰＮ概念的介绍；中石油山东分公司ＶＰＮ网 络改造的背景及需求分析；ＩＰＳＥＣＶＰＮ网络的详细设计及实现；对ＶＰＮ设备相关 ＩＰＳＥＣ功能的测试。 关键词：ＩＰＳｅｃ，安全，ＶＰＮ ＩＩ /台湾VPN 山东大学硕士学位论文 １．１课题背景与研究意义 第１章绪论 随着国内信息化建设力度的不断加大，国民经济支柱产业之一的石油、石化 行业也在紧锣密鼓地加速信息化建设进程，陆续实施信息门户、办公应用、电子 商务、产业信息化等重点信息化工程建设。目前各石化企业相继建成ｏＡ系统、ＥＲＰ 系统、视频会议系统，以扩大物资采购、产品销售等电子商务应用范围。 由于石油石化行业自身生产、销售、管理较为分散的特性，信息化建设给该 行业业务数据传输的安全性、稳定性和及时性也提出了较高要求。过去，重要的 石化系统间已经采用了专线进行联网，传输数据，但是对于分支众多的石化行业 来讲，专线昂贵的运营费用成为了企业一笔不小的负担，且下属加油站分布数量 多、地域广，甚至存在于偏远山区，显然均采用专线连接很不现实；并且专线解 决不了移动用户的接入问题。 为此，石化行业迫切需要一种成本较低、安全性好、扩展性强的连接手段， 以便能够实现省公司、地市分公司、炼油厂、县级分公司、油库、加油站等各个 地理位置不同的局域网直接的安全连接。使得企业能够在网络上运行ＥＲＰ系统、 ｏＡ系统、财务软件以及ＩＰ语音业务、视频会议等应用，支持集团化生产、经营、 管理信息系统的实施，并且这种访问在Ｉｎｔｅｒｎｅｔ上传输时应保证足够的安全；同 时也要满足远程移动用户通过Ｉｎｔｅｒｎｅｔ对总部局域网络的访问，从而构建石化企 业安全的广域网络。 如何解决上述问题呢？ＶＰＮ（ＶｉｒｔｕａｌＰｒｉｖａｔｅＮｅｔｗｏｒｋ虚拟专用网）技术以 其可利用廉价的Ｉｎｔｅｒｎｅｔ资源构建实现的类似于ＤＤＮ专线的远程安全连接链路， 能够充分利用现有网路资源，提供经济、灵活的连网方式，为客户节省设备、人 员和管理所需的投资，降低用户的电信费用，在近几年得到了迅