多重加密通信网络的设计的方案.docVIP

多重加密通信网络的设计的方案 　　[摘要]本文先对多重加密网络设计的需求和原则进行了分析，互联网应用与人们的生活已经密不可分，随着近些年层出不穷的隐私信息泄露事件的发生，网络服务的安全问题越来越受到人们的重视。VPN技术作为网络安全的利器，得到了非常广泛的应用。VPN系统的进一步完善和发展，也是网络安全领域中一项较为重要的议题。本文针对传统的VPN系统的不足人手，提出了一种将云计算和VPN系统融合的实现方式。 　　[关键词]网络安全；多重加密 　　中图分类号：TP309.7 文献标识码：A 文章编号：1009-914X（2015）05-0122-01 　　网络安全建设是一个系统工程，而网络加密数据的传输与建设更是如此。对于安全传输体系的建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。 　　在实际建设中应遵循以下指导思想：宏观上统一规划，同步开展，相互配套；在实现上分步实施，渐进获取；在具体设计中结构上一体化，标准化，平台化；安全保密功能上多级化，对信道适应多元化。 　　在实际实施中还要按照系列基本原则进行：系统性原则；简单性原则；实时、连续、安全统一原则；需求、风险、代价平衡原则；实用与先进相互结合的原则；方便与安全相互统一原则；全面防护、突出重点原则；分层、分区原则；整体规划、分布实施原则；责任明确，分级管理，联合防护原则。 　　安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。一些部分强调过分则产生浪费，一些部分措施薄弱可能发生危险。安全强度和付出的代价要均衡考虑。 　　网络安全设备对对不同网络结构要有很好的适应能力，满足不同网络应用的具体需求，在网络环境发生变化时，安全设施能随网络扩展要求进行灵活的扩充而不改变或尽量少改动原来的结构。 　　网络安全不单靠先进的安全技术或安全产品来实现，必须结合管理，尤其是当前我国发生的网络安全问题中，管理问题占相当大的比例，在建立网络安全技术设施体系的同时必须建立相应的制度和管理体系。 　　1.整体体系设计 　　根据中华人民共和国国家标准GB/T？9387.2-1995（IS077498-2：1989）《信息处理系统？开放系统互连基本参考模型》第2部分“安全体系结构”的规定，信息安全应当考虑到构成整个网络信息系统的各个层面，以保证异构的计算机进程之间远距离交换信息的安全。 　　物理层的安全 　　主要考虑物理连接的机密性和通信业务流的机密性，例如防止对物理通路的窃听，此外，对物理通路的攻击（干扰等）和物理通路的损坏也是我们要考虑的问题，这是确保上层数据和服务的完整性和可用性的基础。 　　链路层的安全 　　主要考虑连接机密性和无连接机密性，需要保证通过网络链路传送的数据不被窃听，可以采用划分VLAN（局域网）、链路层加密通讯（对协议敏感）等手段。 　　网络层的安全 　　在网络层要考虑的安全问题相对较多，包括对等实体鉴别、数据原发鉴别、访问控制、连接机密性、无连接机密性、通信业务流机密性、不带恢复的连接完整性、无连接完整性等，需要采用有效的机制保证网络只给授权的客户使用授权的服务（鉴别、访问控制），保证网络路由正确，避免信息数据被监听或破坏（加密）等。 　　传输层的安全 　　在传输层要考虑的安全问题与网络层大体相似，但略有不同，包括对等实体鉴别、数据原发鉴别、访问控制、连接机密性、无连接机密性、带恢复的连接完整性、不带恢复的连接完整性、无连接完整性等，通常在网络层采用的安全机制都同时适用于传输层。 　　应用层的安全 　　应用层的安全问题覆盖了安全服务的全部内容，包括对等实体鉴别、数据原发鉴别、访问控制服务、连接机密性、无连接机密性、选择字段机密性、通信业务流机密性、带恢复的连接完整性、不带恢复的连接完整性、选择字段连接完整性、无连接完整性、选择字段无连接完整性、数据原发证明的抗抵赖、交付证明的抗抵赖等，可采用的安全机制包括加密、数字签名、访问控制、数据完整性保护、鉴别、通信业务填充、路由控制、公证等。 　　多重通信加密平台由客户端和节点平台两个部分组成。其中客户端程序运行在上网终端计算机上，通过指定规则路由器到节点；节点平台是一批分布在国内外的服务器，提供跳转和网络通讯出口功能。 　　客户端程序右下角的【运行状态】主要有两个功能，一是依次显示节点状态检测，节点状态正常则显示可用，如果检测到节点异常，会反复多次验证，若节点不可用则会在资源列表中更新节点状态。 　　通道状态分别有【放行模式】【隧道模式】【丢弃模式】三种，客户端没有启用路由跳转时通道处于放行模式，路由跳转正常则显示隧道模式