谈管理系统基于虚拟专用网络电信业务管理系统网络安全设计前言
最后更新时间:2024-03-18
作者:用户投稿
本站原创
点赞:6565
浏览:15342
本站原创
点赞:6565
浏览:15342
论文导读:界人员非法截取和利用,消除关键系统数据在远程传输过程中可能失密的隐患,从而有效地保证了网络通信的安全。关键词:VPN;加密;鉴别;密钥管理;身份认证;传输安全性1007-9599(2012)15-0000-021引言随着计算机网络的发展,网络安全问题日益成为人们关注的焦点。尤其是在通过公共传输信道进行网络互联和信息共
摘要:电信业务管理系统是电信企业运营生产的支撑系统之一,系统网络范围广、结构复杂且与因特网连接,因此,对于这种带有重要信息传输的网络其安全性必须得到保证。本文正是出于这点考虑提出了一个基于虚拟专用网络技术的电信业务管理系统网络安全设计,该设计能确保所传输的数据包不被外界人员非法截取和利用,消除关键系统数据在远程传输过程中可能失密的隐患,从而有效地保证了网络通信的安全。
关键词:VPN;加密;鉴别;密钥管理;身份认证;传输安全性
1007-9599 (2012) 15-0000-02
1引言
随着计算机网络的发展,网络安全问题日益成为人们关注的焦点。尤其是在通过公共传输信道进行网络互联和信息共享的同时,如何解决系统和信息的安全问题已经迫在眉睫。对于电信管理系统计算机网络而言,它是一个多应用和多连接的网络,随时都面临着来自各方面的安全威胁。因此,它的安全性问题成了当前的重要问题。
近几年随着网络技术的发展,特别是VPN技术不断成熟,为解决此问题提供了一个可行的方向,通过VPN的关键技术(隧道技术、加解密技术、密钥管理技术和身份认证技术),可以有效的保护网络上传输的重要数据包不被外界人员非法截取和利用,消除了关键系统数据在远程传输过程中可能失密的隐患,进而确保了网络通信的安全。因此,本文基于VPN关键技术提出了一个电信系统的网络安全设计,该设计能够有效的实现系统网络信息数据安全、完整、高效、透明地传输。
2虚拟专用网络概述
虚拟专用网络(Virtual Private Network)是一种基于IP和利用公共网络基础设施的网络虚拟连接技术。当一个组织机构利用这种虚拟连接技术组成“自己的”专用网络时,在这个专用网络内,所有用户共享相同的安全性、优先权服务、可靠性和可管理性策略。它可以通过特殊的加密通讯协议连接在Internet上不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正地去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。虚拟专用网络技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持虚拟专用网络功能。一句话,虚拟专用网络的核心就是在利用公共网络建立虚拟私有网。
通过虚拟专用网络,一个省级系统可以在公用互联网络上和各个地方的系统连接起来,实现总公司和分公司间点对点或端到端的“虚拟专用”联接。也可以说,“虚拟专用隧道”如同在茫茫的广域网上为企业拉出了一条专线。基于IP的VPN可将Intranet自然延伸至远程办公、移动用户的广泛连接,这种广泛连接可理解为“任何地方”。
3基于VPN的系统网络安全设计
电信管理系统是电信企业运营生产的支撑系统,系统网络范围广、结构复杂,且与因特网连接,所以必须为该系统设计并建立一套完善的网络安全防护体系,以保证该系统的运行及信息的安全。在建立该体系前网络结构如图1所示:
从该系统网络结构图中可以看出,电信综合业务管理系统计算机网络是一个多应用和多连接的网络,当它与Internet连接后其内外必然存在着较多的安全隐患,这使得它随时都在面临着来自各方面的安全威胁。这些安全威胁有:来自互联网的安全威胁(主要来自的入侵)、其他接入点和各地市分公司网络对省公司主机房网络的安全威胁、外部网络对各地市分公司网络的安全威胁、来自各局域网内部的安全威胁、网络病毒的威胁、信息数据的安全传输的威胁等。因此,为其建立一套全面而高效的安全体系就显的由为重要。众所周知,通常对于来自互连网的威胁都可以通过一个高效的防火墙加以防范,而对于通讯数据的保护就只有通过加密和签名来实现了。基于以上两点,本文做出了一个在广域网通信线路上的省公司网络和各地市分公司网络之间进行远程数据传输的电信综合业务管理系统网络防火墙中嵌入虚拟专用网络模块的双重保障安全设计,通过在系统网络间建立虚拟专用网络通信信道可以确保所传输的数据包不被外界人员非法截取和利用,消除关键系统数据在远程传输过程中可能失密的隐患,有效地保证网络通信的安全。加了虚拟专用网络系统后网络的结构图如图2所示:
从图中可以看出,本策略是在原有网络各个网络的数据通讯网络(DCN网络)出口位置布置虚拟专用网络设备和在与互连网连接的交换机上加装虚拟专用网络管理中心,来实现对在广域网上传输的重要数据进行加密和认证保护并有效的实现对虚拟专用网络系统提供设备管理、用户管理和自动密钥管理等集中管理功能的。在系统网络加装了虚拟专用网络设备后,可使得传输数据通过安全的“加密通道”在公共网络中传播。而且使系统不需要增加任何费用,就实现了其各地市,各营业点间的信息加密传输;同时,系统还可以利用Internet让出差人员在远程安全的接入内部网络。加装了虚拟专用网络设备后,对于传输数据的加密认证保护过程为:对于一个原始IP包VPN通过IPSEC用隧道模式源于:论文格式字体要求www.7ctime.com
将IP数据包整个进行加密后再加上IPsec头和新的IP头,这个新的IP头中包含有隧道源/宿的地址。当通过IPsec隧道的数据包到达目的网关(即隧道的另一端)后,利用IPsec头中的安全相关信息对加密过的原IP包进行安全相关处理,将已还原的高层数据按原IP头标明的IP地址递交,以完成信源—信宿之间的安全传输。显然,这种安全相关对于源/宿地址来说应是双向的。
在隧道模式中AH是个认证协议头,它是一个用于提供IP数据报完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(识别主机、用户、网络等)。AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数,它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。通过消息文摘MD5算法可以提供数字的论文导读:者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等,那么数据报在发送过
完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的,那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC-MD5认证过的数据交换中,发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等,那么数据报在发送过程中就没有被改变,而且可以相信是由只知道秘密密钥的另一方发送的。在模式中的ESP是一个封包安全协议,它是用来实现一个通用的缺省算法即DES-CBC算法。它是一个对称的算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此,DES-CBC算法的有效性依赖于秘密密钥的安全,ESP使用的DES-CBC的密钥长度是56比特。因此可以看出在本系统中IPsec提供了访问控制、无连接完整性、数据源鉴别、载荷机密性和有限流量机密等安全服务,完全弥补了由于TCP/IP协议体系自身带来的安全漏洞,切实的保障了网络中的数据传输的安全性。源于:大专毕业论文www.7ctime.com
摘要:电信业务管理系统是电信企业运营生产的支撑系统之一,系统网络范围广、结构复杂且与因特网连接,因此,对于这种带有重要信息传输的网络其安全性必须得到保证。本文正是出于这点考虑提出了一个基于虚拟专用网络技术的电信业务管理系统网络安全设计,该设计能确保所传输的数据包不被外界人员非法截取和利用,消除关键系统数据在远程传输过程中可能失密的隐患,从而有效地保证了网络通信的安全。
关键词:VPN;加密;鉴别;密钥管理;身份认证;传输安全性
1007-9599 (2012) 15-0000-02
1引言
随着计算机网络的发展,网络安全问题日益成为人们关注的焦点。尤其是在通过公共传输信道进行网络互联和信息共享的同时,如何解决系统和信息的安全问题已经迫在眉睫。对于电信管理系统计算机网络而言,它是一个多应用和多连接的网络,随时都面临着来自各方面的安全威胁。因此,它的安全性问题成了当前的重要问题。
近几年随着网络技术的发展,特别是VPN技术不断成熟,为解决此问题提供了一个可行的方向,通过VPN的关键技术(隧道技术、加解密技术、密钥管理技术和身份认证技术),可以有效的保护网络上传输的重要数据包不被外界人员非法截取和利用,消除了关键系统数据在远程传输过程中可能失密的隐患,进而确保了网络通信的安全。因此,本文基于VPN关键技术提出了一个电信系统的网络安全设计,该设计能够有效的实现系统网络信息数据安全、完整、高效、透明地传输。
2虚拟专用网络概述
虚拟专用网络(Virtual Private Network)是一种基于IP和利用公共网络基础设施的网络虚拟连接技术。当一个组织机构利用这种虚拟连接技术组成“自己的”专用网络时,在这个专用网络内,所有用户共享相同的安全性、优先权服务、可靠性和可管理性策略。它可以通过特殊的加密通讯协议连接在Internet上不同地方的两个或多个企业内部网之间建立一条专有的通讯线路,就好比是架设了一条专线一样,但是它并不需要真正地去铺设光缆之类的物理线路。这就好比去电信局申请专线,但是不用给铺设线路的费用,也不用购买路由器等硬件设备。虚拟专用网络技术原是路由器具有的重要技术之一,目前在交换机,防火墙设备或WINDOWS2000等软件里也都支持虚拟专用网络功能。一句话,虚拟专用网络的核心就是在利用公共网络建立虚拟私有网。
通过虚拟专用网络,一个省级系统可以在公用互联网络上和各个地方的系统连接起来,实现总公司和分公司间点对点或端到端的“虚拟专用”联接。也可以说,“虚拟专用隧道”如同在茫茫的广域网上为企业拉出了一条专线。基于IP的VPN可将Intranet自然延伸至远程办公、移动用户的广泛连接,这种广泛连接可理解为“任何地方”。
3基于VPN的系统网络安全设计
电信管理系统是电信企业运营生产的支撑系统,系统网络范围广、结构复杂,且与因特网连接,所以必须为该系统设计并建立一套完善的网络安全防护体系,以保证该系统的运行及信息的安全。在建立该体系前网络结构如图1所示:
从该系统网络结构图中可以看出,电信综合业务管理系统计算机网络是一个多应用和多连接的网络,当它与Internet连接后其内外必然存在着较多的安全隐患,这使得它随时都在面临着来自各方面的安全威胁。这些安全威胁有:来自互联网的安全威胁(主要来自的入侵)、其他接入点和各地市分公司网络对省公司主机房网络的安全威胁、外部网络对各地市分公司网络的安全威胁、来自各局域网内部的安全威胁、网络病毒的威胁、信息数据的安全传输的威胁等。因此,为其建立一套全面而高效的安全体系就显的由为重要。众所周知,通常对于来自互连网的威胁都可以通过一个高效的防火墙加以防范,而对于通讯数据的保护就只有通过加密和签名来实现了。基于以上两点,本文做出了一个在广域网通信线路上的省公司网络和各地市分公司网络之间进行远程数据传输的电信综合业务管理系统网络防火墙中嵌入虚拟专用网络模块的双重保障安全设计,通过在系统网络间建立虚拟专用网络通信信道可以确保所传输的数据包不被外界人员非法截取和利用,消除关键系统数据在远程传输过程中可能失密的隐患,有效地保证网络通信的安全。加了虚拟专用网络系统后网络的结构图如图2所示:
从图中可以看出,本策略是在原有网络各个网络的数据通讯网络(DCN网络)出口位置布置虚拟专用网络设备和在与互连网连接的交换机上加装虚拟专用网络管理中心,来实现对在广域网上传输的重要数据进行加密和认证保护并有效的实现对虚拟专用网络系统提供设备管理、用户管理和自动密钥管理等集中管理功能的。在系统网络加装了虚拟专用网络设备后,可使得传输数据通过安全的“加密通道”在公共网络中传播。而且使系统不需要增加任何费用,就实现了其各地市,各营业点间的信息加密传输;同时,系统还可以利用Internet让出差人员在远程安全的接入内部网络。加装了虚拟专用网络设备后,对于传输数据的加密认证保护过程为:对于一个原始IP包VPN通过IPSEC用隧道模式源于:论文格式字体要求www.7ctime.com
将IP数据包整个进行加密后再加上IPsec头和新的IP头,这个新的IP头中包含有隧道源/宿的地址。当通过IPsec隧道的数据包到达目的网关(即隧道的另一端)后,利用IPsec头中的安全相关信息对加密过的原IP包进行安全相关处理,将已还原的高层数据按原IP头标明的IP地址递交,以完成信源—信宿之间的安全传输。显然,这种安全相关对于源/宿地址来说应是双向的。
在隧道模式中AH是个认证协议头,它是一个用于提供IP数据报完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(识别主机、用户、网络等)。AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数,它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。通过消息文摘MD5算法可以提供数字的论文导读:者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等,那么数据报在发送过
完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的,那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC-MD5认证过的数据交换中,发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等,那么数据报在发送过程中就没有被改变,而且可以相信是由只知道秘密密钥的另一方发送的。在模式中的ESP是一个封包安全协议,它是用来实现一个通用的缺省算法即DES-CBC算法。它是一个对称的算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此,DES-CBC算法的有效性依赖于秘密密钥的安全,ESP使用的DES-CBC的密钥长度是56比特。因此可以看出在本系统中IPsec提供了访问控制、无连接完整性、数据源鉴别、载荷机密性和有限流量机密等安全服务,完全弥补了由于TCP/IP协议体系自身带来的安全漏洞,切实的保障了网络中的数据传输的安全性。源于:大专毕业论文www.7ctime.com