1. 研究目的与意义
面对全球化的经济体系,企业的据点将不会仅仅局限于某个国家或是某个区域,于是连接各地据点就变成一项很重要的工作,不只是企业,以学校而言,校园也不见得会集中于某个区域,跨县市的校园也是常有的事,校园与校园之间的连接,也是一项重要的工作。
以往两个私有网络如果要能互相分享资源,大都是透过申请专线(leased-line)来连结两个私有网络,可是专线的费用非常昂贵,如果是跨国专线,则更加昂贵。
虚拟私有网络(virtual private network, vpn)就是利用现有的网际网络来达到专线功能的一项技术,由于网际网络的费用相对于专线是非常便宜的,因此 vpn 被视为是替代专线的一个重要技术。
2. 课题关键问题和重难点
1VPN在传统的网络架构上,连接两个私有网络大都使用专线,专线是一条封闭的线路,可以保持私有网络的隐密性,可是专线的价格昂贵,尤其是远距离的专线更是昂 贵,若能利用普及的网际网络来建置私有网络的连线,将可大幅增加便利性、降低费 用,利用公网来完成私有网络的连线,且保有私有网的完整 性,这种网络称为 VPN。
2 IPsec传统的 IP 封包不具有安全性,它容易被伪造地址、更改 IP 封包内容、被窃听 IP 封包内容与旧的封包重送,所以 IETF 提出一个 IPSec 协议用来保护 IP 封包,IPSec 是一个标准、健全及延展性佳的协议,它主要用于处理第三层网络层的封包加解密与认证协议,也可以搭配其它的层级来做安全性加密,由于位于网络层,因此不论应用程序是否有提供安全功能,都可以确保加密两点之间的安全性。
3. 国内外研究现状(文献综述)
vpn 依照网络架构主要可分为三类,依序为 host-to-host、host-to-gateway gateway-to-gateway 三种类型。
(1) host-to-host vpn 用于两部单一的信息设备要做安全性的通讯,这两部信息设备可以位于公网 或是私有网络,这两部信息设备以外的设备都无法识别两者间传递的资料。
(2) host-to-gateway vpn 用于一个单一信息设备要存取一个私有网络的资源,在以往员工一但外出出差,就无法存取公司资源或是极有限度的存取公司资源,可是透过 vpn 就可以让员工如同身处公司内部可以存取任何资源传统的 ip 封包不具有安全性,它容易被伪造地址、更改 ip 封包内容、被窃听 ip (3) gateway-to-gateway vpn 通常用于两个私有网络相互连接,像是总公司与分公司之间的连线,透过 vpn,总公司与分公司之间犹如有一条专线连接,可以进行各种服务的连线,也可以用于总公司与协力厂商之间的相互连线在 rfc2401 中完整的定义了ipsec 架构,ipsec 的构成组件有 ipsec 基础 协定(ipsec base protocol)、安全政策资料库(security policy database, spd)、安全关联 资料库(security association database, sadb)、网际网络密钥交换(internet key exchange, ike)与政策管理系统(policy management system)。
4. 研究方案
IPSec VPN既可以在IPv4网络也可以在IPv6网络中部署。
基于IPSec的VPN不依赖于网络接入方式,它可以在任意基础网络上部署,而且可以实现端到端的安全保护,即两个异地局域网络的出口上只要部署了基于IPSec 的网关设备,那么不管采用何种广域网络都能够保证两个局域网络安全地互联在一起。
5. 工作计划
1-4周:理解毕业设计任务书,包括课题背景、工作内容及要求等,完成开题报告;5-10周:进行网络需求分析、功能模块设计,进行学期检查;11-14周:完成网络系统的核心架构,中期检查;15-16周:完成外文翻译;17-21周:完成网络系统架构的设计与实现,开始撰写论文;22-25周:完成毕业设计论文;准备答辩;答辩(1.通过gns-3软件模拟真实环境展示完成效果。
2.提交毕业毕业设计报告,ppt演示。
)
