在线咨询
期刊 科普 SCI

教育 医学 经济 金融 管理 科技 工业 机械 农业 电力 水利 文学 艺术 更多...

首页 > 精选范文 > vpn技术论文

vpn技术论文范文

时间:2022-10-10 05:49:53

引言:寻求写作上的突破?我们特意为您精选了12篇vpn技术论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。

vpn技术论文

篇1

1引言

vpn(VirtualPrivateNetwork)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。

2隧道技术的实现

假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,如图1所示。

图1

现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。

3军队院校校园网建设VPN技术应用设想

随着我军三期网的建设,VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先,军队的特殊性要求一些信息的传达要做到安全可靠,采用VPN技术会大大提高网络传输的可靠性;第二,军队院校不但有各教研室和学员队,还包括保障部队、管理机构等,下属部门较多,有些部门相距甚至不在一个地方,采用VPN技术可简化网络的设计和管理;第三,采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。

而VPN技术的特点正好能够满足以上几点需求。首先是安全性,VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP),并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据,还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。第二,在解决异地访问本地电子资源问题上,这正是VPN技术的主要特点之一,可以让外地的授权用户方便地访问本地的资源。目前,主要的VPN技术有IPSecVPN和SSLVPN两种。其中IPSec技术的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外还能对IP数据包进行加密和认证。而SSLVPN技术则是近几年发展起来的新技术,它能够更加有效地进行访问控制,而且安全易用,不需要高额的费用。该技术主要具有以下几个特点:第一,安全性高;第二,便于扩展;第三,简单性;第四,兼容性好。

我认为军队院校校园网VPN技术应主要采用SSLVPN技术。首先因为其安全性好,由于IPSecVPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSecVPN网关,它可以在内部为所欲为。因此,IPSecVPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全,而SSLVPN则是接入企业内部的应用,而不是企业的整个网络。它可以根据用户的不同身份,给予不同的访问权限,从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构,安全保密应该是主要考虑的方面之一。第二,SSLVPN与IPSecVPN相比,具有更好的可扩展性。可以随时根据需要,添加需要VPN保护的服务器。而IPSecVPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSecVPN就要重新部署。第三,操作的复杂度低,它不需要配置,可以立即安装、立即生效,另外客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行。第四,SSLVPN的兼容性很好,而不像传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。此外,使用SSLVPN还具有更好的经济性,这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入;但是对于IPSecVPN来说,每增加一个需要访问的分支就需要添加一个硬件设备。

虽然SSLVPN的优点很多,但也可结合使用IPSecVPN技术。因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSecVPN是在两个局域网之间通过网络建立的安全连接,保护的是点对点之间的通信,并且,IPSecVPN工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。可用于军校之间建立虚拟专用网,进行安全可靠的信息传送。

4结论

总之,VPN是一项综合性的网络新技术,目前的运用还不是非常地普及,在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求,VPN技术将会发挥其应有的作用。

篇2

2民航数据通信网中组播VPN的实现

在民航数据通信网中实现组播VPN主要需完成骨干网络的准备工作以及组播VPN设计与实施等工作。

2.1组播VPN的规划设计民航ATM数据网华东地区ATM交换机上的RPM-PR板卡提供了MPLSVPN业务,目前部署的MPLSVPN业务网络拓扑为星形结构,即由区域一级节点9槽RPM板卡作为P设备和路由反射器,而其他节点均为PE设备。华东地区ATM网络中同时承载着两个相互独立的组播业务:ATM数据网公网组播实例和名为YJCJ2的用户私网组播实例。VPN组播实例是通过在P和PE设备上部署实现的,网络中,作为P和PE的RPM板卡上运行着公网组播实例,而作为PE的RPM板卡同时又运行着用户私网组播实例。公网的组播实例是在所有RPM板卡上开启组播应用。上海虹桥和浦东机场两个节点的10槽RPM板卡负责接入用户的VPN组播业务,所以需在这两台设备上部署MPLSVPN应用,并在这两个用户站点相应的VRF实例中开启组播应用。在本案例中,VPN用户接入侧要求使用的是PIM密集模式,而民航数据网MPLSVPN公网则使用的是PIM稀松模式。在MPLSVPN网络中不同用户的VPN站点都是彼此逻辑独立的,并且VPN用户数据封装MPLS标签后通过公网的PE和P设备进行传输。对于VPN组播来说,数据的传输模式也是类似的。PE设备通过将该VPN实例中的用户VPN组播数据报文封装成公网所能“识别”的公网组播数据报文进行组播转发。这种将私网组播报文封装成公网组播报文的过程就叫做构造组播隧道(MT)。在PE上,每个VPN用户的组播数据是通过不同的MTI(MulticastTunnelInterfac)组播隧接口在公网构造组播隧道,参见图2。由于公网、VPN网以及用户接入侧各组播部署中都采用PIM协议启用了组播应用,MPLSVPN中组播应用包含如下的PIM邻居关系:(1)PE-P邻居关系:指PE上公网实例接口与链路对端P上的接口之间所建立的PIM邻居关系。(2)PE-PE邻居关系:指PE上的VPN实力通过MTI收到远端PE上的VPN实例发来的PIMHello报文后建立的邻居关系。(3)PE-CE邻居关系:指PE上绑定VPN实例的接口与链路对端CE上的接口之间建立的PIM邻居关系。部署公网组播实例需在华东地区所有相关RPM板卡开启组播服务,考虑到密集模式对RPM设备和骨干网资源的开销,在民航ATM数据网中使用了PIM稀松模式。根据网络的物理网络拓扑模型,选取上海虹桥9槽RPM板卡作为RP。

2.2组播VPN的实施运行在MPLSVPN网络中的P和PE设备上部署PIM协议,这些设备之间会形成PE-P邻居关系,从而使得公网支持组播功能,并形成公网的组播分发树。本案例中使用PIM稀松模式,即在虹桥和浦东机场节点的9、10槽RPM板卡的配置底层IGP路由协议的接口上部署PIM稀松模式,这样就构造了公网的PIM共享树。在传输用户私网组播报文的PE上部署基于VRF实例的组播,一个VPN实例唯一制定一个Share-Group地址。同一个VPN组播域内的PE之间形成PE-PE邻居,并形成该组播域的共享组播分发树(Share-MDT)。在本例中就是在虹桥和浦东机场的10槽YJCJ2VRF实例中部署相应的defaultMDT地址239.255.0.5。用户CE设备和PE连接CE的相应接口启用组播,本例中使用PIM密集模式。这样就形成了PE-CE邻居关系。本例中是在虹桥和浦东机场节点的相应VPN业务端口配置PIM密集模式。当用户有组播报文需要传输的时候,就将组播报文发送给PE的VRF实例,PE设备收到报文后识别组播数据所属的VRF实例。用户私网的数据报文对于公网是透明的,不论数据归属或类别,PE都统一将其封装为公网组播数据报文,并以Share-Group作为其所属的公网组播组。一个Share-Group唯一对应一个MD,并利用公网资源唯一创建一棵Share-MDT进行数据转发。在该VPN中所有私网组播报文,都通过此Share-MDT进行转发。如图3所示,可以看到华东地区公网上的Share-MDT创建的过程。虹桥节点10槽RPM向9槽RPM(RP节点)发起加入消息,以Share-Group地址作为组播组地址,在公网沿途的设备上分别创建(*,239.255.0.5)表项。同时虹桥浦东机场节点也发起类似的加入过程,最终在MD中形成一棵以虹桥节点9槽RPM为根,以虹桥、浦东机场节点10槽RPM为叶的共享树(RPT)。随后,虹桥和浦东机场节点10槽RPM的公网实例向公网RP发起注册,并以自身BGP的router-id地址作为组播源地址、Share-Group地址作为组播组地址,在公网的沿途设备上分别创建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表项,形成连接PE和RP的最短路径树(SPT)。在PIM-SM网络中,由(*,239.255.0.5)和这两棵相互独立的SPT共同组成了Share-MDT。虹桥节点PE的私网组播报文在进入公网后,均沿该Share-MDT向浦东机场节点PE转发。图4是私网组播报文在公网中转发的过程。当浦东机场节点的YJCJ2VPN用户CE设备加入到虹桥节点数据源所在的组播组,此时由于这两个站点部署为PIM-DM模式,虹桥节点组播设备会立刻将数据推送到虹桥节点10槽RPM的YJCJ2VRF实例中,并通过该VPN构建的Share-MDT在公网上以(20.51.5.6,239.255.0.5)构建的SPT进行公网组播报文传输。当公网组播报文被浦东机场10槽PE设备收到后会将其解封装成原始的私网组播报文,并转发给相应的接收CE,最终完成用户私网组播数据在MPLSVPN网络中的传输。

篇3

 

0 引言

近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站,通过网站实施农产品信息、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出,并且该问题已经严重制约了农产品电子商务的进一步发展。

1 农产品电子商务的安全需求

根据电子商务系统的安全性要求,田阳农产品电子商务系统需要满足系统的实体安全、运行安全和信息安全三方面的要求。

1) 系统实体安全

系统实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施和过程。

2) 系统运行安全系统运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急)来保护信息处理过程的安全。项目组在实施项目前已对系统进行了静态的风险分析,防止计算机受到病毒攻击,阻止黑客侵入破坏系统获取非法信息,因此系统备份是必不可少的(如采用放置在不同地区站点的多台机器进行数据的实时备份)。为防止意外停电,系统需要配备多台备用电源,作为应急设施。

3) 信息安全

系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息被非法的系统标识、控制。系统的核心服务是交易服务,因此保证此类安全最为迫切。系统需要满足保密性,即保护客户的私人信息,不被非法窃取。同时系统要具有认证性和完整性,即确保客户身份的合法性,保证预约信息的真实性和完整性,系统要实现基于角色的安全访问控制、保证系统、数据和服务由合法的客户、人员访问,即保证系统的可控性。在这基础上要实现系统的不可否认性,要有效防止通信或交易双方对已进行的业务的否认。

2 农产品电子商和安全策略

为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:

2.1基于多重防范的网络安全策略

1) 防火墙技术

防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。

防火墙具有很好的保护作用。论文大全,信息安全。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。

边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。论文大全,信息安全。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。论文大全,信息安全。

2) VPN 技术

VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。

VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。

性能

VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。

管理问题

由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。论文大全,信息安全。

2.2基于角色访问的权限控制策略

农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。

目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限。角色访问控制策略主要是两方面的工作:

(1)确定角色

根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。

(2)分配权限策略

根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。论文大全,信息安全。论文大全,信息安全。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。

2.3基于数据加密的数据安全策略

在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。

1)数据库加密系统措施

(1)在用户进入系统进行两级安全控制

这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。

2)防止非法复制

对于服务器来说,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。

3)安全的数据抽取方式

提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用dbms提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用dbms提供的卸出、装入工具完成。

3结束语

随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。

参考文献:

[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.

[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35

篇4

 

一、引言

随着科学技术的飞速发展,国内外各高校图书馆之间的交流合作不断深化、师生员工对于知识的需求多元化,迫使各高校图书馆集中科研力量开发新型借阅系统、利用新兴网络技术建设一个既能满足当前应用又能满足长远发展需求的数字图书馆网络平台。但是在建设数字图书馆的过程中很多高校遇到了一些问题:电子书商基于对产品版权的保护,在电子资源中设置数字版权(DRM),限制了访问的IP地址范围,这与师生员工利用公共网络帐号(网络运营商提供的动态分配IP地址的上网帐号)访问校园内网(专用网络)的电子资源的权限冲突,导致师生员工无法检索需要的信息资料,直接造成许多图书馆电子资源的闲置和浪费,使得投入和产出不成正比,影响了数字图书馆的合理化建设。面对这种情况,VPN技术为我们提供了一套可管理、可认证、安全的远程访问电子资源的解决方案。

二、VPN技术简介

1.VPN简述

VPN(Virtual Private Network)可译为“虚拟专用网”。它并不是一个新名词,因为在电信服务的电话网络中早就提出了VPN的概念。VPN不是真的专用网络,但是却能实现专用网络的功能。因特网工程技术委员会(IETF)对的VPN的解释是:通过公共网络建立一个临时的、安全的、私有的点对点连接,通过对网络数据的封包和加密传输,从而实现在公网上传输私密数据,并达到私有专用网络的安全级别。VPN网络的认证机制很好的保护了用户收发数据的完整性、准确性,避免收发的数据不相符;而且VPN技术本身对网络流量能进行预测和控制,实现网络带宽的优化管理,从而避免在互联网使用高峰期造成网络堵塞,提高了数据传输的质量;另外,单位、企业很在意的经济投入也是非常的合理、节约,只要一次性购买VPN设备(包括服务器、路由器等),而不再需要增购其它的存储设备,进行重复性建设,并且VPN网络更不用考虑线路带宽的利用率和费用的问题。一旦组建好VPN网络之后只须安排一个专业技术员对其进行日常的管理维护(主要是安全管理、设备正常运行监控、配置管理、访问控制列表管理等)即可。此外,现有公共网络提供多种接入方式,如:PSTN拨号、ADSL、CableModem、小区宽带等,VPN网络也可以根据各种接入方式的信息量、实时性及通信条件等情况,分别选择不同的速率与之链接;同时,VPN网络能够支持任何类型的数据流,支持多种类型的传输媒介,满足同步传输语音、图像的需求,方便增加新的节点,增加访问用户的数量,具有很高的可扩充性能。

2.VPN关键技术

那么,VPN是采用什么技术和协议来很好的发挥它的特点的?首先我们需要了解国际标准组织制定的OSI网络模型,它把传统Internet网络分为7层:物理层、数据链路层、网络网际协议层、数据信息传送层、对话层、表示层和应用层;最底层是物理层,而最高层是应用层,VPN技术利用这个OSI模型为基础,开发出目前主流的三类Internet VPN远程安全接入技术(基于网络协议第三层的安全链接技术IPSecVPN、基于多协议的标记交换技术MPLS VPN、基于网络协议第七层的安全链接技术SSL VPN)。这些VPN技术具有类似的功能,但也存在着不同特性和各自擅长的应用取向。无论采用什么技术标准的VPN网络运用下面四种核心手段保证通信安全。

1)隧道技术(Tunneling)

隧道技术是VPN网络的基本技术,并依靠多种隧道协议来完成,例如:PPTP(点对点

隧道协议)、PPP(点对点通信协议)、L2F(数据链路层转发协议)、L2TP(数据链路层隧道协议)等。目前比较流行的隧道协议是IPSec(网络协议安全标准)与SSL(安全认证应用层标准)协议的结合,使用此协议可以很容易地建立IP层(网络协议第三层)用户的要求,也可以实现需要C/S(客户机/服务器)架构或者B/S(浏览器/服务器)架构的数据管理信息系统的要求。

2)加密&解密技术(Encryption&Decryption)

加密&解密技术是网络实时数据通信中一项比较成熟的技术,VPN可以直接利用此项技术。现行VPN使用的加密&解密技术主要有两种:对称加密(单钥加密)算法和不对称加密(公钥加密)算法。其中不对称加密算法生成的密钥用户管理方便,占用存储空间小,所以此算法是目前VPN网络中使用最为广泛的算法。

3)密钥管理&交换技术(KeyManagement)

密钥管理&交换技术是保护在公共网络上传输的私有数据流可以安全地传递密钥、识别密钥从而进行数据交换。为了使数据可以安全、准确、及时地传递,国际标准组织制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密钥管理&交换协议,进而形成了现行的密钥管理&交换机制,主要有三种:KMI机制(基于传统网络)、PKI机制(基于开放网络)和SPK机制(基于大规模专用网络),最为广泛使用的是KMI机制。

4)使用者身份认证技术(Authentication)

使用者身份认证技术最常用的是用户名、口令或智能卡认证(特殊的U盘)等方式。在实际应用中,移动用户使用智能卡方式,此卡内存贮有用户登录VPN网络所要求的各项相关数据信息;远程非移动用户采用用户名与口令方式来登录,例如ADSL连接方式则在拨号时实现,如果是专线用户则在路由器中实现,此用户名与口令一般不需要登录用户来干预,所以用户访问VPN网络就如同在局域网内一样方便。

如今,VPN技术突飞猛进,又出现许多新技术元素,所以VPN技术的发展前景很广阔。而解决数字图书馆建设中的一些疑难问题就目前看来采用VPN技术是一种很高效的解决办法。

三、数字图书馆建设中几种常见(VPN)模式

在各个高校数字图书馆建设过程中,根据师生用户群的使用特点以及应用环境的不同,VPN大致可采用三种不同的解决方案:远程访问虚拟网(AccessVPN)、校园内部虚拟网(IntranetVPN)和校园扩展虚拟网(ExtranetVPN)。

1.远程访问虚拟网(AccessVPN):如果图书馆员或者师生用户需要移动或者远程访问图书馆或者图书馆开展远程教育,就可以考虑使用AccessVPN。AccessVPN通过使用与专用网络相同策略的共享基础设施(公共骨干网),提供图书馆内网和公共网络之间的安全连接。AccessVPN能使图书馆所有用户随时、随地以其所需的方式办理图书馆各种业务。

2.图书馆内部虚拟网(IntranetVPN):近年来随着高校规模的不断扩大,办学方式的不断丰富,各大高校都呈现多校区办学模式,图书馆也不例外,许多高校图书馆组建分支机构,这样就可以考虑使用IntranetVPN。IntranetVPN通过公用网服务商提供的QoS机制(能自动识别数据包并转发到对应的地址去),使图书馆与各个校区分支机构的路由器之间建立VPN安全隧道,保证图书馆各个分支机构能实时、准确的与主机构之间交换数据。论文参考网。

3.图书馆扩展虚拟网(ExtranetVPN):其实这种应用模式只是图书馆内部虚拟网的扩展,这种模式为图书馆和电子资源供应商的网站平台之间提供了一种安全的连接通道,例如电子书商提供图书馆内网远程镜像访问企业主站的安全访问模式和各高校图书馆之间的合作,就可以考虑使用ExtranetVPN。论文参考网。ExtranetVPN更多的是考虑协调和安全问题。

以上提供的几种图书馆VPN解决方案常常通过软、硬件以及辅助设备把他们结合起来使用,这样就大大丰富了VPN技术在图书馆数字化建设中的作用。

四、VPN在安徽农业大学图书馆中的应用

安徽农业大学是安徽省一所省属重点综合性大学,安徽农业大学的数字图书馆建设也采用VPN技术来实现校外公网访问校内资源,实现学校的公共资源的充分利用。

现阶段,安徽农业大学图书馆还没有分馆,所以VPN技术主要应用于校外师生用户通过公共网络访问图书馆电子资源。学校采用一家很有实力的网络技术公司的M5600 SSL VPN路由器构建VPN网络,这种VPN路由器主要采用使用者用户名认证技术保证校外师生用户通过公共网络正确访问图书馆电子资源。论文参考网。根据目前的需求可以看出,现阶段的用户群还是比较集中和狭窄的,这也是为了保护学校资源和电子书商的版权。但是,为了能在不远的将来使图书馆资源利用率达到最优化,学校购买的VPN路由器是智能化和可升级的,这样就足以保证数字图书馆建设的可持续发展。

总之,VPN的应用前景是很广阔的,不仅仅是解决公共网络访问内网资源的问题;可以预见,数据共享是未来图书馆的发展趋势。各高校图书馆都会建设专有VPN网络,从而使信息资源全球化、集成化、多元化。

[参考文献]

1.李红艳. VPN技术在高校图书馆网络系统设计中的应用[J]. 中国期刊网CNKI数字图书馆,科技情报开发与经济,第16卷第21期,2006年.

2.唐淑娟,秦一方,井向阳. VPN技术与图书馆资源远程利用[J]. 中国期刊网CNKI数字图书馆,情报探索,第1期,2007年1月.

篇5

2 综合承载传送网的组网结构

综合承载传送网采用分层结构组网,分为核心汇聚层和边缘接入层。核心汇聚层组网结构主要分为三种:环形组网、口字型组网和双上联组网。

山东联通各地市组网主要采用环形和口字型组网方式。双上联组网和口字型组网结构类似,但由于需要耗费大量的光纤资源或者波分波道资源,因此在实际组网时主要还是采用折中的口字型组网方式。

边缘专业提供论文写作和写作论文的服务,欢迎光临dylw.net接入层主要根据光纤资源情况,分为双挂环形组网和单挂环形组网方式,一般光纤资源能保证的区域优先选用双挂方式,因为双挂方式除了能实现传统的路径保护(1:1 LSP)外,还能实现双归保护,从而避免汇聚设备单点故障引起的大面积掉站。

3 业务承载方案

3.1 业务承载需求

山东联通综合承载传送网主要有两大类业务承载需求:

⑴基站回传等自营业务或者系统的承载需求:

具备IP化、以太化基站的接入能力,提供高可靠、大容量的基站回传流量的承载;

满足LTE网络的承载需求,实现基站间灵活互访、基站多归属、基站组播等承载能力;

能够满足动力监控、综合业务接入网网管等各类系统的承载需求。

⑵政企业务或者大客户的承载需求:

⑶提供高可靠、大容量的二、三层VPN接入能力,能够满足点到点、点到多点、多点到多点等二、三层VPN的组网需求;

⑷具备电路仿真能力,提供ATM/FR/DDN等电路的接入能力。

3.2 承载方案分析

山东联通综合承载传送网的业务承载方案可归结为三点:

⑴对于2G和3G基站的TDM业务,可以采用伪线方式一PWE3实现。并在核心节点采用CSTM1端口进行汇聚。El业务一般采用SAToP方式,封装帧数和抖动缓存暂按设备缺省值取定。

⑵对于TDM、以太网、ATM等大客户专线,应采用相应的伪线方式实现。对于L3VPN的大客户专线,可采用核心汇聚层L3VPN加边缘接入层伪线、层次化L3VPN等两种方式实现。

⑶对于未来的LTE业务,分组传送网络需要承载s1和X2接口的流量。业务对IP转发的层面要求将进一步下移。可采用核心汇聚层L3VPN或层次化L3VPN到边缘的方式。

不同厂家对于3G IP业务承载方案的推荐会有所不同,就山东联通而言,基站数据域业务承载方式主要存在两种,(1)L3VPN部署到边缘-华为主推;(2)L3VPN部署到汇聚-中兴和贝尔主推。两者各有优势,L3VPN部署到边缘需要为基站互联端口分配IP地址,根据目前3G基站的IP地址分配规则,会涉及大量基站的IP地址调整,但符合中远期网络的演进思路;L3VPN部署到汇聚,基站IP地址的调整量将大大减少,与现有MSTP提供3G移动回传FE的业务提供方式、维护方式相似度高,利于分组传送技术引入后网络运行维护的逐步过渡。

山东联通综合承载传送网的业务承载方案如图3和图4:

4 综合承载传送网与RNC的互联方案

目前,山东联通2G/3G基站的电路域业务在核心机房均通过155M电路与BSC/RNC直接相连。3G基站的分组专业提供论文写作和写作论文的服务,欢迎光临dylw.net域业务与RNC对接现网有两种方式,一种是RNC直接与分组承载传送网业务汇聚设备互连,另一种是RNC通过CE与分组承载传送网互连。

在RNC直接与分组承载传送网互联情况下,若RNC的GE或STM-1接口不足,可采用以下方式:

4.1 RNC接入端口扩容

通过对RNC的GE和STM-1端口成对扩容,满足与分组承载传送网业务互联的需求,同时可以减少对已有3G业务的影响。通过逐步割接,可将现有以MSTP网络承载的3G分组业务割接到分组承载传送网上。

4.2 RNC接入端口不方便扩容

应将MSTP上的分组业务在汇聚层或核心层直接割接到分组承载传送网上。通过分组承载传送网设备与RNC相连。

就山东联通目前的组网而言,由于还存在着大规模的2G/3G基站采用MSTP传输接入,在一定的时间段内无法保证IP化,因此还存在着核心设备与RNC有大量的CSTM-1口对接,RNC的扩容在未来2-3年内也将继续进行,也会带来一定规模的GE口扩容,因此中大型地市的综合承载网与RNC互联通过分组业务汇聚设备显得更为合理。

5 传输背景人员快速融入IP RAN维护

引入分组传送技术后,整个综合承载传送网解决方案都是以数通技术作为基础,如何使传输背景人员快速融入IPRAN的建设维护显得尤为重要,结合实际工作,建议从以下几个方面入手:

5.1 比较传统传输理念和IP化理念的异同

传统的MSTP网络属于硬管道交换,所有业务都是建立端到端的连接通道占用固定带宽,

但是综合承载传送不一样,它既继承了传输端到端OAM的特性,又有数据网络逐跳建立连接的特性,整个网络是一张弹性的网。我们可以借助传统IP城域网的理念去类比IPRAN技术的相关概念,深入理解数通相关知识。

5.2 深刻认识全程全网和端到端业务理念

与传统的MSTP一样,综合承载传送网也需要建立端到端业务的概念,我们不仅仅需要理解分组网络是如何进行信息传递的,而且还需要把无线接入和核心网纳入到我们关注的范围,从NODEB和UTN如何连接,RNC与UTN如何对接,整个数据流进入UTN以后如何进行封装传送等等,理解整个UTN、在配置数据排除故专业提供论文写作和写作论文的服务,欢迎光临dylw.net障时才能得心应手。

5.3 认真学习实施方案

建议在工程建设期间认真学习具体的实施方案,一般而言,厂家会根据设计文件完成具体的实施方案,从组网方案、拓扑设计及设备选型、IP地址规划、路由部署设计、MPLS隧道设计、业务部署设计、可靠性设计、时钟/网管同步设计、QOS部署设计等等。这个过程可以帮助你学习完成一张网搭建所需的所有知识。

5.4 熟练掌握网管

网管需要掌握相关的数通知识,如I-SIS/BGP/MPLS/VPN/RSVP TE等等,需要对解决方案中用到的知识点有个较深入的理解,另外一方 面我们又要熟练掌握网管的相关操作,在IPRAN的维护习惯上,我们更偏向于网管操作,不会像传统数通设备维护那样通过命令行进行操作,但是网管操作的基础又是数通知识,因为网管只是提供一个界面,提升效率,真正要配置的还是数通协议。理论和网管是IPRAN的两个关键点,两者相辅相成缺一不可,所以我们要同时加强这两方面的技能。

5.5 工程随工学习

更多的现场随工学习可以帮助你快速提升,深入现场多操作设备,通过实际对比分IPRAN技术与MSTP传统传输的区别。工程建设期的随工是一个很好的机会,因为工程建设期不用担心业务是否受影响,操练起来能更充分。

6 结束语

篇6

论文摘要:本文讨论了在远程安全接入领域的ssl vpn技术,通过对ssl协议的分析,全面衡量了ssl vpn远程接入方案在军队院校网络应用中的综合优势。

    1引言

    打造远程安全接入平台,一直是网络远程访问的迫切需求。当前,众多的安全协议(如pptp.l2tp.ipsec和mpls)各具特色并侧重于不同的方面,但能同时结合简易、安全两项特性的则非ssl莫属,ssl vpn是平衡访问自由度和安全性的出色解决方案。

    2 ssl

    安全套接层(secure sockets layer, ssl)是netscape于1994年提出的基于web应用的安全协议,它介于http及tcp之间,高层协议可以透明地运行在该协议之上,它指定了一种在应用程序协议和丁cp/ip协议之间提供数据安全性分层的机制,能为丁cp/ip连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其安全连接基于握手协议、记录协议和警告协议来完成。

    3 ssl vpn主要特点

    (1)高安全性:ssl安全通道可确保端到端真正安全可靠的连接,能有效保证信息的真实性、完整性和保密性。

    (2)高易用性:无需客户端的安装和配置,对终端系统具有良好的兼容性。

    (3)高性价比:不需要配置,易于部署及管理,可有效降低网络配置成本。

    (4)高可扩展性和兼容性:可随时添加需要vpn保护的服务器,并适用于大多数设备。

    (5)高效的资源控制能力:可区分用户设置访问权限,实现区分对待的资源控制策略。

    4 ssl vpn应用优势

    随着军队院校网络信息化建设的推进,实际应用中面临着越来越多的跨地域、跨部门的数据传递,以及大量的远程访问内网的需求。例如跨地域的会商研讨、数据采集、资料检索、分支部门和下属机构的机要信息交换等。根据这些需求和实际情况,下面主要从ssl vpn和ipsec vpn对比出发,全面衡量ssl vpn的优势。

   (1)谨慎灵活的接入认证策略。在远程接入过程中,用户身份验证是整个过程的第一环,也是最重要的一环,如果不能有效识别用户的身份,使得非法用户接入,将给内部网络带来极大的安全隐患。ssl vpn提供对所传送数据的加密、认证和发送源的身份认证,支持将多种身份识别方式进行组合,一般包括usb-key、硬件特征码、数字证书、动态令牌、短信认证等,而且可以对访问权限进行严格的等级划分,实现不同用户对于不同应用程序的控制。

篇7

中图分类号:TP258.6文献标识码:A文章编号:1007-9599 (2012) 03-0000-02

The Application of SSL VPN Technology in the Computer Network of Teaching Resources

Tan Qinhong

(Tongren Polytechnic,Tongren554300,China)

Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.

Keywords:Computer teaching resources network;Network security;SSL VPN

一、校园网计算机教学系统面临的安全风险分析

随着国家教育事业的快速发展以及IT技术的迅猛发展,人们的生产、生活方式发生了翻天覆地的变化,传统的教室内黑板面授教学模式已经不能完全满足当代的教学工作,必须有一种新的教学方式来弥补传统教学模式单一的不足,计算机教学应运而生,特别是计算机多媒体教学。计算机教学方式中,学习的人可以随时随地的学习,不受时间和空间的限制,并且具有学习成本低廉等一系列优点,因此计算机教学受到越来越多的欢迎。

为方便教师和学生等对教学资源的外部访问,存储有教学资源的网络大多与互联网相连,难免会受到来自于网络内部和外部的攻击,计算机网络的大多设备或软件为国外生产,其中可能存在一些后门程序,操作系统、应用系统等都存在大量的漏洞可以让攻击者利用,计算机病毒等恶意程序、SQL注入攻击、跨站脚本攻击、DDOS攻击、钓鱼网站的泛滥让校园网的安全形式不容乐观。

校园网中,用户有学生、教师、外部学习者等主体,教学资源的访问主体的身份不好控制、资源访问控制困难,很难让指定的用户只能访问指定的资源,不能访问其它非授权访问资源、用户对资源的访问不具有抗抵赖等问题。

校园网是学校的门户,是学校的形象窗口,是学校赖以生存的生产资料的一部分,如果遭到恶意攻击,导致不能正常对外部提供服务,将对学校造成严重损失。

二、SSL VPN简介

VPN(Virtual Private Network虚拟专用网络)[1]是一种在公共的网络基础平台(如internet)上建立专用的数据通信网络的技术。VPN通过对数据包进行加密和封包,在公共网络基础平台上构建出安全、可靠的专用隧道,使私有数据在公共网络上安全传输。用户使用VPN技术,不需要建设自己的专用网络,节省投资,使用便捷,VPN技术因而获得了广泛的应用。

VPN技术发展至今,产生了多个种类,有工作在2层的L2TP VPN,工作在3层的IPsec VPN,工作在传输层和应用层之间的SSL(Secure Socket Layer安全套接层)VPN,基于虚拟路由表和标签转发的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用户通过公共网络(如internet)接入业务网络,在远程接入上应用广泛。

SSL是一个独立于平台并独立于应用的协议,用户保护基于TCP的应用。在TCP/IP四层架构中,SSL在传输层之上,应用层之下,像TCP连接所连接的套接字一样工作。

SSL VPN技术帮助用户使用标准的Web浏览器就可以通过公共网络平台接入所要访问的远程资源。在用户的计算机上,不需要安装客户端软件及进行复杂的配置,大大方便了用户,仅仅通过一台接入了Internet的计算机就能访问远程资源。这为企业及政府提高效率也带来了方便。

用户所要访问的资源位于企业网或者政务网内部,在此情况下,需要部署SSL VPN网关在企业网或者政务网的边缘,介于服务器与远程用户之间,控制二者的通信。如下图所示:

SSL VPN网关除了作为隧道的终点,还要执行以下三种功能:,应用转换、端口转发[2]。

篇8

中图分类号:TP393 文献标识码:A文章编号:2095-2163(2013)02-0032-03

0引言

随着信息化进程的加快,各个高校对校园信息化投入不断增加,致力于建成数据交换与共享的数字化校园平台。虽然目前很多学校已经拥有了应用管理系统、数据资源库系统、公共通讯平台,但这些网络资源和办公平台常常受到网络的限制,只能在校园内部使用。本校2012年师生问卷调查显示:居住在外的教师、经常出差的行政办公人员以及在外实习的大四毕业生对于校外不能访问校内数字化资源,均已感到极为不便。具体来说,教师在外网不能登录学习平台批改作业;行政人员出差时,不能获取部门统计数据;大四未在校的学生不能通过毕业设计系统提交论文。这些状况即已表明目前校园的基础网络及其实现方案存在一定的不足,亟需新技术的应用以解决校园外部访问校内数字化资源的问题。经过广泛,深入的调研分析可知,VPN(Virtual Private Network)正是解决这一瓶颈的技术方案。

1VPN 的原理及SSL VPN方案的优势

11VPN原理

VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式[1]。VPN利用公用网络来实现任意两个节点之间的专有连接,适用于移动用户、分支机构以及远程用户安全、稳定地接入到内部网络。同时,VPN还向用户提供了专用网络所独具的功能,但其本身却不是一种真正意义上的独立物理网络,没有固定物理线路连接。近年来,VPN技术已经大量应用于高校的移动办公,并且在数字化资源的多校区数据访问方面也有着广泛应用。VPN远程访问的思路是,用户在网络覆盖的任意地点,首先,通过ADSL或者LAN方式接入互联网;其后,通过拨号校园网的VPN网关,构建一条从用户所在网络地址到校园网的二层隧道;而后是VPN服务器给用户分配相应的校园网地址,从而实现校园网数字化资源的远程访问[2]。

12两种VPN方案的对比

按照协议划分,VPN主要有两大主流,分别是IPsec VPN和SSL VPN。IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障,IPsec协议是一组协议套件,包括安全协议、加密算法、认证算法、密钥管理协议等[3]。IPsec VPN构建于网络层,通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性,最适合Site to Site之间的虚拟专用网。相比之下,SSL VPN采用的是SSL安全套接层协议,构建于网络的应用层。SSL VPN方案无需安装客户端软件,经过认证的用户是通过Web浏览器而接入网络,适用于Point to Site的连接方式。总体来看,相比于IPsec VPN方案,SSL VPN方案有三点优势,具体如下。

(1)兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端,对用户也无任何特殊的操作要求。用户不需要下载客户端,由此免去了对客户端软件的更新升级、配置维护,否则,在进行VPN策略调整的时候,其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议,就可以使客户端简便、安全地访问内网信息,维护成本较低。

(2)提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备,由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能,可提供用户级别鉴定,确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能,而在外的办公行政人员还可以访问某个特定部门的相关数据。

(3)具备更强的安全性。IPsec是基于网络层的VPN方案,对IP应用均是高度透明的。而SSL VPN是基于应用层的,在Web的应用防护方面更具一定优势。某些高端的SSL VPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。2SSL-VPN的关键技术及性能分析

21访问控制技术

访问控制技术是由VPN服务的提供者根据用户的身份标志对访问某些信息项进行相应操控的作用机制。目前,通用的VPN方案中,常常是由系统管理员来控制相关用户的访问权限。作为安全的VPN设备,SSL VPN可通过“组”策略对应用进行访问控制[4]。有些SSL VPN产品可以将Web应用定义为一系列的URL,而组和用户则可允许和禁止访问相应的应用。其它一些SSL VPN产品可以提供更为精细的高级控制,控制策略不仅含有“允许”和“禁止”,还包括用户能访问的资源列表以及对这些资源的操作权限控制。由于SSL VPN工作在网络的应用层,管理员可以基于应用需求、用户特征以及TCP/IP端口进行严密的访问控制策略设置。SSL VPN还能通过浏览器中的参数支持动态访问部署策略,管理员可以依据用户身份、设备类型、网络信任级别、会话参数等各型因子,定义不同的会话角色,并给与不同的访问权限。另外,基于用户的访问控制需要维护大量的用户信息,当前最流行的控制策略则是基于角色的访问控制,在握手协议的过程中统一集成访问控制的基础功能,再将资源的控制权交托于可信的授权管理模型。

22性能分析

VPN的性能指标值对校园网中关键业务的应用实现具有直接影响,在设计数字化校园的VPN详尽方案之前,有必要了解其性能指标。SSL VPN中,常见的性能指标有连接速率、网络延迟、加密吞吐量、并发用户数,等。其中,连接速率表示了SSL VPN系统每秒钟可建立或终止的最大会话连接数目,用以度量被测VPN设备在单位时间内交易事务的处理能力[5]。可以通过添置SSL硬件加速卡、提高控制速率上限等举措来改善其性能。另外,SSL VPN使用的是非对称加密算法,这就导致VPN服务器的CPU将在高负荷状况下处理SSL的加解密。而对于这种计算密集型的加解密操作,为了保障服务器能够正常工作,既可以限制SSL会话的数量,也可以添加服务器的数目。只是这两种方式各有利弊,若限制会话数目,就会出现高峰期间的部分用户无法连接服务器,而添加服务器数目又会大幅增加VPN系统的财务用度。因而,通常情况下,使用SSL加速器来提升加解密速度,进入SSL的数据流由加速器解密并传给服务器,而外流的数据又经过加速器加密再回传给客户。服务器方面,只需要处理简单的SSL请求,将消耗资源的工作完全交给加速器,全面有效地提升了VPN方案的整体性能。

3SSL-VPN下的数字化校园解决方案

31需求分析与设计目标

校园数字化资源中集结了多种重要的数据库以及多款办公软件。大四年级的学生会经常需要登录毕业设计系统上传学科论文;校外居住的教师也需要登录图书馆期刊检索系统,下载专业文献;另外,因公在外的招生、财务人员又需要及时获取部门的数字化信息,并借助办公自动化的高端平台与其它部门顺畅沟通。上述校园网的这些外部访问通常都是不确定的动态IP地址,在数据库服务器的安全策略中多会将之认定为是非法用户而遭到拒绝。因此,在外部访问校园网之数字化校园时,就需要研发一个远程访问方案,该方案可将合法的非授权校外地址转化为授权的校园网内地址。此方案需要考虑的用户有三种,分别是:在外居住的教师、大四实习生以及在外办公的行政人员。

32系统体系结构

经过实地调研和深入分析,采用了SSL VPN架构,具体框架如图1所示。

由图1可知,这是一个基于Web模式的SSL VPN系统,在用户和应用服务器之间构建了一个安全的信息传递通道。其中,SSL VPN服务器相当于一个网关,且具备双重身份。对用户而言,这是服务器,负责提供基于证书的身份鉴别;对应用服务器而言,则属于客户端的身份,并向服务器递交访问申请。由此,通过在防火墙后安装VPN设备,校外用户只需要打开IE浏览器,就可以访问到校园数字化资源的URL。其后,SSL VPN 设备将取得连接并验证用户的身份,此时SSL服务器就会将连接映射到不同应用的服务器上。而且方案中又采用了技术,所有成功接入SSL VPN系统的校外用户都可以全面访问LAN口所能获得的数字化资源。本系统还具备较高的传输性能,优先考虑SSL VPN服务器的性能,将需要消耗大量资源的加解密工作交给加速器。实现过程中,采用的设备是由Cisco ASA建立Web VPN服务器,而将Radius Server作为验证用户身份的服务器。

33改进型安全策略——基于角色的控制

本校SSL VPN系统采用的是基于角色的访问控制策略,既包括用户安全认证的接口也包括用户访问的资源列表。实际上,校园网系统的用户认证和访问控制均在控制协议部分获得实现,可以在此过程中添加角色的访问控制。通过在证书中集成角色属性,系统在进行安全认证时,就可以同步实现角色验证。VPN系统在明确用户角色属性的基础上确定其访问权限,而后给出该用户可以访问的资源列表信息。另外,用户在登录VPN系统时,还需要在登录界面输入身份信息。

4结束语

随着校外用户对数字化校园资源访问需求的日益迫切增长,使得VPN技术也随之广受关注[6]。为了给予校外访问、使用校园数字化资源提供更大便利,因而在综合考虑本校实际用户数量和主要用户角色的基础上,由网络中心主持设计并全面实现了SSL VPN系统。目前,本校SSL VPN系统运转良好,能够满足现有的使用需求,并且也具备了一定的扩展能力。当然,该实施方案并不是唯一可选,当校园网的VPN用户数量并不多、要求也不高时,就可以考虑软件型VPN方案。不然,还可通过购买专业的VPN设备打造高水准、高级别的SSL VPN系统。

参考文献:

[1]王达. 虚拟专用网(VPN)精解[M]. 北京:清华大学出版社,2004:45-46.

[2]朱伟珠. 利用VPN技术实现高校图书馆资源共享[J]. 情报科学,2007,25(7):1158-1061.

[3]徐家臻,陈莘萌. 基于IPsec与基于SSL的VPN的比较与分析[J]. 计算机工程与设计,2004,25(4):186-188.

篇9

(试 行)

一、 网络类题目的特点

学生络类题目的特点主要以校园网、小型企业网、大型企业网(多地互联)为应用场合,进行网络工程设计类或网络安全类论文的写作。

二、 网络工程设计类论文的写作

1.论文写作要求

类似于投标书,但有不同于投标书,不要有商务性质的内容(项目培训、售后服务、产品说明书、产品报价……),也一般不考虑具体综合布线(职院学校的要求),主要倾向于其技术实现。

2.论文写作基本环节

采用工程业务流程,类似于软件工程:

1)需求分析

2)功能要求

3)逻辑网络设计(设计原则、拓扑结构图、背景技术简介、IP地址规划表),也称为总体设计

4)物理网络设计(实现原则、技术方案对比,一般考虑结构化布线),也称为详细设计

5)网络实现(设备选型和综合布线属于这个阶段,但我们主要强调各种设备的配置与动态联调以实现具体目标)

6)网络测试(比较测试预期结果与实际结果)

具体实现通过采用Dynamips 模拟平台和Cisco Packet Tracer(PT)模拟平台。

3.注意事项

1)抓住题目主旨和侧重点(类似题目的需求不同,取材角度不同、参考资料的取舍也不同。不同的应用场合会采用不同的拓扑结构、路由技术(BGP、RIP、单区域和多区域的OSPF)、交换技术(Vlan、生成树、链路聚合、堆叠)、访问(接入)技术、安全技术等,只有这样题目才能各有千秋,否则就都变成了XX公司(校园)网络设计。)

2)不要有商务性质的内容(项目培训、售后服务……)

3)不要产品使用说明书和安装调试说明书

4)不建议包含综合布线的整个过程。

4.存在的问题与案例分析

1)结构不太清楚,有些环节没有

2)不应有产品说明书,具体实现要更清楚

三、 网络安全类论文的写作

1.论文写作基本环节与要求

从技术上讲主要有:

1)Internet安全接入防火墙访问控制;

2)用户认证系统;

3)入侵检测系统;

4)网络防病毒系统;

5)VPN加密系统;

6)网络设备及服务器加固;

7)数据备份系统;

从模型层次上讲主要有:

1)物理层安全风险

2)网络层安全风险

3)系统层安全风险

不同的应用需求采用不同的技术。

2. 存在的问题与案例分析

1)选题有些过于复杂而有些过于简单

2)只是简单叙述各种安全技术,没有具体实现

四、 论文答辩要求

1)论文格式:从总体上,论文的格式是否满足《韶关学院本科毕业设计规范》的要求?

篇10

An Economical VPN Network Platform Construction Methods

Zhang Ding-xiang

(Guizhou Commercial College, Guiyang GuizhouGuiyang 550004)

【 Abstract 】 Although at present to provide enterprises with VPN network platform building scheme is more, but the building costs are high, make many enterprise hope and stopped. Therefore, seek a kind of economic and enough VPN network platform construction scheme is very necessary.This paper will introduce a kind of deployment scheme and configuration method which that using ADSL dial-up internet, dynamic DNS technology and software VPN over the internet to construct economic VPN network platform. This program can be used for the construction or upgrading of an enterprise VPN platform.

【 Keywords 】 economical ;VPN; network platform; construction method

1 引言

随着互联网在企业领域应用的不断深化,VPN(虚拟专用网)已作为一种安全的局域网远程扩展方案,并受到越来越多的企业关注和运用。对于占全国企业总数80%的中小型企业来说,大多数都需要通过计算机网络安全地、可靠地、及时地传输各种业务数据,并希望投入的成本越少越好,还期望原有的和即将发生的投资都能够得到长期的保护。因而,为这些企业寻求一种经济的够用的VPN网络平台解决方案和实现方法是很有必要的、迫切的。

2 解决方案

在企业构建VPN平台过程中,无论采用何种方案都应以追求数据传输的机密性、完整性、可控性和可维护性等为建设目标。这里以论文《集散式中小型企业远程数据安全传输解决方案》中提出的“6+”解决方案为基础,概要地介绍一种经济的VPN网络平台构建方法,以起到抛砖引玉的作用。“6+” 解决方案为PC机、操作系统、ADSL拨号、DDNS、二级域名、集成型VPN网关软件6种组件的综合集成。

2.1 VPN网络部署拓扑图

企业VPN部署的典型拓扑结构图如图1所示,企业总部与互联网的连接均通过VPN网关接入,VPN网关通过网线物理连接到ADSL Modem上,ADSL Modem再通过电话线逻辑接入到互联网;各分支机构和企业移动用户也通过VPN网关接入因特网,接入方式可以不采用ADSL Modem拨号连接。

2.2 方案要点

(1) 选配PC机。总部VPN网关主机选用一台质量较好的普通PC机即可。主机基本配置要求为Pentium CPU、512MB内存、80GB硬盘、10/100Mbps双网卡。这些技术参数也可作为分支机构VPN网关的参考。

(2) 选定主机操作系统。从习惯性和普及性考虑,选用专业版或服务器版的Windows作为VPN网关(主机)的操作系统,如Windows 2000 专业版、Windows 2003服务器版、Windows XP SP3专业版等。

(3) 采用ADSL拨号接入互联网。总部与因特网的接入方式采用常规的ADSL Modem拨号接入,目的是可以获得一个免费的公网IP地址,只不过该IP地址是动态的,每次拨号时可能获得不同的IP地址。

(4) DDNS的选用。选用拥有我国自主知识产权的花生壳作为DDNS(动态域名解析服务系统),花生壳DDNS能自动地准确地将动态IP地址与固定域名实时绑定,使得VPN客户端根据域名就可以随时找到VPN服务端的动态公网IP地址。

(5) 二级域名的申请。通常情况下,申请租用一级(顶级)域名都是要付费的,而申请租用二级域名多数都是免费的。对于构建VPN平台来说,域名叫什么都无所谓,仅仅是一个符号而已,只要能准确地解析到IP地址即可。为能更好地运用花生壳DDNS解析IP地址,这里在花生壳网站上申请一个二级域名作为VPN服务端网关的域名地址(如“iioffice.省略”)。

篇11

虚拟专用网(VPN)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。目前,一些企业在架构VPN时都会利用防火墙和访问控制技术来提高VPN的安全性,但存在不少的安全隐患。因此针对现有VPN系统无法满足校园网安全使用的问题,深入分析、研究了VPN系统中的关键技术和主要功能,构建了一种基于PKI的校园网VPN系统的体系架构。

1 系统框架设计及系统功能模块描述

1.1 系统框架设计

VPN系统需要解决的首要问题是网络上的用户与设备都需要确定性的身份认证。错误的身份认证。不管其他安全设施有多严密。将导致整个VPN的失效, IPSec本身的因为它的身份认证规模较小、比较固定的VPN上是可行的,把PKI技术引进VPN中是为了网络的可扩展性和保证最大限度的安全,CA为每个新用户或设备核发一张身份数字证书,利用CA强大的管理功能,证书的发放、维护和撤销等管理极其容易,借助CA,VPN的安全扩展得到了很大的加强。传统的VPN系统中,设备的身份是由其IP地址来标识的。IP地址也可能随着服务商或地点的改变而改变,借助CA提供的交叉认证,无论用户走到哪儿,该用户的数字证书却不会改变可以随时跟踪该数字证书的有效性。本人提出将PKI证书身份认证技术应用在校园网IPSec-VPN网关中,以此来解决VPN的身份认证。

1.2 系统功能模块描述

从软件结构上分VPN网关系统分为应用层模块和内核层模块,SAD手工注入接口模块和密钥管理程序模块为运行在应用层的软件模块。IPSEC处理模块、CA模块和防火墙模块为运行在内核层的软件模块。

2 VPN系统分析

2.1 系统的需求分析

师生们越来越多地走出校园。他们也可能需要用到校园内部专用网络资源。这是因为随着我校的发展、项目的合作以及文化的交流越来越频繁,通过校园网VPN网统在公共网络中建立的可保密、控制授权、鉴别的临时安全虚拟连接,它是一条穿越相当混乱的公用网络的安全隧道,是高校内部网的扩展,采用通道加密技术的VPN系统,通过基础公网为使用高校提供安全的网络互联服务。这样师生们很方便的访问我校内网的网络资源,而且相对专用网、校园网VPN系统大大降低成本;相对Internet通信,VPN系统又具有相当高的安全性。密钥基础设施PKI是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务以及所必须的密钥和证书管理体系,这正好能弥补VPN的IPSec在身份认证方面的缺点。

2.2 流程分析设计

(1)将PKI的认证、机密性和完整性协议定义为PKI专用数据,并把它们置于DOI字段中,同时加载证书字段,生成带PKI性能的IKE载荷。

(2)IKE进行野蛮模式或者主模式交换,互换证书,建立IKE SA。

(3)双方用公钥检查CA和证书中的身份信息在证书上的数字签名。

(4)用公开密钥加密算法验证机密性。

(5)用数字签名算法验证完整性。

(6)协商一致后,生成具体的SA。

IPSec与PKI结合后,在密钥交换过程中,通过交换证书的方式交换了公钥和身份信息,验证数字签名、机密性和完整性,从而充分的保证了信息来源的可信度、完整性等,同时,IPSec配置文件中实现与多数用户的通信,只需少数的CA证书即可。

3 VPN系统的实现

3.1 IPSec内核处理模块实现

(1)为每种网络协议(IPv4,IPv6等)定义一套钩子函数(IPv4定义了5个钩子函数)。在数据涉及流过协议栈的几个关键点这些钩子函数被调用。在这几个点中,协议栈将把数据报及钩子函数标号作为参数调用Netfilter框架。

(2)内核的任何模块注册每种协议的一个或多个钩子,实现挂接,这样当传递给Netfilter框架某个数据包时,内核能检测是否有任何模块对该协议和钩子函数进行了注册。如果注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查(可能还会修改)该数据包、丢弃该数据包及指示Netfzlter将该数据包传入用户空间的队列。

(3)那些排队的数据包是被传递给用户空间的异步地进行处理。一个用户进程能检查数据包,修改数据包,甚至可以重新将该数据包通过离开内核的同一个钩子函数中注入到内核中。

3.2 CA系统功能模块实现

根据我校校区的分布,在这里PKI系统采用单CA多RA的系统结构,这种结构是单CA的改进,其中RA承担了CA的部分任务,减轻了CA的负担,随着校园规模和校园网的进一步扩大,如果经费允许,我们将建立层次CA,学校一个根CA,考虑到系统的安全性,CA服务器、RA服务器、Ldap服务器放置在北校区的防火墙后面,由于我校已购置日立的磁盘阵列,实际的数据库系统采用磁盘阵列实现。

CA服务器负责制作证书,签发证书作废表,审核证书申请,管理和维护中心CA系统,提供加密服务,保护存储密钥和密钥管理等等功能,整个系统基于windows系统,采用Java平台,并利用OpenSSL函数库和命令行工具而本论文并不讨论与之相关的加密、解密和密钥存储,证书策略等。

4 结语

本文从互联网的发展说明VPN技术产生的背景和意义,再对VPN的相关技术、协议进行研究与分析。在此基础上,结合校园网络的实际情况,提出了一个基于PKI校园网VPN系统的实现方案以利用VPN安全技术突破校园专用网的区域性限制来解决校园网存在的一些问题。同时根据提出的方案给出了一个校园网VPN实现的实例,并对该实现过程进行了检验和分析,在一定程度上验证了所提方案的有效性。

参考文献

[1]钱爱增.PKI与VPN技术在校园网内部资源安全问题中的应用研究[J].中国教育信息,2008(9):77-80.

篇12

 

一、引 言

当前基于IP协议的计算机网络用户数量剧增,网络流量也发展迅速。为了使网络状况更加适应用户的需要,作为网络核心器件的路由器的不断升级换代也就成为大势所趋。下面就从路由器的基本概念和分类入手,对路由器在网络中的应用技术做一个全面的介绍。

二、路由器的基本概念和分类

国际标准化组织(ISO)制定的开放系统互连参考模型(OSI)把网络结构自下而上地分成7个层次:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。路由器是工作在OSI模型的第三层网络层,路由技术主要作用有两点:决定最优路由和转发数据包。路由表中写入各种信息,由路由算法计算出到达目的地址的最佳路径,然后由相对简单直接的转发机制发送数据包。

(一)路由器的基本功能:

1、存储、转发信息及寻找最佳路径的功能。

2、路由功能。包括数据包的路径决策、负载平衡、多媒体传输等。

3、智能化网络服务。包括QoS、访问控制列表、身份认证、授权、计费、链路备份、调试、管理等。

(二)按照路由器的接口、处理能力、吞吐量、提供的协议等可以把路由器分成高、中、低多种档次。

1、高端路由器位于WAN(广域网)骨干网的中心或骨干位置,构成IP网络的核心。

2、中端路由器适合于有分支机构的中小型企业,一般位于路由中心位置上,互连企业网的各个分支机构,

并作为企业网的出口,上行接入高端路由器中。中档路由器边缘可以接入低端系列路由器。对于中小

型企业来说,中端路由器是其网络的中心。

3、低端路由器主要针对接口少,处理能力要求不高等场合。论文参考网。

4、专用路由器:如VPN路由器、加密路由器、语音路由器,通过特殊的附加(软)硬件实现特定功能。

三、主要网络应用

1、提高路由器吞吐量的技术

路由器的吞吐量是指路由器单位时间内能够转发的报文数,通常用pps(PacketPerSecond)表示。以一个典型的企业网为例,一个派驻机构的上行速率有2000pps就够了,分支的核心路由设备必需具有几万pps的吞吐能力,而公司总部的路由中心则可能需要几十万甚至上百万pps的处理能力。

目前主要有下面的提高路由器吞吐量的技术: 改造路由表;采用Cache;采用分布式处理;高层交换;硬件(FPGA/ASIC)转发等。交换式路由器(SwitchRouter)就是利用这些技术的结晶。

2、可编程ASIC技术

ASIC技术能够使得路由器的速度提高并降低制造成本。由于设计生产的投入相当大,ASIC基本上都用于已完全标准化和固化的过程。为了满足计算机网络各种结构和协议的频繁变化的要求,出现了“可编程ASIC”技术。实际应用中多数采用在ASIC芯片中内嵌入专门处理通信协议的CPU,通过改写微码,使其具有处理不同协议的能力。

3、VPN技术

VPN(VirtualPrivateNetwork)虚拟专用网络,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常, VPN 是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。 VPN 可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

VPN 架构中采用了多种安全机制,如隧道技术(Tunneling )、加解密技术( Encryption )、密钥管理技术、身份认证技术( Authentication )等,通过上述的各项网络安全技术,确保资料在公众网络中传输时不被窃取,或是即使被窃取了,对方亦无法读取数据包内所传送的资料。

4、QoS(QualityofService)服务质量

QoS即服务质量,对于网络业务,服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。

网络资源总是有限的,只要存在抢夺网络资源的情况,就会出现服务质量的要求。服务质量是相对网络业务而言的,在保证某类业务的服务质量的同时,可能就是在损害其它业务的服务质量。例如,在网络总带宽固定的情况下,如果某类业务占用的带宽越多,那么其他业务能使用的带宽就越少,可能会影响其他业务的使用。因此,网络管理者需要根据各种业务的特点来对网络资源进行合理的规划和分配,从而使网络资源得到高效利用。

5、MPLS(MultiProtocolLabelSwitch)多协议标记交换

多协议标签交换(MPLS)是一种用于快速数据包交换和路由的体系,它为网络数据流量提供了目标、路由、转发和交换等能力。更特殊的是,它具有管理各种不同形式通信流的机制。MPLS 独立于第二和第三层协议,诸如 ATM 和 IP。它提供了一种方式,将 IP 地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换技术。它是现有路由和交换协议的接口,如 IP、ATM、帧中继、资源预留协议(RSVP)、开放最短路径优先(OSPF)等等。

在 MPLS 中,数据传输发生在标签交换路径(LSP)上。论文参考网。LSP 是每一个沿着从源端到终端的路径上的结点的标签序列。现今使用着一些标签分发协议,如标签分发协议(LDP)、RSVP 或者建于路由协议之上的一些协议,如边界网关协议(BGP)及 OSPF。因为固定长度标签入每一个包或信元的开始处,并且可被硬件用来在两个链接间快速交换包,所以使数据的快速交换成为可能。

MPLS 主要设计来解决网路问题,如网路速度、可扩展性、服务质量(QoS)管理以及流量工程,同时也为下一代 IP 中枢网络解决宽带管理及服务请求等问题。

6、多播技术

多播路由的一种常见的思路就是在多播组成员之间构造一棵扩展分布树。在一个特定的“发送源,目的组”对上的IP多播流量都是通过这个扩展树从发送源传输到接受者的,这个扩展树连接了该多播组中所有主机。不同的IP多播路由协议使用不同的技术来构造这些多播扩展树,一旦这个树构造完成,所有的多播流量都将通过它来传播。

根据网络中多播组成员的分布,总的说来IP多播路由协议可以分为以下两种基本类型。第一种假设多播组成员密集地分布在网络中,也就是说,网络大多数的子网都至少包含一个多播组成员,而且网络带宽足够大,这种被称作“密集模式”(Dense-Mode)的多播路由协议依赖于广播技术来将数据“推”向网络中所有的路由器。密集模式路由协议包括距离向量多播路由协议(DVMRP:Distance Vector Multicast RoutingProtocol)、多播开放最短路径优先协议(MOSPF:MulticastOpen Shortest Path First)和密集模式独立多播协议(PIM-DM:Protocol-Independent Multicast-Dense Mode)等。论文参考网。

多播路由的第二种类型则假设多播组成员在网络中是稀疏分散的,并且网络不能提供足够的传输带宽,比如Internet上通过ISDN线路连接分散在许多不同地区的大量用户。在这种情况下,广播就会浪费许多不必要的网络带宽从而可能导致严重的网络性能问题。于是稀疏模式多播路由协议必须依赖于具有路由选择能力的技术来建立和维持多播树。稀疏模式主要有基于核心树的多播协议(CBT:Core Based Tree)和稀疏模式独立协议多播(PIM-SM:Protocol-Independent Multicast-SparseMode)。

7、网管系统

网管在网络运营中起着非常重要的作用。方便、强大的网管可以协助用户有效地管理网络和降低网络维护费用。网管协议非常多,与路由器产品相关的网管协议主要有SNMP、RMON等,其中SNMP最常见。SNMP采用(Agent)工作方式,设备侧(路由器上)运行Agent,网管站运行管理软件。的作用包括收集路由器统计数据(如端口收发报文总数等)和状态信息(如端口地址等),回答网管站对这些信息的查询;传达网管站的设置命令,如TCP连接复位、配置端口IP地址等;发生异常事件时主动向网管站报告等。

四、结束语

以上是对基于路由器的网络技术进行了简单的介绍。若有不当之处,还请广大读者进行批评指正。相信随着上网用户的越来越多,随着宽带网建设的如火如荼,对路由器技术更新的要求会越来越强烈。我相信,在未来会有适应网络发展要求的新技术不断涌现,并将得到广泛的应用。

参考文献

1.谢希仁.《计算机网络》.电子工业出版社, 2005年1月

2.锐捷网络.《网络互联与实现》.北京希望电子出版社,2006年11月

相关精选
友情链接