引論:我們?yōu)槟砹?3篇vpn技術論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
vpn(VirtualPrivateNetwork)即虛擬專用網,是一項迅速發(fā)展起來的新技術,主要用于在公用網絡中建立專用的數(shù)據(jù)通信網絡。由于它只是使用因特網而不是專線來連接分散在各地的本地網絡,僅在效果上和真正的專用網一樣,故稱之為虛擬專用網。在虛擬專用網中,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態(tài)組成的。一個網絡連接通常由客戶機、傳輸介質和服務器三個部分組成。VPN同樣也由這三部分組成,不同的是VPN連接使用了隧道技術。所謂隧道技術就是在內部數(shù)據(jù)報的發(fā)送接受過程中使用了加密解密技術,使得傳送數(shù)據(jù)報的路由器均不知道數(shù)據(jù)報的內容,就好像建立了一條可信賴的隧道。該技術也是基于TCP/IP協(xié)議的。
2隧道技術的實現(xiàn)
假設某公司在相距很遠的兩地的部門A和B建立了虛擬專用網,其內部網絡地址分別為專用地址20.1.0.0和20.2.0.0。顯然,這兩個部門若利用因特網進行通信,則需要分別擁有具有合法的全球IP的路由器。這里假設部門A、B的路由器分別為R1、R2,且其全球IP地址分別為125.1.2.3和192.168.5.27,如圖1所示。
圖1
現(xiàn)在設部門A的主機X向部門B的主機Y發(fā)送數(shù)據(jù)報,源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報從主機X發(fā)送給路由器R1。路由器R1收到這個內部數(shù)據(jù)報后進行加密,然后重新封裝成在因特網上發(fā)送的外部數(shù)據(jù)報,這個外部數(shù)據(jù)報的源地址是R1在因特網上的IP地址125.1.2.3,而目的地址是路由器R2在因特網上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報后,對其進行解密,恢復出原來的內部數(shù)據(jù)報,并轉發(fā)給主機Y。這樣便實現(xiàn)了虛擬專用網的數(shù)據(jù)傳輸。
3軍隊院校校園網建設VPN技術應用設想
隨著我軍三期網的建設,VPN技術也可廣泛應用于軍隊院校的校園網建設之中。這是由軍隊院校的實際需求所決定的。首先,軍隊的特殊性要求一些信息的傳達要做到安全可靠,采用VPN技術會大大提高網絡傳輸?shù)目煽啃裕坏诙婈犜盒2坏懈鹘萄惺液蛯W員隊,還包括保障部隊、管理機構等,下屬部門較多,有些部門相距甚至不在一個地方,采用VPN技術可簡化網絡的設計和管理;第三,采用了VPN技術后將為外出調研的教員、學員們以及其它軍隊院校的用戶通過軍隊網訪問本校圖書館查閱資料提供便利。
而VPN技術的特點正好能夠滿足以上幾點需求。首先是安全性,VPN通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法進行驗證,這些驗證方法包括:密碼身份驗證協(xié)議(PAP)、質詢握手身份驗證協(xié)議(CHAP)、Shiva密碼身份驗證協(xié)議(SPAP)、Microsoft質詢握手身份驗證協(xié)議(MS-CHAP)和可選的可擴展身份驗證協(xié)議(EAP),并且采用微軟點對點加密算法(MPPE)和網際協(xié)議安全(IPSec)機制對數(shù)據(jù)包進行加密。對于敏感的數(shù)據(jù),還可以使用VPN連接通過VPN服務器將高度敏感的數(shù)據(jù)服務器物理地進行分隔,只有擁有適當權限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接,并且可以訪問敏感部門網絡中受到保護的資源。第二,在解決異地訪問本地電子資源問題上,這正是VPN技術的主要特點之一,可以讓外地的授權用戶方便地訪問本地的資源。目前,主要的VPN技術有IPSecVPN和SSLVPN兩種。其中IPSec技術的工作原理類似于包過濾防火墻,可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數(shù)據(jù)包時,包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當找到一個相匹配的規(guī)則時,包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。但是IPSec不同于包過濾防火墻的是,對IP數(shù)據(jù)包的處理方法除了丟棄,直接轉發(fā)(繞過IPSec)外還能對IP數(shù)據(jù)包進行加密和認證。而SSLVPN技術則是近幾年發(fā)展起來的新技術,它能夠更加有效地進行訪問控制,而且安全易用,不需要高額的費用。該技術主要具有以下幾個特點:第一,安全性高;第二,便于擴展;第三,簡單性;第四,兼容性好。
我認為軍隊院校校園網VPN技術應主要采用SSLVPN技術。首先因為其安全性好,由于IPSecVPN部署在網絡層,因此,內部網絡對于通過VPN的使用者來說是透明的,只要是通過了IPSecVPN網關,它可以在內部為所欲為。因此,IPSecVPN的目標是建立起來一個虛擬的IP網,而無法保護內部數(shù)據(jù)的安全,而SSLVPN則是接入企業(yè)內部的應用,而不是企業(yè)的整個網絡。它可以根據(jù)用戶的不同身份,給予不同的訪問權限,從而保護具體的敏感數(shù)據(jù)。并且數(shù)據(jù)加密的安全性有加密算法來保證。對于軍隊機構,安全保密應該是主要考慮的方面之一。第二,SSLVPN與IPSecVPN相比,具有更好的可擴展性。可以隨時根據(jù)需要,添加需要VPN保護的服務器。而IPSecVPN在部署時,要考慮網絡的拓撲結構,如果增添新的設備,往往要改變網絡結構,那么IPSecVPN就要重新部署。第三,操作的復雜度低,它不需要配置,可以立即安裝、立即生效,另外客戶端不需要麻煩的安裝,直接利用瀏覽器中內嵌的SSL協(xié)議就行。第四,SSLVPN的兼容性很好,而不像傳統(tǒng)的IPSecVPN對客戶端采用的操作系統(tǒng)版本具有很高的要求,不同的終端操作系統(tǒng)需要不同的客戶端軟件。此外,使用SSLVPN還具有更好的經濟性,這是因為只需要在總部放置一臺硬件設備就可以實現(xiàn)所有用戶的遠程安全訪問接入;但是對于IPSecVPN來說,每增加一個需要訪問的分支就需要添加一個硬件設備。
雖然SSLVPN的優(yōu)點很多,但也可結合使用IPSecVPN技術。因為這兩種技術目前應用在不同的領域。SSLVPN考慮的是應用軟件的安全性,更多應用在Web的遠程安全接入方面;而IPSecVPN是在兩個局域網之間通過網絡建立的安全連接,保護的是點對點之間的通信,并且,IPSecVPN工作于網絡層,不局限于Web應用。它構建了局域網之間的虛擬專用網絡,對終端站點間所有傳輸數(shù)據(jù)進行保護,而不管是哪類網絡應用,安全和應用的擴展性更強。可用于軍校之間建立虛擬專用網,進行安全可靠的信息傳送。
4結論
總之,VPN是一項綜合性的網絡新技術,目前的運用還不是非常地普及,在軍隊網中的應用更是少之又少。但是隨著全軍三期網的建成以及我軍信息化建設的要求,VPN技術將會發(fā)揮其應有的作用。
篇2
1 引言
隨著我院辦學形式的轉變,先后在北京和杭州成立的相關研究所,以及在杭州的浙江技師學院分校。現(xiàn)要求使各分部區(qū)能訪問主校區(qū)的校內資源,保證連接和訪問的安。所以必須尋找一種新的互連方式解決校區(qū)間數(shù)據(jù)傳遞或教職工在校外訪問校內資源中遇到的問題。價格上要求實惠,數(shù)據(jù)要求安全,因此虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,虛擬專用網還可以保護現(xiàn)有的網絡投資。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網虛擬專用網。
2 VPN簡介
2.1 虛擬專用網
虛擬專用網(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機制仿真出一個私有的廣域網"是通過私有的隧道技術在公共數(shù)據(jù)網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數(shù)據(jù)線路,而是使用Internet公眾數(shù)據(jù)網絡的長途數(shù)據(jù)線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。
2.2 VPN的實現(xiàn)技術
VPN實現(xiàn)的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現(xiàn)也至關重要。
(1)VPN訪問點模型。首先提供一個VPN訪問點功能組成模型圖作為參考,如圖1所示。其中IPSec集成了IP層隧道技術和加密技術。
(2)隧道技術。隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現(xiàn)隧道技術的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特點
(1)安全保障。雖然實現(xiàn)VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接,稱之為建立一個隧道,可以利用加密技術對經過隧道傳輸?shù)臄?shù)據(jù)進行加密,以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現(xiàn)簡單、方便、靈活,但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。ExtranetVPN將企業(yè)網擴展到合作伙伴和客戶,對安全性提出了更高的要求。
(2)服務質量保證(QoS)。VPN網應當為企業(yè)數(shù)據(jù)提供不同等級的服務質量保證。不同的用戶和業(yè)務對服務質量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素;而對于擁有眾多分支機構的專線VPN網絡,交互式的內部企業(yè)網應用則要求網絡能提供良好的穩(wěn)定性;對于其它應用(如視頻等)則對網絡提出了更明確的要求,如網絡時延及誤碼率等。所有以上網絡應用均要求網絡根據(jù)需要提供不同等級的服務質量。在網絡優(yōu)化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數(shù)據(jù)提供可靠的帶寬。QoS通過流量預測與流量控制策略,可以按照優(yōu)先級分配帶寬資源,實現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預防阻塞的發(fā)生。
(3)可擴充性和靈活性。VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應用對高質量傳輸以及帶寬增加的需求。
(4)可管理性。從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面,VPN要求企業(yè)將其網絡管理功能從局域網無縫地延伸到公用網,甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成,企業(yè)自己仍需要完成許多網絡管理任務。所以,一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優(yōu)點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
3 VPN應用實例
利用VPN 較少的網絡設備及物理線路,使網絡的管理較為輕松。不論分校或遠程訪問用戶的多少,只需通過互聯(lián)網的路徑即可進入主校區(qū)網路。
結合我校的實際要求,采用美國網件產品FVL328、FVL318VPN產品,價格實惠,總體性能滿足要求,美國網件的VPN網絡解決方案不僅支持IPSEC等協(xié)議,以及DES、3DES、AES加密算法,同時還可通過IKE、共享秘鑰、PKI(X.509)進行身份認證等方式,加強內部網絡的安全性能。
FVL328、FVS318具有支持動態(tài)DDNS組建的IPSEC VPN網絡的功能, 并運用了產品自身的DDNS(動態(tài)域名解析)技術,整個VPN系統(tǒng)網絡使用方便、快速、圖形化的配置界面使維護和管理更簡單、建設費用低廉。VPN拓撲結構圖,如圖2所示:
在總校采用一臺FVL328作為中心端,在其他分校使用FVS318,整個VPN網絡通過認證密碼統(tǒng)一管理,形成一個集中管理的虛擬私有網絡,VPN傳輸使用IPSEC協(xié)議。對外安全邊界使用NETGEAR的寬帶防火墻技術屏蔽來自外部的各種可能攻擊。
總校可采用固定的IP地址和域名,各分校可以申請動態(tài)拔號ADSL寬帶線路, 通過從NETGEAR的VPN設備中申請獲得免費的DDNS(動態(tài)域名解析服務),從而可低成本地組建VPN網絡連接,結合美國網件公司的VPN防火墻FVL328和FVS318的先進安全策略技術,來實現(xiàn)實際需求和將來可能的需求. 各分院能夠直接訪問到母校的數(shù)據(jù)共享服務器資源, 同時又要保證數(shù)據(jù)能安全的在公網上進行傳輸.即實現(xiàn)母校與各分院之間數(shù)據(jù)和信息能夠安全、保密、高速、穩(wěn)定的實時傳輸。
4 結語
文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時建立的安全專用虛擬網絡,用戶就節(jié)省了租用專線的費用,在運行的資金支出上,除了購買VPN設備,企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網費用,也節(jié)省了長途電話費。VPN技術戶廣泛用于校際間的數(shù)據(jù)傳送,也是企業(yè)的分支機構聯(lián)系數(shù)據(jù)的主要手段。
參考文獻
篇3
1.校園網問題分析及其解決方案的提出
虛擬專用網(VPN),是對企業(yè)內部網的擴展。它通過“隧道”技術、加密技術、認證技術和訪問控制等手段提供一種通過公用網絡(通常是因特網)安全地對單位內部專用網絡進行遠程訪問的連接方式。
近年來,隨著高校信息化建設工作的深入開展,校園網用戶對校園網的要求也越來越高,傳統(tǒng)的單一公網接入模式已經很難滿足日趨復雜的應用需求。大多數(shù)的教師習慣于利用家里的計算機上網查資料、寫論文。如果要去學校圖書館網站,或者是教育網內查資料,一般情況下是無法查找并下載的,因為學校圖書館的電子資源都做了訪問限制,普通Internet用戶也是不能訪問教育網的。在每年期末考試后,老師在線提交成績時,都要登錄學校內部“教務處”的網站在線提交,這時也只能到學校提交。
為此,校園網的建設可采用多ISP連接的網絡訪問模式:在原有的教育網出口的基礎上增加一個當?shù)豂SP(移動、聯(lián)通或電信寬帶ISP)出口,形成多ISP連接的校園網絡結構,并且需學校的網絡中心在學校組建VPN服務器,供教職工在校外使用校內資源。在組建VPN服務器時,使用當?shù)豂SP出口,為校外的教職工提供VPN接入服務,因為校外教職工大多使用當?shù)豂SP提供的ADSL寬帶業(yè)務。當校外職工使用VPN接入學校的VPN服務器后,就可以訪問校園網與教育網上的資源,這將為教職工提供很大的便利。
2.VPN關鍵技術研究
⑴隧道技術:隧道是指在公用網建立一條數(shù)據(jù)通道,讓數(shù)據(jù)包通過這條隧道傳輸。隧道技術可分別以第2層或第3層隧道協(xié)議為基礎。第2層隧道協(xié)議對應于OSI模型的數(shù)據(jù)鏈路層,使用幀作為數(shù)據(jù)交換單位。PPTP(點對點隧道協(xié)議)、L2TP(第二層隧道協(xié)議)和L2F(第2層轉發(fā)協(xié)議)都屬于第2層隧道協(xié)議,是將用戶數(shù)據(jù)封裝在點對點協(xié)議(PPP)幀中通過互聯(lián)網發(fā)送。第3層隧道協(xié)議對應于OSI模型的網絡層,使用包作為數(shù)據(jù)交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協(xié)議,是將IP包封裝在附加的IP包頭中,通過IP網絡傳送。無論哪種隧道協(xié)議都是由傳輸?shù)妮d體、不同的封裝格式以及用戶數(shù)據(jù)包組成的。它們的本質區(qū)別在于,用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。
⑵安全技術:VPN安全技術主要包括加解密技術、密鑰管理技術、使用者與設備身份認證技術。加解密技術是數(shù)據(jù)通信中一項較成熟的技術,VPN可直接利用現(xiàn)有技術;密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網上安全地傳遞密鑰而不被竊取;使用者與設備身份認證技術最常用的是使用者名稱與密碼認證等方式。
3.基于VPN技術的多出口校園網的設計
3.1 網絡結構規(guī)劃
為了滿足可擴展性和適應性目標,網絡結構采用典型的層次化拓撲,即核心層、分布層、訪問層。核心層路由器用于優(yōu)化網絡可用性和性能,主要承擔校園網的高速數(shù)據(jù)交換任務,同時要為各分布層節(jié)點提供最佳數(shù)據(jù)傳輸路徑;分布層交換機用于執(zhí)行策略,分別連接圖書館、辦公樓、實驗樓以及各院系;接入層通過低端交換機和無線訪問節(jié)點連接用戶。畢業(yè)論文。網絡拓撲圖如圖1所示。
圖1 網絡拓撲圖
3.2 網絡工作原理
在該組網方案中,學校通過核心層路由器分別接入教育網與Internet,然后通過一硬件防火墻與分布層交換機連接,分布層交換機負責連接圖書館、辦公樓、實驗樓以及各院系的接入層設備,校園網內的終端計算機直接與接入層設備相連。終端計算機可直接使用教育網分配的IP地址。校園網內有一臺安裝了ISAServer2006的VPN服務器,給其分配一個教育網IP地址(假設Ip:202.102.134.100,網關地址202.102.134.68),在防火墻中將一個公網地址(假設為222.206.176.12)映射到該地址。VPN服務器可通過“防火墻”與“核心層路由器”訪問Internet與教育網,Internet上的用戶,可以通過“Internet上的VPN客戶端—>Internet網絡—>核心層路由器—>防火墻—>分布層交換機—>ISA Server2006VPN服務器”的路線連接到VPN服務器,之后,ISAServer2006 VPN服務器通過防火墻和核心層路由器訪問教育網,并且ISA Server2006 VPN服務器通過分布層交換機提供了到學校內網的訪問。
3.3 技術要點
⑴防火墻內網地址問題。如果防火墻是透明模式接入,各個網口是不需要地址的。若防火墻是假透明,就需要給防火墻的每個網口配置同一個網段的IP。如果是路由模式,需要給防火墻的每個網口配置不同網段的IP,就象路由器一樣。現(xiàn)在有一些防火墻已經有所謂的混合模式,也就是透明和路由同時工作,這屬于路由模式的擴展。畢業(yè)論文。
⑵VPN服務器的注意事項。ISA Server2006VPN服務器要求至少有“兩塊網卡”才能做VPN服務器,若服務器上只有一塊網卡,需為其安裝一塊“虛擬網卡”。另外,VPN服務器不一定要直接連接在分布層交換機上,也可以是圖書館、辦公樓、實驗樓以及各院系的一臺服務器,只要映射一個公網地址即可。
⑶設定ISA Server2006接受VPN呼叫。VPN 可通過默認設置的動態(tài)主機配置協(xié)議(Dynamic Host Configuration Protocol,DHCP)或者通過使用路由選擇和遠程訪問控制臺分配的一組地址來分配地址。如果選擇了DHCP,VPN客戶端永遠不會同DHCP服務器進行直接通信,運行ISA Server2006的VPN服務器將分配從DHCP服務器所獲得的地址;它將基于運行ISA Server2006的VPN 服務器的內部接口配置來分配名稱服務器地址。如果擁有多個內部接口,運行ISA Server的VPN 服務器將選擇其中之一。
⑷VPN客戶端地址的分配。在給VPN客戶端分配IP地址時,在為VPN客戶端分配IP地址的時候,要保證所分配的地址不能與VPN服務器本身以及VPN服務器所屬內網、公網的地址沖突,否則VPN客戶端在訪問內網時,會造成尋址問題而不能訪問。畢業(yè)論文。為了避免出現(xiàn)問題,直接分配私網的IP地址即可,比如192.168.14.0/24網段。另外,校園網外的教職工,在撥叫VPN服務器時,應是防火墻映射的地址,本文中即222.206.176.12。
4.結束語
多出口是目前許多高校組建校園網時所采取的方式,多出口解決了教育網與Internet之間的出口速度很慢的問題,將VPN技術應用到具有多出口的高校校園網,可以讓校外Internet用戶更容易、更方便的獲得對教育網、校園網數(shù)字資源的使用權。
參考文獻
[1]曹利峰,杜學繪,陳性元.一種新的IPsecVPN的實現(xiàn)方式研究[J].計算機應用與軟件,2008,07
[2]賈毅峰.雙出口校園網中策略路由的應用[J].銅仁學院學報,2009,11
[3]吳建國,王鐵,許興華.校園網雙(多)出口的基本解決策略和方法[J].云南師范大學學報,2010.01
篇4
一、引言
隨著科學技術的飛速發(fā)展,國內外各高校圖書館之間的交流合作不斷深化、師生員工對于知識的需求多元化,迫使各高校圖書館集中科研力量開發(fā)新型借閱系統(tǒng)、利用新興網絡技術建設一個既能滿足當前應用又能滿足長遠發(fā)展需求的數(shù)字圖書館網絡平臺。但是在建設數(shù)字圖書館的過程中很多高校遇到了一些問題:電子書商基于對產品版權的保護,在電子資源中設置數(shù)字版權(DRM),限制了訪問的IP地址范圍,這與師生員工利用公共網絡帳號(網絡運營商提供的動態(tài)分配IP地址的上網帳號)訪問校園內網(專用網絡)的電子資源的權限沖突,導致師生員工無法檢索需要的信息資料,直接造成許多圖書館電子資源的閑置和浪費,使得投入和產出不成正比,影響了數(shù)字圖書館的合理化建設。面對這種情況,VPN技術為我們提供了一套可管理、可認證、安全的遠程訪問電子資源的解決方案。
二、VPN技術簡介
1.VPN簡述
VPN(Virtual Private Network)可譯為“虛擬專用網”。它并不是一個新名詞,因為在電信服務的電話網絡中早就提出了VPN的概念。VPN不是真的專用網絡,但是卻能實現(xiàn)專用網絡的功能。因特網工程技術委員會(IETF)對的VPN的解釋是:通過公共網絡建立一個臨時的、安全的、私有的點對點連接,通過對網絡數(shù)據(jù)的封包和加密傳輸,從而實現(xiàn)在公網上傳輸私密數(shù)據(jù),并達到私有專用網絡的安全級別。VPN網絡的認證機制很好的保護了用戶收發(fā)數(shù)據(jù)的完整性、準確性,避免收發(fā)的數(shù)據(jù)不相符;而且VPN技術本身對網絡流量能進行預測和控制,實現(xiàn)網絡帶寬的優(yōu)化管理,從而避免在互聯(lián)網使用高峰期造成網絡堵塞,提高了數(shù)據(jù)傳輸?shù)馁|量;另外,單位、企業(yè)很在意的經濟投入也是非常的合理、節(jié)約,只要一次性購買VPN設備(包括服務器、路由器等),而不再需要增購其它的存儲設備,進行重復性建設,并且VPN網絡更不用考慮線路帶寬的利用率和費用的問題。一旦組建好VPN網絡之后只須安排一個專業(yè)技術員對其進行日常的管理維護(主要是安全管理、設備正常運行監(jiān)控、配置管理、訪問控制列表管理等)即可。此外,現(xiàn)有公共網絡提供多種接入方式,如:PSTN撥號、ADSL、CableModem、小區(qū)寬帶等,VPN網絡也可以根據(jù)各種接入方式的信息量、實時性及通信條件等情況,分別選擇不同的速率與之鏈接;同時,VPN網絡能夠支持任何類型的數(shù)據(jù)流,支持多種類型的傳輸媒介,滿足同步傳輸語音、圖像的需求,方便增加新的節(jié)點,增加訪問用戶的數(shù)量,具有很高的可擴充性能。
2.VPN關鍵技術
那么,VPN是采用什么技術和協(xié)議來很好的發(fā)揮它的特點的?首先我們需要了解國際標準組織制定的OSI網絡模型,它把傳統(tǒng)Internet網絡分為7層:物理層、數(shù)據(jù)鏈路層、網絡網際協(xié)議層、數(shù)據(jù)信息傳送層、對話層、表示層和應用層;最底層是物理層,而最高層是應用層,VPN技術利用這個OSI模型為基礎,開發(fā)出目前主流的三類Internet VPN遠程安全接入技術(基于網絡協(xié)議第三層的安全鏈接技術IPSecVPN、基于多協(xié)議的標記交換技術MPLS VPN、基于網絡協(xié)議第七層的安全鏈接技術SSL VPN)。這些VPN技術具有類似的功能,但也存在著不同特性和各自擅長的應用取向。無論采用什么技術標準的VPN網絡運用下面四種核心手段保證通信安全。
1)隧道技術(Tunneling)
隧道技術是VPN網絡的基本技術,并依靠多種隧道協(xié)議來完成,例如:PPTP(點對點
隧道協(xié)議)、PPP(點對點通信協(xié)議)、L2F(數(shù)據(jù)鏈路層轉發(fā)協(xié)議)、L2TP(數(shù)據(jù)鏈路層隧道協(xié)議)等。目前比較流行的隧道協(xié)議是IPSec(網絡協(xié)議安全標準)與SSL(安全認證應用層標準)協(xié)議的結合,使用此協(xié)議可以很容易地建立IP層(網絡協(xié)議第三層)用戶的要求,也可以實現(xiàn)需要C/S(客戶機/服務器)架構或者B/S(瀏覽器/服務器)架構的數(shù)據(jù)管理信息系統(tǒng)的要求。
2)加密&解密技術(Encryption&Decryption)
加密&解密技術是網絡實時數(shù)據(jù)通信中一項比較成熟的技術,VPN可以直接利用此項技術。現(xiàn)行VPN使用的加密&解密技術主要有兩種:對稱加密(單鑰加密)算法和不對稱加密(公鑰加密)算法。其中不對稱加密算法生成的密鑰用戶管理方便,占用存儲空間小,所以此算法是目前VPN網絡中使用最為廣泛的算法。
3)密鑰管理&交換技術(KeyManagement)
密鑰管理&交換技術是保護在公共網絡上傳輸?shù)乃接袛?shù)據(jù)流可以安全地傳遞密鑰、識別密鑰從而進行數(shù)據(jù)交換。為了使數(shù)據(jù)可以安全、準確、及時地傳遞,國際標準組織制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密鑰管理&交換協(xié)議,進而形成了現(xiàn)行的密鑰管理&交換機制,主要有三種:KMI機制(基于傳統(tǒng)網絡)、PKI機制(基于開放網絡)和SPK機制(基于大規(guī)模專用網絡),最為廣泛使用的是KMI機制。
4)使用者身份認證技術(Authentication)
使用者身份認證技術最常用的是用戶名、口令或智能卡認證(特殊的U盤)等方式。在實際應用中,移動用戶使用智能卡方式,此卡內存貯有用戶登錄VPN網絡所要求的各項相關數(shù)據(jù)信息;遠程非移動用戶采用用戶名與口令方式來登錄,例如ADSL連接方式則在撥號時實現(xiàn),如果是專線用戶則在路由器中實現(xiàn),此用戶名與口令一般不需要登錄用戶來干預,所以用戶訪問VPN網絡就如同在局域網內一樣方便。
如今,VPN技術突飛猛進,又出現(xiàn)許多新技術元素,所以VPN技術的發(fā)展前景很廣闊。而解決數(shù)字圖書館建設中的一些疑難問題就目前看來采用VPN技術是一種很高效的解決辦法。
三、數(shù)字圖書館建設中幾種常見(VPN)模式
在各個高校數(shù)字圖書館建設過程中,根據(jù)師生用戶群的使用特點以及應用環(huán)境的不同,VPN大致可采用三種不同的解決方案:遠程訪問虛擬網(AccessVPN)、校園內部虛擬網(IntranetVPN)和校園擴展虛擬網(ExtranetVPN)。
1.遠程訪問虛擬網(AccessVPN):如果圖書館員或者師生用戶需要移動或者遠程訪問圖書館或者圖書館開展遠程教育,就可以考慮使用AccessVPN。AccessVPN通過使用與專用網絡相同策略的共享基礎設施(公共骨干網),提供圖書館內網和公共網絡之間的安全連接。AccessVPN能使圖書館所有用戶隨時、隨地以其所需的方式辦理圖書館各種業(yè)務。
2.圖書館內部虛擬網(IntranetVPN):近年來隨著高校規(guī)模的不斷擴大,辦學方式的不斷豐富,各大高校都呈現(xiàn)多校區(qū)辦學模式,圖書館也不例外,許多高校圖書館組建分支機構,這樣就可以考慮使用IntranetVPN。IntranetVPN通過公用網服務商提供的QoS機制(能自動識別數(shù)據(jù)包并轉發(fā)到對應的地址去),使圖書館與各個校區(qū)分支機構的路由器之間建立VPN安全隧道,保證圖書館各個分支機構能實時、準確的與主機構之間交換數(shù)據(jù)。論文參考網。
3.圖書館擴展虛擬網(ExtranetVPN):其實這種應用模式只是圖書館內部虛擬網的擴展,這種模式為圖書館和電子資源供應商的網站平臺之間提供了一種安全的連接通道,例如電子書商提供圖書館內網遠程鏡像訪問企業(yè)主站的安全訪問模式和各高校圖書館之間的合作,就可以考慮使用ExtranetVPN。論文參考網。ExtranetVPN更多的是考慮協(xié)調和安全問題。
以上提供的幾種圖書館VPN解決方案常常通過軟、硬件以及輔助設備把他們結合起來使用,這樣就大大豐富了VPN技術在圖書館數(shù)字化建設中的作用。
四、VPN在安徽農業(yè)大學圖書館中的應用
安徽農業(yè)大學是安徽省一所省屬重點綜合性大學,安徽農業(yè)大學的數(shù)字圖書館建設也采用VPN技術來實現(xiàn)校外公網訪問校內資源,實現(xiàn)學校的公共資源的充分利用。
現(xiàn)階段,安徽農業(yè)大學圖書館還沒有分館,所以VPN技術主要應用于校外師生用戶通過公共網絡訪問圖書館電子資源。學校采用一家很有實力的網絡技術公司的M5600 SSL VPN路由器構建VPN網絡,這種VPN路由器主要采用使用者用戶名認證技術保證校外師生用戶通過公共網絡正確訪問圖書館電子資源。論文參考網。根據(jù)目前的需求可以看出,現(xiàn)階段的用戶群還是比較集中和狹窄的,這也是為了保護學校資源和電子書商的版權。但是,為了能在不遠的將來使圖書館資源利用率達到最優(yōu)化,學校購買的VPN路由器是智能化和可升級的,這樣就足以保證數(shù)字圖書館建設的可持續(xù)發(fā)展。
總之,VPN的應用前景是很廣闊的,不僅僅是解決公共網絡訪問內網資源的問題;可以預見,數(shù)據(jù)共享是未來圖書館的發(fā)展趨勢。各高校圖書館都會建設專有VPN網絡,從而使信息資源全球化、集成化、多元化。
[參考文獻]
1.李紅艷. VPN技術在高校圖書館網絡系統(tǒng)設計中的應用[J]. 中國期刊網CNKI數(shù)字圖書館,科技情報開發(fā)與經濟,第16卷第21期,2006年.
2.唐淑娟,秦一方,井向陽. VPN技術與圖書館資源遠程利用[J]. 中國期刊網CNKI數(shù)字圖書館,情報探索,第1期,2007年1月.
篇5
1 引言
信息技術的迅速發(fā)展和廣泛應用,不僅改變著人們的工作和生活方式,也改變著教育和學習方式,也促進了國內外數(shù)字資源的突飛猛進發(fā)展,高校圖書館購買的數(shù)字資源也越來越多,可供師生訪問的資源日漸增多,但是數(shù)據(jù)庫資源的知識產權和版權等因素使得相當部分數(shù)字資源使用范圍有限,只能在校園網內部訪問,不能對外網開放。電大開放教育以學生為中心,具有開放性、靈活性、針對性和適應性等特點,主要運用衛(wèi)星、電視、互聯(lián)網、移動終端等信息化手段和多種教學媒介,構建全民多樣化終身學習型社會。國家開放大學數(shù)字圖書館的服務對象是開放大學及電大系統(tǒng)的師生,但他們多數(shù)是在職在崗的成人,學習的地方相對分散,到校園圖書館利用數(shù)字資源極為不便,也因此形成了開放大學圖書館服務方式的特殊性。為了滿足電大系統(tǒng)教師和學生隨時隨地便捷地使用圖書館數(shù)字資源,國家開放大學數(shù)字圖書館提供遠程訪問服務。
2 遠程訪問數(shù)字圖書館
本文所討論的遠程訪問是校外訪問,就是指非校園網用戶突破校內IP地址的物理限制使用學校購買的數(shù)字化數(shù)據(jù)庫資源。目前遠程訪問圖書館數(shù)字資源有傳統(tǒng)服務器技術、VPN技術、Athens項目、PKI技術、Shibbloeth項目、EZproxy技術等[1]。VPN技術實現(xiàn)遠程訪問已經普遍應用并逐步完善,尤其在遠程訪問圖書館數(shù)字資源中應用更為廣泛。新興的 SSL VPN 技術非常適合移動用戶的遠程接入訪問,該技術集傳統(tǒng)數(shù)據(jù)網絡的安全、快速及共享數(shù)據(jù)庫的低成本且簡單易行等優(yōu)點特點,可以為外部網提供虛擬連接,從而成為高校圖書館為所有非校園網的師生提供資源共享的最理想的方案[2]。
3 VPN概述
VPN(Virtual Private Network)即虛擬專用網絡,是一種網絡新技術,在公用網絡上通過加密、認證、封裝以及密鑰交換技術,建立單位內部專用網絡進行遠程虛擬訪問的連接方式。VPN具有傳輸數(shù)據(jù)安全可靠,連接方便靈活,可完全控制,成本低等特點[3]。
SSL VPN是采用SSL(Secure Sockets Layer,安全套接層)協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術。SSL協(xié)議是基于WEB的安全協(xié)議,使用SSL 協(xié)議進行認證和數(shù)據(jù)加密的VPN就可以免于安裝客戶端。相對于傳統(tǒng)的VPN而言,SSL VPN具有部署簡單,無客戶端,維護成本低,網絡適應強等特點[4]。
4 應用VPN技術訪問數(shù)字圖書館的方法
筆者在教育教學過程中發(fā)現(xiàn)絕大多數(shù)學生不會遠程訪問數(shù)字圖書館,甚至很多教師都不會合理利用網上數(shù)字資源。開放大學圖書館由于涉及數(shù)據(jù)庫資源的知識產權問題,使用范圍有限,在校園網內使用沒有限制,但校外只允許屬于電大的教師和學生作為合法的用戶,提供VPN技術,用戶在登錄后,需要安裝VPN控件,才能正常的打開文獻資源列表。一般情況下,VPN系統(tǒng)會自動檢測電腦系統(tǒng),并引導安裝VPN插件,也可以在網站下載插件安裝包進行安裝。因此要求我們提供用戶名和密碼來進行身份的確認。筆者在教學工作中發(fā)現(xiàn),很多學生寫畢業(yè)論文或教師做課題研究的時候,抱怨找不到資源,找到的資源不完整或者下載需付費,下面簡單介紹校外如何訪問開放大學數(shù)字圖書館(中央廣播電視大學圖書館)。
4.1 開放大學數(shù)字圖書館介紹
國家開放大學數(shù)字圖書館為開放大學及全國電大系統(tǒng)提供一站式、扁平化服務,其中電子圖書書目數(shù)據(jù)達340多萬種、電子圖書全文達234萬種、學術文獻7000多萬篇、社科數(shù)字期刊2800多種,名師講座88624集,基本實現(xiàn)數(shù)字文獻資源全學科覆蓋[5]。主要涵蓋:(1)開放文獻資源列表,提供中央電大圖書館提供的常用電子文獻資源列表;(2)讀者論壇幫助BBS(beta),是開放數(shù)圖論壇讀者幫助模塊,在此可以反饋在使用中存在的問題,提出數(shù)字圖書改進建議;(3)數(shù)字圖書館學習空間,以圖書館培訓、教育為主要內容,同時提供教師自建課程的Moodle教學平臺;(4)電大在線?我的工作室,提供在線教學輔導的全部信息;(5)開放大學講壇,由中央電大圖書館主辦的學術講座平臺,匯集名師名家,深入講解近期發(fā)生的熱點問題,提供最全的視頻資料信息;(6)全國電大圖書館通訊,是圖書館服務與交流電子期刊,提供了最新的電大圖書館工作動態(tài),介紹電大圖書館新引進的和推薦的文獻信息資源等;(7)社會化應用及交流網站等服務。
4.2 安裝VPN控件
開放大學數(shù)字圖書館(http://)通過VPN的方式對開放教育學生以及電大系統(tǒng)教職工提供授權訪問服務。打開頁面“插件”(如上圖),下載“國家開放大學數(shù)字圖書館遠程訪問控件”,即VPN控件,在安裝過程中關閉防火墻和IE安全控(上接81頁)
件軟件,并將圖書館網站的鏈接地址添加到IE信任列表,Windows Vista用戶在安裝控件時請關閉UAC,Windows 7用戶在安裝控件時請對IE點擊右鍵選擇“以管理員身份運行”,再打開安裝頁面。安裝VPN控件后,這個插件要求必須使用IE瀏覽器進行訪問,IE瀏覽器的版本最低為6.0。
4.3 登陸訪問資源列表
點擊“開放數(shù)圖”,學生用電大在線學生證號進行登錄,教師用電大在線用戶名進行登錄,通過點擊開放文獻資源列表標簽,在進入過程中檢查身份的合法性及訪問資源的安全性,檢查完畢進入應用列表,包括CNKI、維普、萬方、超星、龍源、讀秀等數(shù)據(jù)庫,涵蓋了最新期刊、會議論文、學位論文等。
4.4 文獻檢索
以中國知網(CNKI)為例,打開CNKI(國開鏡像版),期刊包括博碩士學位論文、會議、報紙、外文文獻、年鑒、百科、詞典、統(tǒng)計數(shù)據(jù)、專利、標準等內容,通過全文、主題、篇名、關鍵字、摘要、文獻來源等方式輸入關鍵字進行檢索,在檢索結果中打開自己感興趣的文獻進行閱讀、下載。
日新月異的信息技術,促進了教育信息化的迅猛發(fā)展,電大教師的信息技術應用能力、文獻檢索的方法和途徑直接決定了遠程教育教學資源的使用效率和科研水平,因此筆者認為提升師生信息素養(yǎng),加強信息技術應用能力,通過系統(tǒng)內數(shù)字資源應用培訓,從數(shù)字圖書館平臺訪問、國內主要文獻數(shù)據(jù)庫的使用、移動數(shù)字圖書館的使用等方面進行培訓,使教職工掌握數(shù)字文獻資源的使用,提高數(shù)字資源的使用率,充分發(fā)揮資源共享的優(yōu)勢和效益,為教學和科研提供支持。
參考文獻:
[1]張文豐,黃淑敏.開放大學數(shù)字圖書館資源校外訪問方式的研究[J].黑龍江科技信息,2007,(20):146.
[2]付凱東.SSL VPN技術在高校圖書館數(shù)字資源中的應用[J].微計算機信息,2010,26(7-3):107.
[3]百度百科:虛擬專用網絡[EB/OL].http:///view/480950.htm?fromId=19735.
篇6
虛擬專用網即VPN(Virtual Private Network)是利用接入服務器(Access Sever)、廣域網上的路由器以及VPN專用設備在公用的WAN上實現(xiàn)虛擬專用網技術。通常利internet上開展的VPN服務被稱為IPVPN。
利用共用的WAN網,傳輸企業(yè)局域網上的信息,一個關鍵的問題就是信息的安全問題。為了解決此問題,VPN采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。
1. 隧道技術
Internet中的隧道是邏輯上的概念。假設總部的LAN上和分公司的LAN上分別連有內部的IP地址為A和B的微機。總部和分公司到ISP的接入點上的配置了VPN設備。它們的全局IP地址是C和D。假定從微機B向微機A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址是以內部IP地址表示的"目的地址A""源地址B"。因此分組到達分公司的VPN設備后,立即在它的前部加上與全局IP地址對應的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設備從D發(fā)往VPN設備C而添加的。此IP分組到達總部的VPN設備C后,全局IP地址即被刪除,恢復成IP分組發(fā)往地址A。由此可見,隧道技術就是VPN利用公用網進行信息傳輸?shù)年P鍵。為此,還必須在IP分組上添加新頭標,這就是所謂IP的封裝化。同時利用隧道技術,還必須使得隧道的入口與出口相對地出現(xiàn)。
基于隧道技術VPN網絡,對于通信的雙方,感覺如同在使用專用網絡進行通信。
2. 隧道協(xié)議
在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功的使用VPN技術還需要有隧道協(xié)議。
2.1 當前主要的隧道協(xié)議以及隧道機制的分類:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技術,作為一種傳輸協(xié)議L2F支持撥號接入服務器。將撥號數(shù)據(jù)流封裝在PPP幀內通過廣域網鏈路傳送到L2F服務器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP協(xié)議又稱為點對點的隧道協(xié)議。PPTP協(xié)議允許對IP,IPX或NETBEUT數(shù)據(jù)流進行加密,然后封裝在IP包頭中通過企業(yè)IP網絡或公共互連網絡傳送。
⑶ 2TP(Layer 2 Tunneling Protocol)
該協(xié)議是遠程訪問型VPN今后的標準協(xié)議。
L2F、PPTP、L2TP共同特點是從遠程客戶直至內部網入口的VPN設備建立PPP連接,端口用戶可以在客戶側管理PPP。它們除了能夠利用內部IP地址的擴展功能外,還能在VPN上利用PPP支持的多協(xié)議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱作第二層隧道。對于不提供PPP功能的隧道協(xié)議都由標準的IP層來處理,稱其為第三層隧道,以區(qū)分于第二層隧道。
⑷ TMP/BAYDVS
ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠程訪問的VPN協(xié)議,它部分采用了移動IP的機制。ATMP以GRE實現(xiàn)封裝化,將VPN的起點和終點配置ISP內。因此,用戶可以不裝與VPN想適配的軟件。
⑸ PSEC
IPSEC規(guī)定了在IP網絡環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認證頭標(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。
IPSEC隧道模式允許對IP負載數(shù)據(jù)進行加密,然后封裝在IP包頭中,通過企業(yè)IP網絡或公共IP互聯(lián)網絡如INTERNET發(fā)送。
從以上的隧道協(xié)議,我們可以看出隧道機制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡層的網絡,DSI七層網絡中的位置,將自己定義為第二層的隧道分類技術。按照這種劃分方法,從此產生了"二層VPN "與"三層VPN"的區(qū)別。但是隨著技術的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會話加密的SSLVPN技術[2]、基于端口轉發(fā)的HTTPTunnel[1]技術等等。如果繼續(xù)使用這樣的分類,將出現(xiàn)"四層VPN"、"五層VPN",分類教為冗余。因此,目前出現(xiàn)了其他的隧道機制的分類。
2.2 改進后的幾種隧道機制的分類
⑴ J.Heinanen等人提出的根據(jù)隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網仿真方式的VPLS。
例如同樣是以太網的技術,根據(jù)實際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網方式所提供的網絡性能將大有區(qū)別,因此按照接入方式不同來分類也無法表示這幾種方式在網絡性能上的差異,由此將引起在實際應用中對VPN技術選型造成誤導。
⑵ 由于網絡性能是所有網絡技術的重要評價標準。根據(jù)隧道建立的機制對網絡性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網絡信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過公眾網絡傳遞。例如L2TP就是典型的封裝型隧道。
隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標記,直接將數(shù)據(jù)分發(fā)到不同的設備上去。由于不同標記的數(shù)據(jù)包在進入網絡邊緣時已經相互隔離,如果接入網絡的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術一般只能提供點對點的通道,而點對多點的業(yè)務支持能力教差,但是可擴展性,靈活性具有優(yōu)勢。
采用隔離型隧道技術,則不存在以上問題,可以根據(jù)實際需要,提供點對點,點對多點,多點對多點的網絡拓撲。
3. 諸種安全與加密技術
IPVPN技術,由于利用了Internet網絡傳輸總部局域網的內部信息,使得低成本,遠距離。但隨之而來的是由于Internet技術的標準化和開放性,導致威脅網絡的安全。雖然可采取安全對策的訪問控制來提高網絡的安全性,但黑客仍可以從世界上任何地方對網絡進行攻擊,使得在IPVPN的網點A和網點B之間安全通信受到威脅。因此,利用IPVPN通信時,應比專線更加注意Internet接入點的安全。為此,IPVPN采用了以下諸種安全與加密技術。[2]
⑴ 防火墻技術
防火墻技術,主要用于抵御來自黑客的攻擊。
⑵ 加密及防止數(shù)據(jù)被篡改技術
加密技術可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或專用加密)也稱常規(guī)加密,由通信雙方共享一個秘密密鑰。
非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發(fā)送方知道的專用密鑰,另一個則是對應的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術的VPN虛擬專用網,只有采用了以上諸種技術以后,才能夠發(fā)揮其良好的通信功能。
參考文獻
篇7
The Application of SSL VPN Technology in the Computer Network of Teaching Resources
Tan Qinhong
(Tongren Polytechnic,Tongren554300,China)
Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.
Keywords:Computer teaching resources network;Network security;SSL VPN
一、校園網計算機教學系統(tǒng)面臨的安全風險分析
隨著國家教育事業(yè)的快速發(fā)展以及IT技術的迅猛發(fā)展,人們的生產、生活方式發(fā)生了翻天覆地的變化,傳統(tǒng)的教室內黑板面授教學模式已經不能完全滿足當代的教學工作,必須有一種新的教學方式來彌補傳統(tǒng)教學模式單一的不足,計算機教學應運而生,特別是計算機多媒體教學。計算機教學方式中,學習的人可以隨時隨地的學習,不受時間和空間的限制,并且具有學習成本低廉等一系列優(yōu)點,因此計算機教學受到越來越多的歡迎。
為方便教師和學生等對教學資源的外部訪問,存儲有教學資源的網絡大多與互聯(lián)網相連,難免會受到來自于網絡內部和外部的攻擊,計算機網絡的大多設備或軟件為國外生產,其中可能存在一些后門程序,操作系統(tǒng)、應用系統(tǒng)等都存在大量的漏洞可以讓攻擊者利用,計算機病毒等惡意程序、SQL注入攻擊、跨站腳本攻擊、DDOS攻擊、釣魚網站的泛濫讓校園網的安全形式不容樂觀。
校園網中,用戶有學生、教師、外部學習者等主體,教學資源的訪問主體的身份不好控制、資源訪問控制困難,很難讓指定的用戶只能訪問指定的資源,不能訪問其它非授權訪問資源、用戶對資源的訪問不具有抗抵賴等問題。
校園網是學校的門戶,是學校的形象窗口,是學校賴以生存的生產資料的一部分,如果遭到惡意攻擊,導致不能正常對外部提供服務,將對學校造成嚴重損失。
二、SSL VPN簡介
VPN(Virtual Private Network虛擬專用網絡)[1]是一種在公共的網絡基礎平臺(如internet)上建立專用的數(shù)據(jù)通信網絡的技術。VPN通過對數(shù)據(jù)包進行加密和封包,在公共網絡基礎平臺上構建出安全、可靠的專用隧道,使私有數(shù)據(jù)在公共網絡上安全傳輸。用戶使用VPN技術,不需要建設自己的專用網絡,節(jié)省投資,使用便捷,VPN技術因而獲得了廣泛的應用。
VPN技術發(fā)展至今,產生了多個種類,有工作在2層的L2TP VPN,工作在3層的IPsec VPN,工作在傳輸層和應用層之間的SSL(Secure Socket Layer安全套接層)VPN,基于虛擬路由表和標簽轉發(fā)的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用戶通過公共網絡(如internet)接入業(yè)務網絡,在遠程接入上應用廣泛。
SSL是一個獨立于平臺并獨立于應用的協(xié)議,用戶保護基于TCP的應用。在TCP/IP四層架構中,SSL在傳輸層之上,應用層之下,像TCP連接所連接的套接字一樣工作。
SSL VPN技術幫助用戶使用標準的Web瀏覽器就可以通過公共網絡平臺接入所要訪問的遠程資源。在用戶的計算機上,不需要安裝客戶端軟件及進行復雜的配置,大大方便了用戶,僅僅通過一臺接入了Internet的計算機就能訪問遠程資源。這為企業(yè)及政府提高效率也帶來了方便。
用戶所要訪問的資源位于企業(yè)網或者政務網內部,在此情況下,需要部署SSL VPN網關在企業(yè)網或者政務網的邊緣,介于服務器與遠程用戶之間,控制二者的通信。如下圖所示:
SSL VPN網關除了作為隧道的終點,還要執(zhí)行以下三種功能:,應用轉換、端口轉發(fā)[2]。
篇8
一、引言
隨著信息化經濟一體化的發(fā)展,實現(xiàn)資源共享是每個企業(yè)追求發(fā)展進步不可或缺的一步。利用隧道技術在公共網絡上建立安全的虛擬專用網絡(VPN)是實現(xiàn)資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個比較主流的VPN技術。
二、IPSec VPN
IPSec VPN即指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術,用來提供公用和專用網絡的端對端加密和驗證服務。IPsec給出了應用于IP層上網絡數(shù)據(jù)安全的一整套體系結構,包括AH網絡認證協(xié)議、ESP封裝安全載荷、IKE因特網密鑰交換和用于網絡認證及加密的一些算法等[1]。其中,AH協(xié)議和ESP協(xié)議用來提供安全服務,IKE協(xié)議用于密鑰交換。
(一)認證頭(AH)協(xié)議
IPsec認證頭協(xié)議是IPsec體系結構中的一種主要協(xié)議(AH協(xié)議把AH頭插入IP數(shù)據(jù)包),它為IP數(shù)據(jù)報提供無連接完整性、數(shù)據(jù)源認證、保護以避免重播情況[1]。
(二)封裝安全載荷(ESP)協(xié)議
封裝安全載荷(ESP)協(xié)議是IPsec體系結構中的一種用來提高IP的安全性的主要協(xié)議。ESP加密要保護的數(shù)據(jù)并且在IPsec ESP的數(shù)據(jù)部分進行數(shù)據(jù)的完整性校驗,以達到其數(shù)據(jù)機密性和完整性的目的。ESP提供了與AH相同的安全服務并提供了一種保密。
(三)IKE
IKE是一種混合型協(xié)議,由Internet安全聯(lián)盟(SA)和密鑰管理協(xié)議(ISAKMP)這兩種密鑰交換協(xié)議組成。IKE是以受保護的方式為SA協(xié)商并提供經過認證的密鑰信息的協(xié)議。IKE用于協(xié)商AH和ESP所使用的密碼算法,并將算法所需的必備密鑰放到恰當位置。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協(xié)議協(xié)商SA。
三、MPLS VPN
MPLS VPN與傳統(tǒng)的IPSec VPN不同,MPLS VPN不依靠封裝和加密技術,而是依靠轉發(fā)表和數(shù)據(jù)包的標記來創(chuàng)建一個安全的VPN,MPLS VPN的所有技術產生于Internet。MPLS VPN是一種以MPLS技術為基礎的IP VPN,是在網絡路由和交換設備上應用MPLS(Multiprotocol Label Switching,多協(xié)議標記交換)技術,簡化核心路由器的路由選擇方式,結合傳統(tǒng)路由技術的標記交換實現(xiàn)的IP虛擬專用網絡(IP VPN)。
(一)MPLS VPN的基本原理
每個MPLS VPN網絡的內部是由P(供應商)設備組成,這些設備構成了MPLS的核心,且不直接同CE路由器相連,圍繞在P周圍的PE路由器可以讓MPLS VPN網絡發(fā)揮VPN的作用。在MPLS VPN中,用戶站點通常運行的是IP。它們并不需要運行MPLS和其他特殊的VPN協(xié)議。在PE路由器中,RD對應同每個用戶站點連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置,是設置VPN站點工作的一部分,它并不在用戶設備上進行配置,對于用戶來說是透明的[2]。
(二)MPLS VPN的優(yōu)點
1.減少時延。由于數(shù)據(jù)包不再經過封裝或者加密,所以時延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創(chuàng)建一個專用網,它同幀中繼網絡具備的安全性很相似[2]。
2.配置MPLS VPN網絡的設備比較容易。配置MPLS VPN網絡的設備也變得容易了,僅需配置核心網絡不許訪問CPE。
3.提高了資源利用率。由于在網內使用標簽交換,用戶各個點的局域網可以使用重復的IP地址,提高了IP資源利用率。
4.安全性高。采用MPLS作為通道機制實現(xiàn)透明報文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類似的高可靠安全性。
四、SSL VPN
SSL VPN的出現(xiàn)是為了解決IPSec VPN的固有的缺點,SSL VPN繼承了IPSec VPN的遠程使用與內網使用體驗一致優(yōu)點,避免了因有客戶端而導致的使用維護不便、帶來大量病毒和蠕蟲的入侵、無法與企業(yè)現(xiàn)有認證服務器結合、無法審計等問題[2]。IPSec VPN與SSL VPN的對比。傳統(tǒng)的IPSec VPN在部署時,往往需要在每個遠程接入的終端都安裝相應的IPSec客戶端并需要作復雜的配置。若企業(yè)的遠程接入數(shù)量增多,企業(yè)的維護成本就會隨之增加。而SSL VPN最大的優(yōu)點之一就是不需要安裝客戶端程序遠程用戶可以隨時隨地從任何瀏覽器上安全接入到內部網絡。對比表如下:
五、總結
由于VPN的優(yōu)秀安全特性,讓它越來越受到安全要求較高的企業(yè)或部門的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術增加了VPN通信的安全性。伴隨著VPN的廣泛使用,更加復雜的VPN系統(tǒng)會繼續(xù)出現(xiàn)。所以,其安全策略管理的問題將逐步顯現(xiàn),這方面的研究也將受到高度重視。
篇9
隨著電力信自、化水平的不斷提高,縣級供電企業(yè)綜合管理信息系統(tǒng)開始逐步建立,但基層變電站、鄉(xiāng)鎮(zhèn)供電聽與供電公司局域網聯(lián)網問題嚴重地制約著縣級供電企業(yè)信息系統(tǒng)實用化水平的發(fā)展和信息資源的充分有效利用,這與供電企業(yè)管理發(fā)展的目標追求以及客戶的需求是極不適應的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設工作受地形、人員素質、資金投人等因素影響,解決遠程站點聯(lián)網問題成為縣級供電企業(yè)信自、網絡建設中的突出矛盾。
1廬江供電公司信息化建設現(xiàn)狀
安徽廬江供電公司的信息化上作起步較晚,供電公司總部于X004年實現(xiàn)了生產M I S與辦公自動化OA的單軌制運行,總部信息化運行提高了企業(yè)的整體管理水平和辦公效率。如今,廬江供電公司總部已運行的信息系統(tǒng)有:生產管理系統(tǒng)、辦公自動化系統(tǒng)、檔案管理系統(tǒng)、Web系統(tǒng)、財務管理系統(tǒng),現(xiàn)有的服務器包括:生產服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺,每位管理人員以及每個班組都配有微機。
在實施信息化建設與管理中,深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本,并在生產管理中可將所有設備信息進行分類編號,輸人數(shù)據(jù)庫,實行設備、設施缺陷管理,科學地制定缺陷檢修計劃,提高設備運行可靠度,降低故障率,提高供電可靠性;同時,廬江供電公司的營銷管理信息系統(tǒng)建有業(yè)擴子系統(tǒng)、電量電費f系統(tǒng)、用電檢查子系統(tǒng)、綜合查詢系統(tǒng),通過這些系統(tǒng),可方便與客戶的交流、溝通,節(jié)約成本開支,實現(xiàn)科學化營銷流程管理。這些管理信息系統(tǒng)的應用,加強J’企業(yè)的規(guī)范化管理,增強了管理的科學化水平,減輕了工作人員的負擔,提高了企業(yè)的經濟效益。
為此,廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營銷MIS應用系統(tǒng)的推進力度,進一步減輕了抄表人員的負擔,縮短了開票時間,加強了電費電價的控制與管理,提高了營銷管理自動化水平。全縣17個鄉(xiāng)鎮(zhèn)供電聽,都使用同一版本的營銷MIS應用系統(tǒng)。舟個供電聽都有3臺以上的微機,其中1臺所長用于日常辦公,另外2臺分別作為用電MIS系統(tǒng)的服務器與客戶端,并兼為所里其他工作人員辦公使用。其中,已有10個供電所可利用變電站的光纖系統(tǒng),與廬江供電公司總部實現(xiàn)網絡互聯(lián),提高了工作效率,節(jié)省了開支。其余7個供電所仍不能夠實現(xiàn)信息化共享,這些供電所非常希望盡快網絡互聯(lián)。
2采用VPN方案推進供電所信息化建設進程
這些供電所若使用以前的光纖聯(lián)網方式,不僅投資大,施工工期長,而且日后的維護量也多。考慮到以上原因,為盡快解決其余7個光纖未開通的鄉(xiāng)鎮(zhèn)供電所的網絡互聯(lián)問題,達到信息、共享,推廣鄉(xiāng)鎮(zhèn)供電所的營銷MIS系統(tǒng)應用,公司決定采用虛擬局域網(VPN),在現(xiàn)有設備基礎上,進行簡單的改造。通過在VPN網關中配置7個供電所的用戶、密碼以及訪問策略,并分別在7個供電所安裝VPN客戶端,安裝公司的MIS應用系統(tǒng),實現(xiàn)全公司網絡互聯(lián)。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術,可以在公用的互聯(lián)網上建立安全的虛擬專用網絡(VPN , Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程,該過程把數(shù)據(jù)安全地從一端傳送到另一端,這里數(shù)據(jù)的安全性由可靠的加密技術來保障,而數(shù)據(jù)是在一個開放的、沒有安全保障的、經過路由傳送的網絡上傳輸?shù)摹PN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。
3方案效果比較
對2種方案的可能性進行了比較,如圖1所示。如果廬江供電公司全部運用光纖法來實現(xiàn)供電所的網絡互聯(lián),每個供電所的材料費、施工費按3.5萬元,施工工期10天計算,7個供電所就需要3.5 x 7=24.5萬元,需要10 x 7=70天。若這7個供電所采用VPN方案,只需要購買VPN網關1臺,價值3.5萬元和7個客戶端鑰匙,價值7 x 480=3360元,5天內就能完成7個供電所安裝。因此,應用VPN方案,廬江供電公司就能節(jié)省資金達24 . 5-3 . 836=20.664萬元,縮短工期65天,取得的直接效益是顯著的,并省去了今后光纖線路維護所需要工作量。
現(xiàn)在,這7個鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網,在局域網下載內容的速度可達350 kb/s,生產MIS系統(tǒng)響應時間為2--3 s,辦公自動化系統(tǒng)瀏覽公司收發(fā)的文件、接受電子郵件的時間因文件的大小不同而有所差別,1 MB的文件大約需要8 s。由于ADSL是非對稱數(shù)字環(huán)路,所以發(fā)送電子郵件的速度要慢得多,1 MB的文件大約需要18s。從VPN方案運行效果來看,完全能夠滿足廬江供電公司網絡發(fā)展及MIS系統(tǒng)應用的需要。
4下一步信息化建設的主攻方向
篇10
Zhang Ding-xiang
(Guizhou Commercial College, Guiyang GuizhouGuiyang 550004)
【 Abstract 】 Although at present to provide enterprises with VPN network platform building scheme is more, but the building costs are high, make many enterprise hope and stopped. Therefore, seek a kind of economic and enough VPN network platform construction scheme is very necessary.This paper will introduce a kind of deployment scheme and configuration method which that using ADSL dial-up internet, dynamic DNS technology and software VPN over the internet to construct economic VPN network platform. This program can be used for the construction or upgrading of an enterprise VPN platform.
【 Keywords 】 economical ;VPN; network platform; construction method
1 引言
隨著互聯(lián)網在企業(yè)領域應用的不斷深化,VPN(虛擬專用網)已作為一種安全的局域網遠程擴展方案,并受到越來越多的企業(yè)關注和運用。對于占全國企業(yè)總數(shù)80%的中小型企業(yè)來說,大多數(shù)都需要通過計算機網絡安全地、可靠地、及時地傳輸各種業(yè)務數(shù)據(jù),并希望投入的成本越少越好,還期望原有的和即將發(fā)生的投資都能夠得到長期的保護。因而,為這些企業(yè)尋求一種經濟的夠用的VPN網絡平臺解決方案和實現(xiàn)方法是很有必要的、迫切的。
2 解決方案
在企業(yè)構建VPN平臺過程中,無論采用何種方案都應以追求數(shù)據(jù)傳輸?shù)臋C密性、完整性、可控性和可維護性等為建設目標。這里以論文《集散式中小型企業(yè)遠程數(shù)據(jù)安全傳輸解決方案》中提出的“6+”解決方案為基礎,概要地介紹一種經濟的VPN網絡平臺構建方法,以起到拋磚引玉的作用。“6+” 解決方案為PC機、操作系統(tǒng)、ADSL撥號、DDNS、二級域名、集成型VPN網關軟件6種組件的綜合集成。
2.1 VPN網絡部署拓撲圖
企業(yè)VPN部署的典型拓撲結構圖如圖1所示,企業(yè)總部與互聯(lián)網的連接均通過VPN網關接入,VPN網關通過網線物理連接到ADSL Modem上,ADSL Modem再通過電話線邏輯接入到互聯(lián)網;各分支機構和企業(yè)移動用戶也通過VPN網關接入因特網,接入方式可以不采用ADSL Modem撥號連接。
2.2 方案要點
(1) 選配PC機。總部VPN網關主機選用一臺質量較好的普通PC機即可。主機基本配置要求為Pentium CPU、512MB內存、80GB硬盤、10/100Mbps雙網卡。這些技術參數(shù)也可作為分支機構VPN網關的參考。
(2) 選定主機操作系統(tǒng)。從習慣性和普及性考慮,選用專業(yè)版或服務器版的Windows作為VPN網關(主機)的操作系統(tǒng),如Windows 2000 專業(yè)版、Windows 2003服務器版、Windows XP SP3專業(yè)版等。
(3) 采用ADSL撥號接入互聯(lián)網。總部與因特網的接入方式采用常規(guī)的ADSL Modem撥號接入,目的是可以獲得一個免費的公網IP地址,只不過該IP地址是動態(tài)的,每次撥號時可能獲得不同的IP地址。
(4) DDNS的選用。選用擁有我國自主知識產權的花生殼作為DDNS(動態(tài)域名解析服務系統(tǒng)),花生殼DDNS能自動地準確地將動態(tài)IP地址與固定域名實時綁定,使得VPN客戶端根據(jù)域名就可以隨時找到VPN服務端的動態(tài)公網IP地址。
(5) 二級域名的申請。通常情況下,申請租用一級(頂級)域名都是要付費的,而申請租用二級域名多數(shù)都是免費的。對于構建VPN平臺來說,域名叫什么都無所謂,僅僅是一個符號而已,只要能準確地解析到IP地址即可。為能更好地運用花生殼DDNS解析IP地址,這里在花生殼網站上申請一個二級域名作為VPN服務端網關的域名地址(如“iioffice.省略”)。
篇11
1.引言
網絡流量的指數(shù)級增長,導致網絡數(shù)據(jù)的處理越加復雜,特別是在跨區(qū)域大型企業(yè),政府等部門對新業(yè)務的需求越來越大的情況下,現(xiàn)有城域網絡各方面的瓶頸越來越突出,而且隨著NGN、IPTV等基于IP的話音與視頻業(yè)務的發(fā)展,對城域網與接入網的功能與性能又提出了許多更高更新的要求:高帶寬、高可靠性、高QoS、低延時和靈活的擴展性。網絡處理器,作為新一代的高性能路由器的核心設備,在數(shù)據(jù)傳輸處理方面有許多特別的優(yōu)勢,它不但擁有ASIC處理器的高速高帶寬,而且具有非常強的靈活性高端路由器,同時在流量管理、QoS、OAM等技術也有獨特的優(yōu)勢。
2.城域網技術概述
從橫向劃分,承載網通常可以分為骨干網、城域網與接入網,城域網位于骨干網與接入網的交匯處,是通信網中最復雜的應用環(huán)境,各種業(yè)務和各種協(xié)議都在此匯聚、分流和進出骨干網。多種交換技術和業(yè)務網絡并存的局面是城域網建設所面對的最主要問題。而基于IP/MPLS技術建設多業(yè)務綜合承載網絡已經被全球運營商認同。
在城域網絡中,骨干層通過出口路由器實現(xiàn)與兩張骨干網的連接完成高速的數(shù)據(jù)轉發(fā),并充當IP 城域網出口設備。匯聚層作為IP城域網骨干區(qū)域向下的延伸,與骨干層構成了核心路由區(qū)域,并充當三層MPLS VPN (Multi-PropocolLabel Switching VirtualPrivate Network) 的P 設備論文參考文獻格式。匯聚層BAS (寬帶接入服務器)和路由器以上運行三層網絡,以下視具體的情況運行三層或二層網絡。接入層負責用戶接入,采用二層網絡。
3. NP-3網絡處理器概述
Ezchip公司的NP-3處理器,是一款高靈活性的網絡處理器,它提供10G線速的包處理能力及良好的帶寬控制能力。通過編程能實現(xiàn)如二層交換,Q-in-Q,PBT,T-MPLS,VPLS,MPLS,IPV4/IPV6等多種功能。同時該芯片集成的一個流量控制器,能提供較強的流量管理功能。
NP-3的數(shù)據(jù)處理流圖如圖3.1:
圖3.1:NP-3數(shù)據(jù)處理流圖
TOPparse解析和提取各種數(shù)據(jù)幀的幀頭、地址、端口、協(xié)議等作為查表的關鍵字。同時也可利用硬件或軟件解析報文,過濾非法的畸形報文、攻擊報文。
TOPsearch使用TOPparse提取出的關鍵字查找相關的路由表、會話表、策略表、統(tǒng)計計數(shù)表等。
TOPresolve根據(jù)TOPsearchI查找表所得的結果進行判斷和決策。同時可以通過高學更新會話狀態(tài)信息等。
TOPserach II可選,在TOPresolve完成后,進行比較簡單的額外的數(shù)據(jù)表查找。
TOPmodify對報文的內容進行修改并發(fā)送到不同的路徑上。
4.城域網關鍵技術分析及NP-3平臺下的數(shù)據(jù)轉發(fā)面實現(xiàn)
4.1網絡結構及關鍵技術分析
典型的城域網由服務商骨干網絡(serviceprovider backbone network, SP-BN)和多個服務商網絡(serviceprovider network, SP-N)構成高端路由器,服務商網絡之間通過骨干網連接,用戶之間則通過服務商網絡連接到骨干網,如圖1所示,圖中SP-BN通過MPLS協(xié)議連接,而SP-N通過Q-in-Q(IEEE802.1ad)協(xié)議連接。本文將基于該網絡實例進行研究討論。
圖4.1:城域網絡基本結構
在城域網網絡中涉及的三類關鍵服務:
?點到點二層VPN服務(VPWS)
兩個單獨的用戶站點之間可通過本服務實現(xiàn)二層連接,預先配置好一個統(tǒng)一的服務ID(service ID),建立一條通過SP-N和SP-BN的鏈路論文參考文獻格式。數(shù)據(jù)幀只需通過預先配置好的service ID進行轉發(fā)。如圖4.1中的Client A與Client B之間的二層服務。
?點到多點二層VPN服務(VPLS)
本服務提供了多個站點之間的二層連接,相當于構建了一個虛擬的局域網,數(shù)據(jù)幀的轉發(fā)基于service ID和報文的目的MAC地址(destination MAC address, DA)。如圖4.1中的Client A、Client B、Client C之間的二層服務。
?點到多點路由服務(L3VPN)
本服務提供了多個站點之間的三層連接,同時也能夠實現(xiàn)本城域網絡與外網的連接。在各個用戶站點看來,SP-N就是一個虛擬的私有IP網絡。數(shù)據(jù)幀的轉發(fā)基于service ID和目的IP地址(destination IP address, DIP)。如圖4.1中的Client A、Client B、Client C之間的三層服務
?NP-3硬件支持
NP-3的TOPparse模塊能實現(xiàn)硬件快速分析和提取數(shù)據(jù)報文對應OSI七層網絡模型的關鍵字段,包括MAC地址信息,VLAN標記,以太幀類型,MPLS標簽,IP地址,端口,HTTP,UTL等等。在本設計中,重點是對含有多個VLAN標記和MPLS標簽的復雜城域網服務的快速處理,NP-3能實現(xiàn)至少4級標簽棧的解析,對跨越多重網絡結構的復雜服務有強大的支持能力。
4.2NP-3處理器上的關鍵數(shù)據(jù)轉發(fā)面處理流程分析
NP-3處理器的數(shù)據(jù)轉發(fā)處理能力強,而對于控制協(xié)議的處理能力就較弱。在NP-3上高端路由器,對數(shù)據(jù)幀的處理依賴于以下三個因素:端口的配置,數(shù)據(jù)幀的格式以及網絡所提供的服務。根據(jù)設備的位置,端口的配置又分為四種模式:C-tagged模式,聚合模式,Q-in-Q模式,MPLS模式。
首先確定有幾下幾類數(shù)據(jù)幀:標準以太網幀,Q-in-Q幀,MPLS封裝的IP幀,各幀的結構如下。
?標準以太網幀,有三種類型:
DA
SA
0X800
IF
DATA
DA
SA
0X8100
C_TAG
0X800
IF
DATA
DA
SA
0X8100
C_TAG1
0X8100
C_TAG2
0X800
篇12
1.信息安全保護能力技術要求分類中,業(yè)務信息安全類記為A。
錯誤
2.OSI安全體系結構標準不是一個實現(xiàn)的標準,而是描述如何設計標準的標準。正確
3.只靠技術就能夠實現(xiàn)安全。
錯誤
4.災難恢復和容災是同一個意思。
正確
5.VPN與防火墻的部署關系通常分為串聯(lián)和并聯(lián)兩種模式。
正確
6.美國的布什切尼政府把信息高速公路,互聯(lián)網的發(fā)展推動起來了。
錯誤
7.兩種經濟形態(tài)并存的局面將成為未來世界競爭的主要格局。
正確
8.電子商務是成長潛力大,綜合效益好的產業(yè)。
正確
9.電子商務促進了企業(yè)基礎架構的變革和變化。
正確
10.在企業(yè)推進信息化的過程中應認真防范風險。
正確
11.科研課題/項目是科學研究的主要內容,也是科學研究的主要實踐形式,更是科研方法的應有實踐范疇,是科研管理的主要抓手。
正確
12.科研方法注重的是研究方法的指導意義和學術價值。
錯誤
13.西方的“方法”一詞來源于英文。
錯誤
14.科學觀察可以分為直接觀察和間接觀察。
正確
15.統(tǒng)計推論目的是對整理出的數(shù)據(jù)進行加工概括,從多種角度顯現(xiàn)大量資料所包含的數(shù)量特征和數(shù)量關系。
錯誤
16.學術論文是學位申請者為申請學位而提交的具有一定學術價值的論文。
錯誤
17.期刊論文從投稿到發(fā)表需要有一個編輯評價的標準,但是它更需要有一個質量的監(jiān)控體系、監(jiān)控體制。
正確
18.科研成果是衡量科學研究任務完成與否、質量優(yōu)劣以及科研人員貢獻大小的重要標志。正確
19.一稿多投產生糾紛的責任一般情況由作者承擔。
正確
20.知識產權保護的工程和科技創(chuàng)新的工程是一個系統(tǒng)的工程,不是由某一個方法單獨努力就能做到的,需要國家、單位和科研工作者共同努力。
正確
二、單項選擇(每題2分)
21.信息安全的安全目標不包括(C)。
A、保密性
B、完整性
D、可用性
22.《計算機信息系統(tǒng)安全保護條例》規(guī)定,(B)主管全國計算機信息安全保護工作。
A、國家安全部
B、公安部
C、國家保密局
D、教育部
23.《計算機信息系統(tǒng)安全保護條例》第14條規(guī)定:“對計算機信息中發(fā)生案件,有關使用單位應當在24小時內向當?shù)兀˙)人民政府公安機關報告。”
A、區(qū)級以上
B、縣級以上
C、市級以上
D、省級以上
24.根據(jù)SHARE 78標準,在(D)級情況下,備份中心處于活動狀態(tài),網絡實時傳送數(shù)據(jù)、流水日志、系統(tǒng)處于工作狀態(tài),數(shù)據(jù)丟失與恢復時間一般是小時級的。
A、本地冗余設備級
B、應用冷備級
C、數(shù)據(jù)零丟失級
D、應用系統(tǒng)溫備級
25.(A)是密碼學發(fā)展史上唯一一次真正的革命。
A、公鑰密碼體制
B、對稱密碼體制
C、非對稱密碼體制
D、加密密碼體制
26.以下(C)不屬于計算機病毒特征。
A、潛伏性
B、傳染性
C、免疫性
D、破壞性
27.在進行網絡部署時,(B)在網絡層上實現(xiàn)加密和認證。
A、防火墻
B、VPN
C、IPSec
D、入侵檢測
28.美國(A)政府提出來網絡空間的安全戰(zhàn)略
A、布什切尼
B、克林頓格爾
C、奧巴馬克林頓
D、肯尼迪
29.對于電子商務發(fā)展存在的問題,下列說法中錯誤的是(C)
A、推進電子商務發(fā)展的體制機制有待健全
B、電子商務發(fā)展的制度環(huán)境不完善
C、電子商務的商業(yè)模式成熟
D、電子商務對促進傳統(tǒng)生產經營模
30.下列選項中,不屬于電子商務規(guī)劃框架的是(C)
A、應用
B、服務
C、物流
D、環(huán)境
31.(D)是創(chuàng)新的基礎。
A、技術
C、人才
D、知識
32.兩大科研方法中的假設演繹法以(B)為代表。
A、達爾文的《進化論》
B、笛卡爾的《論方法》
C、馬克思的《資本論》
D、弗蘭西斯?培根的《新工具》
33.以下不屬于理論創(chuàng)新的特征的是(D)
A、繼承性
B、斗爭性
C、時代性
D、減速性
34.(A)主要是應用已有的理論來解決設計、技術、工藝、設備、材料等具體技術問題而取得的。
A、科技論文
B、學術論文
C、會議論文
D、學位論文
35.(B)是通過查閱相關的紙質或電子文獻資料或者通過其他途徑獲得的行業(yè)內部資料或信息等。
A、直接材料
B、間接材料
C、加工整理的材料c
D、實驗材料
36.(C)是整個文章的整體設計,不僅能指導和完善文章的具體寫作,還能使文章所表達的內容條理化、系統(tǒng)化、周密化。
A、摘要
B、引言
C、寫作提綱
D、結論
37.期刊論文的發(fā)表載體是(C)。
A、娛樂雜志
B、生活雜志
C、學術期刊
D、新聞報紙
38.(B)是指科研課題的執(zhí)行人在科研過程中要向科研主管部門或課題委托方匯報研究工作的進度情況以及提交階段性成果的書面材料。
A、開題報告
B、中期報告
C、結項報告
D、課題報告
39.我國于(A)年實施了《專利法》。
A、1985
B、1986
C、1987
D、1988
40.知識產權具有專有性,不包括以下哪項(D)。
A、排他性
B、獨占性
C、可售性
三、多項選擇(每題2分)
41.我國信息安全管理政策主要包括(ACD)。
A、法律體系
B、行政體系
C、政策體系
D、強制性技術標準
E、道德體系
42.信息系統(tǒng)安全的總體要求是(ABCD)的總和。
A、物理安全
B、系統(tǒng)安全
C、網絡安全
D、應用安全
E、基礎安全
43.網絡隔離技術發(fā)展經歷了五個階段:(ABCDE)。
A、完全的物理隔離階段
B、硬件的隔離階段
C、數(shù)據(jù)轉播隔離階段
D、空氣開關隔離階段
E、完全通道隔離階段
44.以下屬于我國電子政務安全工作取得的新進展的有(ABCDE)
A、重新成立了國家網絡信息安全協(xié)調小組
B、成立新一屆的國家信息化專家咨詢委員會
C、信息安全統(tǒng)一協(xié)作的職能得到加強
D、協(xié)調辦公室保密工作的管理得到加強
E、信息內容的管理或網絡治理力度得到了加強
45.下列說法正確的是(ABCDE)
A、電子商務產業(yè)是以重大技術突破和重大發(fā)展需求為基礎的新興產業(yè)
B、電子商務對經濟社會全局和長遠發(fā)展具有重大引領帶動作用
C、電子商務是知識技術密集的產業(yè)
D、電子商務是物質資源消耗少的產業(yè)
E、應把優(yōu)先發(fā)展電子商務服務業(yè)放到重要位置
46.科研論文按發(fā)表形式分,可以分為(ABE)
A、期刊論文
B、學術論文
C、實驗論文
D、應用論文
E、會議論文
47.學術期刊的文章類型有(ABC)。
A、綜述性的文章
B、專欄性的文章
C、報道性的文章
D、文言文
E、以上都正確
48.期刊發(fā)表的周期有(BCDE)。
A、日刊
B、周刊
C、半月刊
D、月刊
E、旬刊
49.知識產權的三大特征是(ABC)。
B、時間性
C、地域性
D、大眾性
E、以上都不正確
50.從個人層面來講,知識產權保護的措施有(ABC)。
A、在日常的科研行為中一定要有相應的行動策略
B、在科研轉化的過程中,要注意保護自己的著作權
篇13
1.1校園電子商務的概念。
校園電子商務是電子商務在校園這個特定環(huán)境下的具體應用,它是指在校園范圍內利用校園網絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校本論文由整理提供園內單位、企業(yè)和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)。
1.2校園電子商務的特點。
相對于一般電子商務,校園電子商務具有客戶群本論文由整理提供穩(wěn)定、網絡環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務性大于盈利性等特點,這些特點也是校園開展電子商務的優(yōu)勢所在。與傳統(tǒng)校園商務活動相比,校園電子商務的特點有:交易不受時間空間限制、快捷方便、交易成本較低。
2校園電子商務的安全問題
2.1校園電子商務安全的內容。
校園電子商務安全內容從整體上可分為兩大部分:校園網絡安全和校園支付交易安全。校園網絡安全內容主要包括:計算機網絡設備安全、計算機網絡系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內容涉及傳統(tǒng)校園商務活動在校園網應用時所產生的各種安全問題,如網上交易信息、網上支付以及配送服務等。
2.2校園電子商務安全威脅。
校園電子商務安全威脅同樣來自網絡安全威脅與交易安全威脅。然而,網絡安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網絡安全是基礎,是交易安全的保障。校園網也是一個開放性的網絡,它也面臨許許多多的安全威脅,比如:身份竊取、非本論文由整理提供授權訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務、交易否認、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內部人員的不規(guī)范使用和惡意破壞等。校園網的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞;篡改信息是非法用戶對交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認交易行為,交易抵賴也是校園電子商務安全面臨的主要威脅之一。
2.3校園電子商務安全的基本安全需求。
通過對校園電子商務安全威脅的分析,可以本論文由整理提供看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統(tǒng)的整體規(guī)劃可以提高其安全需求。
3校園電子商務安全解決方案
3.1校園電子商務安全體系結構。
校園電子商務安全是一個復雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務的安全需求,通過對校園人文環(huán)境、網絡環(huán)境、應用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結合的電子商務的安全技術,總結校園電子商務安全體系本論文由整理提供結構,如圖所示:
上述安全體系結構中,人文環(huán)境層包括現(xiàn)有的電子商務法律法規(guī)以及校園電子商務特有的校園信息文化,它們綜合構成了校園電子商務建設的大環(huán)境;基礎設施層包括校園網、虛擬專網VPN和認證中心;邏輯實體層包括校園一卡通、支付網關、認證服務器和本論文由整理提供交易服務器;安全機制層包括加密技術、認證技術以及安全協(xié)議等電子商務安全機制;應用系統(tǒng)層即校園電子商務平臺,包括網上交易、支付和配送服務等。
針對上述安全體系結構,具體的方案有:
(1)營造良好校園人文環(huán)境。加強大學生本論文由整理提供的道德教育,培養(yǎng)校園電子商務參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念,共
同營造良好的校園電子商務人文環(huán)境,防止人為惡意攻擊和破壞。
(2)建立良好網上支付環(huán)境。目前我國高校大都建立了校園一卡通工程,校園電子商務系統(tǒng)可以采用一卡通或校園電子帳戶作為網上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián),由學校結算中心專門處理與金融機構的業(yè)務,可以大大提高校園網上支付的安全性。
(3)建立統(tǒng)一身份認證系統(tǒng)。建立校園統(tǒng)一身份認證系統(tǒng)可以為校園電子商務系統(tǒng)提供安全認證的功能。
(4)組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學校內部或校園附近,只需要很少的人員就可以解決物流配送問題,而本論文由整理提供不需要委托第三方物流公司,在校園內建立一個物流配送團隊就可以準確及時的完成配送服務。
3.2校園網絡安全對策。
保障校園網絡安全的主要措施有:
(1)防火墻技術。利用防火墻技術來實現(xiàn)校園局域網的安全性,以解決訪問控制問題,使只有授權的校園合法用戶才能對校園網的資源進行訪問本論文由整理提供,防止來自外部互聯(lián)網對內部網絡的破壞。
(2)病毒防治技術。在任何網絡環(huán)境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網雖然是局域網,可是免不了計算機病毒的威脅,因此,加強病毒防治是保障校園網絡安全的重要環(huán)節(jié)。
(3)VPN技術。目前,我國高校大都已經建立了校園一卡通工程,如果能利用VPN技術建立校園一卡通專網就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸。有效保證了網絡的安全性和穩(wěn)定性且易于維護和改進。
3.3交易信息安全對策。
針對校園電子商務中交易信息安全問題,可以用電子商務的安全機制來解決,例如數(shù)據(jù)加密技術、認證技術和安全協(xié)議技術等。通過數(shù)據(jù)加密,可以保證信息的機密性;通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認性的問題;通過安全協(xié)議方法,建立安全信息傳輸通道來保證電子商務交易過程和數(shù)據(jù)的安全。
(1)數(shù)據(jù)加密技術。加密技術是電子商務中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數(shù)據(jù)的機密,主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。
(2)認證技術。認證技術是保證電子商務交易安全的一項重要技術,它是網上交易支付的前提,負責對交易各方的身份進行確認。在校園電子商務本論文由整理提供中,網上交易認證可以通過校園統(tǒng)一身份認證系統(tǒng)(例如校園一卡通系統(tǒng))來進行對交易各方的身份認證。
(3)安全協(xié)議技術。目前,電子商務發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務的需求分析,校園電子商務更適合采用SSL協(xié)議。SSL位于傳輸層與應用層之間,能夠更好地封裝應用層數(shù)據(jù),不用改變位于應用層的應用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全。
3.4基于一卡通的校園電子商務。
目前,我國高校校園網建設和校園一卡通工程建設逐步完善,使用校園一卡通進行校園電子商務的網上支付可以增強校園電子商務的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網是一個內部網絡,它自身已經屏蔽了絕大多數(shù)來自公網的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設施,來自外部網絡人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內進行網上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網
(2)校園一卡通具有統(tǒng)一身份認證系統(tǒng),能夠對參與交易的各方進行身份認證,各方的交易活動受到統(tǒng)一的審計和監(jiān)控,統(tǒng)一身份認證能夠保證網上工作環(huán)境的安全可靠。校園網絡管理中對不同角色的用戶享有不同級別的授權,使其網上活動受到其身份的限制,有效防止一些惡意事情的發(fā)生。同時,由于校內人員身份單一,多為學生,交易中一旦發(fā)生糾紛,身份容易確認,糾紛就容易解決。
4結束語