引論:我們?yōu)槟砹?3篇vpn技術(shù)論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫(xiě)作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
vpn(VirtualPrivateNetwork)即虛擬專(zhuān)用網(wǎng),是一項(xiàng)迅速發(fā)展起來(lái)的新技術(shù),主要用于在公用網(wǎng)絡(luò)中建立專(zhuān)用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專(zhuān)線來(lái)連接分散在各地的本地網(wǎng)絡(luò),僅在效果上和真正的專(zhuān)用網(wǎng)一樣,故稱(chēng)之為虛擬專(zhuān)用網(wǎng)。在虛擬專(zhuān)用網(wǎng)中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專(zhuān)用網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。一個(gè)網(wǎng)絡(luò)連接通常由客戶(hù)機(jī)、傳輸介質(zhì)和服務(wù)器三個(gè)部分組成。VPN同樣也由這三部分組成,不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報(bào)的發(fā)送接受過(guò)程中使用了加密解密技術(shù),使得傳送數(shù)據(jù)報(bào)的路由器均不知道數(shù)據(jù)報(bào)的內(nèi)容,就好像建立了一條可信賴(lài)的隧道。該技術(shù)也是基于TCP/IP協(xié)議的。
2隧道技術(shù)的實(shí)現(xiàn)
假設(shè)某公司在相距很遠(yuǎn)的兩地的部門(mén)A和B建立了虛擬專(zhuān)用網(wǎng),其內(nèi)部網(wǎng)絡(luò)地址分別為專(zhuān)用地址20.1.0.0和20.2.0.0。顯然,這兩個(gè)部門(mén)若利用因特網(wǎng)進(jìn)行通信,則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門(mén)A、B的路由器分別為R1、R2,且其全球IP地址分別為125.1.2.3和192.168.5.27,如圖1所示。
圖1
現(xiàn)在設(shè)部門(mén)A的主機(jī)X向部門(mén)B的主機(jī)Y發(fā)送數(shù)據(jù)報(bào),源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報(bào)從主機(jī)X發(fā)送給路由器R1。路由器R1收到這個(gè)內(nèi)部數(shù)據(jù)報(bào)后進(jìn)行加密,然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報(bào),這個(gè)外部數(shù)據(jù)報(bào)的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3,而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報(bào)后,對(duì)其進(jìn)行解密,恢復(fù)出原來(lái)的內(nèi)部數(shù)據(jù)報(bào),并轉(zhuǎn)發(fā)給主機(jī)Y。這樣便實(shí)現(xiàn)了虛擬專(zhuān)用網(wǎng)的數(shù)據(jù)傳輸。
3軍隊(duì)院校校園網(wǎng)建設(shè)VPN技術(shù)應(yīng)用設(shè)想
隨著我軍三期網(wǎng)的建設(shè),VPN技術(shù)也可廣泛應(yīng)用于軍隊(duì)院校的校園網(wǎng)建設(shè)之中。這是由軍隊(duì)院校的實(shí)際需求所決定的。首先,軍隊(duì)的特殊性要求一些信息的傳達(dá)要做到安全可靠,采用VPN技術(shù)會(huì)大大提高網(wǎng)絡(luò)傳輸?shù)目煽啃裕坏诙婈?duì)院校不但有各教研室和學(xué)員隊(duì),還包括保障部隊(duì)、管理機(jī)構(gòu)等,下屬部門(mén)較多,有些部門(mén)相距甚至不在一個(gè)地方,采用VPN技術(shù)可簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理;第三,采用了VPN技術(shù)后將為外出調(diào)研的教員、學(xué)員們以及其它軍隊(duì)院校的用戶(hù)通過(guò)軍隊(duì)網(wǎng)訪問(wèn)本校圖書(shū)館查閱資料提供便利。
而VPN技術(shù)的特點(diǎn)正好能夠滿(mǎn)足以上幾點(diǎn)需求。首先是安全性,VPN通過(guò)使用點(diǎn)到點(diǎn)協(xié)議(PPP)用戶(hù)級(jí)身份驗(yàn)證的方法進(jìn)行驗(yàn)證,這些驗(yàn)證方法包括:密碼身份驗(yàn)證協(xié)議(PAP)、質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議(CHAP)、Shiva密碼身份驗(yàn)證協(xié)議(SPAP)、Microsoft質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議(MS-CHAP)和可選的可擴(kuò)展身份驗(yàn)證協(xié)議(EAP),并且采用微軟點(diǎn)對(duì)點(diǎn)加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機(jī)制對(duì)數(shù)據(jù)包進(jìn)行加密。對(duì)于敏感的數(shù)據(jù),還可以使用VPN連接通過(guò)VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進(jìn)行分隔,只有擁有適當(dāng)權(quán)限的用戶(hù)才能通過(guò)遠(yuǎn)程訪問(wèn)建立與VPN服務(wù)器的VPN連接,并且可以訪問(wèn)敏感部門(mén)網(wǎng)絡(luò)中受到保護(hù)的資源。第二,在解決異地訪問(wèn)本地電子資源問(wèn)題上,這正是VPN技術(shù)的主要特點(diǎn)之一,可以讓外地的授權(quán)用戶(hù)方便地訪問(wèn)本地的資源。目前,主要的VPN技術(shù)有IPSecVPN和SSLVPN兩種。其中IPSec技術(shù)的工作原理類(lèi)似于包過(guò)濾防火墻,可以看作是對(duì)包過(guò)濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí),包過(guò)濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí),包過(guò)濾防火墻就按照該規(guī)則制定的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。但是IPSec不同于包過(guò)濾防火墻的是,對(duì)IP數(shù)據(jù)包的處理方法除了丟棄,直接轉(zhuǎn)發(fā)(繞過(guò)IPSec)外還能對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。而SSLVPN技術(shù)則是近幾年發(fā)展起來(lái)的新技術(shù),它能夠更加有效地進(jìn)行訪問(wèn)控制,而且安全易用,不需要高額的費(fèi)用。該技術(shù)主要具有以下幾個(gè)特點(diǎn):第一,安全性高;第二,便于擴(kuò)展;第三,簡(jiǎn)單性;第四,兼容性好。
我認(rèn)為軍隊(duì)院校校園網(wǎng)VPN技術(shù)應(yīng)主要采用SSLVPN技術(shù)。首先因?yàn)槠浒踩院茫捎贗PSecVPN部署在網(wǎng)絡(luò)層,因此,內(nèi)部網(wǎng)絡(luò)對(duì)于通過(guò)VPN的使用者來(lái)說(shuō)是透明的,只要是通過(guò)了IPSecVPN網(wǎng)關(guān),它可以在內(nèi)部為所欲為。因此,IPSecVPN的目標(biāo)是建立起來(lái)一個(gè)虛擬的IP網(wǎng),而無(wú)法保護(hù)內(nèi)部數(shù)據(jù)的安全,而SSLVPN則是接入企業(yè)內(nèi)部的應(yīng)用,而不是企業(yè)的整個(gè)網(wǎng)絡(luò)。它可以根據(jù)用戶(hù)的不同身份,給予不同的訪問(wèn)權(quán)限,從而保護(hù)具體的敏感數(shù)據(jù)。并且數(shù)據(jù)加密的安全性有加密算法來(lái)保證。對(duì)于軍隊(duì)機(jī)構(gòu),安全保密應(yīng)該是主要考慮的方面之一。第二,SSLVPN與IPSecVPN相比,具有更好的可擴(kuò)展性。可以隨時(shí)根據(jù)需要,添加需要VPN保護(hù)的服務(wù)器。而IPSecVPN在部署時(shí),要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),如果增添新的設(shè)備,往往要改變網(wǎng)絡(luò)結(jié)構(gòu),那么IPSecVPN就要重新部署。第三,操作的復(fù)雜度低,它不需要配置,可以立即安裝、立即生效,另外客戶(hù)端不需要麻煩的安裝,直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行。第四,SSLVPN的兼容性很好,而不像傳統(tǒng)的IPSecVPN對(duì)客戶(hù)端采用的操作系統(tǒng)版本具有很高的要求,不同的終端操作系統(tǒng)需要不同的客戶(hù)端軟件。此外,使用SSLVPN還具有更好的經(jīng)濟(jì)性,這是因?yàn)橹恍枰诳偛糠胖靡慌_(tái)硬件設(shè)備就可以實(shí)現(xiàn)所有用戶(hù)的遠(yuǎn)程安全訪問(wèn)接入;但是對(duì)于IPSecVPN來(lái)說(shuō),每增加一個(gè)需要訪問(wèn)的分支就需要添加一個(gè)硬件設(shè)備。
雖然SSLVPN的優(yōu)點(diǎn)很多,但也可結(jié)合使用IPSecVPN技術(shù)。因?yàn)檫@兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSLVPN考慮的是應(yīng)用軟件的安全性,更多應(yīng)用在Web的遠(yuǎn)程安全接入方面;而IPSecVPN是在兩個(gè)局域網(wǎng)之間通過(guò)網(wǎng)絡(luò)建立的安全連接,保護(hù)的是點(diǎn)對(duì)點(diǎn)之間的通信,并且,IPSecVPN工作于網(wǎng)絡(luò)層,不局限于Web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專(zhuān)用網(wǎng)絡(luò),對(duì)終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù),而不管是哪類(lèi)網(wǎng)絡(luò)應(yīng)用,安全和應(yīng)用的擴(kuò)展性更強(qiáng)。可用于軍校之間建立虛擬專(zhuān)用網(wǎng),進(jìn)行安全可靠的信息傳送。
4結(jié)論
總之,VPN是一項(xiàng)綜合性的網(wǎng)絡(luò)新技術(shù),目前的運(yùn)用還不是非常地普及,在軍隊(duì)網(wǎng)中的應(yīng)用更是少之又少。但是隨著全軍三期網(wǎng)的建成以及我軍信息化建設(shè)的要求,VPN技術(shù)將會(huì)發(fā)揮其應(yīng)有的作用。
篇2
1 引言
隨著我院辦學(xué)形式的轉(zhuǎn)變,先后在北京和杭州成立的相關(guān)研究所,以及在杭州的浙江技師學(xué)院分校。現(xiàn)要求使各分部區(qū)能訪問(wèn)主校區(qū)的校內(nèi)資源,保證連接和訪問(wèn)的安。所以必須尋找一種新的互連方式解決校區(qū)間數(shù)據(jù)傳遞或教職工在校外訪問(wèn)校內(nèi)資源中遇到的問(wèn)題。價(jià)格上要求實(shí)惠,數(shù)據(jù)要求安全,因此虛擬專(zhuān)用網(wǎng)可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,虛擬專(zhuān)用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。虛擬專(zhuān)用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶(hù)的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專(zhuān)用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶(hù)的安全外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)。
2 VPN簡(jiǎn)介
2.1 虛擬專(zhuān)用網(wǎng)
虛擬專(zhuān)用網(wǎng)(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)"是通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專(zhuān)線技術(shù)。所謂虛擬,是指用戶(hù)不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路,而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專(zhuān)用網(wǎng)絡(luò),是指用戶(hù)可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。
2.2 VPN的實(shí)現(xiàn)技術(shù)
VPN實(shí)現(xiàn)的兩個(gè)關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù),同時(shí)QoS技術(shù)對(duì)VPN的實(shí)現(xiàn)也至關(guān)重要。
(1)VPN訪問(wèn)點(diǎn)模型。首先提供一個(gè)VPN訪問(wèn)點(diǎn)功能組成模型圖作為參考,如圖1所示。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)。
(2)隧道技術(shù)。隧道技術(shù)簡(jiǎn)單的說(shuō)就是:原始報(bào)文在A地進(jìn)行封裝,到達(dá)B地后把封裝去掉還原成原始報(bào)文,這樣就形成了一條由A到B的通信隧道。目前實(shí)現(xiàn)隧道技術(shù)的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特點(diǎn)
(1)安全保障。雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專(zhuān)用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接,稱(chēng)之為建立一個(gè)隧道,可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面,由于VPN直接構(gòu)建在公用網(wǎng)上,實(shí)現(xiàn)簡(jiǎn)單、方便、靈活,但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶(hù)對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶(hù),對(duì)安全性提出了更高的要求。
(2)服務(wù)質(zhì)量保證(QoS)。VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶(hù)和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶(hù),提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素;而對(duì)于擁有眾多分支機(jī)構(gòu)的專(zhuān)線VPN網(wǎng)絡(luò),交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性;對(duì)于其它應(yīng)用(如視頻等)則對(duì)網(wǎng)絡(luò)提出了更明確的要求,如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。QoS通過(guò)流量預(yù)測(cè)與流量控制策略,可以按照優(yōu)先級(jí)分配帶寬資源,實(shí)現(xiàn)帶寬管理,使得各類(lèi)數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生。
(3)可擴(kuò)充性和靈活性。VPN必須能夠支持通過(guò)Intranet和Extranet的任何類(lèi)型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類(lèi)型的傳輸媒介,可以滿(mǎn)足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。
(4)可管理性。從用戶(hù)角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng),甚至是客戶(hù)和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以,一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上,VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。
3 VPN應(yīng)用實(shí)例
利用VPN 較少的網(wǎng)絡(luò)設(shè)備及物理線路,使網(wǎng)絡(luò)的管理較為輕松。不論分校或遠(yuǎn)程訪問(wèn)用戶(hù)的多少,只需通過(guò)互聯(lián)網(wǎng)的路徑即可進(jìn)入主校區(qū)網(wǎng)路。
結(jié)合我校的實(shí)際要求,采用美國(guó)網(wǎng)件產(chǎn)品FVL328、FVL318VPN產(chǎn)品,價(jià)格實(shí)惠,總體性能滿(mǎn)足要求,美國(guó)網(wǎng)件的VPN網(wǎng)絡(luò)解決方案不僅支持IPSEC等協(xié)議,以及DES、3DES、AES加密算法,同時(shí)還可通過(guò)IKE、共享秘鑰、PKI(X.509)進(jìn)行身份認(rèn)證等方式,加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性能。
FVL328、FVS318具有支持動(dòng)態(tài)DDNS組建的IPSEC VPN網(wǎng)絡(luò)的功能, 并運(yùn)用了產(chǎn)品自身的DDNS(動(dòng)態(tài)域名解析)技術(shù),整個(gè)VPN系統(tǒng)網(wǎng)絡(luò)使用方便、快速、圖形化的配置界面使維護(hù)和管理更簡(jiǎn)單、建設(shè)費(fèi)用低廉。VPN拓?fù)浣Y(jié)構(gòu)圖,如圖2所示:
在總校采用一臺(tái)FVL328作為中心端,在其他分校使用FVS318,整個(gè)VPN網(wǎng)絡(luò)通過(guò)認(rèn)證密碼統(tǒng)一管理,形成一個(gè)集中管理的虛擬私有網(wǎng)絡(luò),VPN傳輸使用IPSEC協(xié)議。對(duì)外安全邊界使用NETGEAR的寬帶防火墻技術(shù)屏蔽來(lái)自外部的各種可能攻擊。
總校可采用固定的IP地址和域名,各分校可以申請(qǐng)動(dòng)態(tài)拔號(hào)ADSL寬帶線路, 通過(guò)從NETGEAR的VPN設(shè)備中申請(qǐng)獲得免費(fèi)的DDNS(動(dòng)態(tài)域名解析服務(wù)),從而可低成本地組建VPN網(wǎng)絡(luò)連接,結(jié)合美國(guó)網(wǎng)件公司的VPN防火墻FVL328和FVS318的先進(jìn)安全策略技術(shù),來(lái)實(shí)現(xiàn)實(shí)際需求和將來(lái)可能的需求. 各分院能夠直接訪問(wèn)到母校的數(shù)據(jù)共享服務(wù)器資源, 同時(shí)又要保證數(shù)據(jù)能安全的在公網(wǎng)上進(jìn)行傳輸.即實(shí)現(xiàn)母校與各分院之間數(shù)據(jù)和信息能夠安全、保密、高速、穩(wěn)定的實(shí)時(shí)傳輸。
4 結(jié)語(yǔ)
文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時(shí)建立的安全專(zhuān)用虛擬網(wǎng)絡(luò),用戶(hù)就節(jié)省了租用專(zhuān)線的費(fèi)用,在運(yùn)行的資金支出上,除了購(gòu)買(mǎi)VPN設(shè)備,企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用,也節(jié)省了長(zhǎng)途電話(huà)費(fèi)。VPN技術(shù)戶(hù)廣泛用于校際間的數(shù)據(jù)傳送,也是企業(yè)的分支機(jī)構(gòu)聯(lián)系數(shù)據(jù)的主要手段。
參考文獻(xiàn)
篇3
1.校園網(wǎng)問(wèn)題分析及其解決方案的提出
虛擬專(zhuān)用網(wǎng)(VPN),是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。它通過(guò)“隧道”技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和訪問(wèn)控制等手段提供一種通過(guò)公用網(wǎng)絡(luò)(通常是因特網(wǎng))安全地對(duì)單位內(nèi)部專(zhuān)用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)的連接方式。
近年來(lái),隨著高校信息化建設(shè)工作的深入開(kāi)展,校園網(wǎng)用戶(hù)對(duì)校園網(wǎng)的要求也越來(lái)越高,傳統(tǒng)的單一公網(wǎng)接入模式已經(jīng)很難滿(mǎn)足日趨復(fù)雜的應(yīng)用需求。大多數(shù)的教師習(xí)慣于利用家里的計(jì)算機(jī)上網(wǎng)查資料、寫(xiě)論文。如果要去學(xué)校圖書(shū)館網(wǎng)站,或者是教育網(wǎng)內(nèi)查資料,一般情況下是無(wú)法查找并下載的,因?yàn)閷W(xué)校圖書(shū)館的電子資源都做了訪問(wèn)限制,普通Internet用戶(hù)也是不能訪問(wèn)教育網(wǎng)的。在每年期末考試后,老師在線提交成績(jī)時(shí),都要登錄學(xué)校內(nèi)部“教務(wù)處”的網(wǎng)站在線提交,這時(shí)也只能到學(xué)校提交。
為此,校園網(wǎng)的建設(shè)可采用多ISP連接的網(wǎng)絡(luò)訪問(wèn)模式:在原有的教育網(wǎng)出口的基礎(chǔ)上增加一個(gè)當(dāng)?shù)豂SP(移動(dòng)、聯(lián)通或電信寬帶ISP)出口,形成多ISP連接的校園網(wǎng)絡(luò)結(jié)構(gòu),并且需學(xué)校的網(wǎng)絡(luò)中心在學(xué)校組建VPN服務(wù)器,供教職工在校外使用校內(nèi)資源。在組建VPN服務(wù)器時(shí),使用當(dāng)?shù)豂SP出口,為校外的教職工提供VPN接入服務(wù),因?yàn)樾M饨搪毠ご蠖嗍褂卯?dāng)?shù)豂SP提供的ADSL寬帶業(yè)務(wù)。當(dāng)校外職工使用VPN接入學(xué)校的VPN服務(wù)器后,就可以訪問(wèn)校園網(wǎng)與教育網(wǎng)上的資源,這將為教職工提供很大的便利。
2.VPN關(guān)鍵技術(shù)研究
⑴隧道技術(shù):隧道是指在公用網(wǎng)建立一條數(shù)據(jù)通道,讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道技術(shù)可分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。第2層隧道協(xié)議對(duì)應(yīng)于OSI模型的數(shù)據(jù)鏈路層,使用幀作為數(shù)據(jù)交換單位。PPTP(點(diǎn)對(duì)點(diǎn)隧道協(xié)議)、L2TP(第二層隧道協(xié)議)和L2F(第2層轉(zhuǎn)發(fā)協(xié)議)都屬于第2層隧道協(xié)議,是將用戶(hù)數(shù)據(jù)封裝在點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)幀中通過(guò)互聯(lián)網(wǎng)發(fā)送。第3層隧道協(xié)議對(duì)應(yīng)于OSI模型的網(wǎng)絡(luò)層,使用包作為數(shù)據(jù)交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協(xié)議,是將IP包封裝在附加的IP包頭中,通過(guò)IP網(wǎng)絡(luò)傳送。無(wú)論哪種隧道協(xié)議都是由傳輸?shù)妮d體、不同的封裝格式以及用戶(hù)數(shù)據(jù)包組成的。它們的本質(zhì)區(qū)別在于,用戶(hù)的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。
⑵安全技術(shù):VPN安全技術(shù)主要包括加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù);密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取;使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱(chēng)與密碼認(rèn)證等方式。
3.基于VPN技術(shù)的多出口校園網(wǎng)的設(shè)計(jì)
3.1 網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃
為了滿(mǎn)足可擴(kuò)展性和適應(yīng)性目標(biāo),網(wǎng)絡(luò)結(jié)構(gòu)采用典型的層次化拓?fù)洌春诵膶印⒎植紝印⒃L問(wèn)層。核心層路由器用于優(yōu)化網(wǎng)絡(luò)可用性和性能,主要承擔(dān)校園網(wǎng)的高速數(shù)據(jù)交換任務(wù),同時(shí)要為各分布層節(jié)點(diǎn)提供最佳數(shù)據(jù)傳輸路徑;分布層交換機(jī)用于執(zhí)行策略,分別連接圖書(shū)館、辦公樓、實(shí)驗(yàn)樓以及各院系;接入層通過(guò)低端交換機(jī)和無(wú)線訪問(wèn)節(jié)點(diǎn)連接用戶(hù)。畢業(yè)論文。網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。
圖1 網(wǎng)絡(luò)拓?fù)鋱D
3.2 網(wǎng)絡(luò)工作原理
在該組網(wǎng)方案中,學(xué)校通過(guò)核心層路由器分別接入教育網(wǎng)與Internet,然后通過(guò)一硬件防火墻與分布層交換機(jī)連接,分布層交換機(jī)負(fù)責(zé)連接圖書(shū)館、辦公樓、實(shí)驗(yàn)樓以及各院系的接入層設(shè)備,校園網(wǎng)內(nèi)的終端計(jì)算機(jī)直接與接入層設(shè)備相連。終端計(jì)算機(jī)可直接使用教育網(wǎng)分配的IP地址。校園網(wǎng)內(nèi)有一臺(tái)安裝了ISAServer2006的VPN服務(wù)器,給其分配一個(gè)教育網(wǎng)IP地址(假設(shè)Ip:202.102.134.100,網(wǎng)關(guān)地址202.102.134.68),在防火墻中將一個(gè)公網(wǎng)地址(假設(shè)為222.206.176.12)映射到該地址。VPN服務(wù)器可通過(guò)“防火墻”與“核心層路由器”訪問(wèn)Internet與教育網(wǎng),Internet上的用戶(hù),可以通過(guò)“Internet上的VPN客戶(hù)端—>Internet網(wǎng)絡(luò)—>核心層路由器—>防火墻—>分布層交換機(jī)—>ISA Server2006VPN服務(wù)器”的路線連接到VPN服務(wù)器,之后,ISAServer2006 VPN服務(wù)器通過(guò)防火墻和核心層路由器訪問(wèn)教育網(wǎng),并且ISA Server2006 VPN服務(wù)器通過(guò)分布層交換機(jī)提供了到學(xué)校內(nèi)網(wǎng)的訪問(wèn)。
3.3 技術(shù)要點(diǎn)
⑴防火墻內(nèi)網(wǎng)地址問(wèn)題。如果防火墻是透明模式接入,各個(gè)網(wǎng)口是不需要地址的。若防火墻是假透明,就需要給防火墻的每個(gè)網(wǎng)口配置同一個(gè)網(wǎng)段的IP。如果是路由模式,需要給防火墻的每個(gè)網(wǎng)口配置不同網(wǎng)段的IP,就象路由器一樣。現(xiàn)在有一些防火墻已經(jīng)有所謂的混合模式,也就是透明和路由同時(shí)工作,這屬于路由模式的擴(kuò)展。畢業(yè)論文。
⑵VPN服務(wù)器的注意事項(xiàng)。ISA Server2006VPN服務(wù)器要求至少有“兩塊網(wǎng)卡”才能做VPN服務(wù)器,若服務(wù)器上只有一塊網(wǎng)卡,需為其安裝一塊“虛擬網(wǎng)卡”。另外,VPN服務(wù)器不一定要直接連接在分布層交換機(jī)上,也可以是圖書(shū)館、辦公樓、實(shí)驗(yàn)樓以及各院系的一臺(tái)服務(wù)器,只要映射一個(gè)公網(wǎng)地址即可。
⑶設(shè)定ISA Server2006接受VPN呼叫。VPN 可通過(guò)默認(rèn)設(shè)置的動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol,DHCP)或者通過(guò)使用路由選擇和遠(yuǎn)程訪問(wèn)控制臺(tái)分配的一組地址來(lái)分配地址。如果選擇了DHCP,VPN客戶(hù)端永遠(yuǎn)不會(huì)同DHCP服務(wù)器進(jìn)行直接通信,運(yùn)行ISA Server2006的VPN服務(wù)器將分配從DHCP服務(wù)器所獲得的地址;它將基于運(yùn)行ISA Server2006的VPN 服務(wù)器的內(nèi)部接口配置來(lái)分配名稱(chēng)服務(wù)器地址。如果擁有多個(gè)內(nèi)部接口,運(yùn)行ISA Server的VPN 服務(wù)器將選擇其中之一。
⑷VPN客戶(hù)端地址的分配。在給VPN客戶(hù)端分配IP地址時(shí),在為VPN客戶(hù)端分配IP地址的時(shí)候,要保證所分配的地址不能與VPN服務(wù)器本身以及VPN服務(wù)器所屬內(nèi)網(wǎng)、公網(wǎng)的地址沖突,否則VPN客戶(hù)端在訪問(wèn)內(nèi)網(wǎng)時(shí),會(huì)造成尋址問(wèn)題而不能訪問(wèn)。畢業(yè)論文。為了避免出現(xiàn)問(wèn)題,直接分配私網(wǎng)的IP地址即可,比如192.168.14.0/24網(wǎng)段。另外,校園網(wǎng)外的教職工,在撥叫VPN服務(wù)器時(shí),應(yīng)是防火墻映射的地址,本文中即222.206.176.12。
4.結(jié)束語(yǔ)
多出口是目前許多高校組建校園網(wǎng)時(shí)所采取的方式,多出口解決了教育網(wǎng)與Internet之間的出口速度很慢的問(wèn)題,將VPN技術(shù)應(yīng)用到具有多出口的高校校園網(wǎng),可以讓校外Internet用戶(hù)更容易、更方便的獲得對(duì)教育網(wǎng)、校園網(wǎng)數(shù)字資源的使用權(quán)。
參考文獻(xiàn)
[1]曹利峰,杜學(xué)繪,陳性元.一種新的IPsecVPN的實(shí)現(xiàn)方式研究[J].計(jì)算機(jī)應(yīng)用與軟件,2008,07
[2]賈毅峰.雙出口校園網(wǎng)中策略路由的應(yīng)用[J].銅仁學(xué)院學(xué)報(bào),2009,11
[3]吳建國(guó),王鐵,許興華.校園網(wǎng)雙(多)出口的基本解決策略和方法[J].云南師范大學(xué)學(xué)報(bào),2010.01
篇4
一、引言
隨著科學(xué)技術(shù)的飛速發(fā)展,國(guó)內(nèi)外各高校圖書(shū)館之間的交流合作不斷深化、師生員工對(duì)于知識(shí)的需求多元化,迫使各高校圖書(shū)館集中科研力量開(kāi)發(fā)新型借閱系統(tǒng)、利用新興網(wǎng)絡(luò)技術(shù)建設(shè)一個(gè)既能滿(mǎn)足當(dāng)前應(yīng)用又能滿(mǎn)足長(zhǎng)遠(yuǎn)發(fā)展需求的數(shù)字圖書(shū)館網(wǎng)絡(luò)平臺(tái)。但是在建設(shè)數(shù)字圖書(shū)館的過(guò)程中很多高校遇到了一些問(wèn)題:電子書(shū)商基于對(duì)產(chǎn)品版權(quán)的保護(hù),在電子資源中設(shè)置數(shù)字版權(quán)(DRM),限制了訪問(wèn)的IP地址范圍,這與師生員工利用公共網(wǎng)絡(luò)帳號(hào)(網(wǎng)絡(luò)運(yùn)營(yíng)商提供的動(dòng)態(tài)分配IP地址的上網(wǎng)帳號(hào))訪問(wèn)校園內(nèi)網(wǎng)(專(zhuān)用網(wǎng)絡(luò))的電子資源的權(quán)限沖突,導(dǎo)致師生員工無(wú)法檢索需要的信息資料,直接造成許多圖書(shū)館電子資源的閑置和浪費(fèi),使得投入和產(chǎn)出不成正比,影響了數(shù)字圖書(shū)館的合理化建設(shè)。面對(duì)這種情況,VPN技術(shù)為我們提供了一套可管理、可認(rèn)證、安全的遠(yuǎn)程訪問(wèn)電子資源的解決方案。
二、VPN技術(shù)簡(jiǎn)介
1.VPN簡(jiǎn)述
VPN(Virtual Private Network)可譯為“虛擬專(zhuān)用網(wǎng)”。它并不是一個(gè)新名詞,因?yàn)樵陔娦欧?wù)的電話(huà)網(wǎng)絡(luò)中早就提出了VPN的概念。VPN不是真的專(zhuān)用網(wǎng)絡(luò),但是卻能實(shí)現(xiàn)專(zhuān)用網(wǎng)絡(luò)的功能。因特網(wǎng)工程技術(shù)委員會(huì)(IETF)對(duì)的VPN的解釋是:通過(guò)公共網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的、私有的點(diǎn)對(duì)點(diǎn)連接,通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸,從而實(shí)現(xiàn)在公網(wǎng)上傳輸私密數(shù)據(jù),并達(dá)到私有專(zhuān)用網(wǎng)絡(luò)的安全級(jí)別。VPN網(wǎng)絡(luò)的認(rèn)證機(jī)制很好的保護(hù)了用戶(hù)收發(fā)數(shù)據(jù)的完整性、準(zhǔn)確性,避免收發(fā)的數(shù)據(jù)不相符;而且VPN技術(shù)本身對(duì)網(wǎng)絡(luò)流量能進(jìn)行預(yù)測(cè)和控制,實(shí)現(xiàn)網(wǎng)絡(luò)帶寬的優(yōu)化管理,從而避免在互聯(lián)網(wǎng)使用高峰期造成網(wǎng)絡(luò)堵塞,提高了數(shù)據(jù)傳輸?shù)馁|(zhì)量;另外,單位、企業(yè)很在意的經(jīng)濟(jì)投入也是非常的合理、節(jié)約,只要一次性購(gòu)買(mǎi)VPN設(shè)備(包括服務(wù)器、路由器等),而不再需要增購(gòu)其它的存儲(chǔ)設(shè)備,進(jìn)行重復(fù)性建設(shè),并且VPN網(wǎng)絡(luò)更不用考慮線路帶寬的利用率和費(fèi)用的問(wèn)題。一旦組建好VPN網(wǎng)絡(luò)之后只須安排一個(gè)專(zhuān)業(yè)技術(shù)員對(duì)其進(jìn)行日常的管理維護(hù)(主要是安全管理、設(shè)備正常運(yùn)行監(jiān)控、配置管理、訪問(wèn)控制列表管理等)即可。此外,現(xiàn)有公共網(wǎng)絡(luò)提供多種接入方式,如:PSTN撥號(hào)、ADSL、CableModem、小區(qū)寬帶等,VPN網(wǎng)絡(luò)也可以根據(jù)各種接入方式的信息量、實(shí)時(shí)性及通信條件等情況,分別選擇不同的速率與之鏈接;同時(shí),VPN網(wǎng)絡(luò)能夠支持任何類(lèi)型的數(shù)據(jù)流,支持多種類(lèi)型的傳輸媒介,滿(mǎn)足同步傳輸語(yǔ)音、圖像的需求,方便增加新的節(jié)點(diǎn),增加訪問(wèn)用戶(hù)的數(shù)量,具有很高的可擴(kuò)充性能。
2.VPN關(guān)鍵技術(shù)
那么,VPN是采用什么技術(shù)和協(xié)議來(lái)很好的發(fā)揮它的特點(diǎn)的?首先我們需要了解國(guó)際標(biāo)準(zhǔn)組織制定的OSI網(wǎng)絡(luò)模型,它把傳統(tǒng)Internet網(wǎng)絡(luò)分為7層:物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)網(wǎng)際協(xié)議層、數(shù)據(jù)信息傳送層、對(duì)話(huà)層、表示層和應(yīng)用層;最底層是物理層,而最高層是應(yīng)用層,VPN技術(shù)利用這個(gè)OSI模型為基礎(chǔ),開(kāi)發(fā)出目前主流的三類(lèi)Internet VPN遠(yuǎn)程安全接入技術(shù)(基于網(wǎng)絡(luò)協(xié)議第三層的安全鏈接技術(shù)IPSecVPN、基于多協(xié)議的標(biāo)記交換技術(shù)MPLS VPN、基于網(wǎng)絡(luò)協(xié)議第七層的安全鏈接技術(shù)SSL VPN)。這些VPN技術(shù)具有類(lèi)似的功能,但也存在著不同特性和各自擅長(zhǎng)的應(yīng)用取向。無(wú)論采用什么技術(shù)標(biāo)準(zhǔn)的VPN網(wǎng)絡(luò)運(yùn)用下面四種核心手段保證通信安全。
1)隧道技術(shù)(Tunneling)
隧道技術(shù)是VPN網(wǎng)絡(luò)的基本技術(shù),并依靠多種隧道協(xié)議來(lái)完成,例如:PPTP(點(diǎn)對(duì)點(diǎn)
隧道協(xié)議)、PPP(點(diǎn)對(duì)點(diǎn)通信協(xié)議)、L2F(數(shù)據(jù)鏈路層轉(zhuǎn)發(fā)協(xié)議)、L2TP(數(shù)據(jù)鏈路層隧道協(xié)議)等。目前比較流行的隧道協(xié)議是IPSec(網(wǎng)絡(luò)協(xié)議安全標(biāo)準(zhǔn))與SSL(安全認(rèn)證應(yīng)用層標(biāo)準(zhǔn))協(xié)議的結(jié)合,使用此協(xié)議可以很容易地建立IP層(網(wǎng)絡(luò)協(xié)議第三層)用戶(hù)的要求,也可以實(shí)現(xiàn)需要C/S(客戶(hù)機(jī)/服務(wù)器)架構(gòu)或者B/S(瀏覽器/服務(wù)器)架構(gòu)的數(shù)據(jù)管理信息系統(tǒng)的要求。
2)加密&解密技術(shù)(Encryption&Decryption)
加密&解密技術(shù)是網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)通信中一項(xiàng)比較成熟的技術(shù),VPN可以直接利用此項(xiàng)技術(shù)。現(xiàn)行VPN使用的加密&解密技術(shù)主要有兩種:對(duì)稱(chēng)加密(單鑰加密)算法和不對(duì)稱(chēng)加密(公鑰加密)算法。其中不對(duì)稱(chēng)加密算法生成的密鑰用戶(hù)管理方便,占用存儲(chǔ)空間小,所以此算法是目前VPN網(wǎng)絡(luò)中使用最為廣泛的算法。
3)密鑰管理&交換技術(shù)(KeyManagement)
密鑰管理&交換技術(shù)是保護(hù)在公共網(wǎng)絡(luò)上傳輸?shù)乃接袛?shù)據(jù)流可以安全地傳遞密鑰、識(shí)別密鑰從而進(jìn)行數(shù)據(jù)交換。為了使數(shù)據(jù)可以安全、準(zhǔn)確、及時(shí)地傳遞,國(guó)際標(biāo)準(zhǔn)組織制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密鑰管理&交換協(xié)議,進(jìn)而形成了現(xiàn)行的密鑰管理&交換機(jī)制,主要有三種:KMI機(jī)制(基于傳統(tǒng)網(wǎng)絡(luò))、PKI機(jī)制(基于開(kāi)放網(wǎng)絡(luò))和SPK機(jī)制(基于大規(guī)模專(zhuān)用網(wǎng)絡(luò)),最為廣泛使用的是KMI機(jī)制。
4)使用者身份認(rèn)證技術(shù)(Authentication)
使用者身份認(rèn)證技術(shù)最常用的是用戶(hù)名、口令或智能卡認(rèn)證(特殊的U盤(pán))等方式。在實(shí)際應(yīng)用中,移動(dòng)用戶(hù)使用智能卡方式,此卡內(nèi)存貯有用戶(hù)登錄VPN網(wǎng)絡(luò)所要求的各項(xiàng)相關(guān)數(shù)據(jù)信息;遠(yuǎn)程非移動(dòng)用戶(hù)采用用戶(hù)名與口令方式來(lái)登錄,例如ADSL連接方式則在撥號(hào)時(shí)實(shí)現(xiàn),如果是專(zhuān)線用戶(hù)則在路由器中實(shí)現(xiàn),此用戶(hù)名與口令一般不需要登錄用戶(hù)來(lái)干預(yù),所以用戶(hù)訪問(wèn)VPN網(wǎng)絡(luò)就如同在局域網(wǎng)內(nèi)一樣方便。
如今,VPN技術(shù)突飛猛進(jìn),又出現(xiàn)許多新技術(shù)元素,所以VPN技術(shù)的發(fā)展前景很廣闊。而解決數(shù)字圖書(shū)館建設(shè)中的一些疑難問(wèn)題就目前看來(lái)采用VPN技術(shù)是一種很高效的解決辦法。
三、數(shù)字圖書(shū)館建設(shè)中幾種常見(jiàn)(VPN)模式
在各個(gè)高校數(shù)字圖書(shū)館建設(shè)過(guò)程中,根據(jù)師生用戶(hù)群的使用特點(diǎn)以及應(yīng)用環(huán)境的不同,VPN大致可采用三種不同的解決方案:遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(AccessVPN)、校園內(nèi)部虛擬網(wǎng)(IntranetVPN)和校園擴(kuò)展虛擬網(wǎng)(ExtranetVPN)。
1.遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(AccessVPN):如果圖書(shū)館員或者師生用戶(hù)需要移動(dòng)或者遠(yuǎn)程訪問(wèn)圖書(shū)館或者圖書(shū)館開(kāi)展遠(yuǎn)程教育,就可以考慮使用AccessVPN。AccessVPN通過(guò)使用與專(zhuān)用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施(公共骨干網(wǎng)),提供圖書(shū)館內(nèi)網(wǎng)和公共網(wǎng)絡(luò)之間的安全連接。AccessVPN能使圖書(shū)館所有用戶(hù)隨時(shí)、隨地以其所需的方式辦理圖書(shū)館各種業(yè)務(wù)。
2.圖書(shū)館內(nèi)部虛擬網(wǎng)(IntranetVPN):近年來(lái)隨著高校規(guī)模的不斷擴(kuò)大,辦學(xué)方式的不斷豐富,各大高校都呈現(xiàn)多校區(qū)辦學(xué)模式,圖書(shū)館也不例外,許多高校圖書(shū)館組建分支機(jī)構(gòu),這樣就可以考慮使用IntranetVPN。IntranetVPN通過(guò)公用網(wǎng)服務(wù)商提供的QoS機(jī)制(能自動(dòng)識(shí)別數(shù)據(jù)包并轉(zhuǎn)發(fā)到對(duì)應(yīng)的地址去),使圖書(shū)館與各個(gè)校區(qū)分支機(jī)構(gòu)的路由器之間建立VPN安全隧道,保證圖書(shū)館各個(gè)分支機(jī)構(gòu)能實(shí)時(shí)、準(zhǔn)確的與主機(jī)構(gòu)之間交換數(shù)據(jù)。論文參考網(wǎng)。
3.圖書(shū)館擴(kuò)展虛擬網(wǎng)(ExtranetVPN):其實(shí)這種應(yīng)用模式只是圖書(shū)館內(nèi)部虛擬網(wǎng)的擴(kuò)展,這種模式為圖書(shū)館和電子資源供應(yīng)商的網(wǎng)站平臺(tái)之間提供了一種安全的連接通道,例如電子書(shū)商提供圖書(shū)館內(nèi)網(wǎng)遠(yuǎn)程鏡像訪問(wèn)企業(yè)主站的安全訪問(wèn)模式和各高校圖書(shū)館之間的合作,就可以考慮使用ExtranetVPN。論文參考網(wǎng)。ExtranetVPN更多的是考慮協(xié)調(diào)和安全問(wèn)題。
以上提供的幾種圖書(shū)館VPN解決方案常常通過(guò)軟、硬件以及輔助設(shè)備把他們結(jié)合起來(lái)使用,這樣就大大豐富了VPN技術(shù)在圖書(shū)館數(shù)字化建設(shè)中的作用。
四、VPN在安徽農(nóng)業(yè)大學(xué)圖書(shū)館中的應(yīng)用
安徽農(nóng)業(yè)大學(xué)是安徽省一所省屬重點(diǎn)綜合性大學(xué),安徽農(nóng)業(yè)大學(xué)的數(shù)字圖書(shū)館建設(shè)也采用VPN技術(shù)來(lái)實(shí)現(xiàn)校外公網(wǎng)訪問(wèn)校內(nèi)資源,實(shí)現(xiàn)學(xué)校的公共資源的充分利用。
現(xiàn)階段,安徽農(nóng)業(yè)大學(xué)圖書(shū)館還沒(méi)有分館,所以VPN技術(shù)主要應(yīng)用于校外師生用戶(hù)通過(guò)公共網(wǎng)絡(luò)訪問(wèn)圖書(shū)館電子資源。學(xué)校采用一家很有實(shí)力的網(wǎng)絡(luò)技術(shù)公司的M5600 SSL VPN路由器構(gòu)建VPN網(wǎng)絡(luò),這種VPN路由器主要采用使用者用戶(hù)名認(rèn)證技術(shù)保證校外師生用戶(hù)通過(guò)公共網(wǎng)絡(luò)正確訪問(wèn)圖書(shū)館電子資源。論文參考網(wǎng)。根據(jù)目前的需求可以看出,現(xiàn)階段的用戶(hù)群還是比較集中和狹窄的,這也是為了保護(hù)學(xué)校資源和電子書(shū)商的版權(quán)。但是,為了能在不遠(yuǎn)的將來(lái)使圖書(shū)館資源利用率達(dá)到最優(yōu)化,學(xué)校購(gòu)買(mǎi)的VPN路由器是智能化和可升級(jí)的,這樣就足以保證數(shù)字圖書(shū)館建設(shè)的可持續(xù)發(fā)展。
總之,VPN的應(yīng)用前景是很廣闊的,不僅僅是解決公共網(wǎng)絡(luò)訪問(wèn)內(nèi)網(wǎng)資源的問(wèn)題;可以預(yù)見(jiàn),數(shù)據(jù)共享是未來(lái)圖書(shū)館的發(fā)展趨勢(shì)。各高校圖書(shū)館都會(huì)建設(shè)專(zhuān)有VPN網(wǎng)絡(luò),從而使信息資源全球化、集成化、多元化。
[參考文獻(xiàn)]
1.李紅艷. VPN技術(shù)在高校圖書(shū)館網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中的應(yīng)用[J]. 中國(guó)期刊網(wǎng)CNKI數(shù)字圖書(shū)館,科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì),第16卷第21期,2006年.
2.唐淑娟,秦一方,井向陽(yáng). VPN技術(shù)與圖書(shū)館資源遠(yuǎn)程利用[J]. 中國(guó)期刊網(wǎng)CNKI數(shù)字圖書(shū)館,情報(bào)探索,第1期,2007年1月.
篇5
1 引言
信息技術(shù)的迅速發(fā)展和廣泛應(yīng)用,不僅改變著人們的工作和生活方式,也改變著教育和學(xué)習(xí)方式,也促進(jìn)了國(guó)內(nèi)外數(shù)字資源的突飛猛進(jìn)發(fā)展,高校圖書(shū)館購(gòu)買(mǎi)的數(shù)字資源也越來(lái)越多,可供師生訪問(wèn)的資源日漸增多,但是數(shù)據(jù)庫(kù)資源的知識(shí)產(chǎn)權(quán)和版權(quán)等因素使得相當(dāng)部分?jǐn)?shù)字資源使用范圍有限,只能在校園網(wǎng)內(nèi)部訪問(wèn),不能對(duì)外網(wǎng)開(kāi)放。電大開(kāi)放教育以學(xué)生為中心,具有開(kāi)放性、靈活性、針對(duì)性和適應(yīng)性等特點(diǎn),主要運(yùn)用衛(wèi)星、電視、互聯(lián)網(wǎng)、移動(dòng)終端等信息化手段和多種教學(xué)媒介,構(gòu)建全民多樣化終身學(xué)習(xí)型社會(huì)。國(guó)家開(kāi)放大學(xué)數(shù)字圖書(shū)館的服務(wù)對(duì)象是開(kāi)放大學(xué)及電大系統(tǒng)的師生,但他們多數(shù)是在職在崗的成人,學(xué)習(xí)的地方相對(duì)分散,到校園圖書(shū)館利用數(shù)字資源極為不便,也因此形成了開(kāi)放大學(xué)圖書(shū)館服務(wù)方式的特殊性。為了滿(mǎn)足電大系統(tǒng)教師和學(xué)生隨時(shí)隨地便捷地使用圖書(shū)館數(shù)字資源,國(guó)家開(kāi)放大學(xué)數(shù)字圖書(shū)館提供遠(yuǎn)程訪問(wèn)服務(wù)。
2 遠(yuǎn)程訪問(wèn)數(shù)字圖書(shū)館
本文所討論的遠(yuǎn)程訪問(wèn)是校外訪問(wèn),就是指非校園網(wǎng)用戶(hù)突破校內(nèi)IP地址的物理限制使用學(xué)校購(gòu)買(mǎi)的數(shù)字化數(shù)據(jù)庫(kù)資源。目前遠(yuǎn)程訪問(wèn)圖書(shū)館數(shù)字資源有傳統(tǒng)服務(wù)器技術(shù)、VPN技術(shù)、Athens項(xiàng)目、PKI技術(shù)、Shibbloeth項(xiàng)目、EZproxy技術(shù)等[1]。VPN技術(shù)實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)已經(jīng)普遍應(yīng)用并逐步完善,尤其在遠(yuǎn)程訪問(wèn)圖書(shū)館數(shù)字資源中應(yīng)用更為廣泛。新興的 SSL VPN 技術(shù)非常適合移動(dòng)用戶(hù)的遠(yuǎn)程接入訪問(wèn),該技術(shù)集傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全、快速及共享數(shù)據(jù)庫(kù)的低成本且簡(jiǎn)單易行等優(yōu)點(diǎn)特點(diǎn),可以為外部網(wǎng)提供虛擬連接,從而成為高校圖書(shū)館為所有非校園網(wǎng)的師生提供資源共享的最理想的方案[2]。
3 VPN概述
VPN(Virtual Private Network)即虛擬專(zhuān)用網(wǎng)絡(luò),是一種網(wǎng)絡(luò)新技術(shù),在公用網(wǎng)絡(luò)上通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù),建立單位內(nèi)部專(zhuān)用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程虛擬訪問(wèn)的連接方式。VPN具有傳輸數(shù)據(jù)安全可靠,連接方便靈活,可完全控制,成本低等特點(diǎn)[3]。
SSL VPN是采用SSL(Secure Sockets Layer,安全套接層)協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是基于WEB的安全協(xié)議,使用SSL 協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的VPN就可以免于安裝客戶(hù)端。相對(duì)于傳統(tǒng)的VPN而言,SSL VPN具有部署簡(jiǎn)單,無(wú)客戶(hù)端,維護(hù)成本低,網(wǎng)絡(luò)適應(yīng)強(qiáng)等特點(diǎn)[4]。
4 應(yīng)用VPN技術(shù)訪問(wèn)數(shù)字圖書(shū)館的方法
筆者在教育教學(xué)過(guò)程中發(fā)現(xiàn)絕大多數(shù)學(xué)生不會(huì)遠(yuǎn)程訪問(wèn)數(shù)字圖書(shū)館,甚至很多教師都不會(huì)合理利用網(wǎng)上數(shù)字資源。開(kāi)放大學(xué)圖書(shū)館由于涉及數(shù)據(jù)庫(kù)資源的知識(shí)產(chǎn)權(quán)問(wèn)題,使用范圍有限,在校園網(wǎng)內(nèi)使用沒(méi)有限制,但校外只允許屬于電大的教師和學(xué)生作為合法的用戶(hù),提供VPN技術(shù),用戶(hù)在登錄后,需要安裝VPN控件,才能正常的打開(kāi)文獻(xiàn)資源列表。一般情況下,VPN系統(tǒng)會(huì)自動(dòng)檢測(cè)電腦系統(tǒng),并引導(dǎo)安裝VPN插件,也可以在網(wǎng)站下載插件安裝包進(jìn)行安裝。因此要求我們提供用戶(hù)名和密碼來(lái)進(jìn)行身份的確認(rèn)。筆者在教學(xué)工作中發(fā)現(xiàn),很多學(xué)生寫(xiě)畢業(yè)論文或教師做課題研究的時(shí)候,抱怨找不到資源,找到的資源不完整或者下載需付費(fèi),下面簡(jiǎn)單介紹校外如何訪問(wèn)開(kāi)放大學(xué)數(shù)字圖書(shū)館(中央廣播電視大學(xué)圖書(shū)館)。
4.1 開(kāi)放大學(xué)數(shù)字圖書(shū)館介紹
國(guó)家開(kāi)放大學(xué)數(shù)字圖書(shū)館為開(kāi)放大學(xué)及全國(guó)電大系統(tǒng)提供一站式、扁平化服務(wù),其中電子圖書(shū)書(shū)目數(shù)據(jù)達(dá)340多萬(wàn)種、電子圖書(shū)全文達(dá)234萬(wàn)種、學(xué)術(shù)文獻(xiàn)7000多萬(wàn)篇、社科數(shù)字期刊2800多種,名師講座88624集,基本實(shí)現(xiàn)數(shù)字文獻(xiàn)資源全學(xué)科覆蓋[5]。主要涵蓋:(1)開(kāi)放文獻(xiàn)資源列表,提供中央電大圖書(shū)館提供的常用電子文獻(xiàn)資源列表;(2)讀者論壇幫助BBS(beta),是開(kāi)放數(shù)圖論壇讀者幫助模塊,在此可以反饋在使用中存在的問(wèn)題,提出數(shù)字圖書(shū)改進(jìn)建議;(3)數(shù)字圖書(shū)館學(xué)習(xí)空間,以圖書(shū)館培訓(xùn)、教育為主要內(nèi)容,同時(shí)提供教師自建課程的Moodle教學(xué)平臺(tái);(4)電大在線?我的工作室,提供在線教學(xué)輔導(dǎo)的全部信息;(5)開(kāi)放大學(xué)講壇,由中央電大圖書(shū)館主辦的學(xué)術(shù)講座平臺(tái),匯集名師名家,深入講解近期發(fā)生的熱點(diǎn)問(wèn)題,提供最全的視頻資料信息;(6)全國(guó)電大圖書(shū)館通訊,是圖書(shū)館服務(wù)與交流電子期刊,提供了最新的電大圖書(shū)館工作動(dòng)態(tài),介紹電大圖書(shū)館新引進(jìn)的和推薦的文獻(xiàn)信息資源等;(7)社會(huì)化應(yīng)用及交流網(wǎng)站等服務(wù)。
4.2 安裝VPN控件
開(kāi)放大學(xué)數(shù)字圖書(shū)館(http://)通過(guò)VPN的方式對(duì)開(kāi)放教育學(xué)生以及電大系統(tǒng)教職工提供授權(quán)訪問(wèn)服務(wù)。打開(kāi)頁(yè)面“插件”(如上圖),下載“國(guó)家開(kāi)放大學(xué)數(shù)字圖書(shū)館遠(yuǎn)程訪問(wèn)控件”,即VPN控件,在安裝過(guò)程中關(guān)閉防火墻和IE安全控(上接81頁(yè))
件軟件,并將圖書(shū)館網(wǎng)站的鏈接地址添加到IE信任列表,Windows Vista用戶(hù)在安裝控件時(shí)請(qǐng)關(guān)閉UAC,Windows 7用戶(hù)在安裝控件時(shí)請(qǐng)對(duì)IE點(diǎn)擊右鍵選擇“以管理員身份運(yùn)行”,再打開(kāi)安裝頁(yè)面。安裝VPN控件后,這個(gè)插件要求必須使用IE瀏覽器進(jìn)行訪問(wèn),IE瀏覽器的版本最低為6.0。
4.3 登陸訪問(wèn)資源列表
點(diǎn)擊“開(kāi)放數(shù)圖”,學(xué)生用電大在線學(xué)生證號(hào)進(jìn)行登錄,教師用電大在線用戶(hù)名進(jìn)行登錄,通過(guò)點(diǎn)擊開(kāi)放文獻(xiàn)資源列表標(biāo)簽,在進(jìn)入過(guò)程中檢查身份的合法性及訪問(wèn)資源的安全性,檢查完畢進(jìn)入應(yīng)用列表,包括CNKI、維普、萬(wàn)方、超星、龍?jiān)础⒆x秀等數(shù)據(jù)庫(kù),涵蓋了最新期刊、會(huì)議論文、學(xué)位論文等。
4.4 文獻(xiàn)檢索
以中國(guó)知網(wǎng)(CNKI)為例,打開(kāi)CNKI(國(guó)開(kāi)鏡像版),期刊包括博碩士學(xué)位論文、會(huì)議、報(bào)紙、外文文獻(xiàn)、年鑒、百科、詞典、統(tǒng)計(jì)數(shù)據(jù)、專(zhuān)利、標(biāo)準(zhǔn)等內(nèi)容,通過(guò)全文、主題、篇名、關(guān)鍵字、摘要、文獻(xiàn)來(lái)源等方式輸入關(guān)鍵字進(jìn)行檢索,在檢索結(jié)果中打開(kāi)自己感興趣的文獻(xiàn)進(jìn)行閱讀、下載。
日新月異的信息技術(shù),促進(jìn)了教育信息化的迅猛發(fā)展,電大教師的信息技術(shù)應(yīng)用能力、文獻(xiàn)檢索的方法和途徑直接決定了遠(yuǎn)程教育教學(xué)資源的使用效率和科研水平,因此筆者認(rèn)為提升師生信息素養(yǎng),加強(qiáng)信息技術(shù)應(yīng)用能力,通過(guò)系統(tǒng)內(nèi)數(shù)字資源應(yīng)用培訓(xùn),從數(shù)字圖書(shū)館平臺(tái)訪問(wèn)、國(guó)內(nèi)主要文獻(xiàn)數(shù)據(jù)庫(kù)的使用、移動(dòng)數(shù)字圖書(shū)館的使用等方面進(jìn)行培訓(xùn),使教職工掌握數(shù)字文獻(xiàn)資源的使用,提高數(shù)字資源的使用率,充分發(fā)揮資源共享的優(yōu)勢(shì)和效益,為教學(xué)和科研提供支持。
參考文獻(xiàn):
[1]張文豐,黃淑敏.開(kāi)放大學(xué)數(shù)字圖書(shū)館資源校外訪問(wèn)方式的研究[J].黑龍江科技信息,2007,(20):146.
[2]付凱東.SSL VPN技術(shù)在高校圖書(shū)館數(shù)字資源中的應(yīng)用[J].微計(jì)算機(jī)信息,2010,26(7-3):107.
[3]百度百科:虛擬專(zhuān)用網(wǎng)絡(luò)[EB/OL].http:///view/480950.htm?fromId=19735.
篇6
虛擬專(zhuān)用網(wǎng)即VPN(Virtual Private Network)是利用接入服務(wù)器(Access Sever)、廣域網(wǎng)上的路由器以及VPN專(zhuān)用設(shè)備在公用的WAN上實(shí)現(xiàn)虛擬專(zhuān)用網(wǎng)技術(shù)。通常利internet上開(kāi)展的VPN服務(wù)被稱(chēng)為IPVPN。
利用共用的WAN網(wǎng),傳輸企業(yè)局域網(wǎng)上的信息,一個(gè)關(guān)鍵的問(wèn)題就是信息的安全問(wèn)題。為了解決此問(wèn)題,VPN采用了一系列的技術(shù)措施來(lái)加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。
1. 隧道技術(shù)
Internet中的隧道是邏輯上的概念。假設(shè)總部的LAN上和分公司的LAN上分別連有內(nèi)部的IP地址為A和B的微機(jī)。總部和分公司到ISP的接入點(diǎn)上的配置了VPN設(shè)備。它們的全局IP地址是C和D。假定從微機(jī)B向微機(jī)A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址是以?xún)?nèi)部IP地址表示的"目的地址A""源地址B"。因此分組到達(dá)分公司的VPN設(shè)備后,立即在它的前部加上與全局IP地址對(duì)應(yīng)的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過(guò)Internet中的若干路由器將IP分組從VPN設(shè)備從D發(fā)往VPN設(shè)備C而添加的。此IP分組到達(dá)總部的VPN設(shè)備C后,全局IP地址即被刪除,恢復(fù)成IP分組發(fā)往地址A。由此可見(jiàn),隧道技術(shù)就是VPN利用公用網(wǎng)進(jìn)行信息傳輸?shù)年P(guān)鍵。為此,還必須在IP分組上添加新頭標(biāo),這就是所謂IP的封裝化。同時(shí)利用隧道技術(shù),還必須使得隧道的入口與出口相對(duì)地出現(xiàn)。
基于隧道技術(shù)VPN網(wǎng)絡(luò),對(duì)于通信的雙方,感覺(jué)如同在使用專(zhuān)用網(wǎng)絡(luò)進(jìn)行通信。
2. 隧道協(xié)議
在一個(gè)分組上再加上一個(gè)頭標(biāo)被稱(chēng)為封裝化。對(duì)封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功的使用VPN技術(shù)還需要有隧道協(xié)議。
2.1 當(dāng)前主要的隧道協(xié)議以及隧道機(jī)制的分類(lèi):
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技術(shù),作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器。將撥號(hào)數(shù)據(jù)流封裝在PPP幀內(nèi)通過(guò)廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP協(xié)議又稱(chēng)為點(diǎn)對(duì)點(diǎn)的隧道協(xié)議。PPTP協(xié)議允許對(duì)IP,IPX或NETBEUT數(shù)據(jù)流進(jìn)行加密,然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送。
⑶ 2TP(Layer 2 Tunneling Protocol)
該協(xié)議是遠(yuǎn)程訪問(wèn)型VPN今后的標(biāo)準(zhǔn)協(xié)議。
L2F、PPTP、L2TP共同特點(diǎn)是從遠(yuǎn)程客戶(hù)直至內(nèi)部網(wǎng)入口的VPN設(shè)備建立PPP連接,端口用戶(hù)可以在客戶(hù)側(cè)管理PPP。它們除了能夠利用內(nèi)部IP地址的擴(kuò)展功能外,還能在VPN上利用PPP支持的多協(xié)議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實(shí)現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱(chēng)作第二層隧道。對(duì)于不提供PPP功能的隧道協(xié)議都由標(biāo)準(zhǔn)的IP層來(lái)處理,稱(chēng)其為第三層隧道,以區(qū)分于第二層隧道。
⑷ TMP/BAYDVS
ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠(yuǎn)程訪問(wèn)的VPN協(xié)議,它部分采用了移動(dòng)IP的機(jī)制。ATMP以GRE實(shí)現(xiàn)封裝化,將VPN的起點(diǎn)和終點(diǎn)配置ISP內(nèi)。因此,用戶(hù)可以不裝與VPN想適配的軟件。
⑸ PSEC
IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認(rèn)證頭標(biāo)(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。
IPSEC隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密,然后封裝在IP包頭中,通過(guò)企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如INTERNET發(fā)送。
從以上的隧道協(xié)議,我們可以看出隧道機(jī)制的分類(lèi)是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò),DSI七層網(wǎng)絡(luò)中的位置,將自己定義為第二層的隧道分類(lèi)技術(shù)。按照這種劃分方法,從此產(chǎn)生了"二層VPN "與"三層VPN"的區(qū)別。但是隨著技術(shù)的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會(huì)話(huà)加密的SSLVPN技術(shù)[2]、基于端口轉(zhuǎn)發(fā)的HTTPTunnel[1]技術(shù)等等。如果繼續(xù)使用這樣的分類(lèi),將出現(xiàn)"四層VPN"、"五層VPN",分類(lèi)教為冗余。因此,目前出現(xiàn)了其他的隧道機(jī)制的分類(lèi)。
2.2 改進(jìn)后的幾種隧道機(jī)制的分類(lèi)
⑴ J.Heinanen等人提出的根據(jù)隧道建立時(shí)采用的接入方式不同來(lái)分類(lèi),將隧道分成四類(lèi)。分別是使用撥號(hào)方式的VPN,使用路由方式的VPN,使用專(zhuān)線方式的VPN和使用局域網(wǎng)仿真方式的VPLS。
例如同樣是以太網(wǎng)的技術(shù),根據(jù)實(shí)際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網(wǎng)方式所提供的網(wǎng)絡(luò)性能將大有區(qū)別,因此按照接入方式不同來(lái)分類(lèi)也無(wú)法表示這幾種方式在網(wǎng)絡(luò)性能上的差異,由此將引起在實(shí)際應(yīng)用中對(duì)VPN技術(shù)選型造成誤導(dǎo)。
⑵ 由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評(píng)價(jià)標(biāo)準(zhǔn)。根據(jù)隧道建立的機(jī)制對(duì)網(wǎng)絡(luò)性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類(lèi)方法。封裝型隧道技術(shù)是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過(guò)公眾網(wǎng)絡(luò)傳遞。例如L2TP就是典型的封裝型隧道。
隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標(biāo)記,直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標(biāo)記的數(shù)據(jù)包在進(jìn)入網(wǎng)絡(luò)邊緣時(shí)已經(jīng)相互隔離,如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術(shù)一般只能提供點(diǎn)對(duì)點(diǎn)的通道,而點(diǎn)對(duì)多點(diǎn)的業(yè)務(wù)支持能力教差,但是可擴(kuò)展性,靈活性具有優(yōu)勢(shì)。
采用隔離型隧道技術(shù),則不存在以上問(wèn)題,可以根據(jù)實(shí)際需要,提供點(diǎn)對(duì)點(diǎn),點(diǎn)對(duì)多點(diǎn),多點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)拓?fù)洹?/p>
3. 諸種安全與加密技術(shù)
IPVPN技術(shù),由于利用了Internet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠(yuǎn)距離。但隨之而來(lái)的是由于Internet技術(shù)的標(biāo)準(zhǔn)化和開(kāi)放性,導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對(duì)策的訪問(wèn)控制來(lái)提高網(wǎng)絡(luò)的安全性,但黑客仍可以從世界上任何地方對(duì)網(wǎng)絡(luò)進(jìn)行攻擊,使得在IPVPN的網(wǎng)點(diǎn)A和網(wǎng)點(diǎn)B之間安全通信受到威脅。因此,利用IPVPN通信時(shí),應(yīng)比專(zhuān)線更加注意Internet接入點(diǎn)的安全。為此,IPVPN采用了以下諸種安全與加密技術(shù)。[2]
⑴ 防火墻技術(shù)
防火墻技術(shù),主要用于抵御來(lái)自黑客的攻擊。
⑵ 加密及防止數(shù)據(jù)被篡改技術(shù)
加密技術(shù)可以分為對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密(專(zhuān)用密鑰號(hào)與公用密鑰)。對(duì)稱(chēng)加密(或?qū)S眉用?也稱(chēng)常規(guī)加密,由通信雙方共享一個(gè)秘密密鑰。
非對(duì)稱(chēng)加密,或公用密鑰,通信雙方使用兩個(gè)不同的密鑰,一個(gè)是只有發(fā)送方知道的專(zhuān)用密鑰,另一個(gè)則是對(duì)應(yīng)的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術(shù)的VPN虛擬專(zhuān)用網(wǎng),只有采用了以上諸種技術(shù)以后,才能夠發(fā)揮其良好的通信功能。
參考文獻(xiàn)
篇7
The Application of SSL VPN Technology in the Computer Network of Teaching Resources
Tan Qinhong
(Tongren Polytechnic,Tongren554300,China)
Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.
Keywords:Computer teaching resources network;Network security;SSL VPN
一、校園網(wǎng)計(jì)算機(jī)教學(xué)系統(tǒng)面臨的安全風(fēng)險(xiǎn)分析
隨著國(guó)家教育事業(yè)的快速發(fā)展以及IT技術(shù)的迅猛發(fā)展,人們的生產(chǎn)、生活方式發(fā)生了翻天覆地的變化,傳統(tǒng)的教室內(nèi)黑板面授教學(xué)模式已經(jīng)不能完全滿(mǎn)足當(dāng)代的教學(xué)工作,必須有一種新的教學(xué)方式來(lái)彌補(bǔ)傳統(tǒng)教學(xué)模式單一的不足,計(jì)算機(jī)教學(xué)應(yīng)運(yùn)而生,特別是計(jì)算機(jī)多媒體教學(xué)。計(jì)算機(jī)教學(xué)方式中,學(xué)習(xí)的人可以隨時(shí)隨地的學(xué)習(xí),不受時(shí)間和空間的限制,并且具有學(xué)習(xí)成本低廉等一系列優(yōu)點(diǎn),因此計(jì)算機(jī)教學(xué)受到越來(lái)越多的歡迎。
為方便教師和學(xué)生等對(duì)教學(xué)資源的外部訪問(wèn),存儲(chǔ)有教學(xué)資源的網(wǎng)絡(luò)大多與互聯(lián)網(wǎng)相連,難免會(huì)受到來(lái)自于網(wǎng)絡(luò)內(nèi)部和外部的攻擊,計(jì)算機(jī)網(wǎng)絡(luò)的大多設(shè)備或軟件為國(guó)外生產(chǎn),其中可能存在一些后門(mén)程序,操作系統(tǒng)、應(yīng)用系統(tǒng)等都存在大量的漏洞可以讓攻擊者利用,計(jì)算機(jī)病毒等惡意程序、SQL注入攻擊、跨站腳本攻擊、DDOS攻擊、釣魚(yú)網(wǎng)站的泛濫讓校園網(wǎng)的安全形式不容樂(lè)觀。
校園網(wǎng)中,用戶(hù)有學(xué)生、教師、外部學(xué)習(xí)者等主體,教學(xué)資源的訪問(wèn)主體的身份不好控制、資源訪問(wèn)控制困難,很難讓指定的用戶(hù)只能訪問(wèn)指定的資源,不能訪問(wèn)其它非授權(quán)訪問(wèn)資源、用戶(hù)對(duì)資源的訪問(wèn)不具有抗抵賴(lài)等問(wèn)題。
校園網(wǎng)是學(xué)校的門(mén)戶(hù),是學(xué)校的形象窗口,是學(xué)校賴(lài)以生存的生產(chǎn)資料的一部分,如果遭到惡意攻擊,導(dǎo)致不能正常對(duì)外部提供服務(wù),將對(duì)學(xué)校造成嚴(yán)重?fù)p失。
二、SSL VPN簡(jiǎn)介
VPN(Virtual Private Network虛擬專(zhuān)用網(wǎng)絡(luò))[1]是一種在公共的網(wǎng)絡(luò)基礎(chǔ)平臺(tái)(如internet)上建立專(zhuān)用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。VPN通過(guò)對(duì)數(shù)據(jù)包進(jìn)行加密和封包,在公共網(wǎng)絡(luò)基礎(chǔ)平臺(tái)上構(gòu)建出安全、可靠的專(zhuān)用隧道,使私有數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸。用戶(hù)使用VPN技術(shù),不需要建設(shè)自己的專(zhuān)用網(wǎng)絡(luò),節(jié)省投資,使用便捷,VPN技術(shù)因而獲得了廣泛的應(yīng)用。
VPN技術(shù)發(fā)展至今,產(chǎn)生了多個(gè)種類(lèi),有工作在2層的L2TP VPN,工作在3層的IPsec VPN,工作在傳輸層和應(yīng)用層之間的SSL(Secure Socket Layer安全套接層)VPN,基于虛擬路由表和標(biāo)簽轉(zhuǎn)發(fā)的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用戶(hù)通過(guò)公共網(wǎng)絡(luò)(如internet)接入業(yè)務(wù)網(wǎng)絡(luò),在遠(yuǎn)程接入上應(yīng)用廣泛。
SSL是一個(gè)獨(dú)立于平臺(tái)并獨(dú)立于應(yīng)用的協(xié)議,用戶(hù)保護(hù)基于TCP的應(yīng)用。在TCP/IP四層架構(gòu)中,SSL在傳輸層之上,應(yīng)用層之下,像TCP連接所連接的套接字一樣工作。
SSL VPN技術(shù)幫助用戶(hù)使用標(biāo)準(zhǔn)的Web瀏覽器就可以通過(guò)公共網(wǎng)絡(luò)平臺(tái)接入所要訪問(wèn)的遠(yuǎn)程資源。在用戶(hù)的計(jì)算機(jī)上,不需要安裝客戶(hù)端軟件及進(jìn)行復(fù)雜的配置,大大方便了用戶(hù),僅僅通過(guò)一臺(tái)接入了Internet的計(jì)算機(jī)就能訪問(wèn)遠(yuǎn)程資源。這為企業(yè)及政府提高效率也帶來(lái)了方便。
用戶(hù)所要訪問(wèn)的資源位于企業(yè)網(wǎng)或者政務(wù)網(wǎng)內(nèi)部,在此情況下,需要部署SSL VPN網(wǎng)關(guān)在企業(yè)網(wǎng)或者政務(wù)網(wǎng)的邊緣,介于服務(wù)器與遠(yuǎn)程用戶(hù)之間,控制二者的通信。如下圖所示:
SSL VPN網(wǎng)關(guān)除了作為隧道的終點(diǎn),還要執(zhí)行以下三種功能:,應(yīng)用轉(zhuǎn)換、端口轉(zhuǎn)發(fā)[2]。
篇8
一、引言
隨著信息化經(jīng)濟(jì)一體化的發(fā)展,實(shí)現(xiàn)資源共享是每個(gè)企業(yè)追求發(fā)展進(jìn)步不可或缺的一步。利用隧道技術(shù)在公共網(wǎng)絡(luò)上建立安全的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)是實(shí)現(xiàn)資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個(gè)比較主流的VPN技術(shù)。
二、IPSec VPN
IPSec VPN即指采用IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù),用來(lái)提供公用和專(zhuān)用網(wǎng)絡(luò)的端對(duì)端加密和驗(yàn)證服務(wù)。IPsec給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括AH網(wǎng)絡(luò)認(rèn)證協(xié)議、ESP封裝安全載荷、IKE因特網(wǎng)密鑰交換和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等[1]。其中,AH協(xié)議和ESP協(xié)議用來(lái)提供安全服務(wù),IKE協(xié)議用于密鑰交換。
(一)認(rèn)證頭(AH)協(xié)議
IPsec認(rèn)證頭協(xié)議是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議(AH協(xié)議把AH頭插入IP數(shù)據(jù)包),它為IP數(shù)據(jù)報(bào)提供無(wú)連接完整性、數(shù)據(jù)源認(rèn)證、保護(hù)以避免重播情況[1]。
(二)封裝安全載荷(ESP)協(xié)議
封裝安全載荷(ESP)協(xié)議是IPsec體系結(jié)構(gòu)中的一種用來(lái)提高IP的安全性的主要協(xié)議。ESP加密要保護(hù)的數(shù)據(jù)并且在IPsec ESP的數(shù)據(jù)部分進(jìn)行數(shù)據(jù)的完整性校驗(yàn),以達(dá)到其數(shù)據(jù)機(jī)密性和完整性的目的。ESP提供了與AH相同的安全服務(wù)并提供了一種保密。
(三)IKE
IKE是一種混合型協(xié)議,由Internet安全聯(lián)盟(SA)和密鑰管理協(xié)議(ISAKMP)這兩種密鑰交換協(xié)議組成。IKE是以受保護(hù)的方式為SA協(xié)商并提供經(jīng)過(guò)認(rèn)證的密鑰信息的協(xié)議。IKE用于協(xié)商AH和ESP所使用的密碼算法,并將算法所需的必備密鑰放到恰當(dāng)位置。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協(xié)議協(xié)商SA。
三、MPLS VPN
MPLS VPN與傳統(tǒng)的IPSec VPN不同,MPLS VPN不依靠封裝和加密技術(shù),而是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來(lái)創(chuàng)建一個(gè)安全的VPN,MPLS VPN的所有技術(shù)產(chǎn)生于Internet。MPLS VPN是一種以MPLS技術(shù)為基礎(chǔ)的IP VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(Multiprotocol Label Switching,多協(xié)議標(biāo)記交換)技術(shù),簡(jiǎn)化核心路由器的路由選擇方式,結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專(zhuān)用網(wǎng)絡(luò)(IP VPN)。
(一)MPLS VPN的基本原理
每個(gè)MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由P(供應(yīng)商)設(shè)備組成,這些設(shè)備構(gòu)成了MPLS的核心,且不直接同CE路由器相連,圍繞在P周?chē)腜E路由器可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。在MPLS VPN中,用戶(hù)站點(diǎn)通常運(yùn)行的是IP。它們并不需要運(yùn)行MPLS和其他特殊的VPN協(xié)議。在PE路由器中,RD對(duì)應(yīng)同每個(gè)用戶(hù)站點(diǎn)連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置,是設(shè)置VPN站點(diǎn)工作的一部分,它并不在用戶(hù)設(shè)備上進(jìn)行配置,對(duì)于用戶(hù)來(lái)說(shuō)是透明的[2]。
(二)MPLS VPN的優(yōu)點(diǎn)
1.減少時(shí)延。由于數(shù)據(jù)包不再經(jīng)過(guò)封裝或者加密,所以時(shí)延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創(chuàng)建一個(gè)專(zhuān)用網(wǎng),它同幀中繼網(wǎng)絡(luò)具備的安全性很相似[2]。
2.配置MPLS VPN網(wǎng)絡(luò)的設(shè)備比較容易。配置MPLS VPN網(wǎng)絡(luò)的設(shè)備也變得容易了,僅需配置核心網(wǎng)絡(luò)不許訪問(wèn)CPE。
3.提高了資源利用率。由于在網(wǎng)內(nèi)使用標(biāo)簽交換,用戶(hù)各個(gè)點(diǎn)的局域網(wǎng)可以使用重復(fù)的IP地址,提高了IP資源利用率。
4.安全性高。采用MPLS作為通道機(jī)制實(shí)現(xiàn)透明報(bào)文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類(lèi)似的高可靠安全性。
四、SSL VPN
SSL VPN的出現(xiàn)是為了解決IPSec VPN的固有的缺點(diǎn),SSL VPN繼承了IPSec VPN的遠(yuǎn)程使用與內(nèi)網(wǎng)使用體驗(yàn)一致優(yōu)點(diǎn),避免了因有客戶(hù)端而導(dǎo)致的使用維護(hù)不便、帶來(lái)大量病毒和蠕蟲(chóng)的入侵、無(wú)法與企業(yè)現(xiàn)有認(rèn)證服務(wù)器結(jié)合、無(wú)法審計(jì)等問(wèn)題[2]。IPSec VPN與SSL VPN的對(duì)比。傳統(tǒng)的IPSec VPN在部署時(shí),往往需要在每個(gè)遠(yuǎn)程接入的終端都安裝相應(yīng)的IPSec客戶(hù)端并需要作復(fù)雜的配置。若企業(yè)的遠(yuǎn)程接入數(shù)量增多,企業(yè)的維護(hù)成本就會(huì)隨之增加。而SSL VPN最大的優(yōu)點(diǎn)之一就是不需要安裝客戶(hù)端程序遠(yuǎn)程用戶(hù)可以隨時(shí)隨地從任何瀏覽器上安全接入到內(nèi)部網(wǎng)絡(luò)。對(duì)比表如下:
五、總結(jié)
由于VPN的優(yōu)秀安全特性,讓它越來(lái)越受到安全要求較高的企業(yè)或部門(mén)的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術(shù)增加了VPN通信的安全性。伴隨著VPN的廣泛使用,更加復(fù)雜的VPN系統(tǒng)會(huì)繼續(xù)出現(xiàn)。所以,其安全策略管理的問(wèn)題將逐步顯現(xiàn),這方面的研究也將受到高度重視。
篇9
隨著電力信自、化水平的不斷提高,縣級(jí)供電企業(yè)綜合管理信息系統(tǒng)開(kāi)始逐步建立,但基層變電站、鄉(xiāng)鎮(zhèn)供電聽(tīng)與供電公司局域網(wǎng)聯(lián)網(wǎng)問(wèn)題嚴(yán)重地制約著縣級(jí)供電企業(yè)信息系統(tǒng)實(shí)用化水平的發(fā)展和信息資源的充分有效利用,這與供電企業(yè)管理發(fā)展的目標(biāo)追求以及客戶(hù)的需求是極不適應(yīng)的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設(shè)工作受地形、人員素質(zhì)、資金投人等因素影響,解決遠(yuǎn)程站點(diǎn)聯(lián)網(wǎng)問(wèn)題成為縣級(jí)供電企業(yè)信自、網(wǎng)絡(luò)建設(shè)中的突出矛盾。
1廬江供電公司信息化建設(shè)現(xiàn)狀
安徽廬江供電公司的信息化上作起步較晚,供電公司總部于X004年實(shí)現(xiàn)了生產(chǎn)M I S與辦公自動(dòng)化OA的單軌制運(yùn)行,總部信息化運(yùn)行提高了企業(yè)的整體管理水平和辦公效率。如今,廬江供電公司總部已運(yùn)行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、檔案管理系統(tǒng)、Web系統(tǒng)、財(cái)務(wù)管理系統(tǒng),現(xiàn)有的服務(wù)器包括:生產(chǎn)服務(wù)器、辦公自動(dòng)化服務(wù)器、檔案服務(wù)器、Web服務(wù)器、財(cái)務(wù)服務(wù)器。力、公用微機(jī)80多臺(tái),每位管理人員以及每個(gè)班組都配有微機(jī)。
在實(shí)施信息化建設(shè)與管理中,深深體會(huì)到廬江供電公司信息化建設(shè)不僅可降低財(cái)務(wù)管理、物資管理、項(xiàng)目管理、資料管理等方面的管理成本,并在生產(chǎn)管理中可將所有設(shè)備信息進(jìn)行分類(lèi)編號(hào),輸人數(shù)據(jù)庫(kù),實(shí)行設(shè)備、設(shè)施缺陷管理,科學(xué)地制定缺陷檢修計(jì)劃,提高設(shè)備運(yùn)行可靠度,降低故障率,提高供電可靠性;同時(shí),廬江供電公司的營(yíng)銷(xiāo)管理信息系統(tǒng)建有業(yè)擴(kuò)子系統(tǒng)、電量電費(fèi)f系統(tǒng)、用電檢查子系統(tǒng)、綜合查詢(xún)系統(tǒng),通過(guò)這些系統(tǒng),可方便與客戶(hù)的交流、溝通,節(jié)約成本開(kāi)支,實(shí)現(xiàn)科學(xué)化營(yíng)銷(xiāo)流程管理。這些管理信息系統(tǒng)的應(yīng)用,加強(qiáng)J’企業(yè)的規(guī)范化管理,增強(qiáng)了管理的科學(xué)化水平,減輕了工作人員的負(fù)擔(dān),提高了企業(yè)的經(jīng)濟(jì)效益。
為此,廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營(yíng)銷(xiāo)MIS應(yīng)用系統(tǒng)的推進(jìn)力度,進(jìn)一步減輕了抄表人員的負(fù)擔(dān),縮短了開(kāi)票時(shí)間,加強(qiáng)了電費(fèi)電價(jià)的控制與管理,提高了營(yíng)銷(xiāo)管理自動(dòng)化水平。全縣17個(gè)鄉(xiāng)鎮(zhèn)供電聽(tīng),都使用同一版本的營(yíng)銷(xiāo)MIS應(yīng)用系統(tǒng)。舟個(gè)供電聽(tīng)都有3臺(tái)以上的微機(jī),其中1臺(tái)所長(zhǎng)用于日常辦公,另外2臺(tái)分別作為用電MIS系統(tǒng)的服務(wù)器與客戶(hù)端,并兼為所里其他工作人員辦公使用。其中,已有10個(gè)供電所可利用變電站的光纖系統(tǒng),與廬江供電公司總部實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián),提高了工作效率,節(jié)省了開(kāi)支。其余7個(gè)供電所仍不能夠?qū)崿F(xiàn)信息化共享,這些供電所非常希望盡快網(wǎng)絡(luò)互聯(lián)。
2采用VPN方案推進(jìn)供電所信息化建設(shè)進(jìn)程
這些供電所若使用以前的光纖聯(lián)網(wǎng)方式,不僅投資大,施工工期長(zhǎng),而且日后的維護(hù)量也多。考慮到以上原因,為盡快解決其余7個(gè)光纖未開(kāi)通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡(luò)互聯(lián)問(wèn)題,達(dá)到信息、共享,推廣鄉(xiāng)鎮(zhèn)供電所的營(yíng)銷(xiāo)MIS系統(tǒng)應(yīng)用,公司決定采用虛擬局域網(wǎng)(VPN),在現(xiàn)有設(shè)備基礎(chǔ)上,進(jìn)行簡(jiǎn)單的改造。通過(guò)在VPN網(wǎng)關(guān)中配置7個(gè)供電所的用戶(hù)、密碼以及訪問(wèn)策略,并分別在7個(gè)供電所安裝VPN客戶(hù)端,安裝公司的MIS應(yīng)用系統(tǒng),實(shí)現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)。VPN技術(shù)實(shí)際上就是綜合利用包封裝技術(shù)、加密技術(shù)、密鑰交換技術(shù)、PKI技術(shù),可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專(zhuān)用網(wǎng)絡(luò)(VPN , Virtual Private Network ) 。 VPN是一個(gè)被加密或封裝的通信過(guò)程,該過(guò)程把數(shù)據(jù)安全地從一端傳送到另一端,這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來(lái)保障,而數(shù)據(jù)是在一個(gè)開(kāi)放的、沒(méi)有安全保障的、經(jīng)過(guò)路由傳送的網(wǎng)絡(luò)上傳輸?shù)摹PN技術(shù)能夠有效解決信息安全傳輸中的“機(jī)密性、完整性、不可抵賴(lài)性”問(wèn)題。
3方案效果比較
對(duì)2種方案的可能性進(jìn)行了比較,如圖1所示。如果廬江供電公司全部運(yùn)用光纖法來(lái)實(shí)現(xiàn)供電所的網(wǎng)絡(luò)互聯(lián),每個(gè)供電所的材料費(fèi)、施工費(fèi)按3.5萬(wàn)元,施工工期10天計(jì)算,7個(gè)供電所就需要3.5 x 7=24.5萬(wàn)元,需要10 x 7=70天。若這7個(gè)供電所采用VPN方案,只需要購(gòu)買(mǎi)VPN網(wǎng)關(guān)1臺(tái),價(jià)值3.5萬(wàn)元和7個(gè)客戶(hù)端鑰匙,價(jià)值7 x 480=3360元,5天內(nèi)就能完成7個(gè)供電所安裝。因此,應(yīng)用VPN方案,廬江供電公司就能節(jié)省資金達(dá)24 . 5-3 . 836=20.664萬(wàn)元,縮短工期65天,取得的直接效益是顯著的,并省去了今后光纖線路維護(hù)所需要工作量。
現(xiàn)在,這7個(gè)鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng),在局域網(wǎng)下載內(nèi)容的速度可達(dá)350 kb/s,生產(chǎn)MIS系統(tǒng)響應(yīng)時(shí)間為2--3 s,辦公自動(dòng)化系統(tǒng)瀏覽公司收發(fā)的文件、接受電子郵件的時(shí)間因文件的大小不同而有所差別,1 MB的文件大約需要8 s。由于ADSL是非對(duì)稱(chēng)數(shù)字環(huán)路,所以發(fā)送電子郵件的速度要慢得多,1 MB的文件大約需要18s。從VPN方案運(yùn)行效果來(lái)看,完全能夠滿(mǎn)足廬江供電公司網(wǎng)絡(luò)發(fā)展及MIS系統(tǒng)應(yīng)用的需要。
4下一步信息化建設(shè)的主攻方向
篇10
Zhang Ding-xiang
(Guizhou Commercial College, Guiyang GuizhouGuiyang 550004)
【 Abstract 】 Although at present to provide enterprises with VPN network platform building scheme is more, but the building costs are high, make many enterprise hope and stopped. Therefore, seek a kind of economic and enough VPN network platform construction scheme is very necessary.This paper will introduce a kind of deployment scheme and configuration method which that using ADSL dial-up internet, dynamic DNS technology and software VPN over the internet to construct economic VPN network platform. This program can be used for the construction or upgrading of an enterprise VPN platform.
【 Keywords 】 economical ;VPN; network platform; construction method
1 引言
隨著互聯(lián)網(wǎng)在企業(yè)領(lǐng)域應(yīng)用的不斷深化,VPN(虛擬專(zhuān)用網(wǎng))已作為一種安全的局域網(wǎng)遠(yuǎn)程擴(kuò)展方案,并受到越來(lái)越多的企業(yè)關(guān)注和運(yùn)用。對(duì)于占全國(guó)企業(yè)總數(shù)80%的中小型企業(yè)來(lái)說(shuō),大多數(shù)都需要通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)安全地、可靠地、及時(shí)地傳輸各種業(yè)務(wù)數(shù)據(jù),并希望投入的成本越少越好,還期望原有的和即將發(fā)生的投資都能夠得到長(zhǎng)期的保護(hù)。因而,為這些企業(yè)尋求一種經(jīng)濟(jì)的夠用的VPN網(wǎng)絡(luò)平臺(tái)解決方案和實(shí)現(xiàn)方法是很有必要的、迫切的。
2 解決方案
在企業(yè)構(gòu)建VPN平臺(tái)過(guò)程中,無(wú)論采用何種方案都應(yīng)以追求數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性、可控性和可維護(hù)性等為建設(shè)目標(biāo)。這里以論文《集散式中小型企業(yè)遠(yuǎn)程數(shù)據(jù)安全傳輸解決方案》中提出的“6+”解決方案為基礎(chǔ),概要地介紹一種經(jīng)濟(jì)的VPN網(wǎng)絡(luò)平臺(tái)構(gòu)建方法,以起到拋磚引玉的作用。“6+” 解決方案為PC機(jī)、操作系統(tǒng)、ADSL撥號(hào)、DDNS、二級(jí)域名、集成型VPN網(wǎng)關(guān)軟件6種組件的綜合集成。
2.1 VPN網(wǎng)絡(luò)部署拓?fù)鋱D
企業(yè)VPN部署的典型拓?fù)浣Y(jié)構(gòu)圖如圖1所示,企業(yè)總部與互聯(lián)網(wǎng)的連接均通過(guò)VPN網(wǎng)關(guān)接入,VPN網(wǎng)關(guān)通過(guò)網(wǎng)線物理連接到ADSL Modem上,ADSL Modem再通過(guò)電話(huà)線邏輯接入到互聯(lián)網(wǎng);各分支機(jī)構(gòu)和企業(yè)移動(dòng)用戶(hù)也通過(guò)VPN網(wǎng)關(guān)接入因特網(wǎng),接入方式可以不采用ADSL Modem撥號(hào)連接。
2.2 方案要點(diǎn)
(1) 選配PC機(jī)。總部VPN網(wǎng)關(guān)主機(jī)選用一臺(tái)質(zhì)量較好的普通PC機(jī)即可。主機(jī)基本配置要求為Pentium CPU、512MB內(nèi)存、80GB硬盤(pán)、10/100Mbps雙網(wǎng)卡。這些技術(shù)參數(shù)也可作為分支機(jī)構(gòu)VPN網(wǎng)關(guān)的參考。
(2) 選定主機(jī)操作系統(tǒng)。從習(xí)慣性和普及性考慮,選用專(zhuān)業(yè)版或服務(wù)器版的Windows作為VPN網(wǎng)關(guān)(主機(jī))的操作系統(tǒng),如Windows 2000 專(zhuān)業(yè)版、Windows 2003服務(wù)器版、Windows XP SP3專(zhuān)業(yè)版等。
(3) 采用ADSL撥號(hào)接入互聯(lián)網(wǎng)。總部與因特網(wǎng)的接入方式采用常規(guī)的ADSL Modem撥號(hào)接入,目的是可以獲得一個(gè)免費(fèi)的公網(wǎng)IP地址,只不過(guò)該IP地址是動(dòng)態(tài)的,每次撥號(hào)時(shí)可能獲得不同的IP地址。
(4) DDNS的選用。選用擁有我國(guó)自主知識(shí)產(chǎn)權(quán)的花生殼作為DDNS(動(dòng)態(tài)域名解析服務(wù)系統(tǒng)),花生殼DDNS能自動(dòng)地準(zhǔn)確地將動(dòng)態(tài)IP地址與固定域名實(shí)時(shí)綁定,使得VPN客戶(hù)端根據(jù)域名就可以隨時(shí)找到VPN服務(wù)端的動(dòng)態(tài)公網(wǎng)IP地址。
(5) 二級(jí)域名的申請(qǐng)。通常情況下,申請(qǐng)租用一級(jí)(頂級(jí))域名都是要付費(fèi)的,而申請(qǐng)租用二級(jí)域名多數(shù)都是免費(fèi)的。對(duì)于構(gòu)建VPN平臺(tái)來(lái)說(shuō),域名叫什么都無(wú)所謂,僅僅是一個(gè)符號(hào)而已,只要能準(zhǔn)確地解析到IP地址即可。為能更好地運(yùn)用花生殼DDNS解析IP地址,這里在花生殼網(wǎng)站上申請(qǐng)一個(gè)二級(jí)域名作為VPN服務(wù)端網(wǎng)關(guān)的域名地址(如“iioffice.省略”)。
篇11
1.引言
網(wǎng)絡(luò)流量的指數(shù)級(jí)增長(zhǎng),導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)的處理越加復(fù)雜,特別是在跨區(qū)域大型企業(yè),政府等部門(mén)對(duì)新業(yè)務(wù)的需求越來(lái)越大的情況下,現(xiàn)有城域網(wǎng)絡(luò)各方面的瓶頸越來(lái)越突出,而且隨著NGN、IPTV等基于IP的話(huà)音與視頻業(yè)務(wù)的發(fā)展,對(duì)城域網(wǎng)與接入網(wǎng)的功能與性能又提出了許多更高更新的要求:高帶寬、高可靠性、高QoS、低延時(shí)和靈活的擴(kuò)展性。網(wǎng)絡(luò)處理器,作為新一代的高性能路由器的核心設(shè)備,在數(shù)據(jù)傳輸處理方面有許多特別的優(yōu)勢(shì),它不但擁有ASIC處理器的高速高帶寬,而且具有非常強(qiáng)的靈活性高端路由器,同時(shí)在流量管理、QoS、OAM等技術(shù)也有獨(dú)特的優(yōu)勢(shì)。
2.城域網(wǎng)技術(shù)概述
從橫向劃分,承載網(wǎng)通常可以分為骨干網(wǎng)、城域網(wǎng)與接入網(wǎng),城域網(wǎng)位于骨干網(wǎng)與接入網(wǎng)的交匯處,是通信網(wǎng)中最復(fù)雜的應(yīng)用環(huán)境,各種業(yè)務(wù)和各種協(xié)議都在此匯聚、分流和進(jìn)出骨干網(wǎng)。多種交換技術(shù)和業(yè)務(wù)網(wǎng)絡(luò)并存的局面是城域網(wǎng)建設(shè)所面對(duì)的最主要問(wèn)題。而基于IP/MPLS技術(shù)建設(shè)多業(yè)務(wù)綜合承載網(wǎng)絡(luò)已經(jīng)被全球運(yùn)營(yíng)商認(rèn)同。
在城域網(wǎng)絡(luò)中,骨干層通過(guò)出口路由器實(shí)現(xiàn)與兩張骨干網(wǎng)的連接完成高速的數(shù)據(jù)轉(zhuǎn)發(fā),并充當(dāng)IP 城域網(wǎng)出口設(shè)備。匯聚層作為IP城域網(wǎng)骨干區(qū)域向下的延伸,與骨干層構(gòu)成了核心路由區(qū)域,并充當(dāng)三層MPLS VPN (Multi-PropocolLabel Switching VirtualPrivate Network) 的P 設(shè)備論文參考文獻(xiàn)格式。匯聚層BAS (寬帶接入服務(wù)器)和路由器以上運(yùn)行三層網(wǎng)絡(luò),以下視具體的情況運(yùn)行三層或二層網(wǎng)絡(luò)。接入層負(fù)責(zé)用戶(hù)接入,采用二層網(wǎng)絡(luò)。
3. NP-3網(wǎng)絡(luò)處理器概述
Ezchip公司的NP-3處理器,是一款高靈活性的網(wǎng)絡(luò)處理器,它提供10G線速的包處理能力及良好的帶寬控制能力。通過(guò)編程能實(shí)現(xiàn)如二層交換,Q-in-Q,PBT,T-MPLS,VPLS,MPLS,IPV4/IPV6等多種功能。同時(shí)該芯片集成的一個(gè)流量控制器,能提供較強(qiáng)的流量管理功能。
NP-3的數(shù)據(jù)處理流圖如圖3.1:
圖3.1:NP-3數(shù)據(jù)處理流圖
TOPparse解析和提取各種數(shù)據(jù)幀的幀頭、地址、端口、協(xié)議等作為查表的關(guān)鍵字。同時(shí)也可利用硬件或軟件解析報(bào)文,過(guò)濾非法的畸形報(bào)文、攻擊報(bào)文。
TOPsearch使用TOPparse提取出的關(guān)鍵字查找相關(guān)的路由表、會(huì)話(huà)表、策略表、統(tǒng)計(jì)計(jì)數(shù)表等。
TOPresolve根據(jù)TOPsearchI查找表所得的結(jié)果進(jìn)行判斷和決策。同時(shí)可以通過(guò)高學(xué)更新會(huì)話(huà)狀態(tài)信息等。
TOPserach II可選,在TOPresolve完成后,進(jìn)行比較簡(jiǎn)單的額外的數(shù)據(jù)表查找。
TOPmodify對(duì)報(bào)文的內(nèi)容進(jìn)行修改并發(fā)送到不同的路徑上。
4.城域網(wǎng)關(guān)鍵技術(shù)分析及NP-3平臺(tái)下的數(shù)據(jù)轉(zhuǎn)發(fā)面實(shí)現(xiàn)
4.1網(wǎng)絡(luò)結(jié)構(gòu)及關(guān)鍵技術(shù)分析
典型的城域網(wǎng)由服務(wù)商骨干網(wǎng)絡(luò)(serviceprovider backbone network, SP-BN)和多個(gè)服務(wù)商網(wǎng)絡(luò)(serviceprovider network, SP-N)構(gòu)成高端路由器,服務(wù)商網(wǎng)絡(luò)之間通過(guò)骨干網(wǎng)連接,用戶(hù)之間則通過(guò)服務(wù)商網(wǎng)絡(luò)連接到骨干網(wǎng),如圖1所示,圖中SP-BN通過(guò)MPLS協(xié)議連接,而SP-N通過(guò)Q-in-Q(IEEE802.1ad)協(xié)議連接。本文將基于該網(wǎng)絡(luò)實(shí)例進(jìn)行研究討論。
圖4.1:城域網(wǎng)絡(luò)基本結(jié)構(gòu)
在城域網(wǎng)網(wǎng)絡(luò)中涉及的三類(lèi)關(guān)鍵服務(wù):
?點(diǎn)到點(diǎn)二層VPN服務(wù)(VPWS)
兩個(gè)單獨(dú)的用戶(hù)站點(diǎn)之間可通過(guò)本服務(wù)實(shí)現(xiàn)二層連接,預(yù)先配置好一個(gè)統(tǒng)一的服務(wù)ID(service ID),建立一條通過(guò)SP-N和SP-BN的鏈路論文參考文獻(xiàn)格式。數(shù)據(jù)幀只需通過(guò)預(yù)先配置好的service ID進(jìn)行轉(zhuǎn)發(fā)。如圖4.1中的Client A與Client B之間的二層服務(wù)。
?點(diǎn)到多點(diǎn)二層VPN服務(wù)(VPLS)
本服務(wù)提供了多個(gè)站點(diǎn)之間的二層連接,相當(dāng)于構(gòu)建了一個(gè)虛擬的局域網(wǎng),數(shù)據(jù)幀的轉(zhuǎn)發(fā)基于service ID和報(bào)文的目的MAC地址(destination MAC address, DA)。如圖4.1中的Client A、Client B、Client C之間的二層服務(wù)。
?點(diǎn)到多點(diǎn)路由服務(wù)(L3VPN)
本服務(wù)提供了多個(gè)站點(diǎn)之間的三層連接,同時(shí)也能夠?qū)崿F(xiàn)本城域網(wǎng)絡(luò)與外網(wǎng)的連接。在各個(gè)用戶(hù)站點(diǎn)看來(lái),SP-N就是一個(gè)虛擬的私有IP網(wǎng)絡(luò)。數(shù)據(jù)幀的轉(zhuǎn)發(fā)基于service ID和目的IP地址(destination IP address, DIP)。如圖4.1中的Client A、Client B、Client C之間的三層服務(wù)
?NP-3硬件支持
NP-3的TOPparse模塊能實(shí)現(xiàn)硬件快速分析和提取數(shù)據(jù)報(bào)文對(duì)應(yīng)OSI七層網(wǎng)絡(luò)模型的關(guān)鍵字段,包括MAC地址信息,VLAN標(biāo)記,以太幀類(lèi)型,MPLS標(biāo)簽,IP地址,端口,HTTP,UTL等等。在本設(shè)計(jì)中,重點(diǎn)是對(duì)含有多個(gè)VLAN標(biāo)記和MPLS標(biāo)簽的復(fù)雜城域網(wǎng)服務(wù)的快速處理,NP-3能實(shí)現(xiàn)至少4級(jí)標(biāo)簽棧的解析,對(duì)跨越多重網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜服務(wù)有強(qiáng)大的支持能力。
4.2NP-3處理器上的關(guān)鍵數(shù)據(jù)轉(zhuǎn)發(fā)面處理流程分析
NP-3處理器的數(shù)據(jù)轉(zhuǎn)發(fā)處理能力強(qiáng),而對(duì)于控制協(xié)議的處理能力就較弱。在NP-3上高端路由器,對(duì)數(shù)據(jù)幀的處理依賴(lài)于以下三個(gè)因素:端口的配置,數(shù)據(jù)幀的格式以及網(wǎng)絡(luò)所提供的服務(wù)。根據(jù)設(shè)備的位置,端口的配置又分為四種模式:C-tagged模式,聚合模式,Q-in-Q模式,MPLS模式。
首先確定有幾下幾類(lèi)數(shù)據(jù)幀:標(biāo)準(zhǔn)以太網(wǎng)幀,Q-in-Q幀,MPLS封裝的IP幀,各幀的結(jié)構(gòu)如下。
?標(biāo)準(zhǔn)以太網(wǎng)幀,有三種類(lèi)型:
DA
SA
0X800
IF
DATA
DA
SA
0X8100
C_TAG
0X800
IF
DATA
DA
SA
0X8100
C_TAG1
0X8100
C_TAG2
0X800
篇12
1.信息安全保護(hù)能力技術(shù)要求分類(lèi)中,業(yè)務(wù)信息安全類(lèi)記為A。
錯(cuò)誤
2.OSI安全體系結(jié)構(gòu)標(biāo)準(zhǔn)不是一個(gè)實(shí)現(xiàn)的標(biāo)準(zhǔn),而是描述如何設(shè)計(jì)標(biāo)準(zhǔn)的標(biāo)準(zhǔn)。正確
3.只靠技術(shù)就能夠?qū)崿F(xiàn)安全。
錯(cuò)誤
4.災(zāi)難恢復(fù)和容災(zāi)是同一個(gè)意思。
正確
5.VPN與防火墻的部署關(guān)系通常分為串聯(lián)和并聯(lián)兩種模式。
正確
6.美國(guó)的布什切尼政府把信息高速公路,互聯(lián)網(wǎng)的發(fā)展推動(dòng)起來(lái)了。
錯(cuò)誤
7.兩種經(jīng)濟(jì)形態(tài)并存的局面將成為未來(lái)世界競(jìng)爭(zhēng)的主要格局。
正確
8.電子商務(wù)是成長(zhǎng)潛力大,綜合效益好的產(chǎn)業(yè)。
正確
9.電子商務(wù)促進(jìn)了企業(yè)基礎(chǔ)架構(gòu)的變革和變化。
正確
10.在企業(yè)推進(jìn)信息化的過(guò)程中應(yīng)認(rèn)真防范風(fēng)險(xiǎn)。
正確
11.科研課題/項(xiàng)目是科學(xué)研究的主要內(nèi)容,也是科學(xué)研究的主要實(shí)踐形式,更是科研方法的應(yīng)有實(shí)踐范疇,是科研管理的主要抓手。
正確
12.科研方法注重的是研究方法的指導(dǎo)意義和學(xué)術(shù)價(jià)值。
錯(cuò)誤
13.西方的“方法”一詞來(lái)源于英文。
錯(cuò)誤
14.科學(xué)觀察可以分為直接觀察和間接觀察。
正確
15.統(tǒng)計(jì)推論目的是對(duì)整理出的數(shù)據(jù)進(jìn)行加工概括,從多種角度顯現(xiàn)大量資料所包含的數(shù)量特征和數(shù)量關(guān)系。
錯(cuò)誤
16.學(xué)術(shù)論文是學(xué)位申請(qǐng)者為申請(qǐng)學(xué)位而提交的具有一定學(xué)術(shù)價(jià)值的論文。
錯(cuò)誤
17.期刊論文從投稿到發(fā)表需要有一個(gè)編輯評(píng)價(jià)的標(biāo)準(zhǔn),但是它更需要有一個(gè)質(zhì)量的監(jiān)控體系、監(jiān)控體制。
正確
18.科研成果是衡量科學(xué)研究任務(wù)完成與否、質(zhì)量?jī)?yōu)劣以及科研人員貢獻(xiàn)大小的重要標(biāo)志。正確
19.一稿多投產(chǎn)生糾紛的責(zé)任一般情況由作者承擔(dān)。
正確
20.知識(shí)產(chǎn)權(quán)保護(hù)的工程和科技創(chuàng)新的工程是一個(gè)系統(tǒng)的工程,不是由某一個(gè)方法單獨(dú)努力就能做到的,需要國(guó)家、單位和科研工作者共同努力。
正確
二、單項(xiàng)選擇(每題2分)
21.信息安全的安全目標(biāo)不包括(C)。
A、保密性
B、完整性
D、可用性
22.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定,(B)主管全國(guó)計(jì)算機(jī)信息安全保護(hù)工作。
A、國(guó)家安全部
B、公安部
C、國(guó)家保密局
D、教育部
23.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第14條規(guī)定:“對(duì)計(jì)算機(jī)信息中發(fā)生案件,有關(guān)使用單位應(yīng)當(dāng)在24小時(shí)內(nèi)向當(dāng)?shù)兀˙)人民政府公安機(jī)關(guān)報(bào)告。”
A、區(qū)級(jí)以上
B、縣級(jí)以上
C、市級(jí)以上
D、省級(jí)以上
24.根據(jù)SHARE 78標(biāo)準(zhǔn),在(D)級(jí)情況下,備份中心處于活動(dòng)狀態(tài),網(wǎng)絡(luò)實(shí)時(shí)傳送數(shù)據(jù)、流水日志、系統(tǒng)處于工作狀態(tài),數(shù)據(jù)丟失與恢復(fù)時(shí)間一般是小時(shí)級(jí)的。
A、本地冗余設(shè)備級(jí)
B、應(yīng)用冷備級(jí)
C、數(shù)據(jù)零丟失級(jí)
D、應(yīng)用系統(tǒng)溫備級(jí)
25.(A)是密碼學(xué)發(fā)展史上唯一一次真正的革命。
A、公鑰密碼體制
B、對(duì)稱(chēng)密碼體制
C、非對(duì)稱(chēng)密碼體制
D、加密密碼體制
26.以下(C)不屬于計(jì)算機(jī)病毒特征。
A、潛伏性
B、傳染性
C、免疫性
D、破壞性
27.在進(jìn)行網(wǎng)絡(luò)部署時(shí),(B)在網(wǎng)絡(luò)層上實(shí)現(xiàn)加密和認(rèn)證。
A、防火墻
B、VPN
C、IPSec
D、入侵檢測(cè)
28.美國(guó)(A)政府提出來(lái)網(wǎng)絡(luò)空間的安全戰(zhàn)略
A、布什切尼
B、克林頓格爾
C、奧巴馬克林頓
D、肯尼迪
29.對(duì)于電子商務(wù)發(fā)展存在的問(wèn)題,下列說(shuō)法中錯(cuò)誤的是(C)
A、推進(jìn)電子商務(wù)發(fā)展的體制機(jī)制有待健全
B、電子商務(wù)發(fā)展的制度環(huán)境不完善
C、電子商務(wù)的商業(yè)模式成熟
D、電子商務(wù)對(duì)促進(jìn)傳統(tǒng)生產(chǎn)經(jīng)營(yíng)模
30.下列選項(xiàng)中,不屬于電子商務(wù)規(guī)劃框架的是(C)
A、應(yīng)用
B、服務(wù)
C、物流
D、環(huán)境
31.(D)是創(chuàng)新的基礎(chǔ)。
A、技術(shù)
C、人才
D、知識(shí)
32.兩大科研方法中的假設(shè)演繹法以(B)為代表。
A、達(dá)爾文的《進(jìn)化論》
B、笛卡爾的《論方法》
C、馬克思的《資本論》
D、弗蘭西斯?培根的《新工具》
33.以下不屬于理論創(chuàng)新的特征的是(D)
A、繼承性
B、斗爭(zhēng)性
C、時(shí)代性
D、減速性
34.(A)主要是應(yīng)用已有的理論來(lái)解決設(shè)計(jì)、技術(shù)、工藝、設(shè)備、材料等具體技術(shù)問(wèn)題而取得的。
A、科技論文
B、學(xué)術(shù)論文
C、會(huì)議論文
D、學(xué)位論文
35.(B)是通過(guò)查閱相關(guān)的紙質(zhì)或電子文獻(xiàn)資料或者通過(guò)其他途徑獲得的行業(yè)內(nèi)部資料或信息等。
A、直接材料
B、間接材料
C、加工整理的材料c
D、實(shí)驗(yàn)材料
36.(C)是整個(gè)文章的整體設(shè)計(jì),不僅能指導(dǎo)和完善文章的具體寫(xiě)作,還能使文章所表達(dá)的內(nèi)容條理化、系統(tǒng)化、周密化。
A、摘要
B、引言
C、寫(xiě)作提綱
D、結(jié)論
37.期刊論文的發(fā)表載體是(C)。
A、娛樂(lè)雜志
B、生活雜志
C、學(xué)術(shù)期刊
D、新聞報(bào)紙
38.(B)是指科研課題的執(zhí)行人在科研過(guò)程中要向科研主管部門(mén)或課題委托方匯報(bào)研究工作的進(jìn)度情況以及提交階段性成果的書(shū)面材料。
A、開(kāi)題報(bào)告
B、中期報(bào)告
C、結(jié)項(xiàng)報(bào)告
D、課題報(bào)告
39.我國(guó)于(A)年實(shí)施了《專(zhuān)利法》。
A、1985
B、1986
C、1987
D、1988
40.知識(shí)產(chǎn)權(quán)具有專(zhuān)有性,不包括以下哪項(xiàng)(D)。
A、排他性
B、獨(dú)占性
C、可售性
三、多項(xiàng)選擇(每題2分)
41.我國(guó)信息安全管理政策主要包括(ACD)。
A、法律體系
B、行政體系
C、政策體系
D、強(qiáng)制性技術(shù)標(biāo)準(zhǔn)
E、道德體系
42.信息系統(tǒng)安全的總體要求是(ABCD)的總和。
A、物理安全
B、系統(tǒng)安全
C、網(wǎng)絡(luò)安全
D、應(yīng)用安全
E、基礎(chǔ)安全
43.網(wǎng)絡(luò)隔離技術(shù)發(fā)展經(jīng)歷了五個(gè)階段:(ABCDE)。
A、完全的物理隔離階段
B、硬件的隔離階段
C、數(shù)據(jù)轉(zhuǎn)播隔離階段
D、空氣開(kāi)關(guān)隔離階段
E、完全通道隔離階段
44.以下屬于我國(guó)電子政務(wù)安全工作取得的新進(jìn)展的有(ABCDE)
A、重新成立了國(guó)家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組
B、成立新一屆的國(guó)家信息化專(zhuān)家咨詢(xún)委員會(huì)
C、信息安全統(tǒng)一協(xié)作的職能得到加強(qiáng)
D、協(xié)調(diào)辦公室保密工作的管理得到加強(qiáng)
E、信息內(nèi)容的管理或網(wǎng)絡(luò)治理力度得到了加強(qiáng)
45.下列說(shuō)法正確的是(ABCDE)
A、電子商務(wù)產(chǎn)業(yè)是以重大技術(shù)突破和重大發(fā)展需求為基礎(chǔ)的新興產(chǎn)業(yè)
B、電子商務(wù)對(duì)經(jīng)濟(jì)社會(huì)全局和長(zhǎng)遠(yuǎn)發(fā)展具有重大引領(lǐng)帶動(dòng)作用
C、電子商務(wù)是知識(shí)技術(shù)密集的產(chǎn)業(yè)
D、電子商務(wù)是物質(zhì)資源消耗少的產(chǎn)業(yè)
E、應(yīng)把優(yōu)先發(fā)展電子商務(wù)服務(wù)業(yè)放到重要位置
46.科研論文按發(fā)表形式分,可以分為(ABE)
A、期刊論文
B、學(xué)術(shù)論文
C、實(shí)驗(yàn)論文
D、應(yīng)用論文
E、會(huì)議論文
47.學(xué)術(shù)期刊的文章類(lèi)型有(ABC)。
A、綜述性的文章
B、專(zhuān)欄性的文章
C、報(bào)道性的文章
D、文言文
E、以上都正確
48.期刊發(fā)表的周期有(BCDE)。
A、日刊
B、周刊
C、半月刊
D、月刊
E、旬刊
49.知識(shí)產(chǎn)權(quán)的三大特征是(ABC)。
B、時(shí)間性
C、地域性
D、大眾性
E、以上都不正確
50.從個(gè)人層面來(lái)講,知識(shí)產(chǎn)權(quán)保護(hù)的措施有(ABC)。
A、在日常的科研行為中一定要有相應(yīng)的行動(dòng)策略
B、在科研轉(zhuǎn)化的過(guò)程中,要注意保護(hù)自己的著作權(quán)
篇13
1.1校園電子商務(wù)的概念。
校園電子商務(wù)是電子商務(wù)在校園這個(gè)特定環(huán)境下的具體應(yīng)用,它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)、計(jì)算機(jī)硬件、軟件和安全通信手段構(gòu)建的滿(mǎn)足于校本論文由整理提供園內(nèi)單位、企業(yè)和個(gè)人進(jìn)行商務(wù)、工作、學(xué)習(xí)、生活各方面活動(dòng)需要的一個(gè)高可用性、伸縮性和安全性的計(jì)算機(jī)系統(tǒng)。
1.2校園電子商務(wù)的特點(diǎn)。
相對(duì)于一般電子商務(wù),校園電子商務(wù)具有客戶(hù)群本論文由整理提供穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便、信用機(jī)制良好、服務(wù)性大于盈利性等特點(diǎn),這些特點(diǎn)也是校園開(kāi)展電子商務(wù)的優(yōu)勢(shì)所在。與傳統(tǒng)校園商務(wù)活動(dòng)相比,校園電子商務(wù)的特點(diǎn)有:交易不受時(shí)間空間限制、快捷方便、交易成本較低。
2校園電子商務(wù)的安全問(wèn)題
2.1校園電子商務(wù)安全的內(nèi)容。
校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分:校園網(wǎng)絡(luò)安全和校園支付交易安全。校園網(wǎng)絡(luò)安全內(nèi)容主要包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動(dòng)在校園網(wǎng)應(yīng)用時(shí)所產(chǎn)生的各種安全問(wèn)題,如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等。
2.2校園電子商務(wù)安全威脅。
校園電子商務(wù)安全威脅同樣來(lái)自網(wǎng)絡(luò)安全威脅與交易安全威脅。然而,網(wǎng)絡(luò)安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網(wǎng)絡(luò)安全是基礎(chǔ),是交易安全的保障。校園網(wǎng)也是一個(gè)開(kāi)放性的網(wǎng)絡(luò),它也面臨許許多多的安全威脅,比如:身份竊取、非本論文由整理提供授權(quán)訪問(wèn)、冒充合法用戶(hù)、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務(wù)、交易否認(rèn)、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運(yùn)行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開(kāi)放性也使得基于它的交易活動(dòng)的安全性受到嚴(yán)重的威脅,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴(lài)。信息泄露是非法用戶(hù)通過(guò)各種技術(shù)手段盜取或截獲交易信息致使信息的機(jī)密性遭到破壞;篡改信息是非法用戶(hù)對(duì)交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶(hù)冒充合法交易者以偽造交易信息;交易抵賴(lài)是交易雙方一方或否認(rèn)交易行為,交易抵賴(lài)也是校園電子商務(wù)安全面臨的主要威脅之一。
2.3校園電子商務(wù)安全的基本安全需求。
通過(guò)對(duì)校園電子商務(wù)安全威脅的分析,可以本論文由整理提供看出校園電子商務(wù)安全的基本要求是保證交易對(duì)象的身份真實(shí)性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認(rèn)性。通過(guò)對(duì)校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求。
3校園電子商務(wù)安全解決方案
3.1校園電子商務(wù)安全體系結(jié)構(gòu)。
校園電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對(duì)其進(jìn)行整體的規(guī)劃。根據(jù)校園電子商務(wù)的安全需求,通過(guò)對(duì)校園人文環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結(jié)合的電子商務(wù)的安全技術(shù),總結(jié)校園電子商務(wù)安全體系本論文由整理提供結(jié)構(gòu),如圖所示:
上述安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化,它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境;基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專(zhuān)網(wǎng)VPN和認(rèn)證中心;邏輯實(shí)體層包括校園一卡通、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器和本論文由整理提供交易服務(wù)器;安全機(jī)制層包括加密技術(shù)、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機(jī)制;應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺(tái),包括網(wǎng)上交易、支付和配送服務(wù)等。
針對(duì)上述安全體系結(jié)構(gòu),具體的方案有:
(1)營(yíng)造良好校園人文環(huán)境。加強(qiáng)大學(xué)生本論文由整理提供的道德教育,培養(yǎng)校園電子商務(wù)參與者們的信息文化知識(shí)與素養(yǎng)、增強(qiáng)高校師生的法律意識(shí)和道德觀念,共
同營(yíng)造良好的校園電子商務(wù)人文環(huán)境,防止人為惡意攻擊和破壞。
(2)建立良好網(wǎng)上支付環(huán)境。目前我國(guó)高校大都建立了校園一卡通工程,校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶(hù)作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián),由學(xué)校結(jié)算中心專(zhuān)門(mén)處理與金融機(jī)構(gòu)的業(yè)務(wù),可以大大提高校園網(wǎng)上支付的安全性。
(3)建立統(tǒng)一身份認(rèn)證系統(tǒng)。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能。
(4)組織物流配送團(tuán)隊(duì)。校園師生居住地點(diǎn)相對(duì)集中,一般來(lái)說(shuō)就在學(xué)校內(nèi)部或校園附近,只需要很少的人員就可以解決物流配送問(wèn)題,而本論文由整理提供不需要委托第三方物流公司,在校園內(nèi)建立一個(gè)物流配送團(tuán)隊(duì)就可以準(zhǔn)確及時(shí)的完成配送服務(wù)。
3.2校園網(wǎng)絡(luò)安全對(duì)策。
保障校園網(wǎng)絡(luò)安全的主要措施有:
(1)防火墻技術(shù)。利用防火墻技術(shù)來(lái)實(shí)現(xiàn)校園局域網(wǎng)的安全性,以解決訪問(wèn)控制問(wèn)題,使只有授權(quán)的校園合法用戶(hù)才能對(duì)校園網(wǎng)的資源進(jìn)行訪問(wèn)本論文由整理提供,防止來(lái)自外部互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的破壞。
(2)病毒防治技術(shù)。在任何網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng),可是免不了計(jì)算機(jī)病毒的威脅,因此,加強(qiáng)病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。
(3)VPN技術(shù)。目前,我國(guó)高校大都已經(jīng)建立了校園一卡通工程,如果能利用VPN技術(shù)建立校園一卡通專(zhuān)網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護(hù)和改進(jìn)。
3.3交易信息安全對(duì)策。
針對(duì)校園電子商務(wù)中交易信息安全問(wèn)題,可以用電子商務(wù)的安全機(jī)制來(lái)解決,例如數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等。通過(guò)數(shù)據(jù)加密,可以保證信息的機(jī)密性;通過(guò)采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時(shí)間戳和數(shù)字證書(shū)等安全機(jī)制來(lái)解本論文由整理提供決信息的完整性和不可否認(rèn)性的問(wèn)題;通過(guò)安全協(xié)議方法,建立安全信息傳輸通道來(lái)保證電子商務(wù)交易過(guò)程和數(shù)據(jù)的安全。
(1)數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施,其原理是利用一定的加密算法來(lái)保證數(shù)據(jù)的機(jī)密,主要有對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。對(duì)稱(chēng)加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對(duì)稱(chēng)加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開(kāi)。
(2)認(rèn)證技術(shù)。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù),它是網(wǎng)上交易支付的前提,負(fù)責(zé)對(duì)交易各方的身份進(jìn)行確認(rèn)。在校園電子商務(wù)本論文由整理提供中,網(wǎng)上交易認(rèn)證可以通過(guò)校園統(tǒng)一身份認(rèn)證系統(tǒng)(例如校園一卡通系統(tǒng))來(lái)進(jìn)行對(duì)交易各方的身份認(rèn)證。
(3)安全協(xié)議技術(shù)。目前,電子商務(wù)發(fā)展較成熟和實(shí)用的安全協(xié)議是SET和SSL協(xié)議。通過(guò)對(duì)SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析,校園電子商務(wù)更適合采用SSL協(xié)議。SSL位于傳輸層與應(yīng)用層之間,能夠更好地封裝應(yīng)用層數(shù)據(jù),不用改變位于應(yīng)用層的應(yīng)用程序,對(duì)用戶(hù)是透明的。而且SSL只需要通過(guò)一次“握手”過(guò)程就可以建立客戶(hù)與服務(wù)器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全。
3.4基于一卡通的校園電子商務(wù)。
目前,我國(guó)高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善,使用校園一卡通進(jìn)行校園電子商務(wù)的網(wǎng)上支付可以增強(qiáng)校園電子商務(wù)的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號(hào)被盜的風(fēng)險(xiǎn)等。同時(shí),使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網(wǎng)是一個(gè)內(nèi)部網(wǎng)絡(luò),它自身已經(jīng)屏蔽了絕大多數(shù)來(lái)自公網(wǎng)的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設(shè)施,來(lái)自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時(shí),校園一卡通中心有著良好的安全機(jī)制,使得使用校園一卡通在校內(nèi)進(jìn)行網(wǎng)上支付被盜取賬號(hào)密碼等信息的可能性微乎其微。超級(jí)秘書(shū)網(wǎng)
(2)校園一卡通具有統(tǒng)一身份認(rèn)證系統(tǒng),能夠?qū)⑴c交易的各方進(jìn)行身份認(rèn)證,各方的交易活動(dòng)受到統(tǒng)一的審計(jì)和監(jiān)控,統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡(luò)管理中對(duì)不同角色的用戶(hù)享有不同級(jí)別的授權(quán),使其網(wǎng)上活動(dòng)受到其身份的限制,有效防止一些惡意事情的發(fā)生。同時(shí),由于校內(nèi)人員身份單一,多為學(xué)生,交易中一旦發(fā)生糾紛,身份容易確認(rèn),糾紛就容易解決。
4結(jié)束語(yǔ)