期刊在线咨询服务,发表咨询:400-888-9411 订阅咨询:400-888-1571股权代码(211862)
购物车(0)
vpn技术论文模板(10篇)
vpn技术论文例1
引言
随着信息时代的来临,企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升,信息管理范围不断扩大,不论是企业内部职能部门,还是企业外部的供应商、分支机构和外出人员,都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信,实现企业外部分支机构远程访问内部网络资源,成为当前很多企业在信息网络化建设方面亟待解决的问题。
一、VPN技术简介
VPN(VirtualPrivateNetwork)即虚拟专用网络,指的是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术,通过对网络数据的封装和加密传输,在公用网络上传输私有数据的专用网络。在隧道的发起端(即服务端),用户的私有数据经过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。
VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境,是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能,具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问,通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来,构成一个扩展的公司企业网,此外它还提供了对移动用户和漫游用户的支持,使网络时代的移动办公成为现实。
随着互联网技术和电子商务的蓬勃发展,基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动,需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网,从而简化信息传递的路径,加快信息交换的速度,提高企业的市场响应速度和决策速度。同时,围绕企业自身的发展战略,企业的分支机构越来越多,企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题,VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接,并保证数据的安全传输,通过将数据流转移到低成本的网络上,大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间,降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中,这样就大大简化了网络的设计和管理,满足了不断增长的移动用户和Internet用户的接入,以实现安全快捷的网络连接。
二、基于Internet的VPN网络架构及安全性分析
VPN技术类型有很多种,在互联网技术高速发展的今天,可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用,基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点,能够很好的满足企业对VPN的常规需求。
2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端,用户的私有数据经过隧道协议和和数据加密之后在Internet上传输,通过虚拟隧道到达接收端,接收到的数据经过拆封和解密之后安全地传送给终端用户,最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。
2.2VPN技术安全性分析VPN技术主要由三个部分组成:隧道技术,数据加密和用户认证。隧道技术定义数据的封装形式,并利用IP协议以安全方式在Internet上传送;数据加密保证敏感数据不会被盗取;用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输,因此安全问题是VPN技术的核心问题,目前,VPN的安全保证主要是通过防火墙和路由器,配以隧道技术、加密协议和安全密钥来实现的,以此确保远程客户端能够安全地访问VPN服务器。
在运行性能方面,随着企业电子商务活动的激增,信息处理量日益增加,网络拥塞的现象经常发生,这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略,分配基于数据传输重要性的接口带宽,这样既能满足重要数据优先应用的原则,又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长,对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担,管理平台要有一个定义安全策略的简单方法,将安全策略进行合理分布,并能管理大量网络设备,确保整个运行环境的安全稳定。
三、Windows环境下VPN网络的设计与应用
企业利用Internet网络技术和Windows系统设计出VPN网络,无需铺设专用的网络通讯线路,即可实现远程终端对企业资源的访问和共享。在实际应用中,VPN服务端需要建立在Windows服务器的运行环境中,客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。
3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”,需要对此服务进行必要的配置使其生效。
3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”,打开“路由和远程访问”服务窗口;鼠标右键点击本地计算机名,选择“配置并启用路由和远程访问”;在出现的配置向导窗口点下一步,进入服务选择窗口;标准VPN配置需要两块网卡(分别对应内网和外网),选择“远程访问(拨号或VPN)”;外网使用的是Internet拨号上网,因此在弹出的窗口中选择“VPN”;下一步连接到Internet的网络接口,此时会看到服务器上配置的两块网卡及其IP地址,选择连接外网的网卡;在对远程客户端指派地址的时候,一般选择“来自一个指定的地址范围”,根据内网网段的IP地址,新建一个指定的起始IP地址和结束IP地址。最后,“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。
3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上,因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台;依次展开“本地用户和组”“用户”,选中用户并进入用户属性设置;转到“拨入”选项卡,在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”,即赋予了远端用户拨入VPN服务器的权限。
3.2VPN客户端配置VPN客户端适用范围更广,这里以Windows2003为例说明,其它的Windows操作系统配置步骤类似。
在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”;在网络连接方式窗口里选择“虚拟专用网络连接”;接着为此连接命名后点下一步;在“VPN服务器选择”窗口里,输入VPN服务端地址,可以是固定IP,也可以是服务器域名;点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码,即可连接上VPN服务器端。:
3.3连接后的共享操作当VPN客户端拨入连接以后,即可访问服务器所在局域网里的信息资源,就像并入局域网一样适用。远程用户既可以使用企业OA,ERP等信息管理系统,也可以使用文件共享和打印等共享资源。
四、小结
现代化企业在信息处理方面广泛地应用了计算机互联网络,在企业网络远程访问以及企业电子商务环境中,虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值,在未来的企业信息化建设中具有广阔的前景。
vpn技术论文例2
中图分类号:文献标识码:A文章编号:1007-9416(2010)05-0000-00
随着企业信息化程度的加深,远程安全访问、协同工作的需求日益明显,VPN技术逐渐成为企业用户远程安全接入的重要方式。本文正是作者在河南中烟工业公司协同办公系统上线运行3年来的一些思考和研究。
越来越多的企业通过Internet来满足员工、客户以及合作伙伴远程访问企业内部网络资源,这势必会给企业的内部网络带来一定的安全威胁,所以需要提供一种安全接入机制来保障通信以及敏感信息的安全。VPN(虚拟专用网)技术可以扩展企业的内部网络,具体实现是通过互联网建立一条虚拟的专用加密线路,使局域网之外的用户通过分配的帐号,进入局域网进行访问企业内部网络。适用于出差、在家办公时访问局域网,前提是使用VPN客户端的计算机必须能上互联网。IPSec VPN和SSL VPN是两种不同的技术手段,可以实现大量数据的远程访问,为人们提供了一种低运行成本、高生产效率的远程访问方式,根据企业不同特点,巧用企业VPN,激活远程办公,将为企业的协同办公、业务效率带来较大提升。
远程分支机构用什么?
带着这些问题,笔者走访了河南牧业高等专科学院,对那里部署的SSL VPN Succendo远程接入平台情况进行了解。据学院方面介绍,该学院现有教职员工和学生近万人,并分为两个校区,日常教学活动的开展离不开网络的应用,院方也很早就开始着手打造信息化教育平台。但随着信息化技术应用的不断进步和应用范围的扩展,原有网络已经无法满足全校师生们的需求,最终采用了其Succendo系列SSL VPN产品中的Succendo 502。
IPSec VPN是工作在网络层的,提供所有在网络层上的数据保护和透明的安全通信,是被设计用于连接和保护在信任网络中的数据流,因此更适合为不同的网络提供通信安全保障,该技术被越来越多的企业用来连接远程分支机构。
分散用户的VPN
SSL(Secure Sockets Layer),即安全套接协议层,它是一种基于Web应用的安全协议,在Http、FTP、Telnet等应用协议和TCP/IP协议之间提供一种数据安全分层机制。该协议支持多种认证机制,如数字证书、智能卡、令牌等。SSL协议只对通信双方所使用的应用通道进行加密,并不会对通信双方的整个通道进行加密。结合了SSL 协议的VPN技术更适用于远程分散用户的安全接入。
SSL VPN相对于IPSec VPN,具有以下优点:
(1)支持维护简单
基于SSL协议的远程访问不需要安装客户端,通过标准的Web浏览器就可以访问企业内部的网络资源;而IPSec VPN需要在远程终端安装客户端软件,以建立安全隧道。
(2)安全性能高
IPSec VPN通过在两站点间创建安全隧道提供直接接入,实现对整个网络的透明访问; 一旦隧道创建,用户终端就如同物理地处于企业内部局域网中,接入用户权限过大时会带来很多安全风险。所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SSL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
基于以上分析,作者通过对国内知名度较高的VPN安全设备对比分析,漯河卷烟厂最终选择了市场占有率第一的天融信5130系列产品。下面是具体使用当中的配置截图
(1)打开IE浏览器,在地址栏中输入:xxx.xxx.xxx.xxx然后按回车键,在弹出的“安全警报”对话框中,选择“是”。
(2)安装完成后,VPN客户端将开始建立连接,直到出现VPN隧道建立成功,“OA系统”颜色变成黑色后,VPN建立才算完成,点击“OA系统”即可进入我厂OA。
SSL VPN 技术的应用不仅激活了远程办公能力,同时也极大的提高了协同办公的效率,收到了广泛好评。但是,SSL VPN技术只支持基于Web方式的应用,不能像IPSec VPN那样几乎可以支持所有的应用;由于SSL VPN是对应用通道进行加密,对系统性能有较大的影响; 此外,SSL VPN适用于点到点的通信,对大量分散在外地的个人提供了便利的访问企业内网资源的手段,无法完成分支机构或驻外单位网络到企业网络的安全连接,那样的连接只能考虑采用IPSec VPN。
参考文献
[1]高海英,薛元星,辛阳等.VPN技术.机械工业出版社,2004.4,170―182 .
vpn技术论文例3
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 08-0000-02
一、引言
随着信息化技术的飞速发展,互联网尤其是大学校园网络的应用已经渗透在我们生活的每个角落里。校园网的服务质量尤其安全状况方面的好坏将直接影响学校正常的教学活动。但是近年来大学高校不断扩招,高校合并、分校区设立、新校区建设等情况在高校中比比皆是。现有的公共互联网不但带宽无法保障,学校信息资源的安全也受到了极大的威胁,因此如何保障各个校区安全、高效的共享校园资源,已成为校园网络亟待解决的问题。VPN技术的出现,大大改善了校园网这一尴尬的局面,VPN技术是通过改造现有互联网,实现了不同校区既安全又高效的共享信息资源[1]。
二、VPN技术
VPN(Virtual Private Network)即虚拟专用网,是在公共互联网中为客户搭建专有网络的一种技术[2]。相对于物理存在的专有网络而言,它是在公共Internet中,通过对网络数据进行加密传输,实现了逻辑上存在的一个私有网络。
(一)VPN接入技术的分类
目前VPN安全接入组网技术主要分为以下三种,即L2TR/PPTP VPN、IPSec VPN、SSL VPN[3]。这三种接入方式所处的网络协议层次不同,所注重的侧重点不同。在实际运用中,需要根据自己的应用环境来选择不同的接入技术,以此达到事半功倍的效果。
1.L2TR/PPTP VPN
L2TR/PPTP VPN属于二层VPN技术。用户一般不需要自己安装该客户端软件,因为目前L2TR/PPTP VPN客户端软件一般都已经建成在主流的windows操作系统中了,大大方便了用户的使用。但是该软件的加密和认证手段都相对简单,面对安全性要求较高的应用环境,其安全系数低的缺陷就凸显了出来,因此它仅适用于安全性要求一般的应用环境。
2.IPSec VPN
IPSec VPN属于三次VPN技术,对于应用层来说是透明的。当接收到数据包后,IPSec VPN通过查询SPD即安全策略数据库来决定对数据包的处理。根据查询结果,不仅可以对数据包丢弃或者转发,还可以对数据包进行IPSec处理,数据包的IPSec处理大大增加了网络数据的安全性。同时其安全性的提升,是以增加网络协议复杂度为代价,用户的计算机上需要安装单独的IPSec VPN软件,这将对客户端造成一定的不便。
3.SSL VPN
SSL VPN属于协议的最上层即应用层VPN技术,SSL VPN技术的安全性主要是通过SSL协议来保证的。现有的浏览器都已经支持SSL协议,用户只需要安装浏览器就可以实现SSL VPN的应用,其部署简单、高效。但是在日常生活中,浏览器并不能支持所有的应用,因此在非WEB应用情况下,用户同样需要安装专门的客户端软件。
(二)VPN的关键技术
VPN是近年来在网络安全方面发展较快的一项高效应用技术,它拥有横跨加密技术、数学理论、互联网技术等多学科领域的特点,其中最核心的关键技术包括:隧道技术、加密技术、认证技术[4]。
1.隧道技术
隧道技术是VPN功能实现中最基本的技术。它是将待传输的数据信息加密、封装后嵌入在公共互联网协议中,以实现信息数据的有效传输的一种技术。隧道技术可以将加密、封装后的信息嵌入在开放性的通行系统互连参考模型的任何一层协议中,例如:应用层VPN协议即SSL VPN、网络层VPN协议即IPSec VPN、数据链路层VPN协议即L2TR/PPTP VPN。
2.加密技术
VPN是在公共互联网上建立私有网络,在公共网络中不法分子可以通过一定技术得到这些信息,为了防止信息数据被不法分子获取或者篡改,对原始信息进行加密处理显得尤为重要。信息加密技术随着互联网的发展已经非常的成熟,可以借鉴现有成熟的加密技术即可。在VPN解决方案中比较普遍使用的加密算法有DES、3DES、RSA、Diffe-Hell-man等算法。
3.认证技术
VPN作为一个单位内的私有专用网络,在信息传输过程中,不仅要对信息的安全性、完整性认证,更需要对网络上的用户和设备进行认证。目前对使用者的身份认证方法非常多,仅仅使用用户ID、密码的验证方式还远远不能提供足够的安全保障,还可以综合利用数字认证、数字签名、动态口令等方法进行安全认证。
(三)VPN的优点
VPN作为一种虚拟专用网络,与传统的物理专用网络相比,有以下几方面的优点:
1.成本低
传统的物理专用网络需要点对点的部署专用物理线路,如需要铺设光纤、中转器等网络设备,但是VPN技术是在现实互联网的基础上,通过建立安全隧道,完成信息专线传输的。在信息传输过程中,不需要特殊的点对点物理网络,仅公共网络即可实现,大大减少了运行成本;
2.可扩展性强
如果学校有了新的分校或需要与其他高校实现信息资源共享时,在校园网中必然需要增加新的网络节点,相对于传统专用网络,VPN只需要简单的设置、部署即可完成扩展工作,其扩展性是传统专用网络所不具备的。
3.安全性强
VPN在发送端利用隧道技术对原始数据进行加密、封装;在传输过程中对数据采用加解密技术处理;在接收端对用户身份进行认证处理。信息数据在通过以上几个环节的处理,不仅实现了信息的专用传输,而且加强了信息数据传输的安全性。
三、VPN在分布式校园网络中应用
近年来,大学高校在不断扩招、快速发展的背景下,已经形成了一所高校、多个分校区、地域分散的特点。在多个校区里,无论是信息资源共享还是管理方面都必须满足统一性、高效性的要求。为了实现这一要求,必然导致跨地域分布校园网络的信息交换呈现以下几个特点:
(1)信息交换量大,不同地域的校园网需要实现共享信息资源、统一管理平台等要求,相对于互联网而言,校园网内信息的交换量十分庞大;
(2)信息交换频率高,例如在校园内需要对校园某一活动进行投票,则在该时段内,信息交换的频率必然非常高;
(3)信息安全性强,在校园内经常会传输一些性较强的信息,例如校园财务管理、图书馆数据库信息、校园学生基本信息等方面,都需要保证其安全性;
可见,校园网必须满足网络架构分布式、信息传输高效性以及数据的安全性;然而一方面学校经费有限,另一方面各个校区地域分布较远,甚至很多分校都不在同一个城市,如果按照传统的方法来搭建专用网络,学校需要铺设专用的光纤线路和其他设备,显然在运行成本和效率方面都不理想。本文通过分析VPN技术的特点及其优点,并结合现高校校园网络实际存在的问题,笔者认为,VPN技术不仅可以高效的解决以上问题,同时还可以提供以下几方面的应用:
(一)校区互联
针对高校存在的一所高校、多个分校区、地域分散的特点,可以将每所分校的子网络通过VPN技术专线连接在一起,实现各个校区资源共享、管理统一,不仅大大提高了工作、学习、管理效率,而且不需要铺设专门的网络线路,大大减少了运行管理成本。
(二)移动办公
在高校学术交流越来越频繁的背景下,学生、老师外出交流、学习的机会将越来越多,VPN技术可以保证外出校内人员,可以在其他地域共享校内丰富的信息资源。从而实现传统物理专用网络所不能提供的功能,提高他们的工作、学习效率。
(三)校际交流
在高校经费有限的背景下,要获取更多的信息资源,多个高校实现信息资源共享,无疑是最经济、最有效的办法。但是对处于不同城市的高校来说,铺设专用的网络线路对高校来说,显然是不可能的。然而VPN技术仅需要简单的部署即可完成上述效果,既经济又高效。
四、结论
针对高校多分校区、地域分散的特点,笔者通过VPN接入技术的分类、关键技术及其优点等方面详细论述了VPN技术,并总结了分布式校园网络中,信息交换所呈现的一些特点,最后提出利用VPN技术,实现安全、高效的数据传输,并将其运用在高校内部网络的各种方面。
参考文献:
[1]郭小辉.高校多校区教学资源的整合与利用初探[J].重庆科技学院学报;社会科学版,2009,5:197-198
vpn技术论文例4
1 发展校园网的重要性
近几年国家对教育工作日益重视,独立学院规模不断扩大。在发展过程中,各独立学院都十分重视与母体学校的资源整合。
独立学院与母体学校一般都建立了各自的校园网络,且均接入互联网,因为诸多条件的制约,至今多数独立学院与母体学校之间没有专线相互连接,造成了校园网应用水平极低的现象。各种应用系统,如教务管理系统、题库系统和电子图书管等教学资源无法实现共享,迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成:一是母体学校的教师;二是外聘教师;三是专职教师。母体学校的教师和外聘教师,这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系,提高教学、科研和办公效率显得尤为重要。
此外,传统的Internet接入和传输服务缺少安全机制,服务质量无法保证,难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以,建立安全可靠的独立学院与母体学校间校园网的连接,实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务,如登录校内OA系统、教务系统和电子图书馆系统等,是独立学院校园网建设的当务之急。
2 VPN工作原理及其主要优点
虚拟专用网VPN(Virtual Private Network)就是利用公网来构建专用的网络,它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接, 并提供同专用网络一样的安全和功能保障。
VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN 又具有专线的数据传输功能,因为VPN 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点:(1)成本低。VPN在设备的使用量上比专线式的架构节省,故能使校园网络的总成本降低。(2)网络架构弹性大。VPN的平台具备完整的扩展性,大至学校的主校区设备,小至各分校区,甚至个人拨号用户,均可被包含在整体的VPN架构中,以致他们可以在任何地方,通过Internet网络访问校园网内部资源。(3)良好的安全性。VPN架构中采用了多种安全机制,如信道、加密、认证、防火墙及黑客侦防系统等,确保资料在公众网络中传输时不至于被窃取.或是即使被窃取了,对方亦无法读取封包内所传送的资料。(4)管理方便。VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
3 独立学院校园网络建设中的VPN技术选择及对策
选择适当的VPN技术可以提供安全、高效、快捷的网络服务,能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。
3.1技术选择
VPN 可分为软件VPN和硬件VPN。软件VPN 具有成本低、实施方便等优势。若是采用Windows 2000操作系统,则该操作系统本身就集成了这项功能,只需进行相应的设置即可投入使用。而硬件VPN必须借助专用的设备才可以实现,两者之间存在比较大的差别。首先是硬件VPN能穿透NAT (Network Address Translation)防火墙,其次是硬件VPN 安全性远远好于软件VPN。软件VPN 的用户身份认证方式非常简单,只能通过用户名和密码方式进行识别。硬件VPN的加密算法通常都较为安全,硬件VPN 集成了企业级防火墙、上网控制和路由功能,一次性提供多种宽带安全的解决方案,可以轻松实现远程实施和维护,相比之下软件VPN 的后期维护显得较为复杂。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。每项技术都对应有一些成熟的方案,如VPN 隧道类型现就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等,加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等,在构建VPN连接时应根据实际情况进行选用。
3.2 技术对策
VPN产品的性价比不同,对VPN硬件设备的选型也应视需求而定。例如,在构建VPN连接时,如果校园网构架不复杂,通讯需求量不是很大,但要求安全可靠和管理方便,应选择集成VPN功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立VPN网络的需求,其次是增加的硬件防火墙能提高校园网络的安全防范等级。
3.3 VPN网络建设实现的目标
主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换,两者之问需要建立双向可寻址的VPN访问。远程客户端要通过浏览器访问主校区的Web服务器,还需建立远程客户端到主校区的单向VPN访问。
3.3.1 主校区和分校区的VPN连接
在各校区现有校园网的出口处分别安装一台VPN网关,每个校区通过该设备连接互联网。VPN网关在保持原来的上网功能不变的情况下,在不安全的互联网上建立起经过安全认证、数据加密的IP Sec VPN隧道,实现校区安全互连。
根据主校区和分校区的网络使用要求和经济性等多方面考虑,应选用硬件型的集成VPN功能的防火墙。此外,防火墙还应具备路由功能,支持NAT技术,在分校区相对较小、校园网络构架不复杂的情况下,使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉,是一个理想的选择。主校区选择一台防火墙作为VPN网关,设备应可以支持上千个并发TCP/IP会话和上百个VPN 隧道,可以充分保证主校区内所有计算机的安全、流畅的网络使用及VPN支持的需求。对于分校区的多台计算机上网及VPN需求,选择一台可支持几十个VPN隧道的防火墙作为VPN 网关即可。由于校区网络构架并不复杂,主、分校区网关均拥有静态公网IP地址,不会做经常性的变动,可采用“基于路由的LAN (局域网)到LAN的VPN” 手动密钥方式,创建IP Sec VPN隧道,来实现校区间安全连接。
3.3.2 远程用户到主校区的VPN连接
考虑到远程用户访问校园网络集中于主校区Web服务器,远程用户到主校区的VPN连接可以采用SSL VPN模式。SSL VPN采用高强度的加密技术和增强的访问控制,而且易于安装、配置和管理,避开了部署及管理必要客户软件的复杂性和人力需求。
3.3.3 做好防护,提高VPN的安全性
虽然VPN 为远程工作提供了极大的便利,但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件,而远程计算机就不一定拥有这些安全软件的防护。因此,必须有相应的解决方案堵住VPN的安全漏洞,比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查,对敏感文件进行加密保护等,这样才能防患于未然。
4、结束语
总之,在独立学院与母校之间通信要求越来越高,各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到VPN网关的连接解决了受地域等条件限制的远程办公问题,满足了经常在校外工作人员查阅、访问本院信息资源的需要;通过VPN连接两个局域网,实现高校各校区之间网络系统的逻辑连接,为各校区的资源共享提供方便、快捷的服务创造了良好条件。
参考文献:
vpn技术论文例5
一、引言
随着科学技术的飞速发展,国内外各高校图书馆之间的交流合作不断深化、师生员工对于知识的需求多元化,迫使各高校图书馆集中科研力量开发新型借阅系统、利用新兴网络技术建设一个既能满足当前应用又能满足长远发展需求的数字图书馆网络平台。但是在建设数字图书馆的过程中很多高校遇到了一些问题:电子书商基于对产品版权的保护,在电子资源中设置数字版权(DRM),限制了访问的IP地址范围,这与师生员工利用公共网络帐号(网络运营商提供的动态分配IP地址的上网帐号)访问校园内网(专用网络)的电子资源的权限冲突,导致师生员工无法检索需要的信息资料,直接造成许多图书馆电子资源的闲置和浪费,使得投入和产出不成正比,影响了数字图书馆的合理化建设。面对这种情况,VPN技术为我们提供了一套可管理、可认证、安全的远程访问电子资源的解决方案。
二、VPN技术简介
1.VPN简述
VPN(Virtual Private Network)可译为“虚拟专用网”。它并不是一个新名词,因为在电信服务的电话网络中早就提出了VPN的概念。VPN不是真的专用网络,但是却能实现专用网络的功能。因特网工程技术委员会(IETF)对的VPN的解释是:通过公共网络建立一个临时的、安全的、私有的点对点连接,通过对网络数据的封包和加密传输,从而实现在公网上传输私密数据,并达到私有专用网络的安全级别。VPN网络的认证机制很好的保护了用户收发数据的完整性、准确性,避免收发的数据不相符;而且VPN技术本身对网络流量能进行预测和控制,实现网络带宽的优化管理,从而避免在互联网使用高峰期造成网络堵塞,提高了数据传输的质量;另外,单位、企业很在意的经济投入也是非常的合理、节约,只要一次性购买VPN设备(包括服务器、路由器等),而不再需要增购其它的存储设备,进行重复性建设,并且VPN网络更不用考虑线路带宽的利用率和费用的问题。一旦组建好VPN网络之后只须安排一个专业技术员对其进行日常的管理维护(主要是安全管理、设备正常运行监控、配置管理、访问控制列表管理等)即可。此外,现有公共网络提供多种接入方式,如:PSTN拨号、ADSL、CableModem、小区宽带等,VPN网络也可以根据各种接入方式的信息量、实时性及通信条件等情况,分别选择不同的速率与之链接;同时,VPN网络能够支持任何类型的数据流,支持多种类型的传输媒介,满足同步传输语音、图像的需求,方便增加新的节点,增加访问用户的数量,具有很高的可扩充性能。
2.VPN关键技术
那么,VPN是采用什么技术和协议来很好的发挥它的特点的?首先我们需要了解国际标准组织制定的OSI网络模型,它把传统Internet网络分为7层:物理层、数据链路层、网络网际协议层、数据信息传送层、对话层、表示层和应用层;最底层是物理层,而最高层是应用层,VPN技术利用这个OSI模型为基础,开发出目前主流的三类Internet VPN远程安全接入技术(基于网络协议第三层的安全链接技术IPSecVPN、基于多协议的标记交换技术MPLS VPN、基于网络协议第七层的安全链接技术SSL VPN)。这些VPN技术具有类似的功能,但也存在着不同特性和各自擅长的应用取向。无论采用什么技术标准的VPN网络运用下面四种核心手段保证通信安全。
1)隧道技术(Tunneling)
隧道技术是VPN网络的基本技术,并依靠多种隧道协议来完成,例如:PPTP(点对点
隧道协议)、PPP(点对点通信协议)、L2F(数据链路层转发协议)、L2TP(数据链路层隧道协议)等。目前比较流行的隧道协议是IPSec(网络协议安全标准)与SSL(安全认证应用层标准)协议的结合,使用此协议可以很容易地建立IP层(网络协议第三层)用户的要求,也可以实现需要C/S(客户机/服务器)架构或者B/S(浏览器/服务器)架构的数据管理信息系统的要求。
2)加密&解密技术(Encryption&Decryption)
加密&解密技术是网络实时数据通信中一项比较成熟的技术,VPN可以直接利用此项技术。现行VPN使用的加密&解密技术主要有两种:对称加密(单钥加密)算法和不对称加密(公钥加密)算法。其中不对称加密算法生成的密钥用户管理方便,占用存储空间小,所以此算法是目前VPN网络中使用最为广泛的算法。
3)密钥管理&交换技术(KeyManagement)
密钥管理&交换技术是保护在公共网络上传输的私有数据流可以安全地传递密钥、识别密钥从而进行数据交换。为了使数据可以安全、准确、及时地传递,国际标准组织制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密钥管理&交换协议,进而形成了现行的密钥管理&交换机制,主要有三种:KMI机制(基于传统网络)、PKI机制(基于开放网络)和SPK机制(基于大规模专用网络),最为广泛使用的是KMI机制。
4)使用者身份认证技术(Authentication)
使用者身份认证技术最常用的是用户名、口令或智能卡认证(特殊的U盘)等方式。在实际应用中,移动用户使用智能卡方式,此卡内存贮有用户登录VPN网络所要求的各项相关数据信息;远程非移动用户采用用户名与口令方式来登录,例如ADSL连接方式则在拨号时实现,如果是专线用户则在路由器中实现,此用户名与口令一般不需要登录用户来干预,所以用户访问VPN网络就如同在局域网内一样方便。
如今,VPN技术突飞猛进,又出现许多新技术元素,所以VPN技术的发展前景很广阔。而解决数字图书馆建设中的一些疑难问题就目前看来采用VPN技术是一种很高效的解决办法。
三、数字图书馆建设中几种常见(VPN)模式
在各个高校数字图书馆建设过程中,根据师生用户群的使用特点以及应用环境的不同,VPN大致可采用三种不同的解决方案:远程访问虚拟网(AccessVPN)、校园内部虚拟网(IntranetVPN)和校园扩展虚拟网(ExtranetVPN)。
1.远程访问虚拟网(AccessVPN):如果图书馆员或者师生用户需要移动或者远程访问图书馆或者图书馆开展远程教育,就可以考虑使用AccessVPN。AccessVPN通过使用与专用网络相同策略的共享基础设施(公共骨干网),提供图书馆内网和公共网络之间的安全连接。AccessVPN能使图书馆所有用户随时、随地以其所需的方式办理图书馆各种业务。
2.图书馆内部虚拟网(IntranetVPN):近年来随着高校规模的不断扩大,办学方式的不断丰富,各大高校都呈现多校区办学模式,图书馆也不例外,许多高校图书馆组建分支机构,这样就可以考虑使用IntranetVPN。IntranetVPN通过公用网服务商提供的QoS机制(能自动识别数据包并转发到对应的地址去),使图书馆与各个校区分支机构的路由器之间建立VPN安全隧道,保证图书馆各个分支机构能实时、准确的与主机构之间交换数据。论文参考网。
3.图书馆扩展虚拟网(ExtranetVPN):其实这种应用模式只是图书馆内部虚拟网的扩展,这种模式为图书馆和电子资源供应商的网站平台之间提供了一种安全的连接通道,例如电子书商提供图书馆内网远程镜像访问企业主站的安全访问模式和各高校图书馆之间的合作,就可以考虑使用ExtranetVPN。论文参考网。ExtranetVPN更多的是考虑协调和安全问题。
以上提供的几种图书馆VPN解决方案常常通过软、硬件以及辅助设备把他们结合起来使用,这样就大大丰富了VPN技术在图书馆数字化建设中的作用。
四、VPN在安徽农业大学图书馆中的应用
安徽农业大学是安徽省一所省属重点综合性大学,安徽农业大学的数字图书馆建设也采用VPN技术来实现校外公网访问校内资源,实现学校的公共资源的充分利用。
现阶段,安徽农业大学图书馆还没有分馆,所以VPN技术主要应用于校外师生用户通过公共网络访问图书馆电子资源。学校采用一家很有实力的网络技术公司的M5600 SSL VPN路由器构建VPN网络,这种VPN路由器主要采用使用者用户名认证技术保证校外师生用户通过公共网络正确访问图书馆电子资源。论文参考网。根据目前的需求可以看出,现阶段的用户群还是比较集中和狭窄的,这也是为了保护学校资源和电子书商的版权。但是,为了能在不远的将来使图书馆资源利用率达到最优化,学校购买的VPN路由器是智能化和可升级的,这样就足以保证数字图书馆建设的可持续发展。
总之,VPN的应用前景是很广阔的,不仅仅是解决公共网络访问内网资源的问题;可以预见,数据共享是未来图书馆的发展趋势。各高校图书馆都会建设专有VPN网络,从而使信息资源全球化、集成化、多元化。
[参考文献]
1.李红艳. VPN技术在高校图书馆网络系统设计中的应用[J]. 中国期刊网CNKI数字图书馆,科技情报开发与经济,第16卷第21期,2006年.
2.唐淑娟,秦一方,井向阳. VPN技术与图书馆资源远程利用[J]. 中国期刊网CNKI数字图书馆,情报探索,第1期,2007年1月.
vpn技术论文例6
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)27-0012-02
随着计算机网络的快速发展,使得计算机网络逐渐进入人们的实际工作中,并有效提高工作效率与工作质量,强化了计算机技术水平和技术含量。就现有计算机网络来看,各项计算机技术的运用都存在极强的针对性,在各自的领域中发挥着巨大的作用,促进了行业发展的现代化和技术化。 VPN技术是计算机网络技术发展后的成果,主要依托于ISP技术与NSP技术,通过虚拟专用网络建立通信专门线路,实现信息数据的及时交换和共享。因此,VPN技术可以有效提高数据信息的准确性和安全性,保证计算机网络系统的高效运行。
1 VPN技术综合概述分析
1.1 VPN技术运行原理
就目前而言,VPN技术在实际运行中,主要利用双网卡结构,外网卡通过公网IP连接Internet。若公网终端A访问公司内网终端B,其访问数据地址为公司内网终端B的IP地址。公网VPN网关接收终端A访问数据包后,会对终端A的目标地址进行程序检查,若目标地址为公司内网地址,公网VPN网关会对该数据包采取封装处理,封装的方式由VPN技术而决定。同时,VPN网关也会建立新VPN网关数据包,封装后的数据包直接转化成新VPN数据包的载荷,VPN数据包的目标地址就是公司内网VPN网关外部地址。因此,在VPN网关进行数据处理的过程中,原始数据包目标地址与远程VPN网关地址起着至关重要的作用,在VPN地址的基础上,VPN网关可以明确需要进行VPN处理的信息数据,识别不需要VPN处理的数据包,并将其直接上传到上级路由中。远程VPN网关地址主要是对特定VPN数据包地址进行统一处理,也就是VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
1.2 VPN技术通信过程分析
在VPN技术的实际使用中,首先,网络用户要利用个人终端向区域内的 VPN 技术服务器进行访问请求的发送,建立传输通道。VPN 服务器会及时接受个人终端发来的访问请求,并对个人终端的身份进行有效验证。其次,若个人终端身份通过访问认证,访问权限被允许,可以进行网页的访问;若个人终端身份没有通过访问认证,则访问受限制,要进行重新访问。在访问允许后,计算机网会形成VPN虚拟化技术,使得网络线路更具安全性和针对性。最后,用户终端和网络服务器建立有效的访问联系后,所有的传输数据在实际使用和运行过程中会进行加密与封装处理,通过 VPN 网关技术隧道,将数据从发送端传输到VPN接收端。
1.3 VPN技术的优势
VPN技术在实际应用中具有很大的优势,主要表现在以下几方面,第一,VPN技术易操作,使用流程相对简单,并具有很高的经济性,运行成本相比于传统租用DDN方式来说较低,后期维护费用也相对较低,这也是VPN技术被广泛使用的重要原因之一。第二,VPN技术具有极强的高效性与便利性,在实际使用的过程中,通过专用网络的连接,根据复杂性的网络结构与传输访问地址,构建多样性与丰富性的通信线路,进而实现信息数据的快速传输。第三,VPN技术可以有效保证传输数据信息的真实性与可靠性,并在实际传输中通过高强度的认证系统和加密系统,保证了数据信息的安全性,防止出现信息数据泄漏等安全问题,为网络用户的隐私提供了重要的安全保障。
2 计算机网络中VPN技术分析
2.1 MPLS VPN技术
MPLS VPN主要是建立在MPLS技术基础之上的IP VPN,主要是在网络路由或者是交换器设备上通过MPLS多协议标记交换技术来优化核心路由器的选择方式,充分结合传统路由交换技术实现IP专用网络的虚拟化。MPLS VPN技术的最大特点在于在实际应用过程中,可以将网关二层交换与三层路由技术充分的结合在一起,进而共同作用实现VPN和服务分类以及流量工程等方面的管理。从另一方面上看,MPLS VPN 技术可以在数据访问与传输中,迅速建立 IP 虚拟专用网络,加快网页访问以及数据传输的速度与效率,简化路由器的选择方式,避免虚拟专用网络运行中的冲突,用户提供更好的网络服务。
2.2 IPSEC VPN 技术
IPSEC VPN 技术主要是建立在IPSEC协议基础上的VPN技术,IPSEC协议是一种由IETF设计、确保基于IP通讯数据安全性的机制,可以为VPN通信传输提供隧道安全保证。在IPSEC VPN 技术的实际应用中,通过VPN网关的远程连接,将多个局域网进行有效的组建与分析,进而构建一个新的虚拟局域网络。同时,通过IPSEC VPN 技术构建的虚拟局域网具有极强的稳定性和有效性。IPSEC VPN技术的实现原理与计算机过滤防火墙相似,在实际操作中,网络服务器接收数据包后,会按照安全策略在数据库中进行数据包的查询处理,将查询处理结果列为操作依据。在局域网特定范围内,IPSEC VPN 技术的数据传输和处理能力,具有加密机制,进而强化认证手段。针对外部站点,在进行虚拟局域网访问中,会进行信息过滤,全方位确认数据的质量。因此,PSEC VPN技术的广泛使用,无论是在经济效益还是在社会效益方面,都具有很大优势,获得广大用户的高度重视。
2.3 SSL VPN技术
SSL VPN技术主要依托于HTTPS,应用在传输层与应用层间的数据传输、交换以及共享。SSL VPN通过SSL协议设置生局域网访问权限,建立身份认证和数据加密以及消息完整性验证等安全访问机制,在应用层于传输层间建立一条安全的通信渠道。在实际应用过程中,SSL VPN技术存在Web 浏览器、SSL VPN 客户端和 LAN 到 LAN 等工作模式,在Web 浏览器工作模式中,用户可以通过SSL 协议构建虚拟专用网络,对公司内部网关进行远程访问,可以完全忽略网络配置对远程访问的影响,进而有效减少VPN 系统运行时间和工作量,提高VPN管理效率。在SSL VPN 客户端工作模式中,可以利用 SSL 协议客户端实现远程应用服务器的访问,在此过程中客户端和服务器中的加密数据主要靠隧道数据进行传输,进而提高数据传输的稳定性与安全性。LAN 到 LAN 工作模式主要适用于不同局域网络的数据传输,实现各个局域网之间的通信传输,并设置加密处理,提高数据包的可靠性。目前,SSL VPN广泛应用在基于Web远程接入领域中,为用户远程访问公司内部网络提供了安全保证。
3 计算机网络中VPN技术的实际应用
3.1 在公司内部网络中的应用
VPN技术在公司内部网络中的应用主要体现在地址管理中,为用户提供安全性高的网络地址。例如,某集团有大约30个分公司,分布在全国各地,为了便于各个分公司与总公司交流沟通,保证工作效率和工作质量,集团企业可以通过VPN技术进行计算机网络沟通。首先,集团企业要和旗下分公司建立VPN网络联系,利用加密处理的VPN共网实现集团企业服务器与子公司服务器的访问。在服务器系统中设置视频会议、邮件以及办公自动化系统,实现网络联系的多元化,满足实际的工作需求。
在VPN技术实际运行的过程中,集团企业可以根据子公司网络用户的属性以及运营规模将其分为以下几个方面。第一,移动用户。规模较小分公司或者是利用网络连接集团企业单机,在进行VPN技术使用中要设置Client软件,将用户所在局域网络与VPN虚拟技术联系在一起,依托SplitTunneling安全机制有效保障核心网关的使用安全。另一方面看,这种传输方式可以让远程办公室网关将VPN作为传输载体进行集团企业内网的访问。第二,子公司用户所在局域网不具备地址转换器以及防火墙功能,并占用集团企业共网地址。对于这样的子公司,集团企业要在子公司的以太网中设置网关交换器与路由器进行与子公司网络的连接。第三,对于需要安装防火墙的子公司,一方面,集团企业可以利用VPN技术进一步完善企业网络设计,减少不必要的安装程序,建立VPN网络通信系统,使子公司的公司活动与销售情况始终处于集团企业网络监控中,降低通信成本。另一方面,为了保证网络通信的安全性,集团企业可以通过VPN技术提高网络通信的安全性,在企业内部网关中设置VPN机密机制,保证内外网的安全性。同时,还要进行VPN软件的扩展,为子公司的增加做好充分的准备。
综上所述,集团企业通过VPN技术与子公司进行沟通的过程中,形成VPN通信网络通道,不仅节省了大量的通信费用,其建设投资与后期维护费用也相对较低。在远程访问中要做好安全防护措施,安装安全认证机制,强化生产管理监督、视频会议以及异地协同办公等具体功能,促进集团企业管理的现代化和信息化以及系统化,满足集团企业的发展需求。
3.2 在图书馆管理中的应用
目前,VPN技术已经广泛地应用在高校图书馆计算机网络管理系统中,有效提高高校图书馆管理效率和管理质量,实现现代化管理模式。随着学校规模的扩大,增加了分校的数量,学校可以引入VPN技术实现各个学校之间的联系与沟通,各个学校图书馆局域网可以互相访问,节省了大量的访问时间,实现各个分校图书馆资源的共享,进而提高了高校图书馆管理效率。在实际的使用过程中,图书馆VPN服务器不仅要连接互联网,还要连接到高校内部VPN专网,通过公共目标地址,在分校与总校进行网络通信过程中,要将相关数据信息上传到本地计算机中,并通过身份认证和数据加密以及隧道协议等VPN技术安全机制提高信息传输的有效性和安全性。在计算机发出指令后,VPN服务器要对计算机指令进行分析与判断,过滤信息数据,验证用户身份,若安全,访问用户才会有局域网访问权限,服务器认可网络连接,反之则阻止用户访问。在实际身份验证中,VPN服务器会通过公钥进行访问信息的加密,路由将数据信息传送到目标地址。
3.3 VPN 技术在计算机教学资源网中的应用
VPN技术应用在计算机教学资源网中,可以丰富教学资源,利用校园内外网关的连接访问,使得教育信息网络连接公网internet ,在此过程中,校园外网很容易受到其他网络攻击,传统网络无法进行教育资源的加密,在用户身份安全和教学资源安全方面都存在较大的漏洞,不利于计算机教学资源网的应用与发展。针对以上安全问题,VPN技术的实际应用很好地解决了信息传输以及用户身份的安全问题,有效提高网络使用的安全性和有效性。在VPN技术中,SSL是一个相对于平台与应用的独立协议,主要应用在安全层中,利用 TCP技术保障访问用户的个人信息。因此,在构建校园计算机教学资源网中,要重视VPN网络工程设计,特别是用户身份认证以及访问权限,利用SSL VPN 技术构建VPN公网,加强数字证书技术的用户身份认证控制,通过USB-key 实现教学资源的安全操作,进而对校园计算机教学资源网进行不断的优化和完善,满足学校的教学需求。
4 结束语
综上所述,VPN技术日益发展成熟,在进行数据传输和共享中可以有效提高网络环境的稳定性和安全性,为数据信息的真实与完整提供了重要的安全保障,实现现代化与信息化管理水平。
参考文献:
[1] 李春泉, 周德俭, 吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报, 2004(3).
[2] 李亚利. 关于计算机网络中常用VPN技术的分析[J]. 信息与电脑(理论版), 2014(10).
[3] 许伟, 娄松涛. VPN 技术在计算机网络中的应用研究[J]. 电子技术与软件工程, 2014(4).
[4] 刘晋州. 基于VPN的计算机虚拟网络技术及应用[J]. 电脑知识与技术, 2016(7).
vpn技术论文例7
关键词:校园网;虚拟专用网;公钥设施基础;证书;改造方案
Key words: campus network;virtual private network;public key infrastructure;credential;modification scheme
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2015)35-0219-02
1 绪论
校园网作为高校信息化管理的重要手段,目前已是高等职业教育人才培养工作中重点评估之一。数据共享是校园网的重要组成部分,通过校园网的数据共享模块,可以在线传输教学信息,在线监控教师的教学质量,在线管理学生学籍,在线查询和报送学生成绩。另外,数据共享还为图书管理、网络选课以及各类等级考试的网络报名提供了技术支持。Windows操作系统和SQL Server自身都存在设计缺陷,而校园网是开放的,非法入侵者很容易利用Internet上的黑客工具攻击校园网内部数据库的服务器,盗取或修改包括学籍、学生成绩、缴费信息在内的一系列关键数据,对校内信息安全造成巨大的威胁。由此可见,网络信息安全已是校园网络建设中一个不可忽视的问题。
由于SQL Server系统本身存在设计缺陷,其管理员帐号处在公共网络系统中极易受到非法攻击。高校应该加强安全防盗技术研究,尽量现在不改变原系统主体架构的条件下,力求花费极少的成本建立网络安全防范系统,隔离各类网络非法攻击,提高校园网的安全性能。
目前已有很多关于校园网络安全的研究,并且也取得了一些成果。但是严格来讲,这些成果多半是防范外网的攻击,譬如基于子网过滤结构的各种防火墙体系的安全性分析、利用VPN技术连接多个校区的校园网问题等等,针对校内网络系统的安全研究非常少。鉴于此,本文就将研究重点放在校内网络系统的安全问题上,将校园网视为一个不安全的公共网络,深入分析该网络系统中存在的不安全问题,基于VPN、PKI等安全技术构建一个校园网安全应用模型,并通过这个安全模型来解决校园网中存在的安全问题。
2 VPN与PKI技术
Virtual Private Network,简称VPN,中文翻译是“虚拟专用网”[1,2]。它综合了传统数据网络的性能优点(安全和QOS)和共享数据网络结构的优点(简单和低成本),支持远程访问以及内网和外网的连接。从某种意义上讲,VPN代表了现代网络发展的前沿趋势,它不仅实现了对网络带宽、接入和服务不断增加的需求,而且在一定程度上降低了网络运行成本,因而未来必将广泛应用于校园网络系统中。
现代密码学中最关键的安全技术之一――公钥基础设施(PKI),目前已在互联网和计算机系统中形成一定的应用规模。PKI技术作为一项严谨有效的密码技术,能够为网络系统提供网络系统的安全认证、密匙管理、非否认等技术支持,从而大大提高网络系统的安全性能。
在传统IP协议中,IP的安全性是没有任何保障的,所以网络系统极易遭到非法攻击。VPN中有一项叫做IPsec的重要协议,可以基于IP层建立安全认证系统来提高整个网络系统的安全性。但是严格来讲,IPsec协议也不可避免的存在设计缺陷,比如其身份认证系统不严谨,它无法识别伪装成安全文件的非法入侵,因此即使网络系统已安装IP协议,还是不可避免遭受非法攻击。以身份鉴别见长的PKI技术充分弥补了这一缺陷。在VPN中配置PKI技术后,在网络传输过程中,通过PKI进行网络角色访问控制,经过CA进行身份识别后才能建立信息传输通道,根据角色属性证书控制其每个角色的访问权限,最后基于IPSec为信息传输提供安全保障。总的来说,综合了多种安全措施的PKI技术,与传统的基于IP协议所构建的安全系统相比,VPN通信安全更有保障。
VPN和PKI都是当前网络信息安全领域比较前沿的安全技术,在应用领域各自独立运行。在IPSec安全协议中引入PKI技术,这种创造性的尝试必将为网络信息安全领域带来一次技术革命。校园网虽然具备互联网的开放性,但其运行环境是高职院校校园,主要用户是广大师生,在高职院校网络建设经费吃紧的条件下租用公共PKI来构建安全网络,不仅技术上有难度,而且经济条件也不允许。所以,建议高职院校利用PKI技术自行搭建校内网络用户身份认证系统,以节省网络安全成本,提高校园网的运行效益。
3 基于VPN和PKI技术校园网安全模型的设计与实现
3.1 校园网安全网络架构模型的设计
将PKI置入VPN以后,利用所得到的增强版VPN搭建校园网络安全模型,然后基于该模型逐步拓展校园网络的内容和主体结构(具体流程如下),最终实现安全防护要求。
步骤1:将存储数据的服务器置于校园网内部专用服务器网络中,使该服务器与外网之间有一层物理隔离屏障,以防外来用户非法侵入该服务器的端口或网络地址来篡改服务器的内部参数,确保服务器所搭载的数据安全可靠。
步骤2,在校园网与互联网之间搭建VPN网关,校内网络用户通过该网关访问服务器,以这种合法的方式获取所需数据。这样既能满足用户的信息需求,又保障了服务器的数据安全。
步骤3,将PKI技术置入VPN,只有通过防火墙和VPN网关认证的合法用户才能连接VPN并进入校园网服务器获取所需数据。VPN网关的身份认证具有强制性,它要求访问数据库的用户必须提前关闭除防火墙以外的主机服务和相关端口,同时装配最先进的漏洞补丁,目的是为数据信息提供全方位的保护。
步骤4:实时监控信息和信息系统,以确保信息源安全可靠。VPN中使用IPSec安全协议传输数据,以免数据在传输过程中遭遇非法拦截,或被非法篡改、重播或伪造。另外,将PKI技术置入VPN中,可监控用户的操作行为,防止其进行非法操作,从而实现信息安全全程可控。
根据上述四个步骤,设计了一个基于VPN和PKI技术的校园网安全网络架构模型,模型结构如图1所示。
3.2 校园网安全网络架构模型的实现
分析该校园网络安全模型后,发现该模型需要在Internet、校园网和校园数据库服务器专用网之间建立一套支持用户身份认证功能的VPN网关,并且要在三网之间建立VPN连接通道,以确保三网隔离的同时不会影响合法用户正常访问校园网的数据库。另外,该网关必须支持PKI认证技术,只有通过PKI认证的用户才能连接VPN来访问校园网内部专用服务器网络,以防服务器搭载的数据库遭受非法攻击。
建议使用双重宿主机服务器来建立VPN网关。在双重宿主机服务器内装配两块网卡,依次绑定校园网网段的IP地址和专用网网段IP地址,然后通过过滤路由器进行NAT(地址转换),最后让外网中的公网IP的某个特定端口指向绑定校园网网段IP地址的网卡IP,使内网、外网以及校园网内部专用服务器网络都有权访问该网关。
校园网安全网络架构模型的安全性实验分析论证如下文所述。
3.2.1 数据传输的安全性
在PKI认证网关下,用户只能通过该网关连接VPN,才能进入校园网的数据库,而且校内网的数据传输也要进行认证。可见,VPN技术的安全性能直接决定了数据传输的安全性。VPN技术通过搭建逻辑隧道,运用数据加密和用户身份认证技术来为数据传输提供安全保障。这恰恰是该网关的先进之处。而且经ICSA Labs实验室认证,IPSec-VPN技术非常成熟,能满足大部分数据安全保障的需要。
3.2.2 身份认证的安全性
VPN和PKI技术校园网安全模型将PKI技术置入VPN中,对用户进行强制身份认证后才允许其连接VPN并进入校内网数据库,且需要提前在计算机内装配智能卡或数字证书,系统识别用户身份后,用户才能通过VPN通道访问服务器的数据库。只有用户密码而没有认证证书的用户无法连接校园网,也就是说,只有合法用户才能通过认证进入校内网的服务器。因此,VPN和PKI技术校园网安全模型在一定程度上也保障了用户的信息安全。
3.2.3 数据访问的可靠性
VPN服务器软、硬件的稳定性决定了VPN和PKI技术校园网安全模型连接状态的可靠性。笔者对该安全模型进行了为期7天的测试。在一周之内,令10台工作站通过VPN连接1台服务器。通过软件频繁读取和修改后台数据库中的数据。测试结果显示,工作站与服务器之间的连接非常牢固,没有任何连接中断的情况。可见,高校校园网的日常应用需求只需通过1台服务器即可实现,无需安装其它服务器。
3.2.4 攻击防范能力测试
在攻击防范能力测试实验中,采用了多种方式对被保护的SQL Server作为攻击的对象进行入侵,来破坏数据库系统。对于不熟悉该模型拓朴结构的攻击者来说,要想通过主机扫描来探测数据库服务器位置从而达到入侵数据库服务器的目的是不可能实现的。
为了实现入侵服务器的目的,在肉鸡实验中首先关闭了一台有权与带PKI认证的VPN网关建立VPN连接的客户机上的防病毒软件,在客户机上植入了最常见的“灰鸽子”木马程序,然后在另一台计算机上运行“灰鸽子”的客户端程序,果然不出所料,系统员很快就发现了被植入“灰鸽子”木马的主机,并对它进行了控制,通过实验,能顺利地实现与网关建立VPN连接。
4 结论
本文的研究主要是放在高职院校的校园网内部的安全应用上,将高职院校的校园网当作一个不安全的网络来对待,针对高职院校校园网中可能存在较多的不安全因素,利用VPN和PKI技术建立一个适宜于高职院校的校园网安全网络架构模型,并通过这个安全模型来解决高职院校校园网中存在的安全问题。然后通过理论分析和实验证明该安全模型是可以满足高职院校的校园网应用需求。
本文中提出的校园网安全模型应具有安全性可靠、通用性好、改造成本较低、对网络改动较小、伸缩性较好等特点,对高职院校校园网的建设和改进具有较高的参考价值。
参考文献:
vpn技术论文例8
引言
虚拟专用网即VPN(Virtual Private Network)是利用接入服务器(Access Sever)、广域网上的路由器以及VPN专用设备在公用的WAN上实现虚拟专用网技术。通常利internet上开展的VPN服务被称为IPVPN。
利用共用的WAN网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,VPN采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
Internet中的隧道是逻辑上的概念。假设总部的LAN上和分公司的LAN上分别连有内部的IP地址为A和B的微机。总部和分公司到ISP的接入点上的配置了VPN设备。它们的全局IP地址是C和D。假定从微机B向微机A发送数据。在分公司的LAN上的IP分组的IP地址是以内部IP地址表示的"目的地址A""源地址B"。因此分组到达分公司的VPN设备后,立即在它的前部加上与全局IP地址对应的"目的地址C"和"源地址D"。全局IP地址C和D是为了通过Internet中的若干路由器将IP分组从VPN设备从D发往VPN设备C而添加的。此IP分组到达总部的VPN设备C后,全局IP地址即被删除,恢复成IP分组发往地址A。由此可见,隧道技术就是VPN利用公用网进行信息传输的关键。为此,还必须在IP分组上添加新头标,这就是所谓IP的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术VPN网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用VPN技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器。将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP协议又称为点对点的隧道协议。PPTP协议允许对IP,IPX或NETBEUT数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互连网络传送。
⑶ 2TP(Layer 2 Tunneling Protocol)
该协议是远程访问型VPN今后的标准协议。
L2F、PPTP、L2TP共同特点是从远程客户直至内部网入口的VPN设备建立PPP连接,端口用户可以在客户侧管理PPP。它们除了能够利用内部IP地址的扩展功能外,还能在VPN上利用PPP支持的多协议通信功能,多链路功能及PPP的其他附加功能。因此在Internet上实现第二层连接的PPPSecsion的隧道协议被称作第二层隧道。对于不提供PPP功能的隧道协议都由标准的IP层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ TMP/BAYDVS
ATMP和BaydVs(Bay Dial VPN Service)是基于ISP远程访问的VPN协议,它部分采用了移动IP的机制。ATMP以GRE实现封装化,将VPN的起点和终点配置ISP内。因此,用户可以不装与VPN想适配的软件。
⑸ PSEC
IPSEC规定了在IP网络环境中的安全框架。该规范规定了VPN能够利用认证头标(AH:Authmentication Header)和封装化安全净荷(ESP:Encapsnlating Security Paylamd)。
IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中,通过企业IP网络或公共IP互联网络如INTERNET发送。
从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,DSI七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层VPN "与"三层VPN"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的SSLVPN技术[2]、基于端口转发的HTTPTunnel[1]技术等等。如果继续使用这样的分类,将出现"四层VPN"、"五层VPN",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
2.2 改进后的几种隧道机制的分类
⑴ J.Heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的VPN,使用路由方式的VPN,使用专线方式的VPN和使用局域网仿真方式的VPLS。
例如同样是以太网的技术,根据实际情况的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多种VPN组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对VPN技术选型造成误导。
⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的VPN分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如L2TP就是典型的封装型隧道。
隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如LSVPN。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
3. 诸种安全与加密技术
IPVPN技术,由于利用了Internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于Internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在IPVPN的网点A和网点B之间安全通信受到威胁。因此,利用IPVPN通信时,应比专线更加注意Internet接入点的安全。为此,IPVPN采用了以下诸种安全与加密技术。[2]
⑴ 防火墙技术
防火墙技术,主要用于抵御来自黑客的攻击。
⑵ 加密及防止数据被篡改技术
加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的VPN虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
参考文献
vpn技术论文例9
[中图分类号]F626.5 [文献标识码]A [文章编号]1009-5349(2012)02-0111-01
随着以Internet为标志的信息技术革命的飞速发展,网络正在迅速地渗入人们的生活中,依靠互联网络人们的生活越来越便捷,沟通越来越紧密。伴随着internet应用在商务活动中的不断深入,越来越多的企业希望其生意伙伴、供应商及附属企业等也能够访问本企业的局域网,从而使商务活动可以通过网络就能进行,大大节约了人力和物力,缩短了交易时间,减少了支出成本。但是这些企业间的商务活动是动态变化的,并需要依托于公用网络之上的,且由于公用网络是一个全球性的计算机通信网络,它具有资源共享和信息互通的特性,而一些用户间的互通和交流又是想要对其他用户进行保密的,于是网络的安全性逐渐成为一个潜在的巨大问题,这就需要有一种技术来解决这些问题,保证这些有保密需要的企业能顺利地进行信息交流,并保证企业信息的安全性。
基于各种需求,VPN技术应时而生。VPN(Virtual Private Network),即“虚拟专用网络”,简单地可以把它理解成是虚拟出来的企业内部专线。它在Internet上通过特殊的加密的通讯协议连接位于网络上不同地理位置的两个或多个企业内部网之间建立一条专有的通讯线路,VPN是指依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。
一、VPN原理
VPN即在公用数据网上建立一条数据通道,这条数据通道就是隧道,隧道技术是VPN得以实现的关键技术,数据包从这条隧道上通过,从而实现虚拟通信。VPN的原理就是两台计算机通过连接到internet建立一条临时的、安全的、专用的连接。这俩台计算机之间组成一个私有网络,它们之间的通信内容进行封装后经过这条专用的隧道进行传输,然后在接收方进行解封装,还原成发送方的通信内容。没有参与虚拟通信的设备共享不到进行虚拟通信的设备之间传输的数据,因为这些私有的网络和没参与虚拟通信的网络使用了不同的地址空间和协议,即私有网络和公用网络之间是不兼容的,VPN是一种逻辑意义上的网络。
二、VPN的安全保障
由于VPN越来越广泛的应用和其技术特点,数据的安全问题成为VPN技术的关键问题。为保证数据的安全性,目前VPN主要采用四项技术:1.隧道技术(Tunneling)。隧道技术对于VPN具有重要意义。隧道技术的技术关键是分组封装,它将私有网的数据进行封装并在隧道中进行传输,隧道技术在虚拟网接入公用网的接口处将数据打包封装成可以在公网上传输的数据格式,在虚拟网结点与公网的接口处将数据解封装,得到数据。隧道由一系列隧道协议组成,定义了较为完整的数据封装和安全协议及其算法。2.加解密技术(Encryption & Decryption)。发送的一方将数据进行特定加密后再发送数据,当数据到达接收的一方时由接收方对数据进行解密处理的全过程。3.密钥管理技术(Key Management)。为了满足在公用数据网上所传送的数据的安全性和完整性的需要,密钥管理技术是解决如何传递密钥而不被非法篡改和盗窃的技术。4.使用者与设备身份认证技术(Authentication)。最常用的是用户名、口令或智能卡认证等方式。
三、VPN特点
1.低廉的成本。由于VPN是利用现有的公共网络,不需要重新构建一个新的网络,只是在公共网络上建立一个虚拟的逻辑上的网络,因此VPN可以大大降低构建网络的成本。与专线式的架构方式相比较,VPN在设备的使用量及广域网络的频宽使用上,都很节省,企业也不必投入大量的人力物力安装维护设备。2.网络架构灵活。VPN与专线式的结构相比更加灵活,VPN的构架可以根据用户的需要进行修改,可以随意增加新的节点,具有良好的扩展性,无论是企业的专线用户,还是个人拨号用户都可以采用VPN的方式实现互联。3.良好的安全性。为了确保数据的安全性,VPN架构中采用了多种安全机制,如隧道技术、加解密技术、身份认证技术、防火墙等技术,通过这些网络安全技术,确保通过VPN上传送的数据不会被攻击者窥视和篡改,防止非法用户的访问。4.便于管理。VPN使用了较少的设备来建立网络,使网络的管理较为轻松;各种类型的用户,都通过VPN的隧道进入内部网,可以实现各种类型的用户间的互联。5.使用方便。VPN的建立无需安装任何软件,无论何时何地,在有公用网络的前提下,只需在电脑中添加一个网络连接,即可与服务器瞬时连接,远程进行操作。
vpn技术论文例10
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)34-7727-02
基于SSL(Secure Socket Layer)协议的虚拟专用网络(Virtual Private Network,VPN)已经逐渐成为人们解决Internet安全问题的重要方式。由于传统网络协议在设计之初是建立在相互信赖的基础上的,从而忽视了网络安全问题,从而为今天的应用带来了巨大风险,这也是当初设计人员始料未及的事情。随着互联网规模的迅猛发展,各种新技术的不断涌现,网络攻击手段业变得多样化和复杂起来,用户对于网络安全防范变得越来越困难,从而造成巨大的人力和物力的投入,有时也难以挽回巨大的经济损失,至此,网络安全问题已经变得刻不容缓。而基于SSL的VPN网络可以使人们在任何时候任何地点安全的接入远程网络,并增加企业执行访问控制能力和安全级别,是解决远程用户访问公司敏感数据相当便捷且安全的解决方案。
Netscape公司最早提出了SSL协议,即安全套接字,是建立两台机器之间安全协议通道的桥梁。此后经过标准化后逐渐形成了传输层安全协议(Transport Layer Security protocol,TLS)。SSL/TLS协议的主要针对Web服务的安全性而设计,但其明显的不足是会造成巨大的系统开销。
SSL VPN的特征是利用不同网络的基础设施构建安全通信隧道,从而使得不同网络组件和资源之间互连问题得以解决。基于SSL协议的VPN是首先将浏览器上获取的数据进行封包,然后通过回调函数或其他方法将相关数据包输送回SSL VPN服务器。客户在远端电脑执行应用程序则是通过封包转向的方式完成的,最终实现获取到企业内部服务器资料。但是由于这些传送的信息是私密的,失窃或被破坏则会所造成非常巨大损失。虽然隧道技术能够保证数据在Internet上的安全,但是当远程用户使用SSL VPN访问内部网络的时候,仍然无法防止来自合法用户终端的攻击和用户终端的数据被窃取或遭到破坏。接下来,该文从SSL VPN网络的相关研究现状和组网模式以及关键技术进行展开论述,在论述SSL VPN技术自身优点的通水,也给出其存在的不足,最后给出一些可行的建议和解决方法。
1 VPN组网设计
1.1 SSL VPN 系统组网现状分析
目前,商业主流浏览器都集成了SSL协议,SSL VPN是确保访问远程网络的重要的方案之一,该方案主要依据浏览器和服务之间的数据传输,因而用户安装客户端软件。因此,SSL VPN是典型的“瘦客户端”架构,适合于用户远程安全连接,具有使简单、灵活、易用性好等突出的特点。
在传统VPN上增加SSL协议一般可以采用三种方法实现:其一,一般称之为远程访问VPN,是采用Neoteris、Netilla等公司生产的基于SSL协议的Web安全装置,通过一个拥有专用网络相同策略的公共设施,与企业的服务器直接互联;其二,一般称之为企业内部VPN,已经获得广泛的办事机构、公司和科研院所的认可和使用,是利用相应的SSL软件,将传统IPsec VPN上获得SSL功能,可以使得传统VPN获得较高的安全策略、提高服务质量以及较好的可管理性和可靠性;其三,一般称之为企业扩展VPN,是将SSL VPN作为一种对外提供的服务,用户只需要订购这种服务即可享受SSL功能,而不需要安装软件或添加硬件。无论采用上述何种方法实现SSL功能,都需要支持4个层面的功能,即文件共享应用、C/S应用、Web资源映射和网络扩展功能。
部署SSL VPN网络通道以便用户在互联网上可以随时访问SSL VPN设备,使得网络信息资源能够被用户更加方便的远程接入和使用;同时,远程用户也可以利用权限等级来访问数据中心的内部资源,从而确保SSL VPN安全的接入内部网络。使得SSL VPN具有安全、高效、可靠等突出的特征。
SSL VPN网关在整体的体系结构上设置不同于传统的VPN体系,下面就从组网结构和组网模式两个方面对SSL VPN的体系结构进行分析和讨论。
1.2 SSL VPN 组网结构
SSL VPN网关系统的显著特点是既可以作为企业网络的入口,也可以作为内网服务器群组的网关使用,对现有网络的组网结构不会造成影响,部署便捷、运行高效,下面对作为网络入口和网关进行分别介绍。
1)入口网关。SSL VPN网关系统可作为独立的电子通信设备存在;并能够集成防火墙所具有的功能。由于作为企业网络的入口网关,同时也处在整个网络的出口,该结构需要系统能够提高高度的稳定性和可靠性。如图1所示,即为典型的企业网络的入口网关组网结构示意图。
2)网关。作为网关主要是保护企业内部很多重要的服务器资源,阻止没有授权的各种访问以及来自Internet网络上的非法访问和恶性攻击;同时,也不会因为在访问许多重要的网络资源时对企业网络中其它重要部分造成任何不良影响。作为企业内部网络的结构如图2所示。
1.3 SSL VPN 的组网模式
SSL VPN网关接入网络有很多不同的类型,从而也导致SSL VPN组网模式有所区别,常见的模式有单臂、双臂两种模式。
1)单臂模式。所谓单臂模式是指将SSL VPN网关作为于一台服务器使用;当内部服务器与该远程服务器进行通信时,SSL VPN网关不处在网络通讯的关键路径上。也就是说,单臂模式类似环形网络拓扑结构,当一边环路不通时,可以选择其他的路径方式实现通信。因此,单臂模式的优点是当该网络上某点出现故障时,不会影响整个网络的通信;其不足在于对于网络信息资源不能够实现全面的保护。
2)双臂模式。所谓双臂模式是指将SSL VPN 网关架接在外网与内网之间,即实现了网桥的功能。同时,该网桥也充当必要的防火墙的作用,从而实现对全网络的保护。这种结构具有很好的安全性,但也有比较明显的不足,即会降低内外网络之间数据传输的稳定性。
2 SSL VPN组网关键技术分析
2.1 安全隧道技术
所谓隧道顾名思义是连接一个网络和另一个网络的通道。在SSL VPN体系中,隧道技术是其实现的关键。网络中的隧道就是一个连接传输的分组。换句话说,就是将依据了某种协议的数据单元封装在另一种协议的数据单元中。SSL VPN的私有性就是通过数据包封装的隧道技术予以实现的。
2.2 身份认证技术
简单地说,身份认证就是确认用户的使用权限,常见的身份认证包括口令认证、智能卡认证和生物认证等等。利用身份认证得到确认后,才可以使获得用户授权,进而完成系统资源访问。当SSL开始网络通信时,通信双方都要持有各自由认证中心发放的身份证书和认证中心的公开密钥。以生物认证为例,如指纹,首先用户提交指纹到授权方,办理相应的应用授权,授权方在得到用户的订购需求和提供相应的使用费用后,发出授权。用户即可利用授权方法给出的用户名,并在登陆时提供指纹,远程服务器即可对其身份进行验证,当用户名和指纹都获得通过后,用户即可享用该网络或服务的使用权。
2.3 访问控制技术
所谓访问控制(Access Control)是指对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段,在SSL VPN体系指由服务商对用户的身份标志、成员身份进行限制访问某些信息项或实施某些控制的机制。当定义了应用后,某些应用就可以被用户或组禁止或开放。如果需要放开这种访问权限则需要系统管理员的同意和授权,用户方可对某些订购的应用进行访问。
3 结束语
本文主要从SSL VPN的起源、概念和近几年发展现状进行展开,然后针对其组网方式和模式进行论述,最后对其涉及的几方
面的关键技术进行综述。SSL VPN技术具有先天的优点,但也存在一定的不足,有些技术实现起来相对负责,部署也较为昂贵,因此,虽然SSL VPN技术获得了广泛的应用,但还需要做进一步研究。
参考文献:
[1] 李津生,洪佩琳.下一代Internet的网络技术[M]. 北京:人民邮电出版社, 2001.
[2] 王达.虚拟专用网(VPN)精解[M]. 北京: 清华大学出版社, 2004.
[3] 唐建雄. IPSec体系结构分析及实现策略[J].交通与计算机,2001(2): 41-44.
