vpn技術論文精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的vpn技術論文主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:vpn技術論文范文
一、VPN服務及其應用
VPN,即Virtual Private Network,是建立于公共網(wǎng)絡基礎之上的虛擬私有網(wǎng)絡,如利用Internet連接企業(yè)總部及其分支。VPN能夠給企業(yè)提供和私有網(wǎng)絡一樣的安全性、可靠性和可管理性等,并且能夠?qū)⑼ㄟ^公共網(wǎng)絡傳輸?shù)臄?shù)據(jù)加密。利用VPN,企業(yè)能夠以較低的成本提供分支機構(gòu)、出差人員的內(nèi)網(wǎng)接入服務。
如果訪問企業(yè)內(nèi)部網(wǎng)絡資源,使用者需要接入本地ISP的接入服務提供點,即接入Internet,然后可以連接企業(yè)邊界的VPN服務器。如果利用傳統(tǒng)的WAN技術,使用者和企業(yè)內(nèi)網(wǎng)之間需要有一根專線,而這非常不利于外出辦公人員的接入。而利用VPN,出差人員只需要接入本地網(wǎng)絡。論文寫作,管理。如果企業(yè)內(nèi)網(wǎng)的身份認證服務器支持漫游的話,甚至可以不必接入本地ISP,并且使用VPN服務所使用的設備只是在企業(yè)內(nèi)部網(wǎng)絡邊界的VPN服務器。
二、VPN管理
VPN能夠使企業(yè)將其內(nèi)部網(wǎng)絡管理功能從企業(yè)網(wǎng)絡無縫延伸到公共網(wǎng)絡,甚至可以是企業(yè)客戶。這其中涉及到企業(yè)網(wǎng)絡的網(wǎng)絡管理任務,可以在組建網(wǎng)絡的初期交給運營商去完成,但企業(yè)自身還要完成許多網(wǎng)絡管理的任務。所以,一個功能完整的VPN管理系統(tǒng)是必需的。
通過VPN管理系統(tǒng),可以實現(xiàn)以下目的:
1、降低成本:保證VPN可管理的同時不會過多增加操作和維護成本。
2、可擴展性:VPN管理需要對日益增加的企業(yè)客戶作出快速的反應,包括網(wǎng)絡軟件和硬件的平滑升級、安全策略維護、網(wǎng)絡質(zhì)量保證QOS等。論文寫作,管理。
3、減少風險:從傳統(tǒng)的WAN網(wǎng)絡擴展到公共網(wǎng)絡,VPN面臨著安全與監(jiān)控的風險。網(wǎng)絡管理要求做到允許公司分部、客戶通過VPN訪問企業(yè)內(nèi)網(wǎng)的同時,還要確保企業(yè)資源的完整性。
4、可靠性:VPN構(gòu)建于公共網(wǎng)絡之上,其可控性降低,所有必須采取VPN管理提高其可靠性 。
三、VPN管理技術
1、第二層通道協(xié)議
第二層通道協(xié)議主要有兩種,PPTP和L2TP,其中L2TP協(xié)議將密鑰進行加密,其可靠性更強。
L2TP提高了VPN的管理性,表現(xiàn)在以下方面:
(1)安全的身份驗證
L2TP可以對隧道終點進行驗證。不使用明文的驗證,而是使用類似PPPCHAP的驗證方式。論文寫作,管理。
(2)內(nèi)部地址分配
用戶接入VPN服務器后,可以獲取到企業(yè)內(nèi)部網(wǎng)絡的地址,從而方便的加入企業(yè)內(nèi)網(wǎng),訪問網(wǎng)絡資源。地址的獲取可以使用動態(tài)分配的管理方法,由于獲取的是企業(yè)內(nèi)部的私有地址,方便了地址管理并增加安全性。論文寫作,管理。
(3)網(wǎng)絡計費
L2TP能夠進行用戶接口處的數(shù)據(jù)流量統(tǒng)計,方便計費。
(4)統(tǒng)一網(wǎng)絡管理
L2TP協(xié)議已成為標準的協(xié)議,相關的MIB也已制定完成,可以采用統(tǒng)一SNMP管理方案進行網(wǎng)絡維護和管理。
2、IKE協(xié)議
IKE協(xié)議,即Internet Key Exchange,用于通信雙方協(xié)商和交換密鑰。IKE的特點是利用安全算法,不直接在網(wǎng)絡上傳輸密鑰,而是通過幾次數(shù)據(jù)的交換,利用數(shù)學算法計算出公共的密鑰。數(shù)據(jù)在網(wǎng)絡中被截取也不能計算出密鑰。使用的算法是Diffie Hellman,逆向分析出密鑰幾乎是不可能的。
在身份驗證方面,IKE提供了公鑰加密驗證、數(shù)字簽名、共享驗證字方法。并可以利用企業(yè)或獨立CA頒發(fā)證書實現(xiàn)身份認證。
IKE解決了在不安全的網(wǎng)絡中安全可靠地建立或更新共享密鑰的問題,是一種通用的協(xié)議,不僅能夠為Ipsec進行安全協(xié)商,還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協(xié)議協(xié)商安全參數(shù)。
3、配置管理
可以使VPN服務器支持MIB,利用SNMP的遠程配置和查詢功能對VPN網(wǎng)絡進行安全的管理。
(1)WEB方式的管理
利用瀏覽器訪問VPN服務器,利用服務器上設置的賬戶登錄,然后將Applet下載到瀏覽器上,就可以對服務器進行配置。論文寫作,管理。用戶登錄后,服務器會只授權(quán)登錄的IP地址和登錄客戶權(quán)限,從而避免偽造的IP地址和客戶操作。而且利用這種方式,還解決了普通SNMP協(xié)議只有查詢沒有配置功能的缺點。
(2)分級統(tǒng)一管理
如果企業(yè)網(wǎng)絡規(guī)模擴大,可以對VPN服務器進行統(tǒng)一配置管理,三級網(wǎng)絡中心負責數(shù)據(jù)的收集與統(tǒng)計,然后向上層匯總。收集的數(shù)據(jù)包括VPN用戶數(shù)量、VPN用戶的數(shù)據(jù)流量等。通過分級管理,一級網(wǎng)絡中心就能夠獲取全部VPN用戶的數(shù)量、流量并進行統(tǒng)計,分析出各地情況,從而使用合適的方案。
4、IPSec策略
IPSec是一組協(xié)議的總稱,IPsec被設計用來提供入口對入口通信安全分組通信的安全性由單個結(jié)點提供給多臺機器或者是局域網(wǎng),也可以提供端到端通信安全,由作為端點的計算機完成安全操作。上述兩種模式都可以用來構(gòu)VPN,這是IPsec最主要的用途。
IPSec策略包括一系列規(guī)則和過濾器,以便提供不同程度的安全級別。論文寫作,管理。在IPSec策略的實現(xiàn)中,有多種預置策略供用戶選擇,用戶也可以根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實施有兩種基本的方法,一是在本地計算機上指定策略,二是使用組策略對象,由其來實施策略。并且利用多種認證方式提升VPN的安全管理性。
利用上述VPN管理技術,可以大大提高企業(yè)網(wǎng)絡資源的安全性、完整性,并能夠?qū)崿F(xiàn)資源的分布式服務。以后還將結(jié)合更多的技術,實現(xiàn)VPN網(wǎng)絡靈活的使用和安全方便的管理。其使用的領域也會越來越廣泛。
參考文獻:
[1]帕勒萬等著劉劍譯.無線網(wǎng)絡通信原理與應用[M].清華大學出版社,2002.11
[2]朱坤華,李長江.企業(yè)無線局域網(wǎng)的設計及組建研究[J].河南科技學院學報2008.2:120-123
[3]潘愛民.計算機網(wǎng)絡(第四版)[M].清華大學出版社2004.8
第2篇:vpn技術論文范文
論文關鍵詞:電子商務,信息安全,防火墻,權(quán)限控制
0 引言
近年來,隨著信息技術的發(fā)展,各行各業(yè)都利用計算機網(wǎng)絡和通訊技術開展業(yè)務工作。廣西百色田陽縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術建有專門的網(wǎng)站,通過網(wǎng)站實施農(nóng)產(chǎn)品信息、電子支付等商務工作。但是基于互聯(lián)網(wǎng)的電了商務的安全問題日益突出,并且該問題已經(jīng)嚴重制約了農(nóng)產(chǎn)品電子商務的進一步發(fā)展。
1 農(nóng)產(chǎn)品電子商務的安全需求
根據(jù)電子商務系統(tǒng)的安全性要求,田陽農(nóng)產(chǎn)品電子商務系統(tǒng)需要滿足系統(tǒng)的實體安全、運行安全和信息安全三方面的要求。
1) 系統(tǒng)實體安全
系統(tǒng)實體安全是指保護計算機設備、設施(含網(wǎng)絡)以及其它媒體免遭地震、水災、火災、有害氣體和其它環(huán)境事故(如電磁污染等)破壞的措施和過程。
2) 系統(tǒng)運行安全系統(tǒng)運行安全是指為保障系統(tǒng)功能的安全實現(xiàn),提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急)來保護信息處理過程的安全[1]。項目組在實施項目前已對系統(tǒng)進行了靜態(tài)的風險分析,防止計算機受到病毒攻擊,阻止黑客侵入破壞系統(tǒng)獲取非法信息,因此系統(tǒng)備份是必不可少的(如采用放置在不同地區(qū)站點的多臺機器進行數(shù)據(jù)的實時備份)。為防止意外停電,系統(tǒng)需要配備多臺備用電源,作為應急設施。
3) 信息安全
系統(tǒng)信息安全是指防止信息財產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)標識、控制。系統(tǒng)的核心服務是交易服務,因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性,即保護客戶的私人信息,不被非法竊取。同時系統(tǒng)要具有認證性和完整性,即確保客戶身份的合法性,保證預約信息的真實性和完整性,系統(tǒng)要實現(xiàn)基于角色的安全訪問控制、保證系統(tǒng)、數(shù)據(jù)和服務由合法的客戶、人員訪問防火墻,即保證系統(tǒng)的可控性。在這基礎上要實現(xiàn)系統(tǒng)的不可否認性,要有效防止通信或交易雙方對已進行的業(yè)務的否認論文的格式。
2 農(nóng)產(chǎn)品電子商和安全策略
為了滿足電子商務的安全要求,電子商務系統(tǒng)必須利用安全技術為電子商務活動參與者提供可靠的安全服務,具體可采用的技術如下:
2.1基于多重防范的網(wǎng)絡安全策略
1) 防火墻技術
防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的,在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過保護屏障,并在此進行檢查和連接,只有被授權(quán)的信息才能通過此保護屏障,從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離,防止非法入侵、非法盜用系統(tǒng)資源,執(zhí)行安全管制機制,記錄可疑事件等。
防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
邊界防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻,所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡,這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
2) VPN 技術
VPN 技術也是一項保證網(wǎng)絡安全的技術之一,它是指在公共網(wǎng)絡中建立一個專用網(wǎng)絡,數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng),其分支機構(gòu)就可以相互之間安全的傳遞信息。同時,企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設備,讓自己的用戶撥號到公眾信息網(wǎng)上,就可以進入企業(yè)網(wǎng)中。使用VPN 技術可以節(jié)省成本、擴展性強、提供遠程訪問、便于管理和實現(xiàn)全面控制,是當前和今后企業(yè)網(wǎng)絡發(fā)展的趨勢。
VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中,要有高強度的加密技術來保護敏感信息;在遠程訪問VPN中要有對遠程用戶可*的認證機制。
性能
VPN要發(fā)展其性能至少不應該低于傳統(tǒng)方法。盡管網(wǎng)絡速度不斷提高,但在Internet時代,隨著電子商務活動的激增,網(wǎng)絡擁塞經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺,管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴格要求和高優(yōu)先級應用的性能防火墻,又不會“餓死”,低優(yōu)先級的應用。
管理問題
由于網(wǎng)絡設施、應用不斷增加,網(wǎng)絡用戶所需的IP地址數(shù)量持續(xù)增長,對越來越復雜的網(wǎng)絡管理,網(wǎng)絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區(qū)分。VPN是公司對外的延伸,因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法,將安全政策進行分布,并管理大量設備論文的格式。
2.2基于角色訪問的權(quán)限控制策略
農(nóng)產(chǎn)品電子商務系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對象,與這些對象有關的用戶數(shù)量也非常多,所以用戶權(quán)限管理工作非常重要。
目前權(quán)根控制方法很多,我們采用基于RBAC演變的權(quán)限制制思路。在RBAC之中,包含用戶、角色、目標、操作、許可權(quán)五個基本數(shù)據(jù)元素,權(quán)限被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的權(quán)限[2]。角色訪問控制策略主要是兩方面的工作:
(1)確定角色
根據(jù)系統(tǒng)作業(yè)流程的任務,并結(jié)合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色,低級別角色可以為高級別角色的子角色,高級別角色完全繼承其子角色的權(quán)限。
(2)分配權(quán)限策略
根據(jù)系統(tǒng)的實際功能結(jié)構(gòu)對系統(tǒng)功能進行編碼,系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權(quán)限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時角色不發(fā)生沖突,對該角色的權(quán)限不能輕易進行修改,以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。對用戶的權(quán)限控制通過功能菜單權(quán)限控制或者激活權(quán)限控制來具體實現(xiàn)。用戶登陸系統(tǒng)時,系統(tǒng)會根據(jù)用戶的角色的并集,從而得到用戶的權(quán)限,由權(quán)限得到菜單項對該用戶的可視屬性是true/false,從而得到用戶菜單。
2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略
在農(nóng)產(chǎn)品商務系統(tǒng)中,數(shù)據(jù)庫系統(tǒng)作為計算機信息系統(tǒng)核心部件,數(shù)據(jù)庫文件作為信息的聚集體,其安全性將是重中之重。
1)數(shù)據(jù)庫加密系統(tǒng)措施
(1)在用戶進入系統(tǒng)進行兩級安全控制
這種控制可以采用多種方式,包括設置數(shù)據(jù)庫用戶名和口令,或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。
2)防止非法復制
對于服務器來說防火墻,可以采用軟指紋技術防止非法復制,當然,權(quán)限控制、備份/復制和審計控制也是實行的一樣。
3)安全的數(shù)據(jù)抽取方式
提供兩種卸出和裝入數(shù)據(jù)庫中的加密數(shù)據(jù)的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數(shù)據(jù)還是密文,在這種模式下,可直接使用DBMS提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數(shù)據(jù)明文,在這種模式下,可利用系統(tǒng)專用工具先進行數(shù)據(jù)轉(zhuǎn)換,再使用DBMS提供的卸出、裝入工具完成[3]。
3結(jié)束語
隨著信息化技術的快速發(fā)展,農(nóng)產(chǎn)品電子商務創(chuàng)新必須適應新的變化,必須充分考慮信息安全因素與利用信息安全技術,這樣才能實現(xiàn)農(nóng)產(chǎn)品電子商務業(yè)務快速增長,本文所述的安全策略,對當前實施電子商務有一定效果的,是值得推介應用的。
參考文獻:
[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報(自然科學版),2007,(12):71-73.
[2]唐文龍.基于角色訪問控制在農(nóng)產(chǎn)品電子商務系統(tǒng)中的應用[j]. 大眾科技.34-35
[3]張立克.電子商務及其安全保障技術[J].水利電力機械,2007,29(2):69-74.
第3篇:vpn技術論文范文
論文摘要:縣級供電企業(yè)在推進信息化過程中,普遍存在著成本過大,安全系數(shù)較低以及建設周期長等問題。結(jié)合廬江供電公司在開展城鄉(xiāng)營銷管理信息化建設中出現(xiàn)的問題進行分析,提出利用VPN實現(xiàn)全公司網(wǎng)絡互聯(lián)的解決方案,并分析了下一步信息化的主攻方向。
0引言
隨著電力信自、化水平的不斷提高,縣級供電企業(yè)綜合管理信息系統(tǒng)開始逐步建立,但基層變電站、鄉(xiāng)鎮(zhèn)供電聽與供電公司局域網(wǎng)聯(lián)網(wǎng)問題嚴重地制約著縣級供電企業(yè)信息系統(tǒng)實用化水平的發(fā)展和信息資源的充分有效利用,這與供電企業(yè)管理發(fā)展的目標追求以及客戶的需求是極不適應的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設工作受地形、人員素質(zhì)、資金投人等因素影響,解決遠程站點聯(lián)網(wǎng)問題成為縣級供電企業(yè)信自、網(wǎng)絡建設中的突出矛盾。
1廬江供電公司信息化建設現(xiàn)狀
安徽廬江供電公司的信息化上作起步較晚,供電公司總部于X004年實現(xiàn)了生產(chǎn)M I S與辦公自動化OA的單軌制運行,總部信息化運行提高了企業(yè)的整體管理水平和辦公效率。如今,廬江供電公司總部已運行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)、辦公自動化系統(tǒng)、檔案管理系統(tǒng)、Web系統(tǒng)、財務管理系統(tǒng),現(xiàn)有的服務器包括:生產(chǎn)服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺,每位管理人員以及每個班組都配有微機。
在實施信息化建設與管理中,深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本,并在生產(chǎn)管理中可將所有設備信息進行分類編號,輸人數(shù)據(jù)庫,實行設備、設施缺陷管理,科學地制定缺陷檢修計劃,提高設備運行可靠度,降低故障率,提高供電可靠性;同時,廬江供電公司的營銷管理信息系統(tǒng)建有業(yè)擴子系統(tǒng)、電量電費f系統(tǒng)、用電檢查子系統(tǒng)、綜合查詢系統(tǒng),通過這些系統(tǒng),可方便與客戶的交流、溝通,節(jié)約成本開支,實現(xiàn)科學化營銷流程管理。這些管理信息系統(tǒng)的應用,加強J’企業(yè)的規(guī)范化管理,增強了管理的科學化水平,減輕了工作人員的負擔,提高了企業(yè)的經(jīng)濟效益。
為此,廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營銷MIS應用系統(tǒng)的推進力度,進一步減輕了抄表人員的負擔,縮短了開票時間,加強了電費電價的控制與管理,提高了營銷管理自動化水平。全縣17個鄉(xiāng)鎮(zhèn)供電聽,都使用同一版本的營銷MIS應用系統(tǒng)。舟個供電聽都有3臺以上的微機,其中1臺所長用于日常辦公,另外2臺分別作為用電MIS系統(tǒng)的服務器與客戶端,并兼為所里其他工作人員辦公使用。其中,已有10個供電所可利用變電站的光纖系統(tǒng),與廬江供電公司總部實現(xiàn)網(wǎng)絡互聯(lián),提高了工作效率,節(jié)省了開支。其余7個供電所仍不能夠?qū)崿F(xiàn)信息化共享,這些供電所非常希望盡快網(wǎng)絡互聯(lián)。
2采用VPN方案推進供電所信息化建設進程
這些供電所若使用以前的光纖聯(lián)網(wǎng)方式,不僅投資大,施工工期長,而且日后的維護量也多。考慮到以上原因,為盡快解決其余7個光纖未開通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡互聯(lián)問題,達到信息、共享,推廣鄉(xiāng)鎮(zhèn)供電所的營銷MIS系統(tǒng)應用,公司決定采用虛擬局域網(wǎng)(VPN),在現(xiàn)有設備基礎上,進行簡單的改造。通過在VPN網(wǎng)關中配置7個供電所的用戶、密碼以及訪問策略,并分別在7個供電所安裝VPN客戶端,安裝公司的MIS應用系統(tǒng),實現(xiàn)全公司網(wǎng)絡互聯(lián)。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術,可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專用網(wǎng)絡(VPN , Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程,該過程把數(shù)據(jù)安全地從一端傳送到另一端,這里數(shù)據(jù)的安全性由可靠的加密技術來保障,而數(shù)據(jù)是在一個開放的、沒有安全保障的、經(jīng)過路由傳送的網(wǎng)絡上傳輸?shù)摹PN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。 轉(zhuǎn)貼于
3方案效果比較
對2種方案的可能性進行了比較,如圖1所示。如果廬江供電公司全部運用光纖法來實現(xiàn)供電所的網(wǎng)絡互聯(lián),每個供電所的材料費、施工費按3.5萬元,施工工期10天計算,7個供電所就需要3.5 x 7=24.5萬元,需要10 x 7=70天。若這7個供電所采用VPN方案,只需要購買VPN網(wǎng)關1臺,價值3.5萬元和7個客戶端鑰匙,價值7 x 480=3360元,5天內(nèi)就能完成7個供電所安裝。因此,應用VPN方案,廬江供電公司就能節(jié)省資金達24 . 5-3 . 836=20.664萬元,縮短工期65天,取得的直接效益是顯著的,并省去了今后光纖線路維護所需要工作量。
現(xiàn)在,這7個鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng),在局域網(wǎng)下載內(nèi)容的速度可達350 kb/s,生產(chǎn)MIS系統(tǒng)響應時間為2--3 s,辦公自動化系統(tǒng)瀏覽公司收發(fā)的文件、接受電子郵件的時間因文件的大小不同而有所差別,1 MB的文件大約需要8 s。由于ADSL是非對稱數(shù)字環(huán)路,所以發(fā)送電子郵件的速度要慢得多,1 MB的文件大約需要18s。從VPN方案運行效果來看,完全能夠滿足廬江供電公司網(wǎng)絡發(fā)展及MIS系統(tǒng)應用的需要。
4下一步信息化建設的主攻方向
目前,廬江供電所信息化還處于初級階段,對電力企業(yè)信息化建設的目標還沒有完全形成統(tǒng)一的管理標準;同時,廬江供電公司在實施VPN技術后,也清楚地看出:VPN是一種虛擬專用網(wǎng)絡,而不是一種真正的專用網(wǎng)絡。因此,廬江供電公司打算設立嚴格的管理制度,包括嚴格的權(quán)限管理,無關人員無權(quán)查看、改動數(shù)據(jù),VPN客戶端的用戶與密碼管理等,建立起一套計算機管理操作等規(guī)章制度,使整個網(wǎng)絡安全有序地運行。此外,該公司今后還將加大對供電所使用人員的計算機培訓力度,包括計算機知識在內(nèi)的應用培訓,促進操作人員更好地使用軟件,提高操作人員計算機水平,也為計算機應用在企業(yè)內(nèi)部得到更好地發(fā)展起到一定的推動作用,并充實培養(yǎng)供電聽計算機網(wǎng)絡管理人員、信息安全管理人員,把信息化建設中的培訓工作貫穿始終,進而拓寬信息化的覆蓋面,保證信息、化工作的健康發(fā)展,讓VPN技術更好地為廬江供電公司信息化、專業(yè)化、現(xiàn)代化服務。
5結(jié)語
第4篇:vpn技術論文范文
【關鍵詞】隧道技術,應用,研究
中圖分類號:U45文獻標識碼: A
一、前言
由于網(wǎng)絡的發(fā)展和完善以及速度的不斷提高,越來越多的公司逐步進行運用隧道技能。大規(guī)模的組建VPN網(wǎng)絡已經(jīng)成為一種趨勢,這種技術越來越多地遭到用戶的廣泛重視。
二、VPN的隧道技術
VPN技術比較復雜,它涉及到通信技術、密碼技術和現(xiàn)代認證技術,是一項交叉科學。具體來講,目前VPN主要采用下列四項技術來保證其安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密鑰管理技術、使用者與設備身份認證技術(Authentication)。隧道技術是VPN的基本技術,類似于點對點連接技術,它在公用網(wǎng)中建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過這條隧道傳輸。隧道技術的基本工作原理是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式之中,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。
三、隧道技術
1、第二層隧道協(xié)議
第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到PPP中,再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。創(chuàng)建隧道的過程類似于在雙方之間建立會話;隧道的兩個端點必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量,如地址分配,加密或壓縮等參數(shù)。第二層隧道協(xié)議有L2F、PPTP、L2TP等。
(一)、點對點隧道協(xié)議(PPTP)
PPTP將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報內(nèi)通過IP網(wǎng)絡,如Internet傳送。PPTP還可用于專用局域網(wǎng)絡之間的連接。PPTP使用一個TCP連接對隧道進行維護,使用通用路由封裝(GRE)技術把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過隧道傳送。可以對封裝PPP楨中的負載數(shù)據(jù)進行加密或壓縮。
(二)、第2層轉(zhuǎn)發(fā)(L2F)
L2F是Cisco公司提出的隧道技術,作為一種傳輸協(xié)議L2F支持撥號接入服務器將撥號數(shù)據(jù)流封裝在PPP楨內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務器(路由器)。L2F服務器把數(shù)據(jù)包解包之后重新注入(inject)網(wǎng)絡。與PPTP和L2TP不同,L2F沒有確定的客戶方。應當注意L2F只在強制隧道中有效。
(三)、第2層隧道協(xié)議(L2TP)
L2TP結(jié)合了PPTP和L2F協(xié)議。設計者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢。L2TP是一種網(wǎng)絡層協(xié)議,支持封裝的PPP楨在IP,X.25,楨中繼或ATM等的網(wǎng)絡上進行傳送。當使用IP作為L2TP的數(shù)據(jù)報傳輸協(xié)議時,可以使用L2TP作為Internet網(wǎng)絡上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。
2、第三層隧道協(xié)議
IPSec是指IETF(因特網(wǎng)工程任務組)以RFC形式公布的一組安全IP協(xié)議集,是為IP及其以上協(xié)議(TCP和UDP等)提供安全保護的安全協(xié)議標準。其目標是把安全機制引入IP協(xié)議,通過使用密碼學方法支持機密性和認證服務等安全服務。IPSec通過在IP協(xié)議中增加兩個基于密碼的安全機制―認證頭(AH)和封裝安全載荷(ESP)來支持IP數(shù)據(jù)報的認證、完整性和機密性。IPSec協(xié)議族包括:IP安全架構(gòu)、認證頭AH、封閉安全載荷ESP和Internet密鑰交換(IKE)等協(xié)議。IP安全架構(gòu)協(xié)議指定了IPSec的整個框架,是IP層安全的標準協(xié)議。AH協(xié)議定義了數(shù)據(jù)源認證和完整性驗證的應用方法。ESP為IP數(shù)據(jù)報文提供數(shù)據(jù)源驗證、數(shù)據(jù)完整性校驗、抗重播和數(shù)據(jù)加密服務。IKE為AH和ESP提供密鑰交換機制,在實際進行IP通信
時,可以根據(jù)實際安全需求,同時使用AH和ESP協(xié)議,或選擇使用其中的一種。
3、新興的隧道協(xié)議
SSL是Netscape公司設計的主要用于web的安全傳輸協(xié)議。SSL被設計為使TCP提供一個可靠的端到端的安全服務,它不是一個單一的協(xié)議,而是由多個協(xié)議組成記錄協(xié)議定義了要傳輸數(shù)據(jù)的格式,它位于可靠的傳輸協(xié)議TCP之上,用于各種更高層協(xié)議的封裝。記錄協(xié)議主要完成分組和組合,壓縮和解壓縮,以及消息認證和加密等功能。所有傳輸數(shù)據(jù)包括握手消息和應用數(shù)據(jù)都被封裝在記錄中。握手協(xié)議允許服務器與客戶機在應用程序傳輸和接收數(shù)據(jù)之前互相認證、協(xié)商加密算法和密鑰。通信雙方首先通過SSL握手協(xié)議建立客戶端與服務器之間的安全通道,SSL記錄協(xié)議通過分段、壓縮、添加MAC以及加密等操作步驟把應用數(shù)據(jù)封裝成多條記錄,最后再進行傳輸。
四、隧道技術的應用模型
1、端到端安全應用
IPSec存在于一個主機或終端系統(tǒng)時,每一個離開和進入的PI數(shù)據(jù)包都可得到安全保護。PI包的安全保護可以從數(shù)據(jù)源一直到數(shù)據(jù)被接收。制定相應的安全策略,一對獨立的SA可以保護兩個端點之間的全部通信―Tenlet、SMTP、WEB和FTP等。或者,根據(jù)兩個端點之間通信的協(xié)議的不同(TCP和UDP)和端口的不同,分別用不同的SA保護兩個端點之間的不同的通信。在這種模式下,通信的端點同時也是PISec的端點。所以,端到端安全可以在傳送模式下,
利用PISec來完成;也可以在隧道模式下,利用額外IP頭的新增來提供端到端的安全保護。
2、虛擬專用網(wǎng)
IPSec存在于路山器等網(wǎng)絡互連設備時,司一以構(gòu)建虛擬專用網(wǎng)VPN。VPN是“虛擬的”,因為它不是一個物理的、明顯存在的網(wǎng)絡。兩個不同的物理網(wǎng)絡通過一條穿越公共網(wǎng)絡的安全隧道連接起來,形成一個新的網(wǎng)絡VPN。VPN是“專川的”,因為被加密的隧道可以提供數(shù)據(jù)的機密性。而今,人們從傳統(tǒng)的專線網(wǎng)絡轉(zhuǎn)移到利用公共網(wǎng)絡的網(wǎng)絡,逐漸意識到節(jié)省費用的VPN重耍性。通過在路山器上配置PISec,就可以構(gòu)建一個VPN。在路山器的一端,連接著一個受保護的私有網(wǎng)絡,對這個網(wǎng)絡的訪問要受到嚴格的擰制。在另一端連技的是一個不安全的網(wǎng)絡帳Internet。在兩個路山器之間的公共網(wǎng)絡上建立一條安全隧道,通信就可以從一個受保護的本地子網(wǎng)安全地傳送到另一個受保護的遠程子網(wǎng)。這就是VPN,在VPN中,母一個具有IPSec的路由器都是一個網(wǎng)絡聚合點。在兩個PISec的路山器之間通常使用隧道模式,可以采用多種安全策略,建立一對或多對SA,試圖對VPN進布J屯通信分析將是非常困難的。如果在一個本地私有網(wǎng)絡中的數(shù)據(jù)包的目的地是VPN的遠程網(wǎng)絡―它是從一個路由器發(fā)送到另一個路山器的、加密的數(shù)據(jù)包。
3、移動IP
在端到端安IP全中,數(shù)據(jù)包由產(chǎn)生和l或接收通信的那個主機進行加密和解密.在VPN中,
網(wǎng)絡中的一個路由器對一個受安全保護的網(wǎng)絡中的主機(或多個)的數(shù)據(jù)包進行加密和解密。這兩個組合一般稱為移動IP。移動IP一般是獨立的,它要求計問受安全保護的網(wǎng)絡,它是一個移動的客戶,不停留在某個固定的地方。他必須通過旅店、或任何一個可以進行internetPOP的地方,安全地訪問公司資源。在移動IP的方案中,移動主機和路由器都支持PISec,它們之間可以建立一條安個隧道。它們能夠在外出數(shù)據(jù)包抵達通信線路之前對它進行安全保護:能夠在對進入包進行IP處理之前,驗證它們的安全保護。具有PISec的路山器保護的是移動主機想要訪問的那個網(wǎng)絡,它也可以是支持V戶N的路山器,允許其它的移動主機進行安全的遠程訪問。在這種方案中,一方是移動主機,它既是通信方。另一方將PISec當作一項服務提供給另一個網(wǎng)絡實體。
4、嵌套式隧道
有時,需要支持多級網(wǎng)絡安全保護。比如下面一個例子:一個企業(yè)有一個安全網(wǎng)關,以防止其網(wǎng)絡受到競爭者或黑客的侵犯和攻擊,而企業(yè)內(nèi)部另有一個安全網(wǎng)關,防止某些內(nèi)部員工進入敏感的子網(wǎng)。比如銀行系統(tǒng)的企業(yè)網(wǎng)。這種情況下,如果某人希望對網(wǎng)絡內(nèi)部的保護子網(wǎng)進行訪問,就必須使用嵌套式隧道。
5、鏈式隧道
一種常見的網(wǎng)絡安全配置是Hub-and-spoke。從一個網(wǎng)絡橫過Hub-and-spoke網(wǎng)絡,到達另一個網(wǎng)絡的數(shù)據(jù)包都由一個安全網(wǎng)關加密,由中心路由器解密,再加密,并由保護遠程網(wǎng)絡的另一個安全網(wǎng)關解密。
6、隧道交換模型
如果從交換的角度來看,它也可以稱為隧道交換模型。在中心路由器所連接的四個網(wǎng)絡可以是不同類型的網(wǎng)絡,隧道的實現(xiàn)方式也可以不同,但是,不同網(wǎng)絡的兩個節(jié)點在進行數(shù)據(jù)傳輸時,并不關心隧道的實現(xiàn)媒體,隧道可以接力的方式進行數(shù)據(jù)的傳遞。從安全的角度,假設每一個隧道是安全的,且中心路由器也是安全的,那么任何兩個節(jié)點之間的通信也應該是安全的。假設隧道間彼此不能信任,那么可以只將隧道的連接看作是一條數(shù)據(jù)的傳輸通道,再使用前面所論述的隧道模型實現(xiàn)安全保護,如點到點的隧道安全模式。
五、結(jié)束語
由于Internet基礎設施的完善,隧道技能必將將在網(wǎng)建等各范疇,發(fā)揮著越來越重要的效果。實現(xiàn)隧道技能的多種多樣,它們各有各的優(yōu)勢,如今,市場上大多數(shù)都在使用VPN這類技能。
參考文獻
[1]毛小兵,VPN演進之隧道交換.《計算機世界》2000
[2]沈鑫剡.IP交換網(wǎng)原理、技術及實現(xiàn)[M].北京:人民郵電出版社,2003.
第5篇:vpn技術論文范文
論文關鍵詞:數(shù)字資源,遠程服務,虛擬專用網(wǎng)(VPN,服務器
隨著信息技術的不斷進步,數(shù)字資源的種類和數(shù)量日益增長,我國不同層次、不同類別的高校都不同程度地采購或引進了各種數(shù)字資源,以滿足本校讀者對數(shù)字資源的利用需求。但由于大多數(shù)數(shù)字資源出于版權(quán)保護和商業(yè)利益的考慮,往往僅限于校園網(wǎng)內(nèi)使用,使其合法用戶只能在本校 IP 地址范圍內(nèi)的辦公室、機房或圖書館等地使用,而當其回家或出差在外時就將無法訪問和使用這些資源, 這樣,不僅損害了圖書館合法用戶的利益,也大大降低了本館所購數(shù)字資源的利用率。針對這種情況,可以采取以下應對措施,為本校合法用戶提供校外遠程訪問數(shù)字資源服務。
1構(gòu)建虛擬專用網(wǎng)(“Virtual Private Network”,簡稱VPN)
圖書館的電子資源因受IP地址的限制,目前只能被校園網(wǎng)內(nèi)用戶訪問。為便于住校外教工、學生利用圖書館的電子資源,可引入虛擬專用網(wǎng)(“Virtual Private Network”,簡稱VPN)技術來解決這個問題,獲得VPN授權(quán)的用戶,可在非校園網(wǎng)內(nèi)使用圖書館的電子資源。
1.1虛擬專用網(wǎng)的簡介
簡單地講,VPN就是利用開放的公眾網(wǎng)絡建立專用數(shù)據(jù)傳輸通道,將遠程的分支辦公室、商業(yè)伙伴、移動辦公人員等連接起來,并且提供安全的端到端的數(shù)據(jù)通信的一種廣域網(wǎng)技術。VPN本質(zhì)上是一種網(wǎng)絡互聯(lián)型業(yè)務,通過共享的網(wǎng)絡基礎架構(gòu)滿足企業(yè)互聯(lián)需求,在共享使用網(wǎng)絡資源的同時具有與專網(wǎng)一樣保證用戶網(wǎng)絡的安全性、可靠性、可管理性。VPN業(yè)務并不限制網(wǎng)絡的使用,它既可以構(gòu)建于因特網(wǎng)或互聯(lián)
網(wǎng)運營商(ISP)的 IP網(wǎng)絡之上,也可以構(gòu)建于幀中繼(FR)或異步傳輸模式(ATM)等網(wǎng)絡基礎架構(gòu)之上,如圖1.1 所示。簡言之,通過利用VPN 技術,就可以在學校內(nèi)部網(wǎng)絡與外網(wǎng)之間建立一個虛擬的安全通道,從而實現(xiàn)學校充分利用圖書館資源的需求。
1.2虛擬專用網(wǎng)(VPN)的優(yōu)勢
1.2.1 運行成本較低
VPN只需要通過現(xiàn)有的公用網(wǎng)來建立,不需要另外鋪設如光纖之類的物理線路,減少了專線的租用數(shù)量,同時也減少了數(shù)據(jù)傳輸過程中的輔助設備,而且VPN本身帶有路由功能,節(jié)省了費用和資源,因此極大地降低了運行成本。
1.2.2 具有可靠的安全性
VPN采用了隧道技術、數(shù)據(jù)加解密技術、密鑰管理技術和身份認證等獨特的專有技術可以實現(xiàn)在內(nèi)部服務器上對用戶資格的認證,點對點加密及各種網(wǎng)絡安全加密,確保了本地網(wǎng)絡和數(shù)據(jù)傳輸?shù)陌踩U狭藞D書館網(wǎng)絡系統(tǒng)的安全運行。
1.2.3 靈活的運用方式
只要網(wǎng)絡順暢,VPN技術就可以將圖書館內(nèi)部的網(wǎng)絡設備與外網(wǎng)實現(xiàn)安全互聯(lián)。這樣,圖書館的資源就能夠通過該技術傳輸語言、圖像和數(shù)據(jù)等,為廣大師生提供了靈活便捷的使用方 式。
1.2.4 易用性
客戶端不需要復雜的配置,不在用戶操作系統(tǒng)安裝過多的插件和程序,不改變用戶使用習慣和應用快捷方式,一鍵式操作,簡單易用;可以使讀者在任何一臺電腦上安全便捷地訪問圖書館的電子資源。
1.2.5 便于管理
對網(wǎng)絡實行集中監(jiān)測、分權(quán)管理,并統(tǒng)一分配帶寬資源。選用先進的網(wǎng)絡管理平臺,具有對設備、端口等的管理、流量統(tǒng)計分析,及可提供故障自動報警。
1.3 圖書館如何利用VPN技術
1.3.1 應用VPN技術授權(quán)校園網(wǎng)合法IP段內(nèi)的用戶使用數(shù)據(jù)
例如我院圖書館每年都要購買大量的電子資源,如CNKI、萬方、維普、EBSCO數(shù)據(jù)庫、英語學習中心(SRC)等,由于數(shù)字版權(quán)的原因,這些數(shù)字資源都有限制訪問的IP地址范圍。圖書館支付費用以后,數(shù)據(jù)庫服務商根據(jù)訪問者的IP地址來判斷是否是經(jīng)過授權(quán)的用戶。圖書館應用VPN技術就可以授權(quán)校園網(wǎng)合法IP段內(nèi)的用戶使用數(shù)據(jù),無需額外支持費用,使圖書館數(shù)字資源得到了最大程度的共享。
1.3.2 應用VPN技術以遠程訪問的形式訪問圖書館數(shù)據(jù)
由于數(shù)字版權(quán)的原因,校園網(wǎng)及高校數(shù)字圖書館的大多數(shù)資源都不對外開放。然而又因為學校人群的特殊性,有的教職工居住在校外,使用的是公網(wǎng)IP,不在校園網(wǎng)IP范圍內(nèi),無法在家或在出差的時候使用圖書館和校園網(wǎng)內(nèi)的其他資源。暑假、寒假在家的學生同樣是由于IP問題無法訪問學校圖書館數(shù)據(jù)。應用VPN技術就可以輕松解決這一長期困擾圖書館的問題。用戶只需要向圖書館技術管理人員申請認證證書和注冊賬戶,就能成為遠程訪問系統(tǒng)的合法用戶。在本機上安裝VPN 客戶端,然后登陸該賬戶就能通過Internet訪問圖書館資源。用戶無需作任何調(diào)整,網(wǎng)絡配置也不必作任何改動。
2、除了上述的解決方案,還可以利用遠程數(shù)字圖書館軟件、RASDL以及Cookie跨域名技術;由圖書館咨詢?nèi)藛T提供全文;利用檢索充值卡;預設賬戶和密碼等等的方案來解決遠程訪問問題。
3、結(jié)束語
隨著校外合法用戶訪需求的增長,校外訪問服務的開展顯得越來越急切和重要,圖書館應綜合運用多種技術方式,盡可能地為他們提供方便。同時,圖書館應加強電子資源的本地鏡像建設,以減少合法使用受到的限制。
【參考文獻】
[1] 王彩虹.局域網(wǎng)內(nèi)地方高校遠程訪問服務模式.圖書館學刊 [J].2011,(1).
[2] 王健.利用VPN技術實現(xiàn)高校圖書館數(shù)字資源的遠程訪問[J].圖書館學研究. 2006,(5).
[3] 郭峰.高校圖書館VPN網(wǎng)絡建設研究.情報探索[J].2010, (2).
第6篇:vpn技術論文范文
論文關鍵詞:VPN,校園網(wǎng),遠程訪問
1 發(fā)展校園網(wǎng)的重要性
近幾年國家對教育工作日益重視,獨立學院規(guī)模不斷擴大。在發(fā)展過程中,各獨立學院都十分重視與母體學校的資源整合。
獨立學院與母體學校一般都建立了各自的校園網(wǎng)絡,且均接入互聯(lián)網(wǎng),因為諸多條件的制約,至今多數(shù)獨立學院與母體學校之間沒有專線相互連接,造成了校園網(wǎng)應用水平極低的現(xiàn)象。各種應用系統(tǒng),如教務管理系統(tǒng)、題庫系統(tǒng)和電子圖書管等教學資源無法實現(xiàn)共享,迫切需要實現(xiàn)統(tǒng)一管理和對資源的充分利用。獨立學院的教師一般是由三部分構(gòu)成:一是母體學校的教師;二是外聘教師;三是專職教師。母體學校的教師和外聘教師,這兩類教師往往在多個高校共同教學、科研和辦公。如何加強與這部分教師的聯(lián)系,提高教學、科研和辦公效率顯得尤為重要。
此外,傳統(tǒng)的Internet接入和傳輸服務缺少安全機制,服務質(zhì)量無法保證,難以滿足不同校區(qū)之間關鍵性數(shù)據(jù)實時安全傳輸和應用的特定要求。所以,建立安全可靠的獨立學院與母體學校間校園網(wǎng)的連接,實現(xiàn)資源共享。為母體學校教師和外聘教師提供一種安全、高效、快捷的網(wǎng)路服務,如登錄校內(nèi)OA系統(tǒng)、教務系統(tǒng)和電子圖書館系統(tǒng)等,是獨立學院校園網(wǎng)建設的當務之急。
2 VPN工作原理及其主要優(yōu)點
虛擬專用網(wǎng)VPN(Virtual Private Network)就是利用公網(wǎng)來構(gòu)建專用的網(wǎng)絡,它是通過特殊的硬件和軟件直接通過共享的IP網(wǎng)所建立的隧道來實現(xiàn)不同的網(wǎng)絡的組件和資源之間的相互連接, 并提供同專用網(wǎng)絡一樣的安全和功能保障。
VPN并不是某個單位專有的封閉線路或者是租用某個網(wǎng)絡服務商提供的封閉線路。但同時VPN 又具有專線的數(shù)據(jù)傳輸功能,因為VPN 能夠像專線一樣在公共網(wǎng)絡上處理自己單位內(nèi)部的信息。它主要有以下幾個方面的優(yōu)點:(1)成本低。VPN在設備的使用量上比專線式的架構(gòu)節(jié)省,故能使校園網(wǎng)絡的總成本降低。(2)網(wǎng)絡架構(gòu)彈性大。VPN的平臺具備完整的擴展性,大至學校的主校區(qū)設備,小至各分校區(qū),甚至個人撥號用戶,均可被包含在整體的VPN架構(gòu)中,以致他們可以在任何地方,通過Internet網(wǎng)絡訪問校園網(wǎng)內(nèi)部資源。(3)良好的安全性。VPN架構(gòu)中采用了多種安全機制,如信道、加密、認證、防火墻及黑客偵防系統(tǒng)等,確保資料在公眾網(wǎng)絡中傳輸時不至于被竊取.或是即使被竊取了,對方亦無法讀取封包內(nèi)所傳送的資料。(4)管理方便。VPN 較少的網(wǎng)絡設備及物理線路,使網(wǎng)絡的管理較為輕松。不論分校或遠程訪問用戶的多少,只需通過互聯(lián)網(wǎng)的路徑即可進入主校區(qū)網(wǎng)路。
3 獨立學院校園網(wǎng)絡建設中的VPN技術選擇及對策
選擇適當?shù)腣PN技術可以提供安全、高效、快捷的網(wǎng)絡服務,能有效的解決獨立學院當前所面臨的校區(qū)分散、資源共享和遠程辦公等實際問題。
3.1技術選擇
VPN 可分為軟件VPN和硬件VPN。軟件VPN 具有成本低、實施方便等優(yōu)勢。若是采用Windows 2000操作系統(tǒng),則該操作系統(tǒng)本身就集成了這項功能,只需進行相應的設置即可投入使用。而硬件VPN必須借助專用的設備才可以實現(xiàn),兩者之間存在比較大的差別。首先是硬件VPN能穿透NAT (Network Address Translation)防火墻,其次是硬件VPN 安全性遠遠好于軟件VPN。軟件VPN 的用戶身份認證方式非常簡單,只能通過用戶名和密碼方式進行識別。硬件VPN的加密算法通常都較為安全,硬件VPN 集成了企業(yè)級防火墻、上網(wǎng)控制和路由功能,一次性提供多種寬帶安全的解決方案,可以輕松實現(xiàn)遠程實施和維護,相比之下軟件VPN 的后期維護顯得較為復雜。
目前VPN主要采用四項技術來保證安全,這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。每項技術都對應有一些成熟的方案,如VPN 隧道類型現(xiàn)就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等,加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等,在構(gòu)建VPN連接時應根據(jù)實際情況進行選用。
3.2 技術對策
VPN產(chǎn)品的性價比不同,對VPN硬件設備的選型也應視需求而定。例如,在構(gòu)建VPN連接時,如果校園網(wǎng)構(gòu)架不復雜,通訊需求量不是很大,但要求安全可靠和管理方便,應選擇集成VPN功能的防火墻設備方案比較適合。此方法的特點首先是能滿足建立VPN網(wǎng)絡的需求,其次是增加的硬件防火墻能提高校園網(wǎng)絡的安全防范等級。
3.3 VPN網(wǎng)絡建設實現(xiàn)的目標
主校區(qū)和分校區(qū)的內(nèi)部服務器及計算機之間要實時進行安全的數(shù)據(jù)交換,兩者之問需要建立雙向可尋址的VPN訪問。遠程客戶端要通過瀏覽器訪問主校區(qū)的Web服務器,還需建立遠程客戶端到主校區(qū)的單向VPN訪問。
3.3.1 主校區(qū)和分校區(qū)的VPN連接
在各校區(qū)現(xiàn)有校園網(wǎng)的出口處分別安裝一臺VPN網(wǎng)關,每個校區(qū)通過該設備連接互聯(lián)網(wǎng)。VPN網(wǎng)關在保持原來的上網(wǎng)功能不變的情況下,在不安全的互聯(lián)網(wǎng)上建立起經(jīng)過安全認證、數(shù)據(jù)加密的IP Sec VPN隧道,實現(xiàn)校區(qū)安全互連。
根據(jù)主校區(qū)和分校區(qū)的網(wǎng)絡使用要求和經(jīng)濟性等多方面考慮,應選用硬件型的集成VPN功能的防火墻。此外,防火墻還應具備路由功能,支持NAT技術,在分校區(qū)相對較小、校園網(wǎng)絡構(gòu)架不復雜的情況下,使用該類防火墻還可以將原校園網(wǎng)絡接入互聯(lián)網(wǎng)用的路由器省掉,是一個理想的選擇。主校區(qū)選擇一臺防火墻作為VPN網(wǎng)關,設備應可以支持上千個并發(fā)TCP/IP會話和上百個VPN 隧道,可以充分保證主校區(qū)內(nèi)所有計算機的安全、流暢的網(wǎng)絡使用及VPN支持的需求。對于分校區(qū)的多臺計算機上網(wǎng)及VPN需求,選擇一臺可支持幾十個VPN隧道的防火墻作為VPN 網(wǎng)關即可。由于校區(qū)網(wǎng)絡構(gòu)架并不復雜,主、分校區(qū)網(wǎng)關均擁有靜態(tài)公網(wǎng)IP地址,不會做經(jīng)常性的變動,可采用“基于路由的LAN (局域網(wǎng))到LAN的VPN” 手動密鑰方式,創(chuàng)建IP Sec VPN隧道,來實現(xiàn)校區(qū)間安全連接。
3.3.2 遠程用戶到主校區(qū)的VPN連接
考慮到遠程用戶訪問校園網(wǎng)絡集中于主校區(qū)Web服務器,遠程用戶到主校區(qū)的VPN連接可以采用SSL VPN模式。SSL VPN采用高強度的加密技術和增強的訪問控制,而且易于安裝、配置和管理,避開了部署及管理必要客戶軟件的復雜性和人力需求。
3.3.3 做好防護,提高VPN的安全性
雖然VPN 為遠程工作提供了極大的便利,但是它的安全性卻不可忽視。通常校園網(wǎng)服務器、核心交換機都會安裝一些殺毒軟件或者是防火墻軟件,而遠程計算機就不一定擁有這些安全軟件的防護。因此,必須有相應的解決方案堵住VPN的安全漏洞,比如在遠程計算機上安裝殺毒軟件和防火墻、對遠程系統(tǒng)和內(nèi)部網(wǎng)絡系統(tǒng)定期檢查,對敏感文件進行加密保護等,這樣才能防患于未然。
4、結(jié)束語
總之,在獨立學院與母校之間通信要求越來越高,各校區(qū)的網(wǎng)絡系統(tǒng)安全、經(jīng)濟和可靠的實現(xiàn)校區(qū)之間資源共享是目前首要考慮的問題。利用遠程客戶端到VPN網(wǎng)關的連接解決了受地域等條件限制的遠程辦公問題,滿足了經(jīng)常在校外工作人員查閱、訪問本院信息資源的需要;通過VPN連接兩個局域網(wǎng),實現(xiàn)高校各校區(qū)之間網(wǎng)絡系統(tǒng)的邏輯連接,為各校區(qū)的資源共享提供方便、快捷的服務創(chuàng)造了良好條件。
參考文獻:
[1] 戴宗坤等 VPN 與網(wǎng)絡安全[M]. 北京: 電子工業(yè)出版社, 2002.
第7篇:vpn技術論文范文
>> 淺談呼倫貝爾市科技系統(tǒng)辦公自動化平臺系統(tǒng)建設 企業(yè)OA協(xié)同辦公系統(tǒng)建設及后續(xù)開發(fā)與應用 淺談醫(yī)院辦公自動化系統(tǒng)建設與管理 淺談辦公自動化系統(tǒng)建設的實踐與啟示 淺談企業(yè)門戶系統(tǒng)建設的關鍵技術 淺談企業(yè)郵件系統(tǒng)建設與改造 淺談企業(yè)信息管理系統(tǒng)建設 淺談供電企業(yè)95598客戶服務系統(tǒng)建設 淺談VRS系統(tǒng)建設 辦公應用系統(tǒng)建設的改進思路 淺談如何加強企業(yè)辦公室系統(tǒng)自身建設 淺談電力營銷管理系統(tǒng)建設 淺談醫(yī)院標識系統(tǒng)建設 淺談醫(yī)院信息系統(tǒng)建設 淺談航標遙測遙控系統(tǒng)建設 淺談企業(yè)培訓中的E-Learning網(wǎng)絡學習系統(tǒng)建設 淺談冶金企業(yè)安全生產(chǎn)標準化系統(tǒng)建設 淺談大中型制造企業(yè)成本管理系統(tǒng)建設 淺談企業(yè)財務管理信息化系統(tǒng)建設 淺談當代企業(yè)集團檔案管理系統(tǒng)建設 常見問題解答 當前所在位置:.
[3]李福東.移動辦公平臺架構(gòu)研究與實現(xiàn)[D].北京:北京郵電大學碩士論文,2008.
[4]尤衛(wèi)軍.移動辦公平臺的實現(xiàn)方式[J].科技創(chuàng)新導報,2012(2).http://.cn/Article/CJFDTotal-JSJS201202015.htm.
[5]王穎.移動辦公綜合適配方案研究[J].數(shù)字通信,2011(12):36.
[6]溫國興,錢旭菲.利用移動信息化技術實現(xiàn)移動辦公.http://.cn/news/rdzt/bjdl/yxzp/jsyy/yxj/t20110104_624963.shtml.
[7]張璞,文登敏.基于J2ME和J2EE的移動電子商務系統(tǒng)的研究[J].成都信息工程學院學報,2006(4):504-507.
[8]羅勤.基于J2ME的移動辦公系統(tǒng)的研究與開發(fā):[碩士學位論文].大連:大連海事大學,2005.
第8篇:vpn技術論文范文
【關鍵詞】 WCDMA技術 無線傳感器網(wǎng)絡 中間件
RESEARCH ON NETWORK INTERCONNECTION OF WSN AND WCDMA
Xu Zhiwei,Ni Jie,Wang Gang,Zhao Honglin,Ma Yongkui (Harbin Institute of Technology,Heilongjiang Harbin,150001)
Abstract:ON the background of WCDMA mobile communication system of ZTE and WSN system of OURS, the article designs the interconnection scheme and realizes its function through B/S structure. The article designs the interconnection scheme on middleware technology and realizes its function through WEB.
Keywords: WCDMA technology, wireless sensor network, middleware
一、 n題研究背景
WCDMA移動通信系統(tǒng)是哈爾濱工業(yè)大學通信工程系與中興通訊公司共建的碩士生和本科生校內(nèi)實踐基地。實驗室現(xiàn)有的WCDMA移動通信網(wǎng)絡只具備基本的語音通信和數(shù)據(jù)通信功能,學生們不能充分體會到通過移動通信終端控制實際設備的功能,這樣就會使學生缺少對系統(tǒng)的更全面的認識和興趣。本文設計WSN與WCDMA網(wǎng)絡互聯(lián)的具體方案,提出以中間件技術進行WCDMA移動通信網(wǎng)絡和無線傳感器網(wǎng)絡進行互聯(lián)的具體方案,配置網(wǎng)絡互聯(lián)所需要的主要參數(shù)。本文利用無線傳感器網(wǎng)絡中間件技術實現(xiàn)WSN和WCDMA系統(tǒng)的互聯(lián),驗證移動通信終端通過WCDMA移動通信網(wǎng)絡來訪問和控制無線傳感器網(wǎng)絡的功能。
二、網(wǎng)絡互聯(lián)方案的設計
本文中系統(tǒng)的組建主要包括WCDMA移動通信系統(tǒng)的組建和WSN實驗系統(tǒng)的組建兩部分。WCDMA移動通信系統(tǒng)采用WCDMA R4網(wǎng)絡結(jié)構(gòu),利用中興通訊公司的技術實現(xiàn)。WSN實驗系統(tǒng)是基于奧爾斯公司OURS-IOTV2-EP平臺組建的。WSN和WCDMA網(wǎng)絡互聯(lián)是通過中間件技術實現(xiàn)。
2.1 WCDMA移動通信系統(tǒng)的組成
本文采用WCDMA R4網(wǎng)絡結(jié)構(gòu)作為組建移動通信網(wǎng)絡的模型。WCDMA R4網(wǎng)絡結(jié)構(gòu)主要由Node B、RNC、CS和PS等組成。CS域的功能實體主要包括移動媒體網(wǎng)關(MGW)和移動軟交換中心(MSC)。PS域的功能實體主要包括SGSN和GGSN等設備。
基站(Node B)在RNC控制下完成射頻信號的接收和發(fā)射,與移動終端進行通信,對信號進行調(diào)制解調(diào)和定位信息管理。RNC通過接口電路完成對基站的管理,RNC通過接口電路與核心網(wǎng)進行通信。RNC負責信道分配、信道切換、邏輯信道到傳輸信道的映射、信道傳輸格式設置。核心網(wǎng)由電路域(CS)和分組域(PS)構(gòu)成。電路域(CS)主要完成用戶的語音通信功能,包括話音業(yè)務、短信業(yè)務和視頻通話。分組域(PS)主要管理用戶訪問互聯(lián)網(wǎng)的業(yè)務。本文選擇基站的型號是中興通訊公司的ZXSDR B8200 +ZXWR R8840,RNC選用的型號是ZXWR-RNCV3,移動媒體網(wǎng)關型號是ZXWN MGW,移動軟交換中心型號是ZXWN MSC,分組域的型號是ZXWN PS。
2.2 WSN實驗系統(tǒng)的組成
該實驗系統(tǒng)主要由硬件部分和軟件部分組成。硬件設備包括8個無線通信模塊、8個傳感器模塊、8個電源板模塊、高性能嵌入式網(wǎng)關和其他配套設備。實驗系統(tǒng)包含4個無線傳感網(wǎng)通信節(jié)點和一個無線互聯(lián)網(wǎng)解調(diào)器。
2.3通過WEB中間件實現(xiàn)網(wǎng)絡互聯(lián)
中間件是在操作系統(tǒng)(包含底層通訊協(xié)議)和多類分布式應用系統(tǒng)聯(lián)系的單個應用中間件,中間件的主要功能是屏蔽軟件系統(tǒng)的差異,實現(xiàn)對上層系統(tǒng)透明傳輸?shù)墓δ埽瑹o線傳感器網(wǎng)絡的中間件軟件制定需要遵守如下的標準:
A 由于節(jié)點的能源、運算、儲存性能和通訊性能不足,因此WSN中間件需要的是較輕能耗程度的器件,且可以在功能和能源利用間實現(xiàn)均衡。
B 傳感網(wǎng)環(huán)境比較復雜,因而中間件軟件還需要供給優(yōu)越的容錯體制、自變化體制和自保護體制。
C 中間件軟件的下層支持是多類軟件節(jié)點和操作平臺(如TinyOS、MANTIS OS、SOS等),因而中間件系統(tǒng)不用考慮下層的差異。
D中間件系統(tǒng)由不同的軟件組成,為各種上層軟件供給相同的、能夠拓展的接口,進而進行應用的研制。
IOTService 是基于微軟操作系統(tǒng)運行的,其功能主要是把不同的軟件服務集成到一個系統(tǒng)中。其它的系統(tǒng)和終端通過不同的局域網(wǎng)和廣域網(wǎng)與IOTService進行連接。IOTService的主要優(yōu)點是為不同的用戶提供統(tǒng)一的軟件接口,可通過服務器/客戶端的模式通信,也可以搭建 WebService,通過WebService 和 IOTService 進行通信,再進一步編寫 B/S 架構(gòu)的應用軟件。整個系統(tǒng)結(jié)構(gòu)如圖1所示。由于WSN的中間件技術能夠很好的在不同網(wǎng)絡環(huán)境中運行,因此選取中間件技術作為WSN和WCDMA網(wǎng)絡互聯(lián)的方案。
2.4基于VPN技術實現(xiàn)網(wǎng)絡安全互聯(lián)
雖然WSN和WCDMA網(wǎng)絡本身都有一些安全協(xié)議來保證信息在傳輸?shù)倪^程中的安全性,但由于在實際應用中WSN與WCDMA進行互聯(lián)時都要通過Internet,由于Internet對所用用戶是開放的,因此信息經(jīng)過Internet傳輸時容易受到黑客的攻擊,所以研究WSN和WCDMA安全互聯(lián)技術很重要。本文研究并現(xiàn)了基于VPN技術進行網(wǎng)絡安全互聯(lián)的方案。
虛擬專用網(wǎng)(Virtual Private Network)是通過互聯(lián)網(wǎng)等建立一種基于安全協(xié)議的網(wǎng)絡連接,通過VPN建立起的網(wǎng)絡連接是經(jīng)過安全協(xié)議加密的,因此能夠?qū)σ獋鬏數(shù)臄?shù)據(jù)進行加密,實現(xiàn)在開放的互聯(lián)網(wǎng)中安全通信的目的。在VPN中,任意兩個節(jié)點之間的連接并沒有穿通專用的端到端物理鏈路,而是架構(gòu)在公用網(wǎng)絡平臺上。VPN對用戶端透明,用戶使用一條專用線路進行通信。
三、實驗過程
實驗過程主要包括:(1)運行計算機中的中間件。(2)修改tcpser.ip和 tcpsbm.ip為中間件所在計算機的IP 地址。(3)修改tcpser.port 和 tcpsbm.port為無線傳感網(wǎng)絡數(shù)據(jù) TCP 端口和管理中間件TCP 端口。(4)把jdbc.url中的DBQ部分修改為Access數(shù)據(jù)庫的路徑。(5)運行startup.bat批處理命令。(6)在WCDMA制式的移動終端瀏覽器中輸入IP地址后,移動終端的屏幕上出現(xiàn)物聯(lián)網(wǎng)管理界面,在這里可以完成相關模塊的管理功能,實現(xiàn)無線傳感器網(wǎng)絡節(jié)點拓撲結(jié)構(gòu)的顯示和管理等功能。
四、結(jié)束語
本文完成以下研究工作:
1、組建以WCDMA R4為網(wǎng)絡結(jié)構(gòu)的移動通信系統(tǒng),設計Node B、RNC和核心網(wǎng)的主要參數(shù),實現(xiàn)移動通信終端通過WCDMA網(wǎng)絡的語音和數(shù)據(jù)通信功能。
2、分析無線傳感器網(wǎng)絡與WCDMA移動通信網(wǎng)絡互聯(lián)的方案,選取中間件技術的互聯(lián)方案。
3、設計基于VPN技術的網(wǎng)絡互聯(lián)方案,并驗證該方案能夠?qū)SN和WCDMA網(wǎng)絡進行安全互聯(lián)。
參 考 文 獻
[1]孫卓. 異構(gòu)無線網(wǎng)絡中的接入選擇機制研究. 北京郵電大學博士論文,2007.
第9篇:vpn技術論文范文
【 關鍵詞 】 SSL;SSL VPN;指紋識別;APT
1 引言
隨著信息技術的飛速發(fā)展,互聯(lián)網(wǎng)技術的普及,一方面為人們生活帶來的便利,另一方面也出現(xiàn)越來越多的安全問題。自2013年美國“棱鏡門”事件后,關于APT(高級持續(xù)性威脅)的討論和研究也越來受到關注。
APT是一種針對特定目標組織的有經(jīng)濟或政治目的,且持續(xù)時間較長的一種攻擊,它結(jié)合了傳統(tǒng)的網(wǎng)絡攻擊方式同時利用0day漏洞,常常使受攻擊者防不勝防,直到出現(xiàn)真正損失才覺察到攻擊的存在。目前在APT攻擊中,常利用SSL隱藏或傳遞機密信息,同時SSL木馬的頻繁使用,危害也日益嚴重,因此如何區(qū)分出正常和異常的SSL成為了預防APT攻擊的一種有效方式。現(xiàn)有的方法主要是針對SSL證書的可信度檢測上,但是近年來偽造證書可信度越來越高,所以單從證書角度已不全面可靠,還需要從SSL流量的端口、上下報文以及連接時長等流量統(tǒng)計特點出發(fā)進行。由于SSL有不同類型,比如SSL VPN、瀏覽器的SSL,不同類型具體的檢測方式也不相同,因此在此之前需要對抓取的各類SSL流量進行分類。目前對SSL流量分類的相關研究仍是空白,本文基于此提出了各種SSL流量的“指紋識別”方法。
文章共分為四部分,首先介紹研究內(nèi)容背景和意義,然后簡要說明SSL握手協(xié)議,其次對SSL流量“指紋識別”方法進行詳細闡述,最后分析方法的特點及未來研究展望。
2 SSL握手協(xié)議
SSL安全套階層協(xié)議是為主機間提供安全通道的協(xié)議,位于傳輸層和應用層之間,提供連接的隱秘性、用戶的真實性以及數(shù)據(jù)的可靠性。SSL協(xié)議由握手層協(xié)議、記錄層協(xié)議、更改密文協(xié)議和警報協(xié)議組成,如圖1所示。
其中握手協(xié)議是SSL協(xié)議中最為重要的協(xié)議,通過握手可以提供對雙方的身份驗證機制。在這一過程中客戶端和服務器需要確認一個用于加密明文數(shù)據(jù)所使用的密鑰和算法,同時協(xié)商雙方的信息摘要算法、數(shù)據(jù)壓縮算法等,過程如圖2所示。
(1)ClientHello消息。客戶端會首先向服務器發(fā)送這條消息,來通知對方客戶端所支持的算法,以及為了將來生成多個加密密鑰所需要的客戶端隨機數(shù)。
(2)ServerHello消息。服務器會從客戶端發(fā)送的加密算法中選擇其中的一種。
(3)Server Certificate 消息。Server Certificate包含了用于身份認證的服務器標識,以及一個用于生成加密參數(shù)的隨機數(shù)。
(4)Certificate Request 消息。可選消息,如果服務器不需要驗證客戶端的身份,則不會發(fā)送這條消息。
(5)Server Hello Done消息。這條消息表示ServerHello消息與Certificate消息一經(jīng)發(fā)送完畢,服務器會等候客戶端的回應。客戶端一旦收到這條消息,才開始數(shù)字證書合法性的驗證。
(6)Client Certificate 消息。可選,如果沒有收到Certificate Request消息,則不需要發(fā)送數(shù)字證書。
3 SSL類型識別
SSL握手是客戶端和服務器進行密鑰、算法協(xié)商的步驟,不同類型的SSL有特定的密鑰和算法選擇方式,這些可選擇的密鑰和算法通過ClientHello消息進行傳遞,因此本文將根據(jù)SSL握手協(xié)議中客戶端發(fā)送的ClientHello消息來區(qū)分不同類型的SSL流量。
ClientHello消息中包含了SSL/TLS版本號、Cipher Suites(加密套件)和擴展部分的簽名算法等。通常對于同一個客戶端發(fā)出的不同類型SSL請求,其ClientHello消息是有差別的。目前SSL流量可大致分為SSL VPN和瀏覽器產(chǎn)生的SSL,我們通過Wireshake軟件進行大量抓包后分析發(fā)現(xiàn),通過Cipher Suites、SessionTicket TLS、Status_request這三個字段信息可以有效區(qū)分SSL VPN和瀏覽器的SSL流量,甚至可區(qū)分出不同瀏覽器和同一瀏覽器在不同操作系統(tǒng)下的SSL流量。
近幾年Microsoft推出使用SSL進行加密的SSTP,方便了用戶在Windows上直接建立VPN,所以本文對SSL VPN的分析著重集中在SSTP VPN。同時主流的瀏覽器有IE、Chrome、Firefox、Sougou,其中Sougou是使用IE和Chrome內(nèi)核,因此不對Sougou瀏覽器進行分析。特別需要注意的是,IE的各個版本隨著不同的操作系統(tǒng)版本SSL流量具有明顯不同。
3.1 SSTP VPN
SSTP VPN僅支持Win7操作系統(tǒng)及以上版本,在Win7、Win8以及Win8.1客戶端與Windows Server 2012間搭建SSTP VPN并抓取數(shù)據(jù)包,通過大量實驗總結(jié)發(fā)現(xiàn),SSTP VPN在Win7和Win8操作系統(tǒng)中通常使用TLSv1.0,而Win8.1則使用TLSv1.2。并且Win7和Win8下Cipher Suites的總數(shù)相同,共12個,相比之下Win8.1的 SSTP VPN Cipher Suites包含了24個加密套件。Cipher Suites通常由三個部分組成,第一是密鑰交換算法,第二是對稱加密算法,第三是摘要或者MAC算法, RFC2246中建議了很多中組合,一般寫法是“密鑰交換算法-對稱加密算法-摘要算法”。
雖然Win7和Win8下SSTP VPN的加密套件數(shù)量相同,但是還可通過擴展部分是否包含SessionTicket TLS進行有效區(qū)分,實驗表明只有Win8和Win8.1才包含該項。Session Ticket是用于在握手階段SSL連接中斷后重新握手使用的,與Session ID的區(qū)別在于即使客戶端的重新請求發(fā)送至另一臺服務器仍然可以恢復對話,但是它僅保存在客戶端, 目前在瀏覽器中只有Firefox和Chrome和Win8以上版本的IE瀏覽器支持。此外三個操作系統(tǒng)下的SSTP VPN都不包含Status request擴展項,而瀏覽器則都包含,這是它們之間的最大區(qū)別。SSTP VPN的比較見表1,“√”表示包含,反之為“×”。
3.2 IE瀏覽器
對于IE瀏覽器,目前仍有使用的是IE8到IE11,其中Win7支持IE8、IE9,Win7 Sp1版本支持IE11以前的所有版本,從Win8.1開始則主要使用IE11。在Win8及以上版本,IE瀏覽器產(chǎn)生的SSL流量包含了SessionTicket TLS字段,這是Win7版本與Win8、Win8.1流量的最大區(qū)別,通過這一特點可快速區(qū)分出瀏覽器的操作系統(tǒng)環(huán)境。然而,在Win7及Win7 sp1版本中,IE8、IE9和IE10都沒有區(qū)別,無論從握手協(xié)議擴展項或者加密密碼套件上看都是相同的,數(shù)量都為12個,與Win7環(huán)境下SSTP VPN的加密套件一致。唯獨能夠進行區(qū)分的只有IE11,其加密密碼套件Cipher Suites包含了21個,在原有12個的基礎上新增了9個組合。
相比之下Win8.1則較容易識別,因為只使用IE11,且用TLS 1.2版本,不僅包含SessionTicket TLS,而且Cipher Suites共有19個,更新升級后的Win8.1專業(yè)版的Cipher Suites則包含24個,不只是數(shù)量上簡單的增加,還去除了原有的幾個加密算法組合。IE各版本識別如表2所示。
3.3 其他瀏覽器
針對其他兩個非IE的瀏覽器,F(xiàn)irefox和Chrome,這兩類瀏覽器產(chǎn)生的SSL流量都包含了SessionTicket TLS、Status_reques。但Cipher Suites數(shù)量上,在Win7系統(tǒng)下,當Firefox和Chrome使用TLS 1.0時, Firefox有11個Cipher Suites,而Chrome則有17個。除了在Cipher Suites的數(shù)量上的差別,F(xiàn)irefox和Chrome在其他擴展字段與IE瀏覽器有明顯區(qū)別,主要體現(xiàn)在簽名哈希算法數(shù)量以及橢圓曲線算法。在簽名哈希算法數(shù)量選擇上,Chrome共10個,比Firefox總數(shù)多了2個,且具體簽名算法也不盡相同,而IE瀏覽器只有在使用TLS 1.2時擴展項才有簽名哈希算法,數(shù)量為7個。不僅如此,在橢圓曲線算法上,Chrome瀏覽器、IE瀏覽器以及SSTP VPN各版本在數(shù)量和類型上都相同,只有Firfox多了一個。該特點即可區(qū)分Firefox與其他SSL類型。
通過以上ClientHello幾個字段的比較可以明顯區(qū)分各種類型的SSL流量,實現(xiàn)了SSL“指紋識別”,同時也為后續(xù)設計SSL檢測模型防御APT攻擊奠定了基礎。雖然所提分類方式彌補了目前研究空缺,但是對瀏覽器的SSL流量識別僅集中在Win7及以上現(xiàn)今較流行操作環(huán)境,對微軟早前的操作系統(tǒng)比如XP、Vista等未做分析,這是實驗的不足之處。
4 結(jié)束語
本文通過分析現(xiàn)有APT和SSL研究背景,提出了一種通過SSL握手協(xié)議中的ClientHello消息進行SSL流量類型識別的方法,不僅對Win7及以上版本的SSTP VPN、各版本瀏覽器的SSL流量做了有效區(qū)分,也為以后提出SSL檢測模型做好準備工作。未來我們將在此基礎上深入分析各種SSL流量類型的異常檢測。
參考文獻
[1] Paul Giura, Wei Wang. A Context-Based Detection Framework for Advanced Persistent Threats. International Conference on Cyber Security[C].2012,69-74.
[2] 黃達理, 薛質(zhì). 進階持續(xù)性滲透攻擊的特征分析研究[J]. 信息安全與通信保密, 2012, (5): 87-89.
[3] Zigan Cao, Gang Qiong, Yong Zhao, et al. Two-Phased Method for Detection Evasive Network Attack Channels[J]. China Communication, 2014, (8): 47-58.
[4] Linshung Huang, Alex Rice, Erling Ellingsen,et al. Analyzing Forged SSL Certificates in the Wild. IEEE Security and Privacy [C].2014,83-97.
[5] 鐘軍, 吳雪陽, 江一等. 一種安全協(xié)議的安全性分析及攻擊研究[J]. 計算機科學與工程, 2014,36(6): 1077-1082.
基金項目:
國家自然科學基金重點項目(云計算環(huán)境下軟件可靠性和安全性理論、技術與實證研究)(編號:61332010)。
作者簡介:
蘇E昕(1992-),女,上海交通大學,碩士;主要研究方向和關注領域:網(wǎng)絡安全、信息安全管理。