vpn技术论文汇总十篇
vpn技术论文篇(1)
中图分类号:TP393文献标识码:A 文章编号:1672-3791(2012)04(a)-0000-00
现如今,针对网络的安全性、保密性、可靠稳定性的问题而研究出来并迅速发展起来了一种技术,那就是VPN。无论是数据传输的可靠性、网络安全性,还是经济实用性来看,VPN技术是一种不错的选择。
1VPN
1.1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork)简称VPN,它是一种“用于公共数据网络,提供用户一种可以直接连接到私人局域网感觉的服务”。它不仅节省了用户不少的费用,还提供了更强大的安全性和可靠性。
我们将VPN分成三大类:一是企业与合作伙伴、客户、供应商之间的ExtranetVPN,二是企业网与远程(移动)雇员之间的远程访问(Re-moteAccess)VPN,三是企业各部门与远程分支之间的In-tranetVPN。
1.2 VPN特点
1.2.1 非常良好的安全性
VPN 在架构上采用了很多种安全机制,例如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(Intrusion Detection)等技术来解决这个问题。就是为了保证重要性的资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。它可以通过使用点到点协议用户级身份验证的方法来进行确认,而对一些敏感的数据,我们将通过使用VPN连接VPN服务器将高度敏感的数据地址物理地进行分隔,它只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,我们还可以访问一些敏感部门网络中受到保护的资源。所有的流量都经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护。
1.2.2 成本低
远程用户可以通过向当地的ISP申请账户登陆到Internet,我们可以将Internet作为隧道与企业内部专用网络相连,用户的通信费用大幅度降低;然后,企业可以节省购买和维护通讯设备的费用。据分析,在 LAN(局域网)-to-LAN(局域网)连接时,用 VPN 与使用专线的成本相比较,要比其它的节省 30%~50% 左右;就远程访问而言,用 VPN比直接拨入到企业内部网络节省 60%~80% 的成本。这是由于VPN 在设备的使用量及广域网络的频宽使用上,平均比专线式的架构节省,因而能使网络的总成本(Total Cost of Ownership)降低。
1.2.3 管理简便
由于VPN 使用了比较少的设备来建立网络,所以使网络的管理更为轻松;不管连接的是哪个用户都需要通过VPN隧道的路径来进入内部网络。
1.2.4 网络架构弹性大
VPN的平台具备非常完整的扩展性,大到企业总部的各个设备,小到各分公司,还有个人拨号用户,都能被包含于整体的 VPN 架构中,同时,VPN 的平台还具有对未来广域网络频宽扩充及连接更新架构的特性。VPN 和专线式的架构相比较具有弹性,当将网络扩充或是变更网络架构时, VPN 可以轻松的达到目的。
1.2.5 它还具有网络协议的支持
对于IP、IPX和NetBEUI协议,网络客户机都可以轻易的使用VPN。这就意味着我们通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。所以VPN支持最常用的网络协议。
1.2.6 能够使用多种宽带技术
不论是ADSL、Cable还是 Modem,用户都可以选择使用本地服务供应商所能够提供的宽带接入技术。
1.2.7 IP地址的安全性
我们以Internet作为传输载体,再采用VPN技术,来实现企业网宽带远程访问,那是一个非常理想的企业网远程宽带访问解决方案。因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只能看到公用的IP地址,却看不到VPN使用的协议。
1.2.8 具有高度的灵活性
只要该用户能够接入Internet,用户不论是在家中、在出差途中、还是在任何环境中,他都能够安全地连接到企业网内部。这样既不受到地域限制,也不会受到接入方式限制。
2VPN的实现技术
VPN实现具有三个关键技术是隧道技术、加密技术和QoS技术。
2.1 隧道技术
隧道技术可以通过路由器满足ExtranetVPN以及IntranetVPN的需求。但在远程访问VPN过程中,多数用户是采用拨号上网。这时我们就可以通过L2TP和PPTP来加以解决。
2.2 加密技术
加密技术可以对数据或报文头进行加密。网络层加密实现的最安全方法是在主机的端到端进行。在网络层中的加密标准是IPSec。它的另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。
2.3 QoS技术
QoS应该在主机网络中实行,这也就是VPN建立起来的隧道这一段,这样我们才可以建成一条性能符合用户要求的隧道。 对于公共网的VPN我们可以通过隧道技术、数据加密技术以及QoS机制,来使VPN用户降低成本、提高效率、增强安全性,VPN终将是广大用户的最终选择。
我们通过隧道技术和加密技术,已经能够建立起一个具有互操作性、安全性的VPN,但是这个VPN在性能上还不稳定,管理上仍不能满足所有企业的要求,这就要加入一些QoS技术。
3 结 语
现如今,VPN技术可以利用在公共网络上建立起来的安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,它是企业内部网的一个扩展和延伸。VPN技术在未来的企业信息化建设中具有广阔的前景,国内的VPN应用已经有向银行、保险、运输、大型制造与连锁企业迅速扩散的趋势,这是市场发展的必然。VPN已经是通信技术上的一个重要的突破,它使Internet这种大众化而又不安全的网络发挥出了重要作用。但就现在而言,VPN还存在一些缺陷,VPN协议还没有完全标准化,而各VPN产品厂商对VPN也有不同的认知。总的来说,随着虚拟运营商逐渐进入VPN服务领域,我们还有更多的电信业务运营的ISP浮出水面,而国内的一些企业对VPN的认识还在逐步加深和探究。
参考文献
[1] 杨小平等.《Internet应用基础教程》.省略screen.省略/zhishipuji/knowledge/vpn.htm
[3] 王达等.虚拟专用网(VPN)精解[M] 北京:清华大学出版社,2004.
vpn技术论文篇(2)
VPN网络广泛应用于各行各业,那么VPN真的安全吗?这是作为网络管理人员不得不考虑的问题。下面我们将通过对SSL VPN的安全性的讨论来窥伺VPN安全性的一斑。
1 VPN基本结构
VPN和简单的将数据包加密是完全不同的。它主要由隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术组成。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。SSL加密协议应用到VPN中,就是我们常说的SSL VPN,安全性相对比较高。
2 VPN安全隐忧
理论上VPN具有较高的安全性,但网络中没有绝对的安全,我们以安全性较高的SSL VPN来深入探讨。由于SSL VPN并不需要特殊的客户端软件,而是用Web浏览器代替,因此SSL VPN的安全威胁主要集中在浏览器和服务器上。
2.1 客户端的安全隐患
2.1.1 临时文件
WINDOWS系统在运行过程中会产生临时文件,包括系y运行和上网所产生的临时文件,SSL VPN通过浏览器与服务器端进行通信活动,用户退出VPN系统时,不会自行清除临时文件。这些数据会被缓存在临时文件夹中,浏览器的缓存信息、浏览器URL记录、Cookie等都可能被保存下来。
2.1.2 用户忘记退出
由于网络用户是一个庞大的用户群,大部分用户都不知道如何正确退出VPN系统,单位管理员也不会刻意要求用户及时退出系统,用户事后一般就是关闭浏览器,并没有真正退出VPN系统,这就给SSL VPN系统带来了又一安全隐患。
2.1.3 病毒通过隧道感染内部网络
SSL VPN用户可以使用任何电脑远程登录单位内部网络,用户如果使用带有病毒的电脑接入SSL VPN网络,即使用户网与VPN网之间有防火墙,有些病毒仍将会通过VPN隧道感染SSL VPN网络内部的软件与文件资料。
2.1.4 操作环境风险
通过浏览器,用户可以不受使用地点限制,随意登录VPN系统,在公共场合,如果用户的防护意识不强,登录口令等安全信息泄露的风险增加,他人可以临时“借用”身份证书即可轻松进入相关系统。
2.1.5 内部网络信息泄密
内部应用程序往往使用到内网IP地址或是内部机器名,远程用户通过SSL VPN调用内部应用程序时,SSL VPN就必须将这些内部地址转化为因特网可识别的地址(HAT技术)。由于各个系统对安全性有不同的要求,HAT技术在实现,如果HAT技术应用不恰当,那么黑客可能通过用户访问内部网络的历史记录中分析到内部网络结构情况。
2.2 服务器端安全问题
2.2.1 应用层的安全威胁
SSL VPN一般通过两种方法实现:一是直接使用Web服务器作为其底层平台架设VPN服务器,由于VPN和Web服务器在同一台设备上,Web服务器的安全隐患也将会影响VPN。二是通过独立设备实现SSL VPN,包括硬件与操作系统,这种方式具有较高的安全性,但随着技术的进步,一段时间后这种方式也将暴露出其本身的固有的隐患,这种独立硬件的漏洞决定了整个系统的安全性。
2.2.2 身份认证
由于用户可以通过任何计算机登录进入VPN,可能将用户名和密码泄露,因此服务器端对请求接入的用户的身份认证过程显得更加复杂和重要,对安全性的要求也更高。
3 VPN安全隐患解决方案
3.1 客户端问题解决方案
VPN网络在使用中存在一些问题,但我们可以建立相应的机制来解决或缓解上述问题,使用VPN网络安全更上层楼。
3.1.1 临时数据处理
浏览器一般都带有自动清除临时数据的选项,但用户一般不会自行设置,因此需要在服务器端编写一个小程序,客户端自动下载运行,该程序记录用户登录后的操作及产生的临时数据,退出登录后自动清除用户这个过程中留下的各种格式的临时数据。
3.1.2 使用进程超时机制
大部分用户对于数字证书的安全不太重视,证书长期插在电脑上,导致电脑长时间与SSL VPN处于连接状态,这种情况一方面可以由单位制定操作规章,规定用户离开时证书也要拔下,另一方面可以采用进程超时机制,由系统实时检测用户的操作情况,当用户一定时间内没有操作时,系统自动断开VPN的连接,而用户下一次连接时需要重新认证。
3.1.3 应用层网关技术
应用层网关担任VPN内部网络设备与VPN网外的主机的连结中继者,在SSL VPN服务器上使用应用层过滤技术能有效地防止计算机病毒和黑客通过VPN的隧道感染和攻击VPN内部网络,相当于多了一道有效的防火墙,通过对所有应用请求的审核,将非法的应用请求过滤掉,这样即使应用系统有一些未知的漏洞也不影响安全性能,可以有效防止大部分病毒传播。
3.1.4 加密内部网络信息。
我们通过扫描能很方便地获知网络内的主机名、IP地址等信息,这容易被攻击者利用,因此SSL VPN应对网内的主机名、服务器IP地址等内部网络信息进行加密,尽量减少攻击者获取信息量,让其无从下手。
3.2 服务器端问题解决方案
服务器端的问题主要有下面的几种解决方法:
(1)为了抵制黑客对服务器端应用层漏洞的攻击,利用基于应用层封包过滤技术,只允许已知的合法应用层数据包通过SSL VPN服务器也能有效防止黑客利用非法请求攻击内部服务器。
(2)使用更强的认证机制。取消传统的静态用户名和口令的身份认证机制,最好是使用强的双因素认证机制和一次性口令鉴别机制。最好能够具备LDAP和短信息认证等多种认证功能。同时,还要强制要求用户一段时间后就要修改数字身份证书的密码,防止身份认证设备被人“借用”。
4 结束语
VPN作为一种安全技术和比较有效的网络安全解决途径,由于受各种不确定因素以及人为原因的影响,仍然存在着安全隐患,作为一种应用范围较广泛的安全应用解决方案,这些安全问题不容忽视。
参考文献
[1]马军锋.SSL VPN技术原理及其应用[J].电信网技术,2005,8(08):6-7.
vpn技术论文篇(3)
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 08-0000-02
一、引言
随着信息化技术的飞速发展,互联网尤其是大学校园网络的应用已经渗透在我们生活的每个角落里。校园网的服务质量尤其安全状况方面的好坏将直接影响学校正常的教学活动。但是近年来大学高校不断扩招,高校合并、分校区设立、新校区建设等情况在高校中比比皆是。现有的公共互联网不但带宽无法保障,学校信息资源的安全也受到了极大的威胁,因此如何保障各个校区安全、高效的共享校园资源,已成为校园网络亟待解决的问题。VPN技术的出现,大大改善了校园网这一尴尬的局面,VPN技术是通过改造现有互联网,实现了不同校区既安全又高效的共享信息资源[1]。
二、VPN技术
VPN(Virtual Private Network)即虚拟专用网,是在公共互联网中为客户搭建专有网络的一种技术[2]。相对于物理存在的专有网络而言,它是在公共Internet中,通过对网络数据进行加密传输,实现了逻辑上存在的一个私有网络。
(一)VPN接入技术的分类
目前VPN安全接入组网技术主要分为以下三种,即L2TR/PPTP VPN、IPSec VPN、SSL VPN[3]。这三种接入方式所处的网络协议层次不同,所注重的侧重点不同。在实际运用中,需要根据自己的应用环境来选择不同的接入技术,以此达到事半功倍的效果。
1.L2TR/PPTP VPN
L2TR/PPTP VPN属于二层VPN技术。用户一般不需要自己安装该客户端软件,因为目前L2TR/PPTP VPN客户端软件一般都已经建成在主流的windows操作系统中了,大大方便了用户的使用。但是该软件的加密和认证手段都相对简单,面对安全性要求较高的应用环境,其安全系数低的缺陷就凸显了出来,因此它仅适用于安全性要求一般的应用环境。
2.IPSec VPN
IPSec VPN属于三次VPN技术,对于应用层来说是透明的。当接收到数据包后,IPSec VPN通过查询SPD即安全策略数据库来决定对数据包的处理。根据查询结果,不仅可以对数据包丢弃或者转发,还可以对数据包进行IPSec处理,数据包的IPSec处理大大增加了网络数据的安全性。同时其安全性的提升,是以增加网络协议复杂度为代价,用户的计算机上需要安装单独的IPSec VPN软件,这将对客户端造成一定的不便。
3.SSL VPN
SSL VPN属于协议的最上层即应用层VPN技术,SSL VPN技术的安全性主要是通过SSL协议来保证的。现有的浏览器都已经支持SSL协议,用户只需要安装浏览器就可以实现SSL VPN的应用,其部署简单、高效。但是在日常生活中,浏览器并不能支持所有的应用,因此在非WEB应用情况下,用户同样需要安装专门的客户端软件。
(二)VPN的关键技术
VPN是近年来在网络安全方面发展较快的一项高效应用技术,它拥有横跨加密技术、数学理论、互联网技术等多学科领域的特点,其中最核心的关键技术包括:隧道技术、加密技术、认证技术[4]。
1.隧道技术
隧道技术是VPN功能实现中最基本的技术。它是将待传输的数据信息加密、封装后嵌入在公共互联网协议中,以实现信息数据的有效传输的一种技术。隧道技术可以将加密、封装后的信息嵌入在开放性的通行系统互连参考模型的任何一层协议中,例如:应用层VPN协议即SSL VPN、网络层VPN协议即IPSec VPN、数据链路层VPN协议即L2TR/PPTP VPN。
2.加密技术
VPN是在公共互联网上建立私有网络,在公共网络中不法分子可以通过一定技术得到这些信息,为了防止信息数据被不法分子获取或者篡改,对原始信息进行加密处理显得尤为重要。信息加密技术随着互联网的发展已经非常的成熟,可以借鉴现有成熟的加密技术即可。在VPN解决方案中比较普遍使用的加密算法有DES、3DES、RSA、Diffe-Hell-man等算法。
3.认证技术
VPN作为一个单位内的私有专用网络,在信息传输过程中,不仅要对信息的安全性、完整性认证,更需要对网络上的用户和设备进行认证。目前对使用者的身份认证方法非常多,仅仅使用用户ID、密码的验证方式还远远不能提供足够的安全保障,还可以综合利用数字认证、数字签名、动态口令等方法进行安全认证。
(三)VPN的优点
VPN作为一种虚拟专用网络,与传统的物理专用网络相比,有以下几方面的优点:
1.成本低
传统的物理专用网络需要点对点的部署专用物理线路,如需要铺设光纤、中转器等网络设备,但是VPN技术是在现实互联网的基础上,通过建立安全隧道,完成信息专线传输的。在信息传输过程中,不需要特殊的点对点物理网络,仅公共网络即可实现,大大减少了运行成本;
2.可扩展性强
如果学校有了新的分校或需要与其他高校实现信息资源共享时,在校园网中必然需要增加新的网络节点,相对于传统专用网络,VPN只需要简单的设置、部署即可完成扩展工作,其扩展性是传统专用网络所不具备的。
3.安全性强
VPN在发送端利用隧道技术对原始数据进行加密、封装;在传输过程中对数据采用加解密技术处理;在接收端对用户身份进行认证处理。信息数据在通过以上几个环节的处理,不仅实现了信息的专用传输,而且加强了信息数据传输的安全性。
三、VPN在分布式校园网络中应用
近年来,大学高校在不断扩招、快速发展的背景下,已经形成了一所高校、多个分校区、地域分散的特点。在多个校区里,无论是信息资源共享还是管理方面都必须满足统一性、高效性的要求。为了实现这一要求,必然导致跨地域分布校园网络的信息交换呈现以下几个特点:
(1)信息交换量大,不同地域的校园网需要实现共享信息资源、统一管理平台等要求,相对于互联网而言,校园网内信息的交换量十分庞大;
(2)信息交换频率高,例如在校园内需要对校园某一活动进行投票,则在该时段内,信息交换的频率必然非常高;
(3)信息安全性强,在校园内经常会传输一些性较强的信息,例如校园财务管理、图书馆数据库信息、校园学生基本信息等方面,都需要保证其安全性;
可见,校园网必须满足网络架构分布式、信息传输高效性以及数据的安全性;然而一方面学校经费有限,另一方面各个校区地域分布较远,甚至很多分校都不在同一个城市,如果按照传统的方法来搭建专用网络,学校需要铺设专用的光纤线路和其他设备,显然在运行成本和效率方面都不理想。本文通过分析VPN技术的特点及其优点,并结合现高校校园网络实际存在的问题,笔者认为,VPN技术不仅可以高效的解决以上问题,同时还可以提供以下几方面的应用:
(一)校区互联
针对高校存在的一所高校、多个分校区、地域分散的特点,可以将每所分校的子网络通过VPN技术专线连接在一起,实现各个校区资源共享、管理统一,不仅大大提高了工作、学习、管理效率,而且不需要铺设专门的网络线路,大大减少了运行管理成本。
(二)移动办公
在高校学术交流越来越频繁的背景下,学生、老师外出交流、学习的机会将越来越多,VPN技术可以保证外出校内人员,可以在其他地域共享校内丰富的信息资源。从而实现传统物理专用网络所不能提供的功能,提高他们的工作、学习效率。
(三)校际交流
在高校经费有限的背景下,要获取更多的信息资源,多个高校实现信息资源共享,无疑是最经济、最有效的办法。但是对处于不同城市的高校来说,铺设专用的网络线路对高校来说,显然是不可能的。然而VPN技术仅需要简单的部署即可完成上述效果,既经济又高效。
四、结论
针对高校多分校区、地域分散的特点,笔者通过VPN接入技术的分类、关键技术及其优点等方面详细论述了VPN技术,并总结了分布式校园网络中,信息交换所呈现的一些特点,最后提出利用VPN技术,实现安全、高效的数据传输,并将其运用在高校内部网络的各种方面。
参考文献:
[1]郭小辉.高校多校区教学资源的整合与利用初探[J].重庆科技学院学报;社会科学版,2009,5:197-198
vpn技术论文篇(4)
一、引言
随着科学技术的飞速发展,国内外各高校图书馆之间的交流合作不断深化、师生员工对于知识的需求多元化,迫使各高校图书馆集中科研力量开发新型借阅系统、利用新兴网络技术建设一个既能满足当前应用又能满足长远发展需求的数字图书馆网络平台。但是在建设数字图书馆的过程中很多高校遇到了一些问题:电子书商基于对产品版权的保护,在电子资源中设置数字版权(DRM),限制了访问的IP地址范围,这与师生员工利用公共网络帐号(网络运营商提供的动态分配IP地址的上网帐号)访问校园内网(专用网络)的电子资源的权限冲突,导致师生员工无法检索需要的信息资料,直接造成许多图书馆电子资源的闲置和浪费,使得投入和产出不成正比,影响了数字图书馆的合理化建设。面对这种情况,VPN技术为我们提供了一套可管理、可认证、安全的远程访问电子资源的解决方案。
二、VPN技术简介
1.VPN简述
VPN(Virtual Private Network)可译为“虚拟专用网”。它并不是一个新名词,因为在电信服务的电话网络中早就提出了VPN的概念。VPN不是真的专用网络,但是却能实现专用网络的功能。因特网工程技术委员会(IETF)对的VPN的解释是:通过公共网络建立一个临时的、安全的、私有的点对点连接,通过对网络数据的封包和加密传输,从而实现在公网上传输私密数据,并达到私有专用网络的安全级别。VPN网络的认证机制很好的保护了用户收发数据的完整性、准确性,避免收发的数据不相符;而且VPN技术本身对网络流量能进行预测和控制,实现网络带宽的优化管理,从而避免在互联网使用高峰期造成网络堵塞,提高了数据传输的质量;另外,单位、企业很在意的经济投入也是非常的合理、节约,只要一次性购买VPN设备(包括服务器、路由器等),而不再需要增购其它的存储设备,进行重复性建设,并且VPN网络更不用考虑线路带宽的利用率和费用的问题。一旦组建好VPN网络之后只须安排一个专业技术员对其进行日常的管理维护(主要是安全管理、设备正常运行监控、配置管理、访问控制列表管理等)即可。此外,现有公共网络提供多种接入方式,如:PSTN拨号、ADSL、CableModem、小区宽带等,VPN网络也可以根据各种接入方式的信息量、实时性及通信条件等情况,分别选择不同的速率与之链接;同时,VPN网络能够支持任何类型的数据流,支持多种类型的传输媒介,满足同步传输语音、图像的需求,方便增加新的节点,增加访问用户的数量,具有很高的可扩充性能。
2.VPN关键技术
那么,VPN是采用什么技术和协议来很好的发挥它的特点的?首先我们需要了解国际标准组织制定的OSI网络模型,它把传统Internet网络分为7层:物理层、数据链路层、网络网际协议层、数据信息传送层、对话层、表示层和应用层;最底层是物理层,而最高层是应用层,VPN技术利用这个OSI模型为基础,开发出目前主流的三类Internet VPN远程安全接入技术(基于网络协议第三层的安全链接技术IPSecVPN、基于多协议的标记交换技术MPLS VPN、基于网络协议第七层的安全链接技术SSL VPN)。这些VPN技术具有类似的功能,但也存在着不同特性和各自擅长的应用取向。无论采用什么技术标准的VPN网络运用下面四种核心手段保证通信安全。
1)隧道技术(Tunneling)
隧道技术是VPN网络的基本技术,并依靠多种隧道协议来完成,例如:PPTP(点对点
隧道协议)、PPP(点对点通信协议)、L2F(数据链路层转发协议)、L2TP(数据链路层隧道协议)等。目前比较流行的隧道协议是IPSec(网络协议安全标准)与SSL(安全认证应用层标准)协议的结合,使用此协议可以很容易地建立IP层(网络协议第三层)用户的要求,也可以实现需要C/S(客户机/服务器)架构或者B/S(浏览器/服务器)架构的数据管理信息系统的要求。
2)加密&解密技术(Encryption&Decryption)
加密&解密技术是网络实时数据通信中一项比较成熟的技术,VPN可以直接利用此项技术。现行VPN使用的加密&解密技术主要有两种:对称加密(单钥加密)算法和不对称加密(公钥加密)算法。其中不对称加密算法生成的密钥用户管理方便,占用存储空间小,所以此算法是目前VPN网络中使用最为广泛的算法。
3)密钥管理&交换技术(KeyManagement)
密钥管理&交换技术是保护在公共网络上传输的私有数据流可以安全地传递密钥、识别密钥从而进行数据交换。为了使数据可以安全、准确、及时地传递,国际标准组织制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密钥管理&交换协议,进而形成了现行的密钥管理&交换机制,主要有三种:KMI机制(基于传统网络)、PKI机制(基于开放网络)和SPK机制(基于大规模专用网络),最为广泛使用的是KMI机制。
4)使用者身份认证技术(Authentication)
使用者身份认证技术最常用的是用户名、口令或智能卡认证(特殊的U盘)等方式。在实际应用中,移动用户使用智能卡方式,此卡内存贮有用户登录VPN网络所要求的各项相关数据信息;远程非移动用户采用用户名与口令方式来登录,例如ADSL连接方式则在拨号时实现,如果是专线用户则在路由器中实现,此用户名与口令一般不需要登录用户来干预,所以用户访问VPN网络就如同在局域网内一样方便。
如今,VPN技术突飞猛进,又出现许多新技术元素,所以VPN技术的发展前景很广阔。而解决数字图书馆建设中的一些疑难问题就目前看来采用VPN技术是一种很高效的解决办法。
三、数字图书馆建设中几种常见(VPN)模式
在各个高校数字图书馆建设过程中,根据师生用户群的使用特点以及应用环境的不同,VPN大致可采用三种不同的解决方案:远程访问虚拟网(AccessVPN)、校园内部虚拟网(IntranetVPN)和校园扩展虚拟网(ExtranetVPN)。
1.远程访问虚拟网(AccessVPN):如果图书馆员或者师生用户需要移动或者远程访问图书馆或者图书馆开展远程教育,就可以考虑使用AccessVPN。AccessVPN通过使用与专用网络相同策略的共享基础设施(公共骨干网),提供图书馆内网和公共网络之间的安全连接。AccessVPN能使图书馆所有用户随时、随地以其所需的方式办理图书馆各种业务。
2.图书馆内部虚拟网(IntranetVPN):近年来随着高校规模的不断扩大,办学方式的不断丰富,各大高校都呈现多校区办学模式,图书馆也不例外,许多高校图书馆组建分支机构,这样就可以考虑使用IntranetVPN。IntranetVPN通过公用网服务商提供的QoS机制(能自动识别数据包并转发到对应的地址去),使图书馆与各个校区分支机构的路由器之间建立VPN安全隧道,保证图书馆各个分支机构能实时、准确的与主机构之间交换数据。论文参考网。
3.图书馆扩展虚拟网(ExtranetVPN):其实这种应用模式只是图书馆内部虚拟网的扩展,这种模式为图书馆和电子资源供应商的网站平台之间提供了一种安全的连接通道,例如电子书商提供图书馆内网远程镜像访问企业主站的安全访问模式和各高校图书馆之间的合作,就可以考虑使用ExtranetVPN。论文参考网。ExtranetVPN更多的是考虑协调和安全问题。
以上提供的几种图书馆VPN解决方案常常通过软、硬件以及辅助设备把他们结合起来使用,这样就大大丰富了VPN技术在图书馆数字化建设中的作用。
四、VPN在安徽农业大学图书馆中的应用
安徽农业大学是安徽省一所省属重点综合性大学,安徽农业大学的数字图书馆建设也采用VPN技术来实现校外公网访问校内资源,实现学校的公共资源的充分利用。
现阶段,安徽农业大学图书馆还没有分馆,所以VPN技术主要应用于校外师生用户通过公共网络访问图书馆电子资源。学校采用一家很有实力的网络技术公司的M5600 SSL VPN路由器构建VPN网络,这种VPN路由器主要采用使用者用户名认证技术保证校外师生用户通过公共网络正确访问图书馆电子资源。论文参考网。根据目前的需求可以看出,现阶段的用户群还是比较集中和狭窄的,这也是为了保护学校资源和电子书商的版权。但是,为了能在不远的将来使图书馆资源利用率达到最优化,学校购买的VPN路由器是智能化和可升级的,这样就足以保证数字图书馆建设的可持续发展。
总之,VPN的应用前景是很广阔的,不仅仅是解决公共网络访问内网资源的问题;可以预见,数据共享是未来图书馆的发展趋势。各高校图书馆都会建设专有VPN网络,从而使信息资源全球化、集成化、多元化。
[参考文献]
1.李红艳. VPN技术在高校图书馆网络系统设计中的应用[J]. 中国期刊网CNKI数字图书馆,科技情报开发与经济,第16卷第21期,2006年.
2.唐淑娟,秦一方,井向阳. VPN技术与图书馆资源远程利用[J]. 中国期刊网CNKI数字图书馆,情报探索,第1期,2007年1月.
vpn技术论文篇(5)
中图分类号:TP393.1 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-02
一、引言
当前,信息化发展程度不断深化,现有的因特网服务的无所不在以及专线无法比拟的低价位等方面的优势,使得有很多企业开始运用VPN技术在因特网上构建自己的私有企业网络或是网站。所谓VPN技术,中文全称为“虚拟专用网络”,Virtue Private Network,它主要是指在两台计算之间所构建成的一条专用连接,最终达到在共享网络或者公共网络上对私有数据进行快捷化的传输的目标,也可以将其认为VPN计算为一种“化公有为私有”的先进性的信息技术。这种虚拟技术对于网络的安全性的提高具有十分重要的促进作用。利用因特网的资源来构建虚拟专用网络已经成为了一种全新的选择,它开业对企业内部网络进行很好地扩展,可以帮助远程用户、移动用户以及公司分支机构之间建立一种安全、可靠、可信的网络安全连接,而且还可以确保数据的安全可靠传输,提高数据的安全性以及保密性。基于以上关于VPN技术的种种优点,该技术得到了较为广泛地应用。本文就是攫取了VPN技术为主要研究对象,对其具体概念、工作原理、特征以及关键技术等方面进行了阐述,然后论述了VPN计算的实际应用。
二、VPN概念
VPN(虚拟专用网络)技术是将公用网络作为信息传输的媒体,在进行加密、封装、认证和密阴交换技术后在公用网络上创建了一条专用的网络通道,这样一来,合法的用户就能够对网络内部具有的数据进行访问。其能够代替专线,很好的将单位移动员工以及远程的分支机构与单位内部的网络相连接,VPN对所有用户端都是公开的,用户实际使用过程中如同采用一条专用线路进行信息交流与传递。要想确保VPN有效的连接,首先,单位内部网络就必须具备关于VPN方面的服务,同时,VPN还要与单位内部网络以及因特网进行连接。当连接服务器的计算机利用VPN连接和单位内部网络的服务器进行信息交流与传递时,先由互联网服务(ISP)将全部数据输送到VPN中,然后由VPN服务将全部数据输送到单位内部网络的目标服务器中。另外,VPN的工作原理是将需要进行机密数据传输的两个端点同时与公用网络进行连接,如果机密数据需要进行传输时,就可以利用端点上的VPN设备在公用网络上创建一条专用的网络通道,而且还要将全部数据进行加密再在网络上进行传输,从而确保机密数据的传输是安全的。
三、VPN特征
(一)VPN的优势
首先,其成本较低;和专用网络相比较,通过互联网服务(ISP)构建起的VPN能够大大降低信息交流与传递过程中所使用的费用,并且,也使得单位减少了人力与物力的投入量;其次,将网络设计进一步简化;凡是通过ISP的,单位只需要简单的安装、配置与管理远程链路;另外,实现了网络安全目标;数据传输前的用户认证与VPN传输过程中的安全以及加密协议使得网络的安全性进一步提高。第四,容易扩展;要想将VPN的容量与覆盖范围进一步扩大,单位只需要与ISP签订一份新的合约即可。第五,其可以随时的与合作伙伴进行联网。第六,掌握了主动权。
(二)VPN的劣势
首先,虽然VPN设备供应商能够为外联网服务或者远程办公室的专线提供诸多有效的方式,但是VPN服务提供商只对数据在其的管辖范围内的性能予以保证,如果超出了其的管辖范围,那么,就无法对数据的安全性进行保证。其次,各个厂商的VPN在管理与配置管理上具有较大的难度,因此,就必须对各种厂商的实际执行方式与术语进行全面的了解。
四、VPN的关键技术
(一)安全隧道技术
其主要是通过将即将传输的原始信息进行加密与协议封装处理后,然后嵌套将其放置到另外一种协议的数据包,最后输送到网络中,传输过程与普通数据包相同。这样的一种处理方法,只有宿端与源端这两种用户才能将隧道中具有的嵌套信息进行充分的解释与有效的处理,对于其他用户来说,这些信息毫无意义。其以加密与信息结构变换相结合的方式为主,并不只是一种单纯的加密技术。
(二)用户认证技术
在正式隧道进行连接前,应对用户的身份进一步确认,以确保系统将其自身具有的资源访问控制或者用户授权全面发挥。用户认证技术已趋于成熟,所以,应对现有技术的集成进行充分的考虑。
(三)访问控制技术
提供VPN服务的相关者和提供最终网络信息资源的相关者应共同协商明确特定用户对特定资源所拥有的访问权限,从而对用户的细粒度访问进行有效的控制,这在一定程度上对信息资源进行了良好的保护。
(四)密阴管理技术
这一技术的主要任务就是怎样才能在公用网络上有效的、安全的将密阴进行传递而不会被盗取。当前的密阴管理技术有两种类型,一个是因特网简单密阴交换协议(SKIP),一个是安全关联和密钥管理协议(ISAKMP)。前者主要是通过Diffie-Hellman的验算法则,在网络上将密阴进行传输;后者双方分别有两把密阴,主要分为公用与私用。
vpn技术论文篇(6)
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)27-0012-02
随着计算机网络的快速发展,使得计算机网络逐渐进入人们的实际工作中,并有效提高工作效率与工作质量,强化了计算机技术水平和技术含量。就现有计算机网络来看,各项计算机技术的运用都存在极强的针对性,在各自的领域中发挥着巨大的作用,促进了行业发展的现代化和技术化。 VPN技术是计算机网络技术发展后的成果,主要依托于ISP技术与NSP技术,通过虚拟专用网络建立通信专门线路,实现信息数据的及时交换和共享。因此,VPN技术可以有效提高数据信息的准确性和安全性,保证计算机网络系统的高效运行。
1 VPN技术综合概述分析
1.1 VPN技术运行原理
就目前而言,VPN技术在实际运行中,主要利用双网卡结构,外网卡通过公网IP连接Internet。若公网终端A访问公司内网终端B,其访问数据地址为公司内网终端B的IP地址。公网VPN网关接收终端A访问数据包后,会对终端A的目标地址进行程序检查,若目标地址为公司内网地址,公网VPN网关会对该数据包采取封装处理,封装的方式由VPN技术而决定。同时,VPN网关也会建立新VPN网关数据包,封装后的数据包直接转化成新VPN数据包的载荷,VPN数据包的目标地址就是公司内网VPN网关外部地址。因此,在VPN网关进行数据处理的过程中,原始数据包目标地址与远程VPN网关地址起着至关重要的作用,在VPN地址的基础上,VPN网关可以明确需要进行VPN处理的信息数据,识别不需要VPN处理的数据包,并将其直接上传到上级路由中。远程VPN网关地址主要是对特定VPN数据包地址进行统一处理,也就是VPN隧道的另一端VPN网关地址。由于网络通讯是双向的,在进行VPN通讯时,隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。
1.2 VPN技术通信过程分析
在VPN技术的实际使用中,首先,网络用户要利用个人终端向区域内的 VPN 技术服务器进行访问请求的发送,建立传输通道。VPN 服务器会及时接受个人终端发来的访问请求,并对个人终端的身份进行有效验证。其次,若个人终端身份通过访问认证,访问权限被允许,可以进行网页的访问;若个人终端身份没有通过访问认证,则访问受限制,要进行重新访问。在访问允许后,计算机网会形成VPN虚拟化技术,使得网络线路更具安全性和针对性。最后,用户终端和网络服务器建立有效的访问联系后,所有的传输数据在实际使用和运行过程中会进行加密与封装处理,通过 VPN 网关技术隧道,将数据从发送端传输到VPN接收端。
1.3 VPN技术的优势
VPN技术在实际应用中具有很大的优势,主要表现在以下几方面,第一,VPN技术易操作,使用流程相对简单,并具有很高的经济性,运行成本相比于传统租用DDN方式来说较低,后期维护费用也相对较低,这也是VPN技术被广泛使用的重要原因之一。第二,VPN技术具有极强的高效性与便利性,在实际使用的过程中,通过专用网络的连接,根据复杂性的网络结构与传输访问地址,构建多样性与丰富性的通信线路,进而实现信息数据的快速传输。第三,VPN技术可以有效保证传输数据信息的真实性与可靠性,并在实际传输中通过高强度的认证系统和加密系统,保证了数据信息的安全性,防止出现信息数据泄漏等安全问题,为网络用户的隐私提供了重要的安全保障。
2 计算机网络中VPN技术分析
2.1 MPLS VPN技术
MPLS VPN主要是建立在MPLS技术基础之上的IP VPN,主要是在网络路由或者是交换器设备上通过MPLS多协议标记交换技术来优化核心路由器的选择方式,充分结合传统路由交换技术实现IP专用网络的虚拟化。MPLS VPN技术的最大特点在于在实际应用过程中,可以将网关二层交换与三层路由技术充分的结合在一起,进而共同作用实现VPN和服务分类以及流量工程等方面的管理。从另一方面上看,MPLS VPN 技术可以在数据访问与传输中,迅速建立 IP 虚拟专用网络,加快网页访问以及数据传输的速度与效率,简化路由器的选择方式,避免虚拟专用网络运行中的冲突,用户提供更好的网络服务。
2.2 IPSEC VPN 技术
IPSEC VPN 技术主要是建立在IPSEC协议基础上的VPN技术,IPSEC协议是一种由IETF设计、确保基于IP通讯数据安全性的机制,可以为VPN通信传输提供隧道安全保证。在IPSEC VPN 技术的实际应用中,通过VPN网关的远程连接,将多个局域网进行有效的组建与分析,进而构建一个新的虚拟局域网络。同时,通过IPSEC VPN 技术构建的虚拟局域网具有极强的稳定性和有效性。IPSEC VPN技术的实现原理与计算机过滤防火墙相似,在实际操作中,网络服务器接收数据包后,会按照安全策略在数据库中进行数据包的查询处理,将查询处理结果列为操作依据。在局域网特定范围内,IPSEC VPN 技术的数据传输和处理能力,具有加密机制,进而强化认证手段。针对外部站点,在进行虚拟局域网访问中,会进行信息过滤,全方位确认数据的质量。因此,PSEC VPN技术的广泛使用,无论是在经济效益还是在社会效益方面,都具有很大优势,获得广大用户的高度重视。
2.3 SSL VPN技术
SSL VPN技术主要依托于HTTPS,应用在传输层与应用层间的数据传输、交换以及共享。SSL VPN通过SSL协议设置生局域网访问权限,建立身份认证和数据加密以及消息完整性验证等安全访问机制,在应用层于传输层间建立一条安全的通信渠道。在实际应用过程中,SSL VPN技术存在Web 浏览器、SSL VPN 客户端和 LAN 到 LAN 等工作模式,在Web 浏览器工作模式中,用户可以通过SSL 协议构建虚拟专用网络,对公司内部网关进行远程访问,可以完全忽略网络配置对远程访问的影响,进而有效减少VPN 系统运行时间和工作量,提高VPN管理效率。在SSL VPN 客户端工作模式中,可以利用 SSL 协议客户端实现远程应用服务器的访问,在此过程中客户端和服务器中的加密数据主要靠隧道数据进行传输,进而提高数据传输的稳定性与安全性。LAN 到 LAN 工作模式主要适用于不同局域网络的数据传输,实现各个局域网之间的通信传输,并设置加密处理,提高数据包的可靠性。目前,SSL VPN广泛应用在基于Web远程接入领域中,为用户远程访问公司内部网络提供了安全保证。
3 计算机网络中VPN技术的实际应用
3.1 在公司内部网络中的应用
VPN技术在公司内部网络中的应用主要体现在地址管理中,为用户提供安全性高的网络地址。例如,某集团有大约30个分公司,分布在全国各地,为了便于各个分公司与总公司交流沟通,保证工作效率和工作质量,集团企业可以通过VPN技术进行计算机网络沟通。首先,集团企业要和旗下分公司建立VPN网络联系,利用加密处理的VPN共网实现集团企业服务器与子公司服务器的访问。在服务器系统中设置视频会议、邮件以及办公自动化系统,实现网络联系的多元化,满足实际的工作需求。
在VPN技术实际运行的过程中,集团企业可以根据子公司网络用户的属性以及运营规模将其分为以下几个方面。第一,移动用户。规模较小分公司或者是利用网络连接集团企业单机,在进行VPN技术使用中要设置Client软件,将用户所在局域网络与VPN虚拟技术联系在一起,依托SplitTunneling安全机制有效保障核心网关的使用安全。另一方面看,这种传输方式可以让远程办公室网关将VPN作为传输载体进行集团企业内网的访问。第二,子公司用户所在局域网不具备地址转换器以及防火墙功能,并占用集团企业共网地址。对于这样的子公司,集团企业要在子公司的以太网中设置网关交换器与路由器进行与子公司网络的连接。第三,对于需要安装防火墙的子公司,一方面,集团企业可以利用VPN技术进一步完善企业网络设计,减少不必要的安装程序,建立VPN网络通信系统,使子公司的公司活动与销售情况始终处于集团企业网络监控中,降低通信成本。另一方面,为了保证网络通信的安全性,集团企业可以通过VPN技术提高网络通信的安全性,在企业内部网关中设置VPN机密机制,保证内外网的安全性。同时,还要进行VPN软件的扩展,为子公司的增加做好充分的准备。
综上所述,集团企业通过VPN技术与子公司进行沟通的过程中,形成VPN通信网络通道,不仅节省了大量的通信费用,其建设投资与后期维护费用也相对较低。在远程访问中要做好安全防护措施,安装安全认证机制,强化生产管理监督、视频会议以及异地协同办公等具体功能,促进集团企业管理的现代化和信息化以及系统化,满足集团企业的发展需求。
3.2 在图书馆管理中的应用
目前,VPN技术已经广泛地应用在高校图书馆计算机网络管理系统中,有效提高高校图书馆管理效率和管理质量,实现现代化管理模式。随着学校规模的扩大,增加了分校的数量,学校可以引入VPN技术实现各个学校之间的联系与沟通,各个学校图书馆局域网可以互相访问,节省了大量的访问时间,实现各个分校图书馆资源的共享,进而提高了高校图书馆管理效率。在实际的使用过程中,图书馆VPN服务器不仅要连接互联网,还要连接到高校内部VPN专网,通过公共目标地址,在分校与总校进行网络通信过程中,要将相关数据信息上传到本地计算机中,并通过身份认证和数据加密以及隧道协议等VPN技术安全机制提高信息传输的有效性和安全性。在计算机发出指令后,VPN服务器要对计算机指令进行分析与判断,过滤信息数据,验证用户身份,若安全,访问用户才会有局域网访问权限,服务器认可网络连接,反之则阻止用户访问。在实际身份验证中,VPN服务器会通过公钥进行访问信息的加密,路由将数据信息传送到目标地址。
3.3 VPN 技术在计算机教学资源网中的应用
VPN技术应用在计算机教学资源网中,可以丰富教学资源,利用校园内外网关的连接访问,使得教育信息网络连接公网internet ,在此过程中,校园外网很容易受到其他网络攻击,传统网络无法进行教育资源的加密,在用户身份安全和教学资源安全方面都存在较大的漏洞,不利于计算机教学资源网的应用与发展。针对以上安全问题,VPN技术的实际应用很好地解决了信息传输以及用户身份的安全问题,有效提高网络使用的安全性和有效性。在VPN技术中,SSL是一个相对于平台与应用的独立协议,主要应用在安全层中,利用 TCP技术保障访问用户的个人信息。因此,在构建校园计算机教学资源网中,要重视VPN网络工程设计,特别是用户身份认证以及访问权限,利用SSL VPN 技术构建VPN公网,加强数字证书技术的用户身份认证控制,通过USB-key 实现教学资源的安全操作,进而对校园计算机教学资源网进行不断的优化和完善,满足学校的教学需求。
4 结束语
综上所述,VPN技术日益发展成熟,在进行数据传输和共享中可以有效提高网络环境的稳定性和安全性,为数据信息的真实与完整提供了重要的安全保障,实现现代化与信息化管理水平。
参考文献:
[1] 李春泉, 周德俭, 吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报, 2004(3).
[2] 李亚利. 关于计算机网络中常用VPN技术的分析[J]. 信息与电脑(理论版), 2014(10).
[3] 许伟, 娄松涛. VPN 技术在计算机网络中的应用研究[J]. 电子技术与软件工程, 2014(4).
[4] 刘晋州. 基于VPN的计算机虚拟网络技术及应用[J]. 电脑知识与技术, 2016(7).
vpn技术论文篇(7)
引言
虚拟专用网即VPN(Virtual Private Network)是利用接入服务器(Access Sever)、广域网上的路由器以及VPN专用设备在公用的WAN上实现虚拟专用网技术。通常利internet上开展的VPN服务被称为IPVPN。
利用共用的WAN网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,VPN采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
Internet中的隧道是逻辑上的概念。假设总部的LAN上和分公司的LAN上分别连有内部的IP地址为A和B的微机。总部和分公司到ISP的接入点上的配置了VPN设备。它们的全局IP地址是C和D。假定从微机B向微机A发送数据。在分公司的LAN上的IP分组的IP地址是以内部IP地址表示的"目的地址A""源地址B"。因此分组到达分公司的VPN设备后,立即在它的前部加上与全局IP地址对应的"目的地址C"和"源地址D"。全局IP地址C和D是为了通过Internet中的若干路由器将IP分组从VPN设备从D发往VPN设备C而添加的。此IP分组到达总部的VPN设备C后,全局IP地址即被删除,恢复成IP分组发往地址A。由此可见,隧道技术就是VPN利用公用网进行信息传输的关键。为此,还必须在IP分组上添加新头标,这就是所谓IP的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术VPN网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用VPN技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器。将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP协议又称为点对点的隧道协议。PPTP协议允许对IP,IPX或NETBEUT数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互连网络传送。
⑶ 2TP(Layer 2 Tunneling Protocol)
该协议是远程访问型VPN今后的标准协议。
L2F、PPTP、L2TP共同特点是从远程客户直至内部网入口的VPN设备建立PPP连接,端口用户可以在客户侧管理PPP。它们除了能够利用内部IP地址的扩展功能外,还能在VPN上利用PPP支持的多协议通信功能,多链路功能及PPP的其他附加功能。因此在Internet上实现第二层连接的PPPSecsion的隧道协议被称作第二层隧道。对于不提供PPP功能的隧道协议都由标准的IP层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ TMP/BAYDVS
ATMP(Ascend Tumneling Management Protocol)和BaydVs(Bay Dial VPN Service)是基于ISP远程访问的VPN协议,它部分采用了移动IP的机制。ATMP以GRE实现封装化,将VPN的起点和终点配置ISP内。因此,用户可以不装与VPN想适配的软件。
⑸ PSEC
IPSEC规定了在IP网络环境中的安全框架。该规范规定了VPN能够利用认证头标(AH:Authmentication Header)和封装化安全净荷(ESP:Encapsnlating Security Paylamd)。
转贴于
IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中,通过企业IP网络或公共IP互联网络如INTERNET发送。
从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,DSI七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层VPN "与"三层VPN"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的SSLVPN技术[2]、基于端口转发的HTTPTunnel[1]技术等等。如果继续使用这样的分类,将出现"四层VPN"、"五层VPN",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
2.2 改进后的几种隧道机制的分类
⑴ J.Heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的VPN,使用路由方式的VPN,使用专线方式的VPN和使用局域网仿真方式的VPLS。
例如同样是以太网的技术,根据实际情况的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多种VPN组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对VPN技术选型造成误导。
⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的VPN分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如L2TP就是典型的封装型隧道。
隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如LSVPN。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
3. 诸种安全与加密技术
IPVPN技术,由于利用了Internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于Internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在IPVPN的网点A和网点B之间安全通信受到威胁。因此,利用IPVPN通信时,应比专线更加注意Internet接入点的安全。为此,IPVPN采用了以下诸种安全与加密技术。[2]
⑴ 防火墙技术
防火墙技术,主要用于抵御来自黑客的攻击。
⑵ 加密及防止数据被篡改技术
加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的VPN虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
vpn技术论文篇(8)
1 发展校园网的重要性
近几年国家对教育工作日益重视,独立学院规模不断扩大。在发展过程中,各独立学院都十分重视与母体学校的资源整合。
独立学院与母体学校一般都建立了各自的校园网络,且均接入互联网,因为诸多条件的制约,至今多数独立学院与母体学校之间没有专线相互连接,造成了校园网应用水平极低的现象。各种应用系统,如教务管理系统、题库系统和电子图书管等教学资源无法实现共享,迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成:一是母体学校的教师;二是外聘教师;三是专职教师。母体学校的教师和外聘教师,这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系,提高教学、科研和办公效率显得尤为重要。
此外,传统的Internet接入和传输服务缺少安全机制,服务质量无法保证,难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以,建立安全可靠的独立学院与母体学校间校园网的连接,实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务,如登录校内OA系统、教务系统和电子图书馆系统等,是独立学院校园网建设的当务之急。
2 VPN工作原理及其主要优点
虚拟专用网VPN(Virtual Private Network)就是利用公网来构建专用的网络,它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接, 并提供同专用网络一样的安全和功能保障。
VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN 又具有专线的数据传输功能,因为VPN 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点:(1)成本低。VPN在设备的使用量上比专线式的架构节省,故能使校园网络的总成本降低。(2)网络架构弹性大。VPN的平台具备完整的扩展性,大至学校的主校区设备,小至各分校区,甚至个人拨号用户,均可被包含在整体的VPN架构中,以致他们可以在任何地方,通过Internet网络访问校园网内部资源。(3)良好的安全性。VPN架构中采用了多种安全机制,如信道、加密、认证、防火墙及黑客侦防系统等,确保资料在公众网络中传输时不至于被窃取.或是即使被窃取了,对方亦无法读取封包内所传送的资料。(4)管理方便。VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
3 独立学院校园网络建设中的VPN技术选择及对策
选择适当的VPN技术可以提供安全、高效、快捷的网络服务,能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。
3.1技术选择
VPN 可分为软件VPN和硬件VPN。软件VPN 具有成本低、实施方便等优势。若是采用Windows 2000操作系统,则该操作系统本身就集成了这项功能,只需进行相应的设置即可投入使用。而硬件VPN必须借助专用的设备才可以实现,两者之间存在比较大的差别。首先是硬件VPN能穿透NAT (Network Address Translation)防火墙,其次是硬件VPN 安全性远远好于软件VPN。软件VPN 的用户身份认证方式非常简单,只能通过用户名和密码方式进行识别。硬件VPN的加密算法通常都较为安全,硬件VPN 集成了企业级防火墙、上网控制和路由功能,一次性提供多种宽带安全的解决方案,可以轻松实现远程实施和维护,相比之下软件VPN 的后期维护显得较为复杂。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。每项技术都对应有一些成熟的方案,如VPN 隧道类型现就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等,加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等,在构建VPN连接时应根据实际情况进行选用。
3.2 技术对策
VPN产品的性价比不同,对VPN硬件设备的选型也应视需求而定。例如,在构建VPN连接时,如果校园网构架不复杂,通讯需求量不是很大,但要求安全可靠和管理方便,应选择集成VPN功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立VPN网络的需求,其次是增加的硬件防火墙能提高校园网络的安全防范等级。
3.3 VPN网络建设实现的目标
主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换,两者之问需要建立双向可寻址的VPN访问。远程客户端要通过浏览器访问主校区的Web服务器,还需建立远程客户端到主校区的单向VPN访问。
3.3.1 主校区和分校区的VPN连接
在各校区现有校园网的出口处分别安装一台VPN网关,每个校区通过该设备连接互联网。VPN网关在保持原来的上网功能不变的情况下,在不安全的互联网上建立起经过安全认证、数据加密的IP Sec VPN隧道,实现校区安全互连。
根据主校区和分校区的网络使用要求和经济性等多方面考虑,应选用硬件型的集成VPN功能的防火墙。此外,防火墙还应具备路由功能,支持NAT技术,在分校区相对较小、校园网络构架不复杂的情况下,使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉,是一个理想的选择。主校区选择一台防火墙作为VPN网关,设备应可以支持上千个并发TCP/IP会话和上百个VPN 隧道,可以充分保证主校区内所有计算机的安全、流畅的网络使用及VPN支持的需求。对于分校区的多台计算机上网及VPN需求,选择一台可支持几十个VPN隧道的防火墙作为VPN 网关即可。由于校区网络构架并不复杂,主、分校区网关均拥有静态公网IP地址,不会做经常性的变动,可采用“基于路由的LAN (局域网)到LAN的VPN” 手动密钥方式,创建IP Sec VPN隧道,来实现校区间安全连接。
3.3.2 远程用户到主校区的VPN连接
考虑到远程用户访问校园网络集中于主校区Web服务器,远程用户到主校区的VPN连接可以采用SSL VPN模式。SSL VPN采用高强度的加密技术和增强的访问控制,而且易于安装、配置和管理,避开了部署及管理必要客户软件的复杂性和人力需求。
3.3.3 做好防护,提高VPN的安全性
虽然VPN 为远程工作提供了极大的便利,但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件,而远程计算机就不一定拥有这些安全软件的防护。因此,必须有相应的解决方案堵住VPN的安全漏洞,比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查,对敏感文件进行加密保护等,这样才能防患于未然。
4、结束语
总之,在独立学院与母校之间通信要求越来越高,各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到VPN网关的连接解决了受地域等条件限制的远程办公问题,满足了经常在校外工作人员查阅、访问本院信息资源的需要;通过VPN连接两个局域网,实现高校各校区之间网络系统的逻辑连接,为各校区的资源共享提供方便、快捷的服务创造了良好条件。
参考文献:
vpn技术论文篇(9)
[中图分类号]F626.5 [文献标识码]A [文章编号]1009-5349(2012)02-0111-01
随着以Internet为标志的信息技术革命的飞速发展,网络正在迅速地渗入人们的生活中,依靠互联网络人们的生活越来越便捷,沟通越来越紧密。伴随着internet应用在商务活动中的不断深入,越来越多的企业希望其生意伙伴、供应商及附属企业等也能够访问本企业的局域网,从而使商务活动可以通过网络就能进行,大大节约了人力和物力,缩短了交易时间,减少了支出成本。但是这些企业间的商务活动是动态变化的,并需要依托于公用网络之上的,且由于公用网络是一个全球性的计算机通信网络,它具有资源共享和信息互通的特性,而一些用户间的互通和交流又是想要对其他用户进行保密的,于是网络的安全性逐渐成为一个潜在的巨大问题,这就需要有一种技术来解决这些问题,保证这些有保密需要的企业能顺利地进行信息交流,并保证企业信息的安全性。
基于各种需求,VPN技术应时而生。VPN(Virtual Private Network),即“虚拟专用网络”,简单地可以把它理解成是虚拟出来的企业内部专线。它在Internet上通过特殊的加密的通讯协议连接位于网络上不同地理位置的两个或多个企业内部网之间建立一条专有的通讯线路,VPN是指依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。
一、VPN原理
VPN即在公用数据网上建立一条数据通道,这条数据通道就是隧道,隧道技术是VPN得以实现的关键技术,数据包从这条隧道上通过,从而实现虚拟通信。VPN的原理就是两台计算机通过连接到internet建立一条临时的、安全的、专用的连接。这俩台计算机之间组成一个私有网络,它们之间的通信内容进行封装后经过这条专用的隧道进行传输,然后在接收方进行解封装,还原成发送方的通信内容。没有参与虚拟通信的设备共享不到进行虚拟通信的设备之间传输的数据,因为这些私有的网络和没参与虚拟通信的网络使用了不同的地址空间和协议,即私有网络和公用网络之间是不兼容的,VPN是一种逻辑意义上的网络。
二、VPN的安全保障
由于VPN越来越广泛的应用和其技术特点,数据的安全问题成为VPN技术的关键问题。为保证数据的安全性,目前VPN主要采用四项技术:1.隧道技术(Tunneling)。隧道技术对于VPN具有重要意义。隧道技术的技术关键是分组封装,它将私有网的数据进行封装并在隧道中进行传输,隧道技术在虚拟网接入公用网的接口处将数据打包封装成可以在公网上传输的数据格式,在虚拟网结点与公网的接口处将数据解封装,得到数据。隧道由一系列隧道协议组成,定义了较为完整的数据封装和安全协议及其算法。2.加解密技术(Encryption & Decryption)。发送的一方将数据进行特定加密后再发送数据,当数据到达接收的一方时由接收方对数据进行解密处理的全过程。3.密钥管理技术(Key Management)。为了满足在公用数据网上所传送的数据的安全性和完整性的需要,密钥管理技术是解决如何传递密钥而不被非法篡改和盗窃的技术。4.使用者与设备身份认证技术(Authentication)。最常用的是用户名、口令或智能卡认证等方式。
三、VPN特点
1.低廉的成本。由于VPN是利用现有的公共网络,不需要重新构建一个新的网络,只是在公共网络上建立一个虚拟的逻辑上的网络,因此VPN可以大大降低构建网络的成本。与专线式的架构方式相比较,VPN在设备的使用量及广域网络的频宽使用上,都很节省,企业也不必投入大量的人力物力安装维护设备。2.网络架构灵活。VPN与专线式的结构相比更加灵活,VPN的构架可以根据用户的需要进行修改,可以随意增加新的节点,具有良好的扩展性,无论是企业的专线用户,还是个人拨号用户都可以采用VPN的方式实现互联。3.良好的安全性。为了确保数据的安全性,VPN架构中采用了多种安全机制,如隧道技术、加解密技术、身份认证技术、防火墙等技术,通过这些网络安全技术,确保通过VPN上传送的数据不会被攻击者窥视和篡改,防止非法用户的访问。4.便于管理。VPN使用了较少的设备来建立网络,使网络的管理较为轻松;各种类型的用户,都通过VPN的隧道进入内部网,可以实现各种类型的用户间的互联。5.使用方便。VPN的建立无需安装任何软件,无论何时何地,在有公用网络的前提下,只需在电脑中添加一个网络连接,即可与服务器瞬时连接,远程进行操作。
vpn技术论文篇(10)
中图分类号:TP393
随着计算机网络技术的发展,数据传输的安全性与成本方面的矛盾越突出,有时也不能保障数据安全。通过运用VPN技术可以快捷、安全地构建一个安全通道,从而实现广泛的资源共享和移动办公。
1 建立农委虚拟网络是农委信息化工作的需要
近年来,农委工作包罗万象,仅到2008年底,各项数据就有105大类、494项之多,涵盖了土壤、气象、水、地貌等自然资源条件和人口、种植业、养殖业、林业等相关第二和第三产业等社会经济条件;同时覆盖了全部村级合作经济组织,及所有的农村社会经济数据;服务对象包括涉农政府机关、涉农企事业单位、农村各类经济实体和专业协会、城乡居民等。每年农委为国家和各部门提供了大量的决策支持;虽然农委系统信息网络基础建设也已经初具规模:有农委局域网络,存在网络物理隔离,计算机不上网等;农委电子政务框架也分为基础层、数据层、支撑层和应用层等几部分,电子政务成绩显著。但是农委根据部门职责和工作特点,今后以率先支持社会主义新农村建设和率先形成城乡一体化新局面为目标,建立农委政务信息资源共享交换平台,支撑农委跨层级、跨部门政务信息资源共享及业务信息系统共享的任务仍然十分繁重。
2 VPN技术
虚拟专用网络(VirtualPrivateNetwork)简称VPN,VPN作为一种新型的网络技术,是近年来随着Internet的广泛应用而迅速发展起来的,“虚拟”主要指这种网络是一种逻辑上的网络。
那么VPN是怎样工作的?
2.1 VPN的客户端拨叫VPN的服务器,
2.2 VPN的服务器响应
2.3 VPN服务器验证客户机的身份,验证成功VPN的连接建立和发送数据。
可以通过在公共网络上建立虚拟的连接来传输私有数据,再用认证、加密等技术来保证数据的安全,这样不仅降低了网络建设的费用,还提高了网络的安全性。
3 VPN特点
3.1 成本较低
VPN在设备的使用量同专线式比较,网络的总成本(TotalCostofOwner-ship)较低。在LAN(局域网)-to-LAN(局域网)连接时,用VPN比使用专线的成本会节省30%~50%左右;在远程访问方面,VPN和直接拨入到企业内部网络成本相比会节省60%~80%。
3.2 网络架构方面弹性大
VPN和专线式的架构比起来更加有弹性,VPN平台有完整扩展性,大至总部的设备,小至各部门,甚至个人拨号用户,都能在整体的VPN架构中,具有对未来广域网络频宽扩充及连接更新架构的特性。
3.3 安全性能好
VPN架构通过加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(IntrusionDetection)等技术,确保资料的安全。
3.4 管理轻松
VPN在建立网络上可以用较少的设备完成,网络管理轻松;无论什么用户必须通过VPN隧道的路径进入内部网络。
3.5 服务质量好
公共网络中流量不稳定,带宽利用率低,在流量高峰期会引起网络拥堵,很卡,数据发送很慢或失败,数据有时接收不及时,流量低谷期带宽浪费。VPN网络对流量预测并且进行控制,优化了带宽管理,有效防止了网络拥堵,数据传输的质量得到了提高。
4 VPN的应用
4.1 远程访问
农委内部的资源(电子邮件、资料、数据库、重要会议和文件等),农委网的用户(农委各部门)可以通过拨号、ADSL等连接到Internet后,访问农委资源,而资源的管理者通过VPN下的远程桌面控制功能,对农委内资源进行管理。通过互联网建立虚拟专用网络实现了对农委共享目录的远程访问,安全性较高,操作简便。
4.2 IntranetVPN
是利用互联网把总部和分支机构连接起来,成为一个总体网络。这对于农委而言是用最低的成本换来最高的收益的好办法。有了IntranetVPN,农委就可以通过Internet这一公共网络将农委各门分支机构的LAN连到总部的LAN,以实现农委内部的资源共享、文件传送等,可节省开支。
4.3 ExtranetVPN
将IntranetVPN的连接再扩展到其他相关部门,以达到信息共享。
5 配置方法
农委的VPN网络不需要很贵的设备,配置及维护灵活简单,造价低廉实用,只需在Windows系统平台上建立VPN客户端就可以轻松方便地连接到农委网。农委根据工作需要在办公网络设立了专门文件共享目录,并根据各部门的权限可以分别访问各自的文件。由于移动办公需要,有时在外地和家中需要查看共享目录中的文件。借助于虚拟专用网络,可以实现这方便快捷这一功能。
在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。具体操作如下:
第一步,打开管理工具,用鼠标双击“路由和远程访问”。
第二步,弹出“路由和远程访问”的窗口。
第三步,配置路由和远程访问,弹出路由和远程访问的向导窗口。
第四步,单击“下一步”,在“配置”里,选择“自定义的配置”。
第五步,单击下一步,在“自定义配置”里,选择“vpn访问”和“拨号访问”。
第六步,单击下一步,然后单击“完成”按钮。
第七步,提示,是否开始服务,单击“是”。
第八步,出现正在启用路由和远程访问的图标。系统启用路由和远程访问。
第九步,单击已启用的“HANW(本地)”的右键,选择“属性”,并选择“IP”属性页,录入静态IP地址池:192.168.1.1192.168.1.50。然后点确定按钮。VPN服务器设定完毕。
第十步,在服务器上分别给每个部门开设远程访问用户账户,远程访问权限设定为允许。
通过远程访问测试,确认账户可用以后,在农业网通知公告,正式启用农委VPN网络。
6 结论
虚拟专用网VPN能够解决农委各部门远程访问中数字资源的问题,它安全性好、可操作性强、经济实用和灵活方便等,因此随着VPN技术的不断发展和完善,VPN技术在各部门的应用前景一定会更加广阔。
参考文献:
[1]林丽丽.VPN(虚拟专用网络)初探[J].沿海企业与科技,2005,9.
[2]满延俊.VPN安全可靠又省钱的网络新技术[J].高科技与产业化,2004,8.
[3]陈廷勇,邢敏,潘希秋.高校图书馆数字资源的远程访问研究[J].现代情报,,2009,11.
[4]吴文臻.浅谈计算机虚拟专用网络技术[J].科技向导,2010,29.
[5]唐灯平.如何搭建VPN访问企业内部网络[J].现代企业教育,2008,12.
[6]彭鹏.实战MCSE之远程访问[J].电脑知识与技术,2004,5.
