vpn技術(shù)論文精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的vpn技術(shù)論文主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：vpn技術(shù)論文范文

關(guān)鍵詞：vpn，管理，管理技術(shù)

 

一、VPN服務(wù)及其應(yīng)用

VPN，即Virtual Private Network，是建立于公共網(wǎng)絡(luò)基礎(chǔ)之上的虛擬私有網(wǎng)絡(luò)，如利用Internet連接企業(yè)總部及其分支。VPN能夠給企業(yè)提供和私有網(wǎng)絡(luò)一樣的安全性、可靠性和可管理性等，并且能夠?qū)⑼ㄟ^公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)加密。利用VPN，企業(yè)能夠以較低的成本提供分支機(jī)構(gòu)、出差人員的內(nèi)網(wǎng)接入服務(wù)。

如果訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資源，使用者需要接入本地ISP的接入服務(wù)提供點(diǎn)，即接入Internet，然后可以連接企業(yè)邊界的VPN服務(wù)器。如果利用傳統(tǒng)的WAN技術(shù)，使用者和企業(yè)內(nèi)網(wǎng)之間需要有一根專線，而這非常不利于外出辦公人員的接入。而利用VPN，出差人員只需要接入本地網(wǎng)絡(luò)。論文寫作，管理。如果企業(yè)內(nèi)網(wǎng)的身份認(rèn)證服務(wù)器支持漫游的話，甚至可以不必接入本地ISP，并且使用VPN服務(wù)所使用的設(shè)備只是在企業(yè)內(nèi)部網(wǎng)絡(luò)邊界的VPN服務(wù)器。

二、VPN管理

VPN能夠使企業(yè)將其內(nèi)部網(wǎng)絡(luò)管理功能從企業(yè)網(wǎng)絡(luò)無縫延伸到公共網(wǎng)絡(luò)，甚至可以是企業(yè)客戶。這其中涉及到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理任務(wù)，可以在組建網(wǎng)絡(luò)的初期交給運(yùn)營商去完成，但企業(yè)自身還要完成許多網(wǎng)絡(luò)管理的任務(wù)。所以，一個(gè)功能完整的VPN管理系統(tǒng)是必需的。

通過VPN管理系統(tǒng)，可以實(shí)現(xiàn)以下目的：

1、降低成本：保證VPN可管理的同時(shí)不會(huì)過多增加操作和維護(hù)成本。

2、可擴(kuò)展性：VPN管理需要對日益增加的企業(yè)客戶作出快速的反應(yīng)，包括網(wǎng)絡(luò)軟件和硬件的平滑升級(jí)、安全策略維護(hù)、網(wǎng)絡(luò)質(zhì)量保證QOS等。論文寫作，管理。

3、減少風(fēng)險(xiǎn)：從傳統(tǒng)的WAN網(wǎng)絡(luò)擴(kuò)展到公共網(wǎng)絡(luò)，VPN面臨著安全與監(jiān)控的風(fēng)險(xiǎn)。網(wǎng)絡(luò)管理要求做到允許公司分部、客戶通過VPN訪問企業(yè)內(nèi)網(wǎng)的同時(shí)，還要確保企業(yè)資源的完整性。

4、可靠性：VPN構(gòu)建于公共網(wǎng)絡(luò)之上，其可控性降低，所有必須采取VPN管理提高其可靠性 。

三、VPN管理技術(shù)

1、第二層通道協(xié)議

第二層通道協(xié)議主要有兩種，PPTP和L2TP，其中L2TP協(xié)議將密鑰進(jìn)行加密，其可靠性更強(qiáng)。

L2TP提高了VPN的管理性，表現(xiàn)在以下方面：

（1）安全的身份驗(yàn)證

L2TP可以對隧道終點(diǎn)進(jìn)行驗(yàn)證。不使用明文的驗(yàn)證，而是使用類似PPPCHAP的驗(yàn)證方式。論文寫作，管理。

（2）內(nèi)部地址分配

用戶接入VPN服務(wù)器后，可以獲取到企業(yè)內(nèi)部網(wǎng)絡(luò)的地址，從而方便的加入企業(yè)內(nèi)網(wǎng)，訪問網(wǎng)絡(luò)資源。地址的獲取可以使用動(dòng)態(tài)分配的管理方法，由于獲取的是企業(yè)內(nèi)部的私有地址，方便了地址管理并增加安全性。論文寫作，管理。

（3）網(wǎng)絡(luò)計(jì)費(fèi)

L2TP能夠進(jìn)行用戶接口處的數(shù)據(jù)流量統(tǒng)計(jì)，方便計(jì)費(fèi)。

（4）統(tǒng)一網(wǎng)絡(luò)管理

L2TP協(xié)議已成為標(biāo)準(zhǔn)的協(xié)議，相關(guān)的MIB也已制定完成，可以采用統(tǒng)一SNMP管理方案進(jìn)行網(wǎng)絡(luò)維護(hù)和管理。

2、IKE協(xié)議

IKE協(xié)議，即Internet Key Exchange，用于通信雙方協(xié)商和交換密鑰。IKE的特點(diǎn)是利用安全算法，不直接在網(wǎng)絡(luò)上傳輸密鑰，而是通過幾次數(shù)據(jù)的交換，利用數(shù)學(xué)算法計(jì)算出公共的密鑰。數(shù)據(jù)在網(wǎng)絡(luò)中被截取也不能計(jì)算出密鑰。使用的算法是Diffie Hellman，逆向分析出密鑰幾乎是不可能的。

在身份驗(yàn)證方面，IKE提供了公鑰加密驗(yàn)證、數(shù)字簽名、共享驗(yàn)證字方法。并可以利用企業(yè)或獨(dú)立CA頒發(fā)證書實(shí)現(xiàn)身份認(rèn)證。

IKE解決了在不安全的網(wǎng)絡(luò)中安全可靠地建立或更新共享密鑰的問題，是一種通用的協(xié)議，不僅能夠?yàn)镮psec進(jìn)行安全協(xié)商，還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協(xié)議協(xié)商安全參數(shù)。

3、配置管理

可以使VPN服務(wù)器支持MIB，利用SNMP的遠(yuǎn)程配置和查詢功能對VPN網(wǎng)絡(luò)進(jìn)行安全的管理。

（1）WEB方式的管理

利用瀏覽器訪問VPN服務(wù)器，利用服務(wù)器上設(shè)置的賬戶登錄，然后將Applet下載到瀏覽器上，就可以對服務(wù)器進(jìn)行配置。論文寫作，管理。用戶登錄后，服務(wù)器會(huì)只授權(quán)登錄的IP地址和登錄客戶權(quán)限，從而避免偽造的IP地址和客戶操作。而且利用這種方式，還解決了普通SNMP協(xié)議只有查詢沒有配置功能的缺點(diǎn)。

（2）分級(jí)統(tǒng)一管理

如果企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大，可以對VPN服務(wù)器進(jìn)行統(tǒng)一配置管理，三級(jí)網(wǎng)絡(luò)中心負(fù)責(zé)數(shù)據(jù)的收集與統(tǒng)計(jì)，然后向上層匯總。收集的數(shù)據(jù)包括VPN用戶數(shù)量、VPN用戶的數(shù)據(jù)流量等。通過分級(jí)管理，一級(jí)網(wǎng)絡(luò)中心就能夠獲取全部VPN用戶的數(shù)量、流量并進(jìn)行統(tǒng)計(jì)，分析出各地情況，從而使用合適的方案。

4、IPSec策略

IPSec是一組協(xié)議的總稱，IPsec被設(shè)計(jì)用來提供入口對入口通信安全分組通信的安全性由單個(gè)結(jié)點(diǎn)提供給多臺(tái)機(jī)器或者是局域網(wǎng)，也可以提供端到端通信安全，由作為端點(diǎn)的計(jì)算機(jī)完成安全操作。上述兩種模式都可以用來構(gòu)VPN，這是IPsec最主要的用途。

IPSec策略包括一系列規(guī)則和過濾器，以便提供不同程度的安全級(jí)別。論文寫作，管理。在IPSec策略的實(shí)現(xiàn)中，有多種預(yù)置策略供用戶選擇，用戶也可以根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實(shí)施有兩種基本的方法，一是在本地計(jì)算機(jī)上指定策略，二是使用組策略對象，由其來實(shí)施策略。并且利用多種認(rèn)證方式提升VPN的安全管理性。

利用上述VPN管理技術(shù)，可以大大提高企業(yè)網(wǎng)絡(luò)資源的安全性、完整性，并能夠?qū)崿F(xiàn)資源的分布式服務(wù)。以后還將結(jié)合更多的技術(shù)，實(shí)現(xiàn)VPN網(wǎng)絡(luò)靈活的使用和安全方便的管理。其使用的領(lǐng)域也會(huì)越來越廣泛。

參考文獻(xiàn)：

[1]帕勒萬等著劉劍譯.無線網(wǎng)絡(luò)通信原理與應(yīng)用[M].清華大學(xué)出版社，2002.11

[2]朱坤華，李長江.企業(yè)無線局域網(wǎng)的設(shè)計(jì)及組建研究[J].河南科技學(xué)院學(xué)報(bào)2008.2:120-123

[3]潘愛民.計(jì)算機(jī)網(wǎng)絡(luò)（第四版）[M].清華大學(xué)出版社2004.8

第2篇：vpn技術(shù)論文范文

論文關(guān)鍵詞：電子商務(wù)，信息安全，防火墻，權(quán)限控制

 

0 引言

近年來,隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開展業(yè)務(wù)工作。廣西百色田陽縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門的網(wǎng)站，通過網(wǎng)站實(shí)施農(nóng)產(chǎn)品信息、電子支付等商務(wù)工作。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問題日益突出，并且該問題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展。

1　農(nóng)產(chǎn)品電子商務(wù)的安全需求

根據(jù)電子商務(wù)系統(tǒng)的安全性要求，田陽農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實(shí)體安全、運(yùn)行安全和信息安全三方面的要求。

1) 系統(tǒng)實(shí)體安全

系統(tǒng)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施和過程。

2) 系統(tǒng)運(yùn)行安全系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施（如風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急）來保護(hù)信息處理過程的安全[1]。項(xiàng)目組在實(shí)施項(xiàng)目前已對系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險(xiǎn)分析，防止計(jì)算機(jī)受到病毒攻擊，阻止黑客侵入破壞系統(tǒng)獲取非法信息，因此系統(tǒng)備份是必不可少的（如采用放置在不同地區(qū)站點(diǎn)的多臺(tái)機(jī)器進(jìn)行數(shù)據(jù)的實(shí)時(shí)備份）。為防止意外停電，系統(tǒng)需要配備多臺(tái)備用電源，作為應(yīng)急設(shè)施。

3) 信息安全

系統(tǒng)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)標(biāo)識(shí)、控制。系統(tǒng)的核心服務(wù)是交易服務(wù)，因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性，即保護(hù)客戶的私人信息，不被非法竊取。同時(shí)系統(tǒng)要具有認(rèn)證性和完整性，即確?？蛻羯矸莸暮戏ㄐ?，保證預(yù)約信息的真實(shí)性和完整性，系統(tǒng)要實(shí)現(xiàn)基于角色的安全訪問控制、保證系統(tǒng)、數(shù)據(jù)和服務(wù)由合法的客戶、人員訪問防火墻，即保證系統(tǒng)的可控性。在這基礎(chǔ)上要實(shí)現(xiàn)系統(tǒng)的不可否認(rèn)性，要有效防止通信或交易雙方對已進(jìn)行的業(yè)務(wù)的否認(rèn)論文的格式。

2 農(nóng)產(chǎn)品電子商和安全策略

為了滿足電子商務(wù)的安全要求，電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù)，具體可采用的技術(shù)如下：

2.1基于多重防范的網(wǎng)絡(luò)安全策略

1) 防火墻技術(shù)

防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過保護(hù)屏障，并在此進(jìn)行檢查和連接，只有被授權(quán)的信息才能通過此保護(hù)屏障，從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離，防止非法入侵、非法盜用系統(tǒng)資源，執(zhí)行安全管制機(jī)制，記錄可疑事件等。

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

邊界防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。

2) VPN 技術(shù)

VPN 技術(shù)也是一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一，它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò)，數(shù)據(jù)通過建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN 技術(shù)可以節(jié)省成本、擴(kuò)展性強(qiáng)、提供遠(yuǎn)程訪問、便于管理和實(shí)現(xiàn)全面控制，是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

VPN提供用戶一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問題。VPN的安全性可通過隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中，要有高強(qiáng)度的加密技術(shù)來保護(hù)敏感信息；在遠(yuǎn)程訪問VPN中要有對遠(yuǎn)程用戶可*的認(rèn)證機(jī)制。

性能

VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高，但在Internet時(shí)代，隨著電子商務(wù)活動(dòng)的激增，網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生，這給VPN性能的穩(wěn)定帶來極大的影響。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來確保其性能。通過VPN平臺(tái)，管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能防火墻，又不會(huì)“餓死”，低優(yōu)先級(jí)的應(yīng)用。

管理問題

由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加，網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長，對越來越復(fù)雜的網(wǎng)絡(luò)管理，網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對外的延伸，因此VPN要有一個(gè)固定管理方案以減輕管理、報(bào)告等方面負(fù)擔(dān)。管理平臺(tái)要有一個(gè)定義安全政策的簡單方法，將安全政策進(jìn)行分布，并管理大量設(shè)備論文的格式。

2.2基于角色訪問的權(quán)限控制策略

農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對象，與這些對象有關(guān)的用戶數(shù)量也非常多，所以用戶權(quán)限管理工作非常重要。

目前權(quán)根控制方法很多，我們采用基于RBAC演變的權(quán)限制制思路。在RBAC之中，包含用戶、角色、目標(biāo)、操作、許可權(quán)五個(gè)基本數(shù)據(jù)元素，權(quán)限被賦予角色，而不是用戶，當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí)，此用戶就擁有了該角色所包含的權(quán)限[2]。角色訪問控制策略主要是兩方面的工作：

(1)確定角色

根據(jù)系統(tǒng)作業(yè)流程的任務(wù)，并結(jié)合實(shí)際的操作崗位劃分角色。角色分為高級(jí)別角色和代級(jí)別角色，低級(jí)別角色可以為高級(jí)別角色的子角色，高級(jí)別角色完全繼承其子角色的權(quán)限。

(2)分配權(quán)限策略

根據(jù)系統(tǒng)的實(shí)際功能結(jié)構(gòu)對系統(tǒng)功能進(jìn)行編碼，系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權(quán)限，以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后，此時(shí)角色不發(fā)生沖突，對該角色的權(quán)限不能輕易進(jìn)行修改，以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。對用戶的權(quán)限控制通過功能菜單權(quán)限控制或者激活權(quán)限控制來具體實(shí)現(xiàn)。用戶登陸系統(tǒng)時(shí)，系統(tǒng)會(huì)根據(jù)用戶的角色的并集，從而得到用戶的權(quán)限，由權(quán)限得到菜單項(xiàng)對該用戶的可視屬性是true/false，從而得到用戶菜單。

2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略

在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中，數(shù)據(jù)庫系統(tǒng)作為計(jì)算機(jī)信息系統(tǒng)核心部件，數(shù)據(jù)庫文件作為信息的聚集體，其安全性將是重中之重。

1)數(shù)據(jù)庫加密系統(tǒng)措施

(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級(jí)安全控制

這種控制可以采用多種方式，包括設(shè)置數(shù)據(jù)庫用戶名和口令，或者利用IC卡讀寫器或者指紋識(shí)別器進(jìn)行用戶身份認(rèn)證。

2)防止非法復(fù)制

對于服務(wù)器來說防火墻，可以采用軟指紋技術(shù)防止非法復(fù)制，當(dāng)然，權(quán)限控制、備份/復(fù)制和審計(jì)控制也是實(shí)行的一樣。

3)安全的數(shù)據(jù)抽取方式

提供兩種卸出和裝入數(shù)據(jù)庫中的加密數(shù)據(jù)的方式：其一是用密文式卸出，這種卸出方式不解密，卸出的數(shù)據(jù)還是密文，在這種模式下，可直接使用DBMS提供的卸出、裝入工具；其二是用明文方式卸出，這種卸出方式需要解密，卸出的數(shù)據(jù)明文，在這種模式下，可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換，再使用DBMS提供的卸出、裝入工具完成[3]。

3結(jié)束語

隨著信息化技術(shù)的快速發(fā)展，農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化，必須充分考慮信息安全因素與利用信息安全技術(shù)，這樣才能實(shí)現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長，本文所述的安全策略，對當(dāng)前實(shí)施電子商務(wù)有一定效果的，是值得推介應(yīng)用的。

參考文獻(xiàn)：

[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報(bào)（自然科學(xué)版），2007，（12）：71－73.

[2]唐文龍.基于角色訪問控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35

[3]張立克.電子商務(wù)及其安全保障技術(shù)[J].水利電力機(jī)械,2007,29(2):69-74.

第3篇：vpn技術(shù)論文范文

論文摘要:縣級(jí)供電企業(yè)在推進(jìn)信息化過程中，普遍存在著成本過大，安全系數(shù)較低以及建設(shè)周期長等問題。結(jié)合廬江供電公司在開展城鄉(xiāng)營銷管理信息化建設(shè)中出現(xiàn)的問題進(jìn)行分析，提出利用VPN實(shí)現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)的解決方案，并分析了下一步信息化的主攻方向。

0引言

隨著電力信自、化水平的不斷提高，縣級(jí)供電企業(yè)綜合管理信息系統(tǒng)開始逐步建立，但基層變電站、鄉(xiāng)鎮(zhèn)供電聽與供電公司局域網(wǎng)聯(lián)網(wǎng)問題嚴(yán)重地制約著縣級(jí)供電企業(yè)信息系統(tǒng)實(shí)用化水平的發(fā)展和信息資源的充分有效利用，這與供電企業(yè)管理發(fā)展的目標(biāo)追求以及客戶的需求是極不適應(yīng)的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設(shè)工作受地形、人員素質(zhì)、資金投人等因素影響，解決遠(yuǎn)程站點(diǎn)聯(lián)網(wǎng)問題成為縣級(jí)供電企業(yè)信自、網(wǎng)絡(luò)建設(shè)中的突出矛盾。

1廬江供電公司信息化建設(shè)現(xiàn)狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實(shí)現(xiàn)了生產(chǎn)M I S與辦公自動(dòng)化OA的單軌制運(yùn)行，總部信息化運(yùn)行提高了企業(yè)的整體管理水平和辦公效率。如今，廬江供電公司總部已運(yùn)行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、檔案管理系統(tǒng)、Web系統(tǒng)、財(cái)務(wù)管理系統(tǒng)，現(xiàn)有的服務(wù)器包括:生產(chǎn)服務(wù)器、辦公自動(dòng)化服務(wù)器、檔案服務(wù)器、Web服務(wù)器、財(cái)務(wù)服務(wù)器。力、公用微機(jī)80多臺(tái)，每位管理人員以及每個(gè)班組都配有微機(jī)。

在實(shí)施信息化建設(shè)與管理中，深深體會(huì)到廬江供電公司信息化建設(shè)不僅可降低財(cái)務(wù)管理、物資管理、項(xiàng)目管理、資料管理等方面的管理成本，并在生產(chǎn)管理中可將所有設(shè)備信息進(jìn)行分類編號(hào)，輸人數(shù)據(jù)庫，實(shí)行設(shè)備、設(shè)施缺陷管理，科學(xué)地制定缺陷檢修計(jì)劃，提高設(shè)備運(yùn)行可靠度，降低故障率，提高供電可靠性;同時(shí)，廬江供電公司的營銷管理信息系統(tǒng)建有業(yè)擴(kuò)子系統(tǒng)、電量電費(fèi)f系統(tǒng)、用電檢查子系統(tǒng)、綜合查詢系統(tǒng)，通過這些系統(tǒng)，可方便與客戶的交流、溝通，節(jié)約成本開支，實(shí)現(xiàn)科學(xué)化營銷流程管理。這些管理信息系統(tǒng)的應(yīng)用，加強(qiáng)J’企業(yè)的規(guī)范化管理，增強(qiáng)了管理的科學(xué)化水平，減輕了工作人員的負(fù)擔(dān)，提高了企業(yè)的經(jīng)濟(jì)效益。

為此，廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營銷MIS應(yīng)用系統(tǒng)的推進(jìn)力度，進(jìn)一步減輕了抄表人員的負(fù)擔(dān)，縮短了開票時(shí)間，加強(qiáng)了電費(fèi)電價(jià)的控制與管理，提高了營銷管理自動(dòng)化水平。全縣17個(gè)鄉(xiāng)鎮(zhèn)供電聽，都使用同一版本的營銷MIS應(yīng)用系統(tǒng)。舟個(gè)供電聽都有3臺(tái)以上的微機(jī)，其中1臺(tái)所長用于日常辦公，另外2臺(tái)分別作為用電MIS系統(tǒng)的服務(wù)器與客戶端，并兼為所里其他工作人員辦公使用。其中，已有10個(gè)供電所可利用變電站的光纖系統(tǒng)，與廬江供電公司總部實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，提高了工作效率，節(jié)省了開支。其余7個(gè)供電所仍不能夠?qū)崿F(xiàn)信息化共享，這些供電所非常希望盡快網(wǎng)絡(luò)互聯(lián)。

2采用VPN方案推進(jìn)供電所信息化建設(shè)進(jìn)程

這些供電所若使用以前的光纖聯(lián)網(wǎng)方式，不僅投資大，施工工期長，而且日后的維護(hù)量也多。考慮到以上原因，為盡快解決其余7個(gè)光纖未開通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡(luò)互聯(lián)問題，達(dá)到信息、共享，推廣鄉(xiāng)鎮(zhèn)供電所的營銷MIS系統(tǒng)應(yīng)用，公司決定采用虛擬局域網(wǎng)(VPN)，在現(xiàn)有設(shè)備基礎(chǔ)上，進(jìn)行簡單的改造。通過在VPN網(wǎng)關(guān)中配置7個(gè)供電所的用戶、密碼以及訪問策略，并分別在7個(gè)供電所安裝VPN客戶端，安裝公司的MIS應(yīng)用系統(tǒng)，實(shí)現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)。VPN技術(shù)實(shí)際上就是綜合利用包封裝技術(shù)、加密技術(shù)、密鑰交換技術(shù)、PKI技術(shù)，可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN ， Virtual Private Network ) 。 VPN是一個(gè)被加密或封裝的通信過程，該過程把數(shù)據(jù)安全地從一端傳送到另一端，這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來保障，而數(shù)據(jù)是在一個(gè)開放的、沒有安全保障的、經(jīng)過路由傳送的網(wǎng)絡(luò)上傳輸?shù)?。VPN技術(shù)能夠有效解決信息安全傳輸中的“機(jī)密性、完整性、不可抵賴性”問題。 轉(zhuǎn)貼于

3方案效果比較

對2種方案的可能性進(jìn)行了比較，如圖1所示。如果廬江供電公司全部運(yùn)用光纖法來實(shí)現(xiàn)供電所的網(wǎng)絡(luò)互聯(lián)，每個(gè)供電所的材料費(fèi)、施工費(fèi)按3.5萬元，施工工期10天計(jì)算，7個(gè)供電所就需要3.5 x 7=24.5萬元，需要10 x 7=70天。若這7個(gè)供電所采用VPN方案，只需要購買VPN網(wǎng)關(guān)1臺(tái)，價(jià)值3.5萬元和7個(gè)客戶端鑰匙，價(jià)值7 x 480=3360元，5天內(nèi)就能完成7個(gè)供電所安裝。因此，應(yīng)用VPN方案，廬江供電公司就能節(jié)省資金達(dá)24 . 5-3 . 836=20.664萬元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線路維護(hù)所需要工作量。

現(xiàn)在，這7個(gè)鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng)，在局域網(wǎng)下載內(nèi)容的速度可達(dá)350 kb/s，生產(chǎn)MIS系統(tǒng)響應(yīng)時(shí)間為2--3 s，辦公自動(dòng)化系統(tǒng)瀏覽公司收發(fā)的文件、接受電子郵件的時(shí)間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對稱數(shù)字環(huán)路，所以發(fā)送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運(yùn)行效果來看，完全能夠滿足廬江供電公司網(wǎng)絡(luò)發(fā)展及MIS系統(tǒng)應(yīng)用的需要。

4下一步信息化建設(shè)的主攻方向

目前，廬江供電所信息化還處于初級(jí)階段，對電力企業(yè)信息化建設(shè)的目標(biāo)還沒有完全形成統(tǒng)一的管理標(biāo)準(zhǔn);同時(shí)，廬江供電公司在實(shí)施VPN技術(shù)后，也清楚地看出:VPN是一種虛擬專用網(wǎng)絡(luò)，而不是一種真正的專用網(wǎng)絡(luò)。因此，廬江供電公司打算設(shè)立嚴(yán)格的管理制度，包括嚴(yán)格的權(quán)限管理，無關(guān)人員無權(quán)查看、改動(dòng)數(shù)據(jù)，VPN客戶端的用戶與密碼管理等，建立起一套計(jì)算機(jī)管理操作等規(guī)章制度，使整個(gè)網(wǎng)絡(luò)安全有序地運(yùn)行。此外，該公司今后還將加大對供電所使用人員的計(jì)算機(jī)培訓(xùn)力度，包括計(jì)算機(jī)知識(shí)在內(nèi)的應(yīng)用培訓(xùn)，促進(jìn)操作人員更好地使用軟件，提高操作人員計(jì)算機(jī)水平，也為計(jì)算機(jī)應(yīng)用在企業(yè)內(nèi)部得到更好地發(fā)展起到一定的推動(dòng)作用，并充實(shí)培養(yǎng)供電聽計(jì)算機(jī)網(wǎng)絡(luò)管理人員、信息安全管理人員，把信息化建設(shè)中的培訓(xùn)工作貫穿始終，進(jìn)而拓寬信息化的覆蓋面，保證信息、化工作的健康發(fā)展，讓VPN技術(shù)更好地為廬江供電公司信息化、專業(yè)化、現(xiàn)代化服務(wù)。

5結(jié)語

第4篇：vpn技術(shù)論文范文

【關(guān)鍵詞】隧道技術(shù)，應(yīng)用，研究

中圖分類號(hào)：U45文獻(xiàn)標(biāo)識(shí)碼： A

一、前言

由于網(wǎng)絡(luò)的發(fā)展和完善以及速度的不斷提高，越來越多的公司逐步進(jìn)行運(yùn)用隧道技能。大規(guī)模的組建VPN網(wǎng)絡(luò)已經(jīng)成為一種趨勢，這種技術(shù)越來越多地遭到用戶的廣泛重視。

二、VPN的隧道技術(shù)

VPN技術(shù)比較復(fù)雜，它涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)，是一項(xiàng)交叉科學(xué)。具體來講，目前VPN主要采用下列四項(xiàng)技術(shù)來保證其安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對點(diǎn)連接技術(shù)，它在公用網(wǎng)中建立一條數(shù)據(jù)通道(隧道)，讓數(shù)據(jù)包通過這條隧道傳輸。隧道技術(shù)的基本工作原理是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式之中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負(fù)載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過的邏輯路徑被稱為“隧道”。

三、隧道技術(shù)

1、第二層隧道協(xié)議

第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。創(chuàng)建隧道的過程類似于在雙方之間建立會(huì)話；隧道的兩個(gè)端點(diǎn)必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量，如地址分配，加密或壓縮等參數(shù)。第二層隧道協(xié)議有L2F、PPTP、L2TP等。

（一）、點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)

PPTP將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報(bào)內(nèi)通過IP網(wǎng)絡(luò)，如Internet傳送。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。PPTP使用一個(gè)TCP連接對隧道進(jìn)行維護(hù)，使用通用路由封裝(GRE)技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過隧道傳送?？梢詫Ψ庋bPPP楨中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。

（二）、第2層轉(zhuǎn)發(fā)(L2F)

L2F是Cisco公司提出的隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器將撥號(hào)數(shù)據(jù)流封裝在PPP楨內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器)。L2F服務(wù)器把數(shù)據(jù)包解包之后重新注入(inject)網(wǎng)絡(luò)。與PPTP和L2TP不同，L2F沒有確定的客戶方。應(yīng)當(dāng)注意L2F只在強(qiáng)制隧道中有效。

（三）、第2層隧道協(xié)議(L2TP)

L2TP結(jié)合了PPTP和L2F協(xié)議。設(shè)計(jì)者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢。L2TP是一種網(wǎng)絡(luò)層協(xié)議，支持封裝的PPP楨在IP，X.25，楨中繼或ATM等的網(wǎng)絡(luò)上進(jìn)行傳送。當(dāng)使用IP作為L2TP的數(shù)據(jù)報(bào)傳輸協(xié)議時(shí)，可以使用L2TP作為Internet網(wǎng)絡(luò)上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。

2、第三層隧道協(xié)議

IPSec是指IETF(因特網(wǎng)工程任務(wù)組)以RFC形式公布的一組安全I(xiàn)P協(xié)議集，是為IP及其以上協(xié)議(TCP和UDP等)提供安全保護(hù)的安全協(xié)議標(biāo)準(zhǔn)。其目標(biāo)是把安全機(jī)制引入IP協(xié)議，通過使用密碼學(xué)方法支持機(jī)密性和認(rèn)證服務(wù)等安全服務(wù)。IPSec通過在IP協(xié)議中增加兩個(gè)基于密碼的安全機(jī)制―認(rèn)證頭(AH)和封裝安全載荷(ESP)來支持IP數(shù)據(jù)報(bào)的認(rèn)證、完整性和機(jī)密性。IPSec協(xié)議族包括:IP安全架構(gòu)、認(rèn)證頭AH、封閉安全載荷ESP和Internet密鑰交換(IKE)等協(xié)議。IP安全架構(gòu)協(xié)議指定了IPSec的整個(gè)框架，是IP層安全的標(biāo)準(zhǔn)協(xié)議。AH協(xié)議定義了數(shù)據(jù)源認(rèn)證和完整性驗(yàn)證的應(yīng)用方法。ESP為IP數(shù)據(jù)報(bào)文提供數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)、抗重播和數(shù)據(jù)加密服務(wù)。IKE為AH和ESP提供密鑰交換機(jī)制，在實(shí)際進(jìn)行IP通信

時(shí)，可以根據(jù)實(shí)際安全需求，同時(shí)使用AH和ESP協(xié)議，或選擇使用其中的一種。

3、新興的隧道協(xié)議

SSL是Netscape公司設(shè)計(jì)的主要用于web的安全傳輸協(xié)議。SSL被設(shè)計(jì)為使TCP提供一個(gè)可靠的端到端的安全服務(wù)，它不是一個(gè)單一的協(xié)議，而是由多個(gè)協(xié)議組成記錄協(xié)議定義了要傳輸數(shù)據(jù)的格式，它位于可靠的傳輸協(xié)議TCP之上，用于各種更高層協(xié)議的封裝。記錄協(xié)議主要完成分組和組合，壓縮和解壓縮，以及消息認(rèn)證和加密等功能。所有傳輸數(shù)據(jù)包括握手消息和應(yīng)用數(shù)據(jù)都被封裝在記錄中。握手協(xié)議允許服務(wù)器與客戶機(jī)在應(yīng)用程序傳輸和接收數(shù)據(jù)之前互相認(rèn)證、協(xié)商加密算法和密鑰。通信雙方首先通過SSL握手協(xié)議建立客戶端與服務(wù)器之間的安全通道，SSL記錄協(xié)議通過分段、壓縮、添加MAC以及加密等操作步驟把應(yīng)用數(shù)據(jù)封裝成多條記錄，最后再進(jìn)行傳輸。

四、隧道技術(shù)的應(yīng)用模型

1、端到端安全應(yīng)用

IPSec存在于一個(gè)主機(jī)或終端系統(tǒng)時(shí)，每一個(gè)離開和進(jìn)入的PI數(shù)據(jù)包都可得到安全保護(hù)。PI包的安全保護(hù)可以從數(shù)據(jù)源一直到數(shù)據(jù)被接收。制定相應(yīng)的安全策略，一對獨(dú)立的SA可以保護(hù)兩個(gè)端點(diǎn)之間的全部通信―Tenlet、SMTP、WEB和FTP等。或者，根據(jù)兩個(gè)端點(diǎn)之間通信的協(xié)議的不同(TCP和UDP)和端口的不同，分別用不同的SA保護(hù)兩個(gè)端點(diǎn)之間的不同的通信。在這種模式下，通信的端點(diǎn)同時(shí)也是PISec的端點(diǎn)。所以，端到端安全可以在傳送模式下，

利用PISec來完成；也可以在隧道模式下，利用額外IP頭的新增來提供端到端的安全保護(hù)。

2、虛擬專用網(wǎng)

IPSec存在于路山器等網(wǎng)絡(luò)互連設(shè)備時(shí)，司一以構(gòu)建虛擬專用網(wǎng)VPN。VPN是“虛擬的”，因?yàn)樗皇且粋€(gè)物理的、明顯存在的網(wǎng)絡(luò)。兩個(gè)不同的物理網(wǎng)絡(luò)通過一條穿越公共網(wǎng)絡(luò)的安全隧道連接起來，形成一個(gè)新的網(wǎng)絡(luò)VPN。VPN是“專川的”，因?yàn)楸患用艿乃淼揽梢蕴峁?shù)據(jù)的機(jī)密性。而今，人們從傳統(tǒng)的專線網(wǎng)絡(luò)轉(zhuǎn)移到利用公共網(wǎng)絡(luò)的網(wǎng)絡(luò)，逐漸意識(shí)到節(jié)省費(fèi)用的VPN重耍性。通過在路山器上配置PISec，就可以構(gòu)建一個(gè)VPN。在路山器的一端，連接著一個(gè)受保護(hù)的私有網(wǎng)絡(luò)，對這個(gè)網(wǎng)絡(luò)的訪問要受到嚴(yán)格的擰制。在另一端連技的是一個(gè)不安全的網(wǎng)絡(luò)帳Internet。在兩個(gè)路山器之間的公共網(wǎng)絡(luò)上建立一條安全隧道，通信就可以從一個(gè)受保護(hù)的本地子網(wǎng)安全地傳送到另一個(gè)受保護(hù)的遠(yuǎn)程子網(wǎng)。這就是VPN，在VPN中，母一個(gè)具有IPSec的路由器都是一個(gè)網(wǎng)絡(luò)聚合點(diǎn)。在兩個(gè)PISec的路山器之間通常使用隧道模式，可以采用多種安全策略，建立一對或多對SA，試圖對VPN進(jìn)布J屯通信分析將是非常困難的。如果在一個(gè)本地私有網(wǎng)絡(luò)中的數(shù)據(jù)包的目的地是VPN的遠(yuǎn)程網(wǎng)絡(luò)―它是從一個(gè)路由器發(fā)送到另一個(gè)路山器的、加密的數(shù)據(jù)包。

3、移動(dòng)IP

在端到端安IP全中，數(shù)據(jù)包由產(chǎn)生和l或接收通信的那個(gè)主機(jī)進(jìn)行加密和解密.在VPN中，

網(wǎng)絡(luò)中的一個(gè)路由器對一個(gè)受安全保護(hù)的網(wǎng)絡(luò)中的主機(jī)(或多個(gè))的數(shù)據(jù)包進(jìn)行加密和解密。這兩個(gè)組合一般稱為移動(dòng)IP。移動(dòng)IP一般是獨(dú)立的，它要求計(jì)問受安全保護(hù)的網(wǎng)絡(luò)，它是一個(gè)移動(dòng)的客戶，不停留在某個(gè)固定的地方。他必須通過旅店、或任何一個(gè)可以進(jìn)行internetPOP的地方，安全地訪問公司資源。在移動(dòng)IP的方案中，移動(dòng)主機(jī)和路由器都支持PISec，它們之間可以建立一條安個(gè)隧道。它們能夠在外出數(shù)據(jù)包抵達(dá)通信線路之前對它進(jìn)行安全保護(hù):能夠在對進(jìn)入包進(jìn)行IP處理之前，驗(yàn)證它們的安全保護(hù)。具有PISec的路山器保護(hù)的是移動(dòng)主機(jī)想要訪問的那個(gè)網(wǎng)絡(luò)，它也可以是支持V戶N的路山器，允許其它的移動(dòng)主機(jī)進(jìn)行安全的遠(yuǎn)程訪問。在這種方案中，一方是移動(dòng)主機(jī)，它既是通信方。另一方將PISec當(dāng)作一項(xiàng)服務(wù)提供給另一個(gè)網(wǎng)絡(luò)實(shí)體。

4、嵌套式隧道

有時(shí)，需要支持多級(jí)網(wǎng)絡(luò)安全保護(hù)。比如下面一個(gè)例子:一個(gè)企業(yè)有一個(gè)安全網(wǎng)關(guān)，以防止其網(wǎng)絡(luò)受到競爭者或黑客的侵犯和攻擊，而企業(yè)內(nèi)部另有一個(gè)安全網(wǎng)關(guān)，防止某些內(nèi)部員工進(jìn)入敏感的子網(wǎng)。比如銀行系統(tǒng)的企業(yè)網(wǎng)。這種情況下，如果某人希望對網(wǎng)絡(luò)內(nèi)部的保護(hù)子網(wǎng)進(jìn)行訪問，就必須使用嵌套式隧道。

5、鏈?zhǔn)剿淼?/p>

一種常見的網(wǎng)絡(luò)安全配置是Hub-and-spoke。從一個(gè)網(wǎng)絡(luò)橫過Hub-and-spoke網(wǎng)絡(luò)，到達(dá)另一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包都由一個(gè)安全網(wǎng)關(guān)加密，由中心路由器解密，再加密，并由保護(hù)遠(yuǎn)程網(wǎng)絡(luò)的另一個(gè)安全網(wǎng)關(guān)解密。

6、隧道交換模型

如果從交換的角度來看，它也可以稱為隧道交換模型。在中心路由器所連接的四個(gè)網(wǎng)絡(luò)可以是不同類型的網(wǎng)絡(luò)，隧道的實(shí)現(xiàn)方式也可以不同，但是，不同網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)在進(jìn)行數(shù)據(jù)傳輸時(shí)，并不關(guān)心隧道的實(shí)現(xiàn)媒體，隧道可以接力的方式進(jìn)行數(shù)據(jù)的傳遞。從安全的角度，假設(shè)每一個(gè)隧道是安全的，且中心路由器也是安全的，那么任何兩個(gè)節(jié)點(diǎn)之間的通信也應(yīng)該是安全的。假設(shè)隧道間彼此不能信任，那么可以只將隧道的連接看作是一條數(shù)據(jù)的傳輸通道，再使用前面所論述的隧道模型實(shí)現(xiàn)安全保護(hù)，如點(diǎn)到點(diǎn)的隧道安全模式。

五、結(jié)束語

由于Internet基礎(chǔ)設(shè)施的完善，隧道技能必將將在網(wǎng)建等各范疇，發(fā)揮著越來越重要的效果。實(shí)現(xiàn)隧道技能的多種多樣，它們各有各的優(yōu)勢，如今，市場上大多數(shù)都在使用VPN這類技能。

參考文獻(xiàn)

[1]毛小兵，VPN演進(jìn)之隧道交換.《計(jì)算機(jī)世界》2000

[2]沈鑫剡.IP交換網(wǎng)原理、技術(shù)及實(shí)現(xiàn)[M].北京:人民郵電出版社，2003.

第5篇：vpn技術(shù)論文范文

論文關(guān)鍵詞：數(shù)字資源,遠(yuǎn)程服務(wù),虛擬專用網(wǎng)(VPN,服務(wù)器

隨著信息技術(shù)的不斷進(jìn)步，數(shù)字資源的種類和數(shù)量日益增長，我國不同層次、不同類別的高校都不同程度地采購或引進(jìn)了各種數(shù)字資源，以滿足本校讀者對數(shù)字資源的利用需求。但由于大多數(shù)數(shù)字資源出于版權(quán)保護(hù)和商業(yè)利益的考慮，往往僅限于校園網(wǎng)內(nèi)使用，使其合法用戶只能在本校 IP 地址范圍內(nèi)的辦公室、機(jī)房或圖書館等地使用，而當(dāng)其回家或出差在外時(shí)就將無法訪問和使用這些資源， 這樣，不僅損害了圖書館合法用戶的利益，也大大降低了本館所購數(shù)字資源的利用率。針對這種情況，可以采取以下應(yīng)對措施，為本校合法用戶提供校外遠(yuǎn)程訪問數(shù)字資源服務(wù)。

1構(gòu)建虛擬專用網(wǎng)（“Virtual Private Network”，簡稱VPN）

圖書館的電子資源因受IP地址的限制，目前只能被校園網(wǎng)內(nèi)用戶訪問。為便于住校外教工、學(xué)生利用圖書館的電子資源，可引入虛擬專用網(wǎng)（“Virtual Private Network”，簡稱VPN）技術(shù)來解決這個(gè)問題，獲得VPN授權(quán)的用戶，可在非校園網(wǎng)內(nèi)使用圖書館的電子資源。

1.1虛擬專用網(wǎng)的簡介

簡單地講，VPN就是利用開放的公眾網(wǎng)絡(luò)建立專用數(shù)據(jù)傳輸通道，將遠(yuǎn)程的分支辦公室、商業(yè)伙伴、移動(dòng)辦公人員等連接起來，并且提供安全的端到端的數(shù)據(jù)通信的一種廣域網(wǎng)技術(shù)。VPN本質(zhì)上是一種網(wǎng)絡(luò)互聯(lián)型業(yè)務(wù)，通過共享的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)滿足企業(yè)互聯(lián)需求，在共享使用網(wǎng)絡(luò)資源的同時(shí)具有與專網(wǎng)一樣保證用戶網(wǎng)絡(luò)的安全性、可靠性、可管理性。VPN業(yè)務(wù)并不限制網(wǎng)絡(luò)的使用，它既可以構(gòu)建于因特網(wǎng)或互聯(lián)

網(wǎng)運(yùn)營商(ISP)的 IP網(wǎng)絡(luò)之上，也可以構(gòu)建于幀中繼(FR)或異步傳輸模式(ATM)等網(wǎng)絡(luò)基礎(chǔ)架構(gòu)之上，如圖1.1 所示。簡言之，通過利用VPN 技術(shù)，就可以在學(xué)校內(nèi)部網(wǎng)絡(luò)與外網(wǎng)之間建立一個(gè)虛擬的安全通道，從而實(shí)現(xiàn)學(xué)校充分利用圖書館資源的需求。

1.2虛擬專用網(wǎng)（VPN）的優(yōu)勢

1.2.1 運(yùn)行成本較低

VPN只需要通過現(xiàn)有的公用網(wǎng)來建立，不需要另外鋪設(shè)如光纖之類的物理線路，減少了專線的租用數(shù)量，同時(shí)也減少了數(shù)據(jù)傳輸過程中的輔助設(shè)備，而且VPN本身帶有路由功能，節(jié)省了費(fèi)用和資源，因此極大地降低了運(yùn)行成本。

1.2.2 具有可靠的安全性

VPN采用了隧道技術(shù)、數(shù)據(jù)加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證等獨(dú)特的專有技術(shù)可以實(shí)現(xiàn)在內(nèi)部服務(wù)器上對用戶資格的認(rèn)證，點(diǎn)對點(diǎn)加密及各種網(wǎng)絡(luò)安全加密，確保了本地網(wǎng)絡(luò)和數(shù)據(jù)傳輸?shù)陌踩Ｕ狭藞D書館網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

1.2.3 靈活的運(yùn)用方式

只要網(wǎng)絡(luò)順暢，VPN技術(shù)就可以將圖書館內(nèi)部的網(wǎng)絡(luò)設(shè)備與外網(wǎng)實(shí)現(xiàn)安全互聯(lián)。這樣，圖書館的資源就能夠通過該技術(shù)傳輸語言、圖像和數(shù)據(jù)等，為廣大師生提供了靈活便捷的使用方 式。

1.2.4 易用性

客戶端不需要復(fù)雜的配置，不在用戶操作系統(tǒng)安裝過多的插件和程序，不改變用戶使用習(xí)慣和應(yīng)用快捷方式，一鍵式操作，簡單易用；可以使讀者在任何一臺(tái)電腦上安全便捷地訪問圖書館的電子資源。

1.2.5 便于管理

對網(wǎng)絡(luò)實(shí)行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。

1.3 圖書館如何利用VPN技術(shù)

1.3.1 應(yīng)用VPN技術(shù)授權(quán)校園網(wǎng)合法IP段內(nèi)的用戶使用數(shù)據(jù)

例如我院圖書館每年都要購買大量的電子資源，如CNKI、萬方、維普、EBSCO數(shù)據(jù)庫、英語學(xué)習(xí)中心（SRC）等，由于數(shù)字版權(quán)的原因，這些數(shù)字資源都有限制訪問的IP地址范圍。圖書館支付費(fèi)用以后，數(shù)據(jù)庫服務(wù)商根據(jù)訪問者的IP地址來判斷是否是經(jīng)過授權(quán)的用戶。圖書館應(yīng)用VPN技術(shù)就可以授權(quán)校園網(wǎng)合法IP段內(nèi)的用戶使用數(shù)據(jù)，無需額外支持費(fèi)用，使圖書館數(shù)字資源得到了最大程度的共享。

1.3.2 應(yīng)用VPN技術(shù)以遠(yuǎn)程訪問的形式訪問圖書館數(shù)據(jù)

由于數(shù)字版權(quán)的原因，校園網(wǎng)及高校數(shù)字圖書館的大多數(shù)資源都不對外開放。然而又因?yàn)閷W(xué)校人群的特殊性，有的教職工居住在校外，使用的是公網(wǎng)IP，不在校園網(wǎng)IP范圍內(nèi)，無法在家或在出差的時(shí)候使用圖書館和校園網(wǎng)內(nèi)的其他資源。暑假、寒假在家的學(xué)生同樣是由于IP問題無法訪問學(xué)校圖書館數(shù)據(jù)。應(yīng)用VPN技術(shù)就可以輕松解決這一長期困擾圖書館的問題。用戶只需要向圖書館技術(shù)管理人員申請認(rèn)證證書和注冊賬戶，就能成為遠(yuǎn)程訪問系統(tǒng)的合法用戶。在本機(jī)上安裝VPN 客戶端，然后登陸該賬戶就能通過Internet訪問圖書館資源。用戶無需作任何調(diào)整，網(wǎng)絡(luò)配置也不必作任何改動(dòng)。

2、除了上述的解決方案，還可以利用遠(yuǎn)程數(shù)字圖書館軟件、RASDL以及Cookie跨域名技術(shù)；由圖書館咨詢?nèi)藛T提供全文；利用檢索充值卡；預(yù)設(shè)賬戶和密碼等等的方案來解決遠(yuǎn)程訪問問題。

3、結(jié)束語

隨著校外合法用戶訪需求的增長，校外訪問服務(wù)的開展顯得越來越急切和重要，圖書館應(yīng)綜合運(yùn)用多種技術(shù)方式，盡可能地為他們提供方便。同時(shí)，圖書館應(yīng)加強(qiáng)電子資源的本地鏡像建設(shè)，以減少合法使用受到的限制。

【參考文獻(xiàn)】

[1] 王彩虹.局域網(wǎng)內(nèi)地方高校遠(yuǎn)程訪問服務(wù)模式.圖書館學(xué)刊 [J].2011,（1）.

[2] 王健.利用VPN技術(shù)實(shí)現(xiàn)高校圖書館數(shù)字資源的遠(yuǎn)程訪問［J］.圖書館學(xué)研究. 2006,(5).

[3] 郭峰.高校圖書館VPN網(wǎng)絡(luò)建設(shè)研究.情報(bào)探索［J］.2010, (2).

第6篇：vpn技術(shù)論文范文

論文關(guān)鍵詞：VPN,校園網(wǎng),遠(yuǎn)程訪問

1 發(fā)展校園網(wǎng)的重要性

近幾年國家對教育工作日益重視，獨(dú)立學(xué)院規(guī)模不斷擴(kuò)大。在發(fā)展過程中，各獨(dú)立學(xué)院都十分重視與母體學(xué)校的資源整合。

獨(dú)立學(xué)院與母體學(xué)校一般都建立了各自的校園網(wǎng)絡(luò)，且均接入互聯(lián)網(wǎng)，因?yàn)橹T多條件的制約，至今多數(shù)獨(dú)立學(xué)院與母體學(xué)校之間沒有專線相互連接，造成了校園網(wǎng)應(yīng)用水平極低的現(xiàn)象。各種應(yīng)用系統(tǒng)，如教務(wù)管理系統(tǒng)、題庫系統(tǒng)和電子圖書管等教學(xué)資源無法實(shí)現(xiàn)共享，迫切需要實(shí)現(xiàn)統(tǒng)一管理和對資源的充分利用。獨(dú)立學(xué)院的教師一般是由三部分構(gòu)成：一是母體學(xué)校的教師；二是外聘教師；三是專職教師。母體學(xué)校的教師和外聘教師，這兩類教師往往在多個(gè)高校共同教學(xué)、科研和辦公。如何加強(qiáng)與這部分教師的聯(lián)系，提高教學(xué)、科研和辦公效率顯得尤為重要。

此外，傳統(tǒng)的Internet接入和傳輸服務(wù)缺少安全機(jī)制，服務(wù)質(zhì)量無法保證，難以滿足不同校區(qū)之間關(guān)鍵性數(shù)據(jù)實(shí)時(shí)安全傳輸和應(yīng)用的特定要求。所以，建立安全可靠的獨(dú)立學(xué)院與母體學(xué)校間校園網(wǎng)的連接，實(shí)現(xiàn)資源共享。為母體學(xué)校教師和外聘教師提供一種安全、高效、快捷的網(wǎng)路服務(wù)，如登錄校內(nèi)OA系統(tǒng)、教務(wù)系統(tǒng)和電子圖書館系統(tǒng)等，是獨(dú)立學(xué)院校園網(wǎng)建設(shè)的當(dāng)務(wù)之急。

2 VPN工作原理及其主要優(yōu)點(diǎn)

虛擬專用網(wǎng)VPN（Virtual Private Network）就是利用公網(wǎng)來構(gòu)建專用的網(wǎng)絡(luò)，它是通過特殊的硬件和軟件直接通過共享的IP網(wǎng)所建立的隧道來實(shí)現(xiàn)不同的網(wǎng)絡(luò)的組件和資源之間的相互連接， 并提供同專用網(wǎng)絡(luò)一樣的安全和功能保障。

VPN并不是某個(gè)單位專有的封閉線路或者是租用某個(gè)網(wǎng)絡(luò)服務(wù)商提供的封閉線路。但同時(shí)VPN 又具有專線的數(shù)據(jù)傳輸功能，因?yàn)閂PN 能夠像專線一樣在公共網(wǎng)絡(luò)上處理自己單位內(nèi)部的信息。它主要有以下幾個(gè)方面的優(yōu)點(diǎn)：(1)成本低。VPN在設(shè)備的使用量上比專線式的架構(gòu)節(jié)省，故能使校園網(wǎng)絡(luò)的總成本降低。(2)網(wǎng)絡(luò)架構(gòu)彈性大。VPN的平臺(tái)具備完整的擴(kuò)展性，大至學(xué)校的主校區(qū)設(shè)備，小至各分校區(qū)，甚至個(gè)人撥號(hào)用戶，均可被包含在整體的VPN架構(gòu)中，以致他們可以在任何地方，通過Internet網(wǎng)絡(luò)訪問校園網(wǎng)內(nèi)部資源。(3)良好的安全性。VPN架構(gòu)中采用了多種安全機(jī)制，如信道、加密、認(rèn)證、防火墻及黑客偵防系統(tǒng)等，確保資料在公眾網(wǎng)絡(luò)中傳輸時(shí)不至于被竊取．或是即使被竊取了，對方亦無法讀取封包內(nèi)所傳送的資料。(4)管理方便。VPN 較少的網(wǎng)絡(luò)設(shè)備及物理線路，使網(wǎng)絡(luò)的管理較為輕松。不論分?；蜻h(yuǎn)程訪問用戶的多少，只需通過互聯(lián)網(wǎng)的路徑即可進(jìn)入主校區(qū)網(wǎng)路。

3 獨(dú)立學(xué)院校園網(wǎng)絡(luò)建設(shè)中的VPN技術(shù)選擇及對策

選擇適當(dāng)?shù)腣PN技術(shù)可以提供安全、高效、快捷的網(wǎng)絡(luò)服務(wù)，能有效的解決獨(dú)立學(xué)院當(dāng)前所面臨的校區(qū)分散、資源共享和遠(yuǎn)程辦公等實(shí)際問題。

3.1技術(shù)選擇

VPN 可分為軟件VPN和硬件VPN。軟件VPN 具有成本低、實(shí)施方便等優(yōu)勢。若是采用Windows 2000操作系統(tǒng)，則該操作系統(tǒng)本身就集成了這項(xiàng)功能，只需進(jìn)行相應(yīng)的設(shè)置即可投入使用。而硬件VPN必須借助專用的設(shè)備才可以實(shí)現(xiàn)，兩者之間存在比較大的差別。首先是硬件VPN能穿透NAT (Network Address Translation)防火墻，其次是硬件VPN 安全性遠(yuǎn)遠(yuǎn)好于軟件VPN。軟件VPN 的用戶身份認(rèn)證方式非常簡單，只能通過用戶名和密碼方式進(jìn)行識(shí)別。硬件VPN的加密算法通常都較為安全，硬件VPN 集成了企業(yè)級(jí)防火墻、上網(wǎng)控制和路由功能，一次性提供多種寬帶安全的解決方案，可以輕松實(shí)現(xiàn)遠(yuǎn)程實(shí)施和維護(hù)，相比之下軟件VPN 的后期維護(hù)顯得較為復(fù)雜。

目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。每項(xiàng)技術(shù)都對應(yīng)有一些成熟的方案，如VPN 隧道類型現(xiàn)就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等，加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等，在構(gòu)建VPN連接時(shí)應(yīng)根據(jù)實(shí)際情況進(jìn)行選用。

3.2 技術(shù)對策

VPN產(chǎn)品的性價(jià)比不同，對VPN硬件設(shè)備的選型也應(yīng)視需求而定。例如，在構(gòu)建VPN連接時(shí)，如果校園網(wǎng)構(gòu)架不復(fù)雜，通訊需求量不是很大，但要求安全可靠和管理方便，應(yīng)選擇集成VPN功能的防火墻設(shè)備方案比較適合。此方法的特點(diǎn)首先是能滿足建立VPN網(wǎng)絡(luò)的需求，其次是增加的硬件防火墻能提高校園網(wǎng)絡(luò)的安全防范等級(jí)。

3.3 VPN網(wǎng)絡(luò)建設(shè)實(shí)現(xiàn)的目標(biāo)

主校區(qū)和分校區(qū)的內(nèi)部服務(wù)器及計(jì)算機(jī)之間要實(shí)時(shí)進(jìn)行安全的數(shù)據(jù)交換，兩者之問需要建立雙向可尋址的VPN訪問。遠(yuǎn)程客戶端要通過瀏覽器訪問主校區(qū)的Web服務(wù)器，還需建立遠(yuǎn)程客戶端到主校區(qū)的單向VPN訪問。

3.3.1 主校區(qū)和分校區(qū)的VPN連接

在各校區(qū)現(xiàn)有校園網(wǎng)的出口處分別安裝一臺(tái)VPN網(wǎng)關(guān)，每個(gè)校區(qū)通過該設(shè)備連接互聯(lián)網(wǎng)。VPN網(wǎng)關(guān)在保持原來的上網(wǎng)功能不變的情況下，在不安全的互聯(lián)網(wǎng)上建立起經(jīng)過安全認(rèn)證、數(shù)據(jù)加密的IP Sec VPN隧道，實(shí)現(xiàn)校區(qū)安全互連。

根據(jù)主校區(qū)和分校區(qū)的網(wǎng)絡(luò)使用要求和經(jīng)濟(jì)性等多方面考慮，應(yīng)選用硬件型的集成VPN功能的防火墻。此外，防火墻還應(yīng)具備路由功能，支持NAT技術(shù)，在分校區(qū)相對較小、校園網(wǎng)絡(luò)構(gòu)架不復(fù)雜的情況下，使用該類防火墻還可以將原校園網(wǎng)絡(luò)接入互聯(lián)網(wǎng)用的路由器省掉，是一個(gè)理想的選擇。主校區(qū)選擇一臺(tái)防火墻作為VPN網(wǎng)關(guān)，設(shè)備應(yīng)可以支持上千個(gè)并發(fā)TCP／IP會(huì)話和上百個(gè)VPN 隧道，可以充分保證主校區(qū)內(nèi)所有計(jì)算機(jī)的安全、流暢的網(wǎng)絡(luò)使用及VPN支持的需求。對于分校區(qū)的多臺(tái)計(jì)算機(jī)上網(wǎng)及VPN需求，選擇一臺(tái)可支持幾十個(gè)VPN隧道的防火墻作為VPN 網(wǎng)關(guān)即可。由于校區(qū)網(wǎng)絡(luò)構(gòu)架并不復(fù)雜，主、分校區(qū)網(wǎng)關(guān)均擁有靜態(tài)公網(wǎng)IP地址，不會(huì)做經(jīng)常性的變動(dòng)，可采用“基于路由的LAN (局域網(wǎng))到LAN的VPN” 手動(dòng)密鑰方式，創(chuàng)建IP Sec VPN隧道，來實(shí)現(xiàn)校區(qū)間安全連接。

3.3.2 遠(yuǎn)程用戶到主校區(qū)的VPN連接

考慮到遠(yuǎn)程用戶訪問校園網(wǎng)絡(luò)集中于主校區(qū)Web服務(wù)器，遠(yuǎn)程用戶到主校區(qū)的VPN連接可以采用SSL VPN模式。SSL VPN采用高強(qiáng)度的加密技術(shù)和增強(qiáng)的訪問控制，而且易于安裝、配置和管理，避開了部署及管理必要客戶軟件的復(fù)雜性和人力需求。

3.3.3 做好防護(hù)，提高VPN的安全性

雖然VPN 為遠(yuǎn)程工作提供了極大的便利，但是它的安全性卻不可忽視。通常校園網(wǎng)服務(wù)器、核心交換機(jī)都會(huì)安裝一些殺毒軟件或者是防火墻軟件，而遠(yuǎn)程計(jì)算機(jī)就不一定擁有這些安全軟件的防護(hù)。因此，必須有相應(yīng)的解決方案堵住VPN的安全漏洞，比如在遠(yuǎn)程計(jì)算機(jī)上安裝殺毒軟件和防火墻、對遠(yuǎn)程系統(tǒng)和內(nèi)部網(wǎng)絡(luò)系統(tǒng)定期檢查，對敏感文件進(jìn)行加密保護(hù)等，這樣才能防患于未然。

4、結(jié)束語

總之，在獨(dú)立學(xué)院與母校之間通信要求越來越高，各校區(qū)的網(wǎng)絡(luò)系統(tǒng)安全、經(jīng)濟(jì)和可靠的實(shí)現(xiàn)校區(qū)之間資源共享是目前首要考慮的問題。利用遠(yuǎn)程客戶端到VPN網(wǎng)關(guān)的連接解決了受地域等條件限制的遠(yuǎn)程辦公問題，滿足了經(jīng)常在校外工作人員查閱、訪問本院信息資源的需要；通過VPN連接兩個(gè)局域網(wǎng)，實(shí)現(xiàn)高校各校區(qū)之間網(wǎng)絡(luò)系統(tǒng)的邏輯連接，為各校區(qū)的資源共享提供方便、快捷的服務(wù)創(chuàng)造了良好條件。

參考文獻(xiàn)：

[1] 戴宗坤等 VPN 與網(wǎng)絡(luò)安全[M]． 北京： 電子工業(yè)出版社， 2002．

第7篇：vpn技術(shù)論文范文

>> 淺談呼倫貝爾市科技系統(tǒng)辦公自動(dòng)化平臺(tái)系統(tǒng)建設(shè) 企業(yè)OA協(xié)同辦公系統(tǒng)建設(shè)及后續(xù)開發(fā)與應(yīng)用 淺談醫(yī)院辦公自動(dòng)化系統(tǒng)建設(shè)與管理 淺談辦公自動(dòng)化系統(tǒng)建設(shè)的實(shí)踐與啟示 淺談企業(yè)門戶系統(tǒng)建設(shè)的關(guān)鍵技術(shù) 淺談企業(yè)郵件系統(tǒng)建設(shè)與改造 淺談企業(yè)信息管理系統(tǒng)建設(shè) 淺談供電企業(yè)95598客戶服務(wù)系統(tǒng)建設(shè) 淺談VRS系統(tǒng)建設(shè) 辦公應(yīng)用系統(tǒng)建設(shè)的改進(jìn)思路 淺談如何加強(qiáng)企業(yè)辦公室系統(tǒng)自身建設(shè) 淺談電力營銷管理系統(tǒng)建設(shè) 淺談醫(yī)院標(biāo)識(shí)系統(tǒng)建設(shè) 淺談醫(yī)院信息系統(tǒng)建設(shè) 淺談航標(biāo)遙測遙控系統(tǒng)建設(shè) 淺談企業(yè)培訓(xùn)中的E-Learning網(wǎng)絡(luò)學(xué)習(xí)系統(tǒng)建設(shè) 淺談冶金企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化系統(tǒng)建設(shè) 淺談大中型制造企業(yè)成本管理系統(tǒng)建設(shè) 淺談企業(yè)財(cái)務(wù)管理信息化系統(tǒng)建設(shè) 淺談當(dāng)代企業(yè)集團(tuán)檔案管理系統(tǒng)建設(shè) 常見問題解答 當(dāng)前所在位置：.

[3]李福東.移動(dòng)辦公平臺(tái)架構(gòu)研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)碩士論文，2008.

[4]尤衛(wèi)軍.移動(dòng)辦公平臺(tái)的實(shí)現(xiàn)方式[J].科技創(chuàng)新導(dǎo)報(bào)，2012（2）.http：//.cn/Article/CJFDTotal-JSJS201202015.htm.

[5]王穎.移動(dòng)辦公綜合適配方案研究[J].數(shù)字通信，2011（12）：36.

[6]溫國興，錢旭菲.利用移動(dòng)信息化技術(shù)實(shí)現(xiàn)移動(dòng)辦公.http：//.cn/news/rdzt/bjdl/yxzp/jsyy/yxj/t20110104_624963.shtml.

[7]張璞，文登敏.基于J2ME和J2EE的移動(dòng)電子商務(wù)系統(tǒng)的研究[J].成都信息工程學(xué)院學(xué)報(bào)，2006（4）：504-507.

[8]羅勤.基于J2ME的移動(dòng)辦公系統(tǒng)的研究與開發(fā)：[碩士學(xué)位論文].大連：大連海事大學(xué)，2005.

第8篇：vpn技術(shù)論文范文

【關(guān)鍵詞】 WCDMA技術(shù) 無線傳感器網(wǎng)絡(luò) 中間件

RESEARCH ON NETWORK INTERCONNECTION OF WSN AND WCDMA

Xu Zhiwei，Ni Jie，Wang Gang，Zhao Honglin，Ma Yongkui （Harbin Institute of Technology，Heilongjiang Harbin，150001）

Abstract：ON the background of WCDMA mobile communication system of ZTE and WSN system of OURS， the article designs the interconnection scheme and realizes its function through B/S structure. The article designs the interconnection scheme on middleware technology and realizes its function through WEB.

Keywords： WCDMA technology， wireless sensor network， middleware

一、 n題研究背景

WCDMA移動(dòng)通信系統(tǒng)是哈爾濱工業(yè)大學(xué)通信工程系與中興通訊公司共建的碩士生和本科生校內(nèi)實(shí)踐基地。實(shí)驗(yàn)室現(xiàn)有的WCDMA移動(dòng)通信網(wǎng)絡(luò)只具備基本的語音通信和數(shù)據(jù)通信功能，學(xué)生們不能充分體會(huì)到通過移動(dòng)通信終端控制實(shí)際設(shè)備的功能，這樣就會(huì)使學(xué)生缺少對系統(tǒng)的更全面的認(rèn)識(shí)和興趣。本文設(shè)計(jì)WSN與WCDMA網(wǎng)絡(luò)互聯(lián)的具體方案，提出以中間件技術(shù)進(jìn)行WCDMA移動(dòng)通信網(wǎng)絡(luò)和無線傳感器網(wǎng)絡(luò)進(jìn)行互聯(lián)的具體方案，配置網(wǎng)絡(luò)互聯(lián)所需要的主要參數(shù)。本文利用無線傳感器網(wǎng)絡(luò)中間件技術(shù)實(shí)現(xiàn)WSN和WCDMA系統(tǒng)的互聯(lián)，驗(yàn)證移動(dòng)通信終端通過WCDMA移動(dòng)通信網(wǎng)絡(luò)來訪問和控制無線傳感器網(wǎng)絡(luò)的功能。

二、網(wǎng)絡(luò)互聯(lián)方案的設(shè)計(jì)

本文中系統(tǒng)的組建主要包括WCDMA移動(dòng)通信系統(tǒng)的組建和WSN實(shí)驗(yàn)系統(tǒng)的組建兩部分。WCDMA移動(dòng)通信系統(tǒng)采用WCDMA R4網(wǎng)絡(luò)結(jié)構(gòu)，利用中興通訊公司的技術(shù)實(shí)現(xiàn)。WSN實(shí)驗(yàn)系統(tǒng)是基于奧爾斯公司OURS-IOTV2-EP平臺(tái)組建的。WSN和WCDMA網(wǎng)絡(luò)互聯(lián)是通過中間件技術(shù)實(shí)現(xiàn)。

2.1 WCDMA移動(dòng)通信系統(tǒng)的組成

本文采用WCDMA R4網(wǎng)絡(luò)結(jié)構(gòu)作為組建移動(dòng)通信網(wǎng)絡(luò)的模型。WCDMA R4網(wǎng)絡(luò)結(jié)構(gòu)主要由Node B、RNC、CS和PS等組成。CS域的功能實(shí)體主要包括移動(dòng)媒體網(wǎng)關(guān)（MGW）和移動(dòng)軟交換中心（MSC）。PS域的功能實(shí)體主要包括SGSN和GGSN等設(shè)備。

基站（Node B）在RNC控制下完成射頻信號(hào)的接收和發(fā)射，與移動(dòng)終端進(jìn)行通信，對信號(hào)進(jìn)行調(diào)制解調(diào)和定位信息管理。RNC通過接口電路完成對基站的管理，RNC通過接口電路與核心網(wǎng)進(jìn)行通信。RNC負(fù)責(zé)信道分配、信道切換、邏輯信道到傳輸信道的映射、信道傳輸格式設(shè)置。核心網(wǎng)由電路域（CS）和分組域（PS）構(gòu)成。電路域（CS）主要完成用戶的語音通信功能，包括話音業(yè)務(wù)、短信業(yè)務(wù)和視頻通話。分組域（PS）主要管理用戶訪問互聯(lián)網(wǎng)的業(yè)務(wù)。本文選擇基站的型號(hào)是中興通訊公司的ZXSDR B8200 +ZXWR R8840，RNC選用的型號(hào)是ZXWR-RNCV3，移動(dòng)媒體網(wǎng)關(guān)型號(hào)是ZXWN MGW，移動(dòng)軟交換中心型號(hào)是ZXWN MSC，分組域的型號(hào)是ZXWN PS。

2.2 WSN實(shí)驗(yàn)系統(tǒng)的組成

該實(shí)驗(yàn)系統(tǒng)主要由硬件部分和軟件部分組成。硬件設(shè)備包括8個(gè)無線通信模塊、8個(gè)傳感器模塊、8個(gè)電源板模塊、高性能嵌入式網(wǎng)關(guān)和其他配套設(shè)備。實(shí)驗(yàn)系統(tǒng)包含4個(gè)無線傳感網(wǎng)通信節(jié)點(diǎn)和一個(gè)無線互聯(lián)網(wǎng)解調(diào)器。

2.3通過WEB中間件實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)

中間件是在操作系統(tǒng)（包含底層通訊協(xié)議）和多類分布式應(yīng)用系統(tǒng)聯(lián)系的單個(gè)應(yīng)用中間件，中間件的主要功能是屏蔽軟件系統(tǒng)的差異，實(shí)現(xiàn)對上層系統(tǒng)透明傳輸?shù)墓δ?，無線傳感器網(wǎng)絡(luò)的中間件軟件制定需要遵守如下的標(biāo)準(zhǔn)：

A 由于節(jié)點(diǎn)的能源、運(yùn)算、儲(chǔ)存性能和通訊性能不足，因此WSN中間件需要的是較輕能耗程度的器件，且可以在功能和能源利用間實(shí)現(xiàn)均衡。

B 傳感網(wǎng)環(huán)境比較復(fù)雜，因而中間件軟件還需要供給優(yōu)越的容錯(cuò)體制、自變化體制和自保護(hù)體制。

C 中間件軟件的下層支持是多類軟件節(jié)點(diǎn)和操作平臺(tái)（如TinyOS、MANTIS OS、SOS等），因而中間件系統(tǒng)不用考慮下層的差異。

D中間件系統(tǒng)由不同的軟件組成，為各種上層軟件供給相同的、能夠拓展的接口，進(jìn)而進(jìn)行應(yīng)用的研制。

IOTService 是基于微軟操作系統(tǒng)運(yùn)行的，其功能主要是把不同的軟件服務(wù)集成到一個(gè)系統(tǒng)中。其它的系統(tǒng)和終端通過不同的局域網(wǎng)和廣域網(wǎng)與IOTService進(jìn)行連接。IOTService的主要優(yōu)點(diǎn)是為不同的用戶提供統(tǒng)一的軟件接口，可通過服務(wù)器/客戶端的模式通信，也可以搭建 WebService，通過WebService 和 IOTService 進(jìn)行通信，再進(jìn)一步編寫 B/S 架構(gòu)的應(yīng)用軟件。整個(gè)系統(tǒng)結(jié)構(gòu)如圖1所示。由于WSN的中間件技術(shù)能夠很好的在不同網(wǎng)絡(luò)環(huán)境中運(yùn)行，因此選取中間件技術(shù)作為WSN和WCDMA網(wǎng)絡(luò)互聯(lián)的方案。

2.4基于VPN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全互聯(lián)

雖然WSN和WCDMA網(wǎng)絡(luò)本身都有一些安全協(xié)議來保證信息在傳輸?shù)倪^程中的安全性，但由于在實(shí)際應(yīng)用中WSN與WCDMA進(jìn)行互聯(lián)時(shí)都要通過Internet，由于Internet對所用用戶是開放的，因此信息經(jīng)過Internet傳輸時(shí)容易受到黑客的攻擊，所以研究WSN和WCDMA安全互聯(lián)技術(shù)很重要。本文研究并現(xiàn)了基于VPN技術(shù)進(jìn)行網(wǎng)絡(luò)安全互聯(lián)的方案。

虛擬專用網(wǎng)（Virtual Private Network）是通過互聯(lián)網(wǎng)等建立一種基于安全協(xié)議的網(wǎng)絡(luò)連接，通過VPN建立起的網(wǎng)絡(luò)連接是經(jīng)過安全協(xié)議加密的，因此能夠?qū)σ獋鬏數(shù)臄?shù)據(jù)進(jìn)行加密，實(shí)現(xiàn)在開放的互聯(lián)網(wǎng)中安全通信的目的。在VPN中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有穿通專用的端到端物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)平臺(tái)上。VPN對用戶端透明，用戶使用一條專用線路進(jìn)行通信。

三、實(shí)驗(yàn)過程

實(shí)驗(yàn)過程主要包括：（1）運(yùn)行計(jì)算機(jī)中的中間件。（2）修改tcpser.ip和 tcpsbm.ip為中間件所在計(jì)算機(jī)的IP 地址。（3）修改tcpser.port 和 tcpsbm.port為無線傳感網(wǎng)絡(luò)數(shù)據(jù) TCP 端口和管理中間件TCP 端口。（4）把jdbc.url中的DBQ部分修改為Access數(shù)據(jù)庫的路徑。（5）運(yùn)行startup.bat批處理命令。（6）在WCDMA制式的移動(dòng)終端瀏覽器中輸入IP地址后，移動(dòng)終端的屏幕上出現(xiàn)物聯(lián)網(wǎng)管理界面，在這里可以完成相關(guān)模塊的管理功能，實(shí)現(xiàn)無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)拓?fù)浣Y(jié)構(gòu)的顯示和管理等功能。

四、結(jié)束語

本文完成以下研究工作：

1、組建以WCDMA R4為網(wǎng)絡(luò)結(jié)構(gòu)的移動(dòng)通信系統(tǒng)，設(shè)計(jì)Node B、RNC和核心網(wǎng)的主要參數(shù)，實(shí)現(xiàn)移動(dòng)通信終端通過WCDMA網(wǎng)絡(luò)的語音和數(shù)據(jù)通信功能。

2、分析無線傳感器網(wǎng)絡(luò)與WCDMA移動(dòng)通信網(wǎng)絡(luò)互聯(lián)的方案，選取中間件技術(shù)的互聯(lián)方案。

3、設(shè)計(jì)基于VPN技術(shù)的網(wǎng)絡(luò)互聯(lián)方案，并驗(yàn)證該方案能夠?qū)SN和WCDMA網(wǎng)絡(luò)進(jìn)行安全互聯(lián)。

參 考 文 獻(xiàn)

[1]孫卓. 異構(gòu)無線網(wǎng)絡(luò)中的接入選擇機(jī)制研究. 北京郵電大學(xué)博士論文，2007.

第9篇：vpn技術(shù)論文范文

【 關(guān)鍵詞 】 SSL；SSL VPN；指紋識(shí)別；APT

1 引言

隨著信息技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)技術(shù)的普及，一方面為人們生活帶來的便利，另一方面也出現(xiàn)越來越多的安全問題。自2013年美國“棱鏡門”事件后，關(guān)于APT（高級(jí)持續(xù)性威脅）的討論和研究也越來受到關(guān)注。

APT是一種針對特定目標(biāo)組織的有經(jīng)濟(jì)或政治目的，且持續(xù)時(shí)間較長的一種攻擊，它結(jié)合了傳統(tǒng)的網(wǎng)絡(luò)攻擊方式同時(shí)利用0day漏洞，常常使受攻擊者防不勝防，直到出現(xiàn)真正損失才覺察到攻擊的存在。目前在APT攻擊中，常利用SSL隱藏或傳遞機(jī)密信息，同時(shí)SSL木馬的頻繁使用，危害也日益嚴(yán)重，因此如何區(qū)分出正常和異常的SSL成為了預(yù)防APT攻擊的一種有效方式?，F(xiàn)有的方法主要是針對SSL證書的可信度檢測上，但是近年來偽造證書可信度越來越高，所以單從證書角度已不全面可靠，還需要從SSL流量的端口、上下報(bào)文以及連接時(shí)長等流量統(tǒng)計(jì)特點(diǎn)出發(fā)進(jìn)行。由于SSL有不同類型，比如SSL VPN、瀏覽器的SSL，不同類型具體的檢測方式也不相同，因此在此之前需要對抓取的各類SSL流量進(jìn)行分類。目前對SSL流量分類的相關(guān)研究仍是空白，本文基于此提出了各種SSL流量的“指紋識(shí)別”方法。

文章共分為四部分，首先介紹研究內(nèi)容背景和意義，然后簡要說明SSL握手協(xié)議，其次對SSL流量“指紋識(shí)別”方法進(jìn)行詳細(xì)闡述，最后分析方法的特點(diǎn)及未來研究展望。

2 SSL握手協(xié)議

SSL安全套階層協(xié)議是為主機(jī)間提供安全通道的協(xié)議，位于傳輸層和應(yīng)用層之間，提供連接的隱秘性、用戶的真實(shí)性以及數(shù)據(jù)的可靠性。SSL協(xié)議由握手層協(xié)議、記錄層協(xié)議、更改密文協(xié)議和警報(bào)協(xié)議組成，如圖1所示。

其中握手協(xié)議是SSL協(xié)議中最為重要的協(xié)議，通過握手可以提供對雙方的身份驗(yàn)證機(jī)制。在這一過程中客戶端和服務(wù)器需要確認(rèn)一個(gè)用于加密明文數(shù)據(jù)所使用的密鑰和算法，同時(shí)協(xié)商雙方的信息摘要算法、數(shù)據(jù)壓縮算法等，過程如圖2所示。

（1）ClientHello消息?？蛻舳藭?huì)首先向服務(wù)器發(fā)送這條消息，來通知對方客戶端所支持的算法，以及為了將來生成多個(gè)加密密鑰所需要的客戶端隨機(jī)數(shù)。

（2）ServerHello消息。服務(wù)器會(huì)從客戶端發(fā)送的加密算法中選擇其中的一種。

（3）Server Certificate 消息。Server Certificate包含了用于身份認(rèn)證的服務(wù)器標(biāo)識(shí)，以及一個(gè)用于生成加密參數(shù)的隨機(jī)數(shù)。

（4）Certificate Request 消息?？蛇x消息，如果服務(wù)器不需要驗(yàn)證客戶端的身份，則不會(huì)發(fā)送這條消息。

（5）Server Hello Done消息。這條消息表示ServerHello消息與Certificate消息一經(jīng)發(fā)送完畢，服務(wù)器會(huì)等候客戶端的回應(yīng)。客戶端一旦收到這條消息，才開始數(shù)字證書合法性的驗(yàn)證。

（6）Client Certificate 消息?？蛇x，如果沒有收到Certificate Request消息，則不需要發(fā)送數(shù)字證書。

3 SSL類型識(shí)別

SSL握手是客戶端和服務(wù)器進(jìn)行密鑰、算法協(xié)商的步驟，不同類型的SSL有特定的密鑰和算法選擇方式，這些可選擇的密鑰和算法通過ClientHello消息進(jìn)行傳遞，因此本文將根據(jù)SSL握手協(xié)議中客戶端發(fā)送的ClientHello消息來區(qū)分不同類型的SSL流量。

ClientHello消息中包含了SSL/TLS版本號(hào)、Cipher Suites（加密套件）和擴(kuò)展部分的簽名算法等。通常對于同一個(gè)客戶端發(fā)出的不同類型SSL請求，其ClientHello消息是有差別的。目前SSL流量可大致分為SSL VPN和瀏覽器產(chǎn)生的SSL，我們通過Wireshake軟件進(jìn)行大量抓包后分析發(fā)現(xiàn)，通過Cipher Suites、SessionTicket TLS、Status_request這三個(gè)字段信息可以有效區(qū)分SSL VPN和瀏覽器的SSL流量，甚至可區(qū)分出不同瀏覽器和同一瀏覽器在不同操作系統(tǒng)下的SSL流量。

近幾年Microsoft推出使用SSL進(jìn)行加密的SSTP，方便了用戶在Windows上直接建立VPN，所以本文對SSL VPN的分析著重集中在SSTP VPN。同時(shí)主流的瀏覽器有IE、Chrome、Firefox、Sougou，其中Sougou是使用IE和Chrome內(nèi)核，因此不對Sougou瀏覽器進(jìn)行分析。特別需要注意的是，IE的各個(gè)版本隨著不同的操作系統(tǒng)版本SSL流量具有明顯不同。

3.1 SSTP VPN

SSTP VPN僅支持Win7操作系統(tǒng)及以上版本，在Win7、Win8以及Win8.1客戶端與Windows Server 2012間搭建SSTP VPN并抓取數(shù)據(jù)包，通過大量實(shí)驗(yàn)總結(jié)發(fā)現(xiàn)，SSTP VPN在Win7和Win8操作系統(tǒng)中通常使用TLSv1.0，而Win8.1則使用TLSv1.2。并且Win7和Win8下Cipher Suites的總數(shù)相同，共12個(gè)，相比之下Win8.1的 SSTP VPN Cipher Suites包含了24個(gè)加密套件。Cipher Suites通常由三個(gè)部分組成，第一是密鑰交換算法，第二是對稱加密算法，第三是摘要或者M(jìn)AC算法， RFC2246中建議了很多中組合，一般寫法是“密鑰交換算法-對稱加密算法-摘要算法”。

雖然Win7和Win8下SSTP VPN的加密套件數(shù)量相同，但是還可通過擴(kuò)展部分是否包含SessionTicket TLS進(jìn)行有效區(qū)分，實(shí)驗(yàn)表明只有Win8和Win8.1才包含該項(xiàng)。Session Ticket是用于在握手階段SSL連接中斷后重新握手使用的，與Session ID的區(qū)別在于即使客戶端的重新請求發(fā)送至另一臺(tái)服務(wù)器仍然可以恢復(fù)對話，但是它僅保存在客戶端， 目前在瀏覽器中只有Firefox和Chrome和Win8以上版本的IE瀏覽器支持。此外三個(gè)操作系統(tǒng)下的SSTP VPN都不包含Status request擴(kuò)展項(xiàng)，而瀏覽器則都包含，這是它們之間的最大區(qū)別。SSTP VPN的比較見表1，“√”表示包含，反之為“×”。

3.2 IE瀏覽器

對于IE瀏覽器，目前仍有使用的是IE8到IE11，其中Win7支持IE8、IE9，Win7 Sp1版本支持IE11以前的所有版本，從Win8.1開始則主要使用IE11。在Win8及以上版本，IE瀏覽器產(chǎn)生的SSL流量包含了SessionTicket TLS字段，這是Win7版本與Win8、Win8.1流量的最大區(qū)別，通過這一特點(diǎn)可快速區(qū)分出瀏覽器的操作系統(tǒng)環(huán)境。然而，在Win7及Win7 sp1版本中，IE8、IE9和IE10都沒有區(qū)別，無論從握手協(xié)議擴(kuò)展項(xiàng)或者加密密碼套件上看都是相同的，數(shù)量都為12個(gè)，與Win7環(huán)境下SSTP VPN的加密套件一致。唯獨(dú)能夠進(jìn)行區(qū)分的只有IE11，其加密密碼套件Cipher Suites包含了21個(gè)，在原有12個(gè)的基礎(chǔ)上新增了9個(gè)組合。

相比之下Win8.1則較容易識(shí)別，因?yàn)橹皇褂肐E11，且用TLS 1.2版本，不僅包含SessionTicket TLS，而且Cipher Suites共有19個(gè)，更新升級(jí)后的Win8.1專業(yè)版的Cipher Suites則包含24個(gè)，不只是數(shù)量上簡單的增加，還去除了原有的幾個(gè)加密算法組合。IE各版本識(shí)別如表2所示。

3.3 其他瀏覽器

針對其他兩個(gè)非IE的瀏覽器，F(xiàn)irefox和Chrome，這兩類瀏覽器產(chǎn)生的SSL流量都包含了SessionTicket TLS、Status_reques。但Cipher Suites數(shù)量上，在Win7系統(tǒng)下，當(dāng)Firefox和Chrome使用TLS 1.0時(shí)， Firefox有11個(gè)Cipher Suites，而Chrome則有17個(gè)。除了在Cipher Suites的數(shù)量上的差別，F(xiàn)irefox和Chrome在其他擴(kuò)展字段與IE瀏覽器有明顯區(qū)別，主要體現(xiàn)在簽名哈希算法數(shù)量以及橢圓曲線算法。在簽名哈希算法數(shù)量選擇上，Chrome共10個(gè)，比Firefox總數(shù)多了2個(gè)，且具體簽名算法也不盡相同，而IE瀏覽器只有在使用TLS 1.2時(shí)擴(kuò)展項(xiàng)才有簽名哈希算法，數(shù)量為7個(gè)。不僅如此，在橢圓曲線算法上，Chrome瀏覽器、IE瀏覽器以及SSTP VPN各版本在數(shù)量和類型上都相同，只有Firfox多了一個(gè)。該特點(diǎn)即可區(qū)分Firefox與其他SSL類型。

通過以上ClientHello幾個(gè)字段的比較可以明顯區(qū)分各種類型的SSL流量，實(shí)現(xiàn)了SSL“指紋識(shí)別”，同時(shí)也為后續(xù)設(shè)計(jì)SSL檢測模型防御APT攻擊奠定了基礎(chǔ)。雖然所提分類方式彌補(bǔ)了目前研究空缺，但是對瀏覽器的SSL流量識(shí)別僅集中在Win7及以上現(xiàn)今較流行操作環(huán)境，對微軟早前的操作系統(tǒng)比如XP、Vista等未做分析，這是實(shí)驗(yàn)的不足之處。

4 結(jié)束語

本文通過分析現(xiàn)有APT和SSL研究背景，提出了一種通過SSL握手協(xié)議中的ClientHello消息進(jìn)行SSL流量類型識(shí)別的方法，不僅對Win7及以上版本的SSTP VPN、各版本瀏覽器的SSL流量做了有效區(qū)分，也為以后提出SSL檢測模型做好準(zhǔn)備工作。未來我們將在此基礎(chǔ)上深入分析各種SSL流量類型的異常檢測。

參考文獻(xiàn)

[1] Paul Giura， Wei Wang. A Context-Based Detection Framework for Advanced Persistent Threats. International Conference on Cyber Security[C].2012，69-74.

[2] 黃達(dá)理， 薛質(zhì). 進(jìn)階持續(xù)性滲透攻擊的特征分析研究[J]. 信息安全與通信保密， 2012， （5）： 87-89.

[3] Zigan Cao， Gang Qiong， Yong Zhao， et al. Two-Phased Method for Detection Evasive Network Attack Channels[J]. China Communication， 2014， （8）： 47-58.

[4] Linshung Huang， Alex Rice， Erling Ellingsen，et al. Analyzing Forged SSL Certificates in the Wild. IEEE Security and Privacy [C].2014，83-97.

[5] 鐘軍， 吳雪陽， 江一等. 一種安全協(xié)議的安全性分析及攻擊研究[J]. 計(jì)算機(jī)科學(xué)與工程， 2014，36（6）： 1077-1082.

基金項(xiàng)目：

國家自然科學(xué)基金重點(diǎn)項(xiàng)目（云計(jì)算環(huán)境下軟件可靠性和安全性理論、技術(shù)與實(shí)證研究）（編號(hào)：61332010）。

作者簡介：

蘇E昕（1992-），女，上海交通大學(xué)，碩士；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全、信息安全管理。