时间:2023-03-16 15:51:04
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇vpn技术论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2010)09-0083-02
1 引言
随着我院办学形式的转变,先后在北京和杭州成立的相关研究所,以及在杭州的浙江技师学院分校。现要求使各分部区能访问主校区的校内资源,保证连接和访问的安。所以必须寻找一种新的互连方式解决校区间数据传递或教职工在校外访问校内资源中遇到的问题。价格上要求实惠,数据要求安全,因此虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输,虚拟专用网还可以保护现有的网络投资。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 VPN简介
2.1 虚拟专用网
虚拟专用网(Virtual Private Network,VPN),是基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2.2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
(1)VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考,如图1所示。其中IPSec集成了IP层隧道技术和加密技术。
(2)隧道技术。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特点
(1)安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性。从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3 VPN应用实例
利用VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
结合我校的实际要求,采用美国网件产品FVL328、FVL318VPN产品,价格实惠,总体性能满足要求,美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥、PKI(X.509)进行身份认证等方式,加强内部网络的安全性能。
FVL328、FVS318具有支持动态DDNS组建的IPSEC VPN网络的功能, 并运用了产品自身的DDNS(动态域名解析)技术,整个VPN系统网络使用方便、快速、图形化的配置界面使维护和管理更简单、建设费用低廉。VPN拓扑结构图,如图2所示:
在总校采用一台FVL328作为中心端,在其他分校使用FVS318,整个VPN网络通过认证密码统一管理,形成一个集中管理的虚拟私有网络,VPN传输使用IPSEC协议。对外安全边界使用NETGEAR的宽带防火墙技术屏蔽来自外部的各种可能攻击。
总校可采用固定的IP地址和域名,各分校可以申请动态拔号ADSL宽带线路, 通过从NETGEAR的VPN设备中申请获得免费的DDNS(动态域名解析服务),从而可低成本地组建VPN网络连接,结合美国网件公司的VPN防火墙FVL328和FVS318的先进安全策略技术,来实现实际需求和将来可能的需求. 各分院能够直接访问到母校的数据共享服务器资源, 同时又要保证数据能安全的在公网上进行传输.即实现母校与各分院之间数据和信息能够安全、保密、高速、稳定的实时传输。
4 结语
文中所举的例子给读者起着抛砖引玉的作用,由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。VPN技术户广泛用于校际间的数据传送,也是企业的分支机构联系数据的主要手段。
参考文献
[1] 石冰.VPN的构建方法.安庆师范学院学报(自然科学版),2008,8(3).
组播VPN是基于MPLSL3VPN来实现组播传输的技术。如图1所示,网络中同时承载着两个相互独立的组播业务:公网实例、VPN实例A。公共网络边缘PE组播设备支持多实例。各实例之间形成彼此隔离的平面,每个实例对应一个平面。以VPN实例A为例,组播VPN指:当VPNA中的组播源向某组播组发送组播数据时,在网络中所有可能的接收者中,仅属于VPNA(即Site1、Site3或Site5中)的组播组成员才能收到该组播源发来的组播数据。组播数据在各Site及公网中均以组播方式进行传输。其中,实现组播VPN所需具备的网络条件如下:(1)在每个Site内支持基于VPN实例的组播。(2)在公共网络内支持基于公网实例的组播。(3)PE设备支持多实例组播,即支持基于VPN实例和公网实例的组播,并支持支持公网实例与VPN实例之间的信息交互和数据转换。为了满足以上条件,互联网工程任务组(IETF)最终形成制定了以MD(MulticastDomain)组播域方案来实现组播VPN的标准。MD方案的基本思想是:在骨干网中为每个VPN维护一棵称为Share-MDT的组播转发树。来自VPN中任一Site的组播报文都会沿着Share-MDT被转发给属于该MD的所有PE。MD是一个集合,它由一些相互间可以收发组播数据的VRF组成。其中,支持组播业务的VRF为MVRF,它同时维护单播和组播路由转发表。PE收到组播报文后,如果其MVRF内有该组播组的接收者,则继续向CE转发;否则将其丢弃。不同的MVRF加入到同一个MD中,通过MD内自动建立的PE间的组播隧道(MT)将这些MVRF连接在一起,实现了不同Site之间的组播业务互通。每个MD会被分配一个独立的组播地址,称为Share-Group。当两个MVRF之间通信时,用户报文以GRE方式被封装在骨干报文里通过MT进行传输,骨干报文的源地址为PE用来建立BGP连接所使用的接口IP地址,目的地址为Share-Group。
2民航数据通信网中组播VPN的实现
在民航数据通信网中实现组播VPN主要需完成骨干网络的准备工作以及组播VPN设计与实施等工作。
2.1组播VPN的规划设计民航ATM数据网华东地区ATM交换机上的RPM-PR板卡提供了MPLSVPN业务,目前部署的MPLSVPN业务网络拓扑为星形结构,即由区域一级节点9槽RPM板卡作为P设备和路由反射器,而其他节点均为PE设备。华东地区ATM网络中同时承载着两个相互独立的组播业务:ATM数据网公网组播实例和名为YJCJ2的用户私网组播实例。VPN组播实例是通过在P和PE设备上部署实现的,网络中,作为P和PE的RPM板卡上运行着公网组播实例,而作为PE的RPM板卡同时又运行着用户私网组播实例。公网的组播实例是在所有RPM板卡上开启组播应用。上海虹桥和浦东机场两个节点的10槽RPM板卡负责接入用户的VPN组播业务,所以需在这两台设备上部署MPLSVPN应用,并在这两个用户站点相应的VRF实例中开启组播应用。在本案例中,VPN用户接入侧要求使用的是PIM密集模式,而民航数据网MPLSVPN公网则使用的是PIM稀松模式。在MPLSVPN网络中不同用户的VPN站点都是彼此逻辑独立的,并且VPN用户数据封装MPLS标签后通过公网的PE和P设备进行传输。对于VPN组播来说,数据的传输模式也是类似的。PE设备通过将该VPN实例中的用户VPN组播数据报文封装成公网所能“识别”的公网组播数据报文进行组播转发。这种将私网组播报文封装成公网组播报文的过程就叫做构造组播隧道(MT)。在PE上,每个VPN用户的组播数据是通过不同的MTI(MulticastTunnelInterfac)组播隧接口在公网构造组播隧道,参见图2。由于公网、VPN网以及用户接入侧各组播部署中都采用PIM协议启用了组播应用,MPLSVPN中组播应用包含如下的PIM邻居关系:(1)PE-P邻居关系:指PE上公网实例接口与链路对端P上的接口之间所建立的PIM邻居关系。(2)PE-PE邻居关系:指PE上的VPN实力通过MTI收到远端PE上的VPN实例发来的PIMHello报文后建立的邻居关系。(3)PE-CE邻居关系:指PE上绑定VPN实例的接口与链路对端CE上的接口之间建立的PIM邻居关系。部署公网组播实例需在华东地区所有相关RPM板卡开启组播服务,考虑到密集模式对RPM设备和骨干网资源的开销,在民航ATM数据网中使用了PIM稀松模式。根据网络的物理网络拓扑模型,选取上海虹桥9槽RPM板卡作为RP。
2.2组播VPN的实施运行在MPLSVPN网络中的P和PE设备上部署PIM协议,这些设备之间会形成PE-P邻居关系,从而使得公网支持组播功能,并形成公网的组播分发树。本案例中使用PIM稀松模式,即在虹桥和浦东机场节点的9、10槽RPM板卡的配置底层IGP路由协议的接口上部署PIM稀松模式,这样就构造了公网的PIM共享树。在传输用户私网组播报文的PE上部署基于VRF实例的组播,一个VPN实例唯一制定一个Share-Group地址。同一个VPN组播域内的PE之间形成PE-PE邻居,并形成该组播域的共享组播分发树(Share-MDT)。在本例中就是在虹桥和浦东机场的10槽YJCJ2VRF实例中部署相应的defaultMDT地址239.255.0.5。用户CE设备和PE连接CE的相应接口启用组播,本例中使用PIM密集模式。这样就形成了PE-CE邻居关系。本例中是在虹桥和浦东机场节点的相应VPN业务端口配置PIM密集模式。当用户有组播报文需要传输的时候,就将组播报文发送给PE的VRF实例,PE设备收到报文后识别组播数据所属的VRF实例。用户私网的数据报文对于公网是透明的,不论数据归属或类别,PE都统一将其封装为公网组播数据报文,并以Share-Group作为其所属的公网组播组。一个Share-Group唯一对应一个MD,并利用公网资源唯一创建一棵Share-MDT进行数据转发。在该VPN中所有私网组播报文,都通过此Share-MDT进行转发。如图3所示,可以看到华东地区公网上的Share-MDT创建的过程。虹桥节点10槽RPM向9槽RPM(RP节点)发起加入消息,以Share-Group地址作为组播组地址,在公网沿途的设备上分别创建(*,239.255.0.5)表项。同时虹桥浦东机场节点也发起类似的加入过程,最终在MD中形成一棵以虹桥节点9槽RPM为根,以虹桥、浦东机场节点10槽RPM为叶的共享树(RPT)。随后,虹桥和浦东机场节点10槽RPM的公网实例向公网RP发起注册,并以自身BGP的router-id地址作为组播源地址、Share-Group地址作为组播组地址,在公网的沿途设备上分别创建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表项,形成连接PE和RP的最短路径树(SPT)。在PIM-SM网络中,由(*,239.255.0.5)和这两棵相互独立的SPT共同组成了Share-MDT。虹桥节点PE的私网组播报文在进入公网后,均沿该Share-MDT向浦东机场节点PE转发。图4是私网组播报文在公网中转发的过程。当浦东机场节点的YJCJ2VPN用户CE设备加入到虹桥节点数据源所在的组播组,此时由于这两个站点部署为PIM-DM模式,虹桥节点组播设备会立刻将数据推送到虹桥节点10槽RPM的YJCJ2VRF实例中,并通过该VPN构建的Share-MDT在公网上以(20.51.5.6,239.255.0.5)构建的SPT进行公网组播报文传输。当公网组播报文被浦东机场10槽PE设备收到后会将其解封装成原始的私网组播报文,并转发给相应的接收CE,最终完成用户私网组播数据在MPLSVPN网络中的传输。
3总结
关键词:VPN,管理,管理技术
一、VPN服务及其应用
VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。
如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。
二、VPN管理
VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。
通过VPN管理系统,可以实现以下目的:
1、降低成本:保证VPN可管理的同时不会过多增加操作和维护成本。
2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。
3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。
4、可靠性:VPN构建于公共网络之上,其可控性降低,所有必须采取VPN管理提高其可靠性 。
三、VPN管理技术
1、第二层通道协议
第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。
L2TP提高了VPN的管理性,表现在以下方面:
(1)安全的身份验证
L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。
(2)内部地址分配
用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。
(3)网络计费
L2TP能够进行用户接口处的数据流量统计,方便计费。
(4)统一网络管理
L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。
2、IKE协议
IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。
在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。
IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。
3、配置管理
可以使VPN服务器支持MIB,利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。
(1)WEB方式的管理
利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。
(2)分级统一管理
如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。
4、IPSec策略
IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。
IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。
利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。
参考文献:
[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11
[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123
[3]潘爱民.计算机网络(第四版)[M].清华大学出版社2004.8
关键词:有效 利用 数字图书馆 方法
中图分类号:G250.7 文献标识码: A 文章编号:1672-1578(2013)03-0081-02
1 引言
信息技术的迅速发展和广泛应用,不仅改变着人们的工作和生活方式,也改变着教育和学习方式,也促进了国内外数字资源的突飞猛进发展,高校图书馆购买的数字资源也越来越多,可供师生访问的资源日渐增多,但是数据库资源的知识产权和版权等因素使得相当部分数字资源使用范围有限,只能在校园网内部访问,不能对外网开放。电大开放教育以学生为中心,具有开放性、灵活性、针对性和适应性等特点,主要运用卫星、电视、互联网、移动终端等信息化手段和多种教学媒介,构建全民多样化终身学习型社会。国家开放大学数字图书馆的服务对象是开放大学及电大系统的师生,但他们多数是在职在岗的成人,学习的地方相对分散,到校园图书馆利用数字资源极为不便,也因此形成了开放大学图书馆服务方式的特殊性。为了满足电大系统教师和学生随时随地便捷地使用图书馆数字资源,国家开放大学数字图书馆提供远程访问服务。
2 远程访问数字图书馆
本文所讨论的远程访问是校外访问,就是指非校园网用户突破校内IP地址的物理限制使用学校购买的数字化数据库资源。目前远程访问图书馆数字资源有传统服务器技术、VPN技术、Athens项目、PKI技术、Shibbloeth项目、EZproxy技术等[1]。VPN技术实现远程访问已经普遍应用并逐步完善,尤其在远程访问图书馆数字资源中应用更为广泛。新兴的 SSL VPN 技术非常适合移动用户的远程接入访问,该技术集传统数据网络的安全、快速及共享数据库的低成本且简单易行等优点特点,可以为外部网提供虚拟连接,从而成为高校图书馆为所有非校园网的师生提供资源共享的最理想的方案[2]。
3 VPN概述
VPN(Virtual Private Network)即虚拟专用网络,是一种网络新技术,在公用网络上通过加密、认证、封装以及密钥交换技术,建立单位内部专用网络进行远程虚拟访问的连接方式。VPN具有传输数据安全可靠,连接方便灵活,可完全控制,成本低等特点[3]。
SSL VPN是采用SSL(Secure Sockets Layer,安全套接层)协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB的安全协议,使用SSL 协议进行认证和数据加密的VPN就可以免于安装客户端。相对于传统的VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点[4]。
4 应用VPN技术访问数字图书馆的方法
笔者在教育教学过程中发现绝大多数学生不会远程访问数字图书馆,甚至很多教师都不会合理利用网上数字资源。开放大学图书馆由于涉及数据库资源的知识产权问题,使用范围有限,在校园网内使用没有限制,但校外只允许属于电大的教师和学生作为合法的用户,提供VPN技术,用户在登录后,需要安装VPN控件,才能正常的打开文献资源列表。一般情况下,VPN系统会自动检测电脑系统,并引导安装VPN插件,也可以在网站下载插件安装包进行安装。因此要求我们提供用户名和密码来进行身份的确认。笔者在教学工作中发现,很多学生写毕业论文或教师做课题研究的时候,抱怨找不到资源,找到的资源不完整或者下载需付费,下面简单介绍校外如何访问开放大学数字图书馆(中央广播电视大学图书馆)。
4.1 开放大学数字图书馆介绍
国家开放大学数字图书馆为开放大学及全国电大系统提供一站式、扁平化服务,其中电子图书书目数据达340多万种、电子图书全文达234万种、学术文献7000多万篇、社科数字期刊2800多种,名师讲座88624集,基本实现数字文献资源全学科覆盖[5]。主要涵盖:(1)开放文献资源列表,提供中央电大图书馆提供的常用电子文献资源列表;(2)读者论坛帮助BBS(beta),是开放数图论坛读者帮助模块,在此可以反馈在使用中存在的问题,提出数字图书改进建议;(3)数字图书馆学习空间,以图书馆培训、教育为主要内容,同时提供教师自建课程的Moodle教学平台;(4)电大在线・我的工作室,提供在线教学辅导的全部信息;(5)开放大学讲坛,由中央电大图书馆主办的学术讲座平台,汇集名师名家,深入讲解近期发生的热点问题,提供最全的视频资料信息;(6)全国电大图书馆通讯,是图书馆服务与交流电子期刊,提供了最新的电大图书馆工作动态,介绍电大图书馆新引进的和推荐的文献信息资源等;(7)社会化应用及交流网站等服务。
4.2 安装VPN控件
开放大学数字图书馆(http://)通过VPN的方式对开放教育学生以及电大系统教职工提供授权访问服务。打开页面“插件”(如上图),下载“国家开放大学数字图书馆远程访问控件”,即VPN控件,在安装过程中关闭防火墙和IE安全控(上接81页)
件软件,并将图书馆网站的链接地址添加到IE信任列表,Windows Vista用户在安装控件时请关闭UAC,Windows 7用户在安装控件时请对IE点击右键选择“以管理员身份运行”,再打开安装页面。安装VPN控件后,这个插件要求必须使用IE浏览器进行访问,IE浏览器的版本最低为6.0。
4.3 登陆访问资源列表
点击“开放数图”,学生用电大在线学生证号进行登录,教师用电大在线用户名进行登录,通过点击开放文献资源列表标签,在进入过程中检查身份的合法性及访问资源的安全性,检查完毕进入应用列表,包括CNKI、维普、万方、超星、龙源、读秀等数据库,涵盖了最新期刊、会议论文、学位论文等。
4.4 文献检索
以中国知网(CNKI)为例,打开CNKI(国开镜像版),期刊包括博硕士学位论文、会议、报纸、外文文献、年鉴、百科、词典、统计数据、专利、标准等内容,通过全文、主题、篇名、关键字、摘要、文献来源等方式输入关键字进行检索,在检索结果中打开自己感兴趣的文献进行阅读、下载。
日新月异的信息技术,促进了教育信息化的迅猛发展,电大教师的信息技术应用能力、文献检索的方法和途径直接决定了远程教育教学资源的使用效率和科研水平,因此笔者认为提升师生信息素养,加强信息技术应用能力,通过系统内数字资源应用培训,从数字图书馆平台访问、国内主要文献数据库的使用、移动数字图书馆的使用等方面进行培训,使教职工掌握数字文献资源的使用,提高数字资源的使用率,充分发挥资源共享的优势和效益,为教学和科研提供支持。
参考文献:
[1]张文丰,黄淑敏.开放大学数字图书馆资源校外访问方式的研究[J].黑龙江科技信息,2007,(20):146.
[2]付凯东.SSL VPN技术在高校图书馆数字资源中的应用[J].微计算机信息,2010,26(7-3):107.
[3]百度百科:虚拟专用网络[EB/OL].http:///view/480950.htm?fromId=19735.
[4]百度百科:SSL VPN介绍[EB/OL].http:///view/708397.htm/
山东联通在2012年开始分组承载传送网的建设,2013年基本完成核心汇聚层面和市区接入层面的全覆盖,分组传送网设备集采中标厂家包括华为、中兴和贝尔,三个厂家在各地市分别进行了综合承载传送网的建设。其中组网结构、业务承载方案,与RNC对接方案等关键点成为时下讨论研究的重点。
2 综合承载传送网的组网结构
综合承载传送网采用分层结构组网,分为核心汇聚层和边缘接入层。核心汇聚层组网结构主要分为三种:环形组网、口字型组网和双上联组网。
山东联通各地市组网主要采用环形和口字型组网方式。双上联组网和口字型组网结构类似,但由于需要耗费大量的光纤资源或者波分波道资源,因此在实际组网时主要还是采用折中的口字型组网方式。
边缘专业提供论文写作和写作论文的服务,欢迎光临dylw.net接入层主要根据光纤资源情况,分为双挂环形组网和单挂环形组网方式,一般光纤资源能保证的区域优先选用双挂方式,因为双挂方式除了能实现传统的路径保护(1:1 LSP)外,还能实现双归保护,从而避免汇聚设备单点故障引起的大面积掉站。
3 业务承载方案
3.1 业务承载需求
山东联通综合承载传送网主要有两大类业务承载需求:
⑴基站回传等自营业务或者系统的承载需求:
具备IP化、以太化基站的接入能力,提供高可靠、大容量的基站回传流量的承载;
满足LTE网络的承载需求,实现基站间灵活互访、基站多归属、基站组播等承载能力;
能够满足动力监控、综合业务接入网网管等各类系统的承载需求。
⑵政企业务或者大客户的承载需求:
⑶提供高可靠、大容量的二、三层VPN接入能力,能够满足点到点、点到多点、多点到多点等二、三层VPN的组网需求;
⑷具备电路仿真能力,提供ATM/FR/DDN等电路的接入能力。
3.2 承载方案分析
山东联通综合承载传送网的业务承载方案可归结为三点:
⑴对于2G和3G基站的TDM业务,可以采用伪线方式一PWE3实现。并在核心节点采用CSTM1端口进行汇聚。El业务一般采用SAToP方式,封装帧数和抖动缓存暂按设备缺省值取定。
⑵对于TDM、以太网、ATM等大客户专线,应采用相应的伪线方式实现。对于L3VPN的大客户专线,可采用核心汇聚层L3VPN加边缘接入层伪线、层次化L3VPN等两种方式实现。
⑶对于未来的LTE业务,分组传送网络需要承载s1和X2接口的流量。业务对IP转发的层面要求将进一步下移。可采用核心汇聚层L3VPN或层次化L3VPN到边缘的方式。
不同厂家对于3G IP业务承载方案的推荐会有所不同,就山东联通而言,基站数据域业务承载方式主要存在两种,(1)L3VPN部署到边缘-华为主推;(2)L3VPN部署到汇聚-中兴和贝尔主推。两者各有优势,L3VPN部署到边缘需要为基站互联端口分配IP地址,根据目前3G基站的IP地址分配规则,会涉及大量基站的IP地址调整,但符合中远期网络的演进思路;L3VPN部署到汇聚,基站IP地址的调整量将大大减少,与现有MSTP提供3G移动回传FE的业务提供方式、维护方式相似度高,利于分组传送技术引入后网络运行维护的逐步过渡。
山东联通综合承载传送网的业务承载方案如图3和图4:
4 综合承载传送网与RNC的互联方案
目前,山东联通2G/3G基站的电路域业务在核心机房均通过155M电路与BSC/RNC直接相连。3G基站的分组专业提供论文写作和写作论文的服务,欢迎光临dylw.net域业务与RNC对接现网有两种方式,一种是RNC直接与分组承载传送网业务汇聚设备互连,另一种是RNC通过CE与分组承载传送网互连。
在RNC直接与分组承载传送网互联情况下,若RNC的GE或STM-1接口不足,可采用以下方式:
4.1 RNC接入端口扩容
通过对RNC的GE和STM-1端口成对扩容,满足与分组承载传送网业务互联的需求,同时可以减少对已有3G业务的影响。通过逐步割接,可将现有以MSTP网络承载的3G分组业务割接到分组承载传送网上。
4.2 RNC接入端口不方便扩容
应将MSTP上的分组业务在汇聚层或核心层直接割接到分组承载传送网上。通过分组承载传送网设备与RNC相连。
就山东联通目前的组网而言,由于还存在着大规模的2G/3G基站采用MSTP传输接入,在一定的时间段内无法保证IP化,因此还存在着核心设备与RNC有大量的CSTM-1口对接,RNC的扩容在未来2-3年内也将继续进行,也会带来一定规模的GE口扩容,因此中大型地市的综合承载网与RNC互联通过分组业务汇聚设备显得更为合理。
5 传输背景人员快速融入IP RAN维护
引入分组传送技术后,整个综合承载传送网解决方案都是以数通技术作为基础,如何使传输背景人员快速融入IPRAN的建设维护显得尤为重要,结合实际工作,建议从以下几个方面入手:
5.1 比较传统传输理念和IP化理念的异同
传统的MSTP网络属于硬管道交换,所有业务都是建立端到端的连接通道占用固定带宽,
但是综合承载传送不一样,它既继承了传输端到端OAM的特性,又有数据网络逐跳建立连接的特性,整个网络是一张弹性的网。我们可以借助传统IP城域网的理念去类比IPRAN技术的相关概念,深入理解数通相关知识。
5.2 深刻认识全程全网和端到端业务理念
与传统的MSTP一样,综合承载传送网也需要建立端到端业务的概念,我们不仅仅需要理解分组网络是如何进行信息传递的,而且还需要把无线接入和核心网纳入到我们关注的范围,从NODEB和UTN如何连接,RNC与UTN如何对接,整个数据流进入UTN以后如何进行封装传送等等,理解整个UTN、在配置数据排除故专业提供论文写作和写作论文的服务,欢迎光临dylw.net障时才能得心应手。
5.3 认真学习实施方案
建议在工程建设期间认真学习具体的实施方案,一般而言,厂家会根据设计文件完成具体的实施方案,从组网方案、拓扑设计及设备选型、IP地址规划、路由部署设计、MPLS隧道设计、业务部署设计、可靠性设计、时钟/网管同步设计、QOS部署设计等等。这个过程可以帮助你学习完成一张网搭建所需的所有知识。
5.4 熟练掌握网管
网管需要掌握相关的数通知识,如I-SIS/BGP/MPLS/VPN/RSVP TE等等,需要对解决方案中用到的知识点有个较深入的理解,另外一方 面我们又要熟练掌握网管的相关操作,在IPRAN的维护习惯上,我们更偏向于网管操作,不会像传统数通设备维护那样通过命令行进行操作,但是网管操作的基础又是数通知识,因为网管只是提供一个界面,提升效率,真正要配置的还是数通协议。理论和网管是IPRAN的两个关键点,两者相辅相成缺一不可,所以我们要同时加强这两方面的技能。
5.5 工程随工学习
更多的现场随工学习可以帮助你快速提升,深入现场多操作设备,通过实际对比分IPRAN技术与MSTP传统传输的区别。工程建设期的随工是一个很好的机会,因为工程建设期不用担心业务是否受影响,操练起来能更充分。
6 结束语
综合承载传送网已经是一张成熟的网络,但随着技术的进一步发展,还有很多方面可以继续深入探讨并且完善,例如北方省分的二级汇聚(县乡层面)如何拓展,综合业务区规划带来的网络调整等等,随着LTE的引入,综合承载传送网将发挥更大的作用,成为目标网络架构的一张精品网。
论文关键词:电子商务,信息安全,防火墙,权限控制
0 引言
近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站,通过网站实施农产品信息、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出,并且该问题已经严重制约了农产品电子商务的进一步发展。
1 农产品电子商务的安全需求
根据电子商务系统的安全性要求,田阳农产品电子商务系统需要满足系统的实体安全、运行安全和信息安全三方面的要求。
1) 系统实体安全
系统实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施和过程。
2) 系统运行安全系统运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急)来保护信息处理过程的安全[1]。项目组在实施项目前已对系统进行了静态的风险分析,防止计算机受到病毒攻击,阻止黑客侵入破坏系统获取非法信息,因此系统备份是必不可少的(如采用放置在不同地区站点的多台机器进行数据的实时备份)。为防止意外停电,系统需要配备多台备用电源,作为应急设施。
3) 信息安全
系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息被非法的系统标识、控制。系统的核心服务是交易服务,因此保证此类安全最为迫切。系统需要满足保密性,即保护客户的私人信息,不被非法窃取。同时系统要具有认证性和完整性,即确保客户身份的合法性,保证预约信息的真实性和完整性,系统要实现基于角色的安全访问控制、保证系统、数据和服务由合法的客户、人员访问防火墙,即保证系统的可控性。在这基础上要实现系统的不可否认性,要有效防止通信或交易双方对已进行的业务的否认论文的格式。
2 农产品电子商和安全策略
为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:
2.1基于多重防范的网络安全策略
1) 防火墙技术
防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2) VPN 技术
VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。
性能
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能防火墙,又不会“饿死”,低优先级的应用。
管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备论文的格式。
2.2基于角色访问的权限控制策略
农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。
目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限[2]。角色访问控制策略主要是两方面的工作:
(1)确定角色
根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。
(2)分配权限策略
根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。
2.3基于数据加密的数据安全策略
在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。
1)数据库加密系统措施
(1)在用户进入系统进行两级安全控制
这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。
2)防止非法复制
对于服务器来说防火墙,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。
3)安全的数据抽取方式
提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用DBMS提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用DBMS提供的卸出、装入工具完成[3]。
3结束语
随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。
参考文献:
[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.
[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35
[3]张立克.电子商务及其安全保障技术[J].水利电力机械,2007,29(2):69-74.
关键词:IPSec VPN;MPLS VPN;SSL VPN;对比
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0101-01
一、引言
随着信息化经济一体化的发展,实现资源共享是每个企业追求发展进步不可或缺的一步。利用隧道技术在公共网络上建立安全的虚拟专用网络(VPN)是实现资源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN这几个比较主流的VPN技术。
二、IPSec VPN
IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,用来提供公用和专用网络的端对端加密和验证服务。IPsec给出了应用于IP层上网络数据安全的一整套体系结构,包括AH网络认证协议、ESP封装安全载荷、IKE因特网密钥交换和用于网络认证及加密的一些算法等[1]。其中,AH协议和ESP协议用来提供安全服务,IKE协议用于密钥交换。
(一)认证头(AH)协议
IPsec认证头协议是IPsec体系结构中的一种主要协议(AH协议把AH头插入IP数据包),它为IP数据报提供无连接完整性、数据源认证、保护以避免重播情况[1]。
(二)封装安全载荷(ESP)协议
封装安全载荷(ESP)协议是IPsec体系结构中的一种用来提高IP的安全性的主要协议。ESP加密要保护的数据并且在IPsec ESP的数据部分进行数据的完整性校验,以达到其数据机密性和完整性的目的。ESP提供了与AH相同的安全服务并提供了一种保密。
(三)IKE
IKE是一种混合型协议,由Internet安全联盟(SA)和密钥管理协议(ISAKMP)这两种密钥交换协议组成。IKE是以受保护的方式为SA协商并提供经过认证的密钥信息的协议。IKE用于协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。同样,IKE使用ISAKMP为其他IPSec(AH和ESP)协议协商SA。
三、MPLS VPN
MPLS VPN与传统的IPSec VPN不同,MPLS VPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于Internet。MPLS VPN是一种以MPLS技术为基础的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。
(一)MPLS VPN的基本原理
每个MPLS VPN网络的内部是由P(供应商)设备组成,这些设备构成了MPLS的核心,且不直接同CE路由器相连,围绕在P周围的PE路由器可以让MPLS VPN网络发挥VPN的作用。在MPLS VPN中,用户站点通常运行的是IP。它们并不需要运行MPLS和其他特殊的VPN协议。在PE路由器中,RD对应同每个用户站点连接。这些连接可以是诸如T1、单一的帧中继、ATM虚电路或者DSL等物理连接。RD在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在用户设备上进行配置,对于用户来说是透明的[2]。
(二)MPLS VPN的优点
1.减少时延。由于数据包不再经过封装或者加密,所以时延被减到最低。不再需要封装和加密原因是MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似[2]。
2.配置MPLS VPN网络的设备比较容易。配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络不许访问CPE。
3.提高了资源利用率。由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。
4.安全性高。采用MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATM VCC(Virtual Channel Connection,虚通道连接)类似的高可靠安全性。
四、SSL VPN
SSL VPN的出现是为了解决IPSec VPN的固有的缺点,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致优点,避免了因有客户端而导致的使用维护不便、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题[2]。IPSec VPN与SSL VPN的对比。传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置。若企业的远程接入数量增多,企业的维护成本就会随之增加。而SSL VPN最大的优点之一就是不需要安装客户端程序远程用户可以随时随地从任何浏览器上安全接入到内部网络。对比表如下:
五、总结
由于VPN的优秀安全特性,让它越来越受到安全要求较高的企业或部门的青睐。此文指出的IPSec VPN、MPLS VPN、SSL VPN技术增加了VPN通信的安全性。伴随着VPN的广泛使用,更加复杂的VPN系统会继续出现。所以,其安全策略管理的问题将逐步显现,这方面的研究也将受到高度重视。
参考文献:
关键词:SSL VPN; IPsec VPN; 数字化校园; 远程访问
中图分类号:TP393 文献标识码:A文章编号:2095-2163(2013)02-0032-03
0引言
随着信息化进程的加快,各个高校对校园信息化投入不断增加,致力于建成数据交换与共享的数字化校园平台。虽然目前很多学校已经拥有了应用管理系统、数据资源库系统、公共通讯平台,但这些网络资源和办公平台常常受到网络的限制,只能在校园内部使用。本校2012年师生问卷调查显示:居住在外的教师、经常出差的行政办公人员以及在外实习的大四毕业生对于校外不能访问校内数字化资源,均已感到极为不便。具体来说,教师在外网不能登录学习平台批改作业;行政人员出差时,不能获取部门统计数据;大四未在校的学生不能通过毕业设计系统提交论文。这些状况即已表明目前校园的基础网络及其实现方案存在一定的不足,亟需新技术的应用以解决校园外部访问校内数字化资源的问题。经过广泛,深入的调研分析可知,VPN(Virtual Private Network)正是解决这一瓶颈的技术方案。
1VPN 的原理及SSL VPN方案的优势
11VPN原理
VPN,即虚拟专用网络,其含义指通过使用公共网络基础设施,利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式[1]。VPN利用公用网络来实现任意两个节点之间的专有连接,适用于移动用户、分支机构以及远程用户安全、稳定地接入到内部网络。同时,VPN还向用户提供了专用网络所独具的功能,但其本身却不是一种真正意义上的独立物理网络,没有固定物理线路连接。近年来,VPN技术已经大量应用于高校的移动办公,并且在数字化资源的多校区数据访问方面也有着广泛应用。VPN远程访问的思路是,用户在网络覆盖的任意地点,首先,通过ADSL或者LAN方式接入互联网;其后,通过拨号校园网的VPN网关,构建一条从用户所在网络地址到校园网的二层隧道;而后是VPN服务器给用户分配相应的校园网地址,从而实现校园网数字化资源的远程访问[2]。
12两种VPN方案的对比
按照协议划分,VPN主要有两大主流,分别是IPsec VPN和SSL VPN。IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障,IPsec协议是一组协议套件,包括安全协议、加密算法、认证算法、密钥管理协议等[3]。IPsec VPN构建于网络层,通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性,最适合Site to Site之间的虚拟专用网。相比之下,SSL VPN采用的是SSL安全套接层协议,构建于网络的应用层。SSL VPN方案无需安装客户端软件,经过认证的用户是通过Web浏览器而接入网络,适用于Point to Site的连接方式。总体来看,相比于IPsec VPN方案,SSL VPN方案有三点优势,具体如下。
(1)兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端,对用户也无任何特殊的操作要求。用户不需要下载客户端,由此免去了对客户端软件的更新升级、配置维护,否则,在进行VPN策略调整的时候,其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议,就可以使客户端简便、安全地访问内网信息,维护成本较低。
(2)提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备,由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能,可提供用户级别鉴定,确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能,而在外的办公行政人员还可以访问某个特定部门的相关数据。
(3)具备更强的安全性。IPsec是基于网络层的VPN方案,对IP应用均是高度透明的。而SSL VPN是基于应用层的,在Web的应用防护方面更具一定优势。某些高端的SSL VPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。2SSL-VPN的关键技术及性能分析
21访问控制技术
访问控制技术是由VPN服务的提供者根据用户的身份标志对访问某些信息项进行相应操控的作用机制。目前,通用的VPN方案中,常常是由系统管理员来控制相关用户的访问权限。作为安全的VPN设备,SSL VPN可通过“组”策略对应用进行访问控制[4]。有些SSL VPN产品可以将Web应用定义为一系列的URL,而组和用户则可允许和禁止访问相应的应用。其它一些SSL VPN产品可以提供更为精细的高级控制,控制策略不仅含有“允许”和“禁止”,还包括用户能访问的资源列表以及对这些资源的操作权限控制。由于SSL VPN工作在网络的应用层,管理员可以基于应用需求、用户特征以及TCP/IP端口进行严密的访问控制策略设置。SSL VPN还能通过浏览器中的参数支持动态访问部署策略,管理员可以依据用户身份、设备类型、网络信任级别、会话参数等各型因子,定义不同的会话角色,并给与不同的访问权限。另外,基于用户的访问控制需要维护大量的用户信息,当前最流行的控制策略则是基于角色的访问控制,在握手协议的过程中统一集成访问控制的基础功能,再将资源的控制权交托于可信的授权管理模型。
22性能分析
VPN的性能指标值对校园网中关键业务的应用实现具有直接影响,在设计数字化校园的VPN详尽方案之前,有必要了解其性能指标。SSL VPN中,常见的性能指标有连接速率、网络延迟、加密吞吐量、并发用户数,等。其中,连接速率表示了SSL VPN系统每秒钟可建立或终止的最大会话连接数目,用以度量被测VPN设备在单位时间内交易事务的处理能力[5]。可以通过添置SSL硬件加速卡、提高控制速率上限等举措来改善其性能。另外,SSL VPN使用的是非对称加密算法,这就导致VPN服务器的CPU将在高负荷状况下处理SSL的加解密。而对于这种计算密集型的加解密操作,为了保障服务器能够正常工作,既可以限制SSL会话的数量,也可以添加服务器的数目。只是这两种方式各有利弊,若限制会话数目,就会出现高峰期间的部分用户无法连接服务器,而添加服务器数目又会大幅增加VPN系统的财务用度。因而,通常情况下,使用SSL加速器来提升加解密速度,进入SSL的数据流由加速器解密并传给服务器,而外流的数据又经过加速器加密再回传给客户。服务器方面,只需要处理简单的SSL请求,将消耗资源的工作完全交给加速器,全面有效地提升了VPN方案的整体性能。
3SSL-VPN下的数字化校园解决方案
31需求分析与设计目标
校园数字化资源中集结了多种重要的数据库以及多款办公软件。大四年级的学生会经常需要登录毕业设计系统上传学科论文;校外居住的教师也需要登录图书馆期刊检索系统,下载专业文献;另外,因公在外的招生、财务人员又需要及时获取部门的数字化信息,并借助办公自动化的高端平台与其它部门顺畅沟通。上述校园网的这些外部访问通常都是不确定的动态IP地址,在数据库服务器的安全策略中多会将之认定为是非法用户而遭到拒绝。因此,在外部访问校园网之数字化校园时,就需要研发一个远程访问方案,该方案可将合法的非授权校外地址转化为授权的校园网内地址。此方案需要考虑的用户有三种,分别是:在外居住的教师、大四实习生以及在外办公的行政人员。
32系统体系结构
经过实地调研和深入分析,采用了SSL VPN架构,具体框架如图1所示。
由图1可知,这是一个基于Web模式的SSL VPN系统,在用户和应用服务器之间构建了一个安全的信息传递通道。其中,SSL VPN服务器相当于一个网关,且具备双重身份。对用户而言,这是服务器,负责提供基于证书的身份鉴别;对应用服务器而言,则属于客户端的身份,并向服务器递交访问申请。由此,通过在防火墙后安装VPN设备,校外用户只需要打开IE浏览器,就可以访问到校园数字化资源的URL。其后,SSL VPN 设备将取得连接并验证用户的身份,此时SSL服务器就会将连接映射到不同应用的服务器上。而且方案中又采用了技术,所有成功接入SSL VPN系统的校外用户都可以全面访问LAN口所能获得的数字化资源。本系统还具备较高的传输性能,优先考虑SSL VPN服务器的性能,将需要消耗大量资源的加解密工作交给加速器。实现过程中,采用的设备是由Cisco ASA建立Web VPN服务器,而将Radius Server作为验证用户身份的服务器。
33改进型安全策略——基于角色的控制
本校SSL VPN系统采用的是基于角色的访问控制策略,既包括用户安全认证的接口也包括用户访问的资源列表。实际上,校园网系统的用户认证和访问控制均在控制协议部分获得实现,可以在此过程中添加角色的访问控制。通过在证书中集成角色属性,系统在进行安全认证时,就可以同步实现角色验证。VPN系统在明确用户角色属性的基础上确定其访问权限,而后给出该用户可以访问的资源列表信息。另外,用户在登录VPN系统时,还需要在登录界面输入身份信息。
4结束语
随着校外用户对数字化校园资源访问需求的日益迫切增长,使得VPN技术也随之广受关注[6]。为了给予校外访问、使用校园数字化资源提供更大便利,因而在综合考虑本校实际用户数量和主要用户角色的基础上,由网络中心主持设计并全面实现了SSL VPN系统。目前,本校SSL VPN系统运转良好,能够满足现有的使用需求,并且也具备了一定的扩展能力。当然,该实施方案并不是唯一可选,当校园网的VPN用户数量并不多、要求也不高时,就可以考虑软件型VPN方案。不然,还可通过购买专业的VPN设备打造高水准、高级别的SSL VPN系统。
参考文献:
[1]王达. 虚拟专用网(VPN)精解[M]. 北京:清华大学出版社,2004:45-46.
[2]朱伟珠. 利用VPN技术实现高校图书馆资源共享[J]. 情报科学,2007,25(7):1158-1061.
[3]徐家臻,陈莘萌. 基于IPsec与基于SSL的VPN的比较与分析[J]. 计算机工程与设计,2004,25(4):186-188.
[4]沈海波,洪帆. 访问控制模型研究综述[J].计算机应用研究,2005,32(5):9-11.