vpn技术论文合集12篇
vpn技术论文篇1
1引言
VPN(VirtualPrivateNetwork)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。
2隧道技术的实现
假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,如图1所示。
图1
现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。
3军队院校校园网建设VPN技术应用设想
随着我军三期网的建设,VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先,军队的特殊性要求一些信息的传达要做到安全可靠,采用VPN技术会大大提高网络传输的可靠性;第二,军队院校不但有各教研室和学员队,还包括保障部队、管理机构等,下属部门较多,有些部门相距甚至不在一个地方,采用VPN技术可简化网络的设计和管理;第三,采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。
而VPN技术的特点正好能够满足以上几点需求。首先是安全性,VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP),并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据,还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。第二,在解决异地访问本地电子资源问题上,这正是VPN技术的主要特点之一,可以让外地的授权用户方便地访问本地的资源。目前,主要的VPN技术有IPSecVPN和SSLVPN两种。其中IPSec技术的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外还能对IP数据包进行加密和认证。而SSLVPN技术则是近几年发展起来的新技术,它能够更加有效地进行访问控制,而且安全易用,不需要高额的费用。该技术主要具有以下几个特点:第一,安全性高;第二,便于扩展;第三,简单性;第四,兼容性好。
我认为军队院校校园网VPN技术应主要采用SSLVPN技术。首先因为其安全性好,由于IPSecVPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSecVPN网关,它可以在内部为所欲为。因此,IPSecVPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全,而SSLVPN则是接入企业内部的应用,而不是企业的整个网络。它可以根据用户的不同身份,给予不同的访问权限,从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构,安全保密应该是主要考虑的方面之一。第二,SSLVPN与IPSecVPN相比,具有更好的可扩展性。可以随时根据需要,添加需要VPN保护的服务器。而IPSecVPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSecVPN就要重新部署。第三,操作的复杂度低,它不需要配置,可以立即安装、立即生效,另外客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行。第四,SSLVPN的兼容性很好,而不像传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。此外,使用SSLVPN还具有更好的经济性,这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入;但是对于IPSecVPN来说,每增加一个需要访问的分支就需要添加一个硬件设备。
虽然SSLVPN的优点很多,但也可结合使用IPSecVPN技术。因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSecVPN是在两个局域网之间通过网络建立的安全连接,保护的是点对点之间的通信,并且,IPSecVPN工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。可用于军校之间建立虚拟专用网,进行安全可靠的信息传送。
4结论
总之,VPN是一项综合性的网络新技术,目前的运用还不是非常地普及,在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求,VPN技术将会发挥其应有的作用。
vpn技术论文篇2
VPN网络广泛应用于各行各业,那么VPN真的安全吗?这是作为网络管理人员不得不考虑的问题。下面我们将通过对SSL VPN的安全性的讨论来窥伺VPN安全性的一斑。
1 VPN基本结构
VPN和简单的将数据包加密是完全不同的。它主要由隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术组成。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。SSL加密协议应用到VPN中,就是我们常说的SSL VPN,安全性相对比较高。
2 VPN安全隐忧
理论上VPN具有较高的安全性,但网络中没有绝对的安全,我们以安全性较高的SSL VPN来深入探讨。由于SSL VPN并不需要特殊的客户端软件,而是用Web浏览器代替,因此SSL VPN的安全威胁主要集中在浏览器和服务器上。
2.1 客户端的安全隐患
2.1.1 临时文件
WINDOWS系统在运行过程中会产生临时文件,包括系y运行和上网所产生的临时文件,SSL VPN通过浏览器与服务器端进行通信活动,用户退出VPN系统时,不会自行清除临时文件。这些数据会被缓存在临时文件夹中,浏览器的缓存信息、浏览器URL记录、Cookie等都可能被保存下来。
2.1.2 用户忘记退出
由于网络用户是一个庞大的用户群,大部分用户都不知道如何正确退出VPN系统,单位管理员也不会刻意要求用户及时退出系统,用户事后一般就是关闭浏览器,并没有真正退出VPN系统,这就给SSL VPN系统带来了又一安全隐患。
2.1.3 病毒通过隧道感染内部网络
SSL VPN用户可以使用任何电脑远程登录单位内部网络,用户如果使用带有病毒的电脑接入SSL VPN网络,即使用户网与VPN网之间有防火墙,有些病毒仍将会通过VPN隧道感染SSL VPN网络内部的软件与文件资料。
2.1.4 操作环境风险
通过浏览器,用户可以不受使用地点限制,随意登录VPN系统,在公共场合,如果用户的防护意识不强,登录口令等安全信息泄露的风险增加,他人可以临时“借用”身份证书即可轻松进入相关系统。
2.1.5 内部网络信息泄密
内部应用程序往往使用到内网IP地址或是内部机器名,远程用户通过SSL VPN调用内部应用程序时,SSL VPN就必须将这些内部地址转化为因特网可识别的地址(HAT技术)。由于各个系统对安全性有不同的要求,HAT技术在实现,如果HAT技术应用不恰当,那么黑客可能通过用户访问内部网络的历史记录中分析到内部网络结构情况。
2.2 服务器端安全问题
2.2.1 应用层的安全威胁
SSL VPN一般通过两种方法实现:一是直接使用Web服务器作为其底层平台架设VPN服务器,由于VPN和Web服务器在同一台设备上,Web服务器的安全隐患也将会影响VPN。二是通过独立设备实现SSL VPN,包括硬件与操作系统,这种方式具有较高的安全性,但随着技术的进步,一段时间后这种方式也将暴露出其本身的固有的隐患,这种独立硬件的漏洞决定了整个系统的安全性。
2.2.2 身份认证
由于用户可以通过任何计算机登录进入VPN,可能将用户名和密码泄露,因此服务器端对请求接入的用户的身份认证过程显得更加复杂和重要,对安全性的要求也更高。
3 VPN安全隐患解决方案
3.1 客户端问题解决方案
VPN网络在使用中存在一些问题,但我们可以建立相应的机制来解决或缓解上述问题,使用VPN网络安全更上层楼。
3.1.1 临时数据处理
浏览器一般都带有自动清除临时数据的选项,但用户一般不会自行设置,因此需要在服务器端编写一个小程序,客户端自动下载运行,该程序记录用户登录后的操作及产生的临时数据,退出登录后自动清除用户这个过程中留下的各种格式的临时数据。
3.1.2 使用进程超时机制
大部分用户对于数字证书的安全不太重视,证书长期插在电脑上,导致电脑长时间与SSL VPN处于连接状态,这种情况一方面可以由单位制定操作规章,规定用户离开时证书也要拔下,另一方面可以采用进程超时机制,由系统实时检测用户的操作情况,当用户一定时间内没有操作时,系统自动断开VPN的连接,而用户下一次连接时需要重新认证。
3.1.3 应用层网关技术
应用层网关担任VPN内部网络设备与VPN网外的主机的连结中继者,在SSL VPN服务器上使用应用层过滤技术能有效地防止计算机病毒和黑客通过VPN的隧道感染和攻击VPN内部网络,相当于多了一道有效的防火墙,通过对所有应用请求的审核,将非法的应用请求过滤掉,这样即使应用系统有一些未知的漏洞也不影响安全性能,可以有效防止大部分病毒传播。
3.1.4 加密内部网络信息。
我们通过扫描能很方便地获知网络内的主机名、IP地址等信息,这容易被攻击者利用,因此SSL VPN应对网内的主机名、服务器IP地址等内部网络信息进行加密,尽量减少攻击者获取信息量,让其无从下手。
3.2 服务器端问题解决方案
服务器端的问题主要有下面的几种解决方法:
(1)为了抵制黑客对服务器端应用层漏洞的攻击,利用基于应用层封包过滤技术,只允许已知的合法应用层数据包通过SSL VPN服务器也能有效防止黑客利用非法请求攻击内部服务器。
(2)使用更强的认证机制。取消传统的静态用户名和口令的身份认证机制,最好是使用强的双因素认证机制和一次性口令鉴别机制。最好能够具备LDAP和短信息认证等多种认证功能。同时,还要强制要求用户一段时间后就要修改数字身份证书的密码,防止身份认证设备被人“借用”。
4 结束语
VPN作为一种安全技术和比较有效的网络安全解决途径,由于受各种不确定因素以及人为原因的影响,仍然存在着安全隐患,作为一种应用范围较广泛的安全应用解决方案,这些安全问题不容忽视。
参考文献
[1]马军锋.SSL VPN技术原理及其应用[J].电信网技术,2005,8(08):6-7.
vpn技术论文篇3
一、现状及需求
文山学院坐落于祖国西南边陲云南省文山州州府所在地文山市,学校占地948亩,有教职工594人,学校设有10个二级学院共43个本专科专业,全日制在校生9183人。从学校建设角度,可以把文山学院分为老校区和新校区。学校校园网覆盖到办公楼、教学楼、教职工宿舍楼及老校区部分学生宿舍,由于校园网出口带宽不高,整体网速慢以及很多学生宿舍没有校园网布线,使得很多学生都是自己向网络供应商申请接入互联网。由于我校的教务管理系统只能在校园网内部访问,教师查询教学信息以及考试成绩等的录入只能局限在校园网内部,另外广大教师在获取学校图书馆提供的电子图书、科研论文等信息资源时,也只能在校园网访问。因此,迫切需要一种方法能让学校的师生无论是在学校内还是校外,都能顺利地访问校园网里的资源。这对提高教学效率和教师的科研水平都是很有益的。因此,提出建设我校的VPN解决方案,能够兼顾性能和价格,实现真正意义的优质低价的网络VPN互联。
二、VPN技术分析
虚拟专用网(Virtual Private NetWork,VPN)是指利用Internet等公共网络创建远程的计算机到局域网以及局域网到局域网的连接,而建立的一种可以跨跃更大的物理范围的局域网应用。
1.隧道技术
隧道技术(Tunneling)是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。
VPN采用隧道(Tunneling)技术,利用PPTP与L2TP等协议对数据包进行封装和加密,所以保证了在Internet等公共网络上传输的数据的安全性。
2.VPN分类
VPN按照它的应用可以分为两种:单机到局域网的连接(point to LAN)(如图1所示)和局域网到局域网的连接(LAN to LAN)[1](如图2所示)。
单机到局域网的连接适用于单个用户连接到企业局域网。只要用户个人计算机能够访问Internet,用户就能通过VPN方式跟企业局域网建立连接,从而访问企业局域网提供的资源。
局域网到局域网的连接适用于企业分支机构(可以是多个分支机构)连接到企业总部局域网。企业分支机构和企业总部既可以通过Internet互联也可以通过专线连接,达到分支机构局域网和总部局域网逻辑上属于一个更大的局域网,实现资源的相互共享。
图1单机到局域网的连接
图2 局域网到局域网的连接
根据我校的实际情况,提供VPN服务可以方便广大师生员工通过外网访问校园网登陆教务管理系统数字图书馆等操作,选择单机到局域网的连接。
一个完整的VPN系统一般由VPN服务器、VPN数据通道和VPN客户端三个单元构成。
三、VPN服务器及客户机的安装配置
1.VPN服务器的安装与配置
方案以安装有Windows Server 2008操作系统作为VPN服务器。
①单击“开始”“程序”“管理工具”“管理您的服务器”命令,添加“远程访问/VPN服务器”角色,启动“路由和远程访问服务器向导”
②在向导的配置界面中,选择“虚拟专用网络(VPN)访问和NAT”单选按钮,配置该服务器为VPN服务器,同时具有NAT功能,然后单击“下一步”按钮
③选择“VPN”和拨号复选框,然后单击“下一步”按钮
④使用VPN,在VPN服务器上必须有两个网络接口,一个连接到Internet,一个接到校园网网络。选择“本地连接”为VPN服务器到Internet的网络接口,“本地连接2”连接到校园局域网。单击“下一步”按钮
⑤选择“自动”单选按钮,因为校园网内专门有DHCP服务器进行IP地址的指派。单击“下一步”按钮
⑥提示是否选择此服务器与RADIUS服务器一起工作,选择“否”,单击“下一步”按钮
⑦最后单击“完成”按钮,结束“远程访问/VPN服务器”的配置。
为用户配置远程访问权限
用户可以通过VPN服务器上的本地用户账户和局域网中的域用户账户通过VPN访问局域网。要使用户通过VPN访问局域网,账户都应该具有“拨入权限”。
2.VPN客户端计算机安装与配置
远程客户首要条件是已经连接到Internet。远程客户机接入Internet可以是通过宽带拨号,也可以是局域网到Internet的网络连接。
方案以安装有windows 7 SP1操作系统作为VPN客户端。
①打开控制面板进入“网络和共享中心”。
②点击进入“设置新的连接和网络”,选择“连接到工作区”并点击“下一步”。
③点击“使用我的Internet连接(VPN)”
④在“Internet地址”栏输入企业网络地址,并“下一步”。
⑤输入企业网络管理员提供的用户名和密码,点击“连接”便可以连接到企业网络。
⑥连接成功后,VPN客户端逻辑上已经和企业网络处在同一局域网内,此时VPN客户端便可以使用远程局域网提供的各种资源。
四、结论
建立校园VPN,可以利用现有的公共网络资源,在普通用户和校区之间建立安全、可靠、经济和高效的传输链路,利用Internet的传输线路保证了网络的互联性,采用隧道、加密等VPN技术保证了信息传输的安全性,从而极大地提高了办公效率,节省了学校资源,为校园信息化建设奠定了基础。
参考文献:
[1]郝兴伟.计算机网络技术及应用[M].中国水利水电出版社,2009年:196-212.
vpn技术论文篇4
中图分类号:TP393.08
目前,各大院校都在进行扩招,不同的院校也在逐渐的扩大规模,创建出了校区与校区之间协调发展的形式。按照我国院校的大体布局来分析,大部分的院校会拥有多个校区,并且这些校区可能会分布在不同的地区或者城市,校园的局域网若过于简单,是不能够达成协调管理的。那么VPN技术的应用成为了主流模式。
1 在校园网络安全体系中应用VPN技术的功能模型
1.1 数据转发模块。此模块是网络当中的关键模块,对于数据的加密是利用协商好的加密算法,同时将数据传输完成。
1.2 身份认证模块。客户端认证服务端,是通过数字证书;服务端认证客户端,是通过两种不同的方式,其一是对外网的认证,使用的是密码和用户名的认证,其二是内网的认证,使用的是数字证书的认证模式。
1.3 后台管理模块。此模块主要负责采集日志,是安全审计前提下的操作日志。并且,可以将使用情况和操作行为充分汇总。
1.4 访问控制模块。此模块具体创建了细致的VPN技术访问控制对策,相应的决定了访问的规则。
2 分析VPN技术的需求
2.1 对图书馆资源进行远程访问。校区之间需创建统一形式的认证系统以及图书馆管理系统,达成校区之间的图书馆资源统一认证和联动管理。
2.2 解决院校中多个校区的互相访问问题。达成校区与校区之间的财务专网以及一卡通整合,构成能够连接校区与校区之间的完善网络枢纽,确保网络数据可以通过VPN技术进行快速、安全的传输。
2.3 以远程的形式访问校园网络热点,达成校区与校区之间的邮件服务站点以及web站点的整合,实现校区之间的信息交流、公文流转以及邮件分发。
3 在校园网络安全体系中应用VPN技术的原则
3.1 访问控制。校园网络当中会拥有较多的用户,不同的用户拥有着不同的权限,所以,VPN技术需要创建安全访问的控制体系。
3.2 确保多平台兼容。所谓多平台兼容指的就是,VPN服务作用在校园网络中,可以给予用户实时的安全网络接入服务。同时,可以达成较多操作系统的平台环境兼容。
3.3 安全保障。在校园网络安全体系当中应用VPN技术,最为基本的原则就是能够合理的保障网络安全。将VPN技术应用在校园网络中,一般情况下需要拥有数据保密、数据完整性以及身份认证三个方面的保障体制[1]。
3.4 管理平台的有效性。VPN技术服务器需要给予一定的服务器和客户端配置工具,便于使用操作。还需要提供采集日志的功能,可以安全性审计日志记录。
4 校园网络安全体系当中有效的选择VPN技术的应用方案
4.1 Extranet VPN。Extranet VPN方案能够利用专门的共享连接网络设施,在校园网络中连接外部网,适合用在B2B的安全访问过程中。
4.2 Access VPN。Access VPN方案的选择与远程或者移动办公的要求相符,对于校园内与校园外的远程网络连接能够充分实现。Access VPN具体适合用在现阶段较多的接入方法中,例如:ISDN、移动网络、PPPoE拨号、xDSL等,提供给移动办公用户较为安全的私有连接。
4.3 Intranet VPN。Intranet VPN方案拥有着独特的共享网络设施,此共享网络设施是Intranet VPN方案的坚实基础,对Internet的合理利用能够实现,在院校中各个校区的网络互联。Intranet VPN有效的通过了加密、VPN隧道等技术,确保了在传输过程中,信息的安全性。
根据这三种应用方案的细致探究,可以体现出不同的方案会适合应用在不同的访问服务当中。按照需求分析能够体现出,校园网一方面需要将校区与校区之间的网络互联实现,另一方面还需要将远程用户访问校园网络资源的指令实现。所以,需要选取Intranet VPN和Access VPN这两种方案当做校园网络安全体制中的具体构架方案[2]。
5 校园网络安全体系中应用VPN技术的设计方案
5.1 Access VPN远程形式下的VPN服务器访问。在用户对校园网络资源的访问过程中,并利用远程协助的方式开展时,需要通过Access VPN技术将其实现。VPN技术会创设在校园网络的内部,对于创设基础环境的选择,则需要选取Linux操作平台,Linux操作平台一方面拥有着免费、容易扩展的特点,另一方面还拥有着较高的性能,可以与Windows Server平台相提并论[3]。
在校园网络中传输的数据想要确保其安全性,需要应用NAT技术以及防火墙,因为在传输层中是SSL VPN在工作,可以涉及到全部的NAT设备与防火墙,确保了VPN技术用户能够实时的对校园网络进行连接。并且,远程的VPN用户在对校园网络进行访问的时候,要设置内网的IP地址,所以DHCP的架设是必不可少的,该服务器能够对IP地址的分配任务合理达成。针对外部网络的用户必须要与VPN服务器相连,并创建DNS域名服务器才能够进入到校园网络。这种方式的采用,能够将屏蔽校园网络结构的目的实现,确保了校园网络的安全性[4]。
5.2 校区之间的网络互联能够运用Intranet VPN来实现。首先需要在每一校区中接入网络连接,将网络出口定制在一个校区中,同时所有的校区之间所开展的信息化系统管理,要利用此网络连接将信息互通完成,包含:教务、人事、财务、一卡通等管理系统。想要确保传输数据的安全性,需要通过IPSec VPN技术,加密应用系统中的相关数据,保证传输数据时的安全性与可靠性。一些用户对信息安全方面有着较高的要求,例如:后勤、财务部门的用户,需要通过二层隔离的方式进行校园网的接入,然后需要利用二层OSPF协议安全的传输到核心型交换机,达成校区与校区之间的加密信息传输。针对普通的用户在访问的过程中,因为具备较低的安全级别,需要将安全要求降低,以此有效的提高VPN服务器的性能[5]。
6 总结
根据以上的论述,各大院校纷纷应用了VPN技术,本文主要设计和规划了VPN技术的应用方案,为的是将校园网络中的安全体系能够体现出可靠性的特点,从而实现校园内部协调管理的模式。
参考文献:
[1]邱建新.基于IPSec的VPN技术在校园网络中的应用研究[J].浙江交通职业技术学院学报,2013,12(09):124-126.
[2]陈恒法,曾碧卿.虚拟专网(VPN)技术在校区网络互联中的应用[J].科技咨询导报,2013,11(07):126-127.
[3]刘巨涛.网络安全技术在校园网络建设中的应用研究[J].内蒙古农业大学学报:社会科学版,2013,10(02):168-170.
[4]邹,刘婷,范志勤.校园网络安全体系的设计与应用分析[J].长沙民政职业技术学院学报,2013,5(04):187-188.
vpn技术论文篇5
中图分类号:TP393.1 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-02
一、引言
当前,信息化发展程度不断深化,现有的因特网服务的无所不在以及专线无法比拟的低价位等方面的优势,使得有很多企业开始运用VPN技术在因特网上构建自己的私有企业网络或是网站。所谓VPN技术,中文全称为“虚拟专用网络”,Virtue Private Network,它主要是指在两台计算之间所构建成的一条专用连接,最终达到在共享网络或者公共网络上对私有数据进行快捷化的传输的目标,也可以将其认为VPN计算为一种“化公有为私有”的先进性的信息技术。这种虚拟技术对于网络的安全性的提高具有十分重要的促进作用。利用因特网的资源来构建虚拟专用网络已经成为了一种全新的选择,它开业对企业内部网络进行很好地扩展,可以帮助远程用户、移动用户以及公司分支机构之间建立一种安全、可靠、可信的网络安全连接,而且还可以确保数据的安全可靠传输,提高数据的安全性以及保密性。基于以上关于VPN技术的种种优点,该技术得到了较为广泛地应用。本文就是攫取了VPN技术为主要研究对象,对其具体概念、工作原理、特征以及关键技术等方面进行了阐述,然后论述了VPN计算的实际应用。
二、VPN概念
VPN(虚拟专用网络)技术是将公用网络作为信息传输的媒体,在进行加密、封装、认证和密阴交换技术后在公用网络上创建了一条专用的网络通道,这样一来,合法的用户就能够对网络内部具有的数据进行访问。其能够代替专线,很好的将单位移动员工以及远程的分支机构与单位内部的网络相连接,VPN对所有用户端都是公开的,用户实际使用过程中如同采用一条专用线路进行信息交流与传递。要想确保VPN有效的连接,首先,单位内部网络就必须具备关于VPN方面的服务,同时,VPN还要与单位内部网络以及因特网进行连接。当连接服务器的计算机利用VPN连接和单位内部网络的服务器进行信息交流与传递时,先由互联网服务(ISP)将全部数据输送到VPN中,然后由VPN服务将全部数据输送到单位内部网络的目标服务器中。另外,VPN的工作原理是将需要进行机密数据传输的两个端点同时与公用网络进行连接,如果机密数据需要进行传输时,就可以利用端点上的VPN设备在公用网络上创建一条专用的网络通道,而且还要将全部数据进行加密再在网络上进行传输,从而确保机密数据的传输是安全的。
三、VPN特征
(一)VPN的优势
首先,其成本较低;和专用网络相比较,通过互联网服务(ISP)构建起的VPN能够大大降低信息交流与传递过程中所使用的费用,并且,也使得单位减少了人力与物力的投入量;其次,将网络设计进一步简化;凡是通过ISP的,单位只需要简单的安装、配置与管理远程链路;另外,实现了网络安全目标;数据传输前的用户认证与VPN传输过程中的安全以及加密协议使得网络的安全性进一步提高。第四,容易扩展;要想将VPN的容量与覆盖范围进一步扩大,单位只需要与ISP签订一份新的合约即可。第五,其可以随时的与合作伙伴进行联网。第六,掌握了主动权。
(二)VPN的劣势
首先,虽然VPN设备供应商能够为外联网服务或者远程办公室的专线提供诸多有效的方式,但是VPN服务提供商只对数据在其的管辖范围内的性能予以保证,如果超出了其的管辖范围,那么,就无法对数据的安全性进行保证。其次,各个厂商的VPN在管理与配置管理上具有较大的难度,因此,就必须对各种厂商的实际执行方式与术语进行全面的了解。
四、VPN的关键技术
(一)安全隧道技术
其主要是通过将即将传输的原始信息进行加密与协议封装处理后,然后嵌套将其放置到另外一种协议的数据包,最后输送到网络中,传输过程与普通数据包相同。这样的一种处理方法,只有宿端与源端这两种用户才能将隧道中具有的嵌套信息进行充分的解释与有效的处理,对于其他用户来说,这些信息毫无意义。其以加密与信息结构变换相结合的方式为主,并不只是一种单纯的加密技术。
(二)用户认证技术
在正式隧道进行连接前,应对用户的身份进一步确认,以确保系统将其自身具有的资源访问控制或者用户授权全面发挥。用户认证技术已趋于成熟,所以,应对现有技术的集成进行充分的考虑。
(三)访问控制技术
提供VPN服务的相关者和提供最终网络信息资源的相关者应共同协商明确特定用户对特定资源所拥有的访问权限,从而对用户的细粒度访问进行有效的控制,这在一定程度上对信息资源进行了良好的保护。
(四)密阴管理技术
这一技术的主要任务就是怎样才能在公用网络上有效的、安全的将密阴进行传递而不会被盗取。当前的密阴管理技术有两种类型,一个是因特网简单密阴交换协议(SKIP),一个是安全关联和密钥管理协议(ISAKMP)。前者主要是通过Diffie-Hellman的验算法则,在网络上将密阴进行传输;后者双方分别有两把密阴,主要分为公用与私用。
vpn技术论文篇6
关键词:校园网;虚拟专用网;公钥设施基础;证书;改造方案
Key words: campus network;virtual private network;public key infrastructure;credential;modification scheme
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2015)35-0219-02
1 绪论
校园网作为高校信息化管理的重要手段,目前已是高等职业教育人才培养工作中重点评估之一。数据共享是校园网的重要组成部分,通过校园网的数据共享模块,可以在线传输教学信息,在线监控教师的教学质量,在线管理学生学籍,在线查询和报送学生成绩。另外,数据共享还为图书管理、网络选课以及各类等级考试的网络报名提供了技术支持。Windows操作系统和SQL Server自身都存在设计缺陷,而校园网是开放的,非法入侵者很容易利用Internet上的黑客工具攻击校园网内部数据库的服务器,盗取或修改包括学籍、学生成绩、缴费信息在内的一系列关键数据,对校内信息安全造成巨大的威胁。由此可见,网络信息安全已是校园网络建设中一个不可忽视的问题。
由于SQL Server系统本身存在设计缺陷,其管理员帐号处在公共网络系统中极易受到非法攻击。高校应该加强安全防盗技术研究,尽量现在不改变原系统主体架构的条件下,力求花费极少的成本建立网络安全防范系统,隔离各类网络非法攻击,提高校园网的安全性能。
目前已有很多关于校园网络安全的研究,并且也取得了一些成果。但是严格来讲,这些成果多半是防范外网的攻击,譬如基于子网过滤结构的各种防火墙体系的安全性分析、利用VPN技术连接多个校区的校园网问题等等,针对校内网络系统的安全研究非常少。鉴于此,本文就将研究重点放在校内网络系统的安全问题上,将校园网视为一个不安全的公共网络,深入分析该网络系统中存在的不安全问题,基于VPN、PKI等安全技术构建一个校园网安全应用模型,并通过这个安全模型来解决校园网中存在的安全问题。
2 VPN与PKI技术
Virtual Private Network,简称VPN,中文翻译是“虚拟专用网”[1,2]。它综合了传统数据网络的性能优点(安全和QOS)和共享数据网络结构的优点(简单和低成本),支持远程访问以及内网和外网的连接。从某种意义上讲,VPN代表了现代网络发展的前沿趋势,它不仅实现了对网络带宽、接入和服务不断增加的需求,而且在一定程度上降低了网络运行成本,因而未来必将广泛应用于校园网络系统中。
现代密码学中最关键的安全技术之一――公钥基础设施(PKI),目前已在互联网和计算机系统中形成一定的应用规模。PKI技术作为一项严谨有效的密码技术,能够为网络系统提供网络系统的安全认证、密匙管理、非否认等技术支持,从而大大提高网络系统的安全性能。
在传统IP协议中,IP的安全性是没有任何保障的,所以网络系统极易遭到非法攻击。VPN中有一项叫做IPsec的重要协议,可以基于IP层建立安全认证系统来提高整个网络系统的安全性。但是严格来讲,IPsec协议也不可避免的存在设计缺陷,比如其身份认证系统不严谨,它无法识别伪装成安全文件的非法入侵,因此即使网络系统已安装IP协议,还是不可避免遭受非法攻击。以身份鉴别见长的PKI技术充分弥补了这一缺陷。在VPN中配置PKI技术后,在网络传输过程中,通过PKI进行网络角色访问控制,经过CA进行身份识别后才能建立信息传输通道,根据角色属性证书控制其每个角色的访问权限,最后基于IPSec为信息传输提供安全保障。总的来说,综合了多种安全措施的PKI技术,与传统的基于IP协议所构建的安全系统相比,VPN通信安全更有保障。
VPN和PKI都是当前网络信息安全领域比较前沿的安全技术,在应用领域各自独立运行。在IPSec安全协议中引入PKI技术,这种创造性的尝试必将为网络信息安全领域带来一次技术革命。校园网虽然具备互联网的开放性,但其运行环境是高职院校校园,主要用户是广大师生,在高职院校网络建设经费吃紧的条件下租用公共PKI来构建安全网络,不仅技术上有难度,而且经济条件也不允许。所以,建议高职院校利用PKI技术自行搭建校内网络用户身份认证系统,以节省网络安全成本,提高校园网的运行效益。
3 基于VPN和PKI技术校园网安全模型的设计与实现
3.1 校园网安全网络架构模型的设计
将PKI置入VPN以后,利用所得到的增强版VPN搭建校园网络安全模型,然后基于该模型逐步拓展校园网络的内容和主体结构(具体流程如下),最终实现安全防护要求。
步骤1:将存储数据的服务器置于校园网内部专用服务器网络中,使该服务器与外网之间有一层物理隔离屏障,以防外来用户非法侵入该服务器的端口或网络地址来篡改服务器的内部参数,确保服务器所搭载的数据安全可靠。
步骤2,在校园网与互联网之间搭建VPN网关,校内网络用户通过该网关访问服务器,以这种合法的方式获取所需数据。这样既能满足用户的信息需求,又保障了服务器的数据安全。
步骤3,将PKI技术置入VPN,只有通过防火墙和VPN网关认证的合法用户才能连接VPN并进入校园网服务器获取所需数据。VPN网关的身份认证具有强制性,它要求访问数据库的用户必须提前关闭除防火墙以外的主机服务和相关端口,同时装配最先进的漏洞补丁,目的是为数据信息提供全方位的保护。
步骤4:实时监控信息和信息系统,以确保信息源安全可靠。VPN中使用IPSec安全协议传输数据,以免数据在传输过程中遭遇非法拦截,或被非法篡改、重播或伪造。另外,将PKI技术置入VPN中,可监控用户的操作行为,防止其进行非法操作,从而实现信息安全全程可控。
根据上述四个步骤,设计了一个基于VPN和PKI技术的校园网安全网络架构模型,模型结构如图1所示。
3.2 校园网安全网络架构模型的实现
分析该校园网络安全模型后,发现该模型需要在Internet、校园网和校园数据库服务器专用网之间建立一套支持用户身份认证功能的VPN网关,并且要在三网之间建立VPN连接通道,以确保三网隔离的同时不会影响合法用户正常访问校园网的数据库。另外,该网关必须支持PKI认证技术,只有通过PKI认证的用户才能连接VPN来访问校园网内部专用服务器网络,以防服务器搭载的数据库遭受非法攻击。
建议使用双重宿主机服务器来建立VPN网关。在双重宿主机服务器内装配两块网卡,依次绑定校园网网段的IP地址和专用网网段IP地址,然后通过过滤路由器进行NAT(地址转换),最后让外网中的公网IP的某个特定端口指向绑定校园网网段IP地址的网卡IP,使内网、外网以及校园网内部专用服务器网络都有权访问该网关。
校园网安全网络架构模型的安全性实验分析论证如下文所述。
3.2.1 数据传输的安全性
在PKI认证网关下,用户只能通过该网关连接VPN,才能进入校园网的数据库,而且校内网的数据传输也要进行认证。可见,VPN技术的安全性能直接决定了数据传输的安全性。VPN技术通过搭建逻辑隧道,运用数据加密和用户身份认证技术来为数据传输提供安全保障。这恰恰是该网关的先进之处。而且经ICSA Labs实验室认证,IPSec-VPN技术非常成熟,能满足大部分数据安全保障的需要。
3.2.2 身份认证的安全性
VPN和PKI技术校园网安全模型将PKI技术置入VPN中,对用户进行强制身份认证后才允许其连接VPN并进入校内网数据库,且需要提前在计算机内装配智能卡或数字证书,系统识别用户身份后,用户才能通过VPN通道访问服务器的数据库。只有用户密码而没有认证证书的用户无法连接校园网,也就是说,只有合法用户才能通过认证进入校内网的服务器。因此,VPN和PKI技术校园网安全模型在一定程度上也保障了用户的信息安全。
3.2.3 数据访问的可靠性
VPN服务器软、硬件的稳定性决定了VPN和PKI技术校园网安全模型连接状态的可靠性。笔者对该安全模型进行了为期7天的测试。在一周之内,令10台工作站通过VPN连接1台服务器。通过软件频繁读取和修改后台数据库中的数据。测试结果显示,工作站与服务器之间的连接非常牢固,没有任何连接中断的情况。可见,高校校园网的日常应用需求只需通过1台服务器即可实现,无需安装其它服务器。
3.2.4 攻击防范能力测试
在攻击防范能力测试实验中,采用了多种方式对被保护的SQL Server作为攻击的对象进行入侵,来破坏数据库系统。对于不熟悉该模型拓朴结构的攻击者来说,要想通过主机扫描来探测数据库服务器位置从而达到入侵数据库服务器的目的是不可能实现的。
为了实现入侵服务器的目的,在肉鸡实验中首先关闭了一台有权与带PKI认证的VPN网关建立VPN连接的客户机上的防病毒软件,在客户机上植入了最常见的“灰鸽子”木马程序,然后在另一台计算机上运行“灰鸽子”的客户端程序,果然不出所料,系统员很快就发现了被植入“灰鸽子”木马的主机,并对它进行了控制,通过实验,能顺利地实现与网关建立VPN连接。
4 结论
本文的研究主要是放在高职院校的校园网内部的安全应用上,将高职院校的校园网当作一个不安全的网络来对待,针对高职院校校园网中可能存在较多的不安全因素,利用VPN和PKI技术建立一个适宜于高职院校的校园网安全网络架构模型,并通过这个安全模型来解决高职院校校园网中存在的安全问题。然后通过理论分析和实验证明该安全模型是可以满足高职院校的校园网应用需求。
本文中提出的校园网安全模型应具有安全性可靠、通用性好、改造成本较低、对网络改动较小、伸缩性较好等特点,对高职院校校园网的建设和改进具有较高的参考价值。
参考文献:
vpn技术论文篇7
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0101-01
一、引言
随着信息化经济一体化的发展,实现资源共享是每个企业追求发展进步不可或缺的一步。利用隧道技术在公共网络上建立安全的虚拟专用网络(VPN)是实现资源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN这几个比较主流的VPN技术。
二、IPSec VPN
IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,用来提供公用和专用网络的端对端加密和验证服务。IPsec给出了应用于IP层上网络数据安全的一整套体系结构,包括AH网络认证协议、ESP封装安全载荷、IKE因特网密钥交换和用于网络认证及加密的一些算法等[1]。其中,AH协议和ESP协议用来提供安全服务,IKE协议用于密钥交换。
(一)认证头(AH)协议
IPsec认证头协议是IPsec体系结构中的一种主要协议(AH协议把AH头插入IP数据包),它为IP数据报提供无连接完整性、数据源认证、保护以避免重播情况[1]。
(二)封装安全载荷(ESP)协议
封装安全载荷(ESP)协议是IPsec体系结构中的一种用来提高IP的安全性的主要协议。ESP加密要保护的数据并且在IPsec ESP的数据部分进行数据的完整性校验,以达到其数据机密性和完整性的目的。ESP提供了与AH相同的安全服务并提供了一种保密。
(三)IKE
IKE是一种混合型协议,由Internet安全联盟(SA)和密钥管理协议(ISAKMP)这两种密钥交换协议组成。IKE是以受保护的方式为SA协商并提供经过认证的密钥信息的协议。IKE用于协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。同样,IKE使用ISAKMP为其他IPSec(AH和ESP)协议协商SA。
三、MPLS VPN
MPLS VPN与传统的IPSec VPN不同,MPLS VPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于Internet。MPLS VPN是一种以MPLS技术为基础的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。
(一)MPLS VPN的基本原理
每个MPLS VPN网络的内部是由P(供应商)设备组成,这些设备构成了MPLS的核心,且不直接同CE路由器相连,围绕在P周围的PE路由器可以让MPLS VPN网络发挥VPN的作用。在MPLS VPN中,用户站点通常运行的是IP。它们并不需要运行MPLS和其他特殊的VPN协议。在PE路由器中,RD对应同每个用户站点连接。这些连接可以是诸如T1、单一的帧中继、ATM虚电路或者DSL等物理连接。RD在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在用户设备上进行配置,对于用户来说是透明的[2]。
(二)MPLS VPN的优点
1.减少时延。由于数据包不再经过封装或者加密,所以时延被减到最低。不再需要封装和加密原因是MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似[2]。
2.配置MPLS VPN网络的设备比较容易。配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络不许访问CPE。
3.提高了资源利用率。由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。
4.安全性高。采用MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATM VCC(Virtual Channel Connection,虚通道连接)类似的高可靠安全性。
四、SSL VPN
SSL VPN的出现是为了解决IPSec VPN的固有的缺点,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致优点,避免了因有客户端而导致的使用维护不便、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题[2]。IPSec VPN与SSL VPN的对比。传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置。若企业的远程接入数量增多,企业的维护成本就会随之增加。而SSL VPN最大的优点之一就是不需要安装客户端程序远程用户可以随时随地从任何浏览器上安全接入到内部网络。对比表如下:
五、总结
由于VPN的优秀安全特性,让它越来越受到安全要求较高的企业或部门的青睐。此文指出的IPSec VPN、MPLS VPN、SSL VPN技术增加了VPN通信的安全性。伴随着VPN的广泛使用,更加复杂的VPN系统会继续出现。所以,其安全策略管理的问题将逐步显现,这方面的研究也将受到高度重视。
vpn技术论文篇8
1 发展校园网的重要性
近几年国家对教育工作日益重视,独立学院规模不断扩大。在发展过程中,各独立学院都十分重视与母体学校的资源整合。
独立学院与母体学校一般都建立了各自的校园网络,且均接入互联网,因为诸多条件的制约,至今多数独立学院与母体学校之间没有专线相互连接,造成了校园网应用水平极低的现象。各种应用系统,如教务管理系统、题库系统和电子图书管等教学资源无法实现共享,迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成:一是母体学校的教师;二是外聘教师;三是专职教师。母体学校的教师和外聘教师,这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系,提高教学、科研和办公效率显得尤为重要。
此外,传统的Internet接入和传输服务缺少安全机制,服务质量无法保证,难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以,建立安全可靠的独立学院与母体学校间校园网的连接,实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务,如登录校内OA系统、教务系统和电子图书馆系统等,是独立学院校园网建设的当务之急。
2 VPN工作原理及其主要优点
虚拟专用网VPN(Virtual Private Network)就是利用公网来构建专用的网络,它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接, 并提供同专用网络一样的安全和功能保障。
VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN 又具有专线的数据传输功能,因为VPN 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点:(1)成本低。VPN在设备的使用量上比专线式的架构节省,故能使校园网络的总成本降低。(2)网络架构弹性大。VPN的平台具备完整的扩展性,大至学校的主校区设备,小至各分校区,甚至个人拨号用户,均可被包含在整体的VPN架构中,以致他们可以在任何地方,通过Internet网络访问校园网内部资源。(3)良好的安全性。VPN架构中采用了多种安全机制,如信道、加密、认证、防火墙及黑客侦防系统等,确保资料在公众网络中传输时不至于被窃取.或是即使被窃取了,对方亦无法读取封包内所传送的资料。(4)管理方便。VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
3 独立学院校园网络建设中的VPN技术选择及对策
选择适当的VPN技术可以提供安全、高效、快捷的网络服务,能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。
3.1技术选择
VPN 可分为软件VPN和硬件VPN。软件VPN 具有成本低、实施方便等优势。若是采用Windows 2000操作系统,则该操作系统本身就集成了这项功能,只需进行相应的设置即可投入使用。而硬件VPN必须借助专用的设备才可以实现,两者之间存在比较大的差别。首先是硬件VPN能穿透NAT (Network Address Translation)防火墙,其次是硬件VPN 安全性远远好于软件VPN。软件VPN 的用户身份认证方式非常简单,只能通过用户名和密码方式进行识别。硬件VPN的加密算法通常都较为安全,硬件VPN 集成了企业级防火墙、上网控制和路由功能,一次性提供多种宽带安全的解决方案,可以轻松实现远程实施和维护,相比之下软件VPN 的后期维护显得较为复杂。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。每项技术都对应有一些成熟的方案,如VPN 隧道类型现就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等,加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等,在构建VPN连接时应根据实际情况进行选用。
3.2 技术对策
VPN产品的性价比不同,对VPN硬件设备的选型也应视需求而定。例如,在构建VPN连接时,如果校园网构架不复杂,通讯需求量不是很大,但要求安全可靠和管理方便,应选择集成VPN功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立VPN网络的需求,其次是增加的硬件防火墙能提高校园网络的安全防范等级。
3.3 VPN网络建设实现的目标
主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换,两者之问需要建立双向可寻址的VPN访问。远程客户端要通过浏览器访问主校区的Web服务器,还需建立远程客户端到主校区的单向VPN访问。
3.3.1 主校区和分校区的VPN连接
在各校区现有校园网的出口处分别安装一台VPN网关,每个校区通过该设备连接互联网。VPN网关在保持原来的上网功能不变的情况下,在不安全的互联网上建立起经过安全认证、数据加密的IP Sec VPN隧道,实现校区安全互连。
根据主校区和分校区的网络使用要求和经济性等多方面考虑,应选用硬件型的集成VPN功能的防火墙。此外,防火墙还应具备路由功能,支持NAT技术,在分校区相对较小、校园网络构架不复杂的情况下,使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉,是一个理想的选择。主校区选择一台防火墙作为VPN网关,设备应可以支持上千个并发TCP/IP会话和上百个VPN 隧道,可以充分保证主校区内所有计算机的安全、流畅的网络使用及VPN支持的需求。对于分校区的多台计算机上网及VPN需求,选择一台可支持几十个VPN隧道的防火墙作为VPN 网关即可。由于校区网络构架并不复杂,主、分校区网关均拥有静态公网IP地址,不会做经常性的变动,可采用“基于路由的LAN (局域网)到LAN的VPN” 手动密钥方式,创建IP Sec VPN隧道,来实现校区间安全连接。
3.3.2 远程用户到主校区的VPN连接
考虑到远程用户访问校园网络集中于主校区Web服务器,远程用户到主校区的VPN连接可以采用SSL VPN模式。SSL VPN采用高强度的加密技术和增强的访问控制,而且易于安装、配置和管理,避开了部署及管理必要客户软件的复杂性和人力需求。
3.3.3 做好防护,提高VPN的安全性
虽然VPN 为远程工作提供了极大的便利,但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件,而远程计算机就不一定拥有这些安全软件的防护。因此,必须有相应的解决方案堵住VPN的安全漏洞,比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查,对敏感文件进行加密保护等,这样才能防患于未然。
4、结束语
总之,在独立学院与母校之间通信要求越来越高,各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到VPN网关的连接解决了受地域等条件限制的远程办公问题,满足了经常在校外工作人员查阅、访问本院信息资源的需要;通过VPN连接两个局域网,实现高校各校区之间网络系统的逻辑连接,为各校区的资源共享提供方便、快捷的服务创造了良好条件。
参考文献:
vpn技术论文篇9
引言
虚拟专用网即vpn(virtual private network)是利用接入服务器(access sever)、广域网上的路由器以及vpn专用设备在公用的wan上实现虚拟专用网技术。通常利internet上开展的vpn服务被称为ipvpn。
利用共用的wan网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,vpn采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
internet中的隧道是逻辑上的概念。假设总部的lan上和分公司的lan上分别连有内部的ip地址为a和b的微机。总部和分公司到isp的接入点上的配置了vpn设备。它们的全局ip地址是c和d。假定从微机b向微机a发送数据。在分公司的lan上的ip分组的ip地址是以内部ip地址表示的"目的地址a""源地址b"。因此分组到达分公司的vpn设备后,立即在它的前部加上与全局ip地址对应的"目的地址c"和"源地址d"。全局ip地址c和d是为了通过internet中的若干路由器将ip分组从vpn设备从d发往vpn设备c而添加的。WWw.133229.COm此ip分组到达总部的vpn设备c后,全局ip地址即被删除,恢复成ip分组发往地址a。由此可见,隧道技术就是vpn利用公用网进行信息传输的关键。为此,还必须在ip分组上添加新头标,这就是所谓ip的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术vpn网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用vpn技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ l2f(layer 2 forwarding)
l2f是cisco公司提出的隧道技术,作为一种传输协议l2f支持拨号接入服务器。将拨号数据流封装在ppp帧内通过广域网链路传送到l2f服务器(路由器).
⑵ ptp(point to point tunnelimg protocol)
pptp协议又称为点对点的隧道协议。pptp协议允许对ip,ipx或netbeut数据流进行加密,然后封装在ip包头中通过企业ip网络或公共互连网络传送。
⑶ 2tp(layer 2 tunneling protocol)
该协议是远程访问型vpn今后的标准协议。
l2f、pptp、l2tp共同特点是从远程客户直至内部网入口的vpn设备建立ppp连接,端口用户可以在客户侧管理ppp。它们除了能够利用内部ip地址的扩展功能外,还能在vpn上利用ppp支持的多协议通信功能,多链路功能及ppp的其他附加功能。因此在internet上实现第二层连接的pppsecsion的隧道协议被称作第二层隧道。对于不提供ppp功能的隧道协议都由标准的ip层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ tmp/baydvs
atmp(ascend tumneling management protocol)和baydvs(bay dial vpn service)是基于isp远程访问的vpn协议,它部分采用了移动ip的机制。atmp以gre实现封装化,将vpn的起点和终点配置isp内。因此,用户可以不装与vpn想适配的软件。
⑸ psec
ipsec规定了在ip网络环境中的安全框架。该规范规定了vpn能够利用认证头标(ah:authmentication header)和封装化安全净荷(esp:encapsnlating security paylamd)。
ipsec隧道模式允许对ip负载数据进行加密,然后封装在ip包头中,通过企业ip网络或公共ip互联网络如internet发送。
从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,dsi七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层vpn "与"三层vpn"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的sslvpn技术[2]、基于端口转发的httptunnel[1]技术等等。如果继续使用这样的分类,将出现"四层vpn"、"五层vpn",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
2.2 改进后的几种隧道机制的分类
⑴ j.heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的vpn,使用路由方式的vpn,使用专线方式的vpn和使用局域网仿真方式的vpls。
例如同样是以太网的技术,根据实际情况的不同,可能存在pppoe、mplsybgp、msip、或者ipsec等多种vpn组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对vpn技术选型造成误导。
⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的vpn分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如l2tp就是典型的封装型隧道。
隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如lsvpn。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
3. 诸种安全与加密技术
ipvpn技术,由于利用了internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在ipvpn的网点a和网点b之间安全通信受到威胁。因此,利用ipvpn通信时,应比专线更加注意internet接入点的安全。为此,ipvpn采用了以下诸种安全与加密技术。[2]
⑴ 防火墙技术
防火墙技术,主要用于抵御来自黑客的攻击。
⑵ 加密及防止数据被篡改技术
加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的vpn虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
vpn技术论文篇10
1.VPN技术简介
VPN技术是一种组网技术,综合了加密技术和协议封装技术,利用在公共网络上建立加密隧道的方法,来建立一种虚拟的专用网。VPN系统有很多特点,如专用、虚拟、廉价、安全等。VPN系统安全性的基础是虚拟实现基于某协议的封装技术或者路由过滤技术,还有所采用的加密算法。VPN的实现方式有两种,软件实现或者硬件实现。在VPN技术出现以前,私有专用网络的建设维护费用非常高昂,再加之网络带宽的提高和通信技术的发展,现代办公的需要等原因,促使VPN技术的出现和快速发展。VPN的发展经历了三个主要阶段,最开始的路由过滤技术,之后的协议封装技术,现在的应用最普遍的隧道加密技术。
在应用方面看来,VPN主要分为三个类型,企业扩展虚拟网Extranet VPN、企业内部虚拟网Intranet VPN和远程访问虚拟网Access VPN。其中,企业扩展虚拟网和企业内部虚拟网一般被统称为专线VPN;远程访问虚拟网通常被叫做拨号VPN,也就是VPDN,Virtual Private-DIAL-UP Networks。
企业扩展虚拟网,就是不同的企业网通过公共网络来建立虚拟网。它适合提供B2B的访问服务,并保障其安全。Extranet VPN是通过使用一个共享基础设施来进行专用链接,将感兴趣的团体例如供应商户、合作企业或者客户与企业内部网络进行链接,这些团体与企业专用网络享有同样的服务质量、安全性能、可靠性和管理性。
企业内部虚拟网,也是通过公网建立的虚拟网,它链接的是企业的各个分支机构和企业总部。Intranet VPN是通过使用一个共享基础设施来进行专用链接,与企业专用网络享有同样的服务质量、安全性能、可靠性和管理性。
远程访问虚拟网,是通过公网的远程拨号建立的虚拟网,它链接的对象是企业的小分支部门或者是企业的员工。Access VPN完成链接的方式有很多种,用户可以根据需要选择链接,例如移动IP、ISDN、XDSL、拨号等等。
2.隧道技术
前面提到,VPN技术的实现基础,但是并不是所有VPN解决方案都使用相同的隧道技术,不同的隧道技术也有着各自的特点。首先,在隧道通信上,所使用的协议不同,但就目前来讲应用层实现VPN时,采用的协议只有TCP或者UDP,它们各自有着自己的优点。另外,隧道建立的起始位置也是随着客户需求而变化的,主要有从网关到网关、从主机到主机和从主机到网关三种类型。
本文中,将VPN隧道建立在VPN客户端和VPN服务器或者VPN网关和VPN网关之间,在这里所采用的技术都是在应用层实现的,所以,隧道通信中采用的网络协议也无外乎是UDP和TCP协议。而在本技术的实现过程中,采用的是TCP协议。TCP协议有着它固有的优点,首先它是流式传输,这样可以非常有效的减少IP数据包在传输过程中的分片。例如,假设要传输的IP数据包使用1500字节的MTU,如果这个IP数据包使用的是UDP协议,则根据协议栈规定,则需要在数据包中加上IP头和UDP头,这样新生成的数据包就会大于之前的MTU,从而会将其拆分为两个分段来进行传输,而且分段二的大小会很小,这样不仅影响了传输效率,还影响了数据在传输过程中的安全性。相反,如果采用TCP来进行IP数据包的传输,则IP数据包(最后一个除外)都会是MTU的大小,这样不仅使得传输效率有了非常大的提高,而且还有利于数据的安全性。但是TCP协议也有不足之处,就是TCP连接的建立和确认需要一定的网络开销。
在介绍过使用UDP和TCP协议建立隧道的特点后,本文采用的是TCP。在TCP协议的基础上,隧道传输要经历以下几个过程,隧道建立、隧道传输和隧道拆除。这三个过程组成了一个隧道的生命周期,如图1所示。
由上图可以看出,隧道技术的本质就是TCP的链接,经过压缩和特定方法加密后的IP数据包就在这个链接上进行传输。传输有两方面参与,一方将本地加密的IP数据包传输到对方的网关,另一方实在接收到远程发送的IP数据包以后,将其转发给本地虚拟网卡。由此可见,利用隧道技术进行的数据传输,本质上就是TCP协议的数据传输,隧道传输在技术上的实现也是通过socket编程,除了socket本身可以提供的I/O模型以外,隧道技术还必须要解决数据收发的同步操作,为了保证数据在隧道上高效的传输和收发,必须建立一个合适的数据收发的I/O模型,才能满足这个需求。一方面线程要及时发送其他线程传输过来的数据包,另一方面此线程还要及时接受来自隧道另一端的数据,并且尽力减少同步传输过程中带来的数据损失并保证数据的安全性,所以,隧道上接收的数据是在本地线程内完成的,而发送的数据则是由另外的其他线程完成的,故数据收发的同步操作指的是本地线程和其他线程之间的数据同步。Windows平台下对于socket实现应用程序的网络通信同样也是支持的,针对socket通信机制的平台扩充,windows也提供了一些高级的编程模型,例如一些WSA开头的Winsock函数,有效的解决了线程同步的问题。
3.点对点模式的研究
点对点模式有几方面的实现基础。首先,是隧道技术,本模式与隧道技术的生命周期关系非常紧密。隧道和协议之间的数据转发问题则是由虚拟网卡来进行完成的,而VPN网络地址空间则不需要进行一些新的规划。当然,对与不同的用户需求,本模式可以分出多种版本来解决移动用户、总部分支之间的链接问题。
虚拟网卡在本模型中起到了非常重要的作用,它解决了数据包在隧道和协议栈之间转发的关键问题。虚拟网卡在VPN网关中所处地位非常特殊,关系到IP数据包在VPN中的传输问题、数据转发模型和windows平台下的具体实现等等。
IP数据包在VPN是以以下方式传输的,VPN的传输媒介是不可靠的共享网络,隧道技术则在公网的基础上构建私有专用的网络,采用 访问控制、数据加密和身份认证等方法,使得通信安全得到保证。如前文所述,VPN的基础是隧道技术,异地主机之间的安全通信就是依靠隧道技术完成的。TCP/IP协议是现有internet的基础,主机之间是通过一个个的IP数据包进行通信的,隧道技术保护IP数据包不受破坏。为了达到保护数据的目的,VPN网关完成对原始数据包的加密,然后产生一个新的数据包并将其发送。
以图2为例进行说明,VPN通信的双方为A主机和B主机,A主机给B主机发送IP数据包,首先到达VPN的A网关,经过A网关的判断,数据包要发送到B网络,所以将这个IP数据包加入A网关和B网关之间的隧道传输等待队列。在传输过程的实现上,等待传输队列中的一个IP数据包首先被传输模块取到,然后对于此IP数据包,进行加密并将其压缩,即可进入隧道,发送出去。B网关接收到了加密后的数据包,将其解密,然后经过判断发送给B主机。这样就完成了一次数据传输。
在图2传输过程中,数据包经过隧道从A网络传输到B网络,完成整个传输过程,其中最关键的部分在于网关。VPN网关有两方面作用,一方面将内网的原始数据加密,然后通过隧道发送给对端网关,另一方面从隧道接收加密后的数据包,将其解密,然后发给内网目的主机。这样可得到,关键就是数据包从内网到隧道的转发功能,这个功能则是由虚拟网卡来解决的。
网关的有着对经过的IP数据包进行路由转发的功能,也就是从一个网口接受到IP数据包,然后经过判断从另外一个网口上发送出去。虚拟网卡就是构建在网关上的,经过网关发往B网络的IP数据包都会经过虚拟网卡发送过去,这样,发往B网络的所有IP数据包都可以被虚拟网卡截获,然后将其加密后送入隧道发送给B网关,B网关接收到IP数据包后进行解密,然后再交给虚拟网卡,虚拟网卡对其进行判断后,将其从B网关的另外一个网口发出,
IP数据包最终将被发送给目的B主机。
虚拟网卡将IP数据包截获以后,转交给应用程序来进行处理。首先,应用程序中的数据交换模块来读取虚拟网卡上的IP数据包,然后由这个应用程序的加密模块,将数据包进行加密处理,最后是由隧道传输模块接收到加密后的数据,将其发送给对端的网关。其中VPN隧道就是一条TCP连接,建立在两个网关之间的。UDP协议可以用来实现隧道技术。在隧道的对端,接收到IP数据包以后,处理的流程跟发送流程刚好相反,先由应用程序的解密模块将数据进行解密,然后将其转交给数据交换模块,数据交换模块再将其递交给虚拟网卡,虚拟网卡接收到IP数据包后,根据其目的地址在内网选择相应的内网网卡,最后内网网卡将数据送达至目的主机。虚拟网卡在这个过程中的作用是,数据包在VPN隧道和内网之间的转发,还保证了数据的安全性。
4.总结
虚拟专用网,就是应用隧道技术再公共网络上逻辑性地区分多个私有网络,是一种虚拟的网络,目的是保证网络传输的安全性能和提升服务质量。虚拟专用网建立在公共网络上,在建立隧道的时候,如果一次性给足带宽,则会引起带宽的浪费,从而使得可容纳的客户数量降低,公共网络使用率也会随着降低。相反,若带宽过低,则会提高虚拟专用网上连接被拒绝的次数,所以配置带宽要适当。
本文重点研究与探讨了点对点模式。在系统点对点工作模式的讨论上,又着重讨论了应用层VPN网关的设计问题,例如隧道技术在数据包中转发的问题和虚拟网卡等,然后提出了一种新的解决思路,在一定程度上使得VPN的安全性得以提高。
vpn技术论文篇11
虚拟专用网(VPN)是信息安全基础设施的一个重要组成部分,是一种普遍适用的网络安全基础设施。目前,一些企业在架构VPN时都会利用防火墙和访问控制技术来提高VPN的安全性,但存在不少的安全隐患。因此针对现有VPN系统无法满足校园网安全使用的问题,深入分析、研究了VPN系统中的关键技术和主要功能,构建了一种基于PKI的校园网VPN系统的体系架构。
1 系统框架设计及系统功能模块描述
1.1 系统框架设计
VPN系统需要解决的首要问题是网络上的用户与设备都需要确定性的身份认证。错误的身份认证。不管其他安全设施有多严密。将导致整个VPN的失效, IPSec本身的因为它的身份认证规模较小、比较固定的VPN上是可行的,把PKI技术引进VPN中是为了网络的可扩展性和保证最大限度的安全,CA为每个新用户或设备核发一张身份数字证书,利用CA强大的管理功能,证书的发放、维护和撤销等管理极其容易,借助CA,VPN的安全扩展得到了很大的加强。传统的VPN系统中,设备的身份是由其IP地址来标识的。IP地址也可能随着服务商或地点的改变而改变,借助CA提供的交叉认证,无论用户走到哪儿,该用户的数字证书却不会改变可以随时跟踪该数字证书的有效性。本人提出将PKI证书身份认证技术应用在校园网IPSec-VPN网关中,以此来解决VPN的身份认证。
1.2 系统功能模块描述
从软件结构上分VPN网关系统分为应用层模块和内核层模块,SAD手工注入接口模块和密钥管理程序模块为运行在应用层的软件模块。IPSEC处理模块、CA模块和防火墙模块为运行在内核层的软件模块。
2 VPN系统分析
2.1 系统的需求分析
师生们越来越多地走出校园。他们也可能需要用到校园内部专用网络资源。这是因为随着我校的发展、项目的合作以及文化的交流越来越频繁,通过校园网VPN网统在公共网络中建立的可保密、控制授权、鉴别的临时安全虚拟连接,它是一条穿越相当混乱的公用网络的安全隧道,是高校内部网的扩展,采用通道加密技术的VPN系统,通过基础公网为使用高校提供安全的网络互联服务。这样师生们很方便的访问我校内网的网络资源,而且相对专用网、校园网VPN系统大大降低成本;相对Internet通信,VPN系统又具有相当高的安全性。密钥基础设施PKI是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务以及所必须的密钥和证书管理体系,这正好能弥补VPN的IPSec在身份认证方面的缺点。
2.2 流程分析设计
(1)将PKI的认证、机密性和完整性协议定义为PKI专用数据,并把它们置于DOI字段中,同时加载证书字段,生成带PKI性能的IKE载荷。
(2)IKE进行野蛮模式或者主模式交换,互换证书,建立IKE SA。
(3)双方用公钥检查CA和证书中的身份信息在证书上的数字签名。
(4)用公开密钥加密算法验证机密性。
(5)用数字签名算法验证完整性。
(6)协商一致后,生成具体的SA。
IPSec与PKI结合后,在密钥交换过程中,通过交换证书的方式交换了公钥和身份信息,验证数字签名、机密性和完整性,从而充分的保证了信息来源的可信度、完整性等,同时,IPSec配置文件中实现与多数用户的通信,只需少数的CA证书即可。
3 VPN系统的实现
3.1 IPSec内核处理模块实现
(1)为每种网络协议(IPv4,IPv6等)定义一套钩子函数(IPv4定义了5个钩子函数)。在数据涉及流过协议栈的几个关键点这些钩子函数被调用。在这几个点中,协议栈将把数据报及钩子函数标号作为参数调用Netfilter框架。
(2)内核的任何模块注册每种协议的一个或多个钩子,实现挂接,这样当传递给Netfilter框架某个数据包时,内核能检测是否有任何模块对该协议和钩子函数进行了注册。如果注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查(可能还会修改)该数据包、丢弃该数据包及指示Netfzlter将该数据包传入用户空间的队列。
(3)那些排队的数据包是被传递给用户空间的异步地进行处理。一个用户进程能检查数据包,修改数据包,甚至可以重新将该数据包通过离开内核的同一个钩子函数中注入到内核中。
3.2 CA系统功能模块实现
根据我校校区的分布,在这里PKI系统采用单CA多RA的系统结构,这种结构是单CA的改进,其中RA承担了CA的部分任务,减轻了CA的负担,随着校园规模和校园网的进一步扩大,如果经费允许,我们将建立层次CA,学校一个根CA,考虑到系统的安全性,CA服务器、RA服务器、Ldap服务器放置在北校区的防火墙后面,由于我校已购置日立的磁盘阵列,实际的数据库系统采用磁盘阵列实现。
CA服务器负责制作证书,签发证书作废表,审核证书申请,管理和维护中心CA系统,提供加密服务,保护存储密钥和密钥管理等等功能,整个系统基于windows系统,采用Java平台,并利用OpenSSL函数库和命令行工具而本论文并不讨论与之相关的加密、解密和密钥存储,证书策略等。
4 结语
本文从互联网的发展说明VPN技术产生的背景和意义,再对VPN的相关技术、协议进行研究与分析。在此基础上,结合校园网络的实际情况,提出了一个基于PKI校园网VPN系统的实现方案以利用VPN安全技术突破校园专用网的区域性限制来解决校园网存在的一些问题。同时根据提出的方案给出了一个校园网VPN实现的实例,并对该实现过程进行了检验和分析,在一定程度上验证了所提方案的有效性。
参考文献
[1]钱爱增.PKI与VPN技术在校园网内部资源安全问题中的应用研究[J].中国教育信息,2008(9):77-80.
vpn技术论文篇12
中图分类号:TM734 文献标识码:A
一、绵阳供电公司电力调度数据概述
绵阳供电公司调度数据网络2013年建设,2015建成投运。调度数据网绵阳地调接入网在其核心节点与国家电力调度数据网双平面骨干网绵阳地调骨干节点之间采用MP-EBGP的方式互联,以便实现调度自动化信息的网络化传输。调度中心和厂站的应用系统分别接入到骨干网和相应的接入网中,调度中心的应用系统通过跨域访问厂站端。按照《电力二次系统安全防护总体方案》要求,全网部署MPLS/VPN,各相关业务按安全分区原则接入相应VPN。
基于对绵阳电网调度业务量的需求、数据流向、网络可扩展性的分析,并考虑网络运行维护安全稳定的要求,绵阳地区调度数据网采用3层结构,即核心层、骨干层、接入层,如图1所示。
二、VPN技术原理及概述
1. VPN的简介及工作原理
VPN是依靠ISP(Internet Service Provider)和其他NSP(Network Services Provider),在公用网络中建立专用调度数据网络的技术。相对传统的网络技术,VPN数据传输在任意的两个节点之间并没有建立传统的端到端的物理链接,它是通过公用网络的动态资源完成数据加密传输。
2. VPN的关键技术和主要安全协议
实现VPN传输的技术有多种,目前常用的是以下4种:加密及解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、用户与设备身份认证技术(Authentication)及目前最常用的隧道技术(Tunneling)。
隧道技术是VPN的基本技术,也是目前绵阳供电公司采用的VPN模式(绵阳电力调度数据网VPN组网如图2所示)。基本的隧道技术通过建立点对点的链接,通过在公用或专用网络上(例如调度数据网)建立一条数据通道(即所谓的隧道),数据通过此隧道进行相应地加密传输。不同于传统的网络链接传输,隧道技术在隧道建立后,传输数据的过程中,需要对数据采取加密措施,按约定的协议对传输数据进行封装、加密传送,以此保证数据传输的安全性。
3. VPN技术的应用特点
(1)安全性及私密性
随着网络技术的发展,实现VPN的方式及技术越来越多,但无论是哪种方式实现VPN技术,都应当保证数据传输通过公共网络的安全性及私密性。目前的VPN技术基本都是通过在公共网络上直接构建,虽然实现简单,形式灵活,但也带来了更为突出的安全性要求。电力公司通过VPN技术进行调度数据网的数据传输,更需要确保VPN数据传输的安全性,保证数据传输不被攻击或篡改,不被非法用户访问私有信息。由于电网的重要性,也导致电力公司使用VPN技术时对VPN的安全性有了更高的需求。
(2)灵活性和可扩充性
VPN技术的数据传输特性要求VPN能够支持通过Internet和Extranet的任何类型的数据,可以支持各种类型的传输介质,同时可以灵活增加节点,满足可以同时出书图像、数据和语音等多种应用对传输质量和带宽的要求。
(3)服务质量保证(Quality of Service)
VPN技术应用应当针对不同的企业需求提供不同的等级服务。服务质量保证通过流量预测与控制,可以实现带宽管理,合理地先后发送各类数据,预防阻塞。
(4)可管理性
企业中VPN应用要求能将网络管理从局域网无缝延伸至公用网。企业在应用VPN过程中需要自己完成许多网络管理任务。因此,一个完善VPN的管理系统是必不可少的。VPN管理主要包括安全管理、QoS管理、设备管理等。
三、VPN技术在绵阳供电公司调度数据网中应用
绵阳供电公司调度数据网接入网原则上基于IPoverSDH的技术体制,以保证调度数据网技术体制的一致性、可控性和可管理。同时按照《电力二次系统安全防护总体方案》要求,全网部署MPLS/VPN,各相关业务按安全分区原则接入相应VPN。对于网络路由协议的选择、网络拓扑、网络分区、地址编码、网络安全、电路配置、网络管理等均应遵循本“总体技术方案”提出的原则。图3展示了绵阳调度数据网VPN业务的具体接入方式。
绵阳供电公司调度数据网通过IPsec构建VPN的安全通道,通过在防火墙F和A主机之间建立一个SA,报文通过IP隧道传输至F再转发给B。这种传输方式的前提是端系统B必须和防火墙F是相互信任的关系。对于从B传输至A的报文来讲,B用ESP运输模式及AH对报文进行加密保护。假设调度数据网内部是可信任的而Internet却是不可信任的,在此假设情况下,可以采用地理分布的各LAN的边界路由器对IP报文通过ESP机制和AH进行加密保护。即可以只在两个边界路由器之间建立SA,则边界路由器相对代表自身内部的所有端系统。
四、VPN技术下一步发展趋势
随着Internet发展成为社会的信息基础应用,企业网络应用也基本采用基于IP的模式,因此实现基于IP的VPN业务是企业网络应用的必然发展趋势,在电力系统中也有广泛的应用前景。通过VPN技术在电力调度数据网中的应用,可以为电力企业带来可观的经济效益,为电力企业的信息共享提供安全可靠的途径。
参考文献
[1]高海英,薛元星,辛阳.VPN技术(第一版)[M].北京:机械工业出版社,2004:1-2.
[2]汪海航,谭成翔,孙为清,赵轶群.VPN技术的研究与应用现状及发展趋势[J].计算机工程与应用,2001,37(23):14-16.
