引論:我們為您整理了13篇vpn技術論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
vpn(VirtualPrivateNetwork)即虛擬專用網,是一項迅速發展起來的新技術,主要用于在公用網絡中建立專用的數據通信網絡。由于它只是使用因特網而不是專線來連接分散在各地的本地網絡,僅在效果上和真正的專用網一樣,故稱之為虛擬專用網。在虛擬專用網中,任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。一個網絡連接通常由客戶機、傳輸介質和服務器三個部分組成。VPN同樣也由這三部分組成,不同的是VPN連接使用了隧道技術。所謂隧道技術就是在內部數據報的發送接受過程中使用了加密解密技術,使得傳送數據報的路由器均不知道數據報的內容,就好像建立了一條可信賴的隧道。該技術也是基于TCP/IP協議的。
2隧道技術的實現
假設某公司在相距很遠的兩地的部門A和B建立了虛擬專用網,其內部網絡地址分別為專用地址20.1.0.0和20.2.0.0。顯然,這兩個部門若利用因特網進行通信,則需要分別擁有具有合法的全球IP的路由器。這里假設部門A、B的路由器分別為R1、R2,且其全球IP地址分別為125.1.2.3和192.168.5.27,如圖1所示。
圖1
現在設部門A的主機X向部門B的主機Y發送數據報,源地址是20.1.0.1而目的地址是20.2.0.3。該數據報從主機X發送給路由器R1。路由器R1收到這個內部數據報后進行加密,然后重新封裝成在因特網上發送的外部數據報,這個外部數據報的源地址是R1在因特網上的IP地址125.1.2.3,而目的地址是路由器R2在因特網上的IP地址192.168.5.27。路由器R2收到R1發送的數據報后,對其進行解密,恢復出原來的內部數據報,并轉發給主機Y。這樣便實現了虛擬專用網的數據傳輸。
3軍隊院校校園網建設VPN技術應用設想
隨著我軍三期網的建設,VPN技術也可廣泛應用于軍隊院校的校園網建設之中。這是由軍隊院校的實際需求所決定的。首先,軍隊的特殊性要求一些信息的傳達要做到安全可靠,采用VPN技術會大大提高網絡傳輸的可靠性;第二,軍隊院校不但有各教研室和學員隊,還包括保障部隊、管理機構等,下屬部門較多,有些部門相距甚至不在一個地方,采用VPN技術可簡化網絡的設計和管理;第三,采用了VPN技術后將為外出調研的教員、學員們以及其它軍隊院校的用戶通過軍隊網訪問本校圖書館查閱資料提供便利。
而VPN技術的特點正好能夠滿足以上幾點需求。首先是安全性,VPN通過使用點到點協議(PPP)用戶級身份驗證的方法進行驗證,這些驗證方法包括:密碼身份驗證協議(PAP)、質詢握手身份驗證協議(CHAP)、Shiva密碼身份驗證協議(SPAP)、Microsoft質詢握手身份驗證協議(MS-CHAP)和可選的可擴展身份驗證協議(EAP),并且采用微軟點對點加密算法(MPPE)和網際協議安全(IPSec)機制對數據包進行加密。對于敏感的數據,還可以使用VPN連接通過VPN服務器將高度敏感的數據服務器物理地進行分隔,只有擁有適當權限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接,并且可以訪問敏感部門網絡中受到保護的資源。第二,在解決異地訪問本地電子資源問題上,這正是VPN技術的主要特點之一,可以讓外地的授權用戶方便地訪問本地的資源。目前,主要的VPN技術有IPSecVPN和SSLVPN兩種。其中IPSec技術的工作原理類似于包過濾防火墻,可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數據包時,包過濾防火墻使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時,包過濾防火墻就按照該規則制定的方法對接收到的IP數據包進行處理。但是IPSec不同于包過濾防火墻的是,對IP數據包的處理方法除了丟棄,直接轉發(繞過IPSec)外還能對IP數據包進行加密和認證。而SSLVPN技術則是近幾年發展起來的新技術,它能夠更加有效地進行訪問控制,而且安全易用,不需要高額的費用。該技術主要具有以下幾個特點:第一,安全性高;第二,便于擴展;第三,簡單性;第四,兼容性好。
我認為軍隊院校校園網VPN技術應主要采用SSLVPN技術。首先因為其安全性好,由于IPSecVPN部署在網絡層,因此,內部網絡對于通過VPN的使用者來說是透明的,只要是通過了IPSecVPN網關,它可以在內部為所欲為。因此,IPSecVPN的目標是建立起來一個虛擬的IP網,而無法保護內部數據的安全,而SSLVPN則是接入企業內部的應用,而不是企業的整個網絡。它可以根據用戶的不同身份,給予不同的訪問權限,從而保護具體的敏感數據。并且數據加密的安全性有加密算法來保證。對于軍隊機構,安全保密應該是主要考慮的方面之一。第二,SSLVPN與IPSecVPN相比,具有更好的可擴展性。可以隨時根據需要,添加需要VPN保護的服務器。而IPSecVPN在部署時,要考慮網絡的拓撲結構,如果增添新的設備,往往要改變網絡結構,那么IPSecVPN就要重新部署。第三,操作的復雜度低,它不需要配置,可以立即安裝、立即生效,另外客戶端不需要麻煩的安裝,直接利用瀏覽器中內嵌的SSL協議就行。第四,SSLVPN的兼容性很好,而不像傳統的IPSecVPN對客戶端采用的操作系統版本具有很高的要求,不同的終端操作系統需要不同的客戶端軟件。此外,使用SSLVPN還具有更好的經濟性,這是因為只需要在總部放置一臺硬件設備就可以實現所有用戶的遠程安全訪問接入;但是對于IPSecVPN來說,每增加一個需要訪問的分支就需要添加一個硬件設備。
雖然SSLVPN的優點很多,但也可結合使用IPSecVPN技術。因為這兩種技術目前應用在不同的領域。SSLVPN考慮的是應用軟件的安全性,更多應用在Web的遠程安全接入方面;而IPSecVPN是在兩個局域網之間通過網絡建立的安全連接,保護的是點對點之間的通信,并且,IPSecVPN工作于網絡層,不局限于Web應用。它構建了局域網之間的虛擬專用網絡,對終端站點間所有傳輸數據進行保護,而不管是哪類網絡應用,安全和應用的擴展性更強。可用于軍校之間建立虛擬專用網,進行安全可靠的信息傳送。
4結論
總之,VPN是一項綜合性的網絡新技術,目前的運用還不是非常地普及,在軍隊網中的應用更是少之又少。但是隨著全軍三期網的建成以及我軍信息化建設的要求,VPN技術將會發揮其應有的作用。
篇2
1 引言
隨著我院辦學形式的轉變,先后在北京和杭州成立的相關研究所,以及在杭州的浙江技師學院分校。現要求使各分部區能訪問主校區的校內資源,保證連接和訪問的安。所以必須尋找一種新的互連方式解決校區間數據傳遞或教職工在校外訪問校內資源中遇到的問題。價格上要求實惠,數據要求安全,因此虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸,虛擬專用網還可以保護現有的網絡投資。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
2 VPN簡介
2.1 虛擬專用網
虛擬專用網(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機制仿真出一個私有的廣域網"是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。
2.2 VPN的實現技術
VPN實現的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現也至關重要。
(1)VPN訪問點模型。首先提供一個VPN訪問點功能組成模型圖作為參考,如圖1所示。其中IPSec集成了IP層隧道技術和加密技術。
(2)隧道技術。隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特點
(1)安全保障。雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接,稱之為建立一個隧道,可以利用加密技術對經過隧道傳輸的數據進行加密,以保證數據僅被指定的發送者和接收者了解,從而保證了數據的私有性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。ExtranetVPN將企業網擴展到合作伙伴和客戶,對安全性提出了更高的要求。
(2)服務質量保證(QoS)。VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素;而對于擁有眾多分支機構的專線VPN網絡,交互式的內部企業網應用則要求網絡能提供良好的穩定性;對于其它應用(如視頻等)則對網絡提出了更明確的要求,如網絡時延及誤碼率等。所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量。在網絡優化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。QoS通過流量預測與流量控制策略,可以按照優先級分配帶寬資源,實現帶寬管理,使得各類數據能夠被合理地先后發送,并預防阻塞的發生。
(3)可擴充性和靈活性。VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
(4)可管理性。從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面,VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網,甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成,企業自己仍需要完成許多網絡管理任務。所以,一個完善的VPN管理系統是必不可少的。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
3 VPN應用實例
利用VPN 較少的網絡設備及物理線路,使網絡的管理較為輕松。不論分校或遠程訪問用戶的多少,只需通過互聯網的路徑即可進入主校區網路。
結合我校的實際要求,采用美國網件產品FVL328、FVL318VPN產品,價格實惠,總體性能滿足要求,美國網件的VPN網絡解決方案不僅支持IPSEC等協議,以及DES、3DES、AES加密算法,同時還可通過IKE、共享秘鑰、PKI(X.509)進行身份認證等方式,加強內部網絡的安全性能。
FVL328、FVS318具有支持動態DDNS組建的IPSEC VPN網絡的功能, 并運用了產品自身的DDNS(動態域名解析)技術,整個VPN系統網絡使用方便、快速、圖形化的配置界面使維護和管理更簡單、建設費用低廉。VPN拓撲結構圖,如圖2所示:
在總校采用一臺FVL328作為中心端,在其他分校使用FVS318,整個VPN網絡通過認證密碼統一管理,形成一個集中管理的虛擬私有網絡,VPN傳輸使用IPSEC協議。對外安全邊界使用NETGEAR的寬帶防火墻技術屏蔽來自外部的各種可能攻擊。
總校可采用固定的IP地址和域名,各分校可以申請動態拔號ADSL寬帶線路, 通過從NETGEAR的VPN設備中申請獲得免費的DDNS(動態域名解析服務),從而可低成本地組建VPN網絡連接,結合美國網件公司的VPN防火墻FVL328和FVS318的先進安全策略技術,來實現實際需求和將來可能的需求. 各分院能夠直接訪問到母校的數據共享服務器資源, 同時又要保證數據能安全的在公網上進行傳輸.即實現母校與各分院之間數據和信息能夠安全、保密、高速、穩定的實時傳輸。
4 結語
文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時建立的安全專用虛擬網絡,用戶就節省了租用專線的費用,在運行的資金支出上,除了購買VPN設備,企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用,也節省了長途電話費。VPN技術戶廣泛用于校際間的數據傳送,也是企業的分支機構聯系數據的主要手段。
參考文獻
篇3
1.校園網問題分析及其解決方案的提出
虛擬專用網(VPN),是對企業內部網的擴展。它通過“隧道”技術、加密技術、認證技術和訪問控制等手段提供一種通過公用網絡(通常是因特網)安全地對單位內部專用網絡進行遠程訪問的連接方式。
近年來,隨著高校信息化建設工作的深入開展,校園網用戶對校園網的要求也越來越高,傳統的單一公網接入模式已經很難滿足日趨復雜的應用需求。大多數的教師習慣于利用家里的計算機上網查資料、寫論文。如果要去學校圖書館網站,或者是教育網內查資料,一般情況下是無法查找并下載的,因為學校圖書館的電子資源都做了訪問限制,普通Internet用戶也是不能訪問教育網的。在每年期末考試后,老師在線提交成績時,都要登錄學校內部“教務處”的網站在線提交,這時也只能到學校提交。
為此,校園網的建設可采用多ISP連接的網絡訪問模式:在原有的教育網出口的基礎上增加一個當地ISP(移動、聯通或電信寬帶ISP)出口,形成多ISP連接的校園網絡結構,并且需學校的網絡中心在學校組建VPN服務器,供教職工在校外使用校內資源。在組建VPN服務器時,使用當地ISP出口,為校外的教職工提供VPN接入服務,因為校外教職工大多使用當地ISP提供的ADSL寬帶業務。當校外職工使用VPN接入學校的VPN服務器后,就可以訪問校園網與教育網上的資源,這將為教職工提供很大的便利。
2.VPN關鍵技術研究
⑴隧道技術:隧道是指在公用網建立一條數據通道,讓數據包通過這條隧道傳輸。隧道技術可分別以第2層或第3層隧道協議為基礎。第2層隧道協議對應于OSI模型的數據鏈路層,使用幀作為數據交換單位。PPTP(點對點隧道協議)、L2TP(第二層隧道協議)和L2F(第2層轉發協議)都屬于第2層隧道協議,是將用戶數據封裝在點對點協議(PPP)幀中通過互聯網發送。第3層隧道協議對應于OSI模型的網絡層,使用包作為數據交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協議,是將IP包封裝在附加的IP包頭中,通過IP網絡傳送。無論哪種隧道協議都是由傳輸的載體、不同的封裝格式以及用戶數據包組成的。它們的本質區別在于,用戶的數據包是被封裝在哪種數據包中在隧道中傳輸。
⑵安全技術:VPN安全技術主要包括加解密技術、密鑰管理技術、使用者與設備身份認證技術。加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術;密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取;使用者與設備身份認證技術最常用的是使用者名稱與密碼認證等方式。
3.基于VPN技術的多出口校園網的設計
3.1 網絡結構規劃
為了滿足可擴展性和適應性目標,網絡結構采用典型的層次化拓撲,即核心層、分布層、訪問層。核心層路由器用于優化網絡可用性和性能,主要承擔校園網的高速數據交換任務,同時要為各分布層節點提供最佳數據傳輸路徑;分布層交換機用于執行策略,分別連接圖書館、辦公樓、實驗樓以及各院系;接入層通過低端交換機和無線訪問節點連接用戶。畢業論文。網絡拓撲圖如圖1所示。
圖1 網絡拓撲圖
3.2 網絡工作原理
在該組網方案中,學校通過核心層路由器分別接入教育網與Internet,然后通過一硬件防火墻與分布層交換機連接,分布層交換機負責連接圖書館、辦公樓、實驗樓以及各院系的接入層設備,校園網內的終端計算機直接與接入層設備相連。終端計算機可直接使用教育網分配的IP地址。校園網內有一臺安裝了ISAServer2006的VPN服務器,給其分配一個教育網IP地址(假設Ip:202.102.134.100,網關地址202.102.134.68),在防火墻中將一個公網地址(假設為222.206.176.12)映射到該地址。VPN服務器可通過“防火墻”與“核心層路由器”訪問Internet與教育網,Internet上的用戶,可以通過“Internet上的VPN客戶端—>Internet網絡—>核心層路由器—>防火墻—>分布層交換機—>ISA Server2006VPN服務器”的路線連接到VPN服務器,之后,ISAServer2006 VPN服務器通過防火墻和核心層路由器訪問教育網,并且ISA Server2006 VPN服務器通過分布層交換機提供了到學校內網的訪問。
3.3 技術要點
⑴防火墻內網地址問題。如果防火墻是透明模式接入,各個網口是不需要地址的。若防火墻是假透明,就需要給防火墻的每個網口配置同一個網段的IP。如果是路由模式,需要給防火墻的每個網口配置不同網段的IP,就象路由器一樣。現在有一些防火墻已經有所謂的混合模式,也就是透明和路由同時工作,這屬于路由模式的擴展。畢業論文。
⑵VPN服務器的注意事項。ISA Server2006VPN服務器要求至少有“兩塊網卡”才能做VPN服務器,若服務器上只有一塊網卡,需為其安裝一塊“虛擬網卡”。另外,VPN服務器不一定要直接連接在分布層交換機上,也可以是圖書館、辦公樓、實驗樓以及各院系的一臺服務器,只要映射一個公網地址即可。
⑶設定ISA Server2006接受VPN呼叫。VPN 可通過默認設置的動態主機配置協議(Dynamic Host Configuration Protocol,DHCP)或者通過使用路由選擇和遠程訪問控制臺分配的一組地址來分配地址。如果選擇了DHCP,VPN客戶端永遠不會同DHCP服務器進行直接通信,運行ISA Server2006的VPN服務器將分配從DHCP服務器所獲得的地址;它將基于運行ISA Server2006的VPN 服務器的內部接口配置來分配名稱服務器地址。如果擁有多個內部接口,運行ISA Server的VPN 服務器將選擇其中之一。
⑷VPN客戶端地址的分配。在給VPN客戶端分配IP地址時,在為VPN客戶端分配IP地址的時候,要保證所分配的地址不能與VPN服務器本身以及VPN服務器所屬內網、公網的地址沖突,否則VPN客戶端在訪問內網時,會造成尋址問題而不能訪問。畢業論文。為了避免出現問題,直接分配私網的IP地址即可,比如192.168.14.0/24網段。另外,校園網外的教職工,在撥叫VPN服務器時,應是防火墻映射的地址,本文中即222.206.176.12。
4.結束語
多出口是目前許多高校組建校園網時所采取的方式,多出口解決了教育網與Internet之間的出口速度很慢的問題,將VPN技術應用到具有多出口的高校校園網,可以讓校外Internet用戶更容易、更方便的獲得對教育網、校園網數字資源的使用權。
參考文獻
[1]曹利峰,杜學繪,陳性元.一種新的IPsecVPN的實現方式研究[J].計算機應用與軟件,2008,07
[2]賈毅峰.雙出口校園網中策略路由的應用[J].銅仁學院學報,2009,11
[3]吳建國,王鐵,許興華.校園網雙(多)出口的基本解決策略和方法[J].云南師范大學學報,2010.01
篇4
一、引言
隨著科學技術的飛速發展,國內外各高校圖書館之間的交流合作不斷深化、師生員工對于知識的需求多元化,迫使各高校圖書館集中科研力量開發新型借閱系統、利用新興網絡技術建設一個既能滿足當前應用又能滿足長遠發展需求的數字圖書館網絡平臺。但是在建設數字圖書館的過程中很多高校遇到了一些問題:電子書商基于對產品版權的保護,在電子資源中設置數字版權(DRM),限制了訪問的IP地址范圍,這與師生員工利用公共網絡帳號(網絡運營商提供的動態分配IP地址的上網帳號)訪問校園內網(專用網絡)的電子資源的權限沖突,導致師生員工無法檢索需要的信息資料,直接造成許多圖書館電子資源的閑置和浪費,使得投入和產出不成正比,影響了數字圖書館的合理化建設。面對這種情況,VPN技術為我們提供了一套可管理、可認證、安全的遠程訪問電子資源的解決方案。
二、VPN技術簡介
1.VPN簡述
VPN(Virtual Private Network)可譯為“虛擬專用網”。它并不是一個新名詞,因為在電信服務的電話網絡中早就提出了VPN的概念。VPN不是真的專用網絡,但是卻能實現專用網絡的功能。因特網工程技術委員會(IETF)對的VPN的解釋是:通過公共網絡建立一個臨時的、安全的、私有的點對點連接,通過對網絡數據的封包和加密傳輸,從而實現在公網上傳輸私密數據,并達到私有專用網絡的安全級別。VPN網絡的認證機制很好的保護了用戶收發數據的完整性、準確性,避免收發的數據不相符;而且VPN技術本身對網絡流量能進行預測和控制,實現網絡帶寬的優化管理,從而避免在互聯網使用高峰期造成網絡堵塞,提高了數據傳輸的質量;另外,單位、企業很在意的經濟投入也是非常的合理、節約,只要一次性購買VPN設備(包括服務器、路由器等),而不再需要增購其它的存儲設備,進行重復性建設,并且VPN網絡更不用考慮線路帶寬的利用率和費用的問題。一旦組建好VPN網絡之后只須安排一個專業技術員對其進行日常的管理維護(主要是安全管理、設備正常運行監控、配置管理、訪問控制列表管理等)即可。此外,現有公共網絡提供多種接入方式,如:PSTN撥號、ADSL、CableModem、小區寬帶等,VPN網絡也可以根據各種接入方式的信息量、實時性及通信條件等情況,分別選擇不同的速率與之鏈接;同時,VPN網絡能夠支持任何類型的數據流,支持多種類型的傳輸媒介,滿足同步傳輸語音、圖像的需求,方便增加新的節點,增加訪問用戶的數量,具有很高的可擴充性能。
2.VPN關鍵技術
那么,VPN是采用什么技術和協議來很好的發揮它的特點的?首先我們需要了解國際標準組織制定的OSI網絡模型,它把傳統Internet網絡分為7層:物理層、數據鏈路層、網絡網際協議層、數據信息傳送層、對話層、表示層和應用層;最底層是物理層,而最高層是應用層,VPN技術利用這個OSI模型為基礎,開發出目前主流的三類Internet VPN遠程安全接入技術(基于網絡協議第三層的安全鏈接技術IPSecVPN、基于多協議的標記交換技術MPLS VPN、基于網絡協議第七層的安全鏈接技術SSL VPN)。這些VPN技術具有類似的功能,但也存在著不同特性和各自擅長的應用取向。無論采用什么技術標準的VPN網絡運用下面四種核心手段保證通信安全。
1)隧道技術(Tunneling)
隧道技術是VPN網絡的基本技術,并依靠多種隧道協議來完成,例如:PPTP(點對點
隧道協議)、PPP(點對點通信協議)、L2F(數據鏈路層轉發協議)、L2TP(數據鏈路層隧道協議)等。目前比較流行的隧道協議是IPSec(網絡協議安全標準)與SSL(安全認證應用層標準)協議的結合,使用此協議可以很容易地建立IP層(網絡協議第三層)用戶的要求,也可以實現需要C/S(客戶機/服務器)架構或者B/S(瀏覽器/服務器)架構的數據管理信息系統的要求。
2)加密&解密技術(Encryption&Decryption)
加密&解密技術是網絡實時數據通信中一項比較成熟的技術,VPN可以直接利用此項技術。現行VPN使用的加密&解密技術主要有兩種:對稱加密(單鑰加密)算法和不對稱加密(公鑰加密)算法。其中不對稱加密算法生成的密鑰用戶管理方便,占用存儲空間小,所以此算法是目前VPN網絡中使用最為廣泛的算法。
3)密鑰管理&交換技術(KeyManagement)
密鑰管理&交換技術是保護在公共網絡上傳輸的私有數據流可以安全地傳遞密鑰、識別密鑰從而進行數據交換。為了使數據可以安全、準確、及時地傳遞,國際標準組織制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密鑰管理&交換協議,進而形成了現行的密鑰管理&交換機制,主要有三種:KMI機制(基于傳統網絡)、PKI機制(基于開放網絡)和SPK機制(基于大規模專用網絡),最為廣泛使用的是KMI機制。
4)使用者身份認證技術(Authentication)
使用者身份認證技術最常用的是用戶名、口令或智能卡認證(特殊的U盤)等方式。在實際應用中,移動用戶使用智能卡方式,此卡內存貯有用戶登錄VPN網絡所要求的各項相關數據信息;遠程非移動用戶采用用戶名與口令方式來登錄,例如ADSL連接方式則在撥號時實現,如果是專線用戶則在路由器中實現,此用戶名與口令一般不需要登錄用戶來干預,所以用戶訪問VPN網絡就如同在局域網內一樣方便。
如今,VPN技術突飛猛進,又出現許多新技術元素,所以VPN技術的發展前景很廣闊。而解決數字圖書館建設中的一些疑難問題就目前看來采用VPN技術是一種很高效的解決辦法。
三、數字圖書館建設中幾種常見(VPN)模式
在各個高校數字圖書館建設過程中,根據師生用戶群的使用特點以及應用環境的不同,VPN大致可采用三種不同的解決方案:遠程訪問虛擬網(AccessVPN)、校園內部虛擬網(IntranetVPN)和校園擴展虛擬網(ExtranetVPN)。
1.遠程訪問虛擬網(AccessVPN):如果圖書館員或者師生用戶需要移動或者遠程訪問圖書館或者圖書館開展遠程教育,就可以考慮使用AccessVPN。AccessVPN通過使用與專用網絡相同策略的共享基礎設施(公共骨干網),提供圖書館內網和公共網絡之間的安全連接。AccessVPN能使圖書館所有用戶隨時、隨地以其所需的方式辦理圖書館各種業務。
2.圖書館內部虛擬網(IntranetVPN):近年來隨著高校規模的不斷擴大,辦學方式的不斷豐富,各大高校都呈現多校區辦學模式,圖書館也不例外,許多高校圖書館組建分支機構,這樣就可以考慮使用IntranetVPN。IntranetVPN通過公用網服務商提供的QoS機制(能自動識別數據包并轉發到對應的地址去),使圖書館與各個校區分支機構的路由器之間建立VPN安全隧道,保證圖書館各個分支機構能實時、準確的與主機構之間交換數據。論文參考網。
3.圖書館擴展虛擬網(ExtranetVPN):其實這種應用模式只是圖書館內部虛擬網的擴展,這種模式為圖書館和電子資源供應商的網站平臺之間提供了一種安全的連接通道,例如電子書商提供圖書館內網遠程鏡像訪問企業主站的安全訪問模式和各高校圖書館之間的合作,就可以考慮使用ExtranetVPN。論文參考網。ExtranetVPN更多的是考慮協調和安全問題。
以上提供的幾種圖書館VPN解決方案常常通過軟、硬件以及輔助設備把他們結合起來使用,這樣就大大豐富了VPN技術在圖書館數字化建設中的作用。
四、VPN在安徽農業大學圖書館中的應用
安徽農業大學是安徽省一所省屬重點綜合性大學,安徽農業大學的數字圖書館建設也采用VPN技術來實現校外公網訪問校內資源,實現學校的公共資源的充分利用。
現階段,安徽農業大學圖書館還沒有分館,所以VPN技術主要應用于校外師生用戶通過公共網絡訪問圖書館電子資源。學校采用一家很有實力的網絡技術公司的M5600 SSL VPN路由器構建VPN網絡,這種VPN路由器主要采用使用者用戶名認證技術保證校外師生用戶通過公共網絡正確訪問圖書館電子資源。論文參考網。根據目前的需求可以看出,現階段的用戶群還是比較集中和狹窄的,這也是為了保護學校資源和電子書商的版權。但是,為了能在不遠的將來使圖書館資源利用率達到最優化,學校購買的VPN路由器是智能化和可升級的,這樣就足以保證數字圖書館建設的可持續發展。
總之,VPN的應用前景是很廣闊的,不僅僅是解決公共網絡訪問內網資源的問題;可以預見,數據共享是未來圖書館的發展趨勢。各高校圖書館都會建設專有VPN網絡,從而使信息資源全球化、集成化、多元化。
[參考文獻]
1.李紅艷. VPN技術在高校圖書館網絡系統設計中的應用[J]. 中國期刊網CNKI數字圖書館,科技情報開發與經濟,第16卷第21期,2006年.
2.唐淑娟,秦一方,井向陽. VPN技術與圖書館資源遠程利用[J]. 中國期刊網CNKI數字圖書館,情報探索,第1期,2007年1月.
篇5
1 引言
信息技術的迅速發展和廣泛應用,不僅改變著人們的工作和生活方式,也改變著教育和學習方式,也促進了國內外數字資源的突飛猛進發展,高校圖書館購買的數字資源也越來越多,可供師生訪問的資源日漸增多,但是數據庫資源的知識產權和版權等因素使得相當部分數字資源使用范圍有限,只能在校園網內部訪問,不能對外網開放。電大開放教育以學生為中心,具有開放性、靈活性、針對性和適應性等特點,主要運用衛星、電視、互聯網、移動終端等信息化手段和多種教學媒介,構建全民多樣化終身學習型社會。國家開放大學數字圖書館的服務對象是開放大學及電大系統的師生,但他們多數是在職在崗的成人,學習的地方相對分散,到校園圖書館利用數字資源極為不便,也因此形成了開放大學圖書館服務方式的特殊性。為了滿足電大系統教師和學生隨時隨地便捷地使用圖書館數字資源,國家開放大學數字圖書館提供遠程訪問服務。
2 遠程訪問數字圖書館
本文所討論的遠程訪問是校外訪問,就是指非校園網用戶突破校內IP地址的物理限制使用學校購買的數字化數據庫資源。目前遠程訪問圖書館數字資源有傳統服務器技術、VPN技術、Athens項目、PKI技術、Shibbloeth項目、EZproxy技術等[1]。VPN技術實現遠程訪問已經普遍應用并逐步完善,尤其在遠程訪問圖書館數字資源中應用更為廣泛。新興的 SSL VPN 技術非常適合移動用戶的遠程接入訪問,該技術集傳統數據網絡的安全、快速及共享數據庫的低成本且簡單易行等優點特點,可以為外部網提供虛擬連接,從而成為高校圖書館為所有非校園網的師生提供資源共享的最理想的方案[2]。
3 VPN概述
VPN(Virtual Private Network)即虛擬專用網絡,是一種網絡新技術,在公用網絡上通過加密、認證、封裝以及密鑰交換技術,建立單位內部專用網絡進行遠程虛擬訪問的連接方式。VPN具有傳輸數據安全可靠,連接方便靈活,可完全控制,成本低等特點[3]。
SSL VPN是采用SSL(Secure Sockets Layer,安全套接層)協議來實現遠程接入的一種新型VPN技術。SSL協議是基于WEB的安全協議,使用SSL 協議進行認證和數據加密的VPN就可以免于安裝客戶端。相對于傳統的VPN而言,SSL VPN具有部署簡單,無客戶端,維護成本低,網絡適應強等特點[4]。
4 應用VPN技術訪問數字圖書館的方法
筆者在教育教學過程中發現絕大多數學生不會遠程訪問數字圖書館,甚至很多教師都不會合理利用網上數字資源。開放大學圖書館由于涉及數據庫資源的知識產權問題,使用范圍有限,在校園網內使用沒有限制,但校外只允許屬于電大的教師和學生作為合法的用戶,提供VPN技術,用戶在登錄后,需要安裝VPN控件,才能正常的打開文獻資源列表。一般情況下,VPN系統會自動檢測電腦系統,并引導安裝VPN插件,也可以在網站下載插件安裝包進行安裝。因此要求我們提供用戶名和密碼來進行身份的確認。筆者在教學工作中發現,很多學生寫畢業論文或教師做課題研究的時候,抱怨找不到資源,找到的資源不完整或者下載需付費,下面簡單介紹校外如何訪問開放大學數字圖書館(中央廣播電視大學圖書館)。
4.1 開放大學數字圖書館介紹
國家開放大學數字圖書館為開放大學及全國電大系統提供一站式、扁平化服務,其中電子圖書書目數據達340多萬種、電子圖書全文達234萬種、學術文獻7000多萬篇、社科數字期刊2800多種,名師講座88624集,基本實現數字文獻資源全學科覆蓋[5]。主要涵蓋:(1)開放文獻資源列表,提供中央電大圖書館提供的常用電子文獻資源列表;(2)讀者論壇幫助BBS(beta),是開放數圖論壇讀者幫助模塊,在此可以反饋在使用中存在的問題,提出數字圖書改進建議;(3)數字圖書館學習空間,以圖書館培訓、教育為主要內容,同時提供教師自建課程的Moodle教學平臺;(4)電大在線?我的工作室,提供在線教學輔導的全部信息;(5)開放大學講壇,由中央電大圖書館主辦的學術講座平臺,匯集名師名家,深入講解近期發生的熱點問題,提供最全的視頻資料信息;(6)全國電大圖書館通訊,是圖書館服務與交流電子期刊,提供了最新的電大圖書館工作動態,介紹電大圖書館新引進的和推薦的文獻信息資源等;(7)社會化應用及交流網站等服務。
4.2 安裝VPN控件
開放大學數字圖書館(http://)通過VPN的方式對開放教育學生以及電大系統教職工提供授權訪問服務。打開頁面“插件”(如上圖),下載“國家開放大學數字圖書館遠程訪問控件”,即VPN控件,在安裝過程中關閉防火墻和IE安全控(上接81頁)
件軟件,并將圖書館網站的鏈接地址添加到IE信任列表,Windows Vista用戶在安裝控件時請關閉UAC,Windows 7用戶在安裝控件時請對IE點擊右鍵選擇“以管理員身份運行”,再打開安裝頁面。安裝VPN控件后,這個插件要求必須使用IE瀏覽器進行訪問,IE瀏覽器的版本最低為6.0。
4.3 登陸訪問資源列表
點擊“開放數圖”,學生用電大在線學生證號進行登錄,教師用電大在線用戶名進行登錄,通過點擊開放文獻資源列表標簽,在進入過程中檢查身份的合法性及訪問資源的安全性,檢查完畢進入應用列表,包括CNKI、維普、萬方、超星、龍源、讀秀等數據庫,涵蓋了最新期刊、會議論文、學位論文等。
4.4 文獻檢索
以中國知網(CNKI)為例,打開CNKI(國開鏡像版),期刊包括博碩士學位論文、會議、報紙、外文文獻、年鑒、百科、詞典、統計數據、專利、標準等內容,通過全文、主題、篇名、關鍵字、摘要、文獻來源等方式輸入關鍵字進行檢索,在檢索結果中打開自己感興趣的文獻進行閱讀、下載。
日新月異的信息技術,促進了教育信息化的迅猛發展,電大教師的信息技術應用能力、文獻檢索的方法和途徑直接決定了遠程教育教學資源的使用效率和科研水平,因此筆者認為提升師生信息素養,加強信息技術應用能力,通過系統內數字資源應用培訓,從數字圖書館平臺訪問、國內主要文獻數據庫的使用、移動數字圖書館的使用等方面進行培訓,使教職工掌握數字文獻資源的使用,提高數字資源的使用率,充分發揮資源共享的優勢和效益,為教學和科研提供支持。
參考文獻:
[1]張文豐,黃淑敏.開放大學數字圖書館資源校外訪問方式的研究[J].黑龍江科技信息,2007,(20):146.
[2]付凱東.SSL VPN技術在高校圖書館數字資源中的應用[J].微計算機信息,2010,26(7-3):107.
[3]百度百科:虛擬專用網絡[EB/OL].http:///view/480950.htm?fromId=19735.
篇6
虛擬專用網即VPN(Virtual Private Network)是利用接入服務器(Access Sever)、廣域網上的路由器以及VPN專用設備在公用的WAN上實現虛擬專用網技術。通常利internet上開展的VPN服務被稱為IPVPN。
利用共用的WAN網,傳輸企業局域網上的信息,一個關鍵的問題就是信息的安全問題。為了解決此問題,VPN采用了一系列的技術措施來加以解決。其中主要的技術就是所謂的隧道技術。
1. 隧道技術
Internet中的隧道是邏輯上的概念。假設總部的LAN上和分公司的LAN上分別連有內部的IP地址為A和B的微機。總部和分公司到ISP的接入點上的配置了VPN設備。它們的全局IP地址是C和D。假定從微機B向微機A發送數據。在分公司的LAN上的IP分組的IP地址是以內部IP地址表示的"目的地址A""源地址B"。因此分組到達分公司的VPN設備后,立即在它的前部加上與全局IP地址對應的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設備從D發往VPN設備C而添加的。此IP分組到達總部的VPN設備C后,全局IP地址即被刪除,恢復成IP分組發往地址A。由此可見,隧道技術就是VPN利用公用網進行信息傳輸的關鍵。為此,還必須在IP分組上添加新頭標,這就是所謂IP的封裝化。同時利用隧道技術,還必須使得隧道的入口與出口相對地出現。
基于隧道技術VPN網絡,對于通信的雙方,感覺如同在使用專用網絡進行通信。
2. 隧道協議
在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數據分組是否加密取決于隧道協議。因此,要成功的使用VPN技術還需要有隧道協議。
2.1 當前主要的隧道協議以及隧道機制的分類:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技術,作為一種傳輸協議L2F支持撥號接入服務器。將撥號數據流封裝在PPP幀內通過廣域網鏈路傳送到L2F服務器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP協議又稱為點對點的隧道協議。PPTP協議允許對IP,IPX或NETBEUT數據流進行加密,然后封裝在IP包頭中通過企業IP網絡或公共互連網絡傳送。
⑶ 2TP(Layer 2 Tunneling Protocol)
該協議是遠程訪問型VPN今后的標準協議。
L2F、PPTP、L2TP共同特點是從遠程客戶直至內部網入口的VPN設備建立PPP連接,端口用戶可以在客戶側管理PPP。它們除了能夠利用內部IP地址的擴展功能外,還能在VPN上利用PPP支持的多協議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實現第二層連接的PPPSecsion的隧道協議被稱作第二層隧道。對于不提供PPP功能的隧道協議都由標準的IP層來處理,稱其為第三層隧道,以區分于第二層隧道。
⑷ TMP/BAYDVS
ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠程訪問的VPN協議,它部分采用了移動IP的機制。ATMP以GRE實現封裝化,將VPN的起點和終點配置ISP內。因此,用戶可以不裝與VPN想適配的軟件。
⑸ PSEC
IPSEC規定了在IP網絡環境中的安全框架。該規范規定了VPN能夠利用認證頭標(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。
IPSEC隧道模式允許對IP負載數據進行加密,然后封裝在IP包頭中,通過企業IP網絡或公共IP互聯網絡如INTERNET發送。
從以上的隧道協議,我們可以看出隧道機制的分類是根據虛擬數據鏈絡層的網絡,DSI七層網絡中的位置,將自己定義為第二層的隧道分類技術。按照這種劃分方法,從此產生了"二層VPN "與"三層VPN"的區別。但是隨著技術的發展,這樣的劃分出現了不足,比如基于會話加密的SSLVPN技術[2]、基于端口轉發的HTTPTunnel[1]技術等等。如果繼續使用這樣的分類,將出現"四層VPN"、"五層VPN",分類教為冗余。因此,目前出現了其他的隧道機制的分類。
2.2 改進后的幾種隧道機制的分類
⑴ J.Heinanen等人提出的根據隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網仿真方式的VPLS。
例如同樣是以太網的技術,根據實際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網方式所提供的網絡性能將大有區別,因此按照接入方式不同來分類也無法表示這幾種方式在網絡性能上的差異,由此將引起在實際應用中對VPN技術選型造成誤導。
⑵ 由于網絡性能是所有網絡技術的重要評價標準。根據隧道建立的機制對網絡性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術是利用封裝的思想,將原本工作在某一層的數據包在包頭提供了控制信息與網絡信息,從而使重新封裝的數據包仍能夠通過公眾網絡傳遞。例如L2TP就是典型的封裝型隧道。
隔離型隧道的建立,則是參考了數據交換的原理,根據不同的標記,直接將數據分發到不同的設備上去。由于不同標記的數據包在進入網絡邊緣時已經相互隔離,如果接入網絡的數據包也是相互隔離的就保證了數據的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術一般只能提供點對點的通道,而點對多點的業務支持能力教差,但是可擴展性,靈活性具有優勢。
采用隔離型隧道技術,則不存在以上問題,可以根據實際需要,提供點對點,點對多點,多點對多點的網絡拓撲。
3. 諸種安全與加密技術
IPVPN技術,由于利用了Internet網絡傳輸總部局域網的內部信息,使得低成本,遠距離。但隨之而來的是由于Internet技術的標準化和開放性,導致威脅網絡的安全。雖然可采取安全對策的訪問控制來提高網絡的安全性,但黑客仍可以從世界上任何地方對網絡進行攻擊,使得在IPVPN的網點A和網點B之間安全通信受到威脅。因此,利用IPVPN通信時,應比專線更加注意Internet接入點的安全。為此,IPVPN采用了以下諸種安全與加密技術。[2]
⑴ 防火墻技術
防火墻技術,主要用于抵御來自黑客的攻擊。
⑵ 加密及防止數據被篡改技術
加密技術可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或專用加密)也稱常規加密,由通信雙方共享一個秘密密鑰。
非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發送方知道的專用密鑰,另一個則是對應的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術的VPN虛擬專用網,只有采用了以上諸種技術以后,才能夠發揮其良好的通信功能。
參考文獻
篇7
The Application of SSL VPN Technology in the Computer Network of Teaching Resources
Tan Qinhong
(Tongren Polytechnic,Tongren554300,China)
Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.
Keywords:Computer teaching resources network;Network security;SSL VPN
一、校園網計算機教學系統面臨的安全風險分析
隨著國家教育事業的快速發展以及IT技術的迅猛發展,人們的生產、生活方式發生了翻天覆地的變化,傳統的教室內黑板面授教學模式已經不能完全滿足當代的教學工作,必須有一種新的教學方式來彌補傳統教學模式單一的不足,計算機教學應運而生,特別是計算機多媒體教學。計算機教學方式中,學習的人可以隨時隨地的學習,不受時間和空間的限制,并且具有學習成本低廉等一系列優點,因此計算機教學受到越來越多的歡迎。
為方便教師和學生等對教學資源的外部訪問,存儲有教學資源的網絡大多與互聯網相連,難免會受到來自于網絡內部和外部的攻擊,計算機網絡的大多設備或軟件為國外生產,其中可能存在一些后門程序,操作系統、應用系統等都存在大量的漏洞可以讓攻擊者利用,計算機病毒等惡意程序、SQL注入攻擊、跨站腳本攻擊、DDOS攻擊、釣魚網站的泛濫讓校園網的安全形式不容樂觀。
校園網中,用戶有學生、教師、外部學習者等主體,教學資源的訪問主體的身份不好控制、資源訪問控制困難,很難讓指定的用戶只能訪問指定的資源,不能訪問其它非授權訪問資源、用戶對資源的訪問不具有抗抵賴等問題。
校園網是學校的門戶,是學校的形象窗口,是學校賴以生存的生產資料的一部分,如果遭到惡意攻擊,導致不能正常對外部提供服務,將對學校造成嚴重損失。
二、SSL VPN簡介
VPN(Virtual Private Network虛擬專用網絡)[1]是一種在公共的網絡基礎平臺(如internet)上建立專用的數據通信網絡的技術。VPN通過對數據包進行加密和封包,在公共網絡基礎平臺上構建出安全、可靠的專用隧道,使私有數據在公共網絡上安全傳輸。用戶使用VPN技術,不需要建設自己的專用網絡,節省投資,使用便捷,VPN技術因而獲得了廣泛的應用。
VPN技術發展至今,產生了多個種類,有工作在2層的L2TP VPN,工作在3層的IPsec VPN,工作在傳輸層和應用層之間的SSL(Secure Socket Layer安全套接層)VPN,基于虛擬路由表和標簽轉發的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用戶通過公共網絡(如internet)接入業務網絡,在遠程接入上應用廣泛。
SSL是一個獨立于平臺并獨立于應用的協議,用戶保護基于TCP的應用。在TCP/IP四層架構中,SSL在傳輸層之上,應用層之下,像TCP連接所連接的套接字一樣工作。
SSL VPN技術幫助用戶使用標準的Web瀏覽器就可以通過公共網絡平臺接入所要訪問的遠程資源。在用戶的計算機上,不需要安裝客戶端軟件及進行復雜的配置,大大方便了用戶,僅僅通過一臺接入了Internet的計算機就能訪問遠程資源。這為企業及政府提高效率也帶來了方便。
用戶所要訪問的資源位于企業網或者政務網內部,在此情況下,需要部署SSL VPN網關在企業網或者政務網的邊緣,介于服務器與遠程用戶之間,控制二者的通信。如下圖所示:
SSL VPN網關除了作為隧道的終點,還要執行以下三種功能:,應用轉換、端口轉發[2]。
篇8
一、引言
隨著信息化經濟一體化的發展,實現資源共享是每個企業追求發展進步不可或缺的一步。利用隧道技術在公共網絡上建立安全的虛擬專用網絡(VPN)是實現資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個比較主流的VPN技術。
二、IPSec VPN
IPSec VPN即指采用IPSec協議來實現遠程接入的一種VPN技術,用來提供公用和專用網絡的端對端加密和驗證服務。IPsec給出了應用于IP層上網絡數據安全的一整套體系結構,包括AH網絡認證協議、ESP封裝安全載荷、IKE因特網密鑰交換和用于網絡認證及加密的一些算法等[1]。其中,AH協議和ESP協議用來提供安全服務,IKE協議用于密鑰交換。
(一)認證頭(AH)協議
IPsec認證頭協議是IPsec體系結構中的一種主要協議(AH協議把AH頭插入IP數據包),它為IP數據報提供無連接完整性、數據源認證、保護以避免重播情況[1]。
(二)封裝安全載荷(ESP)協議
封裝安全載荷(ESP)協議是IPsec體系結構中的一種用來提高IP的安全性的主要協議。ESP加密要保護的數據并且在IPsec ESP的數據部分進行數據的完整性校驗,以達到其數據機密性和完整性的目的。ESP提供了與AH相同的安全服務并提供了一種保密。
(三)IKE
IKE是一種混合型協議,由Internet安全聯盟(SA)和密鑰管理協議(ISAKMP)這兩種密鑰交換協議組成。IKE是以受保護的方式為SA協商并提供經過認證的密鑰信息的協議。IKE用于協商AH和ESP所使用的密碼算法,并將算法所需的必備密鑰放到恰當位置。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協議協商SA。
三、MPLS VPN
MPLS VPN與傳統的IPSec VPN不同,MPLS VPN不依靠封裝和加密技術,而是依靠轉發表和數據包的標記來創建一個安全的VPN,MPLS VPN的所有技術產生于Internet。MPLS VPN是一種以MPLS技術為基礎的IP VPN,是在網絡路由和交換設備上應用MPLS(Multiprotocol Label Switching,多協議標記交換)技術,簡化核心路由器的路由選擇方式,結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP VPN)。
(一)MPLS VPN的基本原理
每個MPLS VPN網絡的內部是由P(供應商)設備組成,這些設備構成了MPLS的核心,且不直接同CE路由器相連,圍繞在P周圍的PE路由器可以讓MPLS VPN網絡發揮VPN的作用。在MPLS VPN中,用戶站點通常運行的是IP。它們并不需要運行MPLS和其他特殊的VPN協議。在PE路由器中,RD對應同每個用戶站點連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置,是設置VPN站點工作的一部分,它并不在用戶設備上進行配置,對于用戶來說是透明的[2]。
(二)MPLS VPN的優點
1.減少時延。由于數據包不再經過封裝或者加密,所以時延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創建一個專用網,它同幀中繼網絡具備的安全性很相似[2]。
2.配置MPLS VPN網絡的設備比較容易。配置MPLS VPN網絡的設備也變得容易了,僅需配置核心網絡不許訪問CPE。
3.提高了資源利用率。由于在網內使用標簽交換,用戶各個點的局域網可以使用重復的IP地址,提高了IP資源利用率。
4.安全性高。采用MPLS作為通道機制實現透明報文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類似的高可靠安全性。
四、SSL VPN
SSL VPN的出現是為了解決IPSec VPN的固有的缺點,SSL VPN繼承了IPSec VPN的遠程使用與內網使用體驗一致優點,避免了因有客戶端而導致的使用維護不便、帶來大量病毒和蠕蟲的入侵、無法與企業現有認證服務器結合、無法審計等問題[2]。IPSec VPN與SSL VPN的對比。傳統的IPSec VPN在部署時,往往需要在每個遠程接入的終端都安裝相應的IPSec客戶端并需要作復雜的配置。若企業的遠程接入數量增多,企業的維護成本就會隨之增加。而SSL VPN最大的優點之一就是不需要安裝客戶端程序遠程用戶可以隨時隨地從任何瀏覽器上安全接入到內部網絡。對比表如下:
五、總結
由于VPN的優秀安全特性,讓它越來越受到安全要求較高的企業或部門的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術增加了VPN通信的安全性。伴隨著VPN的廣泛使用,更加復雜的VPN系統會繼續出現。所以,其安全策略管理的問題將逐步顯現,這方面的研究也將受到高度重視。
篇9
隨著電力信自、化水平的不斷提高,縣級供電企業綜合管理信息系統開始逐步建立,但基層變電站、鄉鎮供電聽與供電公司局域網聯網問題嚴重地制約著縣級供電企業信息系統實用化水平的發展和信息資源的充分有效利用,這與供電企業管理發展的目標追求以及客戶的需求是極不適應的。由于鄉鎮供電所信息化建設工作受地形、人員素質、資金投人等因素影響,解決遠程站點聯網問題成為縣級供電企業信自、網絡建設中的突出矛盾。
1廬江供電公司信息化建設現狀
安徽廬江供電公司的信息化上作起步較晚,供電公司總部于X004年實現了生產M I S與辦公自動化OA的單軌制運行,總部信息化運行提高了企業的整體管理水平和辦公效率。如今,廬江供電公司總部已運行的信息系統有:生產管理系統、辦公自動化系統、檔案管理系統、Web系統、財務管理系統,現有的服務器包括:生產服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺,每位管理人員以及每個班組都配有微機。
在實施信息化建設與管理中,深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本,并在生產管理中可將所有設備信息進行分類編號,輸人數據庫,實行設備、設施缺陷管理,科學地制定缺陷檢修計劃,提高設備運行可靠度,降低故障率,提高供電可靠性;同時,廬江供電公司的營銷管理信息系統建有業擴子系統、電量電費f系統、用電檢查子系統、綜合查詢系統,通過這些系統,可方便與客戶的交流、溝通,節約成本開支,實現科學化營銷流程管理。這些管理信息系統的應用,加強J’企業的規范化管理,增強了管理的科學化水平,減輕了工作人員的負擔,提高了企業的經濟效益。
為此,廬江供電公司加入了鄉鎮供電所營銷MIS應用系統的推進力度,進一步減輕了抄表人員的負擔,縮短了開票時間,加強了電費電價的控制與管理,提高了營銷管理自動化水平。全縣17個鄉鎮供電聽,都使用同一版本的營銷MIS應用系統。舟個供電聽都有3臺以上的微機,其中1臺所長用于日常辦公,另外2臺分別作為用電MIS系統的服務器與客戶端,并兼為所里其他工作人員辦公使用。其中,已有10個供電所可利用變電站的光纖系統,與廬江供電公司總部實現網絡互聯,提高了工作效率,節省了開支。其余7個供電所仍不能夠實現信息化共享,這些供電所非常希望盡快網絡互聯。
2采用VPN方案推進供電所信息化建設進程
這些供電所若使用以前的光纖聯網方式,不僅投資大,施工工期長,而且日后的維護量也多。考慮到以上原因,為盡快解決其余7個光纖未開通的鄉鎮供電所的網絡互聯問題,達到信息、共享,推廣鄉鎮供電所的營銷MIS系統應用,公司決定采用虛擬局域網(VPN),在現有設備基礎上,進行簡單的改造。通過在VPN網關中配置7個供電所的用戶、密碼以及訪問策略,并分別在7個供電所安裝VPN客戶端,安裝公司的MIS應用系統,實現全公司網絡互聯。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術,可以在公用的互聯網上建立安全的虛擬專用網絡(VPN , Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程,該過程把數據安全地從一端傳送到另一端,這里數據的安全性由可靠的加密技術來保障,而數據是在一個開放的、沒有安全保障的、經過路由傳送的網絡上傳輸的。VPN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。
3方案效果比較
對2種方案的可能性進行了比較,如圖1所示。如果廬江供電公司全部運用光纖法來實現供電所的網絡互聯,每個供電所的材料費、施工費按3.5萬元,施工工期10天計算,7個供電所就需要3.5 x 7=24.5萬元,需要10 x 7=70天。若這7個供電所采用VPN方案,只需要購買VPN網關1臺,價值3.5萬元和7個客戶端鑰匙,價值7 x 480=3360元,5天內就能完成7個供電所安裝。因此,應用VPN方案,廬江供電公司就能節省資金達24 . 5-3 . 836=20.664萬元,縮短工期65天,取得的直接效益是顯著的,并省去了今后光纖線路維護所需要工作量。
現在,這7個鄉鎮供電所均可利用VPN方案安全可靠地登陸公司局域網,在局域網下載內容的速度可達350 kb/s,生產MIS系統響應時間為2--3 s,辦公自動化系統瀏覽公司收發的文件、接受電子郵件的時間因文件的大小不同而有所差別,1 MB的文件大約需要8 s。由于ADSL是非對稱數字環路,所以發送電子郵件的速度要慢得多,1 MB的文件大約需要18s。從VPN方案運行效果來看,完全能夠滿足廬江供電公司網絡發展及MIS系統應用的需要。
4下一步信息化建設的主攻方向
篇10
Zhang Ding-xiang
(Guizhou Commercial College, Guiyang GuizhouGuiyang 550004)
【 Abstract 】 Although at present to provide enterprises with VPN network platform building scheme is more, but the building costs are high, make many enterprise hope and stopped. Therefore, seek a kind of economic and enough VPN network platform construction scheme is very necessary.This paper will introduce a kind of deployment scheme and configuration method which that using ADSL dial-up internet, dynamic DNS technology and software VPN over the internet to construct economic VPN network platform. This program can be used for the construction or upgrading of an enterprise VPN platform.
【 Keywords 】 economical ;VPN; network platform; construction method
1 引言
隨著互聯網在企業領域應用的不斷深化,VPN(虛擬專用網)已作為一種安全的局域網遠程擴展方案,并受到越來越多的企業關注和運用。對于占全國企業總數80%的中小型企業來說,大多數都需要通過計算機網絡安全地、可靠地、及時地傳輸各種業務數據,并希望投入的成本越少越好,還期望原有的和即將發生的投資都能夠得到長期的保護。因而,為這些企業尋求一種經濟的夠用的VPN網絡平臺解決方案和實現方法是很有必要的、迫切的。
2 解決方案
在企業構建VPN平臺過程中,無論采用何種方案都應以追求數據傳輸的機密性、完整性、可控性和可維護性等為建設目標。這里以論文《集散式中小型企業遠程數據安全傳輸解決方案》中提出的“6+”解決方案為基礎,概要地介紹一種經濟的VPN網絡平臺構建方法,以起到拋磚引玉的作用。“6+” 解決方案為PC機、操作系統、ADSL撥號、DDNS、二級域名、集成型VPN網關軟件6種組件的綜合集成。
2.1 VPN網絡部署拓撲圖
企業VPN部署的典型拓撲結構圖如圖1所示,企業總部與互聯網的連接均通過VPN網關接入,VPN網關通過網線物理連接到ADSL Modem上,ADSL Modem再通過電話線邏輯接入到互聯網;各分支機構和企業移動用戶也通過VPN網關接入因特網,接入方式可以不采用ADSL Modem撥號連接。
2.2 方案要點
(1) 選配PC機。總部VPN網關主機選用一臺質量較好的普通PC機即可。主機基本配置要求為Pentium CPU、512MB內存、80GB硬盤、10/100Mbps雙網卡。這些技術參數也可作為分支機構VPN網關的參考。
(2) 選定主機操作系統。從習慣性和普及性考慮,選用專業版或服務器版的Windows作為VPN網關(主機)的操作系統,如Windows 2000 專業版、Windows 2003服務器版、Windows XP SP3專業版等。
(3) 采用ADSL撥號接入互聯網。總部與因特網的接入方式采用常規的ADSL Modem撥號接入,目的是可以獲得一個免費的公網IP地址,只不過該IP地址是動態的,每次撥號時可能獲得不同的IP地址。
(4) DDNS的選用。選用擁有我國自主知識產權的花生殼作為DDNS(動態域名解析服務系統),花生殼DDNS能自動地準確地將動態IP地址與固定域名實時綁定,使得VPN客戶端根據域名就可以隨時找到VPN服務端的動態公網IP地址。
(5) 二級域名的申請。通常情況下,申請租用一級(頂級)域名都是要付費的,而申請租用二級域名多數都是免費的。對于構建VPN平臺來說,域名叫什么都無所謂,僅僅是一個符號而已,只要能準確地解析到IP地址即可。為能更好地運用花生殼DDNS解析IP地址,這里在花生殼網站上申請一個二級域名作為VPN服務端網關的域名地址(如“iioffice.省略”)。
篇11
1.引言
網絡流量的指數級增長,導致網絡數據的處理越加復雜,特別是在跨區域大型企業,政府等部門對新業務的需求越來越大的情況下,現有城域網絡各方面的瓶頸越來越突出,而且隨著NGN、IPTV等基于IP的話音與視頻業務的發展,對城域網與接入網的功能與性能又提出了許多更高更新的要求:高帶寬、高可靠性、高QoS、低延時和靈活的擴展性。網絡處理器,作為新一代的高性能路由器的核心設備,在數據傳輸處理方面有許多特別的優勢,它不但擁有ASIC處理器的高速高帶寬,而且具有非常強的靈活性高端路由器,同時在流量管理、QoS、OAM等技術也有獨特的優勢。
2.城域網技術概述
從橫向劃分,承載網通常可以分為骨干網、城域網與接入網,城域網位于骨干網與接入網的交匯處,是通信網中最復雜的應用環境,各種業務和各種協議都在此匯聚、分流和進出骨干網。多種交換技術和業務網絡并存的局面是城域網建設所面對的最主要問題。而基于IP/MPLS技術建設多業務綜合承載網絡已經被全球運營商認同。
在城域網絡中,骨干層通過出口路由器實現與兩張骨干網的連接完成高速的數據轉發,并充當IP 城域網出口設備。匯聚層作為IP城域網骨干區域向下的延伸,與骨干層構成了核心路由區域,并充當三層MPLS VPN (Multi-PropocolLabel Switching VirtualPrivate Network) 的P 設備論文參考文獻格式。匯聚層BAS (寬帶接入服務器)和路由器以上運行三層網絡,以下視具體的情況運行三層或二層網絡。接入層負責用戶接入,采用二層網絡。
3. NP-3網絡處理器概述
Ezchip公司的NP-3處理器,是一款高靈活性的網絡處理器,它提供10G線速的包處理能力及良好的帶寬控制能力。通過編程能實現如二層交換,Q-in-Q,PBT,T-MPLS,VPLS,MPLS,IPV4/IPV6等多種功能。同時該芯片集成的一個流量控制器,能提供較強的流量管理功能。
NP-3的數據處理流圖如圖3.1:
圖3.1:NP-3數據處理流圖
TOPparse解析和提取各種數據幀的幀頭、地址、端口、協議等作為查表的關鍵字。同時也可利用硬件或軟件解析報文,過濾非法的畸形報文、攻擊報文。
TOPsearch使用TOPparse提取出的關鍵字查找相關的路由表、會話表、策略表、統計計數表等。
TOPresolve根據TOPsearchI查找表所得的結果進行判斷和決策。同時可以通過高學更新會話狀態信息等。
TOPserach II可選,在TOPresolve完成后,進行比較簡單的額外的數據表查找。
TOPmodify對報文的內容進行修改并發送到不同的路徑上。
4.城域網關鍵技術分析及NP-3平臺下的數據轉發面實現
4.1網絡結構及關鍵技術分析
典型的城域網由服務商骨干網絡(serviceprovider backbone network, SP-BN)和多個服務商網絡(serviceprovider network, SP-N)構成高端路由器,服務商網絡之間通過骨干網連接,用戶之間則通過服務商網絡連接到骨干網,如圖1所示,圖中SP-BN通過MPLS協議連接,而SP-N通過Q-in-Q(IEEE802.1ad)協議連接。本文將基于該網絡實例進行研究討論。
圖4.1:城域網絡基本結構
在城域網網絡中涉及的三類關鍵服務:
?點到點二層VPN服務(VPWS)
兩個單獨的用戶站點之間可通過本服務實現二層連接,預先配置好一個統一的服務ID(service ID),建立一條通過SP-N和SP-BN的鏈路論文參考文獻格式。數據幀只需通過預先配置好的service ID進行轉發。如圖4.1中的Client A與Client B之間的二層服務。
?點到多點二層VPN服務(VPLS)
本服務提供了多個站點之間的二層連接,相當于構建了一個虛擬的局域網,數據幀的轉發基于service ID和報文的目的MAC地址(destination MAC address, DA)。如圖4.1中的Client A、Client B、Client C之間的二層服務。
?點到多點路由服務(L3VPN)
本服務提供了多個站點之間的三層連接,同時也能夠實現本城域網絡與外網的連接。在各個用戶站點看來,SP-N就是一個虛擬的私有IP網絡。數據幀的轉發基于service ID和目的IP地址(destination IP address, DIP)。如圖4.1中的Client A、Client B、Client C之間的三層服務
?NP-3硬件支持
NP-3的TOPparse模塊能實現硬件快速分析和提取數據報文對應OSI七層網絡模型的關鍵字段,包括MAC地址信息,VLAN標記,以太幀類型,MPLS標簽,IP地址,端口,HTTP,UTL等等。在本設計中,重點是對含有多個VLAN標記和MPLS標簽的復雜城域網服務的快速處理,NP-3能實現至少4級標簽棧的解析,對跨越多重網絡結構的復雜服務有強大的支持能力。
4.2NP-3處理器上的關鍵數據轉發面處理流程分析
NP-3處理器的數據轉發處理能力強,而對于控制協議的處理能力就較弱。在NP-3上高端路由器,對數據幀的處理依賴于以下三個因素:端口的配置,數據幀的格式以及網絡所提供的服務。根據設備的位置,端口的配置又分為四種模式:C-tagged模式,聚合模式,Q-in-Q模式,MPLS模式。
首先確定有幾下幾類數據幀:標準以太網幀,Q-in-Q幀,MPLS封裝的IP幀,各幀的結構如下。
?標準以太網幀,有三種類型:
DA
SA
0X800
IF
DATA
DA
SA
0X8100
C_TAG
0X800
IF
DATA
DA
SA
0X8100
C_TAG1
0X8100
C_TAG2
0X800
篇12
1.信息安全保護能力技術要求分類中,業務信息安全類記為A。
錯誤
2.OSI安全體系結構標準不是一個實現的標準,而是描述如何設計標準的標準。正確
3.只靠技術就能夠實現安全。
錯誤
4.災難恢復和容災是同一個意思。
正確
5.VPN與防火墻的部署關系通常分為串聯和并聯兩種模式。
正確
6.美國的布什切尼政府把信息高速公路,互聯網的發展推動起來了。
錯誤
7.兩種經濟形態并存的局面將成為未來世界競爭的主要格局。
正確
8.電子商務是成長潛力大,綜合效益好的產業。
正確
9.電子商務促進了企業基礎架構的變革和變化。
正確
10.在企業推進信息化的過程中應認真防范風險。
正確
11.科研課題/項目是科學研究的主要內容,也是科學研究的主要實踐形式,更是科研方法的應有實踐范疇,是科研管理的主要抓手。
正確
12.科研方法注重的是研究方法的指導意義和學術價值。
錯誤
13.西方的“方法”一詞來源于英文。
錯誤
14.科學觀察可以分為直接觀察和間接觀察。
正確
15.統計推論目的是對整理出的數據進行加工概括,從多種角度顯現大量資料所包含的數量特征和數量關系。
錯誤
16.學術論文是學位申請者為申請學位而提交的具有一定學術價值的論文。
錯誤
17.期刊論文從投稿到發表需要有一個編輯評價的標準,但是它更需要有一個質量的監控體系、監控體制。
正確
18.科研成果是衡量科學研究任務完成與否、質量優劣以及科研人員貢獻大小的重要標志。正確
19.一稿多投產生糾紛的責任一般情況由作者承擔。
正確
20.知識產權保護的工程和科技創新的工程是一個系統的工程,不是由某一個方法單獨努力就能做到的,需要國家、單位和科研工作者共同努力。
正確
二、單項選擇(每題2分)
21.信息安全的安全目標不包括(C)。
A、保密性
B、完整性
D、可用性
22.《計算機信息系統安全保護條例》規定,(B)主管全國計算機信息安全保護工作。
A、國家安全部
B、公安部
C、國家保密局
D、教育部
23.《計算機信息系統安全保護條例》第14條規定:“對計算機信息中發生案件,有關使用單位應當在24小時內向當地(B)人民政府公安機關報告。”
A、區級以上
B、縣級以上
C、市級以上
D、省級以上
24.根據SHARE 78標準,在(D)級情況下,備份中心處于活動狀態,網絡實時傳送數據、流水日志、系統處于工作狀態,數據丟失與恢復時間一般是小時級的。
A、本地冗余設備級
B、應用冷備級
C、數據零丟失級
D、應用系統溫備級
25.(A)是密碼學發展史上唯一一次真正的革命。
A、公鑰密碼體制
B、對稱密碼體制
C、非對稱密碼體制
D、加密密碼體制
26.以下(C)不屬于計算機病毒特征。
A、潛伏性
B、傳染性
C、免疫性
D、破壞性
27.在進行網絡部署時,(B)在網絡層上實現加密和認證。
A、防火墻
B、VPN
C、IPSec
D、入侵檢測
28.美國(A)政府提出來網絡空間的安全戰略
A、布什切尼
B、克林頓格爾
C、奧巴馬克林頓
D、肯尼迪
29.對于電子商務發展存在的問題,下列說法中錯誤的是(C)
A、推進電子商務發展的體制機制有待健全
B、電子商務發展的制度環境不完善
C、電子商務的商業模式成熟
D、電子商務對促進傳統生產經營模
30.下列選項中,不屬于電子商務規劃框架的是(C)
A、應用
B、服務
C、物流
D、環境
31.(D)是創新的基礎。
A、技術
C、人才
D、知識
32.兩大科研方法中的假設演繹法以(B)為代表。
A、達爾文的《進化論》
B、笛卡爾的《論方法》
C、馬克思的《資本論》
D、弗蘭西斯?培根的《新工具》
33.以下不屬于理論創新的特征的是(D)
A、繼承性
B、斗爭性
C、時代性
D、減速性
34.(A)主要是應用已有的理論來解決設計、技術、工藝、設備、材料等具體技術問題而取得的。
A、科技論文
B、學術論文
C、會議論文
D、學位論文
35.(B)是通過查閱相關的紙質或電子文獻資料或者通過其他途徑獲得的行業內部資料或信息等。
A、直接材料
B、間接材料
C、加工整理的材料c
D、實驗材料
36.(C)是整個文章的整體設計,不僅能指導和完善文章的具體寫作,還能使文章所表達的內容條理化、系統化、周密化。
A、摘要
B、引言
C、寫作提綱
D、結論
37.期刊論文的發表載體是(C)。
A、娛樂雜志
B、生活雜志
C、學術期刊
D、新聞報紙
38.(B)是指科研課題的執行人在科研過程中要向科研主管部門或課題委托方匯報研究工作的進度情況以及提交階段性成果的書面材料。
A、開題報告
B、中期報告
C、結項報告
D、課題報告
39.我國于(A)年實施了《專利法》。
A、1985
B、1986
C、1987
D、1988
40.知識產權具有專有性,不包括以下哪項(D)。
A、排他性
B、獨占性
C、可售性
三、多項選擇(每題2分)
41.我國信息安全管理政策主要包括(ACD)。
A、法律體系
B、行政體系
C、政策體系
D、強制性技術標準
E、道德體系
42.信息系統安全的總體要求是(ABCD)的總和。
A、物理安全
B、系統安全
C、網絡安全
D、應用安全
E、基礎安全
43.網絡隔離技術發展經歷了五個階段:(ABCDE)。
A、完全的物理隔離階段
B、硬件的隔離階段
C、數據轉播隔離階段
D、空氣開關隔離階段
E、完全通道隔離階段
44.以下屬于我國電子政務安全工作取得的新進展的有(ABCDE)
A、重新成立了國家網絡信息安全協調小組
B、成立新一屆的國家信息化專家咨詢委員會
C、信息安全統一協作的職能得到加強
D、協調辦公室保密工作的管理得到加強
E、信息內容的管理或網絡治理力度得到了加強
45.下列說法正確的是(ABCDE)
A、電子商務產業是以重大技術突破和重大發展需求為基礎的新興產業
B、電子商務對經濟社會全局和長遠發展具有重大引領帶動作用
C、電子商務是知識技術密集的產業
D、電子商務是物質資源消耗少的產業
E、應把優先發展電子商務服務業放到重要位置
46.科研論文按發表形式分,可以分為(ABE)
A、期刊論文
B、學術論文
C、實驗論文
D、應用論文
E、會議論文
47.學術期刊的文章類型有(ABC)。
A、綜述性的文章
B、專欄性的文章
C、報道性的文章
D、文言文
E、以上都正確
48.期刊發表的周期有(BCDE)。
A、日刊
B、周刊
C、半月刊
D、月刊
E、旬刊
49.知識產權的三大特征是(ABC)。
B、時間性
C、地域性
D、大眾性
E、以上都不正確
50.從個人層面來講,知識產權保護的措施有(ABC)。
A、在日常的科研行為中一定要有相應的行動策略
B、在科研轉化的過程中,要注意保護自己的著作權
篇13
1.1校園電子商務的概念。
校園電子商務是電子商務在校園這個特定環境下的具體應用,它是指在校園范圍內利用校園網絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校本論文由整理提供園內單位、企業和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統。
1.2校園電子商務的特點。
相對于一般電子商務,校園電子商務具有客戶群本論文由整理提供穩定、網絡環境優良、物流配送方便、信用機制良好、服務性大于盈利性等特點,這些特點也是校園開展電子商務的優勢所在。與傳統校園商務活動相比,校園電子商務的特點有:交易不受時間空間限制、快捷方便、交易成本較低。
2校園電子商務的安全問題
2.1校園電子商務安全的內容。
校園電子商務安全內容從整體上可分為兩大部分:校園網絡安全和校園支付交易安全。校園網絡安全內容主要包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。校園支付交易安全的內容涉及傳統校園商務活動在校園網應用時所產生的各種安全問題,如網上交易信息、網上支付以及配送服務等。
2.2校園電子商務安全威脅。
校園電子商務安全威脅同樣來自網絡安全威脅與交易安全威脅。然而,網絡安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網絡安全是基礎,是交易安全的保障。校園網也是一個開放性的網絡,它也面臨許許多多的安全威脅,比如:身份竊取、非本論文由整理提供授權訪問、冒充合法用戶、數據竊取、破壞數據的完整性、拒絕服務、交易否認、數據流分析、旁路控制、干擾系統正常運行、病毒與惡意攻擊、內部人員的不規范使用和惡意破壞等。校園網的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞;篡改信息是非法用戶對交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認交易行為,交易抵賴也是校園電子商務安全面臨的主要威脅之一。
2.3校園電子商務安全的基本安全需求。
通過對校園電子商務安全威脅的分析,可以本論文由整理提供看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統的整體規劃可以提高其安全需求。
3校園電子商務安全解決方案
3.1校園電子商務安全體系結構。
校園電子商務安全是一個復雜的系統工程,因此要從系統的角度對其進行整體的規劃。根據校園電子商務的安全需求,通過對校園人文環境、網絡環境、應用系統及管理等各方面的統籌考慮和規劃,再結合的電子商務的安全技術,總結校園電子商務安全體系本論文由整理提供結構,如圖所示:
上述安全體系結構中,人文環境層包括現有的電子商務法律法規以及校園電子商務特有的校園信息文化,它們綜合構成了校園電子商務建設的大環境;基礎設施層包括校園網、虛擬專網VPN和認證中心;邏輯實體層包括校園一卡通、支付網關、認證服務器和本論文由整理提供交易服務器;安全機制層包括加密技術、認證技術以及安全協議等電子商務安全機制;應用系統層即校園電子商務平臺,包括網上交易、支付和配送服務等。
針對上述安全體系結構,具體的方案有:
(1)營造良好校園人文環境。加強大學生本論文由整理提供的道德教育,培養校園電子商務參與者們的信息文化知識與素養、增強高校師生的法律意識和道德觀念,共
同營造良好的校園電子商務人文環境,防止人為惡意攻擊和破壞。
(2)建立良好網上支付環境。目前我國高校大都建立了校園一卡通工程,校園電子商務系統可以采用一卡通或校園電子帳戶作為網上支付的載體而不需要與銀行等金融系統互聯,由學校結算中心專門處理與金融機構的業務,可以大大提高校園網上支付的安全性。
(3)建立統一身份認證系統。建立校園統一身份認證系統可以為校園電子商務系統提供安全認證的功能。
(4)組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學校內部或校園附近,只需要很少的人員就可以解決物流配送問題,而本論文由整理提供不需要委托第三方物流公司,在校園內建立一個物流配送團隊就可以準確及時的完成配送服務。
3.2校園網絡安全對策。
保障校園網絡安全的主要措施有:
(1)防火墻技術。利用防火墻技術來實現校園局域網的安全性,以解決訪問控制問題,使只有授權的校園合法用戶才能對校園網的資源進行訪問本論文由整理提供,防止來自外部互聯網對內部網絡的破壞。
(2)病毒防治技術。在任何網絡環境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網雖然是局域網,可是免不了計算機病毒的威脅,因此,加強病毒防治是保障校園網絡安全的重要環節。
(3)VPN技術。目前,我國高校大都已經建立了校園一卡通工程,如果能利用VPN技術建立校園一卡通專網就能大大提高校園信息安全、保證數據的本論文由整理提供安全傳輸。有效保證了網絡的安全性和穩定性且易于維護和改進。
3.3交易信息安全對策。
針對校園電子商務中交易信息安全問題,可以用電子商務的安全機制來解決,例如數據加密技術、認證技術和安全協議技術等。通過數據加密,可以保證信息的機密性;通過采用數字摘要、數字簽名、數字信封、數字時間戳和數字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認性的問題;通過安全協議方法,建立安全信息傳輸通道來保證電子商務交易過程和數據的安全。
(1)數據加密技術。加密技術是電子商務中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數據的機密,主要有對稱加密和非對稱加密。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。
(2)認證技術。認證技術是保證電子商務交易安全的一項重要技術,它是網上交易支付的前提,負責對交易各方的身份進行確認。在校園電子商務本論文由整理提供中,網上交易認證可以通過校園統一身份認證系統(例如校園一卡通系統)來進行對交易各方的身份認證。
(3)安全協議技術。目前,電子商務發展較成熟和實用的安全協議是SET和SSL協議。通過對SSL與SET兩種協議的比較和校園電子商務的需求分析,校園電子商務更適合采用SSL協議。SSL位于傳輸層與應用層之間,能夠更好地封裝應用層數據,不用改變位于應用層的應用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數據的安全。
3.4基于一卡通的校園電子商務。
目前,我國高校校園網建設和校園一卡通工程建設逐步完善,使用校園一卡通進行校園電子商務的網上支付可以增強校園電子商務的支付安全,可以避免或降低了使用銀行卡支付所出現的卡號被盜的風險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網是一個內部網絡,它自身已經屏蔽了絕大多數來自公網的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設施,來自外部網絡人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內進行網上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網
(2)校園一卡通具有統一身份認證系統,能夠對參與交易的各方進行身份認證,各方的交易活動受到統一的審計和監控,統一身份認證能夠保證網上工作環境的安全可靠。校園網絡管理中對不同角色的用戶享有不同級別的授權,使其網上活動受到其身份的限制,有效防止一些惡意事情的發生。同時,由于校內人員身份單一,多為學生,交易中一旦發生糾紛,身份容易確認,糾紛就容易解決。
4結束語