引论:我们为您整理了13篇vpn技术论文范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
篇1
vpn(VirtualPrivateNetwork)即虚拟专用网,是一项迅速发展起来的新技术,主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络,仅在效果上和真正的专用网一样,故称之为虚拟专用网。在虚拟专用网中,任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成,不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术,使得传送数据报的路由器均不知道数据报的内容,就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。
2隧道技术的实现
假设某公司在相距很远的两地的部门A和B建立了虚拟专用网,其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然,这两个部门若利用因特网进行通信,则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2,且其全球IP地址分别为125.1.2.3和192.168.5.27,如图1所示。
图1
现在设部门A的主机X向部门B的主机Y发送数据报,源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密,然后重新封装成在因特网上发送的外部数据报,这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3,而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后,对其进行解密,恢复出原来的内部数据报,并转发给主机Y。这样便实现了虚拟专用网的数据传输。
3军队院校校园网建设VPN技术应用设想
随着我军三期网的建设,VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先,军队的特殊性要求一些信息的传达要做到安全可靠,采用VPN技术会大大提高网络传输的可靠性;第二,军队院校不但有各教研室和学员队,还包括保障部队、管理机构等,下属部门较多,有些部门相距甚至不在一个地方,采用VPN技术可简化网络的设计和管理;第三,采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。
而VPN技术的特点正好能够满足以上几点需求。首先是安全性,VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证,这些验证方法包括:密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP),并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据,还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔,只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,并且可以访问敏感部门网络中受到保护的资源。第二,在解决异地访问本地电子资源问题上,这正是VPN技术的主要特点之一,可以让外地的授权用户方便地访问本地的资源。目前,主要的VPN技术有IPSecVPN和SSLVPN两种。其中IPSec技术的工作原理类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是,对IP数据包的处理方法除了丢弃,直接转发(绕过IPSec)外还能对IP数据包进行加密和认证。而SSLVPN技术则是近几年发展起来的新技术,它能够更加有效地进行访问控制,而且安全易用,不需要高额的费用。该技术主要具有以下几个特点:第一,安全性高;第二,便于扩展;第三,简单性;第四,兼容性好。
我认为军队院校校园网VPN技术应主要采用SSLVPN技术。首先因为其安全性好,由于IPSecVPN部署在网络层,因此,内部网络对于通过VPN的使用者来说是透明的,只要是通过了IPSecVPN网关,它可以在内部为所欲为。因此,IPSecVPN的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全,而SSLVPN则是接入企业内部的应用,而不是企业的整个网络。它可以根据用户的不同身份,给予不同的访问权限,从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构,安全保密应该是主要考虑的方面之一。第二,SSLVPN与IPSecVPN相比,具有更好的可扩展性。可以随时根据需要,添加需要VPN保护的服务器。而IPSecVPN在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSecVPN就要重新部署。第三,操作的复杂度低,它不需要配置,可以立即安装、立即生效,另外客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行。第四,SSLVPN的兼容性很好,而不像传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件。此外,使用SSLVPN还具有更好的经济性,这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入;但是对于IPSecVPN来说,每增加一个需要访问的分支就需要添加一个硬件设备。
虽然SSLVPN的优点很多,但也可结合使用IPSecVPN技术。因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSecVPN是在两个局域网之间通过网络建立的安全连接,保护的是点对点之间的通信,并且,IPSecVPN工作于网络层,不局限于Web应用。它构建了局域网之间的虚拟专用网络,对终端站点间所有传输数据进行保护,而不管是哪类网络应用,安全和应用的扩展性更强。可用于军校之间建立虚拟专用网,进行安全可靠的信息传送。
4结论
总之,VPN是一项综合性的网络新技术,目前的运用还不是非常地普及,在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求,VPN技术将会发挥其应有的作用。
篇2
1 引言
随着我院办学形式的转变,先后在北京和杭州成立的相关研究所,以及在杭州的浙江技师学院分校。现要求使各分部区能访问主校区的校内资源,保证连接和访问的安。所以必须寻找一种新的互连方式解决校区间数据传递或教职工在校外访问校内资源中遇到的问题。价格上要求实惠,数据要求安全,因此虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输,虚拟专用网还可以保护现有的网络投资。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2 VPN简介
2.1 虚拟专用网
虚拟专用网(Virtual Private Network,VPN),是基于IP的VPN为:"使用IP机制仿真出一个私有的广域网"是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。
2.2 VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
(1)VPN访问点模型。首先提供一个VPN访问点功能组成模型图作为参考,如图1所示。其中IPSec集成了IP层隧道技术和加密技术。
(2)隧道技术。隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特点
(1)安全保障。虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
(2)服务质量保证(QoS)。VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性;对于其它应用(如视频等)则对网络提出了更明确的要求,如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
(3)可扩充性和灵活性。VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性。从用户角度和运营商角度应可方便地进行管理、维护。在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
3 VPN应用实例
利用VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
结合我校的实际要求,采用美国网件产品FVL328、FVL318VPN产品,价格实惠,总体性能满足要求,美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥、PKI(X.509)进行身份认证等方式,加强内部网络的安全性能。
FVL328、FVS318具有支持动态DDNS组建的IPSEC VPN网络的功能, 并运用了产品自身的DDNS(动态域名解析)技术,整个VPN系统网络使用方便、快速、图形化的配置界面使维护和管理更简单、建设费用低廉。VPN拓扑结构图,如图2所示:
在总校采用一台FVL328作为中心端,在其他分校使用FVS318,整个VPN网络通过认证密码统一管理,形成一个集中管理的虚拟私有网络,VPN传输使用IPSEC协议。对外安全边界使用NETGEAR的宽带防火墙技术屏蔽来自外部的各种可能攻击。
总校可采用固定的IP地址和域名,各分校可以申请动态拔号ADSL宽带线路, 通过从NETGEAR的VPN设备中申请获得免费的DDNS(动态域名解析服务),从而可低成本地组建VPN网络连接,结合美国网件公司的VPN防火墙FVL328和FVS318的先进安全策略技术,来实现实际需求和将来可能的需求. 各分院能够直接访问到母校的数据共享服务器资源, 同时又要保证数据能安全的在公网上进行传输.即实现母校与各分院之间数据和信息能够安全、保密、高速、稳定的实时传输。
4 结语
文中所举的例子给读者起着抛砖引玉的作用,由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费。VPN技术户广泛用于校际间的数据传送,也是企业的分支机构联系数据的主要手段。
参考文献
篇3
1.校园网问题分析及其解决方案的提出
虚拟专用网(VPN),是对企业内部网的扩展。它通过“隧道”技术、加密技术、认证技术和访问控制等手段提供一种通过公用网络(通常是因特网)安全地对单位内部专用网络进行远程访问的连接方式。
近年来,随着高校信息化建设工作的深入开展,校园网用户对校园网的要求也越来越高,传统的单一公网接入模式已经很难满足日趋复杂的应用需求。大多数的教师习惯于利用家里的计算机上网查资料、写论文。如果要去学校图书馆网站,或者是教育网内查资料,一般情况下是无法查找并下载的,因为学校图书馆的电子资源都做了访问限制,普通Internet用户也是不能访问教育网的。在每年期末考试后,老师在线提交成绩时,都要登录学校内部“教务处”的网站在线提交,这时也只能到学校提交。
为此,校园网的建设可采用多ISP连接的网络访问模式:在原有的教育网出口的基础上增加一个当地ISP(移动、联通或电信宽带ISP)出口,形成多ISP连接的校园网络结构,并且需学校的网络中心在学校组建VPN服务器,供教职工在校外使用校内资源。在组建VPN服务器时,使用当地ISP出口,为校外的教职工提供VPN接入服务,因为校外教职工大多使用当地ISP提供的ADSL宽带业务。当校外职工使用VPN接入学校的VPN服务器后,就可以访问校园网与教育网上的资源,这将为教职工提供很大的便利。
2.VPN关键技术研究
⑴隧道技术:隧道是指在公用网建立一条数据通道,让数据包通过这条隧道传输。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层,使用帧作为数据交换单位。PPTP(点对点隧道协议)、L2TP(第二层隧道协议)和L2F(第2层转发协议)都属于第2层隧道协议,是将用户数据封装在点对点协议(PPP)帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层,使用包作为数据交换单位。MPLS、SSL以及IPSec隧道模式属于第3层隧道协议,是将IP包封装在附加的IP包头中,通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于,用户的数据包是被封装在哪种数据包中在隧道中传输。
⑵安全技术:VPN安全技术主要包括加解密技术、密钥管理技术、使用者与设备身份认证技术。加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术;密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取;使用者与设备身份认证技术最常用的是使用者名称与密码认证等方式。
3.基于VPN技术的多出口校园网的设计
3.1 网络结构规划
为了满足可扩展性和适应性目标,网络结构采用典型的层次化拓扑,即核心层、分布层、访问层。核心层路由器用于优化网络可用性和性能,主要承担校园网的高速数据交换任务,同时要为各分布层节点提供最佳数据传输路径;分布层交换机用于执行策略,分别连接图书馆、办公楼、实验楼以及各院系;接入层通过低端交换机和无线访问节点连接用户。毕业论文。网络拓扑图如图1所示。
图1 网络拓扑图
3.2 网络工作原理
在该组网方案中,学校通过核心层路由器分别接入教育网与Internet,然后通过一硬件防火墙与分布层交换机连接,分布层交换机负责连接图书馆、办公楼、实验楼以及各院系的接入层设备,校园网内的终端计算机直接与接入层设备相连。终端计算机可直接使用教育网分配的IP地址。校园网内有一台安装了ISAServer2006的VPN服务器,给其分配一个教育网IP地址(假设Ip:202.102.134.100,网关地址202.102.134.68),在防火墙中将一个公网地址(假设为222.206.176.12)映射到该地址。VPN服务器可通过“防火墙”与“核心层路由器”访问Internet与教育网,Internet上的用户,可以通过“Internet上的VPN客户端—>Internet网络—>核心层路由器—>防火墙—>分布层交换机—>ISA Server2006VPN服务器”的路线连接到VPN服务器,之后,ISAServer2006 VPN服务器通过防火墙和核心层路由器访问教育网,并且ISA Server2006 VPN服务器通过分布层交换机提供了到学校内网的访问。
3.3 技术要点
⑴防火墙内网地址问题。如果防火墙是透明模式接入,各个网口是不需要地址的。若防火墙是假透明,就需要给防火墙的每个网口配置同一个网段的IP。如果是路由模式,需要给防火墙的每个网口配置不同网段的IP,就象路由器一样。现在有一些防火墙已经有所谓的混合模式,也就是透明和路由同时工作,这属于路由模式的扩展。毕业论文。
⑵VPN服务器的注意事项。ISA Server2006VPN服务器要求至少有“两块网卡”才能做VPN服务器,若服务器上只有一块网卡,需为其安装一块“虚拟网卡”。另外,VPN服务器不一定要直接连接在分布层交换机上,也可以是图书馆、办公楼、实验楼以及各院系的一台服务器,只要映射一个公网地址即可。
⑶设定ISA Server2006接受VPN呼叫。VPN 可通过默认设置的动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)或者通过使用路由选择和远程访问控制台分配的一组地址来分配地址。如果选择了DHCP,VPN客户端永远不会同DHCP服务器进行直接通信,运行ISA Server2006的VPN服务器将分配从DHCP服务器所获得的地址;它将基于运行ISA Server2006的VPN 服务器的内部接口配置来分配名称服务器地址。如果拥有多个内部接口,运行ISA Server的VPN 服务器将选择其中之一。
⑷VPN客户端地址的分配。在给VPN客户端分配IP地址时,在为VPN客户端分配IP地址的时候,要保证所分配的地址不能与VPN服务器本身以及VPN服务器所属内网、公网的地址冲突,否则VPN客户端在访问内网时,会造成寻址问题而不能访问。毕业论文。为了避免出现问题,直接分配私网的IP地址即可,比如192.168.14.0/24网段。另外,校园网外的教职工,在拨叫VPN服务器时,应是防火墙映射的地址,本文中即222.206.176.12。
4.结束语
多出口是目前许多高校组建校园网时所采取的方式,多出口解决了教育网与Internet之间的出口速度很慢的问题,将VPN技术应用到具有多出口的高校校园网,可以让校外Internet用户更容易、更方便的获得对教育网、校园网数字资源的使用权。
参考文献
[1]曹利峰,杜学绘,陈性元.一种新的IPsecVPN的实现方式研究[J].计算机应用与软件,2008,07
[2]贾毅峰.双出口校园网中策略路由的应用[J].铜仁学院学报,2009,11
[3]吴建国,王铁,许兴华.校园网双(多)出口的基本解决策略和方法[J].云南师范大学学报,2010.01
篇4
一、引言
随着科学技术的飞速发展,国内外各高校图书馆之间的交流合作不断深化、师生员工对于知识的需求多元化,迫使各高校图书馆集中科研力量开发新型借阅系统、利用新兴网络技术建设一个既能满足当前应用又能满足长远发展需求的数字图书馆网络平台。但是在建设数字图书馆的过程中很多高校遇到了一些问题:电子书商基于对产品版权的保护,在电子资源中设置数字版权(DRM),限制了访问的IP地址范围,这与师生员工利用公共网络帐号(网络运营商提供的动态分配IP地址的上网帐号)访问校园内网(专用网络)的电子资源的权限冲突,导致师生员工无法检索需要的信息资料,直接造成许多图书馆电子资源的闲置和浪费,使得投入和产出不成正比,影响了数字图书馆的合理化建设。面对这种情况,VPN技术为我们提供了一套可管理、可认证、安全的远程访问电子资源的解决方案。
二、VPN技术简介
1.VPN简述
VPN(Virtual Private Network)可译为“虚拟专用网”。它并不是一个新名词,因为在电信服务的电话网络中早就提出了VPN的概念。VPN不是真的专用网络,但是却能实现专用网络的功能。因特网工程技术委员会(IETF)对的VPN的解释是:通过公共网络建立一个临时的、安全的、私有的点对点连接,通过对网络数据的封包和加密传输,从而实现在公网上传输私密数据,并达到私有专用网络的安全级别。VPN网络的认证机制很好的保护了用户收发数据的完整性、准确性,避免收发的数据不相符;而且VPN技术本身对网络流量能进行预测和控制,实现网络带宽的优化管理,从而避免在互联网使用高峰期造成网络堵塞,提高了数据传输的质量;另外,单位、企业很在意的经济投入也是非常的合理、节约,只要一次性购买VPN设备(包括服务器、路由器等),而不再需要增购其它的存储设备,进行重复性建设,并且VPN网络更不用考虑线路带宽的利用率和费用的问题。一旦组建好VPN网络之后只须安排一个专业技术员对其进行日常的管理维护(主要是安全管理、设备正常运行监控、配置管理、访问控制列表管理等)即可。此外,现有公共网络提供多种接入方式,如:PSTN拨号、ADSL、CableModem、小区宽带等,VPN网络也可以根据各种接入方式的信息量、实时性及通信条件等情况,分别选择不同的速率与之链接;同时,VPN网络能够支持任何类型的数据流,支持多种类型的传输媒介,满足同步传输语音、图像的需求,方便增加新的节点,增加访问用户的数量,具有很高的可扩充性能。
2.VPN关键技术
那么,VPN是采用什么技术和协议来很好的发挥它的特点的?首先我们需要了解国际标准组织制定的OSI网络模型,它把传统Internet网络分为7层:物理层、数据链路层、网络网际协议层、数据信息传送层、对话层、表示层和应用层;最底层是物理层,而最高层是应用层,VPN技术利用这个OSI模型为基础,开发出目前主流的三类Internet VPN远程安全接入技术(基于网络协议第三层的安全链接技术IPSecVPN、基于多协议的标记交换技术MPLS VPN、基于网络协议第七层的安全链接技术SSL VPN)。这些VPN技术具有类似的功能,但也存在着不同特性和各自擅长的应用取向。无论采用什么技术标准的VPN网络运用下面四种核心手段保证通信安全。
1)隧道技术(Tunneling)
隧道技术是VPN网络的基本技术,并依靠多种隧道协议来完成,例如:PPTP(点对点
隧道协议)、PPP(点对点通信协议)、L2F(数据链路层转发协议)、L2TP(数据链路层隧道协议)等。目前比较流行的隧道协议是IPSec(网络协议安全标准)与SSL(安全认证应用层标准)协议的结合,使用此协议可以很容易地建立IP层(网络协议第三层)用户的要求,也可以实现需要C/S(客户机/服务器)架构或者B/S(浏览器/服务器)架构的数据管理信息系统的要求。
2)加密&解密技术(Encryption&Decryption)
加密&解密技术是网络实时数据通信中一项比较成熟的技术,VPN可以直接利用此项技术。现行VPN使用的加密&解密技术主要有两种:对称加密(单钥加密)算法和不对称加密(公钥加密)算法。其中不对称加密算法生成的密钥用户管理方便,占用存储空间小,所以此算法是目前VPN网络中使用最为广泛的算法。
3)密钥管理&交换技术(KeyManagement)
密钥管理&交换技术是保护在公共网络上传输的私有数据流可以安全地传递密钥、识别密钥从而进行数据交换。为了使数据可以安全、准确、及时地传递,国际标准组织制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密钥管理&交换协议,进而形成了现行的密钥管理&交换机制,主要有三种:KMI机制(基于传统网络)、PKI机制(基于开放网络)和SPK机制(基于大规模专用网络),最为广泛使用的是KMI机制。
4)使用者身份认证技术(Authentication)
使用者身份认证技术最常用的是用户名、口令或智能卡认证(特殊的U盘)等方式。在实际应用中,移动用户使用智能卡方式,此卡内存贮有用户登录VPN网络所要求的各项相关数据信息;远程非移动用户采用用户名与口令方式来登录,例如ADSL连接方式则在拨号时实现,如果是专线用户则在路由器中实现,此用户名与口令一般不需要登录用户来干预,所以用户访问VPN网络就如同在局域网内一样方便。
如今,VPN技术突飞猛进,又出现许多新技术元素,所以VPN技术的发展前景很广阔。而解决数字图书馆建设中的一些疑难问题就目前看来采用VPN技术是一种很高效的解决办法。
三、数字图书馆建设中几种常见(VPN)模式
在各个高校数字图书馆建设过程中,根据师生用户群的使用特点以及应用环境的不同,VPN大致可采用三种不同的解决方案:远程访问虚拟网(AccessVPN)、校园内部虚拟网(IntranetVPN)和校园扩展虚拟网(ExtranetVPN)。
1.远程访问虚拟网(AccessVPN):如果图书馆员或者师生用户需要移动或者远程访问图书馆或者图书馆开展远程教育,就可以考虑使用AccessVPN。AccessVPN通过使用与专用网络相同策略的共享基础设施(公共骨干网),提供图书馆内网和公共网络之间的安全连接。AccessVPN能使图书馆所有用户随时、随地以其所需的方式办理图书馆各种业务。
2.图书馆内部虚拟网(IntranetVPN):近年来随着高校规模的不断扩大,办学方式的不断丰富,各大高校都呈现多校区办学模式,图书馆也不例外,许多高校图书馆组建分支机构,这样就可以考虑使用IntranetVPN。IntranetVPN通过公用网服务商提供的QoS机制(能自动识别数据包并转发到对应的地址去),使图书馆与各个校区分支机构的路由器之间建立VPN安全隧道,保证图书馆各个分支机构能实时、准确的与主机构之间交换数据。论文参考网。
3.图书馆扩展虚拟网(ExtranetVPN):其实这种应用模式只是图书馆内部虚拟网的扩展,这种模式为图书馆和电子资源供应商的网站平台之间提供了一种安全的连接通道,例如电子书商提供图书馆内网远程镜像访问企业主站的安全访问模式和各高校图书馆之间的合作,就可以考虑使用ExtranetVPN。论文参考网。ExtranetVPN更多的是考虑协调和安全问题。
以上提供的几种图书馆VPN解决方案常常通过软、硬件以及辅助设备把他们结合起来使用,这样就大大丰富了VPN技术在图书馆数字化建设中的作用。
四、VPN在安徽农业大学图书馆中的应用
安徽农业大学是安徽省一所省属重点综合性大学,安徽农业大学的数字图书馆建设也采用VPN技术来实现校外公网访问校内资源,实现学校的公共资源的充分利用。
现阶段,安徽农业大学图书馆还没有分馆,所以VPN技术主要应用于校外师生用户通过公共网络访问图书馆电子资源。学校采用一家很有实力的网络技术公司的M5600 SSL VPN路由器构建VPN网络,这种VPN路由器主要采用使用者用户名认证技术保证校外师生用户通过公共网络正确访问图书馆电子资源。论文参考网。根据目前的需求可以看出,现阶段的用户群还是比较集中和狭窄的,这也是为了保护学校资源和电子书商的版权。但是,为了能在不远的将来使图书馆资源利用率达到最优化,学校购买的VPN路由器是智能化和可升级的,这样就足以保证数字图书馆建设的可持续发展。
总之,VPN的应用前景是很广阔的,不仅仅是解决公共网络访问内网资源的问题;可以预见,数据共享是未来图书馆的发展趋势。各高校图书馆都会建设专有VPN网络,从而使信息资源全球化、集成化、多元化。
[参考文献]
1.李红艳. VPN技术在高校图书馆网络系统设计中的应用[J]. 中国期刊网CNKI数字图书馆,科技情报开发与经济,第16卷第21期,2006年.
2.唐淑娟,秦一方,井向阳. VPN技术与图书馆资源远程利用[J]. 中国期刊网CNKI数字图书馆,情报探索,第1期,2007年1月.
篇5
1 引言
信息技术的迅速发展和广泛应用,不仅改变着人们的工作和生活方式,也改变着教育和学习方式,也促进了国内外数字资源的突飞猛进发展,高校图书馆购买的数字资源也越来越多,可供师生访问的资源日渐增多,但是数据库资源的知识产权和版权等因素使得相当部分数字资源使用范围有限,只能在校园网内部访问,不能对外网开放。电大开放教育以学生为中心,具有开放性、灵活性、针对性和适应性等特点,主要运用卫星、电视、互联网、移动终端等信息化手段和多种教学媒介,构建全民多样化终身学习型社会。国家开放大学数字图书馆的服务对象是开放大学及电大系统的师生,但他们多数是在职在岗的成人,学习的地方相对分散,到校园图书馆利用数字资源极为不便,也因此形成了开放大学图书馆服务方式的特殊性。为了满足电大系统教师和学生随时随地便捷地使用图书馆数字资源,国家开放大学数字图书馆提供远程访问服务。
2 远程访问数字图书馆
本文所讨论的远程访问是校外访问,就是指非校园网用户突破校内IP地址的物理限制使用学校购买的数字化数据库资源。目前远程访问图书馆数字资源有传统服务器技术、VPN技术、Athens项目、PKI技术、Shibbloeth项目、EZproxy技术等[1]。VPN技术实现远程访问已经普遍应用并逐步完善,尤其在远程访问图书馆数字资源中应用更为广泛。新兴的 SSL VPN 技术非常适合移动用户的远程接入访问,该技术集传统数据网络的安全、快速及共享数据库的低成本且简单易行等优点特点,可以为外部网提供虚拟连接,从而成为高校图书馆为所有非校园网的师生提供资源共享的最理想的方案[2]。
3 VPN概述
VPN(Virtual Private Network)即虚拟专用网络,是一种网络新技术,在公用网络上通过加密、认证、封装以及密钥交换技术,建立单位内部专用网络进行远程虚拟访问的连接方式。VPN具有传输数据安全可靠,连接方便灵活,可完全控制,成本低等特点[3]。
SSL VPN是采用SSL(Secure Sockets Layer,安全套接层)协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB的安全协议,使用SSL 协议进行认证和数据加密的VPN就可以免于安装客户端。相对于传统的VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点[4]。
4 应用VPN技术访问数字图书馆的方法
笔者在教育教学过程中发现绝大多数学生不会远程访问数字图书馆,甚至很多教师都不会合理利用网上数字资源。开放大学图书馆由于涉及数据库资源的知识产权问题,使用范围有限,在校园网内使用没有限制,但校外只允许属于电大的教师和学生作为合法的用户,提供VPN技术,用户在登录后,需要安装VPN控件,才能正常的打开文献资源列表。一般情况下,VPN系统会自动检测电脑系统,并引导安装VPN插件,也可以在网站下载插件安装包进行安装。因此要求我们提供用户名和密码来进行身份的确认。笔者在教学工作中发现,很多学生写毕业论文或教师做课题研究的时候,抱怨找不到资源,找到的资源不完整或者下载需付费,下面简单介绍校外如何访问开放大学数字图书馆(中央广播电视大学图书馆)。
4.1 开放大学数字图书馆介绍
国家开放大学数字图书馆为开放大学及全国电大系统提供一站式、扁平化服务,其中电子图书书目数据达340多万种、电子图书全文达234万种、学术文献7000多万篇、社科数字期刊2800多种,名师讲座88624集,基本实现数字文献资源全学科覆盖[5]。主要涵盖:(1)开放文献资源列表,提供中央电大图书馆提供的常用电子文献资源列表;(2)读者论坛帮助BBS(beta),是开放数图论坛读者帮助模块,在此可以反馈在使用中存在的问题,提出数字图书改进建议;(3)数字图书馆学习空间,以图书馆培训、教育为主要内容,同时提供教师自建课程的Moodle教学平台;(4)电大在线・我的工作室,提供在线教学辅导的全部信息;(5)开放大学讲坛,由中央电大图书馆主办的学术讲座平台,汇集名师名家,深入讲解近期发生的热点问题,提供最全的视频资料信息;(6)全国电大图书馆通讯,是图书馆服务与交流电子期刊,提供了最新的电大图书馆工作动态,介绍电大图书馆新引进的和推荐的文献信息资源等;(7)社会化应用及交流网站等服务。
4.2 安装VPN控件
开放大学数字图书馆(http://)通过VPN的方式对开放教育学生以及电大系统教职工提供授权访问服务。打开页面“插件”(如上图),下载“国家开放大学数字图书馆远程访问控件”,即VPN控件,在安装过程中关闭防火墙和IE安全控(上接81页)
件软件,并将图书馆网站的链接地址添加到IE信任列表,Windows Vista用户在安装控件时请关闭UAC,Windows 7用户在安装控件时请对IE点击右键选择“以管理员身份运行”,再打开安装页面。安装VPN控件后,这个插件要求必须使用IE浏览器进行访问,IE浏览器的版本最低为6.0。
4.3 登陆访问资源列表
点击“开放数图”,学生用电大在线学生证号进行登录,教师用电大在线用户名进行登录,通过点击开放文献资源列表标签,在进入过程中检查身份的合法性及访问资源的安全性,检查完毕进入应用列表,包括CNKI、维普、万方、超星、龙源、读秀等数据库,涵盖了最新期刊、会议论文、学位论文等。
4.4 文献检索
以中国知网(CNKI)为例,打开CNKI(国开镜像版),期刊包括博硕士学位论文、会议、报纸、外文文献、年鉴、百科、词典、统计数据、专利、标准等内容,通过全文、主题、篇名、关键字、摘要、文献来源等方式输入关键字进行检索,在检索结果中打开自己感兴趣的文献进行阅读、下载。
日新月异的信息技术,促进了教育信息化的迅猛发展,电大教师的信息技术应用能力、文献检索的方法和途径直接决定了远程教育教学资源的使用效率和科研水平,因此笔者认为提升师生信息素养,加强信息技术应用能力,通过系统内数字资源应用培训,从数字图书馆平台访问、国内主要文献数据库的使用、移动数字图书馆的使用等方面进行培训,使教职工掌握数字文献资源的使用,提高数字资源的使用率,充分发挥资源共享的优势和效益,为教学和科研提供支持。
参考文献:
[1]张文丰,黄淑敏.开放大学数字图书馆资源校外访问方式的研究[J].黑龙江科技信息,2007,(20):146.
[2]付凯东.SSL VPN技术在高校图书馆数字资源中的应用[J].微计算机信息,2010,26(7-3):107.
[3]百度百科:虚拟专用网络[EB/OL].http:///view/480950.htm?fromId=19735.
篇6
虚拟专用网即VPN(Virtual Private Network)是利用接入服务器(Access Sever)、广域网上的路由器以及VPN专用设备在公用的WAN上实现虚拟专用网技术。通常利internet上开展的VPN服务被称为IPVPN。
利用共用的WAN网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,VPN采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
Internet中的隧道是逻辑上的概念。假设总部的LAN上和分公司的LAN上分别连有内部的IP地址为A和B的微机。总部和分公司到ISP的接入点上的配置了VPN设备。它们的全局IP地址是C和D。假定从微机B向微机A发送数据。在分公司的LAN上的IP分组的IP地址是以内部IP地址表示的"目的地址A""源地址B"。因此分组到达分公司的VPN设备后,立即在它的前部加上与全局IP地址对应的"目的地址C"和"源地址D"。全局IP地址C和D是为了通过Internet中的若干路由器将IP分组从VPN设备从D发往VPN设备C而添加的。此IP分组到达总部的VPN设备C后,全局IP地址即被删除,恢复成IP分组发往地址A。由此可见,隧道技术就是VPN利用公用网进行信息传输的关键。为此,还必须在IP分组上添加新头标,这就是所谓IP的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术VPN网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用VPN技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器。将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP协议又称为点对点的隧道协议。PPTP协议允许对IP,IPX或NETBEUT数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互连网络传送。
⑶ 2TP(Layer 2 Tunneling Protocol)
该协议是远程访问型VPN今后的标准协议。
L2F、PPTP、L2TP共同特点是从远程客户直至内部网入口的VPN设备建立PPP连接,端口用户可以在客户侧管理PPP。它们除了能够利用内部IP地址的扩展功能外,还能在VPN上利用PPP支持的多协议通信功能,多链路功能及PPP的其他附加功能。因此在Internet上实现第二层连接的PPPSecsion的隧道协议被称作第二层隧道。对于不提供PPP功能的隧道协议都由标准的IP层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ TMP/BAYDVS
ATMP和BaydVs(Bay Dial VPN Service)是基于ISP远程访问的VPN协议,它部分采用了移动IP的机制。ATMP以GRE实现封装化,将VPN的起点和终点配置ISP内。因此,用户可以不装与VPN想适配的软件。
⑸ PSEC
IPSEC规定了在IP网络环境中的安全框架。该规范规定了VPN能够利用认证头标(AH:Authmentication Header)和封装化安全净荷(ESP:Encapsnlating Security Paylamd)。
IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中,通过企业IP网络或公共IP互联网络如INTERNET发送。
从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,DSI七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层VPN "与"三层VPN"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的SSLVPN技术[2]、基于端口转发的HTTPTunnel[1]技术等等。如果继续使用这样的分类,将出现"四层VPN"、"五层VPN",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
2.2 改进后的几种隧道机制的分类
⑴ J.Heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的VPN,使用路由方式的VPN,使用专线方式的VPN和使用局域网仿真方式的VPLS。
例如同样是以太网的技术,根据实际情况的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多种VPN组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对VPN技术选型造成误导。
⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的VPN分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如L2TP就是典型的封装型隧道。
隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如LSVPN。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
3. 诸种安全与加密技术
IPVPN技术,由于利用了Internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于Internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在IPVPN的网点A和网点B之间安全通信受到威胁。因此,利用IPVPN通信时,应比专线更加注意Internet接入点的安全。为此,IPVPN采用了以下诸种安全与加密技术。[2]
⑴ 防火墙技术
防火墙技术,主要用于抵御来自黑客的攻击。
⑵ 加密及防止数据被篡改技术
加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的VPN虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
参考文献
篇7
The Application of SSL VPN Technology in the Computer Network of Teaching Resources
Tan Qinhong
(Tongren Polytechnic,Tongren554300,China)
Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.
Keywords:Computer teaching resources network;Network security;SSL VPN
一、校园网计算机教学系统面临的安全风险分析
随着国家教育事业的快速发展以及IT技术的迅猛发展,人们的生产、生活方式发生了翻天覆地的变化,传统的教室内黑板面授教学模式已经不能完全满足当代的教学工作,必须有一种新的教学方式来弥补传统教学模式单一的不足,计算机教学应运而生,特别是计算机多媒体教学。计算机教学方式中,学习的人可以随时随地的学习,不受时间和空间的限制,并且具有学习成本低廉等一系列优点,因此计算机教学受到越来越多的欢迎。
为方便教师和学生等对教学资源的外部访问,存储有教学资源的网络大多与互联网相连,难免会受到来自于网络内部和外部的攻击,计算机网络的大多设备或软件为国外生产,其中可能存在一些后门程序,操作系统、应用系统等都存在大量的漏洞可以让攻击者利用,计算机病毒等恶意程序、SQL注入攻击、跨站脚本攻击、DDOS攻击、钓鱼网站的泛滥让校园网的安全形式不容乐观。
校园网中,用户有学生、教师、外部学习者等主体,教学资源的访问主体的身份不好控制、资源访问控制困难,很难让指定的用户只能访问指定的资源,不能访问其它非授权访问资源、用户对资源的访问不具有抗抵赖等问题。
校园网是学校的门户,是学校的形象窗口,是学校赖以生存的生产资料的一部分,如果遭到恶意攻击,导致不能正常对外部提供服务,将对学校造成严重损失。
二、SSL VPN简介
VPN(Virtual Private Network虚拟专用网络)[1]是一种在公共的网络基础平台(如internet)上建立专用的数据通信网络的技术。VPN通过对数据包进行加密和封包,在公共网络基础平台上构建出安全、可靠的专用隧道,使私有数据在公共网络上安全传输。用户使用VPN技术,不需要建设自己的专用网络,节省投资,使用便捷,VPN技术因而获得了广泛的应用。
VPN技术发展至今,产生了多个种类,有工作在2层的L2TP VPN,工作在3层的IPsec VPN,工作在传输层和应用层之间的SSL(Secure Socket Layer安全套接层)VPN,基于虚拟路由表和标签转发的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用户通过公共网络(如internet)接入业务网络,在远程接入上应用广泛。
SSL是一个独立于平台并独立于应用的协议,用户保护基于TCP的应用。在TCP/IP四层架构中,SSL在传输层之上,应用层之下,像TCP连接所连接的套接字一样工作。
SSL VPN技术帮助用户使用标准的Web浏览器就可以通过公共网络平台接入所要访问的远程资源。在用户的计算机上,不需要安装客户端软件及进行复杂的配置,大大方便了用户,仅仅通过一台接入了Internet的计算机就能访问远程资源。这为企业及政府提高效率也带来了方便。
用户所要访问的资源位于企业网或者政务网内部,在此情况下,需要部署SSL VPN网关在企业网或者政务网的边缘,介于服务器与远程用户之间,控制二者的通信。如下图所示:
SSL VPN网关除了作为隧道的终点,还要执行以下三种功能:,应用转换、端口转发[2]。
篇8
一、引言
随着信息化经济一体化的发展,实现资源共享是每个企业追求发展进步不可或缺的一步。利用隧道技术在公共网络上建立安全的虚拟专用网络(VPN)是实现资源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN这几个比较主流的VPN技术。
二、IPSec VPN
IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,用来提供公用和专用网络的端对端加密和验证服务。IPsec给出了应用于IP层上网络数据安全的一整套体系结构,包括AH网络认证协议、ESP封装安全载荷、IKE因特网密钥交换和用于网络认证及加密的一些算法等[1]。其中,AH协议和ESP协议用来提供安全服务,IKE协议用于密钥交换。
(一)认证头(AH)协议
IPsec认证头协议是IPsec体系结构中的一种主要协议(AH协议把AH头插入IP数据包),它为IP数据报提供无连接完整性、数据源认证、保护以避免重播情况[1]。
(二)封装安全载荷(ESP)协议
封装安全载荷(ESP)协议是IPsec体系结构中的一种用来提高IP的安全性的主要协议。ESP加密要保护的数据并且在IPsec ESP的数据部分进行数据的完整性校验,以达到其数据机密性和完整性的目的。ESP提供了与AH相同的安全服务并提供了一种保密。
(三)IKE
IKE是一种混合型协议,由Internet安全联盟(SA)和密钥管理协议(ISAKMP)这两种密钥交换协议组成。IKE是以受保护的方式为SA协商并提供经过认证的密钥信息的协议。IKE用于协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。同样,IKE使用ISAKMP为其他IPSec(AH和ESP)协议协商SA。
三、MPLS VPN
MPLS VPN与传统的IPSec VPN不同,MPLS VPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于Internet。MPLS VPN是一种以MPLS技术为基础的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。
(一)MPLS VPN的基本原理
每个MPLS VPN网络的内部是由P(供应商)设备组成,这些设备构成了MPLS的核心,且不直接同CE路由器相连,围绕在P周围的PE路由器可以让MPLS VPN网络发挥VPN的作用。在MPLS VPN中,用户站点通常运行的是IP。它们并不需要运行MPLS和其他特殊的VPN协议。在PE路由器中,RD对应同每个用户站点连接。这些连接可以是诸如T1、单一的帧中继、ATM虚电路或者DSL等物理连接。RD在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在用户设备上进行配置,对于用户来说是透明的[2]。
(二)MPLS VPN的优点
1.减少时延。由于数据包不再经过封装或者加密,所以时延被减到最低。不再需要封装和加密原因是MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似[2]。
2.配置MPLS VPN网络的设备比较容易。配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络不许访问CPE。
3.提高了资源利用率。由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。
4.安全性高。采用MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATM VCC(Virtual Channel Connection,虚通道连接)类似的高可靠安全性。
四、SSL VPN
SSL VPN的出现是为了解决IPSec VPN的固有的缺点,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致优点,避免了因有客户端而导致的使用维护不便、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题[2]。IPSec VPN与SSL VPN的对比。传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置。若企业的远程接入数量增多,企业的维护成本就会随之增加。而SSL VPN最大的优点之一就是不需要安装客户端程序远程用户可以随时随地从任何浏览器上安全接入到内部网络。对比表如下:
五、总结
由于VPN的优秀安全特性,让它越来越受到安全要求较高的企业或部门的青睐。此文指出的IPSec VPN、MPLS VPN、SSL VPN技术增加了VPN通信的安全性。伴随着VPN的广泛使用,更加复杂的VPN系统会继续出现。所以,其安全策略管理的问题将逐步显现,这方面的研究也将受到高度重视。
篇9
随着电力信自、化水平的不断提高,县级供电企业综合管理信息系统开始逐步建立,但基层变电站、乡镇供电听与供电公司局域网联网问题严重地制约着县级供电企业信息系统实用化水平的发展和信息资源的充分有效利用,这与供电企业管理发展的目标追求以及客户的需求是极不适应的。由于乡镇供电所信息化建设工作受地形、人员素质、资金投人等因素影响,解决远程站点联网问题成为县级供电企业信自、网络建设中的突出矛盾。
1庐江供电公司信息化建设现状
安徽庐江供电公司的信息化上作起步较晚,供电公司总部于X004年实现了生产M I S与办公自动化OA的单轨制运行,总部信息化运行提高了企业的整体管理水平和办公效率。如今,庐江供电公司总部已运行的信息系统有:生产管理系统、办公自动化系统、档案管理系统、Web系统、财务管理系统,现有的服务器包括:生产服务器、办公自动化服务器、档案服务器、Web服务器、财务服务器。力、公用微机80多台,每位管理人员以及每个班组都配有微机。
在实施信息化建设与管理中,深深体会到庐江供电公司信息化建设不仅可降低财务管理、物资管理、项目管理、资料管理等方面的管理成本,并在生产管理中可将所有设备信息进行分类编号,输人数据库,实行设备、设施缺陷管理,科学地制定缺陷检修计划,提高设备运行可靠度,降低故障率,提高供电可靠性;同时,庐江供电公司的营销管理信息系统建有业扩子系统、电量电费f系统、用电检查子系统、综合查询系统,通过这些系统,可方便与客户的交流、沟通,节约成本开支,实现科学化营销流程管理。这些管理信息系统的应用,加强J’企业的规范化管理,增强了管理的科学化水平,减轻了工作人员的负担,提高了企业的经济效益。
为此,庐江供电公司加入了乡镇供电所营销MIS应用系统的推进力度,进一步减轻了抄表人员的负担,缩短了开票时间,加强了电费电价的控制与管理,提高了营销管理自动化水平。全县17个乡镇供电听,都使用同一版本的营销MIS应用系统。舟个供电听都有3台以上的微机,其中1台所长用于日常办公,另外2台分别作为用电MIS系统的服务器与客户端,并兼为所里其他工作人员办公使用。其中,已有10个供电所可利用变电站的光纤系统,与庐江供电公司总部实现网络互联,提高了工作效率,节省了开支。其余7个供电所仍不能够实现信息化共享,这些供电所非常希望尽快网络互联。
2采用VPN方案推进供电所信息化建设进程
这些供电所若使用以前的光纤联网方式,不仅投资大,施工工期长,而且日后的维护量也多。考虑到以上原因,为尽快解决其余7个光纤未开通的乡镇供电所的网络互联问题,达到信息、共享,推广乡镇供电所的营销MIS系统应用,公司决定采用虚拟局域网(VPN),在现有设备基础上,进行简单的改造。通过在VPN网关中配置7个供电所的用户、密码以及访问策略,并分别在7个供电所安装VPN客户端,安装公司的MIS应用系统,实现全公司网络互联。VPN技术实际上就是综合利用包封装技术、加密技术、密钥交换技术、PKI技术,可以在公用的互联网上建立安全的虚拟专用网络(VPN , Virtual Private Network ) 。 VPN是一个被加密或封装的通信过程,该过程把数据安全地从一端传送到另一端,这里数据的安全性由可靠的加密技术来保障,而数据是在一个开放的、没有安全保障的、经过路由传送的网络上传输的。VPN技术能够有效解决信息安全传输中的“机密性、完整性、不可抵赖性”问题。
3方案效果比较
对2种方案的可能性进行了比较,如图1所示。如果庐江供电公司全部运用光纤法来实现供电所的网络互联,每个供电所的材料费、施工费按3.5万元,施工工期10天计算,7个供电所就需要3.5 x 7=24.5万元,需要10 x 7=70天。若这7个供电所采用VPN方案,只需要购买VPN网关1台,价值3.5万元和7个客户端钥匙,价值7 x 480=3360元,5天内就能完成7个供电所安装。因此,应用VPN方案,庐江供电公司就能节省资金达24 . 5-3 . 836=20.664万元,缩短工期65天,取得的直接效益是显著的,并省去了今后光纤线路维护所需要工作量。
现在,这7个乡镇供电所均可利用VPN方案安全可靠地登陆公司局域网,在局域网下载内容的速度可达350 kb/s,生产MIS系统响应时间为2--3 s,办公自动化系统浏览公司收发的文件、接受电子邮件的时间因文件的大小不同而有所差别,1 MB的文件大约需要8 s。由于ADSL是非对称数字环路,所以发送电子邮件的速度要慢得多,1 MB的文件大约需要18s。从VPN方案运行效果来看,完全能够满足庐江供电公司网络发展及MIS系统应用的需要。
4下一步信息化建设的主攻方向
篇10
Zhang Ding-xiang
(Guizhou Commercial College, Guiyang GuizhouGuiyang 550004)
【 Abstract 】 Although at present to provide enterprises with VPN network platform building scheme is more, but the building costs are high, make many enterprise hope and stopped. Therefore, seek a kind of economic and enough VPN network platform construction scheme is very necessary.This paper will introduce a kind of deployment scheme and configuration method which that using ADSL dial-up internet, dynamic DNS technology and software VPN over the internet to construct economic VPN network platform. This program can be used for the construction or upgrading of an enterprise VPN platform.
【 Keywords 】 economical ;VPN; network platform; construction method
1 引言
随着互联网在企业领域应用的不断深化,VPN(虚拟专用网)已作为一种安全的局域网远程扩展方案,并受到越来越多的企业关注和运用。对于占全国企业总数80%的中小型企业来说,大多数都需要通过计算机网络安全地、可靠地、及时地传输各种业务数据,并希望投入的成本越少越好,还期望原有的和即将发生的投资都能够得到长期的保护。因而,为这些企业寻求一种经济的够用的VPN网络平台解决方案和实现方法是很有必要的、迫切的。
2 解决方案
在企业构建VPN平台过程中,无论采用何种方案都应以追求数据传输的机密性、完整性、可控性和可维护性等为建设目标。这里以论文《集散式中小型企业远程数据安全传输解决方案》中提出的“6+”解决方案为基础,概要地介绍一种经济的VPN网络平台构建方法,以起到抛砖引玉的作用。“6+” 解决方案为PC机、操作系统、ADSL拨号、DDNS、二级域名、集成型VPN网关软件6种组件的综合集成。
2.1 VPN网络部署拓扑图
企业VPN部署的典型拓扑结构图如图1所示,企业总部与互联网的连接均通过VPN网关接入,VPN网关通过网线物理连接到ADSL Modem上,ADSL Modem再通过电话线逻辑接入到互联网;各分支机构和企业移动用户也通过VPN网关接入因特网,接入方式可以不采用ADSL Modem拨号连接。
2.2 方案要点
(1) 选配PC机。总部VPN网关主机选用一台质量较好的普通PC机即可。主机基本配置要求为Pentium CPU、512MB内存、80GB硬盘、10/100Mbps双网卡。这些技术参数也可作为分支机构VPN网关的参考。
(2) 选定主机操作系统。从习惯性和普及性考虑,选用专业版或服务器版的Windows作为VPN网关(主机)的操作系统,如Windows 2000 专业版、Windows 2003服务器版、Windows XP SP3专业版等。
(3) 采用ADSL拨号接入互联网。总部与因特网的接入方式采用常规的ADSL Modem拨号接入,目的是可以获得一个免费的公网IP地址,只不过该IP地址是动态的,每次拨号时可能获得不同的IP地址。
(4) DDNS的选用。选用拥有我国自主知识产权的花生壳作为DDNS(动态域名解析服务系统),花生壳DDNS能自动地准确地将动态IP地址与固定域名实时绑定,使得VPN客户端根据域名就可以随时找到VPN服务端的动态公网IP地址。
(5) 二级域名的申请。通常情况下,申请租用一级(顶级)域名都是要付费的,而申请租用二级域名多数都是免费的。对于构建VPN平台来说,域名叫什么都无所谓,仅仅是一个符号而已,只要能准确地解析到IP地址即可。为能更好地运用花生壳DDNS解析IP地址,这里在花生壳网站上申请一个二级域名作为VPN服务端网关的域名地址(如“iioffice.省略”)。
篇11
1.引言
网络流量的指数级增长,导致网络数据的处理越加复杂,特别是在跨区域大型企业,政府等部门对新业务的需求越来越大的情况下,现有城域网络各方面的瓶颈越来越突出,而且随着NGN、IPTV等基于IP的话音与视频业务的发展,对城域网与接入网的功能与性能又提出了许多更高更新的要求:高带宽、高可靠性、高QoS、低延时和灵活的扩展性。网络处理器,作为新一代的高性能路由器的核心设备,在数据传输处理方面有许多特别的优势,它不但拥有ASIC处理器的高速高带宽,而且具有非常强的灵活性高端路由器,同时在流量管理、QoS、OAM等技术也有独特的优势。
2.城域网技术概述
从横向划分,承载网通常可以分为骨干网、城域网与接入网,城域网位于骨干网与接入网的交汇处,是通信网中最复杂的应用环境,各种业务和各种协议都在此汇聚、分流和进出骨干网。多种交换技术和业务网络并存的局面是城域网建设所面对的最主要问题。而基于IP/MPLS技术建设多业务综合承载网络已经被全球运营商认同。
在城域网络中,骨干层通过出口路由器实现与两张骨干网的连接完成高速的数据转发,并充当IP 城域网出口设备。汇聚层作为IP城域网骨干区域向下的延伸,与骨干层构成了核心路由区域,并充当三层MPLS VPN (Multi-PropocolLabel Switching VirtualPrivate Network) 的P 设备论文参考文献格式。汇聚层BAS (宽带接入服务器)和路由器以上运行三层网络,以下视具体的情况运行三层或二层网络。接入层负责用户接入,采用二层网络。
3. NP-3网络处理器概述
Ezchip公司的NP-3处理器,是一款高灵活性的网络处理器,它提供10G线速的包处理能力及良好的带宽控制能力。通过编程能实现如二层交换,Q-in-Q,PBT,T-MPLS,VPLS,MPLS,IPV4/IPV6等多种功能。同时该芯片集成的一个流量控制器,能提供较强的流量管理功能。
NP-3的数据处理流图如图3.1:
图3.1:NP-3数据处理流图
TOPparse解析和提取各种数据帧的帧头、地址、端口、协议等作为查表的关键字。同时也可利用硬件或软件解析报文,过滤非法的畸形报文、攻击报文。
TOPsearch使用TOPparse提取出的关键字查找相关的路由表、会话表、策略表、统计计数表等。
TOPresolve根据TOPsearchI查找表所得的结果进行判断和决策。同时可以通过高学更新会话状态信息等。
TOPserach II可选,在TOPresolve完成后,进行比较简单的额外的数据表查找。
TOPmodify对报文的内容进行修改并发送到不同的路径上。
4.城域网关键技术分析及NP-3平台下的数据转发面实现
4.1网络结构及关键技术分析
典型的城域网由服务商骨干网络(serviceprovider backbone network, SP-BN)和多个服务商网络(serviceprovider network, SP-N)构成高端路由器,服务商网络之间通过骨干网连接,用户之间则通过服务商网络连接到骨干网,如图1所示,图中SP-BN通过MPLS协议连接,而SP-N通过Q-in-Q(IEEE802.1ad)协议连接。本文将基于该网络实例进行研究讨论。
图4.1:城域网络基本结构
在城域网网络中涉及的三类关键服务:
?点到点二层VPN服务(VPWS)
两个单独的用户站点之间可通过本服务实现二层连接,预先配置好一个统一的服务ID(service ID),建立一条通过SP-N和SP-BN的链路论文参考文献格式。数据帧只需通过预先配置好的service ID进行转发。如图4.1中的Client A与Client B之间的二层服务。
?点到多点二层VPN服务(VPLS)
本服务提供了多个站点之间的二层连接,相当于构建了一个虚拟的局域网,数据帧的转发基于service ID和报文的目的MAC地址(destination MAC address, DA)。如图4.1中的Client A、Client B、Client C之间的二层服务。
?点到多点路由服务(L3VPN)
本服务提供了多个站点之间的三层连接,同时也能够实现本城域网络与外网的连接。在各个用户站点看来,SP-N就是一个虚拟的私有IP网络。数据帧的转发基于service ID和目的IP地址(destination IP address, DIP)。如图4.1中的Client A、Client B、Client C之间的三层服务
?NP-3硬件支持
NP-3的TOPparse模块能实现硬件快速分析和提取数据报文对应OSI七层网络模型的关键字段,包括MAC地址信息,VLAN标记,以太帧类型,MPLS标签,IP地址,端口,HTTP,UTL等等。在本设计中,重点是对含有多个VLAN标记和MPLS标签的复杂城域网服务的快速处理,NP-3能实现至少4级标签栈的解析,对跨越多重网络结构的复杂服务有强大的支持能力。
4.2NP-3处理器上的关键数据转发面处理流程分析
NP-3处理器的数据转发处理能力强,而对于控制协议的处理能力就较弱。在NP-3上高端路由器,对数据帧的处理依赖于以下三个因素:端口的配置,数据帧的格式以及网络所提供的服务。根据设备的位置,端口的配置又分为四种模式:C-tagged模式,聚合模式,Q-in-Q模式,MPLS模式。
首先确定有几下几类数据帧:标准以太网帧,Q-in-Q帧,MPLS封装的IP帧,各帧的结构如下。
?标准以太网帧,有三种类型:
DA
SA
0X800
IF
DATA
DA
SA
0X8100
C_TAG
0X800
IF
DATA
DA
SA
0X8100
C_TAG1
0X8100
C_TAG2
0X800
篇12
1.信息安全保护能力技术要求分类中,业务信息安全类记为A。
错误
2.OSI安全体系结构标准不是一个实现的标准,而是描述如何设计标准的标准。正确
3.只靠技术就能够实现安全。
错误
4.灾难恢复和容灾是同一个意思。
正确
5.VPN与防火墙的部署关系通常分为串联和并联两种模式。
正确
6.美国的布什切尼政府把信息高速公路,互联网的发展推动起来了。
错误
7.两种经济形态并存的局面将成为未来世界竞争的主要格局。
正确
8.电子商务是成长潜力大,综合效益好的产业。
正确
9.电子商务促进了企业基础架构的变革和变化。
正确
10.在企业推进信息化的过程中应认真防范风险。
正确
11.科研课题/项目是科学研究的主要内容,也是科学研究的主要实践形式,更是科研方法的应有实践范畴,是科研管理的主要抓手。
正确
12.科研方法注重的是研究方法的指导意义和学术价值。
错误
13.西方的“方法”一词来源于英文。
错误
14.科学观察可以分为直接观察和间接观察。
正确
15.统计推论目的是对整理出的数据进行加工概括,从多种角度显现大量资料所包含的数量特征和数量关系。
错误
16.学术论文是学位申请者为申请学位而提交的具有一定学术价值的论文。
错误
17.期刊论文从投稿到发表需要有一个编辑评价的标准,但是它更需要有一个质量的监控体系、监控体制。
正确
18.科研成果是衡量科学研究任务完成与否、质量优劣以及科研人员贡献大小的重要标志。正确
19.一稿多投产生纠纷的责任一般情况由作者承担。
正确
20.知识产权保护的工程和科技创新的工程是一个系统的工程,不是由某一个方法单独努力就能做到的,需要国家、单位和科研工作者共同努力。
正确
二、单项选择(每题2分)
21.信息安全的安全目标不包括(C)。
A、保密性
B、完整性
D、可用性
22.《计算机信息系统安全保护条例》规定,(B)主管全国计算机信息安全保护工作。
A、国家安全部
B、公安部
C、国家保密局
D、教育部
23.《计算机信息系统安全保护条例》第14条规定:“对计算机信息中发生案件,有关使用单位应当在24小时内向当地(B)人民政府公安机关报告。”
A、区级以上
B、县级以上
C、市级以上
D、省级以上
24.根据SHARE 78标准,在(D)级情况下,备份中心处于活动状态,网络实时传送数据、流水日志、系统处于工作状态,数据丢失与恢复时间一般是小时级的。
A、本地冗余设备级
B、应用冷备级
C、数据零丢失级
D、应用系统温备级
25.(A)是密码学发展史上唯一一次真正的革命。
A、公钥密码体制
B、对称密码体制
C、非对称密码体制
D、加密密码体制
26.以下(C)不属于计算机病毒特征。
A、潜伏性
B、传染性
C、免疫性
D、破坏性
27.在进行网络部署时,(B)在网络层上实现加密和认证。
A、防火墙
B、VPN
C、IPSec
D、入侵检测
28.美国(A)政府提出来网络空间的安全战略
A、布什切尼
B、克林顿格尔
C、奥巴马克林顿
D、肯尼迪
29.对于电子商务发展存在的问题,下列说法中错误的是(C)
A、推进电子商务发展的体制机制有待健全
B、电子商务发展的制度环境不完善
C、电子商务的商业模式成熟
D、电子商务对促进传统生产经营模
30.下列选项中,不属于电子商务规划框架的是(C)
A、应用
B、服务
C、物流
D、环境
31.(D)是创新的基础。
A、技术
C、人才
D、知识
32.两大科研方法中的假设演绎法以(B)为代表。
A、达尔文的《进化论》
B、笛卡尔的《论方法》
C、马克思的《资本论》
D、弗兰西斯?培根的《新工具》
33.以下不属于理论创新的特征的是(D)
A、继承性
B、斗争性
C、时代性
D、减速性
34.(A)主要是应用已有的理论来解决设计、技术、工艺、设备、材料等具体技术问题而取得的。
A、科技论文
B、学术论文
C、会议论文
D、学位论文
35.(B)是通过查阅相关的纸质或电子文献资料或者通过其他途径获得的行业内部资料或信息等。
A、直接材料
B、间接材料
C、加工整理的材料c
D、实验材料
36.(C)是整个文章的整体设计,不仅能指导和完善文章的具体写作,还能使文章所表达的内容条理化、系统化、周密化。
A、摘要
B、引言
C、写作提纲
D、结论
37.期刊论文的发表载体是(C)。
A、娱乐杂志
B、生活杂志
C、学术期刊
D、新闻报纸
38.(B)是指科研课题的执行人在科研过程中要向科研主管部门或课题委托方汇报研究工作的进度情况以及提交阶段性成果的书面材料。
A、开题报告
B、中期报告
C、结项报告
D、课题报告
39.我国于(A)年实施了《专利法》。
A、1985
B、1986
C、1987
D、1988
40.知识产权具有专有性,不包括以下哪项(D)。
A、排他性
B、独占性
C、可售性
三、多项选择(每题2分)
41.我国信息安全管理政策主要包括(ACD)。
A、法律体系
B、行政体系
C、政策体系
D、强制性技术标准
E、道德体系
42.信息系统安全的总体要求是(ABCD)的总和。
A、物理安全
B、系统安全
C、网络安全
D、应用安全
E、基础安全
43.网络隔离技术发展经历了五个阶段:(ABCDE)。
A、完全的物理隔离阶段
B、硬件的隔离阶段
C、数据转播隔离阶段
D、空气开关隔离阶段
E、完全通道隔离阶段
44.以下属于我国电子政务安全工作取得的新进展的有(ABCDE)
A、重新成立了国家网络信息安全协调小组
B、成立新一届的国家信息化专家咨询委员会
C、信息安全统一协作的职能得到加强
D、协调办公室保密工作的管理得到加强
E、信息内容的管理或网络治理力度得到了加强
45.下列说法正确的是(ABCDE)
A、电子商务产业是以重大技术突破和重大发展需求为基础的新兴产业
B、电子商务对经济社会全局和长远发展具有重大引领带动作用
C、电子商务是知识技术密集的产业
D、电子商务是物质资源消耗少的产业
E、应把优先发展电子商务服务业放到重要位置
46.科研论文按发表形式分,可以分为(ABE)
A、期刊论文
B、学术论文
C、实验论文
D、应用论文
E、会议论文
47.学术期刊的文章类型有(ABC)。
A、综述性的文章
B、专栏性的文章
C、报道性的文章
D、文言文
E、以上都正确
48.期刊发表的周期有(BCDE)。
A、日刊
B、周刊
C、半月刊
D、月刊
E、旬刊
49.知识产权的三大特征是(ABC)。
B、时间性
C、地域性
D、大众性
E、以上都不正确
50.从个人层面来讲,知识产权保护的措施有(ABC)。
A、在日常的科研行为中一定要有相应的行动策略
B、在科研转化的过程中,要注意保护自己的著作权
篇13
1.1校园电子商务的概念。
校园电子商务是电子商务在校园这个特定环境下的具体应用,它是指在校园范围内利用校园网络基础、计算机硬件、软件和安全通信手段构建的满足于校本论文由整理提供园内单位、企业和个人进行商务、工作、学习、生活各方面活动需要的一个高可用性、伸缩性和安全性的计算机系统。
1.2校园电子商务的特点。
相对于一般电子商务,校园电子商务具有客户群本论文由整理提供稳定、网络环境优良、物流配送方便、信用机制良好、服务性大于盈利性等特点,这些特点也是校园开展电子商务的优势所在。与传统校园商务活动相比,校园电子商务的特点有:交易不受时间空间限制、快捷方便、交易成本较低。
2校园电子商务的安全问题
2.1校园电子商务安全的内容。
校园电子商务安全内容从整体上可分为两大部分:校园网络安全和校园支付交易安全。校园网络安全内容主要包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。校园支付交易安全的内容涉及传统校园商务活动在校园网应用时所产生的各种安全问题,如网上交易信息、网上支付以及配送服务等。
2.2校园电子商务安全威胁。
校园电子商务安全威胁同样来自网络安全威胁与交易安全威胁。然而,网络安全与交易安全并不是孤立的,而是密不可分且相辅相成的,网络安全是基础,是交易安全的保障。校园网也是一个开放性的网络,它也面临许许多多的安全威胁,比如:身份窃取、非本论文由整理提供授权访问、冒充合法用户、数据窃取、破坏数据的完整性、拒绝服务、交易否认、数据流分析、旁路控制、干扰系统正常运行、病毒与恶意攻击、内部人员的不规范使用和恶意破坏等。校园网的开放性也使得基于它的交易活动的安全性受到严重的威胁,网上交易面临的威胁可以归纳为:信息泄露、篡改信息、假冒和交易抵赖。信息泄露是非法用户通过各种技术手段盗取或截获交易信息致使信息的机密性遭到破坏;篡改信息是非法用户对交易信息插入、删除或修改,破坏信息的完整性;假冒是非法用户冒充合法交易者以伪造交易信息;交易抵赖是交易双方一方或否认交易行为,交易抵赖也是校园电子商务安全面临的主要威胁之一。
2.3校园电子商务安全的基本安全需求。
通过对校园电子商务安全威胁的分析,可以本论文由整理提供看出校园电子商务安全的基本要求是保证交易对象的身份真实性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否认性。通过对校园电子商务系统的整体规划可以提高其安全需求。
3校园电子商务安全解决方案
3.1校园电子商务安全体系结构。
校园电子商务安全是一个复杂的系统工程,因此要从系统的角度对其进行整体的规划。根据校园电子商务的安全需求,通过对校园人文环境、网络环境、应用系统及管理等各方面的统筹考虑和规划,再结合的电子商务的安全技术,总结校园电子商务安全体系本论文由整理提供结构,如图所示:
上述安全体系结构中,人文环境层包括现有的电子商务法律法规以及校园电子商务特有的校园信息文化,它们综合构成了校园电子商务建设的大环境;基础设施层包括校园网、虚拟专网VPN和认证中心;逻辑实体层包括校园一卡通、支付网关、认证服务器和本论文由整理提供交易服务器;安全机制层包括加密技术、认证技术以及安全协议等电子商务安全机制;应用系统层即校园电子商务平台,包括网上交易、支付和配送服务等。
针对上述安全体系结构,具体的方案有:
(1)营造良好校园人文环境。加强大学生本论文由整理提供的道德教育,培养校园电子商务参与者们的信息文化知识与素养、增强高校师生的法律意识和道德观念,共
同营造良好的校园电子商务人文环境,防止人为恶意攻击和破坏。
(2)建立良好网上支付环境。目前我国高校大都建立了校园一卡通工程,校园电子商务系统可以采用一卡通或校园电子帐户作为网上支付的载体而不需要与银行等金融系统互联,由学校结算中心专门处理与金融机构的业务,可以大大提高校园网上支付的安全性。
(3)建立统一身份认证系统。建立校园统一身份认证系统可以为校园电子商务系统提供安全认证的功能。
(4)组织物流配送团队。校园师生居住地点相对集中,一般来说就在学校内部或校园附近,只需要很少的人员就可以解决物流配送问题,而本论文由整理提供不需要委托第三方物流公司,在校园内建立一个物流配送团队就可以准确及时的完成配送服务。
3.2校园网络安全对策。
保障校园网络安全的主要措施有:
(1)防火墙技术。利用防火墙技术来实现校园局域网的安全性,以解决访问控制问题,使只有授权的校园合法用户才能对校园网的资源进行访问本论文由整理提供,防止来自外部互联网对内部网络的破坏。
(2)病毒防治技术。在任何网络环境下,计算机病毒都具有不可估量的威胁性和破坏力,校园网虽然是局域网,可是免不了计算机病毒的威胁,因此,加强病毒防治是保障校园网络安全的重要环节。
(3)VPN技术。目前,我国高校大都已经建立了校园一卡通工程,如果能利用VPN技术建立校园一卡通专网就能大大提高校园信息安全、保证数据的本论文由整理提供安全传输。有效保证了网络的安全性和稳定性且易于维护和改进。
3.3交易信息安全对策。
针对校园电子商务中交易信息安全问题,可以用电子商务的安全机制来解决,例如数据加密技术、认证技术和安全协议技术等。通过数据加密,可以保证信息的机密性;通过采用数字摘要、数字签名、数字信封、数字时间戳和数字证书等安全机制来解本论文由整理提供决信息的完整性和不可否认性的问题;通过安全协议方法,建立安全信息传输通道来保证电子商务交易过程和数据的安全。
(1)数据加密技术。加密技术是电子商务中最基本的信息安全防范措施,其原理是利用一定的加密算法来保证数据的机密,主要有对称加密和非对称加密。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,而解密密钥不公开。
(2)认证技术。认证技术是保证电子商务交易安全的一项重要技术,它是网上交易支付的前提,负责对交易各方的身份进行确认。在校园电子商务本论文由整理提供中,网上交易认证可以通过校园统一身份认证系统(例如校园一卡通系统)来进行对交易各方的身份认证。
(3)安全协议技术。目前,电子商务发展较成熟和实用的安全协议是SET和SSL协议。通过对SSL与SET两种协议的比较和校园电子商务的需求分析,校园电子商务更适合采用SSL协议。SSL位于传输层与应用层之间,能够更好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。而且SSL只需要通过一次“握手”过程就可以建立客户与服务器之间的一条安全通信通道,保证传输数据的安全。
3.4基于一卡通的校园电子商务。
目前,我国高校校园网建设和校园一卡通工程建设逐步完善,使用校园一卡通进行校园电子商务的网上支付可以增强校园电子商务的支付安全,可以避免或降低了使用银行卡支付所出现的卡号被盗的风险等。同时,使用校园一卡通作为校园电子支付载体的安全保障有:
(1)校园网是一个内部网络,它自身已经屏蔽了绝大多数来自公网的黑客攻击及病毒入侵,由于有防火墙及反病毒软件等安全防范设施,来自外部网络人员的破坏可能性很小。同时,校园一卡通中心有着良好的安全机制,使得使用校园一卡通在校内进行网上支付被盗取账号密码等信息的可能性微乎其微。超级秘书网
(2)校园一卡通具有统一身份认证系统,能够对参与交易的各方进行身份认证,各方的交易活动受到统一的审计和监控,统一身份认证能够保证网上工作环境的安全可靠。校园网络管理中对不同角色的用户享有不同级别的授权,使其网上活动受到其身份的限制,有效防止一些恶意事情的发生。同时,由于校内人员身份单一,多为学生,交易中一旦发生纠纷,身份容易确认,纠纷就容易解决。
4结束语