想必大家在写论文的时候都会遇到烦恼,小编特意整理了一些《vpn技术论文(精选5篇)》的文章,希望能够很好的帮助到大家,谢谢大家对小编的支持和鼓励。【摘要】隨着互联网的快速发展,网络已渗透进人类日常生活的方方面面,手机、pad、电脑均可以随时随地接入到互联网,对于企业来说,基于互联网的移动办公用户数量也在不断增长,如何保障移动办公用户方便、快捷、高效、安全接入到企业内网,已经成为当前企业需要研究的重要课题。本文介绍通过SSLVPN技术构建安全高效的企业移动访问系统。
基于VPN技术及其应用的研究
摘要:随着现代信息技术地快速发展,各种新技术应运而生,其中VPN技术就是一种全新的计算机技术。本文就是攫取了VPN技术为主要研究对象,对其具体概念、工作原理、特征以及关键技术等方面进行了阐述,然后论述了VPN计算的实际应用。
关键词:VPN技术;应用;隧道技术
一、引言
当前,信息化发展程度不断深化,现有的因特网服务的无所不在以及专线无法比拟的低价位等方面的优势,使得有很多企业开始运用VPN技术在因特网上构建自己的私有企业网络或是网站。所谓VPN技术,中文全称为“虚拟专用网络”,Virtue Private Network,它主要是指在两台计算之间所构建成的一条专用连接,最终达到在共享网络或者公共网络上对私有数据进行快捷化的传输的目标,也可以将其认为VPN计算为一种“化公有为私有”的先进性的信息技术。这种虚拟技术对于网络的安全性的提高具有十分重要的促进作用。利用因特网的资源来构建虚拟专用网络已经成为了一种全新的选择,它开业对企业内部网络进行很好地扩展,可以帮助远程用户、移动用户以及公司分支机构之间建立一种安全、可靠、可信的网络安全连接,而且还可以确保数据的安全可靠传输,提高数据的安全性以及保密性。基于以上关于VPN技术的种种优点,该技术得到了较为广泛地应用。本文就是攫取了VPN技术为主要研究对象,对其具体概念、工作原理、特征以及关键技术等方面进行了阐述,然后论述了VPN计算的实际应用。
二、VPN概念
VPN(虚拟专用网络)技术是将公用网络作为信息传输的媒体,在进行加密、封装、认证和密阴交换技术后在公用网络上创建了一条专用的网络通道,这样一来,合法的用户就能够对网络内部具有的数据进行访问。其能够代替专线,很好的将单位移动员工以及远程的分支机构与单位内部的网络相连接,VPN对所有用户端都是公开的,用户实际使用过程中如同采用一条专用线路进行信息交流与传递。要想确保VPN有效的连接,首先,单位内部网络就必须具备关于VPN方面的服务,同时,VPN还要与单位内部网络以及因特网进行连接。当连接服务器的计算机利用VPN连接和单位内部网络的服务器进行信息交流与传递时,先由互联网服务(ISP)将全部数据输送到VPN中,然后由VPN服务将全部数据输送到单位内部网络的目标服务器中。另外,VPN的工作原理是将需要进行机密数据传输的两个端点同时与公用网络进行连接,如果机密数据需要进行传输时,就可以利用端点上的VPN设备在公用网络上创建一条专用的网络通道,而且还要将全部数据进行加密再在网络上进行传输,从而确保机密数据的传输是安全的。
三、VPN特征
(一)VPN的优势
首先,其成本较低;和专用网络相比较,通过互联网服务(ISP)构建起的VPN能够大大降低信息交流与传递过程中所使用的费用,并且,也使得单位减少了人力与物力的投入量;其次,将网络设计进一步简化;凡是通过ISP的,单位只需要简单的安装、配置与管理远程链路;另外,实现了网络安全目标;数据传输前的用户认证与VPN传输过程中的安全以及加密協议使得网络的安全性进一步提高。第四,容易扩展;要想将VPN的容量与覆盖范围进一步扩大,单位只需要与ISP签订一份新的合约即可。第五,其可以随时的与合作伙伴进行联网。第六,掌握了主动权。
(二)VPN的劣势
首先,虽然VPN设备供应商能够为外联网服务或者远程办公室的专线提供诸多有效的方式,但是VPN服务提供商只对数据在其的管辖范围内的性能予以保证,如果超出了其的管辖范围,那么,就无法对数据的安全性进行保证。其次,各个厂商的VPN在管理与配置管理上具有较大的难度,因此,就必须对各种厂商的实际执行方式与术语进行全面的了解。
四、VPN的关键技术
(一)安全隧道技术
其主要是通过将即将传输的原始信息进行加密与协议封装处理后,然后嵌套将其放置到另外一种协议的数据包,最后输送到网络中,传输过程与普通数据包相同。这样的一种处理方法,只有宿端与源端这两种用户才能将隧道中具有的嵌套信息进行充分的解释与有效的处理,对于其他用户来说,这些信息毫无意义。其以加密与信息结构变换相结合的方式为主,并不只是一种单纯的加密技术。
(二)用户认证技术
在正式隧道进行连接前,应对用户的身份进一步确认,以确保系统将其自身具有的资源访问控制或者用户授权全面发挥。用户认证技术已趋于成熟,所以,应对现有技术的集成进行充分的考虑。
(三)访问控制技术
提供VPN服务的相关者和提供最终网络信息资源的相关者应共同协商明确特定用户对特定资源所拥有的访问权限,从而对用户的细粒度访问进行有效的控制,这在一定程度上对信息资源进行了良好的保护。
(四)密阴管理技术
这一技术的主要任务就是怎样才能在公用网络上有效的、安全的将密阴进行传递而不会被盗取。当前的密阴管理技术有两种类型,一个是因特网简单密阴交换协议(SKIP),一个是安全关联和密钥管理协议(ISAKMP)。前者主要是通过Diffie-Hellman的验算法则,在网络上将密阴进行传输;后者双方分别有两把密阴,主要分为公用与私用。
(五)加解密技术
这一技术在数据交流与传递中是一项较为成熟的技术,VPN可以直接的利用这一技术。VPN中的加密技术主要是通过安全通讯协议格式(IPSec)中的ESP来实现。由发送者在数据发送之前将数据进行加密,当数据传输给接收者时再由接收者将加密的数据进行解密,具体算法类型有对称加密算法、不对称加密算法等,比如DES、RSA。
对称加密算法,信息交流与传递双方共享一个密阴;发送者在使用密阴时将明文进行加密,使其变为密文;接收者也使用该密阴将密文进行解密,让其变为明文,这一算法具有较快的运算速度。不对称加密算法主要是信息交流与传递双方分别使用两个不同的密阴,一个是只有发送者知道的密阴,另一个则是公开的密阴,其不需要采取任何的保密措施。在信息交流与传递过程中,发送者将接收者的公开密阴对信息进行加密,还可以使用发送者的秘密密阴将部分消息或者全部消息加密,进行数字签名。接收者在收到消息后,采用自己的私有密阴对消息进行解密,并且利用发送者的公开密阴将数字签名进行解密,对发送者身份进行验证。
(六)使用者与设备身份认证技术
首先,CHAP;这是采用MD5对协商加密身份验证的一种安全形式,实际响应过程中通过质询—响应机制与单向MD5散列;其次,EAP;为了能够适应采用其他安全设备的远程访问用户进行身份验证的实际需求,应通过EAP,这样能够对诸多身份验证方案予以支持,具体涵盖了一次性密码、令牌卡、使用智能卡的公钥身份验证、证书以及其他身份方面的认证。同时,采用EAP还能够有效的避免暴力攻击与密码猜测现象的发生。另外,MS—CHAP与CHAP相似,主要对远程Windows工作站进行身份验证,实际响应过程中,采用质询—响应机制与单向加密。同时,MS—CHAP不会要求采用原文或者可逆加密密码。MS—CHAP V2属于第二版的质询握手身份验证协议,其不仅能够提供相互身份验证,同时还能够使得初始数据密钥变得更为强大,发送信息与接收信息过程中所使用的密钥不同。
五、VPN的应用
根据用户要求的不同,VPN的解决方案有三种,分别为远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网,这三种类型的VPN分别与传统的远程访问网络、企业内部互联网以及企业网与有关合作伙伴的企业网而组成的外联网相对应。
(一)Access VPN
其主要是通过一个拥有与专用网络策略相一致的共享基础设施,对企业内部网或者外部网提供远程访问。它能够让用户不限时间、不限地点的根据自身所需的方式对企业资源进行访问。Access VPN涵盖了模拟、拨号、数字用户线路、移动IP与电缆技术,可以安全的和移动用户、远程工作者进行连接。Access VPN对于内部人员移动比较适用。当员工出差时,可以利用当地的ISP所提供的VPN服务,与企业内部的VPN网间连接器构建一条私有的隧道。远程用户拨号认证系统可以对员工进行验证和授权,以确保连接的安全性,并且所承担的电话费用较低。其具有以下几个优点:大大降低了有关调制解调器与终端服务设备所使用的资金与费用,进一步简化网络;其次,具有较大的扩展性,对加入网络的新用户的管理与安排较为简便;另外,能够将工作重心从管理与保留的运作拨号网络的工作者转到企业的核心业务中。
(二)Extranet VPN
随着信息化社会的到来,所有企业对于信息处理方式越来越重视。总是希望能够给客户提供即方便又快捷的信息服务,利用多种渠道对客户的实际需求进行全面的了解,并且各个企业间也形成了良好的合作机制,信息交换次数越来越多。因特网提供了坚实的基础以促进其良好的发展,那么,怎样通过因特网对信息进行有效的管理,这是企业发展过程中一个永恒的主题。采用VPN技术能够组建安全的外联网,在提供有效的信息给客户和合作伙伴的同时,还增强了自身内部网络的安全性。它主要通过一个使用专用连接的共享基础设施,将供应商、合作伙伴以及客户与企业内部网进行连接。企业和专用网络的政策完全一致,涵盖了安全、可管理性、服務质量、可靠性。它的优点是能够有效的对外部网进行部署与管理,在连接外部网时,可以采用与内部网及远程访问VPN同样的架构以及协议进行部署。不同之处就是接入许可,只允许外部网的用户有一次机会与合作伙伴的网络进行连接。
(三)Intranet VPN
当前,随着社会的不断发展,有更多的企业需要在世界范围领域内构建起属于自己的办事机构、研究所以及分公司等,诸多分公司间采用的传统网络连接方式通常是以租用专线为主。那么,随着分公司不断增多和业务规模的进一步扩大,网络结构越来越复杂,费用不断攀升。因此,应充分利用VPN特性在因特网上构建世界范围领域内的Intranet VPN。通过采用Intranet的线路能够确保网络的互联性,采用隧道及加密等VPN特性能够有效的确保信息在整个Intranet VPN上安全的进行传输。Intranet VPN主要是采用一个专用连接的共享基础设施,对企业总部、分支机构以及远程办事处进行连接。企业所使用的政策与专用网络完全一致,具体涵盖了安全、服务质量、可管理性与可靠性。它具有的优势是:能够进一步降低WAN带宽的费用;能够对灵活的拓扑结构进行使用,涵盖了整个孔网连接;新的站点连接更快、更加的简捷;通过设备供应商WAN的连接冗余,能够将网络的使用时间进一步延长。
六、结论
综上所述可知,应用VPN技术能够将网络的运营成本大大降低,确保资源具有较高的利用效率,我们应大力推广。随着信息化进程的不断加快,尤其是电子政务、电子商务以及远程教育等被广泛的应用,VPN技术将会发挥着更大的优势,其在今后网络安全中占有重要地位,同时还是有效解决远程网络互联的最佳方案,市场发展与应用前景良好。
参考文献:
[1]丘晖,孙政顺.知识管理系统的构建及其策略[J].计算机工程与应用,2001,37:4
[2]孙为清,赵轶群.VPN隧道技术[J].计算机应用研究,2000,17,8
[3]王君,樊治平.一种基于Web的企业知识管理系统的模型框架[J].东北大学学报(自然科学版),2003,2
[4]徐翔鹏.VPN技术在数字图书馆中的应用[J].信息系统工程,2010,5
[5]刘渝.VPN技术在数字图书馆中的应用[J].现代情报,2009,29,9
[6]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002
[7]高海应,薛元兴,辛阳.VPN技术[M].北京:机械工业出版社,2004
[8]张铭.VPN技术及其在校园网中的应用[J].福建电脑,2008,1
[9]李顺新,陈建勋.虚拟专用网技术及其应用的研究[J].网络安全,2005,3
[10]赵云华.VPN技术在图书馆资源共享中的应用[J].图书馆界,2008,3
作者:房宁
【摘 要】VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的信息安全体系中发挥着重要的作用。
【关键词】VPN;隧道技术;加密技术
0.引言
在计算机网络已融入全球社会生活的方方面面的时代,高度敏感的政治经济数据,公共生活的基础网络,个人信息的隐私安全都计算机网络的安全性、保密性、可靠稳定性,对于企业和一些跨区域专门从事特定业务的部门,从经济实用性、信息安全性、数据传输可靠性上来看,VPN技术无疑是网络安全技术中一种不错的选择。下面就VPN技术的实现一下粗浅的分析:
1.VPN简介
虚拟专用网(VirtuaIPrivateNetwork,VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户跨区域的通信费用,同时提供了比传统方法更强的安全性和可靠性。VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Internet或Intranet。
VPN可分为三大类:
(1)企业各部门与远程分支之间的IntranetVPN。
(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN。
(3)企业与合作伙伴、客户、供应商之间的ExtranetVPN。
在ExtranetVPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,VPN设备应该能够与不同厂家生间的VPN设备进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议包括IPSec、点到点隧道协议(PointtoPoint Tunneling Protocol,PPTP)、第二层隧道协议(layer2 Tunneling Protocol,I,2TP)等。
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
2.隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。隧道协议可分为第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPsec。它们的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。
隧道技术有很多好处,例如在拨号网络中,用户大都接ISP分配的动态IP地址,而企业网一般均采用防火墻、NAT等安全措施来保护自己的网络, 企业员工通过ISP拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道协议后, 企业拨号用户就可以得到 企业内部网IP地址, 通过对PPP帧进行封装, 用户数据包可以穿过防火墙到达企业内部网。
2.1 GRE (Generi-cRoutingEncapsulation)
GRE主要用于源路由和终路由之间所形成的隧道。例如,将通过隧道的报文用一个新的报文头(GRE报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时,GRE报文头被剥掉,继续原始报文的目标地址进行寻址。GRE隧道通常是点到点的,即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点,即一个源地址对多个终地址。这时候就要和下一条路由协议(Next-HopRoutingProtocol,NHRP)结合使用。NHRP主要是为了在路由之间建立捷径。
GRE隧道用来建立VPN有很大的吸引力。从体系结构的观点来看,VPN就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接,配置成一个或多个隧道。在GRE隧道技术中人口地址用的是普通主机网络的地址空间,而在隧道中流动的原始报文用的是VPN的地址空间,这样反过来就要求隧道的终点应该配置成VPN与普通主机网络之间的交界点。这种方法的好处是使VPN的路由信息从普通主机网络的路由信息中隔离出来,多个VPN可以重复利用同一个地址空间而没有冲突,这使得VPN从主机网络中独立出来。从而满足了VPN的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族,减少实现VPN功能函数的数量。还有,对许多VPN所支持的体系结构来说,用同一种格式来支持多种协议同时又保留协议的功能,这是非常重要的。IP路由过滤的主机网络不能提供这种服务,而只有隧道技术才能把VPN私有协议从主机网络中隔离开来。基于隧道技术的VPN实现的另一特点是对主机网络环境和VPN路由环境进行隔离。对VPN而言主机网络可看成点到点的电路集合,VPN能够用其路由协议穿过符合VPN管理要求的虚拟网。同样,主机网络用符合网络要求的路由设计方案,而不必受VPN用户网络的路由协议限制。
虽然GRE隧道技术有很多优点,但用其技术作为VPN机制也有缺点,例如管理费用高、隧道的规模数量大等。因为GRE是由手工配置的,所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变,隧道要重新配置。隧道也可自动配置,但有缺点,如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路,会极大恶化路由的效率。除此之外,通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话,就会影响路由发送速率的能力及服务性能。
GRE隧道技术是用在路由器中的,可以满足ExtranetVPN以及IntranetVPN的需求。但是在远程访问VPN中,多数用户是采用拨号上网。这时可以通过L2TP和PPTP来加以解决。
2.2 L2TP和PPTP
L2TP是L2F(Layer2Forwarding)和PPTP〕的结合。L2TP结合了L2F和PPTP的优点, 可以让用户从客户端或访问服务器端 起VPN 连接。L2TP是把链路层PPP 帧封装在公共网 络设施如IP、ATM、帧中继中进行隧道传输的封装协议。隧道的建立有两种方式即:“用户初始化”隧道和“NAS初始化”(NetworkAccess Server)隧道。前者一般指“主动’,隧道,后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的,而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:
a.用户通过Modem与NAS建立连接。
b.用户通过NAS的L2TP接入服务器身份认证。
c.在政策配置文件或NAS与政策服务器进行协商的基础上,NAS和L2TP接入服务器动态地建立一条L2TP隧道。
d.用户与L2TP接入服务器之间建立一条点到点协议(PointtoPoint
Protocol,PPP)访问服务隧道。
e.用户通过该隧道获得VPN服务。
与之相反的是,PPTP作为“主动”隧道模型允许终端系统进行配置,与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且,PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下:
a.用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务。
b.用户通过路由信息定位PPTP接入服务器。
c.用户形成一个PPTP虚拟接口。
d.用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道。
e.用户通过该隧道获得VPN服务。
在L2TP中,用户感觉不到NAS的存在,仿佛与PPTP接入服务器直接建立连接。而在PPTP中,PPTP隧道对NAS是透明的;NAS不需要知道PPTP接入服务器的存在,只是简单地把PPTP流量作为普通IP流量处理。
采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全,因为L2TP接入服务器能够确定用户从哪里来的。L2TP主要用于比较集中的、固定的VPN用户,而PPTP比较适合移动的用户。
3.加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。在链路层中,目前还没有统一的加密标准,因此所有链路层加密方案基本上是生产厂家自己设计的,需要特别的加密硬件。
4.QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使得VPN用户能够降低成本、提高效率、增强安全性,VPN将是广大用户的最终选择。
5.小结
最后需要注意的是,无论何种隧道技术,一旦进行加密或验证时,都会对系统的性能造成影响。密码算法需要消耗大量的处理器时间,而且大多数密碼算法还有一个建立准备过程,如DES在内部使用还需将56位长的密钥扩成768位长。如果数据本身很短,这种 建立所浪费的时间不容小视,它会使系统性能大大下降。MD5和SHA1算法的建立时间也不容忽视,例如IPSec对1500字节数据包的延迟可以达到240毫秒,所以在选择安全性时必须选择高性能的设备。 [科]
【参考文献】
[1]《IPSec VPN设计》Vijay Bollapragada、Mohamed Khalid、Scott Wainner,袁国忠.人民邮电出版社,2012,11.
[2]《MPLS和VPN体系结构(第2卷)(修订版)》佩佩恩雅克(Ivan Pepelnjak),吉查德(Jim Guichard),爱普卡(Jeff Apcar),孙余强.人民邮电出版社,2012,10.
[3]《端到端QoS网络设计》西盖蒂 (Tim Szigeti),哈特林(Christina Hattingh),田敏,宋辉.人民邮电出版社,2012,07.
作者:宋家俊
【摘要】 隨着互联网的快速发展,网络已渗透进人类日常生活的方方面面,手机、pad、电脑均可以随时随地接入到互联网,对于企业来说,基于互联网的移动办公用户数量也在不断增长,如何保障移动办公用户方便、快捷、高效、安全接入到企业内网,已经成为当前企业需要研究的重要课题。本文介绍通过SSL VPN技术构建安全高效的企业移动访问系统。
【关键字】 SSL VPN 安全 高效
一、业务需求
对于企业来说,员工无论出差、在外开会还是在家里办公,都有接入企业内网的需求。传统的IPSEC VPN网络存在组网不灵活、需要安装客户端软件、对用户访问控制不严格等问题。
SSL VPN 作为新型的轻量级远程接入方案,可以为企业提供一套可管理、可认证、安全的远程访问企业内网资源的解决方案。
二、实现技术
SSL VPN 技术,指的是远程接入用户利用标准Web浏览器内嵌的SSL(Security Socket Layer)封包处理功能,连接企业内部的SSL VPN网关,然后SSL VPN网关可以将报文转向给特定的内部服务器,从而使得远程接入用户在通过验证后,可访问企业内网特定的服务器资源。
2.1 SSL VPN系统支持所有网络应用、全面适应各种平台
借助于浏览器技术,VPN网关可以支持所有网络环境,只要浏览器能够上网就可以使用SSL VPN。所支持的浏览器类型包含Html/Dhtml, Jsp, Asp,Java applet, Active,Cookies等各种Web技术,支持包括IE、FireFox ,Safari,Google chrome,Opera等主流浏览器;同时支持微软Windows系列等操作系统。为业务访问提供最广泛的兼容性。
2.2 SSL VPN系统提供安全的身份认证
VPN系统支持LocalDB、LDAP/AD、Radius、第三方CA、自建CA、Dkey、短信认证(短信猫和短信网关)、硬件特征码、动态令牌多种安全认证方式,最大限度地保证了接入用户的合法性。
移动用户身份认证采用天威诚信CA和 VPN系统相结合的认证方式,用户使用颁发证书的USB KEY登录VPN系统,通过KEY+PING码的方式实现双因素认证。
2.3客户端安全检查从端点开始保障网络安全
VPN系统提供远程客户端安全扫描功能,可以要求远程计算机必须达到指定的安全级别,如远程计算机必须是XP SP2系统,必须安装指定的个人版防火墙软件。
2.4访问权限控制功能提供最细致的权限管理
VPN系统通过独特的角色管理功能,提供了细致到每个URL和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权,一个用户可以赋予多个角色以适合各种复杂的组织结构。
基于角色的访问限制为企业网络提供了较强的安全性。通过行为跟踪引擎,管理员还可以查看远程接入用户的所有访问记录。
三、技术应用
3.1南北多点冗余架构,满足高可用性需求
Web Agent动态选路,提高南北互访接入效率;
多台设备之间实现冗余及负载均衡,避免单点故障;
采用HTP协议技术能够显著提升存在丢包和延时网络的传输速度。比不采用该技术提速30%-50%。
? 动态压缩技术,提高压缩效率,降低系统负载,从而提高整体的数据处理速度,提高业务的访问速度。
3.2统一域名接入访问,满足易用性需求
移动用户不论身处何地,只要能够访问互联网,在浏览器中输入URL网址,即可打开VPN登录页面,通过身份认证后即可访问企业内网资源。
3.3访问权限控制功能提供最细致的权限管理
SSL VPN资源控制灵活,可以对用户的权限、资源、服务、文件进行更加细致的控制,与第三方认证系统(如:radius、AD等)结合更加便捷。
SSLVPN的安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。
3.4异地设备统一管理
SSL VPN分布式集群通過主节点和分节点的分级设置实现异地统一配置管理。
在整网SSL VPN集群节点中,只允许拥有一个主节点设备,只有主节点享有配置的权限,其余加入到该分布式集群网中的SSL VPN设备通过与主节点进行配置数据的同步保证分布式配置数据的一致性。配置数据在进行同步时都是采用加密的形式,保证配置信息的安全性。
四、综述
本文首先讨论了SSL VPN技术的相关原理,结合企业自身的业务需求,实现了集团层面的移动访问系统建设工作。移动访问VPN系统上线后,该系统已拥有用户近5000人,分布在全国各地区各单位。系统运行稳定,是各单位用户远程接入的首要选择。
作者:陈传伟
摘 要:随着军队信息化建设的深入开展,军用网络在部队建设中发挥的作用也越来越明显,因此保障军用网络的安全对于提高部队信息化建设水平、保障军事信息的安全传输具有十分重要的意义。本文通过研究不同种类的VPN并分析军用网络的安全需求,将虚拟专网技术运用到军用网络的安全保障中去。
关键词:军用网络 VPN 网络安全
VPN Appliance on Secure of Military Network
Li Zhao-peng,Zhao Ming,Li ying
(Aviation University of Airforce Changchun Jilin 130022)
Key word: Military Network; VPN; Network
1 VPN技術简介
1.1 VPN的概念
VPN(Virtual Private Network虚拟专用网络)是利用隧道封装、认证、加密、访问控制等多种网络安全手段,在公用网络上建立起专用链路的网络安全技术。虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用互联网或其它公共互联网络等基础网络资源为用户创建专用的安全隧道[1]。
1.2 VPN的分类
按业务分类VPN共有三种类型,它们分别是远程访问虚拟专网(Access VPN)、内部虚拟专网(Intranet VPN)和扩展的内部虚拟专网(Extranet VPN)。按实现技术分类,工作在链路层的隧道协议:点到点隧道协议(PPTP)、第二层转发协议(L2F)、第二层隧道协议(L2TP)。工作在网络层的三层隧道协议:如通用路由封装协议(GRE)、IP安全协议(IPSec)。介于二层和三层之间的隧道协议:如MPLS隧道协议。工作在应用层的安全协议:如SSL协议。
2 VPN技术在军用网络中的应用研究
依据虚拟专网的实现方式,结合部队的实际需要, VPN技术在军用网络中的运用可有以下几种方式。
2.1 构建点到点的安全通信链路
军网通信过程中,用户间往往要构建端到端的安全传输通道。在构建端到端的安全链路中可选取应用于网络层的IPSec协议。构建对端安全链路过程中,可将IPSec协议嵌入到安全链路两端的接口设备中,通过该接口设备将计算机与军用网络连接,通过AH和ESP等协议,实现数据的身份认证、加密处理、解密处理。
保密设备由网卡芯片与IPSec芯片构成,包含网络协议解析、身份认证、密钥随即生成、加解密编码四部分模块组成。在进行通信时,首先要对双方进行身份认证,若为非法用户则断开逻辑链接,对于合法用户则为双方同步生成随机的工作密钥,此后发送方用此密钥对通信数据进行加密,而接收方亦用相同的密钥进行解密。
2.2 构建单用户到内部局域网的安全访问通道
当军网用户想要访问某军事单位内部资源时,需要构建一条单用户到内部网络的安全访问通道。安全访问链路构建可用L2TP、IPSec双重安全协议[3]。基于IPSec的L2TP具有两种隧道类型,自发型隧道和强制型隧道。强制隧道需要有服务提供商ISP提供认真服务器,在这种环境下,存在二个认证服务器,即ISP内的认证服务器LAC和内部网内的认证服务器LNS。自愿隧道模式用户主机充当了LAC,用户自主对L2TP进行配置和管理[4]。
军用网络中构建访问型VPN时,在具有信息资源优势的军事单位内部网络中建立认真服务器LNS。考虑军用网络中操作的可行性,将L2TP和IPSec均安装于远程用户主机上,由远程访问用户充当LAC,远程用户发送访问请求到LNS,经验证后,搭建立L2TP链路。
2.3 构建局域网间的安全通信链路
由于军事单位所处地域分散,各机要单位或密级较高的军事单位内部局域网与局域网之间的安全通信,依托军用网络构建一个安全、便捷、低成本的专用线路,连接各单位内部局域网,是解决这一问题的有效途径。
以IP安全协议体系IPSec为基础,面向网关到网关的VPN应用环境,设计了一种基于IPSec协议的VPN网关。安全网关的设计原理为,将IPSec协议与IP层相结合,形成IPSec+IP协议,对流入网关的数据包,进行身份验证和解密处理等处理。
3 结束语
将VPN技术运用到军用网络中,在军用网络与互联网物理隔离的基础上,又增添了一道防御措施,有效地保证军事信息的安全传输。但随着各类VPN技术的运用,存在着需构建与军用网络相适应的管理机制和服务提供单位制的问题,相信随着研究的继续深入,将会得到解决,进一步提升部队信息化建设程度。
参考文献
[1]戴宗坤,唐三平.VPN与网络安全[M].北京:电子工业出版社,2002.
[2]焦秋光.军事装备管理学[M].北京:军事科学出版社.2003.
[3]王达.网络安全[M].北京:电子工业出版社,2006.
[4]姜颖.基于IPSec和L2TP的访问型解决方案研究[J]. 电脑知识与技术.2009.
作者:历兆鹏 赵铭 历颖
摘要:该文对VPN(虚拟专用网)技术进行了简介,介绍了VPN技术的优势及关键技术,并将VPN技术应用于房地产中介行业实现了多个营业网点的网络互联。
关键词:VPN;虚拟专用网;房地产中介网络建设
随着房屋中介交易数量的不断增多及中介业务规模的逐渐增大,在各房屋中介系统的位置分布上形成了分散的地理格局,这些分布在各地的房屋中介系统会引发许多问题,比如说各地间如何安全地进行房屋交易信息的交换和信息的共享;身处外地的员工如何安全访问自身系统,使用自身资源,以及进行异地办公等。这些都将成为近期和未来急需解决的问题。
VPN(Virtual Private Network)技术的产生和出现,使得各地系统可以利用专线或网络拨号等公共网络实现连接。利用VPN能方便、快速、经济地将各地的系统连接在一起,作为对房屋交易系统的扩展和补充,可以协助远程使用者、建立安全并且可信的连接方式,且保证了数据的传输安全性。虚拟专用网络(VPN)恰能满足有这种需求,它也代表了英特网发展的一个重要方向[1-2]。
1 VPN技术简介
VPN并不是真正的专用网络,但是却实现了专用网络的功能。它是通过对网络上的数据加密后封装,使得私有数据能够在公共网络上传输,并且保证了私有网络安全的技术。其工作原理是将需要进行数据加密后再传输的端点连接到公网信道上,需要加密传输时,通过VPN设备在公网上建立虚拟的专用的网络络信道,并把所有的数据加密后利用这个信道传输,从而保证数据传输的安全性。
2 采用VPN技术具有的特殊优势
1)组网成本降低。VPN技术与别的网络技术是不同的,是独立于初始的协议的,并可有效兼容新技术,减少内部网络和外部网络所需要的网络配置和连接设备。在这个虚拟网络运行中,因它的稳定性能较好,不需要支付大量的成本就能进行维护和管理。这也是VPN技术被广为接受的最重要的特殊优势。
2)增强了安全性。VPN的基础是安全,因为用了英特网中的设备和信道作为连接链路基础,通过英特网实现数据传输就要考虑安全隐患问题。而VPN技术结合了几种安全技术,在信道上进行加密,接入了身份认证机制,使用自身的通信协议,这些都是VPN服务器在响应请求的时候需要识别和认证的。
3)具有网络的主控权力,能提升网络系统的功能。利用VPN并借助于网络服务提供者的服务和设施,来建立自己的专用网络,可以将自己内部的设备与外部网络实现安全的互相连接,这能有效地掌控专用网络的状况,且能依托于此来开展其它需要的各项活动,实现了网络扩充功能。
3 VPN的关键技术分析
VPN主要依赖于两种技术,隧道技术和安全技术,安全技术主要有密钥管理技术、访问控制技术和身份认证技术三个方面。
1)隧道技术:对于VPN的构建来说,隧道技术是它在构建时的关键技术,隧道技术是负责对要传输的原始数据加密、进行协议封装、压缩编码处理,再在外层嵌套其它协议,最后将经过上述一系列处理过的数据包送入网络信道的,与普通数据包进行一样的传输。这样,只有该VPN授权的客户端用户才能对隧道里的数据包处理和解释,而其它用户是无法处理这些数据包的,隧道技术如同在公网上为信息传输和交换的两方建立一套专用的、隐蔽性很强的数据信道一样,而这个信道是由一系列的协议构成的[3]。
2)安全技术:VPN的安全技术基本是由身份认证技术、数据加密技术和密钥交换及管理技术组成。由认证技术来防止数据被伪造和修改,由加密技术来防止信息被破解,由密钥交换及管理技术来保证数据的安全传输,整个VPN系统采用了较为复杂的算法进行加密,保证数据不会被盗取和窃听,保证分布在不同地方的专网在公网上安全。
4 VPN在房地产中介行业的应用
现在房地产中介公司都有自己的管理系统,但随着公司业务的发展,房屋信息和营业网点不断的增加,各连锁店之间,各连锁店与区域店之间的系统相对独立,对于房源信息,客源信息缺少共享,各区域店与总部之间的缺少互相沟通。网络信息建设急待解决。
随着科学技术的不断进步,VPN技术引起了广泛注意。它是通过在公网上建立虚拟连接来传输私有的信息,建立起安全、可靠、经济、高效的传输链路。利用VPN技术实现了房地产中介公司总部和下属多个营业网点的网络互联,各营业网点的数据可以实时、快速、稳定的和总部信息中心进行同步。不但为企业提供了数据实时传输与共享,极大地提高了工作效率。同时,还大大的减轻了公司的维护成本。
5 小结
目前,房地产中介公司系统主要包括内部的OA系统,房源管理系统,客源管理系统等 。随着房地产中介业务规模的不断扩大,需要加快信息化处理与建设的步伐。VPN技术的应用,使得各分店之间,各分店与区域店之间,以及分店、区域店与总部之间建立起安全、快捷、高效的网络平台,为企业的快速发展提供了坚实网络基础。由此可见,VPN在房地产中介的网络发挥越来越重要的作用。
参考文献:
[1] 陆炜.社区卫生服务站与医院信息系统的网络连接方案[J].医疗设备信息,2007(05).
[2] 陈友生,姜峻.VPN技术在医院网络拓展中的应用[J].医疗卫生装备,2007(04).
[3] 陈兴刚,孟传良,VPN 及其隧道技术研究[J].电脑知识与技术,2008(23).
作者:雷文杰 姚庆安
注:本文为网友上传,旨在传播知识,不代表本站观点,与本站立场无关。若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:iwenmi@163.com。举报文章
