時間:2023-03-16 15:51:04
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇vpn技術論文,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2010)09-0083-02
1 引言
隨著我院辦學形式的轉變,先后在北京和杭州成立的相關研究所,以及在杭州的浙江技師學院分校。現要求使各分部區能訪問主校區的校內資源,保證連接和訪問的安。所以必須尋找一種新的互連方式解決校區間數據傳遞或教職工在校外訪問校內資源中遇到的問題。價格上要求實惠,數據要求安全,因此虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸,虛擬專用網還可以保護現有的網絡投資。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
2 VPN簡介
2.1 虛擬專用網
虛擬專用網(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機制仿真出一個私有的廣域網"是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。
2.2 VPN的實現技術
VPN實現的兩個關鍵技術是隧道技術和加密技術,同時QoS技術對VPN的實現也至關重要。
(1)VPN訪問點模型。首先提供一個VPN訪問點功能組成模型圖作為參考,如圖1所示。其中IPSec集成了IP層隧道技術和加密技術。
(2)隧道技術。隧道技術簡單的說就是:原始報文在A地進行封裝,到達B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。
2.3 VPN的主要特點
(1)安全保障。雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接,稱之為建立一個隧道,可以利用加密技術對經過隧道傳輸的數據進行加密,以保證數據僅被指定的發送者和接收者了解,從而保證了數據的私有性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。ExtranetVPN將企業網擴展到合作伙伴和客戶,對安全性提出了更高的要求。
(2)服務質量保證(QoS)。VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素;而對于擁有眾多分支機構的專線VPN網絡,交互式的內部企業網應用則要求網絡能提供良好的穩定性;對于其它應用(如視頻等)則對網絡提出了更明確的要求,如網絡時延及誤碼率等。所有以上網絡應用均要求網絡根據需要提供不同等級的服務質量。在網絡優化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。QoS通過流量預測與流量控制策略,可以按照優先級分配帶寬資源,實現帶寬管理,使得各類數據能夠被合理地先后發送,并預防阻塞的發生。
(3)可擴充性和靈活性。VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
(4)可管理性。從用戶角度和運營商角度應可方便地進行管理、維護。在VPN管理方面,VPN要求企業將其網絡管理功能從局域網無縫地延伸到公用網,甚至是客戶和合作伙伴。雖然可以將一些次要的網絡管理任務交給服務提供商去完成,企業自己仍需要完成許多網絡管理任務。所以,一個完善的VPN管理系統是必不可少的。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
3 VPN應用實例
利用VPN 較少的網絡設備及物理線路,使網絡的管理較為輕松。不論分校或遠程訪問用戶的多少,只需通過互聯網的路徑即可進入主校區網路。
結合我校的實際要求,采用美國網件產品FVL328、FVL318VPN產品,價格實惠,總體性能滿足要求,美國網件的VPN網絡解決方案不僅支持IPSEC等協議,以及DES、3DES、AES加密算法,同時還可通過IKE、共享秘鑰、PKI(X.509)進行身份認證等方式,加強內部網絡的安全性能。
FVL328、FVS318具有支持動態DDNS組建的IPSEC VPN網絡的功能, 并運用了產品自身的DDNS(動態域名解析)技術,整個VPN系統網絡使用方便、快速、圖形化的配置界面使維護和管理更簡單、建設費用低廉。VPN拓撲結構圖,如圖2所示:
在總校采用一臺FVL328作為中心端,在其他分校使用FVS318,整個VPN網絡通過認證密碼統一管理,形成一個集中管理的虛擬私有網絡,VPN傳輸使用IPSEC協議。對外安全邊界使用NETGEAR的寬帶防火墻技術屏蔽來自外部的各種可能攻擊。
總校可采用固定的IP地址和域名,各分校可以申請動態拔號ADSL寬帶線路, 通過從NETGEAR的VPN設備中申請獲得免費的DDNS(動態域名解析服務),從而可低成本地組建VPN網絡連接,結合美國網件公司的VPN防火墻FVL328和FVS318的先進安全策略技術,來實現實際需求和將來可能的需求. 各分院能夠直接訪問到母校的數據共享服務器資源, 同時又要保證數據能安全的在公網上進行傳輸.即實現母校與各分院之間數據和信息能夠安全、保密、高速、穩定的實時傳輸。
4 結語
文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時建立的安全專用虛擬網絡,用戶就節省了租用專線的費用,在運行的資金支出上,除了購買VPN設備,企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用,也節省了長途電話費。VPN技術戶廣泛用于校際間的數據傳送,也是企業的分支機構聯系數據的主要手段。
參考文獻
[1] 石冰.VPN的構建方法.安慶師范學院學報(自然科學版),2008,8(3).
組播VPN是基于MPLSL3VPN來實現組播傳輸的技術。如圖1所示,網絡中同時承載著兩個相互獨立的組播業務:公網實例、VPN實例A。公共網絡邊緣PE組播設備支持多實例。各實例之間形成彼此隔離的平面,每個實例對應一個平面。以VPN實例A為例,組播VPN指:當VPNA中的組播源向某組播組發送組播數據時,在網絡中所有可能的接收者中,僅屬于VPNA(即Site1、Site3或Site5中)的組播組成員才能收到該組播源發來的組播數據。組播數據在各Site及公網中均以組播方式進行傳輸。其中,實現組播VPN所需具備的網絡條件如下:(1)在每個Site內支持基于VPN實例的組播。(2)在公共網絡內支持基于公網實例的組播。(3)PE設備支持多實例組播,即支持基于VPN實例和公網實例的組播,并支持支持公網實例與VPN實例之間的信息交互和數據轉換。為了滿足以上條件,互聯網工程任務組(IETF)最終形成制定了以MD(MulticastDomain)組播域方案來實現組播VPN的標準。MD方案的基本思想是:在骨干網中為每個VPN維護一棵稱為Share-MDT的組播轉發樹。來自VPN中任一Site的組播報文都會沿著Share-MDT被轉發給屬于該MD的所有PE。MD是一個集合,它由一些相互間可以收發組播數據的VRF組成。其中,支持組播業務的VRF為MVRF,它同時維護單播和組播路由轉發表。PE收到組播報文后,如果其MVRF內有該組播組的接收者,則繼續向CE轉發;否則將其丟棄。不同的MVRF加入到同一個MD中,通過MD內自動建立的PE間的組播隧道(MT)將這些MVRF連接在一起,實現了不同Site之間的組播業務互通。每個MD會被分配一個獨立的組播地址,稱為Share-Group。當兩個MVRF之間通信時,用戶報文以GRE方式被封裝在骨干報文里通過MT進行傳輸,骨干報文的源地址為PE用來建立BGP連接所使用的接口IP地址,目的地址為Share-Group。
2民航數據通信網中組播VPN的實現
在民航數據通信網中實現組播VPN主要需完成骨干網絡的準備工作以及組播VPN設計與實施等工作。
2.1組播VPN的規劃設計民航ATM數據網華東地區ATM交換機上的RPM-PR板卡提供了MPLSVPN業務,目前部署的MPLSVPN業務網絡拓撲為星形結構,即由區域一級節點9槽RPM板卡作為P設備和路由反射器,而其他節點均為PE設備。華東地區ATM網絡中同時承載著兩個相互獨立的組播業務:ATM數據網公網組播實例和名為YJCJ2的用戶私網組播實例。VPN組播實例是通過在P和PE設備上部署實現的,網絡中,作為P和PE的RPM板卡上運行著公網組播實例,而作為PE的RPM板卡同時又運行著用戶私網組播實例。公網的組播實例是在所有RPM板卡上開啟組播應用。上海虹橋和浦東機場兩個節點的10槽RPM板卡負責接入用戶的VPN組播業務,所以需在這兩臺設備上部署MPLSVPN應用,并在這兩個用戶站點相應的VRF實例中開啟組播應用。在本案例中,VPN用戶接入側要求使用的是PIM密集模式,而民航數據網MPLSVPN公網則使用的是PIM稀松模式。在MPLSVPN網絡中不同用戶的VPN站點都是彼此邏輯獨立的,并且VPN用戶數據封裝MPLS標簽后通過公網的PE和P設備進行傳輸。對于VPN組播來說,數據的傳輸模式也是類似的。PE設備通過將該VPN實例中的用戶VPN組播數據報文封裝成公網所能“識別”的公網組播數據報文進行組播轉發。這種將私網組播報文封裝成公網組播報文的過程就叫做構造組播隧道(MT)。在PE上,每個VPN用戶的組播數據是通過不同的MTI(MulticastTunnelInterfac)組播隧接口在公網構造組播隧道,參見圖2。由于公網、VPN網以及用戶接入側各組播部署中都采用PIM協議啟用了組播應用,MPLSVPN中組播應用包含如下的PIM鄰居關系:(1)PE-P鄰居關系:指PE上公網實例接口與鏈路對端P上的接口之間所建立的PIM鄰居關系。(2)PE-PE鄰居關系:指PE上的VPN實力通過MTI收到遠端PE上的VPN實例發來的PIMHello報文后建立的鄰居關系。(3)PE-CE鄰居關系:指PE上綁定VPN實例的接口與鏈路對端CE上的接口之間建立的PIM鄰居關系。部署公網組播實例需在華東地區所有相關RPM板卡開啟組播服務,考慮到密集模式對RPM設備和骨干網資源的開銷,在民航ATM數據網中使用了PIM稀松模式。根據網絡的物理網絡拓撲模型,選取上海虹橋9槽RPM板卡作為RP。
2.2組播VPN的實施運行在MPLSVPN網絡中的P和PE設備上部署PIM協議,這些設備之間會形成PE-P鄰居關系,從而使得公網支持組播功能,并形成公網的組播分發樹。本案例中使用PIM稀松模式,即在虹橋和浦東機場節點的9、10槽RPM板卡的配置底層IGP路由協議的接口上部署PIM稀松模式,這樣就構造了公網的PIM共享樹。在傳輸用戶私網組播報文的PE上部署基于VRF實例的組播,一個VPN實例唯一制定一個Share-Group地址。同一個VPN組播域內的PE之間形成PE-PE鄰居,并形成該組播域的共享組播分發樹(Share-MDT)。在本例中就是在虹橋和浦東機場的10槽YJCJ2VRF實例中部署相應的defaultMDT地址239.255.0.5。用戶CE設備和PE連接CE的相應接口啟用組播,本例中使用PIM密集模式。這樣就形成了PE-CE鄰居關系。本例中是在虹橋和浦東機場節點的相應VPN業務端口配置PIM密集模式。當用戶有組播報文需要傳輸的時候,就將組播報文發送給PE的VRF實例,PE設備收到報文后識別組播數據所屬的VRF實例。用戶私網的數據報文對于公網是透明的,不論數據歸屬或類別,PE都統一將其封裝為公網組播數據報文,并以Share-Group作為其所屬的公網組播組。一個Share-Group唯一對應一個MD,并利用公網資源唯一創建一棵Share-MDT進行數據轉發。在該VPN中所有私網組播報文,都通過此Share-MDT進行轉發。如圖3所示,可以看到華東地區公網上的Share-MDT創建的過程。虹橋節點10槽RPM向9槽RPM(RP節點)發起加入消息,以Share-Group地址作為組播組地址,在公網沿途的設備上分別創建(*,239.255.0.5)表項。同時虹橋浦東機場節點也發起類似的加入過程,最終在MD中形成一棵以虹橋節點9槽RPM為根,以虹橋、浦東機場節點10槽RPM為葉的共享樹(RPT)。隨后,虹橋和浦東機場節點10槽RPM的公網實例向公網RP發起注冊,并以自身BGP的router-id地址作為組播源地址、Share-Group地址作為組播組地址,在公網的沿途設備上分別創建(20.51.5.6,239.255.0.5)和(20.51.5.3,239.255.0.5)表項,形成連接PE和RP的最短路徑樹(SPT)。在PIM-SM網絡中,由(*,239.255.0.5)和這兩棵相互獨立的SPT共同組成了Share-MDT。虹橋節點PE的私網組播報文在進入公網后,均沿該Share-MDT向浦東機場節點PE轉發。圖4是私網組播報文在公網中轉發的過程。當浦東機場節點的YJCJ2VPN用戶CE設備加入到虹橋節點數據源所在的組播組,此時由于這兩個站點部署為PIM-DM模式,虹橋節點組播設備會立刻將數據推送到虹橋節點10槽RPM的YJCJ2VRF實例中,并通過該VPN構建的Share-MDT在公網上以(20.51.5.6,239.255.0.5)構建的SPT進行公網組播報文傳輸。當公網組播報文被浦東機場10槽PE設備收到后會將其解封裝成原始的私網組播報文,并轉發給相應的接收CE,最終完成用戶私網組播數據在MPLSVPN網絡中的傳輸。
3總結
關鍵詞:VPN,管理,管理技術
一、VPN服務及其應用
VPN,即Virtual Private Network,是建立于公共網絡基礎之上的虛擬私有網絡,如利用Internet連接企業總部及其分支。VPN能夠給企業提供和私有網絡一樣的安全性、可靠性和可管理性等,并且能夠將通過公共網絡傳輸的數據加密。利用VPN,企業能夠以較低的成本提供分支機構、出差人員的內網接入服務。
如果訪問企業內部網絡資源,使用者需要接入本地ISP的接入服務提供點,即接入Internet,然后可以連接企業邊界的VPN服務器。如果利用傳統的WAN技術,使用者和企業內網之間需要有一根專線,而這非常不利于外出辦公人員的接入。而利用VPN,出差人員只需要接入本地網絡。論文寫作,管理。如果企業內網的身份認證服務器支持漫游的話,甚至可以不必接入本地ISP,并且使用VPN服務所使用的設備只是在企業內部網絡邊界的VPN服務器。
二、VPN管理
VPN能夠使企業將其內部網絡管理功能從企業網絡無縫延伸到公共網絡,甚至可以是企業客戶。這其中涉及到企業網絡的網絡管理任務,可以在組建網絡的初期交給運營商去完成,但企業自身還要完成許多網絡管理的任務。所以,一個功能完整的VPN管理系統是必需的。
通過VPN管理系統,可以實現以下目的:
1、降低成本:保證VPN可管理的同時不會過多增加操作和維護成本。
2、可擴展性:VPN管理需要對日益增加的企業客戶作出快速的反應,包括網絡軟件和硬件的平滑升級、安全策略維護、網絡質量保證QOS等。論文寫作,管理。
3、減少風險:從傳統的WAN網絡擴展到公共網絡,VPN面臨著安全與監控的風險。網絡管理要求做到允許公司分部、客戶通過VPN訪問企業內網的同時,還要確保企業資源的完整性。
4、可靠性:VPN構建于公共網絡之上,其可控性降低,所有必須采取VPN管理提高其可靠性 。
三、VPN管理技術
1、第二層通道協議
第二層通道協議主要有兩種,PPTP和L2TP,其中L2TP協議將密鑰進行加密,其可靠性更強。
L2TP提高了VPN的管理性,表現在以下方面:
(1)安全的身份驗證
L2TP可以對隧道終點進行驗證。不使用明文的驗證,而是使用類似PPPCHAP的驗證方式。論文寫作,管理。
(2)內部地址分配
用戶接入VPN服務器后,可以獲取到企業內部網絡的地址,從而方便的加入企業內網,訪問網絡資源。地址的獲取可以使用動態分配的管理方法,由于獲取的是企業內部的私有地址,方便了地址管理并增加安全性。論文寫作,管理。
(3)網絡計費
L2TP能夠進行用戶接口處的數據流量統計,方便計費。
(4)統一網絡管理
L2TP協議已成為標準的協議,相關的MIB也已制定完成,可以采用統一SNMP管理方案進行網絡維護和管理。
2、IKE協議
IKE協議,即Internet Key Exchange,用于通信雙方協商和交換密鑰。IKE的特點是利用安全算法,不直接在網絡上傳輸密鑰,而是通過幾次數據的交換,利用數學算法計算出公共的密鑰。數據在網絡中被截取也不能計算出密鑰。使用的算法是Diffie Hellman,逆向分析出密鑰幾乎是不可能的。
在身份驗證方面,IKE提供了公鑰加密驗證、數字簽名、共享驗證字方法。并可以利用企業或獨立CA頒發證書實現身份認證。
IKE解決了在不安全的網絡中安全可靠地建立或更新共享密鑰的問題,是一種通用的協議,不僅能夠為Ipsec進行安全協商,還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協議協商安全參數。
3、配置管理
可以使VPN服務器支持MIB,利用SNMP的遠程配置和查詢功能對VPN網絡進行安全的管理。
(1)WEB方式的管理
利用瀏覽器訪問VPN服務器,利用服務器上設置的賬戶登錄,然后將Applet下載到瀏覽器上,就可以對服務器進行配置。論文寫作,管理。用戶登錄后,服務器會只授權登錄的IP地址和登錄客戶權限,從而避免偽造的IP地址和客戶操作。而且利用這種方式,還解決了普通SNMP協議只有查詢沒有配置功能的缺點。
(2)分級統一管理
如果企業網絡規模擴大,可以對VPN服務器進行統一配置管理,三級網絡中心負責數據的收集與統計,然后向上層匯總。收集的數據包括VPN用戶數量、VPN用戶的數據流量等。通過分級管理,一級網絡中心就能夠獲取全部VPN用戶的數量、流量并進行統計,分析出各地情況,從而使用合適的方案。
4、IPSec策略
IPSec是一組協議的總稱,IPsec被設計用來提供入口對入口通信安全分組通信的安全性由單個結點提供給多臺機器或者是局域網,也可以提供端到端通信安全,由作為端點的計算機完成安全操作。上述兩種模式都可以用來構VPN,這是IPsec最主要的用途。
IPSec策略包括一系列規則和過濾器,以便提供不同程度的安全級別。論文寫作,管理。在IPSec策略的實現中,有多種預置策略供用戶選擇,用戶也可以根據企業安全需求自行創建策略。IPSec策略的實施有兩種基本的方法,一是在本地計算機上指定策略,二是使用組策略對象,由其來實施策略。并且利用多種認證方式提升VPN的安全管理性。
利用上述VPN管理技術,可以大大提高企業網絡資源的安全性、完整性,并能夠實現資源的分布式服務。以后還將結合更多的技術,實現VPN網絡靈活的使用和安全方便的管理。其使用的領域也會越來越廣泛。
參考文獻:
[1]帕勒萬等著劉劍譯.無線網絡通信原理與應用[M].清華大學出版社,2002.11
[2]朱坤華,李長江.企業無線局域網的設計及組建研究[J].河南科技學院學報2008.2:120-123
[3]潘愛民.計算機網絡(第四版)[M].清華大學出版社2004.8
關鍵詞:有效 利用 數字圖書館 方法
中圖分類號:G250.7 文獻標識碼: A 文章編號:1672-1578(2013)03-0081-02
1 引言
信息技術的迅速發展和廣泛應用,不僅改變著人們的工作和生活方式,也改變著教育和學習方式,也促進了國內外數字資源的突飛猛進發展,高校圖書館購買的數字資源也越來越多,可供師生訪問的資源日漸增多,但是數據庫資源的知識產權和版權等因素使得相當部分數字資源使用范圍有限,只能在校園網內部訪問,不能對外網開放。電大開放教育以學生為中心,具有開放性、靈活性、針對性和適應性等特點,主要運用衛星、電視、互聯網、移動終端等信息化手段和多種教學媒介,構建全民多樣化終身學習型社會。國家開放大學數字圖書館的服務對象是開放大學及電大系統的師生,但他們多數是在職在崗的成人,學習的地方相對分散,到校園圖書館利用數字資源極為不便,也因此形成了開放大學圖書館服務方式的特殊性。為了滿足電大系統教師和學生隨時隨地便捷地使用圖書館數字資源,國家開放大學數字圖書館提供遠程訪問服務。
2 遠程訪問數字圖書館
本文所討論的遠程訪問是校外訪問,就是指非校園網用戶突破校內IP地址的物理限制使用學校購買的數字化數據庫資源。目前遠程訪問圖書館數字資源有傳統服務器技術、VPN技術、Athens項目、PKI技術、Shibbloeth項目、EZproxy技術等[1]。VPN技術實現遠程訪問已經普遍應用并逐步完善,尤其在遠程訪問圖書館數字資源中應用更為廣泛。新興的 SSL VPN 技術非常適合移動用戶的遠程接入訪問,該技術集傳統數據網絡的安全、快速及共享數據庫的低成本且簡單易行等優點特點,可以為外部網提供虛擬連接,從而成為高校圖書館為所有非校園網的師生提供資源共享的最理想的方案[2]。
3 VPN概述
VPN(Virtual Private Network)即虛擬專用網絡,是一種網絡新技術,在公用網絡上通過加密、認證、封裝以及密鑰交換技術,建立單位內部專用網絡進行遠程虛擬訪問的連接方式。VPN具有傳輸數據安全可靠,連接方便靈活,可完全控制,成本低等特點[3]。
SSL VPN是采用SSL(Secure Sockets Layer,安全套接層)協議來實現遠程接入的一種新型VPN技術。SSL協議是基于WEB的安全協議,使用SSL 協議進行認證和數據加密的VPN就可以免于安裝客戶端。相對于傳統的VPN而言,SSL VPN具有部署簡單,無客戶端,維護成本低,網絡適應強等特點[4]。
4 應用VPN技術訪問數字圖書館的方法
筆者在教育教學過程中發現絕大多數學生不會遠程訪問數字圖書館,甚至很多教師都不會合理利用網上數字資源。開放大學圖書館由于涉及數據庫資源的知識產權問題,使用范圍有限,在校園網內使用沒有限制,但校外只允許屬于電大的教師和學生作為合法的用戶,提供VPN技術,用戶在登錄后,需要安裝VPN控件,才能正常的打開文獻資源列表。一般情況下,VPN系統會自動檢測電腦系統,并引導安裝VPN插件,也可以在網站下載插件安裝包進行安裝。因此要求我們提供用戶名和密碼來進行身份的確認。筆者在教學工作中發現,很多學生寫畢業論文或教師做課題研究的時候,抱怨找不到資源,找到的資源不完整或者下載需付費,下面簡單介紹校外如何訪問開放大學數字圖書館(中央廣播電視大學圖書館)。
4.1 開放大學數字圖書館介紹
國家開放大學數字圖書館為開放大學及全國電大系統提供一站式、扁平化服務,其中電子圖書書目數據達340多萬種、電子圖書全文達234萬種、學術文獻7000多萬篇、社科數字期刊2800多種,名師講座88624集,基本實現數字文獻資源全學科覆蓋[5]。主要涵蓋:(1)開放文獻資源列表,提供中央電大圖書館提供的常用電子文獻資源列表;(2)讀者論壇幫助BBS(beta),是開放數圖論壇讀者幫助模塊,在此可以反饋在使用中存在的問題,提出數字圖書改進建議;(3)數字圖書館學習空間,以圖書館培訓、教育為主要內容,同時提供教師自建課程的Moodle教學平臺;(4)電大在線?我的工作室,提供在線教學輔導的全部信息;(5)開放大學講壇,由中央電大圖書館主辦的學術講座平臺,匯集名師名家,深入講解近期發生的熱點問題,提供最全的視頻資料信息;(6)全國電大圖書館通訊,是圖書館服務與交流電子期刊,提供了最新的電大圖書館工作動態,介紹電大圖書館新引進的和推薦的文獻信息資源等;(7)社會化應用及交流網站等服務。
4.2 安裝VPN控件
開放大學數字圖書館(http://)通過VPN的方式對開放教育學生以及電大系統教職工提供授權訪問服務。打開頁面“插件”(如上圖),下載“國家開放大學數字圖書館遠程訪問控件”,即VPN控件,在安裝過程中關閉防火墻和IE安全控(上接81頁)
件軟件,并將圖書館網站的鏈接地址添加到IE信任列表,Windows Vista用戶在安裝控件時請關閉UAC,Windows 7用戶在安裝控件時請對IE點擊右鍵選擇“以管理員身份運行”,再打開安裝頁面。安裝VPN控件后,這個插件要求必須使用IE瀏覽器進行訪問,IE瀏覽器的版本最低為6.0。
4.3 登陸訪問資源列表
點擊“開放數圖”,學生用電大在線學生證號進行登錄,教師用電大在線用戶名進行登錄,通過點擊開放文獻資源列表標簽,在進入過程中檢查身份的合法性及訪問資源的安全性,檢查完畢進入應用列表,包括CNKI、維普、萬方、超星、龍源、讀秀等數據庫,涵蓋了最新期刊、會議論文、學位論文等。
4.4 文獻檢索
以中國知網(CNKI)為例,打開CNKI(國開鏡像版),期刊包括博碩士學位論文、會議、報紙、外文文獻、年鑒、百科、詞典、統計數據、專利、標準等內容,通過全文、主題、篇名、關鍵字、摘要、文獻來源等方式輸入關鍵字進行檢索,在檢索結果中打開自己感興趣的文獻進行閱讀、下載。
日新月異的信息技術,促進了教育信息化的迅猛發展,電大教師的信息技術應用能力、文獻檢索的方法和途徑直接決定了遠程教育教學資源的使用效率和科研水平,因此筆者認為提升師生信息素養,加強信息技術應用能力,通過系統內數字資源應用培訓,從數字圖書館平臺訪問、國內主要文獻數據庫的使用、移動數字圖書館的使用等方面進行培訓,使教職工掌握數字文獻資源的使用,提高數字資源的使用率,充分發揮資源共享的優勢和效益,為教學和科研提供支持。
參考文獻:
[1]張文豐,黃淑敏.開放大學數字圖書館資源校外訪問方式的研究[J].黑龍江科技信息,2007,(20):146.
[2]付凱東.SSL VPN技術在高校圖書館數字資源中的應用[J].微計算機信息,2010,26(7-3):107.
[3]百度百科:虛擬專用網絡[EB/OL].http:///view/480950.htm?fromId=19735.
[4]百度百科:SSL VPN介紹[EB/OL].http:///view/708397.htm/
山東聯通在2012年開始分組承載傳送網的建設,2013年基本完成核心匯聚層面和市區接入層面的全覆蓋,分組傳送網設備集采中標廠家包括華為、中興和貝爾,三個廠家在各地市分別進行了綜合承載傳送網的建設。其中組網結構、業務承載方案,與RNC對接方案等關鍵點成為時下討論研究的重點。
2 綜合承載傳送網的組網結構
綜合承載傳送網采用分層結構組網,分為核心匯聚層和邊緣接入層。核心匯聚層組網結構主要分為三種:環形組網、口字型組網和雙上聯組網。
山東聯通各地市組網主要采用環形和口字型組網方式。雙上聯組網和口字型組網結構類似,但由于需要耗費大量的光纖資源或者波分波道資源,因此在實際組網時主要還是采用折中的口字型組網方式。
邊緣專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net接入層主要根據光纖資源情況,分為雙掛環形組網和單掛環形組網方式,一般光纖資源能保證的區域優先選用雙掛方式,因為雙掛方式除了能實現傳統的路徑保護(1:1 LSP)外,還能實現雙歸保護,從而避免匯聚設備單點故障引起的大面積掉站。
3 業務承載方案
3.1 業務承載需求
山東聯通綜合承載傳送網主要有兩大類業務承載需求:
⑴基站回傳等自營業務或者系統的承載需求:
具備IP化、以太化基站的接入能力,提供高可靠、大容量的基站回傳流量的承載;
滿足LTE網絡的承載需求,實現基站間靈活互訪、基站多歸屬、基站組播等承載能力;
能夠滿足動力監控、綜合業務接入網網管等各類系統的承載需求。
⑵政企業務或者大客戶的承載需求:
⑶提供高可靠、大容量的二、三層VPN接入能力,能夠滿足點到點、點到多點、多點到多點等二、三層VPN的組網需求;
⑷具備電路仿真能力,提供ATM/FR/DDN等電路的接入能力。
3.2 承載方案分析
山東聯通綜合承載傳送網的業務承載方案可歸結為三點:
⑴對于2G和3G基站的TDM業務,可以采用偽線方式一PWE3實現。并在核心節點采用CSTM1端口進行匯聚。El業務一般采用SAToP方式,封裝幀數和抖動緩存暫按設備缺省值取定。
⑵對于TDM、以太網、ATM等大客戶專線,應采用相應的偽線方式實現。對于L3VPN的大客戶專線,可采用核心匯聚層L3VPN加邊緣接入層偽線、層次化L3VPN等兩種方式實現。
⑶對于未來的LTE業務,分組傳送網絡需要承載s1和X2接口的流量。業務對IP轉發的層面要求將進一步下移。可采用核心匯聚層L3VPN或層次化L3VPN到邊緣的方式。
不同廠家對于3G IP業務承載方案的推薦會有所不同,就山東聯通而言,基站數據域業務承載方式主要存在兩種,(1)L3VPN部署到邊緣-華為主推;(2)L3VPN部署到匯聚-中興和貝爾主推。兩者各有優勢,L3VPN部署到邊緣需要為基站互聯端口分配IP地址,根據目前3G基站的IP地址分配規則,會涉及大量基站的IP地址調整,但符合中遠期網絡的演進思路;L3VPN部署到匯聚,基站IP地址的調整量將大大減少,與現有MSTP提供3G移動回傳FE的業務提供方式、維護方式相似度高,利于分組傳送技術引入后網絡運行維護的逐步過渡。
山東聯通綜合承載傳送網的業務承載方案如圖3和圖4:
4 綜合承載傳送網與RNC的互聯方案
目前,山東聯通2G/3G基站的電路域業務在核心機房均通過155M電路與BSC/RNC直接相連。3G基站的分組專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net域業務與RNC對接現網有兩種方式,一種是RNC直接與分組承載傳送網業務匯聚設備互連,另一種是RNC通過CE與分組承載傳送網互連。
在RNC直接與分組承載傳送網互聯情況下,若RNC的GE或STM-1接口不足,可采用以下方式:
4.1 RNC接入端口擴容
通過對RNC的GE和STM-1端口成對擴容,滿足與分組承載傳送網業務互聯的需求,同時可以減少對已有3G業務的影響。通過逐步割接,可將現有以MSTP網絡承載的3G分組業務割接到分組承載傳送網上。
4.2 RNC接入端口不方便擴容
應將MSTP上的分組業務在匯聚層或核心層直接割接到分組承載傳送網上。通過分組承載傳送網設備與RNC相連。
就山東聯通目前的組網而言,由于還存在著大規模的2G/3G基站采用MSTP傳輸接入,在一定的時間段內無法保證IP化,因此還存在著核心設備與RNC有大量的CSTM-1口對接,RNC的擴容在未來2-3年內也將繼續進行,也會帶來一定規模的GE口擴容,因此中大型地市的綜合承載網與RNC互聯通過分組業務匯聚設備顯得更為合理。
5 傳輸背景人員快速融入IP RAN維護
引入分組傳送技術后,整個綜合承載傳送網解決方案都是以數通技術作為基礎,如何使傳輸背景人員快速融入IPRAN的建設維護顯得尤為重要,結合實際工作,建議從以下幾個方面入手:
5.1 比較傳統傳輸理念和IP化理念的異同
傳統的MSTP網絡屬于硬管道交換,所有業務都是建立端到端的連接通道占用固定帶寬,
但是綜合承載傳送不一樣,它既繼承了傳輸端到端OAM的特性,又有數據網絡逐跳建立連接的特性,整個網絡是一張彈性的網。我們可以借助傳統IP城域網的理念去類比IPRAN技術的相關概念,深入理解數通相關知識。
5.2 深刻認識全程全網和端到端業務理念
與傳統的MSTP一樣,綜合承載傳送網也需要建立端到端業務的概念,我們不僅僅需要理解分組網絡是如何進行信息傳遞的,而且還需要把無線接入和核心網納入到我們關注的范圍,從NODEB和UTN如何連接,RNC與UTN如何對接,整個數據流進入UTN以后如何進行封裝傳送等等,理解整個UTN、在配置數據排除故專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net障時才能得心應手。
5.3 認真學習實施方案
建議在工程建設期間認真學習具體的實施方案,一般而言,廠家會根據設計文件完成具體的實施方案,從組網方案、拓撲設計及設備選型、IP地址規劃、路由部署設計、MPLS隧道設計、業務部署設計、可靠性設計、時鐘/網管同步設計、QOS部署設計等等。這個過程可以幫助你學習完成一張網搭建所需的所有知識。
5.4 熟練掌握網管
網管需要掌握相關的數通知識,如I-SIS/BGP/MPLS/VPN/RSVP TE等等,需要對解決方案中用到的知識點有個較深入的理解,另外一方 面我們又要熟練掌握網管的相關操作,在IPRAN的維護習慣上,我們更偏向于網管操作,不會像傳統數通設備維護那樣通過命令行進行操作,但是網管操作的基礎又是數通知識,因為網管只是提供一個界面,提升效率,真正要配置的還是數通協議。理論和網管是IPRAN的兩個關鍵點,兩者相輔相成缺一不可,所以我們要同時加強這兩方面的技能。
5.5 工程隨工學習
更多的現場隨工學習可以幫助你快速提升,深入現場多操作設備,通過實際對比分IPRAN技術與MSTP傳統傳輸的區別。工程建設期的隨工是一個很好的機會,因為工程建設期不用擔心業務是否受影響,操練起來能更充分。
6 結束語
綜合承載傳送網已經是一張成熟的網絡,但隨著技術的進一步發展,還有很多方面可以繼續深入探討并且完善,例如北方省分的二級匯聚(縣鄉層面)如何拓展,綜合業務區規劃帶來的網絡調整等等,隨著LTE的引入,綜合承載傳送網將發揮更大的作用,成為目標網絡架構的一張精品網。
論文關鍵詞:電子商務,信息安全,防火墻,權限控制
0 引言
近年來,隨著信息技術的發展,各行各業都利用計算機網絡和通訊技術開展業務工作。廣西百色田陽縣農產品批發中心利用現代信息技術建有專門的網站,通過網站實施農產品信息、電子支付等商務工作。但是基于互聯網的電了商務的安全問題日益突出,并且該問題已經嚴重制約了農產品電子商務的進一步發展。
1 農產品電子商務的安全需求
根據電子商務系統的安全性要求,田陽農產品電子商務系統需要滿足系統的實體安全、運行安全和信息安全三方面的要求。
1) 系統實體安全
系統實體安全是指保護計算機設備、設施(含網絡)以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故(如電磁污染等)破壞的措施和過程。
2) 系統運行安全系統運行安全是指為保障系統功能的安全實現,提供一套安全措施(如風險分析、審計跟蹤、備份與恢復、應急)來保護信息處理過程的安全[1]。項目組在實施項目前已對系統進行了靜態的風險分析,防止計算機受到病毒攻擊,阻止黑客侵入破壞系統獲取非法信息,因此系統備份是必不可少的(如采用放置在不同地區站點的多臺機器進行數據的實時備份)。為防止意外停電,系統需要配備多臺備用電源,作為應急設施。
3) 信息安全
系統信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統標識、控制。系統的核心服務是交易服務,因此保證此類安全最為迫切。系統需要滿足保密性,即保護客戶的私人信息,不被非法竊取。同時系統要具有認證性和完整性,即確保客戶身份的合法性,保證預約信息的真實性和完整性,系統要實現基于角色的安全訪問控制、保證系統、數據和服務由合法的客戶、人員訪問防火墻,即保證系統的可控性。在這基礎上要實現系統的不可否認性,要有效防止通信或交易雙方對已進行的業務的否認論文的格式。
2 農產品電子商和安全策略
為了滿足電子商務的安全要求,電子商務系統必須利用安全技術為電子商務活動參與者提供可靠的安全服務,具體可采用的技術如下:
2.1基于多重防范的網絡安全策略
1) 防火墻技術
防火墻是由軟件系統和硬件系統組成的,在內部網與外部網之間構造保護屏障。所有內外部網之間的連接都必須經過保護屏障,并在此進行檢查和連接,只有被授權的信息才能通過此保護屏障,從而使內部網與外部網形成一定的隔離,防止非法入侵、非法盜用系統資源,執行安全管制機制,記錄可疑事件等。
防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
邊界防火墻(作為阻塞點、控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。
2) VPN 技術
VPN 技術也是一項保證網絡安全的技術之一,它是指在公共網絡中建立一個專用網絡,數據通過建立好的虛擬安全通道在公共網絡中傳播。企業只需要租用本地的數據專線,連接上本地的公眾信息網,其分支機構就可以相互之間安全的傳遞信息。同時,企業還可以利用公眾信息網的撥號接入設備,讓自己的用戶撥號到公眾信息網上,就可以進入企業網中。使用VPN 技術可以節省成本、擴展性強、提供遠程訪問、便于管理和實現全面控制,是當前和今后企業網絡發展的趨勢。
VPN提供用戶一種私人專用(Private)的感覺,因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中,要有高強度的加密技術來保護敏感信息;在遠程訪問VPN中要有對遠程用戶可*的認證機制。
性能
VPN要發展其性能至少不應該低于傳統方法。盡管網絡速度不斷提高,但在Internet時代,隨著電子商務活動的激增,網絡擁塞經常發生,這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺,管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能防火墻,又不會“餓死”,低優先級的應用。
管理問題
由于網絡設施、應用不斷增加,網絡用戶所需的IP地址數量持續增長,對越來越復雜的網絡管理,網絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸,因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法,將安全政策進行分布,并管理大量設備論文的格式。
2.2基于角色訪問的權限控制策略
農產品電子商務系統信息系統含有大量的數據對象,與這些對象有關的用戶數量也非常多,所以用戶權限管理工作非常重要。
目前權根控制方法很多,我們采用基于RBAC演變的權限制制思路。在RBAC之中,包含用戶、角色、目標、操作、許可權五個基本數據元素,權限被賦予角色,而不是用戶,當一個角色被指定給一個用戶時,此用戶就擁有了該角色所包含的權限[2]。角色訪問控制策略主要是兩方面的工作:
(1)確定角色
根據系統作業流程的任務,并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色,低級別角色可以為高級別角色的子角色,高級別角色完全繼承其子角色的權限。
(2)分配權限策略
根據系統的實際功能結構對系統功能進行編碼,系統管理員可以創建、刪除角色所具有的權限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時角色不發生沖突,對該角色的權限不能輕易進行修改,以免造成由于修改角色權限從而造成角色發生沖突。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現。用戶登陸系統時,系統會根據用戶的角色的并集,從而得到用戶的權限,由權限得到菜單項對該用戶的可視屬性是true/false,從而得到用戶菜單。
2.3基于數據加密的數據安全策略
在農產品商務系統中,數據庫系統作為計算機信息系統核心部件,數據庫文件作為信息的聚集體,其安全性將是重中之重。
1)數據庫加密系統措施
(1)在用戶進入系統進行兩級安全控制
這種控制可以采用多種方式,包括設置數據庫用戶名和口令,或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。
2)防止非法復制
對于服務器來說防火墻,可以采用軟指紋技術防止非法復制,當然,權限控制、備份/復制和審計控制也是實行的一樣。
3)安全的數據抽取方式
提供兩種卸出和裝入數據庫中的加密數據的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數據還是密文,在這種模式下,可直接使用DBMS提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數據明文,在這種模式下,可利用系統專用工具先進行數據轉換,再使用DBMS提供的卸出、裝入工具完成[3]。
3結束語
隨著信息化技術的快速發展,農產品電子商務創新必須適應新的變化,必須充分考慮信息安全因素與利用信息安全技術,這樣才能實現農產品電子商務業務快速增長,本文所述的安全策略,對當前實施電子商務有一定效果的,是值得推介應用的。
參考文獻:
[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報(自然科學版),2007,(12):71-73.
[2]唐文龍.基于角色訪問控制在農產品電子商務系統中的應用[j]. 大眾科技.34-35
[3]張立克.電子商務及其安全保障技術[J].水利電力機械,2007,29(2):69-74.
關鍵詞:IPSec VPN;MPLS VPN;SSL VPN;對比
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0101-01
一、引言
隨著信息化經濟一體化的發展,實現資源共享是每個企業追求發展進步不可或缺的一步。利用隧道技術在公共網絡上建立安全的虛擬專用網絡(VPN)是實現資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個比較主流的VPN技術。
二、IPSec VPN
IPSec VPN即指采用IPSec協議來實現遠程接入的一種VPN技術,用來提供公用和專用網絡的端對端加密和驗證服務。IPsec給出了應用于IP層上網絡數據安全的一整套體系結構,包括AH網絡認證協議、ESP封裝安全載荷、IKE因特網密鑰交換和用于網絡認證及加密的一些算法等[1]。其中,AH協議和ESP協議用來提供安全服務,IKE協議用于密鑰交換。
(一)認證頭(AH)協議
IPsec認證頭協議是IPsec體系結構中的一種主要協議(AH協議把AH頭插入IP數據包),它為IP數據報提供無連接完整性、數據源認證、保護以避免重播情況[1]。
(二)封裝安全載荷(ESP)協議
封裝安全載荷(ESP)協議是IPsec體系結構中的一種用來提高IP的安全性的主要協議。ESP加密要保護的數據并且在IPsec ESP的數據部分進行數據的完整性校驗,以達到其數據機密性和完整性的目的。ESP提供了與AH相同的安全服務并提供了一種保密。
(三)IKE
IKE是一種混合型協議,由Internet安全聯盟(SA)和密鑰管理協議(ISAKMP)這兩種密鑰交換協議組成。IKE是以受保護的方式為SA協商并提供經過認證的密鑰信息的協議。IKE用于協商AH和ESP所使用的密碼算法,并將算法所需的必備密鑰放到恰當位置。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協議協商SA。
三、MPLS VPN
MPLS VPN與傳統的IPSec VPN不同,MPLS VPN不依靠封裝和加密技術,而是依靠轉發表和數據包的標記來創建一個安全的VPN,MPLS VPN的所有技術產生于Internet。MPLS VPN是一種以MPLS技術為基礎的IP VPN,是在網絡路由和交換設備上應用MPLS(Multiprotocol Label Switching,多協議標記交換)技術,簡化核心路由器的路由選擇方式,結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP VPN)。
(一)MPLS VPN的基本原理
每個MPLS VPN網絡的內部是由P(供應商)設備組成,這些設備構成了MPLS的核心,且不直接同CE路由器相連,圍繞在P周圍的PE路由器可以讓MPLS VPN網絡發揮VPN的作用。在MPLS VPN中,用戶站點通常運行的是IP。它們并不需要運行MPLS和其他特殊的VPN協議。在PE路由器中,RD對應同每個用戶站點連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置,是設置VPN站點工作的一部分,它并不在用戶設備上進行配置,對于用戶來說是透明的[2]。
(二)MPLS VPN的優點
1.減少時延。由于數據包不再經過封裝或者加密,所以時延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創建一個專用網,它同幀中繼網絡具備的安全性很相似[2]。
2.配置MPLS VPN網絡的設備比較容易。配置MPLS VPN網絡的設備也變得容易了,僅需配置核心網絡不許訪問CPE。
3.提高了資源利用率。由于在網內使用標簽交換,用戶各個點的局域網可以使用重復的IP地址,提高了IP資源利用率。
4.安全性高。采用MPLS作為通道機制實現透明報文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類似的高可靠安全性。
四、SSL VPN
SSL VPN的出現是為了解決IPSec VPN的固有的缺點,SSL VPN繼承了IPSec VPN的遠程使用與內網使用體驗一致優點,避免了因有客戶端而導致的使用維護不便、帶來大量病毒和蠕蟲的入侵、無法與企業現有認證服務器結合、無法審計等問題[2]。IPSec VPN與SSL VPN的對比。傳統的IPSec VPN在部署時,往往需要在每個遠程接入的終端都安裝相應的IPSec客戶端并需要作復雜的配置。若企業的遠程接入數量增多,企業的維護成本就會隨之增加。而SSL VPN最大的優點之一就是不需要安裝客戶端程序遠程用戶可以隨時隨地從任何瀏覽器上安全接入到內部網絡。對比表如下:
五、總結
由于VPN的優秀安全特性,讓它越來越受到安全要求較高的企業或部門的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術增加了VPN通信的安全性。伴隨著VPN的廣泛使用,更加復雜的VPN系統會繼續出現。所以,其安全策略管理的問題將逐步顯現,這方面的研究也將受到高度重視。
參考文獻:
關鍵詞:SSL VPN; IPsec VPN; 數字化校園; 遠程訪問
中圖分類號:TP393 文獻標識碼:A文章編號:2095-2163(2013)02-0032-03
0引言
隨著信息化進程的加快,各個高校對校園信息化投入不斷增加,致力于建成數據交換與共享的數字化校園平臺。雖然目前很多學校已經擁有了應用管理系統、數據資源庫系統、公共通訊平臺,但這些網絡資源和辦公平臺常常受到網絡的限制,只能在校園內部使用。本校2012年師生問卷調查顯示:居住在外的教師、經常出差的行政辦公人員以及在外實習的大四畢業生對于校外不能訪問校內數字化資源,均已感到極為不便。具體來說,教師在外網不能登錄學習平臺批改作業;行政人員出差時,不能獲取部門統計數據;大四未在校的學生不能通過畢業設計系統提交論文。這些狀況即已表明目前校園的基礎網絡及其實現方案存在一定的不足,亟需新技術的應用以解決校園外部訪問校內數字化資源的問題。經過廣泛,深入的調研分析可知,VPN(Virtual Private Network)正是解決這一瓶頸的技術方案。
1VPN 的原理及SSL VPN方案的優勢
11VPN原理
VPN,即虛擬專用網絡,其含義指通過使用公共網絡基礎設施,利用“隧道”技術、認證技術、加密技術以及控制訪問等相應技術向單位內部專用網絡提供遠程訪問的連接方式[1]。VPN利用公用網絡來實現任意兩個節點之間的專有連接,適用于移動用戶、分支機構以及遠程用戶安全、穩定地接入到內部網絡。同時,VPN還向用戶提供了專用網絡所獨具的功能,但其本身卻不是一種真正意義上的獨立物理網絡,沒有固定物理線路連接。近年來,VPN技術已經大量應用于高校的移動辦公,并且在數字化資源的多校區數據訪問方面也有著廣泛應用。VPN遠程訪問的思路是,用戶在網絡覆蓋的任意地點,首先,通過ADSL或者LAN方式接入互聯網;其后,通過撥號校園網的VPN網關,構建一條從用戶所在網絡地址到校園網的二層隧道;而后是VPN服務器給用戶分配相應的校園網地址,從而實現校園網數字化資源的遠程訪問[2]。
12兩種VPN方案的對比
按照協議劃分,VPN主要有兩大主流,分別是IPsec VPN和SSL VPN。IPsec VPN技術是由IP安全體系架構協議來提供隧道的安全保障,IPsec協議是一組協議套件,包括安全協議、加密算法、認證算法、密鑰管理協議等[3]。IPsec VPN構建于網絡層,通過對數據的加密和認證來保證數據傳輸的可靠性、保密性和私有性,最適合Site to Site之間的虛擬專用網。相比之下,SSL VPN采用的是SSL安全套接層協議,構建于網絡的應用層。SSL VPN方案無需安裝客戶端軟件,經過認證的用戶是通過Web瀏覽器而接入網絡,適用于Point to Site的連接方式。總體來看,相比于IPsec VPN方案,SSL VPN方案有三點優勢,具體如下。
(1)兼容性較好。SSL VPN適用于現存的各款操作系統和使用終端,對用戶也無任何特殊的操作要求。用戶不需要下載客戶端,由此免去了對客戶端軟件的更新升級、配置維護,否則,在進行VPN策略調整的時候,其管理難度將呈幾何級數的增長。SSL VPN方案只需在普通的瀏覽器中內嵌入SSL協議,就可以使客戶端簡便、安全地訪問內網信息,維護成本較低。
(2)提供更為精細的訪問控制。由于校園網內、外部流量均經過VPN硬件設備,由此在服務器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能,可提供用戶級別鑒定,確證只有一定權限之上的用戶才能訪問校園網內的特定網絡資源。比如大四在外的實習學生只具有期刊檢索的訪問功能,而在外的辦公行政人員還可以訪問某個特定部門的相關數據。
(3)具備更強的安全性。IPsec是基于網絡層的VPN方案,對IP應用均是高度透明的。而SSL VPN是基于應用層的,在Web的應用防護方面更具一定優勢。某些高端的SSL VPN產品同樣支持文件共享、網絡鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應用。2SSL-VPN的關鍵技術及性能分析
21訪問控制技術
訪問控制技術是由VPN服務的提供者根據用戶的身份標志對訪問某些信息項進行相應操控的作用機制。目前,通用的VPN方案中,常常是由系統管理員來控制相關用戶的訪問權限。作為安全的VPN設備,SSL VPN可通過“組”策略對應用進行訪問控制[4]。有些SSL VPN產品可以將Web應用定義為一系列的URL,而組和用戶則可允許和禁止訪問相應的應用。其它一些SSL VPN產品可以提供更為精細的高級控制,控制策略不僅含有“允許”和“禁止”,還包括用戶能訪問的資源列表以及對這些資源的操作權限控制。由于SSL VPN工作在網絡的應用層,管理員可以基于應用需求、用戶特征以及TCP/IP端口進行嚴密的訪問控制策略設置。SSL VPN還能通過瀏覽器中的參數支持動態訪問部署策略,管理員可以依據用戶身份、設備類型、網絡信任級別、會話參數等各型因子,定義不同的會話角色,并給與不同的訪問權限。另外,基于用戶的訪問控制需要維護大量的用戶信息,當前最流行的控制策略則是基于角色的訪問控制,在握手協議的過程中統一集成訪問控制的基礎功能,再將資源的控制權交托于可信的授權管理模型。
22性能分析
VPN的性能指標值對校園網中關鍵業務的應用實現具有直接影響,在設計數字化校園的VPN詳盡方案之前,有必要了解其性能指標。SSL VPN中,常見的性能指標有連接速率、網絡延遲、加密吞吐量、并發用戶數,等。其中,連接速率表示了SSL VPN系統每秒鐘可建立或終止的最大會話連接數目,用以度量被測VPN設備在單位時間內交易事務的處理能力[5]。可以通過添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外,SSL VPN使用的是非對稱加密算法,這就導致VPN服務器的CPU將在高負荷狀況下處理SSL的加解密。而對于這種計算密集型的加解密操作,為了保障服務器能夠正常工作,既可以限制SSL會話的數量,也可以添加服務器的數目。只是這兩種方式各有利弊,若限制會話數目,就會出現高峰期間的部分用戶無法連接服務器,而添加服務器數目又會大幅增加VPN系統的財務用度。因而,通常情況下,使用SSL加速器來提升加解密速度,進入SSL的數據流由加速器解密并傳給服務器,而外流的數據又經過加速器加密再回傳給客戶。服務器方面,只需要處理簡單的SSL請求,將消耗資源的工作完全交給加速器,全面有效地提升了VPN方案的整體性能。
3SSL-VPN下的數字化校園解決方案
31需求分析與設計目標
校園數字化資源中集結了多種重要的數據庫以及多款辦公軟件。大四年級的學生會經常需要登錄畢業設計系統上傳學科論文;校外居住的教師也需要登錄圖書館期刊檢索系統,下載專業文獻;另外,因公在外的招生、財務人員又需要及時獲取部門的數字化信息,并借助辦公自動化的高端平臺與其它部門順暢溝通。上述校園網的這些外部訪問通常都是不確定的動態IP地址,在數據庫服務器的安全策略中多會將之認定為是非法用戶而遭到拒絕。因此,在外部訪問校園網之數字化校園時,就需要研發一個遠程訪問方案,該方案可將合法的非授權校外地址轉化為授權的校園網內地址。此方案需要考慮的用戶有三種,分別是:在外居住的教師、大四實習生以及在外辦公的行政人員。
32系統體系結構
經過實地調研和深入分析,采用了SSL VPN架構,具體框架如圖1所示。
由圖1可知,這是一個基于Web模式的SSL VPN系統,在用戶和應用服務器之間構建了一個安全的信息傳遞通道。其中,SSL VPN服務器相當于一個網關,且具備雙重身份。對用戶而言,這是服務器,負責提供基于證書的身份鑒別;對應用服務器而言,則屬于客戶端的身份,并向服務器遞交訪問申請。由此,通過在防火墻后安裝VPN設備,校外用戶只需要打開IE瀏覽器,就可以訪問到校園數字化資源的URL。其后,SSL VPN 設備將取得連接并驗證用戶的身份,此時SSL服務器就會將連接映射到不同應用的服務器上。而且方案中又采用了技術,所有成功接入SSL VPN系統的校外用戶都可以全面訪問LAN口所能獲得的數字化資源。本系統還具備較高的傳輸性能,優先考慮SSL VPN服務器的性能,將需要消耗大量資源的加解密工作交給加速器。實現過程中,采用的設備是由Cisco ASA建立Web VPN服務器,而將Radius Server作為驗證用戶身份的服務器。
33改進型安全策略——基于角色的控制
本校SSL VPN系統采用的是基于角色的訪問控制策略,既包括用戶安全認證的接口也包括用戶訪問的資源列表。實際上,校園網系統的用戶認證和訪問控制均在控制協議部分獲得實現,可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性,系統在進行安全認證時,就可以同步實現角色驗證。VPN系統在明確用戶角色屬性的基礎上確定其訪問權限,而后給出該用戶可以訪問的資源列表信息。另外,用戶在登錄VPN系統時,還需要在登錄界面輸入身份信息。
4結束語
隨著校外用戶對數字化校園資源訪問需求的日益迫切增長,使得VPN技術也隨之廣受關注[6]。為了給予校外訪問、使用校園數字化資源提供更大便利,因而在綜合考慮本校實際用戶數量和主要用戶角色的基礎上,由網絡中心主持設計并全面實現了SSL VPN系統。目前,本校SSL VPN系統運轉良好,能夠滿足現有的使用需求,并且也具備了一定的擴展能力。當然,該實施方案并不是唯一可選,當校園網的VPN用戶數量并不多、要求也不高時,就可以考慮軟件型VPN方案。不然,還可通過購買專業的VPN設備打造高水準、高級別的SSL VPN系統。
參考文獻:
[1]王達. 虛擬專用網(VPN)精解[M]. 北京:清華大學出版社,2004:45-46.
[2]朱偉珠. 利用VPN技術實現高校圖書館資源共享[J]. 情報科學,2007,25(7):1158-1061.
[3]徐家臻,陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計算機工程與設計,2004,25(4):186-188.
[4]沈海波,洪帆. 訪問控制模型研究綜述[J].計算機應用研究,2005,32(5):9-11.