序言:寫作是分享個(gè)人見解和探索未知領(lǐng)域的橋梁,我們?yōu)槟x了8篇的vpn技術(shù)論文樣本�,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā),請盡情閱讀���。
第1篇
關(guān)鍵詞:vpn,MPLS,BGP,WAN
隨著廣域網(wǎng)(WAN)的應(yīng)用需求不斷增長���,通信運(yùn)營商競爭不斷加劇,新的WAN的解決方案必須在降低實(shí)施����、運(yùn)營成本的同時(shí),提供更快的響應(yīng)時(shí)間�����、更好的服務(wù)質(zhì)量(QoS)以及足夠的安全性。VPN技術(shù)的出現(xiàn)����,滿足了市場需求。
傳統(tǒng)的解決方案是采用搭建物理鏈路的專網(wǎng)����,VPN采用在公共IP網(wǎng)絡(luò)商構(gòu)建企業(yè)IP虛擬專網(wǎng)。MPLS-VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時(shí)��,提供強(qiáng)有力的QoS能力����,具有可靠性高、安全性高���、擴(kuò)展能力強(qiáng)、控制策略靈活以及管理能力強(qiáng)大等特點(diǎn)��。
1.技術(shù)分析1:VPN虛擬專用網(wǎng)(VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的��、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全���、穩(wěn)定的隧道。
如此需要迫切解決的兩個(gè)問題:
一:動態(tài)創(chuàng)建隧道。通過MPLS協(xié)議解決了這個(gè)問題�����。
二:路由沖突問題�����。通過BGP協(xié)議解決了這個(gè)問題。
2:MPLSMPLS(Multi Protocol Label Switch:多協(xié)議標(biāo)簽交換)提供了快速包轉(zhuǎn)發(fā)和動態(tài)建立隧道的技術(shù)。論文大全。MPLS是基于標(biāo)記的IP路由選擇方法��。這些標(biāo)記可以被用來代表逐跳式或者顯式路由�����,并指明服務(wù)質(zhì)量(QoS)�、虛擬專網(wǎng)以及影響一種特定類型的流量(或一個(gè)特殊用戶的流量)在網(wǎng)絡(luò)上的傳輸方式等其它各類信息。MPLS的報(bào)文Head結(jié)構(gòu)如下圖:
第2篇
論文摘要:MPLS技術(shù)提供了類似于虛電路的標(biāo)簽交換業(yè)務(wù)�����,可以實(shí)現(xiàn)底層標(biāo)簽自動的分配,在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價(jià)�,更快速和安全的數(shù)據(jù)傳輸�����。同時(shí)MPLS VPN可以充分利用MPLS技術(shù)的一些先進(jìn)特性,提供流量工程能力��、服務(wù)質(zhì)量保證等。DCN網(wǎng)絡(luò)作為公司內(nèi)部各營業(yè)��、辦公���、網(wǎng)管�、運(yùn)維等各信息系統(tǒng)承載的網(wǎng)絡(luò)平臺,在應(yīng)用系統(tǒng)整合的大趨勢下�����,對網(wǎng)絡(luò)健壯性、安全性及可控制管理性都提出了更高的要求����。MPLS VPN正是在這樣的環(huán)境背景下,成為DCN網(wǎng)絡(luò)改造的必然�����。
隨著公司的不斷發(fā)展����,DCN網(wǎng)上承載的業(yè)務(wù)系統(tǒng)不斷增多,除“97”系統(tǒng)外����,還有如網(wǎng)管集中監(jiān)控系統(tǒng)、電源監(jiān)控系統(tǒng)��、客服系統(tǒng)���、OA等及融合后3G網(wǎng)管系統(tǒng)等�,有些應(yīng)用系統(tǒng)對安全性要求較高比如OA和財(cái)務(wù)���,有些系統(tǒng)對帶寬和網(wǎng)絡(luò)質(zhì)量(QoS)要求較高?����,F(xiàn)有的網(wǎng)絡(luò)不能滿足“分而治之”的企業(yè)運(yùn)作管理需要�。由于信息系統(tǒng)集中整合的需要���,實(shí)施此次MPLS升級改造��。通過本次改造工程的實(shí)施����,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)��,提高網(wǎng)絡(luò)的安全性�����、可靠性及整個(gè)DCN網(wǎng)的服務(wù)質(zhì)量����。由一張實(shí)體物理網(wǎng)實(shí)現(xiàn)虛擬多業(yè)務(wù)網(wǎng),采用MPLS VPN隔離各類業(yè)務(wù)系統(tǒng)�����,骨干以現(xiàn)有DCN骨干網(wǎng)為基礎(chǔ)構(gòu)建,接入網(wǎng)采用靈活的方式到終端���,滿足企業(yè)內(nèi)部應(yīng)用的承載和安全需求��。最終����,DCN網(wǎng)絡(luò)中的終端與主機(jī)須劃入至各自所屬的MPLS VPN域中���,實(shí)現(xiàn)各個(gè)VPN域之間的通信隔離�����,同時(shí)在各個(gè)VPN間建立數(shù)據(jù)通道����,部署防火墻對經(jīng)過數(shù)據(jù)通道的流量進(jìn)行訪問控制��,實(shí)現(xiàn)對不同VPN域的通信數(shù)據(jù)的有效安全控制����。
1 MPLS VPN技術(shù)簡介
MPLS VPN是由若干不同的site組成的集合,一個(gè)site可以屬于不同的VPN,屬于同一VPN的site具有IP連通性�,不同VPN間可以有控制地實(shí)現(xiàn)互訪與隔離。
MPLS VPN網(wǎng)絡(luò)主要由CE��、PE和P等3部分組成:CE(Custom Edge Router�����,用戶網(wǎng)絡(luò)邊緣路由器)設(shè)備直接與服務(wù)提供商網(wǎng)絡(luò)����。設(shè)備與用戶的CE直接相連��,負(fù)責(zé)VPN業(yè)務(wù)接入�����,處理VPN-IPv4路由�����,是MPLS三層VPN的主要實(shí)現(xiàn)者:P(Provider Router��,骨干網(wǎng)核心路由器)負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)��,不與CE直接相連����。在整個(gè)MPLS VPN中�����,P�、PE設(shè)備需要支持MPLS的基本功能�,CE設(shè)備不必支持MPLS。
PE是MPLS VPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備�����,根據(jù)PE路由器是否參與客戶的路由���,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN��。其中Layer3 MPLS VPN遵循RFC 2547BIS標(biāo)準(zhǔn)����,使用MBGP在PE路由器之間分發(fā)路由信息���,使用MPLS技術(shù)在VPN站點(diǎn)之間傳送數(shù)據(jù)����,因而又稱為BGP/MPLS VPN。在MPLS VPN網(wǎng)絡(luò)中�,對VPN的所有處理都發(fā)生在PE路由器上,為此�,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等屬性��。RD具有全局惟一性����,通過將8byte的RD作為IPv4地址前綴的擴(kuò)展����,使不惟一的IPv4地址轉(zhuǎn)化為惟一的VPNv4地址。VPNv4地址對客戶端設(shè)備來說是不可見的�,它只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)。RT使用了BGP中擴(kuò)展團(tuán)體屬性���,用于路由信息的分發(fā)����,具有全局惟一性�,同一個(gè)RT只能被一個(gè)VPN使用,它分成Import RT和Export RT����,分別用于路由信息的導(dǎo)入和導(dǎo)出策略��。在PE路由器上針對每個(gè)site都創(chuàng)建了一個(gè)虛擬路由轉(zhuǎn)發(fā)表VRF(VPN Routing & Forwarding)�,VRF為每個(gè)site維護(hù)邏輯上分離的路由表,每個(gè)VRF都有Import RT和Export RT屬性�����。通過對Import RT和Export RT的合理配置��,運(yùn)營商可以構(gòu)建不同拓?fù)漕愋偷腣PN,如重疊式VPN和Hub-and-spoke VPN�����。
整個(gè)MPLS VPN體系結(jié)構(gòu)可以分成控制面和數(shù)據(jù)面,控制面定義了LSP的建立和VPN路由信息的分發(fā)過程����,數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程。在控制層面��,P路由器并不參與VPN路由信息的交互����,客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協(xié)議交互知道屬于某個(gè)VPN的網(wǎng)絡(luò)拓?fù)湫畔?。除了路由協(xié)議外,在控制層面工作的還有LDP�����,它在整個(gè)MPLS網(wǎng)絡(luò)中進(jìn)行標(biāo)簽的分發(fā)�,形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP。在數(shù)據(jù)轉(zhuǎn)發(fā)層面�,MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用外標(biāo)簽(又稱隧道標(biāo)簽)和內(nèi)標(biāo)簽(又稱VPN標(biāo)簽)兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng)一個(gè)VPN業(yè)務(wù)分組由CE路由器發(fā)給入口PE路由器后�����,PE路由器查找該子接口對應(yīng)的VRF表,從VRF表中得到VPN標(biāo)簽�����、初始外層標(biāo)簽以及到出口PE路由器的輸出接口����。當(dāng)VPN分組被打上兩層標(biāo)簽之后,就通過PE輸出接口轉(zhuǎn)發(fā)出去�����,然后在MPLS骨干網(wǎng)中沿著LSP被逐級轉(zhuǎn)發(fā)�。在出口PE之前的最后一個(gè)P路由器上,外層標(biāo)簽被彈出�,P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找對應(yīng)的輸出接口�����,在彈出VPN標(biāo)簽后通過該接口將VPN分組發(fā)送給正確的CE路由器����,從而實(shí)現(xiàn)了整個(gè)數(shù)據(jù)轉(zhuǎn)發(fā)過程�。
2 骨干遷移的三個(gè)關(guān)鍵問題
由于DCN網(wǎng)絡(luò)建設(shè)時(shí)間比較久���,網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜,如何從全部使用IP環(huán)境的DCN過渡到全部使用MPLS VPN環(huán)境的DCN成了此次網(wǎng)絡(luò)升級改造的重點(diǎn)����。網(wǎng)絡(luò)改造期間,網(wǎng)絡(luò)的平穩(wěn)運(yùn)行無論對于市場還是對于業(yè)務(wù)系統(tǒng)都是至關(guān)重要的�,由于MPLS VPN技術(shù)是對全省DCN網(wǎng)絡(luò)傳輸技術(shù)的徹底改變,如何在改變網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)的同時(shí)讓網(wǎng)絡(luò)仍然健康地運(yùn)行成為實(shí)現(xiàn)MPLS VPN改造的首要問題�。
過渡期間最應(yīng)該考慮的關(guān)鍵三個(gè)問題是:
1)在IP環(huán)境下,各域間路由的互通問題�。實(shí)現(xiàn)方法是先將組成DCN的各個(gè)IP網(wǎng)絡(luò)單元以地市為單位逐個(gè)改造為MPLS VPN 網(wǎng)絡(luò)單元,然后逐個(gè)與省公司建立MP BGP鄰居實(shí)現(xiàn)全網(wǎng)MPLS VPN化��。
2)受控互訪的實(shí)現(xiàn)��,即做到市公司在同一VPN區(qū)域內(nèi)部互相之間不可見����;市公司在同一VPN區(qū)域內(nèi)部可以訪問省公司;市公司訪問處于不同VPN區(qū)域的省公司業(yè)務(wù)�����。方案設(shè)計(jì)中采用HUB-SPOKE方式和對PE�、CE層面實(shí)施控制來實(shí)現(xiàn)��。
3)VPN劃分與IP地址整理�����,DCN網(wǎng)絡(luò)建設(shè)前期并未考慮各個(gè)應(yīng)用系統(tǒng)的MPLS VPN劃分�,因此大多系統(tǒng)混雜在一起����,或者接在同一臺設(shè)備,或者干脆就在同一個(gè)網(wǎng)段中����,同時(shí)還存在生產(chǎn)與管理地址段混用的問題。具體系統(tǒng)混接的問題可以分為三類�����,地址混用����、設(shè)備支持能力不足以及第二地址問題����。
3 DCN網(wǎng)絡(luò)改造升級的設(shè)計(jì)
DCN網(wǎng)絡(luò)改造解決方案是融合MPLS�、VPN和QOS技術(shù)的統(tǒng)一解決方案���。方案采用MPLS作為承載數(shù)據(jù)傳輸?shù)男聟f(xié)議���,使用EIGRP作為主干IGP協(xié)議,MPLS VPN路由使用MP-IBGP以及路由反射器進(jìn)行域內(nèi)傳送��,省公司采用背對背VRF方式與集團(tuán)對接�����。
MPLS需要建立在IGP路由的基礎(chǔ)上�����,IGP協(xié)議對MPLS的主要作用就是保證MPLS鄰居之間的可達(dá)性和MBGP鄰居之間的可達(dá)性�,省骨干網(wǎng)使用的EIGRP協(xié)議,地市網(wǎng)絡(luò)根據(jù)自己網(wǎng)絡(luò)環(huán)境使用EIGRP或OSPF協(xié)議�。所有協(xié)議在省網(wǎng)和市網(wǎng)之間重分發(fā)。整個(gè)網(wǎng)絡(luò)IGP協(xié)議互通��。根據(jù)整體方案����,各PE-CE路由協(xié)議保持原OSPF動態(tài)路由協(xié)議����,在PE設(shè)備將OSPF路由重分發(fā)至MP-BGP�����。
各業(yè)務(wù)VPN互訪通過防火墻來實(shí)現(xiàn)�。由于目前將DCN全網(wǎng)業(yè)務(wù)基本劃分為MS、BS�����、OS和OTHER這四個(gè)大的系統(tǒng)�����,跨系統(tǒng)流量如何導(dǎo)通成為一個(gè)較為重要的問題����。如果全部使用重疊VPN的方式,一方面增加了維護(hù)的復(fù)雜度����,另一方面違背了建設(shè)MPLS VPN的根本目標(biāo)���,重新給各業(yè)務(wù)系統(tǒng)帶來了安全隱患��。采用防火墻和重疊VPN配合方式實(shí)現(xiàn)跨域互訪�,省公司不同域的終端和主機(jī)通過省公司防火墻實(shí)現(xiàn)跨域互訪,地市公司終端或主機(jī)需要跨域訪問省公司系統(tǒng)�,通過地市防火墻連通到不同的域中,然后通過MPLS鏈路上連互訪���。通過在防火墻上配置嚴(yán)格的安全策略���,對各VPN之間流量進(jìn)行過濾,這樣隔離的各MPLS VPN之間可以安全的進(jìn)行數(shù)據(jù)通信���,這樣即解決了各業(yè)務(wù)系統(tǒng)之間的互通問題����,也保證了各業(yè)務(wù)系統(tǒng)的安全�����。
綜合前面所述��,主要采用防火墻和重疊VPN配合方式實(shí)現(xiàn)跨域互訪,省公司不同域的終端和主機(jī)通過省公司防火墻實(shí)現(xiàn)跨域互訪�,地市公司終端或主機(jī)需要跨域訪問省公司系統(tǒng),通過地市防火墻連通到不同的域中�����,然后通過MPLS鏈路上連互訪�。
將各業(yè)務(wù)VPN為HUB-SPOKE模式,即各地市業(yè)務(wù)系統(tǒng)僅可與省中心進(jìn)行通信��,相互之間不可見�,不能進(jìn)行相互訪問。
在省公司和地市公司核心路由器連接防火墻�����,將防火墻的不同端口接入到不同VPN域中����。在防火墻上根據(jù)各VPN業(yè)務(wù)的訪問需求作相應(yīng)的訪問控制,各VPN業(yè)務(wù)之間通過防火墻進(jìn)行訪問�����。
4 MPLS VPN對DCN網(wǎng)絡(luò)的重要意義
由于應(yīng)用系統(tǒng)整合方向是集團(tuán)公司集中和省公司集中����。集團(tuán)����、省集中應(yīng)用系統(tǒng)通過DCN網(wǎng)絡(luò)進(jìn)行信息交互�����,而應(yīng)用系統(tǒng)整合除功能整合外����,其物理整合和集中的形勢則表現(xiàn)為集中的企業(yè)數(shù)據(jù)中心����,MPLS升級的重要意義體現(xiàn)在:
1)全網(wǎng)絡(luò)覆蓋:應(yīng)用系統(tǒng)整合后,系統(tǒng)集中統(tǒng)一部署服務(wù)器�,滿足地市、縣客戶端遠(yuǎn)程訪問省級應(yīng)用系統(tǒng)服務(wù)器��,集團(tuán)公司級應(yīng)用系統(tǒng)和省級應(yīng)用系統(tǒng)之間有信息交互的應(yīng)用需求�����。
2)系統(tǒng)受控安全互訪需求:企業(yè)運(yùn)作需要�,不同應(yīng)用系統(tǒng)間又有互訪的要求�。例如:營帳綜合客戶端�,處于辦公網(wǎng),兼顧辦公和營帳工作�����,需訪問營帳系統(tǒng)���;網(wǎng)管綜合客戶端����,兼顧網(wǎng)管工作和辦公管理��、資源管理����、工單、故障單工作�,經(jīng)常在兩網(wǎng)間切換;因此需要DCN網(wǎng)絡(luò)進(jìn)行安全隔離的同時(shí)����,支持系統(tǒng)間受控互訪,通過用戶身份識別����、訪問授權(quán)����、隧道加密��、安全策略部署等技術(shù)保證被訪系統(tǒng)的安全����。
3)可用性要求:隨著信息化建設(shè)的深入�����,系統(tǒng)功能將逐步得到完善�,傳送的信息內(nèi)容將日趨豐富,VPN顆粒將趨向細(xì)化�����,VPN拓?fù)鋵⑷找鎻?fù)雜����,對現(xiàn)有企業(yè)網(wǎng)絡(luò)的交換容量、處理能力�、鏈路連接能力以及VPN支持能力是網(wǎng)絡(luò)規(guī)劃建設(shè)中必需著重考慮的問題�。
4)可靠性要求:DCN網(wǎng)絡(luò)承載著企業(yè)運(yùn)作所需的重要應(yīng)用和數(shù)據(jù)����,在整個(gè)信息化系統(tǒng)中起到中樞神經(jīng)的作用,網(wǎng)絡(luò)故障將影響企業(yè)正常運(yùn)作���。信息系統(tǒng)整合將導(dǎo)致地域性和功能性集中化程度的提高���,從而增加了對DCN網(wǎng)絡(luò)的依賴。必需充分考慮網(wǎng)絡(luò)高可靠性��,避免網(wǎng)絡(luò)設(shè)備和鏈路的單點(diǎn)故障��,保證關(guān)鍵應(yīng)用系統(tǒng)的訪問和接入���,保證作為應(yīng)用系統(tǒng)核心的企業(yè)數(shù)據(jù)中心的高效可靠的連接����。
5)服務(wù)質(zhì)量要求:DCN網(wǎng)絡(luò)是在同一物理網(wǎng)絡(luò)上承載多個(gè)相對獨(dú)立的業(yè)務(wù)系統(tǒng)���,各業(yè)務(wù)系統(tǒng)為不同的職能部門開展業(yè)務(wù)提供服務(wù)�,其數(shù)據(jù)流程和管理方式都存在差異��,不同業(yè)務(wù)系統(tǒng),需要網(wǎng)絡(luò)平臺提供差別服務(wù)����,如對帶寬、實(shí)時(shí)性有不同的要求�����,網(wǎng)絡(luò)必須具備帶寬管理��、資源預(yù)留��、服務(wù)等級設(shè)置的能力��。
在保證DCN網(wǎng)絡(luò)安全運(yùn)行的前提下�,有步驟����、分階段實(shí)施MPLS改造,并按照規(guī)劃設(shè)計(jì)應(yīng)用RT策略實(shí)現(xiàn)各系統(tǒng)互訪受控與隔離����。目前���,改造后的DCN網(wǎng)絡(luò)運(yùn)行狀況良好�。
在實(shí)現(xiàn)MPLS VPN后,受控互訪則變得相對輕松��,僅僅需要在各個(gè)MPLS VPN路由環(huán)境之間的數(shù)據(jù)通道上部署防火墻即可對各VPN間也就是各應(yīng)用系統(tǒng)間的訪問進(jìn)行控制。隨著受控互訪的實(shí)現(xiàn)���,全覆蓋���、可用、可靠���、優(yōu)化傳輸以及可管理等周邊需求的實(shí)現(xiàn)也變得比較容易���。一張實(shí)體物理網(wǎng)、虛擬多業(yè)務(wù)網(wǎng)�����,采用MPLS VPN隔離各類業(yè)務(wù)系統(tǒng)����,骨干以現(xiàn)有DCN骨干網(wǎng)為基礎(chǔ)構(gòu)建,接入網(wǎng)采用靈活的方式到終端���。獨(dú)立統(tǒng)一的一張實(shí)體物理網(wǎng)���,滿足企業(yè)內(nèi)部應(yīng)用的承載需求���。虛擬多業(yè)務(wù)網(wǎng),統(tǒng)一的業(yè)務(wù)隔離、受控互訪機(jī)制和統(tǒng)一的VPN業(yè)務(wù)接入機(jī)制����。
5 結(jié)束語
MPLS VPN網(wǎng)絡(luò)改造的實(shí)現(xiàn)�,極大的提高的DCN網(wǎng)絡(luò)的安全性�����,為前臺營業(yè)�、辦公OA����、運(yùn)維網(wǎng)絡(luò)監(jiān)控等各項(xiàng)不同的業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用提供可靠地保證�。
參考文獻(xiàn):
[1] 范亞芹,張麗翠��,宋維剛.可提供MPLS VPN網(wǎng)絡(luò)安全性保障的解決方案[J].吉林大學(xué)學(xué)報(bào):信息科學(xué)版�,2005(03).
第3篇
論文關(guān)鍵詞:VPN�����;供電企業(yè);信息化
論文摘要:縣級供電企業(yè)在推進(jìn)信息化過程中,普遍存在著成本過大���,安全系數(shù)較低以及建設(shè)周期長等問題��。結(jié)合廬江供電公司在開展城鄉(xiāng)營銷管理信息化建設(shè)中出現(xiàn)的問題進(jìn)行分析��,提出利用VPN實(shí)現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)的解決方案��,并分析了下一步信息化的主攻方向��。
0引言
隨著電力信自、化水平的不斷提高�����,縣級供電企業(yè)綜合管理信息系統(tǒng)開始逐步建立�����,但基層變電站、鄉(xiāng)鎮(zhèn)供電聽與供電公司局域網(wǎng)聯(lián)網(wǎng)問題嚴(yán)重地制約著縣級供電企業(yè)信息系統(tǒng)實(shí)用化水平的發(fā)展和信息資源的充分有效利用�,這與供電企業(yè)管理發(fā)展的目標(biāo)追求以及客戶的需求是極不適應(yīng)的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設(shè)工作受地形���、人員素質(zhì)、資金投人等因素影響�,解決遠(yuǎn)程站點(diǎn)聯(lián)網(wǎng)問題成為縣級供電企業(yè)信自����、網(wǎng)絡(luò)建設(shè)中的突出矛盾�。
1廬江供電公司信息化建設(shè)現(xiàn)狀
安徽廬江供電公司的信息化上作起步較晚,供電公司總部于X004年實(shí)現(xiàn)了生產(chǎn)M I S與辦公自動化OA的單軌制運(yùn)行,總部信息化運(yùn)行提高了企業(yè)的整體管理水平和辦公效率��。如今��,廬江供電公司總部已運(yùn)行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)����、辦公自動化系統(tǒng)����、檔案管理系統(tǒng)、Web系統(tǒng)�����、財(cái)務(wù)管理系統(tǒng)����,現(xiàn)有的服務(wù)器包括:生產(chǎn)服務(wù)器、辦公自動化服務(wù)器��、檔案服務(wù)器�、Web服務(wù)器、財(cái)務(wù)服務(wù)器��。力、公用微機(jī)80多臺����,每位管理人員以及每個(gè)班組都配有微機(jī)。
在實(shí)施信息化建設(shè)與管理中���,深深體會到廬江供電公司信息化建設(shè)不僅可降低財(cái)務(wù)管理����、物資管理����、項(xiàng)目管理、資料管理等方面的管理成本�,并在生產(chǎn)管理中可將所有設(shè)備信息進(jìn)行分類編號,輸人數(shù)據(jù)庫����,實(shí)行設(shè)備、設(shè)施缺陷管理�,科學(xué)地制定缺陷檢修計(jì)劃,提高設(shè)備運(yùn)行可靠度�,降低故障率,提高供電可靠性;同時(shí),廬江供電公司的營銷管理信息系統(tǒng)建有業(yè)擴(kuò)子系統(tǒng)�����、電量電費(fèi)f系統(tǒng)�����、用電檢查子系統(tǒng)�、綜合查詢系統(tǒng),通過這些系統(tǒng)���,可方便與客戶的交流、溝通����,節(jié)約成本開支,實(shí)現(xiàn)科學(xué)化營銷流程管理����。這些管理信息系統(tǒng)的應(yīng)用,加強(qiáng)J’企業(yè)的規(guī)范化管理�,增強(qiáng)了管理的科學(xué)化水平,減輕了工作人員的負(fù)擔(dān)����,提高了企業(yè)的經(jīng)濟(jì)效益����。
為此��,廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營銷MIS應(yīng)用系統(tǒng)的推進(jìn)力度����,進(jìn)一步減輕了抄表人員的負(fù)擔(dān),縮短了開票時(shí)間����,加強(qiáng)了電費(fèi)電價(jià)的控制與管理,提高了營銷管理自動化水平����。全縣17個(gè)鄉(xiāng)鎮(zhèn)供電聽,都使用同一版本的營銷MIS應(yīng)用系統(tǒng)����。舟個(gè)供電聽都有3臺以上的微機(jī),其中1臺所長用于日常辦公�����,另外2臺分別作為用電MIS系統(tǒng)的服務(wù)器與客戶端,并兼為所里其他工作人員辦公使用��。其中��,已有10個(gè)供電所可利用變電站的光纖系統(tǒng)�,與廬江供電公司總部實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián),提高了工作效率��,節(jié)省了開支�����。其余7個(gè)供電所仍不能夠?qū)崿F(xiàn)信息化共享�,這些供電所非常希望盡快網(wǎng)絡(luò)互聯(lián)。
2采用VPN方案推進(jìn)供電所信息化建設(shè)進(jìn)程
這些供電所若使用以前的光纖聯(lián)網(wǎng)方式�����,不僅投資大�,施工工期長��,而且日后的維護(hù)量也多���?����?紤]到以上原因�,為盡快解決其余7個(gè)光纖未開通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡(luò)互聯(lián)問題,達(dá)到信息���、共享�,推廣鄉(xiāng)鎮(zhèn)供電所的營銷MIS系統(tǒng)應(yīng)用�,公司決定采用虛擬局域網(wǎng)(VPN),在現(xiàn)有設(shè)備基礎(chǔ)上�,進(jìn)行簡單的改造。通過在VPN網(wǎng)關(guān)中配置7個(gè)供電所的用戶���、密碼以及訪問策略�,并分別在7個(gè)供電所安裝VPN客戶端�,安裝公司的MIS應(yīng)用系統(tǒng),實(shí)現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)�����。VPN技術(shù)實(shí)際上就是綜合利用包封裝技術(shù)�����、加密技術(shù)、密鑰交換技術(shù)�����、PKI技術(shù)����,可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN , Virtual Private Network ) �。 VPN是一個(gè)被加密或封裝的通信過程,該過程把數(shù)據(jù)安全地從一端傳送到另一端�,這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來保障,而數(shù)據(jù)是在一個(gè)開放的�����、沒有安全保障的����、經(jīng)過路由傳送的網(wǎng)絡(luò)上傳輸?shù)摹PN技術(shù)能夠有效解決信息安全傳輸中的“機(jī)密性�����、完整性�����、不可抵賴性”問題����。
3方案效果比較
對2種方案的可能性進(jìn)行了比較,如圖1所示�。如果廬江供電公司全部運(yùn)用光纖法來實(shí)現(xiàn)供電所的網(wǎng)絡(luò)互聯(lián),每個(gè)供電所的材料費(fèi)��、施工費(fèi)按3.5萬元�,施工工期10天計(jì)算,7個(gè)供電所就需要3.5 x 7=24.5萬元�����,需要10 x 7=70天�����。若這7個(gè)供電所采用VPN方案�����,只需要購買VPN網(wǎng)關(guān)1臺�,價(jià)值3.5萬元和7個(gè)客戶端鑰匙�,價(jià)值7 x 480=3360元����,5天內(nèi)就能完成7個(gè)供電所安裝。因此����,應(yīng)用VPN方案,廬江供電公司就能節(jié)省資金達(dá)24 . 5-3 . 836=20.664萬元��,縮短工期65天��,取得的直接效益是顯著的�,并省去了今后光纖線路維護(hù)所需要工作量。
現(xiàn)在�����,這7個(gè)鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng)�����,在局域網(wǎng)下載內(nèi)容的速度可達(dá)350 kb/s��,生產(chǎn)MIS系統(tǒng)響應(yīng)時(shí)間為2--3 s�����,辦公自動化系統(tǒng)瀏覽公司收發(fā)的文件�、接受電子郵件的時(shí)間因文件的大小不同而有所差別,1 MB的文件大約需要8 s�����。由于ADSL是非對稱數(shù)字環(huán)路��,所以發(fā)送電子郵件的速度要慢得多�����,1 MB的文件大約需要18s��。從VPN方案運(yùn)行效果來看�����,完全能夠滿足廬江供電公司網(wǎng)絡(luò)發(fā)展及MIS系統(tǒng)應(yīng)用的需要��。
4下一步信息化建設(shè)的主攻方向
目前�,廬江供電所信息化還處于初級階段,對電力企業(yè)信息化建設(shè)的目標(biāo)還沒有完全形成統(tǒng)一的管理標(biāo)準(zhǔn);同時(shí),廬江供電公司在實(shí)施VPN技術(shù)后�����,也清楚地看出:VPN是一種虛擬專用網(wǎng)絡(luò)�,而不是一種真正的專用網(wǎng)絡(luò)。因此���,廬江供電公司打算設(shè)立嚴(yán)格的管理制度��,包括嚴(yán)格的權(quán)限管理����,無關(guān)人員無權(quán)查看��、改動數(shù)據(jù)����,VPN客戶端的用戶與密碼管理等,建立起一套計(jì)算機(jī)管理操作等規(guī)章制度�,使整個(gè)網(wǎng)絡(luò)安全有序地運(yùn)行。此外�����,該公司今后還將加大對供電所使用人員的計(jì)算機(jī)培訓(xùn)力度,包括計(jì)算機(jī)知識在內(nèi)的應(yīng)用培訓(xùn)�����,促進(jìn)操作人員更好地使用軟件��,提高操作人員計(jì)算機(jī)水平���,也為計(jì)算機(jī)應(yīng)用在企業(yè)內(nèi)部得到更好地發(fā)展起到一定的推動作用,并充實(shí)培養(yǎng)供電聽計(jì)算機(jī)網(wǎng)絡(luò)管理人員�、信息安全管理人員,把信息化建設(shè)中的培訓(xùn)工作貫穿始終���,進(jìn)而拓寬信息化的覆蓋面�����,保證信息����、化工作的健康發(fā)展����,讓VPN技術(shù)更好地為廬江供電公司信息化、專業(yè)化、現(xiàn)代化服務(wù)����。
第4篇
【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò);信息安全�����;防火墻����;安全技術(shù)
隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)信息化在給人們帶來種種物質(zhì)和文化享受的同時(shí)�,我們也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅。盡管我們已經(jīng)廣泛地使用各種復(fù)雜的安全技術(shù)��,但是���,仍然有很多黑客的非法入侵����,對社會造成了嚴(yán)重的危害�����。針對各種來自網(wǎng)絡(luò)的安全威脅,怎樣才能確保網(wǎng)絡(luò)信息的安全性��。本文通過對網(wǎng)絡(luò)安全存在的威脅進(jìn)行分析�����,總結(jié)出威脅網(wǎng)絡(luò)安全的幾種典型表現(xiàn)形式�����,進(jìn)而歸納出常用的網(wǎng)絡(luò)安全的防范措施�。
一�����、計(jì)算機(jī)網(wǎng)絡(luò)安全存在的隱患
眾所周知����,Internet是開放的,即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下�,網(wǎng)絡(luò)的安全仍然存在很大隱患,這些安全隱患主要可以歸結(jié)為以下幾點(diǎn):
1.每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用
防火墻是一種有效的安全工具�,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問����。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問���,防火墻往往是無能為力的。因此�,對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為,防火墻是很難發(fā)覺和防范的����。
2.安全工具的使用往往受到人為因素的影響
一個(gè)安全工具能不能實(shí)現(xiàn)效果,在很大程度上取決于使用者��,包括系統(tǒng)管理者和普通用戶��,不正當(dāng)?shù)脑O(shè)置就會產(chǎn)生不安全因素����。比如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞,用戶安全意識不強(qiáng)���,口令選擇不慎�,將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會給網(wǎng)絡(luò)安全帶來威脅��。
3.系統(tǒng)的后門和木馬程序
從最早計(jì)算機(jī)被入侵開始����,黑客們就已經(jīng)發(fā)展了“后門”技術(shù)�����,利用后門技術(shù)���,他們可以再次進(jìn)入系統(tǒng)。后門的功能主要有:使管理員無法阻止�;種植者再次進(jìn)入系統(tǒng);使種植者在系統(tǒng)中不易被發(fā)現(xiàn)��;使種植者進(jìn)入系統(tǒng)花費(fèi)最少的時(shí)間���。木馬,又稱特洛伊木馬�,是一類特殊的后門程序,它是一種基于遠(yuǎn)程控制的黑客工具�����,具有隱蔽性和非授權(quán)性的特點(diǎn)�。
4.只要有程序��,就可能存在BUG
任何一款軟件都或多或少存在漏洞�����,甚至連安全工具本身也可能存在安全的漏洞�����。這些缺陷和漏洞恰恰就是黑客進(jìn)行攻擊的首選目標(biāo)。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來��,程序設(shè)計(jì)者在修改已知的BUG的同時(shí)又可能使它產(chǎn)生了新的BUG。
二����、計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)策略
盡管計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅���,但是采取恰當(dāng)?shù)姆雷o(hù)措施也能有效的保護(hù)網(wǎng)絡(luò)信息的安全�����。本文總結(jié)了以下幾種方法并加以說明以確保在策略上保護(hù)網(wǎng)絡(luò)信息的安全:
1.防火墻技術(shù)
防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合���。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全策略控制(允許���、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流�,且本身具有較強(qiáng)的抗攻擊能力�。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性����,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)��。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全�。
2.數(shù)據(jù)加密
采用網(wǎng)絡(luò)加密技術(shù)��,對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝�����,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾?�。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題�,也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題。主要存在兩種主要的加密類型:私匙加密和公匙加密��。
3.虛擬專用網(wǎng)(VPN)技術(shù)
虛擬專用網(wǎng)(VPN)技術(shù)利用現(xiàn)有的不安全的公共網(wǎng)絡(luò)建立安全方便的企業(yè)專業(yè)通信網(wǎng)絡(luò),使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中�����,是目前解決信息安全問題的一個(gè)最新�����、最成功的技術(shù)課題之一。在公共網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制�����,這兩種機(jī)制為路由過濾技術(shù)和隧道技術(shù)�����。VPN有幾種分類方法,如按接入方式分成專線VPN和撥號VPN��;按隧道協(xié)議可分為第二層和第三層的;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的��。由于VPN技術(shù)可擴(kuò)展性強(qiáng),建立方便�����,具有高度的安全性��,簡化了網(wǎng)絡(luò)技術(shù)和管理�,使費(fèi)用降到最低��,因而��,逐漸成為通用的技術(shù)��。
4.入侵檢測系統(tǒng)
入侵檢測技術(shù)是為保證系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?�,F(xiàn)象的技術(shù),是一種用于檢測中違反安全策略行為的技術(shù)���。它是防火墻的合理補(bǔ)充���,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊����,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視���、進(jìn)攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性�。入侵檢測從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息�����,并分析這些信息����,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象��。
隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)已深入到社會各個(gè)領(lǐng)域�,人類社會各種活動對計(jì)算機(jī)網(wǎng)絡(luò)的依賴程度已經(jīng)越來越大。因此只有嚴(yán)格的保密政策���、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能完好、實(shí)時(shí)地保證信息的完整性和確證性,為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)��。本論文從多方面描述了網(wǎng)絡(luò)安全的防護(hù)策略,比如防火墻����,認(rèn)證��,加密技術(shù)等都是當(dāng)今常用的方法�,本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問題的解決���,可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解����。
參考文獻(xiàn):
[1]楊義先.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京:人民郵電出版社�����,2003
第5篇
關(guān)鍵詞:IP網(wǎng)絡(luò) VPN 信息安全
中圖分類號:TN711 文獻(xiàn)標(biāo)識碼:A 文章編號:
隨著信息技術(shù)的飛速發(fā)展和IP網(wǎng)用戶數(shù)量的迅猛增加以及多媒體應(yīng)用需求的不斷增長��,人們對IP網(wǎng)提高帶寬的渴望越來越強(qiáng)。
初期的Internet僅提供文件傳輸�、電子郵件等數(shù)據(jù)業(yè)務(wù)�,如今的Internet集圖像��、視頻、聲音��、文字、動畫等為一體�,即以傳輸多媒體寬帶業(yè)務(wù)為主����,由此Internet的發(fā)展趨勢必然是寬帶化向?qū)拵P網(wǎng)絡(luò)發(fā)展�����,寬帶IP網(wǎng)絡(luò)技術(shù)應(yīng)運(yùn)而生�。
所謂的寬帶IP網(wǎng)絡(luò)是指Internet的交換設(shè)備�、中繼通信線路���、用戶接入設(shè)備和用戶終端設(shè)備都是寬帶的,通常中繼線帶寬為每秒數(shù)吉比特至幾十吉比特,接入帶寬為1~100Mbit/s��。在這樣一個(gè)寬帶IP網(wǎng)絡(luò)上能傳送各種音視頻和多媒體等寬帶業(yè)務(wù),同時(shí)支持當(dāng)前的窄帶業(yè)務(wù)����,它集成與發(fā)展了當(dāng)前的網(wǎng)絡(luò)技術(shù)�����、IP技術(shù)��,并向下一代網(wǎng)絡(luò)方向發(fā)展����。
當(dāng)今年代�����,IP網(wǎng)絡(luò)的覆蓋范圍如此廣泛、網(wǎng)絡(luò)規(guī)模如此龐大���、用戶數(shù)量如此之多�����、業(yè)務(wù)傳輸如此頻繁��,保障其安全性顯然是至關(guān)重要的�。
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件�、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞�����、更改��、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行�����,網(wǎng)絡(luò)服務(wù)不中斷���。從內(nèi)容看網(wǎng)絡(luò)安全大致包括4個(gè)方面����,即網(wǎng)絡(luò)實(shí)體安全、軟件安全�、數(shù)據(jù)安全及安全管理。從其本質(zhì)上來講主要就是網(wǎng)絡(luò)上的信息安全��,即要保障網(wǎng)絡(luò)上信息的保密性�、完整性、可用性���、可控性和真實(shí)性��。
寬帶IP網(wǎng)絡(luò)面臨的安全性威脅分為兩大類:被動攻擊和主動攻擊。被動攻擊中�����,攻擊者只是觀察和分析某一個(gè)協(xié)議數(shù)據(jù)單元,不對數(shù)據(jù)信息做任何修改,所以根本不會留下痕跡或留下的痕跡很少���,因而一般都檢測不出來���,對付被動攻擊可以采用數(shù)據(jù)加密技術(shù)����。主動攻擊是更改信息和拒絕用戶使用資源的攻擊�����,攻擊者對某個(gè)連接中通過的協(xié)議數(shù)據(jù)單元進(jìn)行各種處理。這類攻擊可分為篡改�、偽造、中斷和抵賴�。主動攻擊可采取適當(dāng)?shù)拇胧z測出來,而要有效的防是十分困難的�����。對付主動攻擊需要將數(shù)據(jù)加密技術(shù)與適當(dāng)?shù)蔫b別技術(shù)相結(jié)合�。另外還有一種特殊的主動攻擊就是惡意程序,如計(jì)算機(jī)如沖��、特洛伊木馬和邏輯炸彈。
寬帶IP網(wǎng)絡(luò)安全服務(wù)的基本需求包括保密性�、完整性、可用性�、可控性和不可否認(rèn)性。
為了滿足網(wǎng)絡(luò)信息系統(tǒng)安全的基本要求�����,加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全性��,對抗安全攻擊�,可采取數(shù)據(jù)加密、數(shù)字簽名���、鑒別��、設(shè)置防火墻等一系列措施���。
為了保證數(shù)據(jù)信息的保密性和完整性,要對數(shù)據(jù)信息進(jìn)行加密�,數(shù)據(jù)加密的密碼體制分為常規(guī)密鑰和公開密鑰兩種密碼體制,從網(wǎng)絡(luò)傳輸?shù)慕嵌瓤?����,有兩種不同的加密策略:鏈路加密和端到端加密�。兩種加密策略各有優(yōu)缺點(diǎn),一般將鏈路加密和端到端加密結(jié)合起來使用���,以獲得更好的安全性�����。
保證網(wǎng)絡(luò)安全的另外一個(gè)重要措施就是設(shè)置防火墻���,防火墻是一種位于兩個(gè)網(wǎng)絡(luò)間、實(shí)施網(wǎng)絡(luò)之間訪問控制的組件集合����,防火墻的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”,而將外部Internet 稱為“不可信賴的網(wǎng)絡(luò)”�����。
防火墻可以從不同角度分類����,根據(jù)物理特性可分為硬件防火墻和軟件防火墻,但是由于軟件防火墻自身屬于運(yùn)行于系統(tǒng)上的程序���,不可避免地需要占用一部分CPU資源維持工作�,而且由于數(shù)據(jù)判斷處理需要一定的時(shí)間,在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里�����,軟件防火墻會使整個(gè)系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降�,甚至有些軟件防火墻會存在漏洞,導(dǎo)致有害數(shù)據(jù)可以繞過它的防御體系�����,給數(shù)據(jù)安全帶來損失����。因此,許多網(wǎng)絡(luò)更側(cè)重于硬件防火墻作為防御措施��。
以上介紹了保障IP網(wǎng)絡(luò)安全的一些措施����,在不安全的公共網(wǎng)絡(luò)上建立一個(gè)安全的專用通信網(wǎng)絡(luò)VPN也稱得上是實(shí)現(xiàn)管好全性的一項(xiàng)舉措�。
VPN虛擬專網(wǎng)是虛擬私有網(wǎng)絡(luò)的簡稱,安是一種利用公共網(wǎng)絡(luò),來構(gòu)建的私有專用網(wǎng)絡(luò)����,VPN將給企業(yè)提供集安全性�、可靠性和可管理性于一身的私有專用網(wǎng)絡(luò)。
VPN的目標(biāo)是在不安全的公共網(wǎng)絡(luò)上建立一個(gè)安全的專用通信網(wǎng)絡(luò)��,在降低費(fèi)用的同時(shí)保障通信的安全性�����,即構(gòu)建在公共數(shù)據(jù)網(wǎng)絡(luò)上的VPN將像當(dāng)前企業(yè)私有的網(wǎng)絡(luò)一樣提供安全性����、可靠性和可管理性。VPN利用嚴(yán)密的安全措施和隧道技術(shù)來確保數(shù)據(jù)專有����、安全地在公網(wǎng)上傳輸。目前Internet已成為全球最大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施�,幾乎延伸到世界的各個(gè)角落,于是基于Internet的IP VPN技術(shù)越來越受到關(guān)注����,IETF對基于IP的VPN的定義為“使用IP機(jī)制仿真出一個(gè)私有廣域網(wǎng)”。
IP VPN按接入方式劃分可分為專線VPN和撥號VPN�����,專線VPN是為已經(jīng)通過專線接入ISP邊緣路由器的用戶提供的VPN解決方案,是一種“永遠(yuǎn)在線”的VPN�。撥號VPN又稱VPDN,它是向利用撥號PSTN或ISDN接入ISP的用戶提供的VPN業(yè)務(wù)���,是一種“按需連接”的VPN�����。因?yàn)檫@種VPN的用戶一般是漫游用戶����,因此VPDN通常需要做身份認(rèn)證��。按協(xié)議實(shí)現(xiàn)類型還可以分為采用第二層隧道協(xié)議的VPN和采用第三層隧道協(xié)議的VPN�����。還可以按VPN的發(fā)起方式���、服務(wù)類型��、承載主體等多種方式進(jìn)行劃分�����。
構(gòu)成IP VPN的主要設(shè)備有IP安全隧道和VPN設(shè)備��。內(nèi)部網(wǎng)LAN1發(fā)送者發(fā)送明文信息到連接公共網(wǎng)絡(luò)的源VPN設(shè)備��,源VPN設(shè)備首先進(jìn)行訪問控制��,確定是否需要對數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過或拒絕通過�。對需要加密的IP數(shù)據(jù)報(bào)進(jìn)行加密�,并附上數(shù)字簽名以提供數(shù)據(jù)報(bào)鑒別。VPN設(shè)備依據(jù)所使用的隧道協(xié)議����,重新封裝加密后的數(shù)據(jù),此數(shù)據(jù)通過IP安全隧道在公共網(wǎng)絡(luò)上傳輸����。當(dāng)數(shù)據(jù)報(bào)到達(dá)目的的PVN設(shè)備時(shí),首先根據(jù)隧道協(xié)議數(shù)據(jù)報(bào)被解除封裝�,數(shù)字簽名被核對無誤后數(shù)據(jù)報(bào)被解密還原成原明文,然后目的VPN設(shè)備根據(jù)明文中的目的地址對內(nèi)部網(wǎng)LAN2中的主機(jī)進(jìn)行訪問控制�����,在核對無誤后將明文傳送經(jīng)LAN2中的接收者。
VPN的隧道技術(shù)是構(gòu)建VPN的關(guān)鍵技術(shù)�,廣義的隧道包括隧道啟動節(jié)點(diǎn)、隧道終止點(diǎn)和承載隧道的IP網(wǎng)絡(luò)����。按照工作的層次,隧道協(xié)議可分為兩類:二層隧道協(xié)議和三層隧道協(xié)議��。三層隧道協(xié)議主要有兩種:RFC1701通用路由封裝協(xié)議和IETF制定的IP層加密標(biāo)準(zhǔn)協(xié)議IPSec協(xié)議����。二層隧道協(xié)議主要有三種,點(diǎn)對點(diǎn)隧道協(xié)議(PPTP)����、二層轉(zhuǎn)發(fā)協(xié)議(L2F)和二層隧道協(xié)議(L2TP)。二層隧道協(xié)議簡單易行�����,但擴(kuò)展性差且提供內(nèi)在的安全機(jī)制安全強(qiáng)度低�����,主要應(yīng)用于構(gòu)建撥號VPN,而三層隧道協(xié)議安全性����、可擴(kuò)展性、可靠性較強(qiáng)���,兩者通常結(jié)合使用�����。
第6篇
關(guān)鍵詞:虛擬專用網(wǎng) IP隧道 網(wǎng)絡(luò)電話
中圖分類號:TP393.1 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2013)03(b)-0039-03
虛擬專用網(wǎng)(VPN)作為一種安全而有效的商用通信技術(shù)�����,在網(wǎng)絡(luò)內(nèi)部有著專線一樣的加密性,又沒有專線那樣高的費(fèi)用�����,因此得到廣泛的應(yīng)用�。虛擬專用連接的業(yè)務(wù)類型較單一,因此VPN增值服務(wù)對多媒體實(shí)時(shí)應(yīng)用提出了內(nèi)在要求��。隨著VPN應(yīng)用和VOIP應(yīng)用的日益廣泛�����,能不能將VPN技術(shù)和VOIP技術(shù)結(jié)合起來,將VOIP應(yīng)用拓展到VPN中從而拓展了VPN技術(shù)的應(yīng)用領(lǐng)域�,為VPN增值服務(wù)提供新的增長點(diǎn)。
1 VPN簡介及優(yōu)勢介紹
VPN是Virtual Private Network的縮寫��,即虛擬專用網(wǎng)�����。簡單地說��,VPN即是指在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò)�����,并且此企業(yè)網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全�����、管理及功能等特點(diǎn)�����,它替代了傳統(tǒng)的撥號訪問�,利用Internet公網(wǎng)資源作為企業(yè)專網(wǎng)的替代和補(bǔ)充���,節(jié)省昂貴的長途費(fèi)用。
VPN網(wǎng)絡(luò)具有較好的安全性���,以多種方式增強(qiáng)了網(wǎng)絡(luò)的智能和安全性�����。專業(yè)的VPN產(chǎn)品都對遠(yuǎn)端用戶的接入提供了非常嚴(yán)格的身份檢測和認(rèn)證機(jī)制��,確保用戶的合法性���。另外,VPN通過加密協(xié)議的采用實(shí)現(xiàn)了對傳輸數(shù)據(jù)的封裝����,避免數(shù)據(jù)的明文傳送帶來的安全隱患�。
企業(yè)用戶可以使用VPN替代租用線路來實(shí)現(xiàn)分支機(jī)構(gòu)的連接。網(wǎng)絡(luò)容量容易擴(kuò)展�,借助VPN,企業(yè)可以利用ISP的設(shè)施和服務(wù)����,同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)���。
2 VOIP的關(guān)鍵技術(shù)
VOIP是Voice over Internet Protocol的縮寫,指的是將模擬的聲音信號經(jīng)過壓縮與封包之后���,以數(shù)據(jù)封包的形式在IP網(wǎng)絡(luò)的環(huán)境進(jìn)行語音信號的傳輸����,通俗來說也就是互聯(lián)網(wǎng)電話或者簡稱IP電話的意思�����。
VOIP的基本原理是:通過語音的壓縮算法對語音數(shù)據(jù)編碼進(jìn)行壓縮處理�����,然后把這些語音數(shù)據(jù)按TCP/IP標(biāo)準(zhǔn)進(jìn)行打包��,經(jīng)過IP網(wǎng)絡(luò)把數(shù)據(jù)包送至接收地��,再把這些語音數(shù)據(jù)包串起來���,經(jīng)過解壓處理后�����,恢復(fù)成原來的語音信號�,從而達(dá)到由互聯(lián)網(wǎng)傳送語音的目的。IP電話的核心與關(guān)鍵設(shè)備是IP網(wǎng)關(guān)��,它把各地區(qū)電話區(qū)號映射為相應(yīng)的地區(qū)網(wǎng)關(guān)IP地址�。這些信息存放在一個(gè)數(shù)據(jù)庫中,數(shù)據(jù)接續(xù)處理軟件將完成呼叫處理��、數(shù)字語音打包�����、路由管理等功能�。
采用IP網(wǎng)絡(luò)承載話音業(yè)務(wù)與傳統(tǒng)的電話業(yè)務(wù)相比存在著諸多的優(yōu)勢。VOIP可以使電話物理網(wǎng)絡(luò)和Internet或IP物理數(shù)據(jù)網(wǎng)絡(luò)合二為一����,有效地簡化通信系統(tǒng),減低系統(tǒng)成本和管理成本��;利用IP分布式的����、靈活而可擴(kuò)展的通信方式���,以及VOIP所提供的新功能可以使企業(yè)��、雇員��、合作伙伴和客戶更靈活而有效的溝通����;VOIP可以使話音應(yīng)用與原有的數(shù)據(jù)業(yè)務(wù)應(yīng)用有機(jī)的融合在一起,開創(chuàng)新一代業(yè)務(wù)應(yīng)用�����。
3 VOIP的基本傳輸過程
為了在一個(gè)IP網(wǎng)絡(luò)上傳輸語音信號����,要求幾個(gè)元素和功能。最簡單形式的網(wǎng)絡(luò)由兩個(gè)或多個(gè)具有VOIP功能的設(shè)備組成��,這一設(shè)備通過一個(gè)IP網(wǎng)絡(luò)連接��。VOIP設(shè)備把語音信號轉(zhuǎn)換為IP數(shù)據(jù)流����,并把這些數(shù)據(jù)流轉(zhuǎn)發(fā)到IP目的地,IP目的地又把它們轉(zhuǎn)換回到語音信號。兩者之音的網(wǎng)絡(luò)必須支持IP傳輸�����,且可以是IP路由器和網(wǎng)絡(luò)鏈路的任意組合�����。因此可以簡單地將VOIP的傳輸過程分為下列幾個(gè)階段�。
3.1 語音-數(shù)據(jù)轉(zhuǎn)換
語音信號是模擬波形,通過IP方式來傳輸語音�,不管是實(shí)時(shí)應(yīng)用業(yè)務(wù)還是非實(shí)時(shí)應(yīng)用業(yè)務(wù),首先要對語音信號進(jìn)行模擬數(shù)據(jù)轉(zhuǎn)換�����,也就是對模擬語音信號進(jìn)行8位或6位的量化��,然后送入到緩沖存儲區(qū)中��,緩沖器的大小可以根據(jù)延遲和編碼的要求選擇��。許多低比特率的編碼器是采取以幀為單位進(jìn)行編碼�。
3.2 原數(shù)據(jù)到IP轉(zhuǎn)換
一旦語音信號進(jìn)行數(shù)字編碼,下一步就是對語音包以特定的幀長進(jìn)行壓縮編碼����。大部份的編碼器都有特定的幀長,若一個(gè)編碼器使用15 ms的幀����,則把從第一來的60 ms的包分成4幀,并按順序進(jìn)行編碼�。每個(gè)幀合120個(gè)語音樣點(diǎn)(抽樣率為8 kHz)。編碼后����,將4個(gè)壓縮的幀合成一個(gè)壓縮的語音包送入網(wǎng)絡(luò)處理器。網(wǎng)絡(luò)處理器為語音添加包頭��、時(shí)標(biāo)和其它信息后通過網(wǎng)絡(luò)傳送到另一端點(diǎn)��。語音網(wǎng)絡(luò)簡單地建立通信端點(diǎn)之間的物理連接(一條線路)�����,并在端點(diǎn)之間傳輸編碼的信號�����。
3.3 傳送
在這個(gè)通道中��,全部網(wǎng)絡(luò)被看成一個(gè)從輸入端接收語音包,然后在一定時(shí)間(t)內(nèi)將其傳送到網(wǎng)絡(luò)輸出端��。
3.4 IP包-數(shù)據(jù)的轉(zhuǎn)換
目的地VOIP設(shè)備接收這個(gè)IP數(shù)據(jù)并開始處理�����。網(wǎng)絡(luò)提供一個(gè)可變長度的緩沖器����,該緩沖器可容納許多語音包。其次��,解碼器將經(jīng)編碼的語音包解壓縮后產(chǎn)生新的語音包����,這個(gè)模塊也可以按幀進(jìn)行操作,完全和解碼器的長度相同�����。若幀長度為15 ms�,是60 ms的語音包被分成4幀,然后它們被解碼還原成60 ms的語音數(shù)據(jù)流送入解碼緩沖器��。在數(shù)據(jù)報(bào)的處理過程中�����,去掉尋址和控制信息,保留原始的原數(shù)據(jù)���,然后把這個(gè)原數(shù)據(jù)提供給解碼器。
3.5 數(shù)字語音轉(zhuǎn)換為模擬語音
播放驅(qū)動器將緩沖器中的語音樣點(diǎn)(480個(gè))取出送入聲卡�,通過揚(yáng)聲器按預(yù)定的頻率(例如8 kHz)播出。簡而言之���,語音信號在IP網(wǎng)絡(luò)上的傳送要經(jīng)過從模擬信號到數(shù)字信號的轉(zhuǎn)換���、數(shù)字語音封裝成IP分組、IP分組通過網(wǎng)絡(luò)的傳送���、IP分組的解包和數(shù)字語音還原到模擬信號等過程�。
4 網(wǎng)絡(luò)電話技術(shù)的信令協(xié)議淺析
與VOIP相關(guān)的網(wǎng)絡(luò)技術(shù)協(xié)議很多��,常見的有控制實(shí)時(shí)數(shù)據(jù)流應(yīng)用在IP網(wǎng)絡(luò)傳輸?shù)腞TP和RTCP�;有保證網(wǎng)絡(luò)QoS質(zhì)量服務(wù)的RSVP和IP different Service等,還有傳統(tǒng)語音數(shù)字化編碼的一系列協(xié)議如G.711�、G.728、G.723�����、G.729等等。這里我們要討論信令(signaling)協(xié)議��,在網(wǎng)絡(luò)電話系統(tǒng)基礎(chǔ)組成部分之間如何進(jìn)行呼叫控制與交換的標(biāo)準(zhǔn)規(guī)程��。
4.1 H.323
由ITU-T工業(yè)標(biāo)準(zhǔn)組織為VOIP制定的標(biāo)準(zhǔn)化信令協(xié)議�����,定義為基于包交換的多媒體傳輸系統(tǒng)�。H.323結(jié)構(gòu)體系由H.323終端、網(wǎng)關(guān)�、關(guān)守和多點(diǎn)控制單元MCU組成。H.323的目標(biāo)是可以使H.323的節(jié)點(diǎn)之間交換媒體數(shù)據(jù)流�。
4.2 SIP(Session Initiated Protocol)
SIP是IETF定義多媒體數(shù)據(jù)和控制體系結(jié)構(gòu)中的重要組成部分。SIP是一種信令協(xié)議����,用來建立、修改和終結(jié)多媒體會話�。它還結(jié)合其他幾個(gè)IETF的協(xié)議SDP、RSVP和SAP協(xié)同工作�,一般采用RTP/RTCP協(xié)議進(jìn)行傳輸控制。
4.3 MGCP(Media Gateway Control Protocol)和Megaco/H.248
用來控制媒體網(wǎng)關(guān)通信的協(xié)議�����。在企業(yè)VOIP網(wǎng)絡(luò)與電信運(yùn)營商VOIP服務(wù)網(wǎng)絡(luò)相連接的網(wǎng)關(guān)系統(tǒng)上支持。
5 基于WINDOWS 2003的VPN語音傳輸
本文實(shí)現(xiàn)環(huán)境為ADSL下使用路由器�����,然后在路由器下面的一臺主機(jī)作為VPN服務(wù)器��。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1����。
5.1 獲取VPN服務(wù)器的地址
花生殼是完全免費(fèi)的桌面式域名管理和動態(tài)域名解析(DDNS)等功能為一體的客戶端軟件����。本例是通作在ADSL貓之后又使用了桌面路由器接入Internet的,通過這種方式一定要在路由器中作端口映射���,由于windows 2003的VPN服務(wù)用的是1723端口�����,將1723端口映射到192.168.0.5這臺設(shè)有VPN服務(wù)的機(jī)器����。然后,在訪問策略中要允許VPN通過路由器��。由于路由器支持DDNS����,所以填入申請的花生殼賬號和密碼,這樣省去了在VPN服務(wù)器上安裝花生殼的麻煩�����,這樣�����,在網(wǎng)絡(luò)上訪問域名yangc 的時(shí)候��,Internet自動就找到了這臺路由器����,并通過端口映射把地址映射到了VPN服務(wù)器。
5.2 WINDOWS 2003中配置VPN
選擇“開始”“所有程序”“管理工具”“路由和遠(yuǎn)程訪問”�,打開路由和遠(yuǎn)程訪問的配置界面,在配置中選擇“遠(yuǎn)程訪問(撥號或VPN)”����,在遠(yuǎn)程訪問中選擇“VPN”���,在IP地址指定中選擇“來自一個(gè)指定的地址范圍”,這里添加一個(gè)范圍�,即VPN連接的客戶端撥入的時(shí)候使用的地址,比如從“10.0.0.100”到“10.0.0.110”�����。RADIUS服務(wù)器配置比較復(fù)雜���,這里由于對安全性不高����,所以在管理多個(gè)遠(yuǎn)程訪問服務(wù)器中��,選擇使用路由和遠(yuǎn)程訪問自己的認(rèn)證方式進(jìn)行鑒權(quán)�。要登錄到VPN服務(wù)器�,必須要知道該服務(wù)器的一個(gè)有撥入權(quán)限的用戶,打開計(jì)算機(jī)管理頁面��,在本地用戶和組里邊新建一個(gè)用戶���,給這個(gè)用戶遠(yuǎn)程登錄的權(quán)限����,一定要在“遠(yuǎn)程訪問權(quán)限”處選擇“允許訪問”,不然就無法登錄�����。創(chuàng)建好了賬號之后����,點(diǎn)擊賬號屬性,授予賬號遠(yuǎn)程撥入的權(quán)限����。
5.3 VPN客戶端的設(shè)置
先用本機(jī)測試過程如下:右鍵“網(wǎng)上鄰居”“屬性”,打開網(wǎng)絡(luò)連接后點(diǎn)擊“新建連接向?qū)А薄?/p>
打開新建連接向?qū)?�,選擇“連接到我的工作場所的網(wǎng)絡(luò)選項(xiàng)”要建立的是VPN��, “虛擬專用網(wǎng)絡(luò)連接”�。公司名只起到識別網(wǎng)絡(luò)連接的作用,這里�,填入VPN。因?yàn)楝F(xiàn)在做的是本機(jī)的測試��,所以填入的IP地址為本機(jī)的地址192.168.0.5,用戶VPN就是剛才新建的用戶�����。在可用連接中選擇“任何人使用”點(diǎn)擊完成之后出現(xiàn)了(如圖2)的界面����,填入有遠(yuǎn)程接入權(quán)限的賬號密碼。
到這里�,基于PPTP的連接就建立完成了。打開CMD窗口�,使用IPCONFIG/ALL的命令查看網(wǎng)絡(luò)連接,會看見三個(gè)網(wǎng)卡�,其中一個(gè)IP地址為192.168.0.5的就是本機(jī)網(wǎng)卡,另外兩個(gè)是剛才做本機(jī)測試時(shí)建立的����,它們的IP地址為10.0.0.xxx��,這是VPN默認(rèn)的IP地址連接的撥入地址和播出地址����。
上面的服務(wù)器中的測試完成后,就可以在任何有Internet接入的地方進(jìn)行遠(yuǎn)程連接了,其過程和在本機(jī)連接測試的過程一樣�����,在實(shí)際連接時(shí)到“連接VPN”這一步時(shí)�����,輸入VPN服務(wù)器所在的公網(wǎng)IP�,因?yàn)槭莿討B(tài)的IP,所以填入DDNS��,即激活了花生殼動態(tài)域名解析服務(wù)的域名����。
5.4 實(shí)現(xiàn)IP語音
本論文使用了小小程序員編寫的局域網(wǎng)語音視頻工具。界面(如圖3)���,這個(gè)軟件的缺點(diǎn)是必須知道要通話方的IP地址�。
如果是LAN環(huán)境�,填入IP,這里使用在VPN環(huán)境����,所以要使用VPN連接獲取到的IP地址�?���?梢杂肐PCONFIG獲得。(如圖4)顯示���,VPN連接獲取的IP為169.254.157.53�����。
打開軟件之后�����,填入要連接的IP地址����,如果網(wǎng)絡(luò)正常����,就會有連接成功的提示,之后�����,就可以向?qū)Ψ桨l(fā)送語音了�,發(fā)送之后,對方只要接受就可以聽到語音(如圖5)�。
6 結(jié)論
本文先介紹了VPN的種類,常見的加密協(xié)議等����,然后對VOIP進(jìn)行了詳盡的介紹,最后在WINDOWS 2003 SERVER組建的VPN環(huán)境中成功的實(shí)現(xiàn)了語音的傳輸����。文中使用花生殼解決了ADSL撥號上網(wǎng)IP不固定的問題,使用端口映射解決了VPN服務(wù)器在虛擬LAN環(huán)境不能直接從Internet訪問的問題�,達(dá)到了預(yù)期的效果。
參考文獻(xiàn)
[1] 高海英�,薛元星,辛陽.VPN技術(shù)[M].北京:機(jī)械工業(yè)出版社��,2004(4).
[2](美)佩皮賈克.MPLS和VPN體系結(jié)構(gòu)CCIP版[M].趙斌��,譯.北京:人民郵電出版社�,2003(4).
[3]Marcus Goncalves.IP網(wǎng)絡(luò)語音技術(shù)[M].北京:機(jī)械工業(yè)出版社�����,1999(11).
第7篇
論文關(guān)鍵詞:SSL;SSLVPN;遠(yuǎn)程接入
1引言
打造遠(yuǎn)程安全接入平臺��,一直是網(wǎng)絡(luò)遠(yuǎn)程訪問的迫切需求����。當(dāng)前���,眾多的安全協(xié)議(如PPTP.L2TP.IPSec和MPLS)各具特色并側(cè)重于不同的方面�,但能同時(shí)結(jié)合簡易�����、安全兩項(xiàng)特性的則非SSL莫屬���,SSLVPN是平衡訪問自由度和安全性的出色解決方案�。
2SSL
安全套接層(SecureSocketsLayer,SSL)是Netscape于1994年提出的基于Web應(yīng)用的安全協(xié)議����,它介于HTTP及TCP之間,高層協(xié)議可以透明地運(yùn)行在該協(xié)議之上����,它指定了一種在應(yīng)用程序協(xié)議和丁CP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制�����,能為丁CP/IP連接提供數(shù)據(jù)加密����、服務(wù)器認(rèn)證、消息完整性以及可選的客戶機(jī)認(rèn)證����。其安全連接基于握手協(xié)議���、記錄協(xié)議和警告協(xié)議來完成�。
3SSLVPN主要特點(diǎn)
(1)高安全性:SSL安全通道可確保端到端真正安全可靠的連接����,能有效保證信息的真實(shí)性��、完整性和保密性。
(2)高易用性:無需客戶端的安裝和配置�����,對終端系統(tǒng)具有良好的兼容性���。
(3)高性價(jià)比:不需要配置��,易于部署及管理�����,可有效降低網(wǎng)絡(luò)配置成本��。
(4)高可擴(kuò)展性和兼容性:可隨時(shí)添加需要VPN保護(hù)的服務(wù)器�,并適用于大多數(shù)設(shè)備。
(5)高效的資源控制能力:可區(qū)分用戶設(shè)置訪問權(quán)限����,實(shí)現(xiàn)區(qū)分對待的資源控制策略�。
4SSLVPN應(yīng)用優(yōu)勢
隨著軍隊(duì)院校網(wǎng)絡(luò)信息化建設(shè)的推進(jìn)�����,實(shí)際應(yīng)用中面臨著越來越多的跨地域��、跨部門的數(shù)據(jù)傳遞�,以及大量的遠(yuǎn)程訪問內(nèi)網(wǎng)的需求�����。例如跨地域的會商研討����、數(shù)據(jù)采集、資料檢索����、分支部門和下屬機(jī)構(gòu)的機(jī)要信息交換等。根據(jù)這些需求和實(shí)際情況����,下面主要從SSLVPN和IPSecVPN對比出發(fā),全面衡量SSLVPN的優(yōu)勢�����。
(1)謹(jǐn)慎靈活的接入認(rèn)證策略��。在遠(yuǎn)程接入過程中,用戶身份驗(yàn)證是整個(gè)過程的第一環(huán)����,也是最重要的一環(huán),如果不能有效識別用戶的身份���,使得非法用戶接入�����,將給內(nèi)部網(wǎng)絡(luò)帶來極大的安全隱患。
SSLVPN提供對所傳送數(shù)據(jù)的加密�、認(rèn)證和發(fā)送源的身份認(rèn)證�,支持將多種身份識別方式進(jìn)行組合,一般包括USB-Key�、硬件特征碼、數(shù)字證書�����、動態(tài)令牌���、短信認(rèn)證等���,而且可以對訪問權(quán)限進(jìn)行嚴(yán)格的等級劃分����,實(shí)現(xiàn)不同用戶對于不同應(yīng)用程序的控制��。
(2)穩(wěn)妥有效的數(shù)據(jù)保護(hù)策略�����。因?yàn)镾SLVPN接入的是內(nèi)部網(wǎng)絡(luò)的應(yīng)用���,而不是整個(gè)網(wǎng)絡(luò)�����,并限制了非Web端口的訪問�����,使得部分文件操作功能不易實(shí)現(xiàn)����,這實(shí)際上也起到了相應(yīng)的保護(hù)功能����。同時(shí)�����,SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端�,客戶端的大多數(shù)病毒木馬感染不到內(nèi)網(wǎng)服務(wù)器�����。而IPSecVPN實(shí)現(xiàn)的是IP級別的訪問�����,使得局域網(wǎng)能夠傳播的病毒���,通過VPN也能夠傳播,極易導(dǎo)致內(nèi)部網(wǎng)絡(luò)的防病毒策略形同虛設(shè)���。一旦惡意IPSecVPN用戶獲得權(quán)限通過了網(wǎng)關(guān)�����,無疑會給內(nèi)網(wǎng)帶來災(zāi)難性的后果,但SSLVPN大大減弱了類似的風(fēng)險(xiǎn)��。
第8篇
[論文關(guān)鍵詞] 電子商務(wù) 信息安全 信息安全技術(shù) 數(shù)字認(rèn)證 安全協(xié)議
[論文摘 要]電子商務(wù)是新興商務(wù)形式�����,信息安全的保障是電子商務(wù)實(shí)施的前提。本文針對電子商務(wù)活動中存在的信息安全隱患問題���,實(shí)施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)����、身份驗(yàn)證技術(shù)、防火墻技術(shù)等技術(shù)性措施�����,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境����,促進(jìn)我國電子商務(wù)可持續(xù)發(fā)展�。
隨著網(wǎng)絡(luò)的發(fā)展���,電子商務(wù)的迅速崛起�����,使網(wǎng)絡(luò)成為國際競爭的新戰(zhàn)場�。然而���,由于網(wǎng)絡(luò)技術(shù)本身的缺陷�����,使得網(wǎng)絡(luò)社會的脆性大大增加���,一旦計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊不能正常運(yùn)作時(shí)���,整個(gè)社會就會陷入危機(jī)。所以����,構(gòu)筑安全的電子商務(wù)信息環(huán)境�����,愈來愈受到國際社會的高度關(guān)注����。
一�、電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善����,包括密碼���、鑒別���、訪問控制����、信息流控制���、數(shù)據(jù)保護(hù)、軟件保護(hù)�����、病毒檢測及清除�、內(nèi)容分類識別和過濾�����、網(wǎng)絡(luò)隱患掃描���、系統(tǒng)安全監(jiān)測報(bào)警與審計(jì)等技術(shù)�。
1.防火墻技術(shù)�����。防火墻主要是加強(qiáng)網(wǎng)絡(luò)之間的訪問控制�����, 防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)�����。
2.加密技術(shù)�。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)����,當(dāng)需要時(shí)可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)���。
3.數(shù)字簽名技術(shù)���。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者�,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要���。
4.數(shù)字時(shí)間戳技術(shù)���。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔�����,包括需加時(shí)間戳的文件的摘要�、DTS 收到文件的日期與時(shí)間和DIS 數(shù)字簽名,用戶首先將需要加時(shí)間的文件用HASH編碼加密形成摘要�,然后將該摘要發(fā)送到DTS,DTS 在加入了收到文件摘要的日期和時(shí)間信息后再對該文件加密���,然后送回用戶���。
二、電子商務(wù)安全防范措施
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)�。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法���、安全的網(wǎng)絡(luò)協(xié)議�、網(wǎng)絡(luò)防火墻、完善的安全管理制度��、硬件的加密和物理保護(hù)�、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來進(jìn)行考慮和完善�。
1.防火墻技術(shù)
用過Internet,企業(yè)可以從異地取回重要數(shù)據(jù)�����,同時(shí)又要面對 Internet 帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn):即客戶�、推銷商�����、移動用戶�、異地員工和內(nèi)部員工的安全訪問;以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此��,企業(yè)必須加筑安全的“壕溝”�,而這個(gè)“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻必須只允許授權(quán)的數(shù)據(jù)通過�,而且防火墻本身必須能夠免于滲透��。
2. VPN技術(shù)
虛擬專用網(wǎng)簡稱VPN�,指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng),依靠IPS或 NSP在安全隧道����、用戶認(rèn)證和訪問控制等相關(guān)技術(shù)的控制下達(dá)到與專用網(wǎng)絡(luò)類同的安全性能�����,從而實(shí)現(xiàn)基于 Internet 安全傳輸重要信息的效應(yīng)�����。目前VPN 主要采用四項(xiàng)技術(shù)來保證安全�, 這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)�����、密鑰管理技術(shù)����、使用者與設(shè)備身份認(rèn)證技術(shù)�����。
3.數(shù)字簽名技術(shù)
為了保證數(shù)據(jù)和交易的安全����、防止欺騙,確認(rèn)交易雙方的真實(shí)身份�����,電子商務(wù)必須采用加密技術(shù)����。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來確定用戶是否是真實(shí)的�����。數(shù)字簽名就是通過一個(gè)單向哈希函數(shù)對要傳送的報(bào)文進(jìn)行處理而得到的用以認(rèn)證報(bào)文是否發(fā)生改變的一個(gè)字母數(shù)字串����。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者�����,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后,就可確認(rèn)消息來自于誰���,同時(shí)也是對發(fā)送者發(fā)送的信息真實(shí)性的一個(gè)證明�,發(fā)送者對所發(fā)信息不可抵賴�����,從而實(shí)現(xiàn)信息的有效性和不可否認(rèn)性���。
三����、電子商務(wù)的安全認(rèn)證體系
隨著計(jì)算機(jī)的發(fā)展和社會的進(jìn)步,通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)活動當(dāng)今社會越來越頻繁�,身份認(rèn)證是一個(gè)不得不解決的重要問題,它將直接關(guān)系到電子商務(wù)活動能否高效而有序地進(jìn)行���。認(rèn)證體系在電子商務(wù)中至關(guān)重要���,它是用戶獲得訪問權(quán)限的關(guān)鍵步驟?���,F(xiàn)代密碼的兩個(gè)最重要的分支就是加密和認(rèn)證��。加密目的就是防止敵方獲得機(jī)密信息�。認(rèn)證則是為了防止敵方的主動攻擊,包括驗(yàn)證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^程被篡改刪除����、插入�����、偽造及重放等���。認(rèn)證主要包括三個(gè)方面:消息認(rèn)證�、身份認(rèn)證和數(shù)字簽名。
身份認(rèn)證一般是通過對被認(rèn)證對象(人或事)的一個(gè)或多個(gè)參數(shù)進(jìn)行驗(yàn)證����。從而確定被認(rèn)證對象是否名實(shí)相符或有效�����。這要求要驗(yàn)證的參數(shù)與被認(rèn)證對象之間應(yīng)存在嚴(yán)格的對應(yīng)關(guān)系����,最好是惟一對應(yīng)的。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡����。
數(shù)字證書是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)���。提供了一種 Internet 上驗(yàn)證用戶身份的方式,其作用類似于司機(jī)的駕駛執(zhí)照或身份證��。它是由一個(gè)權(quán)威機(jī)構(gòu)CA機(jī)構(gòu)�,又稱為證書授權(quán)(Certificate Authority)中心發(fā)行的���,人們可以在網(wǎng)上用它識別彼此的身份�����。
四�����、結(jié)束語
安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100%的安全。但是���,安全技術(shù)可以降低系統(tǒng)遭到破壞�、攻擊的風(fēng)險(xiǎn)���。因此��,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展�,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問題����,使電子商務(wù)系統(tǒng)相對更安全。電子商務(wù)的安全運(yùn)行必須從多方面入手�,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法���,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問題����,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展����。
參考文獻(xiàn)
[1] 勞幗齡.電子商務(wù)的安全技術(shù)[M].北京:中國水利水電出版社,2005.
[2] 趙泉.網(wǎng)絡(luò)安全與電子商務(wù)[M].北京:清華大學(xué)出版社,2005.
