當前位置：首頁 > 文庫 > 文案

vpn技術論文范文10篇

時間：2024-08-15 14:07:42 78

vpn技術論文

vpn技術論文范文第1篇

關鍵詞VPN；虛擬專用網；SSLVPN；IPSecVPN

1引言

VPN(VirtualPrivateNetwork)即虛擬專用網，是一項迅速發展起來的新技術，主要用于在公用網絡中建立專用的數據通信網絡。由于它只是使用因特網而不是專線來連接分散在各地的本地網絡，僅在效果上和真正的專用網一樣，故稱之為虛擬專用網。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。一個網絡連接通常由客戶機、傳輸介質和服務器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術。所謂隧道技術就是在內部數據報的發送接受過程中使用了加密解密技術，使得傳送數據報的路由器均不知道數據報的內容，就好像建立了一條可信賴的隧道。該技術也是基于TCP/IP協議的。

2隧道技術的實現

假設某公司在相距很遠的兩地的部門A和B建立了虛擬專用網，其內部網絡地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網進行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，如圖1所示。

圖1

現在設部門A的主機X向部門B的主機Y發送數據報，源地址是20.1.0.1而目的地址是20.2.0.3。該數據報從主機X發送給路由器R1。路由器R1收到這個內部數據報后進行加密，然后重新封裝成在因特網上發送的外部數據報，這個外部數據報的源地址是R1在因特網上的IP地址125.1.2.3，而目的地址是路由器R2在因特網上的IP地址192.168.5.27。路由器R2收到R1發送的數據報后，對其進行解密，恢復出原來的內部數據報，并轉發給主機Y。這樣便實現了虛擬專用網的數據傳輸。

3軍隊院校校園網建設VPN技術應用設想

隨著我軍三期網的建設，VPN技術也可廣泛應用于軍隊院校的校園網建設之中。這是由軍隊院校的實際需求所決定的。首先，軍隊的特殊性要求一些信息的傳達要做到安全可靠，采用VPN技術會大大提高網絡傳輸的可靠性；第二，軍隊院校不但有各教研室和學員隊，還包括保障部隊、管理機構等，下屬部門較多，有些部門相距甚至不在一個地方，采用VPN技術可簡化網絡的設計和管理；第三，采用了VPN技術后將為外出調研的教員、學員們以及其它軍隊院校的用戶通過軍隊網訪問本校圖書館查閱資料提供便利。

而VPN技術的特點正好能夠滿足以上幾點需求。首先是安全性，VPN通過使用點到點協議(PPP)用戶級身份驗證的方法進行驗證，這些驗證方法包括：密碼身份驗證協議(PAP)、質詢握手身份驗證協議(CHAP)、Shiva密碼身份驗證協議(SPAP)、Microsoft質詢握手身份驗證協議(MS-CHAP)和可選的可擴展身份驗證協議(EAP)，并且采用微軟點對點加密算法(MPPE)和網際協議安全(IPSec)機制對數據包進行加密。對于敏感的數據，還可以使用VPN連接通過VPN服務器將高度敏感的數據服務器物理地進行分隔，只有擁有適當權限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接，并且可以訪問敏感部門網絡中受到保護的資源。第二，在解決異地訪問本地電子資源問題上，這正是VPN技術的主要特點之一，可以讓外地的授權用戶方便地訪問本地的資源。目前，主要的VPN技術有IPSecVPN和SSLVPN兩種。其中IPSec技術的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當接收到一個IP數據包時，包過濾防火墻使用其頭部在一個規則表中進行匹配。當找到一個相匹配的規則時，包過濾防火墻就按照該規則制定的方法對接收到的IP數據包進行處理。但是IPSec不同于包過濾防火墻的是，對IP數據包的處理方法除了丟棄，直接轉發(繞過IPSec)外還能對IP數據包進行加密和認證。而SSLVPN技術則是近幾年發展起來的新技術，它能夠更加有效地進行訪問控制，而且安全易用，不需要高額的費用。該技術主要具有以下幾個特點：第一，安全性高；第二，便于擴展；第三，簡單性；第四，兼容性好。

我認為軍隊院校校園網VPN技術應主要采用SSLVPN技術。首先因為其安全性好，由于IPSecVPN部署在網絡層，因此，內部網絡對于通過VPN的使用者來說是透明的，只要是通過了IPSecVPN網關，它可以在內部為所欲為。因此，IPSecVPN的目標是建立起來一個虛擬的IP網，而無法保護內部數據的安全，而SSLVPN則是接入企業內部的應用，而不是企業的整個網絡。它可以根據用戶的不同身份，給予不同的訪問權限，從而保護具體的敏感數據。并且數據加密的安全性有加密算法來保證。對于軍隊機構，安全保密應該是主要考慮的方面之一。第二，SSLVPN與IPSecVPN相比，具有更好的可擴展性。可以隨時根據需要，添加需要VPN保護的服務器。而IPSecVPN在部署時，要考慮網絡的拓撲結構，如果增添新的設備，往往要改變網絡結構，那么IPSecVPN就要重新部署。第三，操作的復雜度低，它不需要配置，可以立即安裝、立即生效，另外客戶端不需要麻煩的安裝，直接利用瀏覽器中內嵌的SSL協議就行。第四，SSLVPN的兼容性很好，而不像傳統的IPSecVPN對客戶端采用的操作系統版本具有很高的要求，不同的終端操作系統需要不同的客戶端軟件。此外，使用SSLVPN還具有更好的經濟性，這是因為只需要在總部放置一臺硬件設備就可以實現所有用戶的遠程安全訪問接入；但是對于IPSecVPN來說，每增加一個需要訪問的分支就需要添加一個硬件設備。

雖然SSLVPN的優點很多，但也可結合使用IPSecVPN技術。因為這兩種技術目前應用在不同的領域。SSLVPN考慮的是應用軟件的安全性，更多應用在Web的遠程安全接入方面；而IPSecVPN是在兩個局域網之間通過網絡建立的安全連接，保護的是點對點之間的通信，并且，IPSecVPN工作于網絡層，不局限于Web應用。它構建了局域網之間的虛擬專用網絡，對終端站點間所有傳輸數據進行保護，而不管是哪類網絡應用，安全和應用的擴展性更強。可用于軍校之間建立虛擬專用網，進行安全可靠的信息傳送。

4結論

總之，VPN是一項綜合性的網絡新技術，目前的運用還不是非常地普及，在軍隊網中的應用更是少之又少。但是隨著全軍三期網的建成以及我軍信息化建設的要求，VPN技術將會發揮其應有的作用。

參考文獻

[1]謝希仁.計算機網絡(第4版).北京：電子工業出版社，2003

vpn技術論文范文第2篇

關鍵詞：虛擬專用網VPN遠程訪問網絡安全

引言

隨著信息時代的來臨，企業的發展也日益呈現出產業多元化、結構分布化、管理信息化的特征。計算機網絡技術不斷提升，信息管理范圍不斷擴大，不論是企業內部職能部門，還是企業外部的供應商、分支機構和外出人員，都需要同企業總部之間建立起一個快速、安全、穩定的網絡通信環境。怎樣建立外部網絡環境與內部網絡環境之間的安全通信，實現企業外部分支機構遠程訪問內部網絡資源，成為當前很多企業在信息網絡化建設方面亟待解決的問題。

一、VPN技術簡介

VPN（VirtualPrivateNetwork）即虛擬專用網絡，指的是依靠ISP（Internet服務提供商）和其他NSP（網絡服務提供商）在公用網絡中建立專用的數據通信網絡的技術，通過對網絡數據的封裝和加密傳輸，在公用網絡上傳輸私有數據的專用網絡。在隧道的發起端（即服務端），用戶的私有數據經過封裝和加密之后在Internet上傳輸，到了隧道的接收端（即客戶端），接收到的數據經過拆封和解密之后安全地到達用戶端。

VPN可以提供多樣化的數據、音頻、視頻等服務以及快速、安全的網絡環境，是企業網絡在互聯網上的延伸。該技術通過隧道加密技術達到類似私有網絡的安全數據傳輸功能，具有接入方式靈活、可擴充性好、安全性高、抗干擾性強、費用低等特點。它能夠提供Internet遠程訪問，通過安全的數據通道將企業分支機構、遠程用戶、現場服務人員等跟公司的企業網連接起來，構成一個擴展的公司企業網，此外它還提供了對移動用戶和漫游用戶的支持，使網絡時代的移動辦公成為現實。

隨著互聯網技術和電子商務的蓬勃發展，基于Internet的商務應用在企業信息管理領域得到了長足發展。根據企業的商務活動，需要一些固定的生意伙伴、供應商、客戶也能夠訪問本企業的局域網，從而簡化信息傳遞的路徑，加快信息交換的速度，提高企業的市場響應速度和決策速度。同時，圍繞企業自身的發展戰略，企業的分支機構越來越多，企業需要與各分支機構之間建立起信息相互訪問的渠道。面對越來越復雜的網絡應用和日益突出的信息處理問題，VPN技術無疑給我們提供了一個很好的解決思路。VPN可以幫助遠程用戶同公司的內部網建立可信的安全連接，并保證數據的安全傳輸，通過將數據流轉移到低成本的網絡上，大幅度地減少了企業、分支機構、供應商和客戶花在信息傳遞環節的時間，降低了企業局域網和Internet安全對接的成本。VPN的應用建立在一個全開放的Internet環境之中，這樣就大大簡化了網絡的設計和管理，滿足了不斷增長的移動用戶和Internet用戶的接入，以實現安全快捷的網絡連接。

二、基于Internet的VPN網絡架構及安全性分析

VPN技術類型有很多種，在互聯網技術高速發展的今天，可以利用Internet網絡技術實現VPN服務器架構以及客戶端連接應用，基于Internet環境的VPN技術具有成本低、安全性好、接入方便等特點，能夠很好的滿足企業對VPN的常規需求。

2.1Internet環境下的VPN網絡架構Internet環境下的VPN網絡包括VPN服務器、VPN客戶端、VPN連接、隧道等幾個重要環節。在VPN服務器端，用戶的私有數據經過隧道協議和和數據加密之后在Internet上傳輸，通過虛擬隧道到達接收端，接收到的數據經過拆封和解密之后安全地傳送給終端用戶，最終形成數據交互。基于Internet環境的企業VPN網絡拓撲結構。

2.2VPN技術安全性分析VPN技術主要由三個部分組成：隧道技術，數據加密和用戶認證。隧道技術定義數據的封裝形式，并利用IP協議以安全方式在Internet上傳送；數據加密保證敏感數據不會被盜取；用戶認證則保證未獲認證的用戶無法訪問網絡資源。VPN的實現必須保證重要數據完整、安全地在隧道中進行傳輸，因此安全問題是VPN技術的核心問題，目前，VPN的安全保證主要是通過防火墻和路由器，配以隧道技術、加密協議和安全密鑰來實現的，以此確保遠程客戶端能夠安全地訪問VPN服務器。

在運行性能方面，隨著企業電子商務活動的激增，信息處理量日益增加，網絡擁塞的現象經常發生，這給VPN性能的穩定帶來極大的影響。因此制定VPN方案時應考慮到能夠對網絡通信進行控制來確保其性能。我們可以通過VPN管理平臺來定義管理策略，分配基于數據傳輸重要性的接口帶寬，這樣既能滿足重要數據優先應用的原則，又不會屏蔽低優先級的應用。考慮到網絡設施的日益完善、網絡應用程序的不斷增加、網絡用戶數量的快速增長，對與復雜的網絡管理、網絡安全、權限分配的綜合處理能力是VPN方案應用的關鍵。因此VPN方案要有一個固定的管理策略以減輕管理、報告等方面的負擔，管理平臺要有一個定義安全策略的簡單方法，將安全策略進行合理分布，并能管理大量網絡設備，確保整個運行環境的安全穩定。

三、Windows環境下VPN網絡的設計與應用

企業利用Internet網絡技術和Windows系統設計出VPN網絡，無需鋪設專用的網絡通訊線路，即可實現遠程終端對企業資源的訪問和共享。在實際應用中，VPN服務端需要建立在Windows服務器的運行環境中，客戶端幾乎適用于所有的Windows操作系統。下面以Windows2003系統為例介紹VPN服務器與客戶端的配置。

3.1Windows2003系統中VPN服務器的安裝配置在Windows2003系統中VPN服務稱之為“路由和遠程訪問”，需要對此服務進行必要的配置使其生效。

3.1.1VPN服務的配置。桌面上選擇“開始”“管理工具”“路由和遠程訪問”，打開“路由和遠程訪問”服務窗口；鼠標右鍵點擊本地計算機名，選擇“配置并啟用路由和遠程訪問”；在出現的配置向導窗口點下一步，進入服務選擇窗口；標準VPN配置需要兩塊網卡（分別對應內網和外網），選擇“遠程訪問（撥號或VPN）”；外網使用的是Internet撥號上網，因此在彈出的窗口中選擇“VPN”；下一步連接到Internet的網絡接口，此時會看到服務器上配置的兩塊網卡及其IP地址，選擇連接外網的網卡；在對遠程客戶端指派地址的時候，一般選擇“來自一個指定的地址范圍”，根據內網網段的IP地址，新建一個指定的起始IP地址和結束IP地址。最后，“設置此服務器與RADIUS一起工作”選否。VPN服務器配置完成。

3.1.2賦予用戶撥入權限設置。默認的系統用戶均被拒絕撥入到VPN服務器上，因此需要為遠端用戶賦予撥入權限。在“管理工具”中打開“計算機管理”控制臺；依次展開“本地用戶和組”“用戶”，選中用戶并進入用戶屬性設置；轉到“撥入”選項卡，在“選擇訪問權限(撥入或VPN)”選項組下選擇“允許訪問”，即賦予了遠端用戶撥入VPN服務器的權限。

3.2VPN客戶端配置VPN客戶端適用范圍更廣，這里以Windows2003為例說明，其它的Windows操作系統配置步驟類似。

在桌面“網上鄰居”圖標點右鍵選屬性，之后雙擊“新建連接向導”打開向導窗口后點下一步；接著在“網絡連接類型”窗口里選擇“連接到我的工作場所的網絡”；在網絡連接方式窗口里選擇“虛擬專用網絡連接”；接著為此連接命名后點下一步；在“VPN服務器選擇”窗口里，輸入VPN服務端地址，可以是固定IP，也可以是服務器域名；點下一步依次完成客戶端設置。在連接的登陸窗口中輸入服務器所指定的用戶名和密碼，即可連接上VPN服務器端。:

3.3連接后的共享操作當VPN客戶端撥入連接以后，即可訪問服務器所在局域網里的信息資源，就像并入局域網一樣適用。遠程用戶既可以使用企業OA，ERP等信息管理系統，也可以使用文件共享和打印等共享資源。

四、小結

現代化企業在信息處理方面廣泛地應用了計算機互聯網絡，在企業網絡遠程訪問以及企業電子商務環境中，虛擬專用網(VPN)技術為信息集成與優化提供了一個很好的解決方案。VPN技術利用在公共網絡上建立安全的專用網絡，從而為企業用戶提供了一個低成本、高效率、高安全性的資源共享和互聯服務，是企業內部網的擴展和延伸。VPN技術在企業資源管理與配置、信息的共享與交互、供應鏈集中管理、電子商務等方面都具有很高的應用價值，在未來的企業信息化建設中具有廣闊的前景。

參考文獻:

[1]閆曉弟，耶健.基于VPN的電子資源遠程訪問系統的研究與實現.情報雜志.2009(8).

vpn技術論文范文第3篇

一、現代金融網絡系統典型架構及其安全現狀

就金融業目前的大部分網絡應用而言，典型的省內網絡結構一般是由一個總部（省級網絡中心）和若干個地市分支機構、以及數量不等的合作伙伴和移動遠程（撥號）用戶所組成。除遠程用戶外，其余各地市分支機構均為規模不等的局域網絡系統。其中省級局域網絡是整個網絡系統的核心，為金融機構中心服務所在地，同時也是該金融企業的省級網絡管理中心。而各地市及合作伙伴之間的聯接方式則多種多樣，包括遠程撥號、專線、Internet等。

從省級和地市金融機構的互聯方式來看，可以分為以下三種模式：（1）移動用戶和遠程機構用戶通過撥號訪問網絡，撥號訪問本身又可分為通過電話網絡撥入管理中心訪問服務器和撥入網絡服務提供商兩種方式；（2）各地市遠程金融分支機構局域網通過專線或公共網絡與總部局域網絡連接；（3）合作伙伴（客戶、供應商）局域網通過專線或公共網絡與總部局域網連接。

由于各類金融機構網絡系統均有其特定的發展歷史，其網絡技術的運用也是傳統技術和先進技術兼收并蓄。通常在金融機構的網絡系統建設過程中，主要側重于網絡信息系統的穩定性并確保金融機構的正常生產營運。

就網絡信息系統安全而言，目前金融機構的安全防范機制仍然是脆弱的，一般金融機構僅利用了一些常規的安全防護措施，這些措施包括利用操作系統、數據庫系統自身的安全設施；購買并部署商用的防火墻和防病毒產品等。在應用程序的設計中，也僅考慮到了部分信息安全問題。應該說這在金融業務網絡建設初期的客觀環境下是可行的，也是客觀條件限制下的必然。由于業務網絡系統中大量采用不是專為安全系統設計的各種版本的商用基礎軟件，這些軟件通常僅具備一些基本的安全功能，而且在安裝時的缺省配置往往更多地照顧了使用的方便性而忽略了系統的安全性，如考慮不周很容易留下安全漏洞。此外，金融機構在獲得公共Internet信息服務的同時并不能可靠地獲得安全保障，Internet服務提供商（ISP）采取的安全手段都是為了保護他們自身和他們核心服務的可靠性，而不是保護他們的客戶不被攻擊，他們對于你的安全問題的反應可能是提供建議，也可能是盡力幫助，或者只是關閉你的連接直到你恢復正常。因此，總的來說金融系統中的大部分網絡系統遠沒有達到與金融系統信息的重要性相稱的安全級別，有的甚至對于一些常規的攻擊手段也無法抵御，這些都是金融管理信息系統亟待解決的安全問題。

二、現代金融網絡面臨的威脅及安全需求

目前金融系統存在的網絡安全威脅，就其攻擊手段而言可分為針對信息的攻擊、針對系統的攻擊、針對使用者的攻擊以及針對系統資源的攻擊等四類，而實施安全攻擊的人員則可能是外部人員，也可能是機構內部人員。

針對信息的攻擊是最常見的攻擊行為，信息攻擊是針對處于傳輸和存儲形態的信息進行的，其攻擊地點既可以在局域網內，也可以在廣域網上。針對信息的攻擊手段的可怕之處在于其隱蔽性和突然性，攻擊者可以不動聲色地竊取并利用信息，而無慮被發現；犯罪者也可以在積聚足夠的信息后驟起發難，進行敲詐勒索。此類案件見諸報端層出不窮，而未公開案例與之相比更是數以倍數。

利用系統（包括操作系統、支撐軟件及應用系統）固有的或系統配置及管理過程中的安全漏洞，穿透或繞過安全設施的防護策略，達到非法訪問直至控制系統的目的，并以此為跳板，繼續攻擊其他系統。由于我國的網絡信息系統中大量采用不是專為安全系統設計的基礎軟件和支撐平臺，為了照顧使用的方便性而忽略了安全性，導致許多安全漏洞的產生，如果再考慮到某些軟件供應商出于政治或經濟的目的，可能在系統中預留“后門”，因此必須采用有效的技術手段加以預防。

針對使用者的攻擊是一種看似困難卻普遍存在的攻擊途徑，攻擊者多利用管理者和使用者安全意識不強、管理制度松弛、認證技術不嚴密的特點，通過種種手段竊取系統權限，通過合法程序來達到非法目的，并可在事后嫁禍他人或毀滅證據，導致此類攻擊難以取證。

針對資源的攻擊是以各種手段耗盡系統某一資源，使之喪失繼續提供服務的能力，因此又稱為拒絕服務類攻擊。拒絕服務攻擊的高級形式為分布式拒絕服務攻擊，即攻擊者利用其所控制的成百上千個系統同時發起攻擊，迫使攻擊對象癱瘓。由于針對資源的攻擊利用的是現有的網絡架構，尤其是Internet以及TCP/IP協議的固有缺陷，因此在網絡的基礎設施沒有得到大的改進前，難以徹底解決。

金融的安全需求安全包括五個基本要素：機密性、完整性、可用性、可審查性和可控性。目前國內金融機構的網絡信息系統應重點解決好網絡內部的信息流動及操作層面所面臨的安全問題，即總部和分支機構及合作伙伴之間在各個層次上的信息傳輸安全和網絡訪問控制問題。網絡系統需要解決的關鍵安全問題概括起來主要有：傳輸信息的安全、節點身份認證、交易的不可抵賴性和對非法攻擊事件的可追蹤性。

必須指出：網絡信息系統是由人參與的信息環境，建立良好的安全組織和管理是首要的安全需求，也是一切安全技術手段得以有效發揮的基礎。金融行業需要的是集組織、管理和技術為一體的完整的安全解決方案。

三、網絡安全基本技術與VPN技術

解決網絡信息系統安全保密問題的兩項主要基礎技術為網絡訪問控制技術和密碼技術。網絡訪問控制技術用于對系統進行安全保護，抵抗各種外來攻擊。密碼技術用于加密隱蔽傳輸信息、認證用戶身份、抗否認等。

密碼技術是實現網絡安全的最有效的技術之一，實際上，數據加密作為一項基本技術已經成為所有通信數據安全的基石。在多數情況下，數據加密是保證信息機密性的唯一方法。一個加密網絡，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法，這使得它能以較小的代價提供很強的安全保護，在現代金融的網絡安全的應用上起著非常關鍵的作用。

虛擬專用網絡（VPN：VirtualPrivateNetwork）技術就是在網絡層通過數據包封裝技術和密碼技術，使數據包在公共網絡中通過“加密管道”傳播，從而在公共網絡中建立起安全的“專用”網絡。利用VPN技術，金融機構只需要租用本地的數據專線，連接上本地的公眾信息網，各地的機構就可以互相安全的傳遞信息；另外，金融機構還可以利用公眾信息網的撥號接入設備，讓自己的用戶撥號到公眾信息網上，就可以安全的連接進入金融機構網絡中，進行各類網絡結算和匯兌。

綜合利用網絡互聯的隧道技術、數據加密技術、網絡訪問控制技術，并通過適當的密鑰管理機制，在公共的網絡基礎設施上建立安全的虛擬專用網絡系統，可以實現完整的集成化金融機構范圍VPN安全解決方案。對于現行的金融行業網絡應用系統，采用VPN技術可以在不影響現行業務系統正常運行的前提下，極大地提高系統的安全性能，是一種較為理想的基礎解決方案。

當今VPN技術中對數據包的加解密一般應用在網絡層（對于TCP/IP網絡，發生在IP層），從而既克服了傳統的鏈（線）路加密技術對通訊方式、傳輸介質、傳輸協議依賴性高，適應性差，無統一標準等缺陷，又避免了應用層端——端加密管理復雜、互通性差、安裝和系統遷移困難等問題，使得VPN技術具有節省成本、適應性好、標準化程度高、便于管理、易于與其他安全和系統管理技術融合等優勢，成為目前和今后金融安全網絡發展的一個必然趨勢。

從應用上看虛擬專用網可以分為虛擬企業網和虛擬專用撥號網絡（VPDN）。虛擬企業網主要是使用專線上網的部分企業、合作伙伴間的虛擬專網；虛擬專用撥號網絡是使用電話撥號（PPP撥號）上網的遠程用戶與企業網間的虛擬專網。虛擬專網的重點在于建立安全的數據通道，構造這條安全通道的協議應該具備以下條件：保證數據的真實性，通訊主機必須是經過授權的，要有抵抗地址假冒（IPSpoofing）的能力。保證數據的完整性，接收到的數據必須與發送時的一致，要有抵抗不法分子篡改數據的能力。保證通道的機密性，提供強有力的加密手段，必須使竊聽者不能破解攔截到的通道數據。提供動態密鑰交換功能和集中安全管理服務。提供安全保護措施和訪問控制，具有抵抗黑客通過VPN通道攻擊企業網絡的能力，并且可以對VPN通道進行訪問控制。

針對現行的金融機構的網絡信息安全，VPN具有以下優點：（1）降低成本。不必租用長途專線建設專網，不必大量的網絡維護人員和設備投資；（2）容易擴展。網絡路由設備配置簡單，無需增加太多的設備，省時省錢；（3）完全控制主動權。VPN上的設施和服務完全掌握在金融機構自己的手中。比方說，金融機構可以把撥號訪問交給網絡服務商（NSP）去做，由自己負責用戶的查驗、訪問權、網絡地址、安全性和網絡變化管理等重要工作。

vpn技術論文范文第4篇

關鍵詞：有效利用數字圖書館方法

中圖分類號：G250.7 文獻標識碼： A 文章編號：1672-1578（2013）03-0081-02

1 引言

信息技術的迅速發展和廣泛應用，不僅改變著人們的工作和生活方式，也改變著教育和學習方式，也促進了國內外數字資源的突飛猛進發展，高校圖書館購買的數字資源也越來越多，可供師生訪問的資源日漸增多，但是數據庫資源的知識產權和版權等因素使得相當部分數字資源使用范圍有限，只能在校園網內部訪問，不能對外網開放。電大開放教育以學生為中心，具有開放性、靈活性、針對性和適應性等特點，主要運用衛星、電視、互聯網、移動終端等信息化手段和多種教學媒介，構建全民多樣化終身學習型社會。國家開放大學數字圖書館的服務對象是開放大學及電大系統的師生，但他們多數是在職在崗的成人，學習的地方相對分散，到校園圖書館利用數字資源極為不便，也因此形成了開放大學圖書館服務方式的特殊性。為了滿足電大系統教師和學生隨時隨地便捷地使用圖書館數字資源，國家開放大學數字圖書館提供遠程訪問服務。

2 遠程訪問數字圖書館

本文所討論的遠程訪問是校外訪問，就是指非校園網用戶突破校內IP地址的物理限制使用學校購買的數字化數據庫資源。目前遠程訪問圖書館數字資源有傳統服務器技術、VPN技術、Athens項目、PKI技術、Shibbloeth項目、EZproxy技術等[1]。VPN技術實現遠程訪問已經普遍應用并逐步完善，尤其在遠程訪問圖書館數字資源中應用更為廣泛。新興的 SSL VPN 技術非常適合移動用戶的遠程接入訪問，該技術集傳統數據網絡的安全、快速及共享數據庫的低成本且簡單易行等優點特點，可以為外部網提供虛擬連接，從而成為高校圖書館為所有非校園網的師生提供資源共享的最理想的方案[2]。

3 VPN概述

VPN（Virtual Private Network）即虛擬專用網絡，是一種網絡新技術，在公用網絡上通過加密、認證、封裝以及密鑰交換技術，建立單位內部專用網絡進行遠程虛擬訪問的連接方式。VPN具有傳輸數據安全可靠，連接方便靈活，可完全控制，成本低等特點[3]。

SSL VPN是采用SSL（Secure Sockets Layer，安全套接層）協議來實現遠程接入的一種新型VPN技術。SSL協議是基于WEB的安全協議，使用SSL 協議進行認證和數據加密的VPN就可以免于安裝客戶端。相對于傳統的VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等特點[4]。

4 應用VPN技術訪問數字圖書館的方法

筆者在教育教學過程中發現絕大多數學生不會遠程訪問數字圖書館，甚至很多教師都不會合理利用網上數字資源。開放大學圖書館由于涉及數據庫資源的知識產權問題，使用范圍有限，在校園網內使用沒有限制，但校外只允許屬于電大的教師和學生作為合法的用戶，提供VPN技術，用戶在登錄后，需要安裝VPN控件，才能正常的打開文獻資源列表。一般情況下，VPN系統會自動檢測電腦系統，并引導安裝VPN插件，也可以在網站下載插件安裝包進行安裝。因此要求我們提供用戶名和密碼來進行身份的確認。筆者在教學工作中發現，很多學生寫畢業論文或教師做課題研究的時候，抱怨找不到資源，找到的資源不完整或者下載需付費，下面簡單介紹校外如何訪問開放大學數字圖書館（中央廣播電視大學圖書館）。

4.1 開放大學數字圖書館介紹

國家開放大學數字圖書館為開放大學及全國電大系統提供一站式、扁平化服務，其中電子圖書書目數據達340多萬種、電子圖書全文達234萬種、學術文獻7000多萬篇、社科數字期刊2800多種，名師講座88624集，基本實現數字文獻資源全學科覆蓋[5]。主要涵蓋：（1）開放文獻資源列表，提供中央電大圖書館提供的常用電子文獻資源列表；（2）讀者論壇幫助BBS（beta），是開放數圖論壇讀者幫助模塊，在此可以反饋在使用中存在的問題，提出數字圖書改進建議；（3）數字圖書館學習空間，以圖書館培訓、教育為主要內容，同時提供教師自建課程的Moodle教學平臺；（4）電大在線?我的工作室，提供在線教學輔導的全部信息；（5）開放大學講壇，由中央電大圖書館主辦的學術講座平臺，匯集名師名家，深入講解近期發生的熱點問題，提供最全的視頻資料信息；（6）全國電大圖書館通訊，是圖書館服務與交流電子期刊，提供了最新的電大圖書館工作動態，介紹電大圖書館新引進的和推薦的文獻信息資源等；（7）社會化應用及交流網站等服務。

4.2 安裝VPN控件

開放大學數字圖書館（http：//）通過VPN的方式對開放教育學生以及電大系統教職工提供授權訪問服務。打開頁面“插件”（如上圖），下載“國家開放大學數字圖書館遠程訪問控件”，即VPN控件，在安裝過程中關閉防火墻和IE安全控（上接81頁）

件軟件，并將圖書館網站的鏈接地址添加到IE信任列表，Windows Vista用戶在安裝控件時請關閉UAC，Windows 7用戶在安裝控件時請對IE點擊右鍵選擇“以管理員身份運行”，再打開安裝頁面。安裝VPN控件后，這個插件要求必須使用IE瀏覽器進行訪問，IE瀏覽器的版本最低為6.0。

4.3 登陸訪問資源列表

點擊“開放數圖”，學生用電大在線學生證號進行登錄，教師用電大在線用戶名進行登錄，通過點擊開放文獻資源列表標簽，在進入過程中檢查身份的合法性及訪問資源的安全性，檢查完畢進入應用列表，包括CNKI、維普、萬方、超星、龍源、讀秀等數據庫，涵蓋了最新期刊、會議論文、學位論文等。

4.4 文獻檢索

以中國知網（CNKI）為例，打開CNKI（國開鏡像版），期刊包括博碩士學位論文、會議、報紙、外文文獻、年鑒、百科、詞典、統計數據、專利、標準等內容，通過全文、主題、篇名、關鍵字、摘要、文獻來源等方式輸入關鍵字進行檢索，在檢索結果中打開自己感興趣的文獻進行閱讀、下載。

日新月異的信息技術，促進了教育信息化的迅猛發展，電大教師的信息技術應用能力、文獻檢索的方法和途徑直接決定了遠程教育教學資源的使用效率和科研水平，因此筆者認為提升師生信息素養，加強信息技術應用能力，通過系統內數字資源應用培訓，從數字圖書館平臺訪問、國內主要文獻數據庫的使用、移動數字圖書館的使用等方面進行培訓，使教職工掌握數字文獻資源的使用，提高數字資源的使用率，充分發揮資源共享的優勢和效益，為教學和科研提供支持。

參考文獻：

[1]張文豐，黃淑敏.開放大學數字圖書館資源校外訪問方式的研究[J].黑龍江科技信息，2007，（20）：146.

[2]付凱東.SSL VPN技術在高校圖書館數字資源中的應用[J].微計算機信息，2010，26（7-3）：107.

[3]百度百科：虛擬專用網絡[EB/OL].http：///view/480950.htm？fromId=19735.

[4]百度百科：SSL VPN介紹[EB/OL].http：///view/708397.htm/

[5]國家開放大學移動數字圖書館建設研討會暨全國電大圖工委成立20周年紀念會在京舉行[EB/OL].[2012-12-12].http：///crtvul_news_detail.asp？id=20121212217

vpn技術論文范文第5篇

關鍵詞：計算機教學資源網絡；網絡安全；SSL VPN

中圖分類號：TP258.6文獻標識碼：A文章編號：1007-9599 (2012) 03-0000-02

The Application of SSL VPN Technology in the Computer Network of Teaching Resources

Tan Qinhong

(Tongren Polytechnic,Tongren554300,China)

Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.

Keywords:Computer teaching resources network;Network security;SSL VPN

一、校園網計算機教學系統面臨的安全風險分析

隨著國家教育事業的快速發展以及IT技術的迅猛發展，人們的生產、生活方式發生了翻天覆地的變化，傳統的教室內黑板面授教學模式已經不能完全滿足當代的教學工作，必須有一種新的教學方式來彌補傳統教學模式單一的不足，計算機教學應運而生，特別是計算機多媒體教學。計算機教學方式中，學習的人可以隨時隨地的學習，不受時間和空間的限制，并且具有學習成本低廉等一系列優點，因此計算機教學受到越來越多的歡迎。

為方便教師和學生等對教學資源的外部訪問，存儲有教學資源的網絡大多與互聯網相連，難免會受到來自于網絡內部和外部的攻擊，計算機網絡的大多設備或軟件為國外生產，其中可能存在一些后門程序，操作系統、應用系統等都存在大量的漏洞可以讓攻擊者利用，計算機病毒等惡意程序、SQL注入攻擊、跨站腳本攻擊、DDOS攻擊、釣魚網站的泛濫讓校園網的安全形式不容樂觀。

校園網中，用戶有學生、教師、外部學習者等主體，教學資源的訪問主體的身份不好控制、資源訪問控制困難，很難讓指定的用戶只能訪問指定的資源，不能訪問其它非授權訪問資源、用戶對資源的訪問不具有抗抵賴等問題。

校園網是學校的門戶，是學校的形象窗口，是學校賴以生存的生產資料的一部分，如果遭到惡意攻擊，導致不能正常對外部提供服務，將對學校造成嚴重損失。

二、SSL VPN簡介

VPN（Virtual Private Network虛擬專用網絡）[1]是一種在公共的網絡基礎平臺（如internet）上建立專用的數據通信網絡的技術。VPN通過對數據包進行加密和封包，在公共網絡基礎平臺上構建出安全、可靠的專用隧道，使私有數據在公共網絡上安全傳輸。用戶使用VPN技術，不需要建設自己的專用網絡，節省投資，使用便捷，VPN技術因而獲得了廣泛的應用。

VPN技術發展至今，產生了多個種類，有工作在2層的L2TP VPN，工作在3層的IPsec VPN，工作在傳輸層和應用層之間的SSL（Secure Socket Layer安全套接層）VPN，基于虛擬路由表和標簽轉發的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用戶通過公共網絡（如internet）接入業務網絡，在遠程接入上應用廣泛。

SSL是一個獨立于平臺并獨立于應用的協議，用戶保護基于TCP的應用。在TCP/IP四層架構中，SSL在傳輸層之上，應用層之下，像TCP連接所連接的套接字一樣工作。

SSL VPN技術幫助用戶使用標準的Web瀏覽器就可以通過公共網絡平臺接入所要訪問的遠程資源。在用戶的計算機上，不需要安裝客戶端軟件及進行復雜的配置，大大方便了用戶，僅僅通過一臺接入了Internet的計算機就能訪問遠程資源。這為企業及政府提高效率也帶來了方便。

用戶所要訪問的資源位于企業網或者政務網內部，在此情況下，需要部署SSL VPN網關在企業網或者政務網的邊緣，介于服務器與遠程用戶之間，控制二者的通信。如下圖所示：

SSL VPN網關除了作為隧道的終點，還要執行以下三種功能：，應用轉換、端口轉發[2]。

1.：它將來自遠端瀏覽器的頁面請求（采用

[4]王衛亞.計算機網絡安全設計與研究[D].長安大學碩士學位論文,2010

vpn技術論文范文第6篇

關鍵詞：SSL VPN； IPsec VPN；數字化校園；遠程訪問

中圖分類號：TP393 文獻標識碼：A文章編號：2095-2163（2013）02-0032-03

0引言

隨著信息化進程的加快，各個高校對校園信息化投入不斷增加，致力于建成數據交換與共享的數字化校園平臺。雖然目前很多學校已經擁有了應用管理系統、數據資源庫系統、公共通訊平臺，但這些網絡資源和辦公平臺常常受到網絡的限制，只能在校園內部使用。本校2012年師生問卷調查顯示：居住在外的教師、經常出差的行政辦公人員以及在外實習的大四畢業生對于校外不能訪問校內數字化資源，均已感到極為不便。具體來說，教師在外網不能登錄學習平臺批改作業；行政人員出差時，不能獲取部門統計數據；大四未在校的學生不能通過畢業設計系統提交論文。這些狀況即已表明目前校園的基礎網絡及其實現方案存在一定的不足，亟需新技術的應用以解決校園外部訪問校內數字化資源的問題。經過廣泛，深入的調研分析可知，VPN（Virtual Private Network）正是解決這一瓶頸的技術方案。

1VPN 的原理及SSL VPN方案的優勢

11VPN原理

VPN，即虛擬專用網絡，其含義指通過使用公共網絡基礎設施，利用“隧道”技術、認證技術、加密技術以及控制訪問等相應技術向單位內部專用網絡提供遠程訪問的連接方式[1]。VPN利用公用網絡來實現任意兩個節點之間的專有連接，適用于移動用戶、分支機構以及遠程用戶安全、穩定地接入到內部網絡。同時，VPN還向用戶提供了專用網絡所獨具的功能，但其本身卻不是一種真正意義上的獨立物理網絡，沒有固定物理線路連接。近年來，VPN技術已經大量應用于高校的移動辦公，并且在數字化資源的多校區數據訪問方面也有著廣泛應用。VPN遠程訪問的思路是，用戶在網絡覆蓋的任意地點，首先，通過ADSL或者LAN方式接入互聯網；其后，通過撥號校園網的VPN網關，構建一條從用戶所在網絡地址到校園網的二層隧道；而后是VPN服務器給用戶分配相應的校園網地址，從而實現校園網數字化資源的遠程訪問[2]。

12兩種VPN方案的對比

按照協議劃分，VPN主要有兩大主流，分別是IPsec VPN和SSL VPN。IPsec VPN技術是由IP安全體系架構協議來提供隧道的安全保障，IPsec協議是一組協議套件，包括安全協議、加密算法、認證算法、密鑰管理協議等[3]。IPsec VPN構建于網絡層，通過對數據的加密和認證來保證數據傳輸的可靠性、保密性和私有性，最適合Site to Site之間的虛擬專用網。相比之下，SSL VPN采用的是SSL安全套接層協議，構建于網絡的應用層。SSL VPN方案無需安裝客戶端軟件，經過認證的用戶是通過Web瀏覽器而接入網絡，適用于Point to Site的連接方式。總體來看，相比于IPsec VPN方案，SSL VPN方案有三點優勢，具體如下。

（1）兼容性較好。SSL VPN適用于現存的各款操作系統和使用終端，對用戶也無任何特殊的操作要求。用戶不需要下載客戶端，由此免去了對客戶端軟件的更新升級、配置維護，否則，在進行VPN策略調整的時候，其管理難度將呈幾何級數的增長。SSL VPN方案只需在普通的瀏覽器中內嵌入SSL協議，就可以使客戶端簡便、安全地訪問內網信息，維護成本較低。

（2）提供更為精細的訪問控制。由于校園網內、外部流量均經過VPN硬件設備，由此在服務器端就可以控制其資源以及URL的訪問。SSL VPN方案具備接入控制的功能，可提供用戶級別鑒定，確證只有一定權限之上的用戶才能訪問校園網內的特定網絡資源。比如大四在外的實習學生只具有期刊檢索的訪問功能，而在外的辦公行政人員還可以訪問某個特定部門的相關數據。

（3）具備更強的安全性。IPsec是基于網絡層的VPN方案，對IP應用均是高度透明的。而SSL VPN是基于應用層的，在Web的應用防護方面更具一定優勢。某些高端的SSL VPN產品同樣支持文件共享、網絡鄰居、Telnet、Ftp、Oracle等TCP/UDP的C/S應用。2SSL-VPN的關鍵技術及性能分析

21訪問控制技術

訪問控制技術是由VPN服務的提供者根據用戶的身份標志對訪問某些信息項進行相應操控的作用機制。目前，通用的VPN方案中，常常是由系統管理員來控制相關用戶的訪問權限。作為安全的VPN設備，SSL VPN可通過“組”策略對應用進行訪問控制[4]。有些SSL VPN產品可以將Web應用定義為一系列的URL，而組和用戶則可允許和禁止訪問相應的應用。其它一些SSL VPN產品可以提供更為精細的高級控制，控制策略不僅含有“允許”和“禁止”，還包括用戶能訪問的資源列表以及對這些資源的操作權限控制。由于SSL VPN工作在網絡的應用層，管理員可以基于應用需求、用戶特征以及TCP/IP端口進行嚴密的訪問控制策略設置。SSL VPN還能通過瀏覽器中的參數支持動態訪問部署策略，管理員可以依據用戶身份、設備類型、網絡信任級別、會話參數等各型因子，定義不同的會話角色，并給與不同的訪問權限。另外，基于用戶的訪問控制需要維護大量的用戶信息，當前最流行的控制策略則是基于角色的訪問控制，在握手協議的過程中統一集成訪問控制的基礎功能，再將資源的控制權交托于可信的授權管理模型。

22性能分析

VPN的性能指標值對校園網中關鍵業務的應用實現具有直接影響，在設計數字化校園的VPN詳盡方案之前，有必要了解其性能指標。SSL VPN中，常見的性能指標有連接速率、網絡延遲、加密吞吐量、并發用戶數，等。其中，連接速率表示了SSL VPN系統每秒鐘可建立或終止的最大會話連接數目，用以度量被測VPN設備在單位時間內交易事務的處理能力[5]。可以通過添置SSL硬件加速卡、提高控制速率上限等舉措來改善其性能。另外，SSL VPN使用的是非對稱加密算法，這就導致VPN服務器的CPU將在高負荷狀況下處理SSL的加解密。而對于這種計算密集型的加解密操作，為了保障服務器能夠正常工作，既可以限制SSL會話的數量，也可以添加服務器的數目。只是這兩種方式各有利弊，若限制會話數目，就會出現高峰期間的部分用戶無法連接服務器，而添加服務器數目又會大幅增加VPN系統的財務用度。因而，通常情況下，使用SSL加速器來提升加解密速度，進入SSL的數據流由加速器解密并傳給服務器，而外流的數據又經過加速器加密再回傳給客戶。服務器方面，只需要處理簡單的SSL請求，將消耗資源的工作完全交給加速器，全面有效地提升了VPN方案的整體性能。

3SSL-VPN下的數字化校園解決方案

31需求分析與設計目標

校園數字化資源中集結了多種重要的數據庫以及多款辦公軟件。大四年級的學生會經常需要登錄畢業設計系統上傳學科論文；校外居住的教師也需要登錄圖書館期刊檢索系統，下載專業文獻；另外，因公在外的招生、財務人員又需要及時獲取部門的數字化信息，并借助辦公自動化的高端平臺與其它部門順暢溝通。上述校園網的這些外部訪問通常都是不確定的動態IP地址，在數據庫服務器的安全策略中多會將之認定為是非法用戶而遭到拒絕。因此，在外部訪問校園網之數字化校園時，就需要研發一個遠程訪問方案，該方案可將合法的非授權校外地址轉化為授權的校園網內地址。此方案需要考慮的用戶有三種，分別是：在外居住的教師、大四實習生以及在外辦公的行政人員。

32系統體系結構

經過實地調研和深入分析，采用了SSL VPN架構，具體框架如圖1所示。

由圖1可知，這是一個基于Web模式的SSL VPN系統，在用戶和應用服務器之間構建了一個安全的信息傳遞通道。其中，SSL VPN服務器相當于一個網關，且具備雙重身份。對用戶而言，這是服務器，負責提供基于證書的身份鑒別；對應用服務器而言，則屬于客戶端的身份，并向服務器遞交訪問申請。由此，通過在防火墻后安裝VPN設備，校外用戶只需要打開IE瀏覽器，就可以訪問到校園數字化資源的URL。其后，SSL VPN 設備將取得連接并驗證用戶的身份，此時SSL服務器就會將連接映射到不同應用的服務器上。而且方案中又采用了技術，所有成功接入SSL VPN系統的校外用戶都可以全面訪問LAN口所能獲得的數字化資源。本系統還具備較高的傳輸性能，優先考慮SSL VPN服務器的性能，將需要消耗大量資源的加解密工作交給加速器。實現過程中，采用的設備是由Cisco ASA建立Web VPN服務器，而將Radius Server作為驗證用戶身份的服務器。

33改進型安全策略——基于角色的控制

本校SSL VPN系統采用的是基于角色的訪問控制策略，既包括用戶安全認證的接口也包括用戶訪問的資源列表。實際上，校園網系統的用戶認證和訪問控制均在控制協議部分獲得實現，可以在此過程中添加角色的訪問控制。通過在證書中集成角色屬性，系統在進行安全認證時，就可以同步實現角色驗證。VPN系統在明確用戶角色屬性的基礎上確定其訪問權限，而后給出該用戶可以訪問的資源列表信息。另外，用戶在登錄VPN系統時，還需要在登錄界面輸入身份信息。

4結束語

隨著校外用戶對數字化校園資源訪問需求的日益迫切增長，使得VPN技術也隨之廣受關注[6]。為了給予校外訪問、使用校園數字化資源提供更大便利，因而在綜合考慮本校實際用戶數量和主要用戶角色的基礎上，由網絡中心主持設計并全面實現了SSL VPN系統。目前，本校SSL VPN系統運轉良好，能夠滿足現有的使用需求，并且也具備了一定的擴展能力。當然，該實施方案并不是唯一可選，當校園網的VPN用戶數量并不多、要求也不高時，就可以考慮軟件型VPN方案。不然，還可通過購買專業的VPN設備打造高水準、高級別的SSL VPN系統。

參考文獻：

[1]王達. 虛擬專用網（VPN）精解[M]. 北京：清華大學出版社，2004：45-46.

[2]朱偉珠. 利用VPN技術實現高校圖書館資源共享[J]. 情報科學，2007，25（7）：1158-1061.

[3]徐家臻，陳莘萌. 基于IPsec與基于SSL的VPN的比較與分析[J]. 計算機工程與設計，2004，25（4）：186-188.

[4]沈海波，洪帆. 訪問控制模型研究綜述[J].計算機應用研究，2005，32（5）：9-11.

[5]KEN，ARAUJO. SSL VPN gateways：A new approach to secure remote access[J]. Database and Network Journal， 2003，33（6）：3-5.

vpn技術論文范文第7篇

論文摘要：隨著信息技術的不斷發展，學校如何更好的利用內部網絡服務成為擺在學校面前的重要課題。本文通過對學校網絡建設現狀及vpn技術的分析介紹，在如何利用vpn技術為學校搭建網絡應用安全通道進行了探索。

隨著信息化時代的到來，以網絡技術為代表的信息技術已經成為社會發展的重要推動力。網絡技術以其信息海量性、交互性、便捷性等優勢，正在日益深人人們的生活。同樣，由于信息技術的巨大作用，它也被廣泛應用于學校的各種活動之中。當然，網絡技術同時也存在很多缺點，比如網絡安全問題，就成為影響學校信息安全的潛在威脅。因此，學校在利用網絡技術的同時，

一定要注意研究和防范其缺點和不足。

i、我國學校網絡建設的基本情況和特點

應該說，我國學校網絡建設起步時間較晚，但是發展速度十分迅速，筆者總結出我國學校網絡建設的基本情況和特點如下:

1.1建設的普遍性

據一項不完全調查顯示，目前我國具備獨立的學校網絡系統的學校約占全體注冊學校數量的90%以上。這里所說的學校網絡建設，不僅僅指學校的門戶網站或者學校主頁，而是涵蓋學校內部行政辦公網、教學網絡以及學生網絡等網絡系統。可以說，隨著網絡技術的進一步普及，學校已經意識到建立自身獨立的網絡系統的巨大意義，能夠主動投人人力物力，聘請專業機構針對本學校特點研發、部署網絡系統。

1.2應用的廣泛性

目前我國學校在創建獨立網絡體系的同時，非常注意對于網絡功能的再開發。目前國內學校利用網絡系統可以進行內部管理、辦公自動化處理、視頻會議、網絡教學、ip電話、學校推廣等等，極大地豐富了校園網絡的應用手段，拓展了應用領域。

1.3安全意識提高

從國內市場主流網絡安全技術銷售情況可以看出，全社會網絡安全意識正在逐步提高，一些造價不菲的學校版專業軟件銷售情況也十分可觀。學校加強對網絡安全的防范，一方面體現出學校的觀念正在逐步改進，另一方面可以看出，我國國內的網絡安全市場仍然具備較大的拓展空間。

1.4交流的多樣性

學校網絡大都由外部網絡和內部網絡構成。外部網絡就是通常意義上的互聯網，而內部網絡是學校獨立的網絡系統，俗稱內網。隨著交流的不斷增多和辦公形式的多樣化，越來越多的用戶希望能隨時通過互聯網接人校園網，實現遠程辦公。而在當今日益繁多的網絡技術中，vpn技術由于具備自身獨特的優勢，可以很好地滿足建立學校網絡安全通道的需求。

2,vpn技術

2.1基本情況

vpn僅irtualprivatenetwork)，即虛擬專用網，被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過非安全網絡的安全、穩定的隧道。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。vpn主要技術包括隧道技術與安全技術。簡言之，通過利用vpn技術，可以在學校內部網絡與外網之間建立一個虛擬的安全通道，實現學校充分利用校內網絡系統的要求。

2.2獨特優勢

vpn技術是比較新的網絡技術，具有許多以往網絡虛擬技術所不具備的優勢，具體說來，主要體現如下:

第一，可以最大限度地保證學校網絡系統的安全運行。在前文中，筆者談到學校關心網絡安全問題，能否保證學校網絡系統運行的穩定和安全，將是這項技術能否被大范圍推廣和使用的關鍵。在vpn技術中，學校可以在內部服務器上實現對用戶資格的認證，同時，在網絡運作過程中。 vpn技術還可以支持點對點加密及各種網絡安全加密協議，如ipsecarity，這可以最大程度上保證學校網絡系統的安全運行。

第二，可以降低學校網絡運行維護的成本。由于vpn設備本身帶有路由功能，可以有效地減少學校內部網絡與互聯網連接時需要的網絡配置設備，對一些傳統設備，vpn技術也可以很好地實現兼容。在虛擬網絡運行過程中，由于其穩定性良好，不需要學校付出大量成本進行維護，因此可以極大地降低學校網絡成本。

第三，可以實現學校網絡系統功能的提升。學校網絡系統應用vpn技術，可以將學校內部的網絡設備與外網實現安全互聯，同時也可以將學校分支機構的網絡設備進行有效連接，主要部門通過對于vpn權限的控制，可以有效地掌控學校網絡系統的運行情況，并依托學校網絡進行各項活動，從而實現對學校網絡功能的進一步擴展。

3、學校如何利用vpn技術

既然vpn技術具有許多優勢，非常適合運用于學校網絡建設，那么學校應該著手對這項技術的應用進行研究。筆者認為，我國學校運用vpn技術沒有固定的模式和套路，應該依據學校自身的情況和特點，制定出相應的使用方案。但是，學校在使用vpn技術的過程中，還是可以找到一些共性的原則。

首先，是成本最小化原則。學校在利用vpn技術時，可以委托專業機構設置學校vpn，學校只需要設置相應的權限即可以實現對網絡的有效管理。

vpn技術論文范文第8篇

論文關鍵詞：ssl;ssl vpn;遠程接入

論文摘要：本文討論了在遠程安全接入領域的ssl vpn技術，通過對ssl協議的分析，全面衡量了ssl vpn遠程接入方案在軍隊院校網絡應用中的綜合優勢。

1引言

打造遠程安全接入平臺，一直是網絡遠程訪問的迫切需求。當前，眾多的安全協議(如pptp.l2tp.ipsec和mpls)各具特色并側重于不同的方面，但能同時結合簡易、安全兩項特性的則非ssl莫屬，ssl vpn是平衡訪問自由度和安全性的出色解決方案。

2 ssl

安全套接層(secure sockets layer, ssl)是netscape于1994年提出的基于web應用的安全協議，它介于http及tcp之間，高層協議可以透明地運行在該協議之上，它指定了一種在應用程序協議和丁cp/ip協議之間提供數據安全性分層的機制，能為丁cp/ip連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。其安全連接基于握手協議、記錄協議和警告協議來完成。

3 ssl vpn主要特點

(1)高安全性:ssl安全通道可確保端到端真正安全可靠的連接，能有效保證信息的真實性、完整性和保密性。

(2)高易用性:無需客戶端的安裝和配置，對終端系統具有良好的兼容性。

(3)高性價比:不需要配置，易于部署及管理，可有效降低網絡配置成本。

(4)高可擴展性和兼容性:可隨時添加需要vpn保護的服務器，并適用于大多數設備。

(5)高效的資源控制能力:可區分用戶設置訪問權限，實現區分對待的資源控制策略。

4 ssl vpn應用優勢

隨著軍隊院校網絡信息化建設的推進，實際應用中面臨著越來越多的跨地域、跨部門的數據傳遞，以及大量的遠程訪問內網的需求。例如跨地域的會商研討、數據采集、資料檢索、分支部門和下屬機構的機要信息交換等。根據這些需求和實際情況，下面主要從ssl vpn和ipsec vpn對比出發，全面衡量ssl vpn的優勢。

(1)謹慎靈活的接入認證策略。在遠程接入過程中，用戶身份驗證是整個過程的第一環，也是最重要的一環，如果不能有效識別用戶的身份，使得非法用戶接入，將給內部網絡帶來極大的安全隱患。ssl vpn提供對所傳送數據的加密、認證和發送源的身份認證，支持將多種身份識別方式進行組合，一般包括usb-key、硬件特征碼、數字證書、動態令牌、短信認證等，而且可以對訪問權限進行嚴格的等級劃分，實現不同用戶對于不同應用程序的控制。

(2)穩妥有效的數據保護策略。因為ssl vpn接入的是內部網絡的應用，而不是整個網絡，并限制了非web端口的訪問，使得部分文件操作功能不易實現，這實際上也起到了相應的保護功能。同時，ssl網關隔離了內部服務器和客戶端，客戶端的大多數病毒木馬感染不到內網服務器。而ipsec vpn實現的是ip級別的訪問，使得局域網能夠傳播的病毒，通過vpn也能夠傳播，極易導致內部網絡的防病毒策略形同虛設。一旦惡意ipsec vpn用戶獲得權限通過了網關，無疑會給內網帶來災難性的后果，但ssl vpn大大減弱了類似的風險。

(3)良好的可管理性和可控性。一方面，ssl vpn的部署不需改變原網絡結構，就可部署在內網任一節點處，并可隨時添加需要vpn保護的服務器。而ipsec vpn在部署時，則要考慮網絡的拓撲結構，設備的移除和添加就有可能導致vpn重新部署，且客戶終端設備的變更，也意味著客戶端軟件的更新或部署。另一方面，數字化校園已經將更多的服務集成于web應用，具備個性化的門戶網站，不同的部門和人員都有對應的內網訪問權限。這和基于ssl vpn的用戶訪問級別劃分控制策略是一致的。

vpn技術論文范文第9篇

【關鍵詞】L2 VPNIPSec隧道虛擬化The Research and Design of IPSec-based L2 VPN

ZHU Yufeng（School of Electronics Engineering and Computer Science， Peking University， Beijing， 100871， China）

Abstract： L2 VPN is working at layer 2 of OSI network model， which can hide the geographical limitations and provide virtual private network service.

This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.

Key Words：L2 VPN， IPSec Tunnel， Virtualization

一、引言

隨著虛擬化及云計算的興起和應用，VPN隧道成為一個連接不同地區虛擬數據中心或者云計算中心的必備技術，其中L2 VPN工作在OSI網絡模型的第二層，它可以隱藏地域限制，提供虛擬專有網絡服務，能夠更好的滿足虛擬化及云計算的需求。

二、方法研究

L2 VPN基本的概念是將L2網橋和IPSec VPN網關結合，利用VPN隧道模擬物理網線，將2臺或者多臺跨越因特網的網橋連接起來。

如圖所示：

為了實現以上L2 VPN的功能，我們需要考慮以下因素：

（1）如何將L2數據包導向VPN隧道；

（2）如何封裝以太網幀；

（3）數據包的flow設計；

（4）如何支持VLAN；

（5）如何支持多站點多用戶（例如，星型拓撲）。

2.1重定向數據包到VPN隧道

為了很好的連接L2網橋和VPN網關，我們定義一個虛擬的隧道端口，用來解耦合網橋和VPN的功能。對于網橋來說，虛擬隧道端口就像是一個物理端口一樣，用來收發以太網數據包。對于VPN網關來說，虛擬隧道端口就是一個明文數據包進入加密隧道的入口，所有到達虛擬隧道端口的數據包，都將會被加密從隧道發出去。

虛擬隧道端口模擬物理以太網端口，它的功能如下：

（1）在內核中創建一個虛擬網絡端口；

（2）發送以太網數據包。而驅動程序的發送功能，就是VPN隧道加密。

（3）接收以太網數據包。VPN加密后，會把明文放到虛擬端口的接收隊列。

（4）支持網橋MAC反向學習。

（5）支持VLAN tag。

所有對于L2網橋看來，虛擬隧道端口和物理網橋端口沒有任何區別，收到和發送的都是以太網數據包。網橋也不知道VPN網關的存在。同樣，VPN網關也知道網橋的存在，到達VPN網關也只是以太網數據包。

2.2以太網數據包封裝

IPSec隧道工作在三層，用來設計封裝IP數據包，所以我們需要將以太網幀封裝成IP數據包，再將該IP數據包封裝成IPSec數據包。

我們可以考慮以下方式：

（1）EtherIP over IPSec；

（2）非標準的IPSec封裝；

（3）混合模式。

（8）VPN1收到ARP應答密文包，解密去EtherIP和IPSec包頭，查詢MAC地址表，得知出口是eth1，然后將報文發往PC1。此時，VPN1并且更新MAC地址表。

VPN2網橋的MAC表：

（9）PC1收到ARP應答明文包，學到PC2的MAC地址。然后發送ICMP請求到PC2。數據包的目的MAC是PC2-MAC，源MAC是PC1-MAC。

（10）VPN1收到ICMP請求，查詢MAC地址表得到出口是tun1，將數據包送到VPN隧道加密，然后發往VPN2網關。

（11）VPN2收到ICMP請求，查詢MAC地址表，得到出口是eth1，將數據包發送到PC2。

（12）PC2收到ICMP請求并發送ICMP應答，該應答數據包被發發送到VPN2。

（13）VPN2收到ICMP應答，查詢MAC地址表，得到出口是tun1，將數據包通過隧道發送到VPN1。

（14）VPN1收到ICMP應答，查詢MAC地址表，得到出口是eth1，將數據包發送到PC1。

3.1VLAN支持

二層網橋可能連接很多VLAN，隧道端口需要工作在TRUNK模式，這樣可以允許VLAN數據包通過VPN隧道。

拓撲如下：

EtherIP over IPSec可以封裝VLAN tag，但是overhead會比較大。一種優化的方法是分配每個tunnel端口和tunnel一個VALN tag，這樣就不需要封裝VLAN tag，提高有效載荷。

3.2星型拓撲支持

要支持Hub & Spoke星型拓撲，我們只需要再增加一個tunnel端口，并且把該端口綁定到一個到Spoke的VPN隧道。該設計非常靈活，易于擴展。

拓撲如下：

四、結束語

本文通過引入虛擬隧道端口，巧妙的將L2網橋和IPSec VPN網關結合在一起，簡單并且有效的將數據包重定向到VPN隧道。

另外，本文通過結合EtherIP over IPSec封裝發送多播和廣播數據包，IPSec封裝發送單播數據包，有效提高了VPN隧道的有效載荷和傳輸性能。

參考文獻

[1] RFC3378： EtherIP： Tunneling Ethernet Frames in IP Datagrams

[2] RFC2784： Generic Routing Encapsulation

[3] RFC3438： Layer Two Tunneling Protocol

[4] RFC4664： Framework for Layer 2 Virtual Private Networks

[5] RFC4665： Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks

[6] RFC4026； Provider Provisioned Virtual Private Network （VPN） Terminology

[7] RFC4301： Security Architecture for the Internet Protocol

[8] RFC4303： IP Encapsulating Security Payload

vpn技術論文范文第10篇

關鍵詞:IPSec VPN;MPLS VPN;SSL VPN;對比

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0101-01

一、引言

隨著信息化經濟一體化的發展,實現資源共享是每個企業追求發展進步不可或缺的一步。利用隧道技術在公共網絡上建立安全的虛擬專用網絡(VPN)是實現資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個比較主流的VPN技術。

二、IPSec VPN

IPSec VPN即指采用IPSec協議來實現遠程接入的一種VPN技術,用來提供公用和專用網絡的端對端加密和驗證服務。IPsec給出了應用于IP層上網絡數據安全的一整套體系結構,包括AH網絡認證協議、ESP封裝安全載荷、IKE因特網密鑰交換和用于網絡認證及加密的一些算法等[1]。其中,AH協議和ESP協議用來提供安全服務,IKE協議用于密鑰交換。

(一)認證頭(AH)協議

IPsec認證頭協議是IPsec體系結構中的一種主要協議(AH協議把AH頭插入IP數據包),它為IP數據報提供無連接完整性、數據源認證、保護以避免重播情況[1]。

(二)封裝安全載荷(ESP)協議

封裝安全載荷(ESP)協議是IPsec體系結構中的一種用來提高IP的安全性的主要協議。ESP加密要保護的數據并且在IPsec ESP的數據部分進行數據的完整性校驗,以達到其數據機密性和完整性的目的。ESP提供了與AH相同的安全服務并提供了一種保密。

(三)IKE

IKE是一種混合型協議,由Internet安全聯盟(SA)和密鑰管理協議(ISAKMP)這兩種密鑰交換協議組成。IKE是以受保護的方式為SA協商并提供經過認證的密鑰信息的協議。IKE用于協商AH和ESP所使用的密碼算法,并將算法所需的必備密鑰放到恰當位置。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協議協商SA。

三、MPLS VPN

MPLS VPN與傳統的IPSec VPN不同,MPLS VPN不依靠封裝和加密技術,而是依靠轉發表和數據包的標記來創建一個安全的VPN,MPLS VPN的所有技術產生于Internet。MPLS VPN是一種以MPLS技術為基礎的IP VPN,是在網絡路由和交換設備上應用MPLS(Multiprotocol Label Switching,多協議標記交換)技術,簡化核心路由器的路由選擇方式,結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP VPN)。

(一)MPLS VPN的基本原理

每個MPLS VPN網絡的內部是由P(供應商)設備組成,這些設備構成了MPLS的核心,且不直接同CE路由器相連,圍繞在P周圍的PE路由器可以讓MPLS VPN網絡發揮VPN的作用。在MPLS VPN中,用戶站點通常運行的是IP。它們并不需要運行MPLS和其他特殊的VPN協議。在PE路由器中,RD對應同每個用戶站點連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置,是設置VPN站點工作的一部分,它并不在用戶設備上進行配置,對于用戶來說是透明的[2]。

(二)MPLS VPN的優點

1.減少時延。由于數據包不再經過封裝或者加密,所以時延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創建一個專用網,它同幀中繼網絡具備的安全性很相似[2]。

2.配置MPLS VPN網絡的設備比較容易。配置MPLS VPN網絡的設備也變得容易了,僅需配置核心網絡不許訪問CPE。

3.提高了資源利用率。由于在網內使用標簽交換,用戶各個點的局域網可以使用重復的IP地址,提高了IP資源利用率。

4.安全性高。采用MPLS作為通道機制實現透明報文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類似的高可靠安全性。

四、SSL VPN

SSL VPN的出現是為了解決IPSec VPN的固有的缺點,SSL VPN繼承了IPSec VPN的遠程使用與內網使用體驗一致優點,避免了因有客戶端而導致的使用維護不便、帶來大量病毒和蠕蟲的入侵、無法與企業現有認證服務器結合、無法審計等問題[2]。IPSec VPN與SSL VPN的對比。傳統的IPSec VPN在部署時,往往需要在每個遠程接入的終端都安裝相應的IPSec客戶端并需要作復雜的配置。若企業的遠程接入數量增多,企業的維護成本就會隨之增加。而SSL VPN最大的優點之一就是不需要安裝客戶端程序遠程用戶可以隨時隨地從任何瀏覽器上安全接入到內部網絡。對比表如下:

五、總結

由于VPN的優秀安全特性,讓它越來越受到安全要求較高的企業或部門的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術增加了VPN通信的安全性。伴隨著VPN的廣泛使用,更加復雜的VPN系統會繼續出現。所以,其安全策略管理的問題將逐步顯現,這方面的研究也將受到高度重視。

參考文獻:

[1]

本文鏈接：http://www.svtrjb.com/v-141-2671.htmlvpn技術論文范文10篇

聲明：本網頁內容由互聯網博主自發貢獻，不代表本站觀點，本站不承擔任何法律責任。天上不會到餡餅，請大家謹防詐騙！若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。

上一篇：vpn技術范文10篇

下一篇：vr技術論文范文10篇