序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁���,我們?yōu)槟x了8篇的vpn技術(shù)論文樣本����,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀����。
第1篇
關(guān)鍵詞:vpn,MPLS,BGP,WAN
隨著廣域網(wǎng)(WAN)的應(yīng)用需求不斷增長��,通信運營商競爭不斷加劇,新的WAN的解決方案必須在降低實施�����、運營成本的同時,提供更快的響應(yīng)時間����、更好的服務(wù)質(zhì)量(QoS)以及足夠的安全性�。VPN技術(shù)的出現(xiàn)�����,滿足了市場需求。
傳統(tǒng)的解決方案是采用搭建物理鏈路的專網(wǎng)�,VPN采用在公共IP網(wǎng)絡(luò)商構(gòu)建企業(yè)IP虛擬專網(wǎng)�。MPLS-VPN能夠在提供原有VPN網(wǎng)絡(luò)所有功能的同時��,提供強有力的QoS能力,具有可靠性高����、安全性高��、擴(kuò)展能力強���、控制策略靈活以及管理能力強大等特點。
1.技術(shù)分析1:VPN虛擬專用網(wǎng)(VPN)被定義為通過一個公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個臨時的�����、安全的連接��,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道�。
如此需要迫切解決的兩個問題:
一:動態(tài)創(chuàng)建隧道�。通過MPLS協(xié)議解決了這個問題�。
二:路由沖突問題����。通過BGP協(xié)議解決了這個問題�。
2:MPLSMPLS(Multi Protocol Label Switch:多協(xié)議標(biāo)簽交換)提供了快速包轉(zhuǎn)發(fā)和動態(tài)建立隧道的技術(shù)。論文大全����。MPLS是基于標(biāo)記的IP路由選擇方法���。這些標(biāo)記可以被用來代表逐跳式或者顯式路由�����,并指明服務(wù)質(zhì)量(QoS)�����、虛擬專網(wǎng)以及影響一種特定類型的流量(或一個特殊用戶的流量)在網(wǎng)絡(luò)上的傳輸方式等其它各類信息��。MPLS的報文Head結(jié)構(gòu)如下圖:
第2篇
論文摘要:MPLS技術(shù)提供了類似于虛電路的標(biāo)簽交換業(yè)務(wù)�,可以實現(xiàn)底層標(biāo)簽自動的分配���,在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價��,更快速和安全的數(shù)據(jù)傳輸�。同時MPLS VPN可以充分利用MPLS技術(shù)的一些先進(jìn)特性,提供流量工程能力�、服務(wù)質(zhì)量保證等�。DCN網(wǎng)絡(luò)作為公司內(nèi)部各營業(yè)�����、辦公、網(wǎng)管��、運維等各信息系統(tǒng)承載的網(wǎng)絡(luò)平臺���,在應(yīng)用系統(tǒng)整合的大趨勢下��,對網(wǎng)絡(luò)健壯性、安全性及可控制管理性都提出了更高的要求�����。MPLS VPN正是在這樣的環(huán)境背景下,成為DCN網(wǎng)絡(luò)改造的必然�。
隨著公司的不斷發(fā)展��,DCN網(wǎng)上承載的業(yè)務(wù)系統(tǒng)不斷增多,除“97”系統(tǒng)外�����,還有如網(wǎng)管集中監(jiān)控系統(tǒng)、電源監(jiān)控系統(tǒng)���、客服系統(tǒng)、OA等及融合后3G網(wǎng)管系統(tǒng)等��,有些應(yīng)用系統(tǒng)對安全性要求較高比如OA和財務(wù),有些系統(tǒng)對帶寬和網(wǎng)絡(luò)質(zhì)量(QoS)要求較高?�,F(xiàn)有的網(wǎng)絡(luò)不能滿足“分而治之”的企業(yè)運作管理需要�。由于信息系統(tǒng)集中整合的需要���,實施此次MPLS升級改造。通過本次改造工程的實施�����,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),提高網(wǎng)絡(luò)的安全性�、可靠性及整個DCN網(wǎng)的服務(wù)質(zhì)量��。由一張實體物理網(wǎng)實現(xiàn)虛擬多業(yè)務(wù)網(wǎng)�����,采用MPLS VPN隔離各類業(yè)務(wù)系統(tǒng)�����,骨干以現(xiàn)有DCN骨干網(wǎng)為基礎(chǔ)構(gòu)建�,接入網(wǎng)采用靈活的方式到終端,滿足企業(yè)內(nèi)部應(yīng)用的承載和安全需求��。最終,DCN網(wǎng)絡(luò)中的終端與主機(jī)須劃入至各自所屬的MPLS VPN域中����,實現(xiàn)各個VPN域之間的通信隔離���,同時在各個VPN間建立數(shù)據(jù)通道,部署防火墻對經(jīng)過數(shù)據(jù)通道的流量進(jìn)行訪問控制�����,實現(xiàn)對不同VPN域的通信數(shù)據(jù)的有效安全控制。
1 MPLS VPN技術(shù)簡介
MPLS VPN是由若干不同的site組成的集合��,一個site可以屬于不同的VPN,屬于同一VPN的site具有IP連通性��,不同VPN間可以有控制地實現(xiàn)互訪與隔離�����。
MPLS VPN網(wǎng)絡(luò)主要由CE����、PE和P等3部分組成:CE(Custom Edge Router�����,用戶網(wǎng)絡(luò)邊緣路由器)設(shè)備直接與服務(wù)提供商網(wǎng)絡(luò)。設(shè)備與用戶的CE直接相連���,負(fù)責(zé)VPN業(yè)務(wù)接入��,處理VPN-IPv4路由����,是MPLS三層VPN的主要實現(xiàn)者:P(Provider Router,骨干網(wǎng)核心路由器)負(fù)責(zé)快速轉(zhuǎn)發(fā)數(shù)據(jù)����,不與CE直接相連��。在整個MPLS VPN中,P���、PE設(shè)備需要支持MPLS的基本功能,CE設(shè)備不必支持MPLS��。
PE是MPLS VPN網(wǎng)絡(luò)的關(guān)鍵設(shè)備,根據(jù)PE路由器是否參與客戶的路由�,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS標(biāo)準(zhǔn)��,使用MBGP在PE路由器之間分發(fā)路由信息,使用MPLS技術(shù)在VPN站點之間傳送數(shù)據(jù)����,因而又稱為BGP/MPLS VPN����。在MPLS VPN網(wǎng)絡(luò)中���,對VPN的所有處理都發(fā)生在PE路由器上���,為此,PE路由器上起用了VPNv4地址族��,引入了RD(Route Distinguisher)和RT(Route Target)等屬性��。RD具有全局惟一性�����,通過將8byte的RD作為IPv4地址前綴的擴(kuò)展,使不惟一的IPv4地址轉(zhuǎn)化為惟一的VPNv4地址�。VPNv4地址對客戶端設(shè)備來說是不可見的��,它只用于骨干網(wǎng)絡(luò)上路由信息的分發(fā)。RT使用了BGP中擴(kuò)展團(tuán)體屬性���,用于路由信息的分發(fā),具有全局惟一性���,同一個RT只能被一個VPN使用����,它分成Import RT和Export RT��,分別用于路由信息的導(dǎo)入和導(dǎo)出策略����。在PE路由器上針對每個site都創(chuàng)建了一個虛擬路由轉(zhuǎn)發(fā)表VRF(VPN Routing & Forwarding)���,VRF為每個site維護(hù)邏輯上分離的路由表����,每個VRF都有Import RT和Export RT屬性�����。通過對Import RT和Export RT的合理配置��,運營商可以構(gòu)建不同拓?fù)漕愋偷腣PN���,如重疊式VPN和Hub-and-spoke VPN�����。
整個MPLS VPN體系結(jié)構(gòu)可以分成控制面和數(shù)據(jù)面�����,控制面定義了LSP的建立和VPN路由信息的分發(fā)過程����,數(shù)據(jù)面則定義了VPN數(shù)據(jù)的轉(zhuǎn)發(fā)過程�。在控制層面,P路由器并不參與VPN路由信息的交互�,客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協(xié)議交互知道屬于某個VPN的網(wǎng)絡(luò)拓?fù)湫畔?�。除了路由協(xié)議外�,在控制層面工作的還有LDP,它在整個MPLS網(wǎng)絡(luò)中進(jìn)行標(biāo)簽的分發(fā)�����,形成數(shù)據(jù)轉(zhuǎn)發(fā)的邏輯通道LSP����。在數(shù)據(jù)轉(zhuǎn)發(fā)層面�����,MPLS VPN網(wǎng)絡(luò)中傳輸?shù)腣PN業(yè)務(wù)數(shù)據(jù)采用外標(biāo)簽(又稱隧道標(biāo)簽)和內(nèi)標(biāo)簽(又稱VPN標(biāo)簽)兩層標(biāo)簽棧結(jié)構(gòu)。當(dāng)一個VPN業(yè)務(wù)分組由CE路由器發(fā)給入口PE路由器后���,PE路由器查找該子接口對應(yīng)的VRF表�����,從VRF表中得到VPN標(biāo)簽�、初始外層標(biāo)簽以及到出口PE路由器的輸出接口。當(dāng)VPN分組被打上兩層標(biāo)簽之后�,就通過PE輸出接口轉(zhuǎn)發(fā)出去,然后在MPLS骨干網(wǎng)中沿著LSP被逐級轉(zhuǎn)發(fā)��。在出口PE之前的最后一個P路由器上����,外層標(biāo)簽被彈出�,P路由器將只含有VPN標(biāo)簽的分組轉(zhuǎn)發(fā)給出口PE路由器��。出口PE路由器根據(jù)內(nèi)層標(biāo)簽查找對應(yīng)的輸出接口,在彈出VPN標(biāo)簽后通過該接口將VPN分組發(fā)送給正確的CE路由器���,從而實現(xiàn)了整個數(shù)據(jù)轉(zhuǎn)發(fā)過程�。
2 骨干遷移的三個關(guān)鍵問題
由于DCN網(wǎng)絡(luò)建設(shè)時間比較久���,網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜����,如何從全部使用IP環(huán)境的DCN過渡到全部使用MPLS VPN環(huán)境的DCN成了此次網(wǎng)絡(luò)升級改造的重點。網(wǎng)絡(luò)改造期間��,網(wǎng)絡(luò)的平穩(wěn)運行無論對于市場還是對于業(yè)務(wù)系統(tǒng)都是至關(guān)重要的,由于MPLS VPN技術(shù)是對全省DCN網(wǎng)絡(luò)傳輸技術(shù)的徹底改變�����,如何在改變網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)的同時讓網(wǎng)絡(luò)仍然健康地運行成為實現(xiàn)MPLS VPN改造的首要問題。
過渡期間最應(yīng)該考慮的關(guān)鍵三個問題是:
1)在IP環(huán)境下��,各域間路由的互通問題。實現(xiàn)方法是先將組成DCN的各個IP網(wǎng)絡(luò)單元以地市為單位逐個改造為MPLS VPN 網(wǎng)絡(luò)單元���,然后逐個與省公司建立MP BGP鄰居實現(xiàn)全網(wǎng)MPLS VPN化��。
2)受控互訪的實現(xiàn),即做到市公司在同一VPN區(qū)域內(nèi)部互相之間不可見���;市公司在同一VPN區(qū)域內(nèi)部可以訪問省公司;市公司訪問處于不同VPN區(qū)域的省公司業(yè)務(wù)�。方案設(shè)計中采用HUB-SPOKE方式和對PE、CE層面實施控制來實現(xiàn)�����。
3)VPN劃分與IP地址整理��,DCN網(wǎng)絡(luò)建設(shè)前期并未考慮各個應(yīng)用系統(tǒng)的MPLS VPN劃分���,因此大多系統(tǒng)混雜在一起,或者接在同一臺設(shè)備��,或者干脆就在同一個網(wǎng)段中,同時還存在生產(chǎn)與管理地址段混用的問題�����。具體系統(tǒng)混接的問題可以分為三類���,地址混用��、設(shè)備支持能力不足以及第二地址問題。
3 DCN網(wǎng)絡(luò)改造升級的設(shè)計
DCN網(wǎng)絡(luò)改造解決方案是融合MPLS�����、VPN和QOS技術(shù)的統(tǒng)一解決方案����。方案采用MPLS作為承載數(shù)據(jù)傳輸?shù)男聟f(xié)議����,使用EIGRP作為主干IGP協(xié)議����,MPLS VPN路由使用MP-IBGP以及路由反射器進(jìn)行域內(nèi)傳送��,省公司采用背對背VRF方式與集團(tuán)對接���。
MPLS需要建立在IGP路由的基礎(chǔ)上����,IGP協(xié)議對MPLS的主要作用就是保證MPLS鄰居之間的可達(dá)性和MBGP鄰居之間的可達(dá)性,省骨干網(wǎng)使用的EIGRP協(xié)議����,地市網(wǎng)絡(luò)根據(jù)自己網(wǎng)絡(luò)環(huán)境使用EIGRP或OSPF協(xié)議�。所有協(xié)議在省網(wǎng)和市網(wǎng)之間重分發(fā)����。整個網(wǎng)絡(luò)IGP協(xié)議互通���。根據(jù)整體方案,各PE-CE路由協(xié)議保持原OSPF動態(tài)路由協(xié)議���,在PE設(shè)備將OSPF路由重分發(fā)至MP-BGP�����。
各業(yè)務(wù)VPN互訪通過防火墻來實現(xiàn)����。由于目前將DCN全網(wǎng)業(yè)務(wù)基本劃分為MS、BS�����、OS和OTHER這四個大的系統(tǒng)�,跨系統(tǒng)流量如何導(dǎo)通成為一個較為重要的問題����。如果全部使用重疊VPN的方式���,一方面增加了維護(hù)的復(fù)雜度��,另一方面違背了建設(shè)MPLS VPN的根本目標(biāo)���,重新給各業(yè)務(wù)系統(tǒng)帶來了安全隱患。采用防火墻和重疊VPN配合方式實現(xiàn)跨域互訪����,省公司不同域的終端和主機(jī)通過省公司防火墻實現(xiàn)跨域互訪���,地市公司終端或主機(jī)需要跨域訪問省公司系統(tǒng)�,通過地市防火墻連通到不同的域中�,然后通過MPLS鏈路上連互訪�。通過在防火墻上配置嚴(yán)格的安全策略�����,對各VPN之間流量進(jìn)行過濾,這樣隔離的各MPLS VPN之間可以安全的進(jìn)行數(shù)據(jù)通信�����,這樣即解決了各業(yè)務(wù)系統(tǒng)之間的互通問題�����,也保證了各業(yè)務(wù)系統(tǒng)的安全。
綜合前面所述����,主要采用防火墻和重疊VPN配合方式實現(xiàn)跨域互訪,省公司不同域的終端和主機(jī)通過省公司防火墻實現(xiàn)跨域互訪����,地市公司終端或主機(jī)需要跨域訪問省公司系統(tǒng),通過地市防火墻連通到不同的域中����,然后通過MPLS鏈路上連互訪。
將各業(yè)務(wù)VPN為HUB-SPOKE模式���,即各地市業(yè)務(wù)系統(tǒng)僅可與省中心進(jìn)行通信����,相互之間不可見����,不能進(jìn)行相互訪問���。
在省公司和地市公司核心路由器連接防火墻��,將防火墻的不同端口接入到不同VPN域中����。在防火墻上根據(jù)各VPN業(yè)務(wù)的訪問需求作相應(yīng)的訪問控制�����,各VPN業(yè)務(wù)之間通過防火墻進(jìn)行訪問���。
4 MPLS VPN對DCN網(wǎng)絡(luò)的重要意義
由于應(yīng)用系統(tǒng)整合方向是集團(tuán)公司集中和省公司集中。集團(tuán)���、省集中應(yīng)用系統(tǒng)通過DCN網(wǎng)絡(luò)進(jìn)行信息交互�,而應(yīng)用系統(tǒng)整合除功能整合外�,其物理整合和集中的形勢則表現(xiàn)為集中的企業(yè)數(shù)據(jù)中心����,MPLS升級的重要意義體現(xiàn)在:
1)全網(wǎng)絡(luò)覆蓋:應(yīng)用系統(tǒng)整合后����,系統(tǒng)集中統(tǒng)一部署服務(wù)器�����,滿足地市、縣客戶端遠(yuǎn)程訪問省級應(yīng)用系統(tǒng)服務(wù)器�,集團(tuán)公司級應(yīng)用系統(tǒng)和省級應(yīng)用系統(tǒng)之間有信息交互的應(yīng)用需求�。
2)系統(tǒng)受控安全互訪需求:企業(yè)運作需要,不同應(yīng)用系統(tǒng)間又有互訪的要求��。例如:營帳綜合客戶端,處于辦公網(wǎng)�,兼顧辦公和營帳工作�,需訪問營帳系統(tǒng)��;網(wǎng)管綜合客戶端���,兼顧網(wǎng)管工作和辦公管理、資源管理���、工單��、故障單工作�����,經(jīng)常在兩網(wǎng)間切換�;因此需要DCN網(wǎng)絡(luò)進(jìn)行安全隔離的同時���,支持系統(tǒng)間受控互訪�����,通過用戶身份識別���、訪問授權(quán)���、隧道加密、安全策略部署等技術(shù)保證被訪系統(tǒng)的安全�����。
3)可用性要求:隨著信息化建設(shè)的深入,系統(tǒng)功能將逐步得到完善�,傳送的信息內(nèi)容將日趨豐富�,VPN顆粒將趨向細(xì)化,VPN拓?fù)鋵⑷找鎻?fù)雜����,對現(xiàn)有企業(yè)網(wǎng)絡(luò)的交換容量��、處理能力��、鏈路連接能力以及VPN支持能力是網(wǎng)絡(luò)規(guī)劃建設(shè)中必需著重考慮的問題��。
4)可靠性要求:DCN網(wǎng)絡(luò)承載著企業(yè)運作所需的重要應(yīng)用和數(shù)據(jù),在整個信息化系統(tǒng)中起到中樞神經(jīng)的作用�����,網(wǎng)絡(luò)故障將影響企業(yè)正常運作。信息系統(tǒng)整合將導(dǎo)致地域性和功能性集中化程度的提高�����,從而增加了對DCN網(wǎng)絡(luò)的依賴�����。必需充分考慮網(wǎng)絡(luò)高可靠性�����,避免網(wǎng)絡(luò)設(shè)備和鏈路的單點故障,保證關(guān)鍵應(yīng)用系統(tǒng)的訪問和接入�����,保證作為應(yīng)用系統(tǒng)核心的企業(yè)數(shù)據(jù)中心的高效可靠的連接。
5)服務(wù)質(zhì)量要求:DCN網(wǎng)絡(luò)是在同一物理網(wǎng)絡(luò)上承載多個相對獨立的業(yè)務(wù)系統(tǒng)��,各業(yè)務(wù)系統(tǒng)為不同的職能部門開展業(yè)務(wù)提供服務(wù),其數(shù)據(jù)流程和管理方式都存在差異�����,不同業(yè)務(wù)系統(tǒng),需要網(wǎng)絡(luò)平臺提供差別服務(wù)���,如對帶寬、實時性有不同的要求��,網(wǎng)絡(luò)必須具備帶寬管理��、資源預(yù)留���、服務(wù)等級設(shè)置的能力�。
在保證DCN網(wǎng)絡(luò)安全運行的前提下,有步驟��、分階段實施MPLS改造,并按照規(guī)劃設(shè)計應(yīng)用RT策略實現(xiàn)各系統(tǒng)互訪受控與隔離��。目前,改造后的DCN網(wǎng)絡(luò)運行狀況良好���。
在實現(xiàn)MPLS VPN后,受控互訪則變得相對輕松��,僅僅需要在各個MPLS VPN路由環(huán)境之間的數(shù)據(jù)通道上部署防火墻即可對各VPN間也就是各應(yīng)用系統(tǒng)間的訪問進(jìn)行控制。隨著受控互訪的實現(xiàn)�����,全覆蓋����、可用、可靠����、優(yōu)化傳輸以及可管理等周邊需求的實現(xiàn)也變得比較容易���。一張實體物理網(wǎng)��、虛擬多業(yè)務(wù)網(wǎng),采用MPLS VPN隔離各類業(yè)務(wù)系統(tǒng)���,骨干以現(xiàn)有DCN骨干網(wǎng)為基礎(chǔ)構(gòu)建����,接入網(wǎng)采用靈活的方式到終端��。獨立統(tǒng)一的一張實體物理網(wǎng)�����,滿足企業(yè)內(nèi)部應(yīng)用的承載需求�。虛擬多業(yè)務(wù)網(wǎng)����,統(tǒng)一的業(yè)務(wù)隔離、受控互訪機(jī)制和統(tǒng)一的VPN業(yè)務(wù)接入機(jī)制�。
5 結(jié)束語
MPLS VPN網(wǎng)絡(luò)改造的實現(xiàn)��,極大的提高的DCN網(wǎng)絡(luò)的安全性,為前臺營業(yè)�����、辦公OA��、運維網(wǎng)絡(luò)監(jiān)控等各項不同的業(yè)務(wù)網(wǎng)絡(luò)應(yīng)用提供可靠地保證����。
參考文獻(xiàn):
[1] 范亞芹��,張麗翠���,宋維剛.可提供MPLS VPN網(wǎng)絡(luò)安全性保障的解決方案[J].吉林大學(xué)學(xué)報:信息科學(xué)版����,2005(03).
第3篇
論文關(guān)鍵詞:VPN�����;供電企業(yè);信息化
論文摘要:縣級供電企業(yè)在推進(jìn)信息化過程中,普遍存在著成本過大�,安全系數(shù)較低以及建設(shè)周期長等問題���。結(jié)合廬江供電公司在開展城鄉(xiāng)營銷管理信息化建設(shè)中出現(xiàn)的問題進(jìn)行分析�,提出利用VPN實現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)的解決方案��,并分析了下一步信息化的主攻方向���。
0引言
隨著電力信自、化水平的不斷提高����,縣級供電企業(yè)綜合管理信息系統(tǒng)開始逐步建立����,但基層變電站���、鄉(xiāng)鎮(zhèn)供電聽與供電公司局域網(wǎng)聯(lián)網(wǎng)問題嚴(yán)重地制約著縣級供電企業(yè)信息系統(tǒng)實用化水平的發(fā)展和信息資源的充分有效利用,這與供電企業(yè)管理發(fā)展的目標(biāo)追求以及客戶的需求是極不適應(yīng)的��。由于鄉(xiāng)鎮(zhèn)供電所信息化建設(shè)工作受地形��、人員素質(zhì)����、資金投人等因素影響,解決遠(yuǎn)程站點聯(lián)網(wǎng)問題成為縣級供電企業(yè)信自��、網(wǎng)絡(luò)建設(shè)中的突出矛盾�����。
1廬江供電公司信息化建設(shè)現(xiàn)狀
安徽廬江供電公司的信息化上作起步較晚�����,供電公司總部于X004年實現(xiàn)了生產(chǎn)M I S與辦公自動化OA的單軌制運行��,總部信息化運行提高了企業(yè)的整體管理水平和辦公效率���。如今�,廬江供電公司總部已運行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)、辦公自動化系統(tǒng)�����、檔案管理系統(tǒng)����、Web系統(tǒng)、財務(wù)管理系統(tǒng)���,現(xiàn)有的服務(wù)器包括:生產(chǎn)服務(wù)器��、辦公自動化服務(wù)器�、檔案服務(wù)器����、Web服務(wù)器、財務(wù)服務(wù)器��。力��、公用微機(jī)80多臺����,每位管理人員以及每個班組都配有微機(jī)。
在實施信息化建設(shè)與管理中����,深深體會到廬江供電公司信息化建設(shè)不僅可降低財務(wù)管理、物資管理�、項目管理、資料管理等方面的管理成本���,并在生產(chǎn)管理中可將所有設(shè)備信息進(jìn)行分類編號���,輸人數(shù)據(jù)庫,實行設(shè)備���、設(shè)施缺陷管理���,科學(xué)地制定缺陷檢修計劃,提高設(shè)備運行可靠度���,降低故障率�,提高供電可靠性;同時���,廬江供電公司的營銷管理信息系統(tǒng)建有業(yè)擴(kuò)子系統(tǒng)�����、電量電費f系統(tǒng)�����、用電檢查子系統(tǒng)�����、綜合查詢系統(tǒng)���,通過這些系統(tǒng)���,可方便與客戶的交流、溝通����,節(jié)約成本開支,實現(xiàn)科學(xué)化營銷流程管理���。這些管理信息系統(tǒng)的應(yīng)用��,加強J’企業(yè)的規(guī)范化管理����,增強了管理的科學(xué)化水平����,減輕了工作人員的負(fù)擔(dān),提高了企業(yè)的經(jīng)濟(jì)效益�。
為此,廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營銷MIS應(yīng)用系統(tǒng)的推進(jìn)力度���,進(jìn)一步減輕了抄表人員的負(fù)擔(dān)��,縮短了開票時間�,加強了電費電價的控制與管理���,提高了營銷管理自動化水平��。全縣17個鄉(xiāng)鎮(zhèn)供電聽�����,都使用同一版本的營銷MIS應(yīng)用系統(tǒng)���。舟個供電聽都有3臺以上的微機(jī)����,其中1臺所長用于日常辦公��,另外2臺分別作為用電MIS系統(tǒng)的服務(wù)器與客戶端�,并兼為所里其他工作人員辦公使用。其中�,已有10個供電所可利用變電站的光纖系統(tǒng),與廬江供電公司總部實現(xiàn)網(wǎng)絡(luò)互聯(lián)��,提高了工作效率���,節(jié)省了開支����。其余7個供電所仍不能夠?qū)崿F(xiàn)信息化共享�,這些供電所非常希望盡快網(wǎng)絡(luò)互聯(lián)。
2采用VPN方案推進(jìn)供電所信息化建設(shè)進(jìn)程
這些供電所若使用以前的光纖聯(lián)網(wǎng)方式����,不僅投資大����,施工工期長�����,而且日后的維護(hù)量也多���。考慮到以上原因��,為盡快解決其余7個光纖未開通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡(luò)互聯(lián)問題�����,達(dá)到信息����、共享,推廣鄉(xiāng)鎮(zhèn)供電所的營銷MIS系統(tǒng)應(yīng)用��,公司決定采用虛擬局域網(wǎng)(VPN)�����,在現(xiàn)有設(shè)備基礎(chǔ)上,進(jìn)行簡單的改造�。通過在VPN網(wǎng)關(guān)中配置7個供電所的用戶、密碼以及訪問策略�����,并分別在7個供電所安裝VPN客戶端�����,安裝公司的MIS應(yīng)用系統(tǒng)���,實現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)����。VPN技術(shù)實際上就是綜合利用包封裝技術(shù)����、加密技術(shù)、密鑰交換技術(shù)���、PKI技術(shù)����,可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN , Virtual Private Network ) �。 VPN是一個被加密或封裝的通信過程,該過程把數(shù)據(jù)安全地從一端傳送到另一端�����,這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來保障���,而數(shù)據(jù)是在一個開放的、沒有安全保障的���、經(jīng)過路由傳送的網(wǎng)絡(luò)上傳輸?shù)?。VPN技術(shù)能夠有效解決信息安全傳輸中的“機(jī)密性�、完整性、不可抵賴性”問題���。
3方案效果比較
對2種方案的可能性進(jìn)行了比較����,如圖1所示�����。如果廬江供電公司全部運用光纖法來實現(xiàn)供電所的網(wǎng)絡(luò)互聯(lián),每個供電所的材料費�、施工費按3.5萬元,施工工期10天計算����,7個供電所就需要3.5 x 7=24.5萬元,需要10 x 7=70天����。若這7個供電所采用VPN方案,只需要購買VPN網(wǎng)關(guān)1臺�,價值3.5萬元和7個客戶端鑰匙,價值7 x 480=3360元���,5天內(nèi)就能完成7個供電所安裝�����。因此�,應(yīng)用VPN方案���,廬江供電公司就能節(jié)省資金達(dá)24 . 5-3 . 836=20.664萬元���,縮短工期65天���,取得的直接效益是顯著的,并省去了今后光纖線路維護(hù)所需要工作量����。
現(xiàn)在�,這7個鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng),在局域網(wǎng)下載內(nèi)容的速度可達(dá)350 kb/s����,生產(chǎn)MIS系統(tǒng)響應(yīng)時間為2--3 s,辦公自動化系統(tǒng)瀏覽公司收發(fā)的文件�、接受電子郵件的時間因文件的大小不同而有所差別��,1 MB的文件大約需要8 s���。由于ADSL是非對稱數(shù)字環(huán)路����,所以發(fā)送電子郵件的速度要慢得多,1 MB的文件大約需要18s�。從VPN方案運行效果來看����,完全能夠滿足廬江供電公司網(wǎng)絡(luò)發(fā)展及MIS系統(tǒng)應(yīng)用的需要�。
4下一步信息化建設(shè)的主攻方向
目前�,廬江供電所信息化還處于初級階段,對電力企業(yè)信息化建設(shè)的目標(biāo)還沒有完全形成統(tǒng)一的管理標(biāo)準(zhǔn);同時�,廬江供電公司在實施VPN技術(shù)后���,也清楚地看出:VPN是一種虛擬專用網(wǎng)絡(luò)��,而不是一種真正的專用網(wǎng)絡(luò)。因此����,廬江供電公司打算設(shè)立嚴(yán)格的管理制度,包括嚴(yán)格的權(quán)限管理�,無關(guān)人員無權(quán)查看���、改動數(shù)據(jù)����,VPN客戶端的用戶與密碼管理等,建立起一套計算機(jī)管理操作等規(guī)章制度�,使整個網(wǎng)絡(luò)安全有序地運行��。此外��,該公司今后還將加大對供電所使用人員的計算機(jī)培訓(xùn)力度�,包括計算機(jī)知識在內(nèi)的應(yīng)用培訓(xùn),促進(jìn)操作人員更好地使用軟件,提高操作人員計算機(jī)水平��,也為計算機(jī)應(yīng)用在企業(yè)內(nèi)部得到更好地發(fā)展起到一定的推動作用,并充實培養(yǎng)供電聽計算機(jī)網(wǎng)絡(luò)管理人員��、信息安全管理人員�,把信息化建設(shè)中的培訓(xùn)工作貫穿始終�����,進(jìn)而拓寬信息化的覆蓋面,保證信息�����、化工作的健康發(fā)展,讓VPN技術(shù)更好地為廬江供電公司信息化���、專業(yè)化、現(xiàn)代化服務(wù)�����。
第4篇
【關(guān)鍵詞】計算機(jī)網(wǎng)絡(luò)���;信息安全�;防火墻����;安全技術(shù)
隨著計算機(jī)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展���,網(wǎng)絡(luò)信息化在給人們帶來種種物質(zhì)和文化享受的同時��,我們也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅。盡管我們已經(jīng)廣泛地使用各種復(fù)雜的安全技術(shù)����,但是�,仍然有很多黑客的非法入侵���,對社會造成了嚴(yán)重的危害。針對各種來自網(wǎng)絡(luò)的安全威脅��,怎樣才能確保網(wǎng)絡(luò)信息的安全性����。本文通過對網(wǎng)絡(luò)安全存在的威脅進(jìn)行分析����,總結(jié)出威脅網(wǎng)絡(luò)安全的幾種典型表現(xiàn)形式,進(jìn)而歸納出常用的網(wǎng)絡(luò)安全的防范措施����。
一�����、計算機(jī)網(wǎng)絡(luò)安全存在的隱患
眾所周知�����,Internet是開放的���,即使在使用了現(xiàn)有的安全工具和機(jī)制的情況下,網(wǎng)絡(luò)的安全仍然存在很大隱患����,這些安全隱患主要可以歸結(jié)為以下幾點:
1.每一種安全機(jī)制都有一定的應(yīng)用范圍和應(yīng)用
防火墻是一種有效的安全工具,它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)�,限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問�。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問,防火墻往往是無能為力的���。因此���,對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的入侵行為�����,防火墻是很難發(fā)覺和防范的�����。
2.安全工具的使用往往受到人為因素的影響
一個安全工具能不能實現(xiàn)效果����,在很大程度上取決于使用者,包括系統(tǒng)管理者和普通用戶�,不正當(dāng)?shù)脑O(shè)置就會產(chǎn)生不安全因素。比如操作員安全配置不當(dāng)造成系統(tǒng)存在安全漏洞����,用戶安全意識不強�����,口令選擇不慎�,將自己的帳號隨意轉(zhuǎn)借他人或與別人共享等都會給網(wǎng)絡(luò)安全帶來威脅。
3.系統(tǒng)的后門和木馬程序
從最早計算機(jī)被入侵開始���,黑客們就已經(jīng)發(fā)展了“后門”技術(shù),利用后門技術(shù)����,他們可以再次進(jìn)入系統(tǒng)��。后門的功能主要有:使管理員無法阻止�;種植者再次進(jìn)入系統(tǒng);使種植者在系統(tǒng)中不易被發(fā)現(xiàn)����;使種植者進(jìn)入系統(tǒng)花費最少的時間。木馬��,又稱特洛伊木馬����,是一類特殊的后門程序�����,它是一種基于遠(yuǎn)程控制的黑客工具�����,具有隱蔽性和非授權(quán)性的特點����。
4.只要有程序,就可能存在BUG
任何一款軟件都或多或少存在漏洞���,甚至連安全工具本身也可能存在安全的漏洞。這些缺陷和漏洞恰恰就是黑客進(jìn)行攻擊的首選目標(biāo)���。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來�����,程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。
二�、計算機(jī)網(wǎng)絡(luò)安全的防護(hù)策略
盡管計算機(jī)網(wǎng)絡(luò)信息安全受到威脅,但是采取恰當(dāng)?shù)姆雷o(hù)措施也能有效的保護(hù)網(wǎng)絡(luò)信息的安全����。本文總結(jié)了以下幾種方法并加以說明以確保在策略上保護(hù)網(wǎng)絡(luò)信息的安全:
1.防火墻技術(shù)
防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合����。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全策略控制(允許����、拒絕�����、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力����。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性���,并通過過濾不安全的服務(wù)而降低風(fēng)險��。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全����。
2.數(shù)據(jù)加密
采用網(wǎng)絡(luò)加密技術(shù),對公網(wǎng)中傳輸?shù)腎P包進(jìn)行加密和封裝�,實現(xiàn)數(shù)據(jù)傳輸?shù)谋C苄?�、完整性�。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問題,也可解決遠(yuǎn)程用戶訪問內(nèi)網(wǎng)的安全問題�。主要存在兩種主要的加密類型:私匙加密和公匙加密。
3.虛擬專用網(wǎng)(VPN)技術(shù)
虛擬專用網(wǎng)(VPN)技術(shù)利用現(xiàn)有的不安全的公共網(wǎng)絡(luò)建立安全方便的企業(yè)專業(yè)通信網(wǎng)絡(luò)����,使數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中,是目前解決信息安全問題的一個最新���、最成功的技術(shù)課題之一。在公共網(wǎng)絡(luò)上構(gòu)建VPN有兩種主流的機(jī)制��,這兩種機(jī)制為路由過濾技術(shù)和隧道技術(shù)�����。VPN有幾種分類方法�,如按接入方式分成專線VPN和撥號VPN���;按隧道協(xié)議可分為第二層和第三層的�����;按發(fā)起方式可分成客戶發(fā)起的和服務(wù)器發(fā)起的�����。由于VPN技術(shù)可擴(kuò)展性強����,建立方便�����,具有高度的安全性�,簡化了網(wǎng)絡(luò)技術(shù)和管理�����,使費用降到最低����,因而����,逐漸成為通用的技術(shù)���。
4.入侵檢測系統(tǒng)
入侵檢測技術(shù)是為保證系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?�,F(xiàn)象的技術(shù)���,是一種用于檢測中違反安全策略行為的技術(shù)。它是防火墻的合理補充���,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊���,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視����、進(jìn)攻識別和響應(yīng))���,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性����。入侵檢測從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息��,并分析這些信息�,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。
隨著計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)已深入到社會各個領(lǐng)域��,人類社會各種活動對計算機(jī)網(wǎng)絡(luò)的依賴程度已經(jīng)越來越大�����。因此只有嚴(yán)格的保密政策��、明晰的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能完好�����、實時地保證信息的完整性和確證性����,為網(wǎng)絡(luò)提供強大的安全服務(wù)���。本論文從多方面描述了網(wǎng)絡(luò)安全的防護(hù)策略�,比如防火墻,認(rèn)證�,加密技術(shù)等都是當(dāng)今常用的方法,本論文從這些方法入手深入研究各個方面的網(wǎng)絡(luò)安全問題的解決����,可以使讀者有對網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。
參考文獻(xiàn):
[1]楊義先.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京:人民郵電出版社��,2003
第5篇
關(guān)鍵詞:IP網(wǎng)絡(luò) VPN 信息安全
中圖分類號:TN711 文獻(xiàn)標(biāo)識碼:A 文章編號:
隨著信息技術(shù)的飛速發(fā)展和IP網(wǎng)用戶數(shù)量的迅猛增加以及多媒體應(yīng)用需求的不斷增長��,人們對IP網(wǎng)提高帶寬的渴望越來越強���。
初期的Internet僅提供文件傳輸、電子郵件等數(shù)據(jù)業(yè)務(wù)����,如今的Internet集圖像、視頻����、聲音�、文字、動畫等為一體����,即以傳輸多媒體寬帶業(yè)務(wù)為主,由此Internet的發(fā)展趨勢必然是寬帶化向?qū)拵P網(wǎng)絡(luò)發(fā)展���,寬帶IP網(wǎng)絡(luò)技術(shù)應(yīng)運而生����。
所謂的寬帶IP網(wǎng)絡(luò)是指Internet的交換設(shè)備�、中繼通信線路、用戶接入設(shè)備和用戶終端設(shè)備都是寬帶的����,通常中繼線帶寬為每秒數(shù)吉比特至幾十吉比特����,接入帶寬為1~100Mbit/s。在這樣一個寬帶IP網(wǎng)絡(luò)上能傳送各種音視頻和多媒體等寬帶業(yè)務(wù)��,同時支持當(dāng)前的窄帶業(yè)務(wù)���,它集成與發(fā)展了當(dāng)前的網(wǎng)絡(luò)技術(shù)���、IP技術(shù)����,并向下一代網(wǎng)絡(luò)方向發(fā)展。
當(dāng)今年代����,IP網(wǎng)絡(luò)的覆蓋范圍如此廣泛���、網(wǎng)絡(luò)規(guī)模如此龐大��、用戶數(shù)量如此之多�、業(yè)務(wù)傳輸如此頻繁�,保障其安全性顯然是至關(guān)重要的�。
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)�����,不受偶然的或者惡意的原因而遭到破壞��、更改�、泄露���,系統(tǒng)連續(xù)可靠正常地運行����,網(wǎng)絡(luò)服務(wù)不中斷��。從內(nèi)容看網(wǎng)絡(luò)安全大致包括4個方面�����,即網(wǎng)絡(luò)實體安全����、軟件安全���、數(shù)據(jù)安全及安全管理�����。從其本質(zhì)上來講主要就是網(wǎng)絡(luò)上的信息安全�����,即要保障網(wǎng)絡(luò)上信息的保密性����、完整性�����、可用性����、可控性和真實性�。
寬帶IP網(wǎng)絡(luò)面臨的安全性威脅分為兩大類:被動攻擊和主動攻擊����。被動攻擊中,攻擊者只是觀察和分析某一個協(xié)議數(shù)據(jù)單元���,不對數(shù)據(jù)信息做任何修改��,所以根本不會留下痕跡或留下的痕跡很少�����,因而一般都檢測不出來,對付被動攻擊可以采用數(shù)據(jù)加密技術(shù)����。主動攻擊是更改信息和拒絕用戶使用資源的攻擊�����,攻擊者對某個連接中通過的協(xié)議數(shù)據(jù)單元進(jìn)行各種處理�。這類攻擊可分為篡改�、偽造���、中斷和抵賴�����。主動攻擊可采取適當(dāng)?shù)拇胧z測出來��,而要有效的防是十分困難的。對付主動攻擊需要將數(shù)據(jù)加密技術(shù)與適當(dāng)?shù)蔫b別技術(shù)相結(jié)合����。另外還有一種特殊的主動攻擊就是惡意程序,如計算機(jī)如沖����、特洛伊木馬和邏輯炸彈。
寬帶IP網(wǎng)絡(luò)安全服務(wù)的基本需求包括保密性����、完整性�、可用性、可控性和不可否認(rèn)性���。
為了滿足網(wǎng)絡(luò)信息系統(tǒng)安全的基本要求,加強網(wǎng)絡(luò)信息系統(tǒng)安全性�,對抗安全攻擊,可采取數(shù)據(jù)加密�����、數(shù)字簽名�����、鑒別��、設(shè)置防火墻等一系列措施����。
為了保證數(shù)據(jù)信息的保密性和完整性,要對數(shù)據(jù)信息進(jìn)行加密���,數(shù)據(jù)加密的密碼體制分為常規(guī)密鑰和公開密鑰兩種密碼體制�,從網(wǎng)絡(luò)傳輸?shù)慕嵌瓤?�,有兩種不同的加密策略:鏈路加密和端到端加密����。兩種加密策略各有優(yōu)缺點,一般將鏈路加密和端到端加密結(jié)合起來使用����,以獲得更好的安全性�����。
保證網(wǎng)絡(luò)安全的另外一個重要措施就是設(shè)置防火墻��,防火墻是一種位于兩個網(wǎng)絡(luò)間�、實施網(wǎng)絡(luò)之間訪問控制的組件集合���,防火墻的網(wǎng)絡(luò)稱為“可信賴的網(wǎng)絡(luò)”��,而將外部Internet 稱為“不可信賴的網(wǎng)絡(luò)”�。
防火墻可以從不同角度分類,根據(jù)物理特性可分為硬件防火墻和軟件防火墻�����,但是由于軟件防火墻自身屬于運行于系統(tǒng)上的程序���,不可避免地需要占用一部分CPU資源維持工作,而且由于數(shù)據(jù)判斷處理需要一定的時間���,在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里���,軟件防火墻會使整個系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降,甚至有些軟件防火墻會存在漏洞���,導(dǎo)致有害數(shù)據(jù)可以繞過它的防御體系��,給數(shù)據(jù)安全帶來損失�����。因此���,許多網(wǎng)絡(luò)更側(cè)重于硬件防火墻作為防御措施。
以上介紹了保障IP網(wǎng)絡(luò)安全的一些措施���,在不安全的公共網(wǎng)絡(luò)上建立一個安全的專用通信網(wǎng)絡(luò)VPN也稱得上是實現(xiàn)管好全性的一項舉措��。
VPN虛擬專網(wǎng)是虛擬私有網(wǎng)絡(luò)的簡稱,安是一種利用公共網(wǎng)絡(luò)�,來構(gòu)建的私有專用網(wǎng)絡(luò),VPN將給企業(yè)提供集安全性����、可靠性和可管理性于一身的私有專用網(wǎng)絡(luò)。
VPN的目標(biāo)是在不安全的公共網(wǎng)絡(luò)上建立一個安全的專用通信網(wǎng)絡(luò)��,在降低費用的同時保障通信的安全性�,即構(gòu)建在公共數(shù)據(jù)網(wǎng)絡(luò)上的VPN將像當(dāng)前企業(yè)私有的網(wǎng)絡(luò)一樣提供安全性�、可靠性和可管理性。VPN利用嚴(yán)密的安全措施和隧道技術(shù)來確保數(shù)據(jù)專有����、安全地在公網(wǎng)上傳輸。目前Internet已成為全球最大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施���,幾乎延伸到世界的各個角落�����,于是基于Internet的IP VPN技術(shù)越來越受到關(guān)注�����,IETF對基于IP的VPN的定義為“使用IP機(jī)制仿真出一個私有廣域網(wǎng)”���。
IP VPN按接入方式劃分可分為專線VPN和撥號VPN���,專線VPN是為已經(jīng)通過專線接入ISP邊緣路由器的用戶提供的VPN解決方案,是一種“永遠(yuǎn)在線”的VPN�����。撥號VPN又稱VPDN����,它是向利用撥號PSTN或ISDN接入ISP的用戶提供的VPN業(yè)務(wù),是一種“按需連接”的VPN��。因為這種VPN的用戶一般是漫游用戶���,因此VPDN通常需要做身份認(rèn)證��。按協(xié)議實現(xiàn)類型還可以分為采用第二層隧道協(xié)議的VPN和采用第三層隧道協(xié)議的VPN。還可以按VPN的發(fā)起方式�、服務(wù)類型、承載主體等多種方式進(jìn)行劃分��。
構(gòu)成IP VPN的主要設(shè)備有IP安全隧道和VPN設(shè)備�。內(nèi)部網(wǎng)LAN1發(fā)送者發(fā)送明文信息到連接公共網(wǎng)絡(luò)的源VPN設(shè)備���,源VPN設(shè)備首先進(jìn)行訪問控制��,確定是否需要對數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過或拒絕通過��。對需要加密的IP數(shù)據(jù)報進(jìn)行加密�,并附上數(shù)字簽名以提供數(shù)據(jù)報鑒別����。VPN設(shè)備依據(jù)所使用的隧道協(xié)議,重新封裝加密后的數(shù)據(jù)�����,此數(shù)據(jù)通過IP安全隧道在公共網(wǎng)絡(luò)上傳輸����。當(dāng)數(shù)據(jù)報到達(dá)目的的PVN設(shè)備時����,首先根據(jù)隧道協(xié)議數(shù)據(jù)報被解除封裝,數(shù)字簽名被核對無誤后數(shù)據(jù)報被解密還原成原明文��,然后目的VPN設(shè)備根據(jù)明文中的目的地址對內(nèi)部網(wǎng)LAN2中的主機(jī)進(jìn)行訪問控制��,在核對無誤后將明文傳送經(jīng)LAN2中的接收者。
VPN的隧道技術(shù)是構(gòu)建VPN的關(guān)鍵技術(shù)��,廣義的隧道包括隧道啟動節(jié)點���、隧道終止點和承載隧道的IP網(wǎng)絡(luò)��。按照工作的層次�����,隧道協(xié)議可分為兩類:二層隧道協(xié)議和三層隧道協(xié)議�����。三層隧道協(xié)議主要有兩種:RFC1701通用路由封裝協(xié)議和IETF制定的IP層加密標(biāo)準(zhǔn)協(xié)議IPSec協(xié)議����。二層隧道協(xié)議主要有三種�����,點對點隧道協(xié)議(PPTP)���、二層轉(zhuǎn)發(fā)協(xié)議(L2F)和二層隧道協(xié)議(L2TP)。二層隧道協(xié)議簡單易行��,但擴(kuò)展性差且提供內(nèi)在的安全機(jī)制安全強度低��,主要應(yīng)用于構(gòu)建撥號VPN�����,而三層隧道協(xié)議安全性���、可擴(kuò)展性���、可靠性較強,兩者通常結(jié)合使用�����。
第6篇
關(guān)鍵詞:虛擬專用網(wǎng) IP隧道 網(wǎng)絡(luò)電話
中圖分類號:TP393.1 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2013)03(b)-0039-03
虛擬專用網(wǎng)(VPN)作為一種安全而有效的商用通信技術(shù)�,在網(wǎng)絡(luò)內(nèi)部有著專線一樣的加密性���,又沒有專線那樣高的費用��,因此得到廣泛的應(yīng)用�。虛擬專用連接的業(yè)務(wù)類型較單一�,因此VPN增值服務(wù)對多媒體實時應(yīng)用提出了內(nèi)在要求��。隨著VPN應(yīng)用和VOIP應(yīng)用的日益廣泛���,能不能將VPN技術(shù)和VOIP技術(shù)結(jié)合起來�,將VOIP應(yīng)用拓展到VPN中從而拓展了VPN技術(shù)的應(yīng)用領(lǐng)域���,為VPN增值服務(wù)提供新的增長點。
1 VPN簡介及優(yōu)勢介紹
VPN是Virtual Private Network的縮寫��,即虛擬專用網(wǎng)��。簡單地說,VPN即是指在公眾網(wǎng)絡(luò)上所建立的企業(yè)網(wǎng)絡(luò)����,并且此企業(yè)網(wǎng)絡(luò)擁有與專用網(wǎng)絡(luò)相同的安全����、管理及功能等特點�����,它替代了傳統(tǒng)的撥號訪問,利用Internet公網(wǎng)資源作為企業(yè)專網(wǎng)的替代和補充,節(jié)省昂貴的長途費用��。
VPN網(wǎng)絡(luò)具有較好的安全性,以多種方式增強了網(wǎng)絡(luò)的智能和安全性��。專業(yè)的VPN產(chǎn)品都對遠(yuǎn)端用戶的接入提供了非常嚴(yán)格的身份檢測和認(rèn)證機(jī)制�,確保用戶的合法性��。另外,VPN通過加密協(xié)議的采用實現(xiàn)了對傳輸數(shù)據(jù)的封裝����,避免數(shù)據(jù)的明文傳送帶來的安全隱患。
企業(yè)用戶可以使用VPN替代租用線路來實現(xiàn)分支機(jī)構(gòu)的連接��。網(wǎng)絡(luò)容量容易擴(kuò)展��,借助VPN,企業(yè)可以利用ISP的設(shè)施和服務(wù)���,同時又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)����。
2 VOIP的關(guān)鍵技術(shù)
VOIP是Voice over Internet Protocol的縮寫��,指的是將模擬的聲音信號經(jīng)過壓縮與封包之后,以數(shù)據(jù)封包的形式在IP網(wǎng)絡(luò)的環(huán)境進(jìn)行語音信號的傳輸���,通俗來說也就是互聯(lián)網(wǎng)電話或者簡稱IP電話的意思����。
VOIP的基本原理是:通過語音的壓縮算法對語音數(shù)據(jù)編碼進(jìn)行壓縮處理��,然后把這些語音數(shù)據(jù)按TCP/IP標(biāo)準(zhǔn)進(jìn)行打包��,經(jīng)過IP網(wǎng)絡(luò)把數(shù)據(jù)包送至接收地�,再把這些語音數(shù)據(jù)包串起來,經(jīng)過解壓處理后����,恢復(fù)成原來的語音信號��,從而達(dá)到由互聯(lián)網(wǎng)傳送語音的目的����。IP電話的核心與關(guān)鍵設(shè)備是IP網(wǎng)關(guān)���,它把各地區(qū)電話區(qū)號映射為相應(yīng)的地區(qū)網(wǎng)關(guān)IP地址�����。這些信息存放在一個數(shù)據(jù)庫中�,數(shù)據(jù)接續(xù)處理軟件將完成呼叫處理���、數(shù)字語音打包����、路由管理等功能��。
采用IP網(wǎng)絡(luò)承載話音業(yè)務(wù)與傳統(tǒng)的電話業(yè)務(wù)相比存在著諸多的優(yōu)勢��。VOIP可以使電話物理網(wǎng)絡(luò)和Internet或IP物理數(shù)據(jù)網(wǎng)絡(luò)合二為一���,有效地簡化通信系統(tǒng)�����,減低系統(tǒng)成本和管理成本�����;利用IP分布式的��、靈活而可擴(kuò)展的通信方式,以及VOIP所提供的新功能可以使企業(yè)��、雇員、合作伙伴和客戶更靈活而有效的溝通���;VOIP可以使話音應(yīng)用與原有的數(shù)據(jù)業(yè)務(wù)應(yīng)用有機(jī)的融合在一起�,開創(chuàng)新一代業(yè)務(wù)應(yīng)用�。
3 VOIP的基本傳輸過程
為了在一個IP網(wǎng)絡(luò)上傳輸語音信號���,要求幾個元素和功能�����。最簡單形式的網(wǎng)絡(luò)由兩個或多個具有VOIP功能的設(shè)備組成�����,這一設(shè)備通過一個IP網(wǎng)絡(luò)連接��。VOIP設(shè)備把語音信號轉(zhuǎn)換為IP數(shù)據(jù)流��,并把這些數(shù)據(jù)流轉(zhuǎn)發(fā)到IP目的地���,IP目的地又把它們轉(zhuǎn)換回到語音信號。兩者之音的網(wǎng)絡(luò)必須支持IP傳輸��,且可以是IP路由器和網(wǎng)絡(luò)鏈路的任意組合��。因此可以簡單地將VOIP的傳輸過程分為下列幾個階段���。
3.1 語音-數(shù)據(jù)轉(zhuǎn)換
語音信號是模擬波形�,通過IP方式來傳輸語音���,不管是實時應(yīng)用業(yè)務(wù)還是非實時應(yīng)用業(yè)務(wù),首先要對語音信號進(jìn)行模擬數(shù)據(jù)轉(zhuǎn)換���,也就是對模擬語音信號進(jìn)行8位或6位的量化,然后送入到緩沖存儲區(qū)中��,緩沖器的大小可以根據(jù)延遲和編碼的要求選擇���。許多低比特率的編碼器是采取以幀為單位進(jìn)行編碼。
3.2 原數(shù)據(jù)到IP轉(zhuǎn)換
一旦語音信號進(jìn)行數(shù)字編碼����,下一步就是對語音包以特定的幀長進(jìn)行壓縮編碼。大部份的編碼器都有特定的幀長�����,若一個編碼器使用15 ms的幀����,則把從第一來的60 ms的包分成4幀�,并按順序進(jìn)行編碼�����。每個幀合120個語音樣點(抽樣率為8 kHz)��。編碼后,將4個壓縮的幀合成一個壓縮的語音包送入網(wǎng)絡(luò)處理器���。網(wǎng)絡(luò)處理器為語音添加包頭、時標(biāo)和其它信息后通過網(wǎng)絡(luò)傳送到另一端點�����。語音網(wǎng)絡(luò)簡單地建立通信端點之間的物理連接(一條線路)���,并在端點之間傳輸編碼的信號����。
3.3 傳送
在這個通道中��,全部網(wǎng)絡(luò)被看成一個從輸入端接收語音包���,然后在一定時間(t)內(nèi)將其傳送到網(wǎng)絡(luò)輸出端���。
3.4 IP包-數(shù)據(jù)的轉(zhuǎn)換
目的地VOIP設(shè)備接收這個IP數(shù)據(jù)并開始處理。網(wǎng)絡(luò)提供一個可變長度的緩沖器�,該緩沖器可容納許多語音包��。其次��,解碼器將經(jīng)編碼的語音包解壓縮后產(chǎn)生新的語音包�,這個模塊也可以按幀進(jìn)行操作�����,完全和解碼器的長度相同��。若幀長度為15 ms,是60 ms的語音包被分成4幀�,然后它們被解碼還原成60 ms的語音數(shù)據(jù)流送入解碼緩沖器。在數(shù)據(jù)報的處理過程中���,去掉尋址和控制信息��,保留原始的原數(shù)據(jù)��,然后把這個原數(shù)據(jù)提供給解碼器����。
3.5 數(shù)字語音轉(zhuǎn)換為模擬語音
播放驅(qū)動器將緩沖器中的語音樣點(480個)取出送入聲卡,通過揚聲器按預(yù)定的頻率(例如8 kHz)播出��。簡而言之�����,語音信號在IP網(wǎng)絡(luò)上的傳送要經(jīng)過從模擬信號到數(shù)字信號的轉(zhuǎn)換����、數(shù)字語音封裝成IP分組�、IP分組通過網(wǎng)絡(luò)的傳送�、IP分組的解包和數(shù)字語音還原到模擬信號等過程。
4 網(wǎng)絡(luò)電話技術(shù)的信令協(xié)議淺析
與VOIP相關(guān)的網(wǎng)絡(luò)技術(shù)協(xié)議很多�,常見的有控制實時數(shù)據(jù)流應(yīng)用在IP網(wǎng)絡(luò)傳輸?shù)腞TP和RTCP;有保證網(wǎng)絡(luò)QoS質(zhì)量服務(wù)的RSVP和IP different Service等����,還有傳統(tǒng)語音數(shù)字化編碼的一系列協(xié)議如G.711���、G.728、G.723����、G.729等等。這里我們要討論信令(signaling)協(xié)議,在網(wǎng)絡(luò)電話系統(tǒng)基礎(chǔ)組成部分之間如何進(jìn)行呼叫控制與交換的標(biāo)準(zhǔn)規(guī)程���。
4.1 H.323
由ITU-T工業(yè)標(biāo)準(zhǔn)組織為VOIP制定的標(biāo)準(zhǔn)化信令協(xié)議�,定義為基于包交換的多媒體傳輸系統(tǒng)���。H.323結(jié)構(gòu)體系由H.323終端、網(wǎng)關(guān)�����、關(guān)守和多點控制單元MCU組成��。H.323的目標(biāo)是可以使H.323的節(jié)點之間交換媒體數(shù)據(jù)流���。
4.2 SIP(Session Initiated Protocol)
SIP是IETF定義多媒體數(shù)據(jù)和控制體系結(jié)構(gòu)中的重要組成部分。SIP是一種信令協(xié)議�,用來建立、修改和終結(jié)多媒體會話�。它還結(jié)合其他幾個IETF的協(xié)議SDP����、RSVP和SAP協(xié)同工作��,一般采用RTP/RTCP協(xié)議進(jìn)行傳輸控制����。
4.3 MGCP(Media Gateway Control Protocol)和Megaco/H.248
用來控制媒體網(wǎng)關(guān)通信的協(xié)議����。在企業(yè)VOIP網(wǎng)絡(luò)與電信運營商VOIP服務(wù)網(wǎng)絡(luò)相連接的網(wǎng)關(guān)系統(tǒng)上支持。
5 基于WINDOWS 2003的VPN語音傳輸
本文實現(xiàn)環(huán)境為ADSL下使用路由器�,然后在路由器下面的一臺主機(jī)作為VPN服務(wù)器。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1���。
5.1 獲取VPN服務(wù)器的地址
花生殼是完全免費的桌面式域名管理和動態(tài)域名解析(DDNS)等功能為一體的客戶端軟件。本例是通作在ADSL貓之后又使用了桌面路由器接入Internet的����,通過這種方式一定要在路由器中作端口映射�����,由于windows 2003的VPN服務(wù)用的是1723端口�����,將1723端口映射到192.168.0.5這臺設(shè)有VPN服務(wù)的機(jī)器�。然后����,在訪問策略中要允許VPN通過路由器���。由于路由器支持DDNS��,所以填入申請的花生殼賬號和密碼,這樣省去了在VPN服務(wù)器上安裝花生殼的麻煩���,這樣�����,在網(wǎng)絡(luò)上訪問域名yangc 的時候��,Internet自動就找到了這臺路由器�����,并通過端口映射把地址映射到了VPN服務(wù)器。
5.2 WINDOWS 2003中配置VPN
選擇“開始”“所有程序”“管理工具”“路由和遠(yuǎn)程訪問”,打開路由和遠(yuǎn)程訪問的配置界面�,在配置中選擇“遠(yuǎn)程訪問(撥號或VPN)”����,在遠(yuǎn)程訪問中選擇“VPN”����,在IP地址指定中選擇“來自一個指定的地址范圍”�����,這里添加一個范圍�,即VPN連接的客戶端撥入的時候使用的地址,比如從“10.0.0.100”到“10.0.0.110”���。RADIUS服務(wù)器配置比較復(fù)雜�����,這里由于對安全性不高��,所以在管理多個遠(yuǎn)程訪問服務(wù)器中�����,選擇使用路由和遠(yuǎn)程訪問自己的認(rèn)證方式進(jìn)行鑒權(quán)�����。要登錄到VPN服務(wù)器,必須要知道該服務(wù)器的一個有撥入權(quán)限的用戶���,打開計算機(jī)管理頁面����,在本地用戶和組里邊新建一個用戶,給這個用戶遠(yuǎn)程登錄的權(quán)限��,一定要在“遠(yuǎn)程訪問權(quán)限”處選擇“允許訪問”�,不然就無法登錄。創(chuàng)建好了賬號之后��,點擊賬號屬性���,授予賬號遠(yuǎn)程撥入的權(quán)限�����。
5.3 VPN客戶端的設(shè)置
先用本機(jī)測試過程如下:右鍵“網(wǎng)上鄰居”“屬性”�����,打開網(wǎng)絡(luò)連接后點擊“新建連接向?qū)А薄?/p>
打開新建連接向?qū)?����,選擇“連接到我的工作場所的網(wǎng)絡(luò)選項”要建立的是VPN���, “虛擬專用網(wǎng)絡(luò)連接”��。公司名只起到識別網(wǎng)絡(luò)連接的作用����,這里�����,填入VPN。因為現(xiàn)在做的是本機(jī)的測試�����,所以填入的IP地址為本機(jī)的地址192.168.0.5�,用戶VPN就是剛才新建的用戶��。在可用連接中選擇“任何人使用”點擊完成之后出現(xiàn)了(如圖2)的界面,填入有遠(yuǎn)程接入權(quán)限的賬號密碼��。
到這里�����,基于PPTP的連接就建立完成了����。打開CMD窗口���,使用IPCONFIG/ALL的命令查看網(wǎng)絡(luò)連接��,會看見三個網(wǎng)卡��,其中一個IP地址為192.168.0.5的就是本機(jī)網(wǎng)卡��,另外兩個是剛才做本機(jī)測試時建立的��,它們的IP地址為10.0.0.xxx�,這是VPN默認(rèn)的IP地址連接的撥入地址和播出地址����。
上面的服務(wù)器中的測試完成后,就可以在任何有Internet接入的地方進(jìn)行遠(yuǎn)程連接了�����,其過程和在本機(jī)連接測試的過程一樣�,在實際連接時到“連接VPN”這一步時�����,輸入VPN服務(wù)器所在的公網(wǎng)IP�����,因為是動態(tài)的IP�����,所以填入DDNS,即激活了花生殼動態(tài)域名解析服務(wù)的域名���。
5.4 實現(xiàn)IP語音
本論文使用了小小程序員編寫的局域網(wǎng)語音視頻工具。界面(如圖3)����,這個軟件的缺點是必須知道要通話方的IP地址�。
如果是LAN環(huán)境�,填入IP��,這里使用在VPN環(huán)境,所以要使用VPN連接獲取到的IP地址����。可以用IPCONFIG獲得���。(如圖4)顯示,VPN連接獲取的IP為169.254.157.53��。
打開軟件之后,填入要連接的IP地址���,如果網(wǎng)絡(luò)正常�,就會有連接成功的提示�����,之后,就可以向?qū)Ψ桨l(fā)送語音了��,發(fā)送之后,對方只要接受就可以聽到語音(如圖5)��。
6 結(jié)論
本文先介紹了VPN的種類,常見的加密協(xié)議等����,然后對VOIP進(jìn)行了詳盡的介紹��,最后在WINDOWS 2003 SERVER組建的VPN環(huán)境中成功的實現(xiàn)了語音的傳輸�����。文中使用花生殼解決了ADSL撥號上網(wǎng)IP不固定的問題�����,使用端口映射解決了VPN服務(wù)器在虛擬LAN環(huán)境不能直接從Internet訪問的問題���,達(dá)到了預(yù)期的效果�����。
參考文獻(xiàn)
[1] 高海英,薛元星����,辛陽.VPN技術(shù)[M].北京:機(jī)械工業(yè)出版社��,2004(4).
[2](美)佩皮賈克.MPLS和VPN體系結(jié)構(gòu)CCIP版[M].趙斌�����,譯.北京:人民郵電出版社����,2003(4).
[3]Marcus Goncalves.IP網(wǎng)絡(luò)語音技術(shù)[M].北京:機(jī)械工業(yè)出版社,1999(11).
第7篇
論文關(guān)鍵詞:SSL;SSLVPN;遠(yuǎn)程接入
1引言
打造遠(yuǎn)程安全接入平臺�,一直是網(wǎng)絡(luò)遠(yuǎn)程訪問的迫切需求。當(dāng)前���,眾多的安全協(xié)議(如PPTP.L2TP.IPSec和MPLS)各具特色并側(cè)重于不同的方面�,但能同時結(jié)合簡易��、安全兩項特性的則非SSL莫屬����,SSLVPN是平衡訪問自由度和安全性的出色解決方案�����。
2SSL
安全套接層(SecureSocketsLayer,SSL)是Netscape于1994年提出的基于Web應(yīng)用的安全協(xié)議��,它介于HTTP及TCP之間�,高層協(xié)議可以透明地運行在該協(xié)議之上���,它指定了一種在應(yīng)用程序協(xié)議和丁CP/IP協(xié)議之間提供數(shù)據(jù)安全性分層的機(jī)制,能為丁CP/IP連接提供數(shù)據(jù)加密�����、服務(wù)器認(rèn)證����、消息完整性以及可選的客戶機(jī)認(rèn)證�����。其安全連接基于握手協(xié)議�����、記錄協(xié)議和警告協(xié)議來完成���。
3SSLVPN主要特點
(1)高安全性:SSL安全通道可確保端到端真正安全可靠的連接�����,能有效保證信息的真實性�����、完整性和保密性。
(2)高易用性:無需客戶端的安裝和配置����,對終端系統(tǒng)具有良好的兼容性����。
(3)高性價比:不需要配置�,易于部署及管理,可有效降低網(wǎng)絡(luò)配置成本����。
(4)高可擴(kuò)展性和兼容性:可隨時添加需要VPN保護(hù)的服務(wù)器���,并適用于大多數(shù)設(shè)備。
(5)高效的資源控制能力:可區(qū)分用戶設(shè)置訪問權(quán)限���,實現(xiàn)區(qū)分對待的資源控制策略。
4SSLVPN應(yīng)用優(yōu)勢
隨著軍隊院校網(wǎng)絡(luò)信息化建設(shè)的推進(jìn)���,實際應(yīng)用中面臨著越來越多的跨地域、跨部門的數(shù)據(jù)傳遞��,以及大量的遠(yuǎn)程訪問內(nèi)網(wǎng)的需求。例如跨地域的會商研討�、數(shù)據(jù)采集、資料檢索�����、分支部門和下屬機(jī)構(gòu)的機(jī)要信息交換等��。根據(jù)這些需求和實際情況,下面主要從SSLVPN和IPSecVPN對比出發(fā)���,全面衡量SSLVPN的優(yōu)勢��。
(1)謹(jǐn)慎靈活的接入認(rèn)證策略。在遠(yuǎn)程接入過程中�����,用戶身份驗證是整個過程的第一環(huán)��,也是最重要的一環(huán)���,如果不能有效識別用戶的身份���,使得非法用戶接入���,將給內(nèi)部網(wǎng)絡(luò)帶來極大的安全隱患。
SSLVPN提供對所傳送數(shù)據(jù)的加密����、認(rèn)證和發(fā)送源的身份認(rèn)證,支持將多種身份識別方式進(jìn)行組合����,一般包括USB-Key���、硬件特征碼����、數(shù)字證書�����、動態(tài)令牌、短信認(rèn)證等���,而且可以對訪問權(quán)限進(jìn)行嚴(yán)格的等級劃分�,實現(xiàn)不同用戶對于不同應(yīng)用程序的控制��。
(2)穩(wěn)妥有效的數(shù)據(jù)保護(hù)策略��。因為SSLVPN接入的是內(nèi)部網(wǎng)絡(luò)的應(yīng)用����,而不是整個網(wǎng)絡(luò),并限制了非Web端口的訪問����,使得部分文件操作功能不易實現(xiàn),這實際上也起到了相應(yīng)的保護(hù)功能����。同時,SSL網(wǎng)關(guān)隔離了內(nèi)部服務(wù)器和客戶端�����,客戶端的大多數(shù)病毒木馬感染不到內(nèi)網(wǎng)服務(wù)器。而IPSecVPN實現(xiàn)的是IP級別的訪問���,使得局域網(wǎng)能夠傳播的病毒����,通過VPN也能夠傳播����,極易導(dǎo)致內(nèi)部網(wǎng)絡(luò)的防病毒策略形同虛設(shè)���。一旦惡意IPSecVPN用戶獲得權(quán)限通過了網(wǎng)關(guān),無疑會給內(nèi)網(wǎng)帶來災(zāi)難性的后果���,但SSLVPN大大減弱了類似的風(fēng)險。
第8篇
[論文關(guān)鍵詞] 電子商務(wù) 信息安全 信息安全技術(shù) 數(shù)字認(rèn)證 安全協(xié)議
[論文摘 要]電子商務(wù)是新興商務(wù)形式����,信息安全的保障是電子商務(wù)實施的前提�。本文針對電子商務(wù)活動中存在的信息安全隱患問題,實施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)����、身份驗證技術(shù)、防火墻技術(shù)等技術(shù)性措施��,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境��,促進(jìn)我國電子商務(wù)可持續(xù)發(fā)展。
隨著網(wǎng)絡(luò)的發(fā)展����,電子商務(wù)的迅速崛起,使網(wǎng)絡(luò)成為國際競爭的新戰(zhàn)場���。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷��,使得網(wǎng)絡(luò)社會的脆性大大增加����,一旦計算機(jī)網(wǎng)絡(luò)受到攻擊不能正常運作時�����,整個社會就會陷入危機(jī)���。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境�����,愈來愈受到國際社會的高度關(guān)注����。
一、電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善��,包括密碼���、鑒別��、訪問控制、信息流控制��、數(shù)據(jù)保護(hù)�、軟件保護(hù)、病毒檢測及清除�、內(nèi)容分類識別和過濾、網(wǎng)絡(luò)隱患掃描�����、系統(tǒng)安全監(jiān)測報警與審計等技術(shù)。
1.防火墻技術(shù)���。防火墻主要是加強網(wǎng)絡(luò)之間的訪問控制���, 防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)。
2.加密技術(shù)�����。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識別的密文數(shù)據(jù)��,當(dāng)需要時可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)�����。
3.數(shù)字簽名技術(shù)���。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密����,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要�����。
4.數(shù)字時間戳技術(shù)�。時間戳是一個經(jīng)加密后形成的憑證文檔,包括需加時間戳的文件的摘要���、DTS 收到文件的日期與時間和DIS 數(shù)字簽名�����,用戶首先將需要加時間的文件用HASH編碼加密形成摘要����,然后將該摘要發(fā)送到DTS�����,DTS 在加入了收到文件摘要的日期和時間信息后再對該文件加密���,然后送回用戶。
二�、電子商務(wù)安全防范措施
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)�����。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法����、安全的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)防火墻��、完善的安全管理制度、硬件的加密和物理保護(hù)��、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來進(jìn)行考慮和完善。
1.防火墻技術(shù)
用過Internet��,企業(yè)可以從異地取回重要數(shù)據(jù)����,同時又要面對 Internet 帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險:即客戶����、推銷商、移動用戶��、異地員工和內(nèi)部員工的安全訪問;以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此���,企業(yè)必須加筑安全的“壕溝”�����,而這個“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問;外界的哪些人可以訪問內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問�����。防火墻必須只允許授權(quán)的數(shù)據(jù)通過�����,而且防火墻本身必須能夠免于滲透��。
2. VPN技術(shù)
虛擬專用網(wǎng)簡稱VPN�����,指將物理上分布在不同地點的網(wǎng)絡(luò)通過公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng)����,依靠IPS或 NSP在安全隧道、用戶認(rèn)證和訪問控制等相關(guān)技術(shù)的控制下達(dá)到與專用網(wǎng)絡(luò)類同的安全性能��,從而實現(xiàn)基于 Internet 安全傳輸重要信息的效應(yīng)����。目前VPN 主要采用四項技術(shù)來保證安全��, 這四項技術(shù)分別是隧道技術(shù)、加解密技術(shù)��、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)�����。
3.數(shù)字簽名技術(shù)
為了保證數(shù)據(jù)和交易的安全��、防止欺騙�,確認(rèn)交易雙方的真實身份���,電子商務(wù)必須采用加密技術(shù)��。數(shù)字簽名就是基于加密技術(shù)的���,它的作用就是用來確定用戶是否是真實的�����。數(shù)字簽名就是通過一個單向哈希函數(shù)對要傳送的報文進(jìn)行處理而得到的用以認(rèn)證報文是否發(fā)生改變的一個字母數(shù)字串。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者��,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后���,就可確認(rèn)消息來自于誰,同時也是對發(fā)送者發(fā)送的信息真實性的一個證明��,發(fā)送者對所發(fā)信息不可抵賴�,從而實現(xiàn)信息的有效性和不可否認(rèn)性。
三��、電子商務(wù)的安全認(rèn)證體系
隨著計算機(jī)的發(fā)展和社會的進(jìn)步��,通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)活動當(dāng)今社會越來越頻繁��,身份認(rèn)證是一個不得不解決的重要問題����,它將直接關(guān)系到電子商務(wù)活動能否高效而有序地進(jìn)行���。認(rèn)證體系在電子商務(wù)中至關(guān)重要�����,它是用戶獲得訪問權(quán)限的關(guān)鍵步驟?���,F(xiàn)代密碼的兩個最重要的分支就是加密和認(rèn)證。加密目的就是防止敵方獲得機(jī)密信息����。認(rèn)證則是為了防止敵方的主動攻擊,包括驗證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^程被篡改刪除���、插入���、偽造及重放等�。認(rèn)證主要包括三個方面:消息認(rèn)證、身份認(rèn)證和數(shù)字簽名���。
身份認(rèn)證一般是通過對被認(rèn)證對象(人或事)的一個或多個參數(shù)進(jìn)行驗證���。從而確定被認(rèn)證對象是否名實相符或有效���。這要求要驗證的參數(shù)與被認(rèn)證對象之間應(yīng)存在嚴(yán)格的對應(yīng)關(guān)系,最好是惟一對應(yīng)的����。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡��。
數(shù)字證書是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)��。提供了一種 Internet 上驗證用戶身份的方式,其作用類似于司機(jī)的駕駛執(zhí)照或身份證��。它是由一個權(quán)威機(jī)構(gòu)CA機(jī)構(gòu),又稱為證書授權(quán)(Certificate Authority)中心發(fā)行的����,人們可以在網(wǎng)上用它識別彼此的身份�。
四��、結(jié)束語
安全實際上就是一種風(fēng)險管理�����。任何技術(shù)手段都不能保證100%的安全。但是��,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險��。因此�����,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實際運用中解決電子商務(wù)中出現(xiàn)的各類問題����,使電子商務(wù)系統(tǒng)相對更安全�����。電子商務(wù)的安全運行必須從多方面入手�����,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法����,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實中存在的各類問題,從而引導(dǎo)和促進(jìn)我國電子商務(wù)快速健康發(fā)展����。
參考文獻(xiàn)
[1] 勞幗齡.電子商務(wù)的安全技術(shù)[M].北京:中國水利水電出版社�,2005.
[2] 趙泉.網(wǎng)絡(luò)安全與電子商務(wù)[M].北京:清華大學(xué)出版社��,2005.
