当前位置：首页 > 文库 > 文案

vpn技术论文范文10篇

时间：2024-08-15 14:07:42 39

vpn技术论文

vpn技术论文范文第1篇

关键词VPN；虚拟专用网；SSLVPN；IPSecVPN

1引言

VPN(VirtualPrivateNetwork)即虚拟专用网，是一项迅速发展起来的新技术，主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络，仅在效果上和真正的专用网一样，故称之为虚拟专用网。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成，不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术，使得传送数据报的路由器均不知道数据报的内容，就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。

2隧道技术的实现

假设某公司在相距很远的两地的部门A和B建立了虚拟专用网，其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然，这两个部门若利用因特网进行通信，则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2，且其全球IP地址分别为125.1.2.3和192.168.5.27，如图1所示。

图1

现在设部门A的主机X向部门B的主机Y发送数据报，源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密，然后重新封装成在因特网上发送的外部数据报，这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3，而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后，对其进行解密，恢复出原来的内部数据报，并转发给主机Y。这样便实现了虚拟专用网的数据传输。

3军队院校校园网建设VPN技术应用设想

随着我军三期网的建设，VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先，军队的特殊性要求一些信息的传达要做到安全可靠，采用VPN技术会大大提高网络传输的可靠性；第二，军队院校不但有各教研室和学员队，还包括保障部队、管理机构等，下属部门较多，有些部门相距甚至不在一个地方，采用VPN技术可简化网络的设计和管理；第三，采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。

而VPN技术的特点正好能够满足以上几点需求。首先是安全性，VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP)，并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据，还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。第二，在解决异地访问本地电子资源问题上，这正是VPN技术的主要特点之一，可以让外地的授权用户方便地访问本地的资源。目前，主要的VPN技术有IPSecVPN和SSLVPN两种。其中IPSec技术的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外还能对IP数据包进行加密和认证。而SSLVPN技术则是近几年发展起来的新技术，它能够更加有效地进行访问控制，而且安全易用，不需要高额的费用。该技术主要具有以下几个特点：第一，安全性高；第二，便于扩展；第三，简单性；第四，兼容性好。

我认为军队院校校园网VPN技术应主要采用SSLVPN技术。首先因为其安全性好，由于IPSecVPN部署在网络层，因此，内部网络对于通过VPN的使用者来说是透明的，只要是通过了IPSecVPN网关，它可以在内部为所欲为。因此，IPSecVPN的目标是建立起来一个虚拟的IP网，而无法保护内部数据的安全，而SSLVPN则是接入企业内部的应用，而不是企业的整个网络。它可以根据用户的不同身份，给予不同的访问权限，从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构，安全保密应该是主要考虑的方面之一。第二，SSLVPN与IPSecVPN相比，具有更好的可扩展性。可以随时根据需要，添加需要VPN保护的服务器。而IPSecVPN在部署时，要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构，那么IPSecVPN就要重新部署。第三，操作的复杂度低，它不需要配置，可以立即安装、立即生效，另外客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行。第四，SSLVPN的兼容性很好，而不像传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件。此外，使用SSLVPN还具有更好的经济性，这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入；但是对于IPSecVPN来说，每增加一个需要访问的分支就需要添加一个硬件设备。

虽然SSLVPN的优点很多，但也可结合使用IPSecVPN技术。因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSecVPN是在两个局域网之间通过网络建立的安全连接，保护的是点对点之间的通信，并且，IPSecVPN工作于网络层，不局限于Web应用。它构建了局域网之间的虚拟专用网络，对终端站点间所有传输数据进行保护，而不管是哪类网络应用，安全和应用的扩展性更强。可用于军校之间建立虚拟专用网，进行安全可靠的信息传送。

4结论

总之，VPN是一项综合性的网络新技术，目前的运用还不是非常地普及，在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求，VPN技术将会发挥其应有的作用。

参考文献

[1]谢希仁.计算机网络(第4版).北京：电子工业出版社，2003

vpn技术论文范文第2篇

关键词：虚拟专用网VPN远程访问网络安全

引言

随着信息时代的来临，企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升，信息管理范围不断扩大，不论是企业内部职能部门，还是企业外部的供应商、分支机构和外出人员，都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信，实现企业外部分支机构远程访问内部网络资源，成为当前很多企业在信息网络化建设方面亟待解决的问题。

一、VPN技术简介

VPN（VirtualPrivateNetwork）即虚拟专用网络，指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术，通过对网络数据的封装和加密传输，在公用网络上传输私有数据的专用网络。在隧道的发起端（即服务端），用户的私有数据经过封装和加密之后在Internet上传输，到了隧道的接收端（即客户端），接收到的数据经过拆封和解密之后安全地到达用户端。

VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境，是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能，具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问，通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来，构成一个扩展的公司企业网，此外它还提供了对移动用户和漫游用户的支持，使网络时代的移动办公成为现实。

随着互联网技术和电子商务的蓬勃发展，基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动，需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网，从而简化信息传递的路径，加快信息交换的速度，提高企业的市场响应速度和决策速度。同时，围绕企业自身的发展战略，企业的分支机构越来越多，企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题，VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接，并保证数据的安全传输，通过将数据流转移到低成本的网络上，大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间，降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中，这样就大大简化了网络的设计和管理，满足了不断增长的移动用户和Internet用户的接入，以实现安全快捷的网络连接。

二、基于Internet的VPN网络架构及安全性分析

VPN技术类型有很多种，在互联网技术高速发展的今天，可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用，基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点，能够很好的满足企业对VPN的常规需求。

2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端，用户的私有数据经过隧道协议和和数据加密之后在Internet上传输，通过虚拟隧道到达接收端，接收到的数据经过拆封和解密之后安全地传送给终端用户，最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。

2.2VPN技术安全性分析VPN技术主要由三个部分组成：隧道技术，数据加密和用户认证。隧道技术定义数据的封装形式，并利用IP协议以安全方式在Internet上传送；数据加密保证敏感数据不会被盗取；用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输，因此安全问题是VPN技术的核心问题，目前，VPN的安全保证主要是通过防火墙和路由器，配以隧道技术、加密协议和安全密钥来实现的，以此确保远程客户端能够安全地访问VPN服务器。

在运行性能方面，随着企业电子商务活动的激增，信息处理量日益增加，网络拥塞的现象经常发生，这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略，分配基于数据传输重要性的接口带宽，这样既能满足重要数据优先应用的原则，又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长，对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担，管理平台要有一个定义安全策略的简单方法，将安全策略进行合理分布，并能管理大量网络设备，确保整个运行环境的安全稳定。

三、Windows环境下VPN网络的设计与应用

企业利用Internet网络技术和Windows系统设计出VPN网络，无需铺设专用的网络通讯线路，即可实现远程终端对企业资源的访问和共享。在实际应用中，VPN服务端需要建立在Windows服务器的运行环境中，客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。

3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”，需要对此服务进行必要的配置使其生效。

3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”，打开“路由和远程访问”服务窗口；鼠标右键点击本地计算机名，选择“配置并启用路由和远程访问”；在出现的配置向导窗口点下一步，进入服务选择窗口；标准VPN配置需要两块网卡（分别对应内网和外网），选择“远程访问（拨号或VPN）”；外网使用的是Internet拨号上网，因此在弹出的窗口中选择“VPN”；下一步连接到Internet的网络接口，此时会看到服务器上配置的两块网卡及其IP地址，选择连接外网的网卡；在对远程客户端指派地址的时候，一般选择“来自一个指定的地址范围”，根据内网网段的IP地址，新建一个指定的起始IP地址和结束IP地址。最后，“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。

3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上，因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台；依次展开“本地用户和组”“用户”，选中用户并进入用户属性设置；转到“拨入”选项卡，在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”，即赋予了远端用户拨入VPN服务器的权限。

3.2VPN客户端配置VPN客户端适用范围更广，这里以Windows2003为例说明，其它的Windows操作系统配置步骤类似。

在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步；接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”；在网络连接方式窗口里选择“虚拟专用网络连接”；接着为此连接命名后点下一步；在“VPN服务器选择”窗口里，输入VPN服务端地址，可以是固定IP，也可以是服务器域名；点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码，即可连接上VPN服务器端。:

3.3连接后的共享操作当VPN客户端拨入连接以后，即可访问服务器所在局域网里的信息资源，就像并入局域网一样适用。远程用户既可以使用企业OA，ERP等信息管理系统，也可以使用文件共享和打印等共享资源。

四、小结

现代化企业在信息处理方面广泛地应用了计算机互联网络，在企业网络远程访问以及企业电子商务环境中，虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络，从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务，是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值，在未来的企业信息化建设中具有广阔的前景。

参考文献:

[1]闫晓弟，耶健.基于VPN的电子资源远程访问系统的研究与实现.情报杂志.2009(8).

vpn技术论文范文第3篇

一、现代金融网络系统典型架构及其安全现状

就金融业目前的大部分网络应用而言，典型的省内网络结构一般是由一个总部（省级网络中心）和若干个地市分支机构、以及数量不等的合作伙伴和移动远程（拨号）用户所组成。除远程用户外，其余各地市分支机构均为规模不等的局域网络系统。其中省级局域网络是整个网络系统的核心，为金融机构中心服务所在地，同时也是该金融企业的省级网络管理中心。而各地市及合作伙伴之间的联接方式则多种多样，包括远程拨号、专线、Internet等。

从省级和地市金融机构的互联方式来看，可以分为以下三种模式：（1）移动用户和远程机构用户通过拨号访问网络，拨号访问本身又可分为通过电话网络拨入管理中心访问服务器和拨入网络服务提供商两种方式；（2）各地市远程金融分支机构局域网通过专线或公共网络与总部局域网络连接；（3）合作伙伴（客户、供应商）局域网通过专线或公共网络与总部局域网连接。

由于各类金融机构网络系统均有其特定的发展历史，其网络技术的运用也是传统技术和先进技术兼收并蓄。通常在金融机构的网络系统建设过程中，主要侧重于网络信息系统的稳定性并确保金融机构的正常生产营运。

就网络信息系统安全而言，目前金融机构的安全防范机制仍然是脆弱的，一般金融机构仅利用了一些常规的安全防护措施，这些措施包括利用操作系统、数据库系统自身的安全设施；购买并部署商用的防火墙和防病毒产品等。在应用程序的设计中，也仅考虑到了部分信息安全问题。应该说这在金融业务网络建设初期的客观环境下是可行的，也是客观条件限制下的必然。由于业务网络系统中大量采用不是专为安全系统设计的各种版本的商用基础软件，这些软件通常仅具备一些基本的安全功能，而且在安装时的缺省配置往往更多地照顾了使用的方便性而忽略了系统的安全性，如考虑不周很容易留下安全漏洞。此外，金融机构在获得公共Internet信息服务的同时并不能可靠地获得安全保障，Internet服务提供商（ISP）采取的安全手段都是为了保护他们自身和他们核心服务的可靠性，而不是保护他们的客户不被攻击，他们对于你的安全问题的反应可能是提供建议，也可能是尽力帮助，或者只是关闭你的连接直到你恢复正常。因此，总的来说金融系统中的大部分网络系统远没有达到与金融系统信息的重要性相称的安全级别，有的甚至对于一些常规的攻击手段也无法抵御，这些都是金融管理信息系统亟待解决的安全问题。

二、现代金融网络面临的威胁及安全需求

目前金融系统存在的网络安全威胁，就其攻击手段而言可分为针对信息的攻击、针对系统的攻击、针对使用者的攻击以及针对系统资源的攻击等四类，而实施安全攻击的人员则可能是外部人员，也可能是机构内部人员。

针对信息的攻击是最常见的攻击行为，信息攻击是针对处于传输和存储形态的信息进行的，其攻击地点既可以在局域网内，也可以在广域网上。针对信息的攻击手段的可怕之处在于其隐蔽性和突然性，攻击者可以不动声色地窃取并利用信息，而无虑被发现；犯罪者也可以在积聚足够的信息后骤起发难，进行敲诈勒索。此类案件见诸报端层出不穷，而未公开案例与之相比更是数以倍数。

利用系统（包括操作系统、支撑软件及应用系统）固有的或系统配置及管理过程中的安全漏洞，穿透或绕过安全设施的防护策略，达到非法访问直至控制系统的目的，并以此为跳板，继续攻击其他系统。由于我国的网络信息系统中大量采用不是专为安全系统设计的基础软件和支撑平台，为了照顾使用的方便性而忽略了安全性，导致许多安全漏洞的产生，如果再考虑到某些软件供应商出于政治或经济的目的，可能在系统中预留“后门”，因此必须采用有效的技术手段加以预防。

针对使用者的攻击是一种看似困难却普遍存在的攻击途径，攻击者多利用管理者和使用者安全意识不强、管理制度松弛、认证技术不严密的特点，通过种种手段窃取系统权限，通过合法程序来达到非法目的，并可在事后嫁祸他人或毁灭证据，导致此类攻击难以取证。

针对资源的攻击是以各种手段耗尽系统某一资源，使之丧失继续提供服务的能力，因此又称为拒绝服务类攻击。拒绝服务攻击的高级形式为分布式拒绝服务攻击，即攻击者利用其所控制的成百上千个系统同时发起攻击，迫使攻击对象瘫痪。由于针对资源的攻击利用的是现有的网络架构，尤其是Internet以及TCP/IP协议的固有缺陷，因此在网络的基础设施没有得到大的改进前，难以彻底解决。

金融的安全需求安全包括五个基本要素：机密性、完整性、可用性、可审查性和可控性。目前国内金融机构的网络信息系统应重点解决好网络内部的信息流动及操作层面所面临的安全问题，即总部和分支机构及合作伙伴之间在各个层次上的信息传输安全和网络访问控制问题。网络系统需要解决的关键安全问题概括起来主要有：传输信息的安全、节点身份认证、交易的不可抵赖性和对非法攻击事件的可追踪性。

必须指出：网络信息系统是由人参与的信息环境，建立良好的安全组织和管理是首要的安全需求，也是一切安全技术手段得以有效发挥的基础。金融行业需要的是集组织、管理和技术为一体的完整的安全解决方案。

三、网络安全基本技术与VPN技术

解决网络信息系统安全保密问题的两项主要基础技术为网络访问控制技术和密码技术。网络访问控制技术用于对系统进行安全保护，抵抗各种外来攻击。密码技术用于加密隐蔽传输信息、认证用户身份、抗否认等。

密码技术是实现网络安全的最有效的技术之一，实际上，数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下，数据加密是保证信息机密性的唯一方法。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法，这使得它能以较小的代价提供很强的安全保护，在现代金融的网络安全的应用上起着非常关键的作用。

虚拟专用网络（VPN：VirtualPrivateNetwork）技术就是在网络层通过数据包封装技术和密码技术，使数据包在公共网络中通过“加密管道”传播，从而在公共网络中建立起安全的“专用”网络。利用VPN技术，金融机构只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相安全的传递信息；另外，金融机构还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以安全的连接进入金融机构网络中，进行各类网络结算和汇兑。

综合利用网络互联的隧道技术、数据加密技术、网络访问控制技术，并通过适当的密钥管理机制，在公共的网络基础设施上建立安全的虚拟专用网络系统，可以实现完整的集成化金融机构范围VPN安全解决方案。对于现行的金融行业网络应用系统，采用VPN技术可以在不影响现行业务系统正常运行的前提下，极大地提高系统的安全性能，是一种较为理想的基础解决方案。

当今VPN技术中对数据包的加解密一般应用在网络层（对于TCP/IP网络，发生在IP层），从而既克服了传统的链（线）路加密技术对通讯方式、传输介质、传输协议依赖性高，适应性差，无统一标准等缺陷，又避免了应用层端——端加密管理复杂、互通性差、安装和系统迁移困难等问题，使得VPN技术具有节省成本、适应性好、标准化程度高、便于管理、易于与其他安全和系统管理技术融合等优势，成为目前和今后金融安全网络发展的一个必然趋势。

从应用上看虚拟专用网可以分为虚拟企业网和虚拟专用拨号网络（VPDN）。虚拟企业网主要是使用专线上网的部分企业、合作伙伴间的虚拟专网；虚拟专用拨号网络是使用电话拨号（PPP拨号）上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议应该具备以下条件：保证数据的真实性，通讯主机必须是经过授权的，要有抵抗地址假冒（IPSpoofing）的能力。保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。保证通道的机密性，提供强有力的加密手段，必须使窃听者不能破解拦截到的通道数据。提供动态密钥交换功能和集中安全管理服务。提供安全保护措施和访问控制，具有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。

针对现行的金融机构的网络信息安全，VPN具有以下优点：（1）降低成本。不必租用长途专线建设专网，不必大量的网络维护人员和设备投资；（2）容易扩展。网络路由设备配置简单，无需增加太多的设备，省时省钱；（3）完全控制主动权。VPN上的设施和服务完全掌握在金融机构自己的手中。比方说，金融机构可以把拨号访问交给网络服务商（NSP）去做，由自己负责用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。

vpn技术论文范文第4篇

关键词：有效利用数字图书馆方法

中图分类号：G250.7 文献标识码： A 文章编号：1672-1578（2013）03-0081-02

1 引言

信息技术的迅速发展和广泛应用，不仅改变着人们的工作和生活方式，也改变着教育和学习方式，也促进了国内外数字资源的突飞猛进发展，高校图书馆购买的数字资源也越来越多，可供师生访问的资源日渐增多，但是数据库资源的知识产权和版权等因素使得相当部分数字资源使用范围有限，只能在校园网内部访问，不能对外网开放。电大开放教育以学生为中心，具有开放性、灵活性、针对性和适应性等特点，主要运用卫星、电视、互联网、移动终端等信息化手段和多种教学媒介，构建全民多样化终身学习型社会。国家开放大学数字图书馆的服务对象是开放大学及电大系统的师生，但他们多数是在职在岗的成人，学习的地方相对分散，到校园图书馆利用数字资源极为不便，也因此形成了开放大学图书馆服务方式的特殊性。为了满足电大系统教师和学生随时随地便捷地使用图书馆数字资源，国家开放大学数字图书馆提供远程访问服务。

2 远程访问数字图书馆

本文所讨论的远程访问是校外访问，就是指非校园网用户突破校内IP地址的物理限制使用学校购买的数字化数据库资源。目前远程访问图书馆数字资源有传统服务器技术、VPN技术、Athens项目、PKI技术、Shibbloeth项目、EZproxy技术等[1]。VPN技术实现远程访问已经普遍应用并逐步完善，尤其在远程访问图书馆数字资源中应用更为广泛。新兴的 SSL VPN 技术非常适合移动用户的远程接入访问，该技术集传统数据网络的安全、快速及共享数据库的低成本且简单易行等优点特点，可以为外部网提供虚拟连接，从而成为高校图书馆为所有非校园网的师生提供资源共享的最理想的方案[2]。

3 VPN概述

VPN（Virtual Private Network）即虚拟专用网络，是一种网络新技术，在公用网络上通过加密、认证、封装以及密钥交换技术，建立单位内部专用网络进行远程虚拟访问的连接方式。VPN具有传输数据安全可靠，连接方便灵活，可完全控制，成本低等特点[3]。

SSL VPN是采用SSL（Secure Sockets Layer，安全套接层）协议来实现远程接入的一种新型VPN技术。SSL协议是基于WEB的安全协议，使用SSL 协议进行认证和数据加密的VPN就可以免于安装客户端。相对于传统的VPN而言，SSL VPN具有部署简单，无客户端，维护成本低，网络适应强等特点[4]。

4 应用VPN技术访问数字图书馆的方法

笔者在教育教学过程中发现绝大多数学生不会远程访问数字图书馆，甚至很多教师都不会合理利用网上数字资源。开放大学图书馆由于涉及数据库资源的知识产权问题，使用范围有限，在校园网内使用没有限制，但校外只允许属于电大的教师和学生作为合法的用户，提供VPN技术，用户在登录后，需要安装VPN控件，才能正常的打开文献资源列表。一般情况下，VPN系统会自动检测电脑系统，并引导安装VPN插件，也可以在网站下载插件安装包进行安装。因此要求我们提供用户名和密码来进行身份的确认。笔者在教学工作中发现，很多学生写毕业论文或教师做课题研究的时候，抱怨找不到资源，找到的资源不完整或者下载需付费，下面简单介绍校外如何访问开放大学数字图书馆（中央广播电视大学图书馆）。

4.1 开放大学数字图书馆介绍

国家开放大学数字图书馆为开放大学及全国电大系统提供一站式、扁平化服务，其中电子图书书目数据达340多万种、电子图书全文达234万种、学术文献7000多万篇、社科数字期刊2800多种，名师讲座88624集，基本实现数字文献资源全学科覆盖[5]。主要涵盖：（1）开放文献资源列表，提供中央电大图书馆提供的常用电子文献资源列表；（2）读者论坛帮助BBS（beta），是开放数图论坛读者帮助模块，在此可以反馈在使用中存在的问题，提出数字图书改进建议；（3）数字图书馆学习空间，以图书馆培训、教育为主要内容，同时提供教师自建课程的Moodle教学平台；（4）电大在线・我的工作室，提供在线教学辅导的全部信息；（5）开放大学讲坛，由中央电大图书馆主办的学术讲座平台，汇集名师名家，深入讲解近期发生的热点问题，提供最全的视频资料信息；（6）全国电大图书馆通讯，是图书馆服务与交流电子期刊，提供了最新的电大图书馆工作动态，介绍电大图书馆新引进的和推荐的文献信息资源等；（7）社会化应用及交流网站等服务。

4.2 安装VPN控件

开放大学数字图书馆（http：//）通过VPN的方式对开放教育学生以及电大系统教职工提供授权访问服务。打开页面“插件”（如上图），下载“国家开放大学数字图书馆远程访问控件”，即VPN控件，在安装过程中关闭防火墙和IE安全控（上接81页）

件软件，并将图书馆网站的链接地址添加到IE信任列表，Windows Vista用户在安装控件时请关闭UAC，Windows 7用户在安装控件时请对IE点击右键选择“以管理员身份运行”，再打开安装页面。安装VPN控件后，这个插件要求必须使用IE浏览器进行访问，IE浏览器的版本最低为6.0。

4.3 登陆访问资源列表

点击“开放数图”，学生用电大在线学生证号进行登录，教师用电大在线用户名进行登录，通过点击开放文献资源列表标签，在进入过程中检查身份的合法性及访问资源的安全性，检查完毕进入应用列表，包括CNKI、维普、万方、超星、龙源、读秀等数据库，涵盖了最新期刊、会议论文、学位论文等。

4.4 文献检索

以中国知网（CNKI）为例，打开CNKI（国开镜像版），期刊包括博硕士学位论文、会议、报纸、外文文献、年鉴、百科、词典、统计数据、专利、标准等内容，通过全文、主题、篇名、关键字、摘要、文献来源等方式输入关键字进行检索，在检索结果中打开自己感兴趣的文献进行阅读、下载。

日新月异的信息技术，促进了教育信息化的迅猛发展，电大教师的信息技术应用能力、文献检索的方法和途径直接决定了远程教育教学资源的使用效率和科研水平，因此笔者认为提升师生信息素养，加强信息技术应用能力，通过系统内数字资源应用培训，从数字图书馆平台访问、国内主要文献数据库的使用、移动数字图书馆的使用等方面进行培训，使教职工掌握数字文献资源的使用，提高数字资源的使用率，充分发挥资源共享的优势和效益，为教学和科研提供支持。

参考文献：

[1]张文丰，黄淑敏.开放大学数字图书馆资源校外访问方式的研究[J].黑龙江科技信息，2007，（20）：146.

[2]付凯东.SSL VPN技术在高校图书馆数字资源中的应用[J].微计算机信息，2010，26（7-3）：107.

[3]百度百科：虚拟专用网络[EB/OL].http：///view/480950.htm？fromId=19735.

[4]百度百科：SSL VPN介绍[EB/OL].http：///view/708397.htm/

[5]国家开放大学移动数字图书馆建设研讨会暨全国电大图工委成立20周年纪念会在京举行[EB/OL].[2012-12-12].http：///crtvul_news_detail.asp？id=20121212217

vpn技术论文范文第5篇

关键词：计算机教学资源网络；网络安全；SSL VPN

中图分类号：TP258.6文献标识码：A文章编号：1007-9599 (2012) 03-0000-02

The Application of SSL VPN Technology in the Computer Network of Teaching Resources

Tan Qinhong

(Tongren Polytechnic,Tongren554300,China)

Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.

Keywords:Computer teaching resources network;Network security;SSL VPN

一、校园网计算机教学系统面临的安全风险分析

随着国家教育事业的快速发展以及IT技术的迅猛发展，人们的生产、生活方式发生了翻天覆地的变化，传统的教室内黑板面授教学模式已经不能完全满足当代的教学工作，必须有一种新的教学方式来弥补传统教学模式单一的不足，计算机教学应运而生，特别是计算机多媒体教学。计算机教学方式中，学习的人可以随时随地的学习，不受时间和空间的限制，并且具有学习成本低廉等一系列优点，因此计算机教学受到越来越多的欢迎。

为方便教师和学生等对教学资源的外部访问，存储有教学资源的网络大多与互联网相连，难免会受到来自于网络内部和外部的攻击，计算机网络的大多设备或软件为国外生产，其中可能存在一些后门程序，操作系统、应用系统等都存在大量的漏洞可以让攻击者利用，计算机病毒等恶意程序、SQL注入攻击、跨站脚本攻击、DDOS攻击、钓鱼网站的泛滥让校园网的安全形式不容乐观。

校园网中，用户有学生、教师、外部学习者等主体，教学资源的访问主体的身份不好控制、资源访问控制困难，很难让指定的用户只能访问指定的资源，不能访问其它非授权访问资源、用户对资源的访问不具有抗抵赖等问题。

校园网是学校的门户，是学校的形象窗口，是学校赖以生存的生产资料的一部分，如果遭到恶意攻击，导致不能正常对外部提供服务，将对学校造成严重损失。

二、SSL VPN简介

VPN（Virtual Private Network虚拟专用网络）[1]是一种在公共的网络基础平台（如internet）上建立专用的数据通信网络的技术。VPN通过对数据包进行加密和封包，在公共网络基础平台上构建出安全、可靠的专用隧道，使私有数据在公共网络上安全传输。用户使用VPN技术，不需要建设自己的专用网络，节省投资，使用便捷，VPN技术因而获得了广泛的应用。

VPN技术发展至今，产生了多个种类，有工作在2层的L2TP VPN，工作在3层的IPsec VPN，工作在传输层和应用层之间的SSL（Secure Socket Layer安全套接层）VPN，基于虚拟路由表和标签转发的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用户通过公共网络（如internet）接入业务网络，在远程接入上应用广泛。

SSL是一个独立于平台并独立于应用的协议，用户保护基于TCP的应用。在TCP/IP四层架构中，SSL在传输层之上，应用层之下，像TCP连接所连接的套接字一样工作。

SSL VPN技术帮助用户使用标准的Web浏览器就可以通过公共网络平台接入所要访问的远程资源。在用户的计算机上，不需要安装客户端软件及进行复杂的配置，大大方便了用户，仅仅通过一台接入了Internet的计算机就能访问远程资源。这为企业及政府提高效率也带来了方便。

用户所要访问的资源位于企业网或者政务网内部，在此情况下，需要部署SSL VPN网关在企业网或者政务网的边缘，介于服务器与远程用户之间，控制二者的通信。如下图所示：

SSL VPN网关除了作为隧道的终点，还要执行以下三种功能：，应用转换、端口转发[2]。

1.：它将来自远端浏览器的页面请求（采用

[4]王卫亚.计算机网络安全设计与研究[D].长安大学硕士学位论文,2010

vpn技术论文范文第6篇

关键词：SSL VPN； IPsec VPN；数字化校园；远程访问

中图分类号：TP393 文献标识码：A文章编号：2095-2163（2013）02-0032-03

0引言

随着信息化进程的加快，各个高校对校园信息化投入不断增加，致力于建成数据交换与共享的数字化校园平台。虽然目前很多学校已经拥有了应用管理系统、数据资源库系统、公共通讯平台，但这些网络资源和办公平台常常受到网络的限制，只能在校园内部使用。本校2012年师生问卷调查显示：居住在外的教师、经常出差的行政办公人员以及在外实习的大四毕业生对于校外不能访问校内数字化资源，均已感到极为不便。具体来说，教师在外网不能登录学习平台批改作业；行政人员出差时，不能获取部门统计数据；大四未在校的学生不能通过毕业设计系统提交论文。这些状况即已表明目前校园的基础网络及其实现方案存在一定的不足，亟需新技术的应用以解决校园外部访问校内数字化资源的问题。经过广泛，深入的调研分析可知，VPN（Virtual Private Network）正是解决这一瓶颈的技术方案。

1VPN 的原理及SSL VPN方案的优势

11VPN原理

VPN，即虚拟专用网络，其含义指通过使用公共网络基础设施，利用“隧道”技术、认证技术、加密技术以及控制访问等相应技术向单位内部专用网络提供远程访问的连接方式[1]。VPN利用公用网络来实现任意两个节点之间的专有连接，适用于移动用户、分支机构以及远程用户安全、稳定地接入到内部网络。同时，VPN还向用户提供了专用网络所独具的功能，但其本身却不是一种真正意义上的独立物理网络，没有固定物理线路连接。近年来，VPN技术已经大量应用于高校的移动办公，并且在数字化资源的多校区数据访问方面也有着广泛应用。VPN远程访问的思路是，用户在网络覆盖的任意地点，首先，通过ADSL或者LAN方式接入互联网；其后，通过拨号校园网的VPN网关，构建一条从用户所在网络地址到校园网的二层隧道；而后是VPN服务器给用户分配相应的校园网地址，从而实现校园网数字化资源的远程访问[2]。

12两种VPN方案的对比

按照协议划分，VPN主要有两大主流，分别是IPsec VPN和SSL VPN。IPsec VPN技术是由IP安全体系架构协议来提供隧道的安全保障，IPsec协议是一组协议套件，包括安全协议、加密算法、认证算法、密钥管理协议等[3]。IPsec VPN构建于网络层，通过对数据的加密和认证来保证数据传输的可靠性、保密性和私有性，最适合Site to Site之间的虚拟专用网。相比之下，SSL VPN采用的是SSL安全套接层协议，构建于网络的应用层。SSL VPN方案无需安装客户端软件，经过认证的用户是通过Web浏览器而接入网络，适用于Point to Site的连接方式。总体来看，相比于IPsec VPN方案，SSL VPN方案有三点优势，具体如下。

（1）兼容性较好。SSL VPN适用于现存的各款操作系统和使用终端，对用户也无任何特殊的操作要求。用户不需要下载客户端，由此免去了对客户端软件的更新升级、配置维护，否则，在进行VPN策略调整的时候，其管理难度将呈几何级数的增长。SSL VPN方案只需在普通的浏览器中内嵌入SSL协议，就可以使客户端简便、安全地访问内网信息，维护成本较低。

（2）提供更为精细的访问控制。由于校园网内、外部流量均经过VPN硬件设备，由此在服务器端就可以控制其资源以及URL的访问。SSL VPN方案具备接入控制的功能，可提供用户级别鉴定，确证只有一定权限之上的用户才能访问校园网内的特定网络资源。比如大四在外的实习学生只具有期刊检索的访问功能，而在外的办公行政人员还可以访问某个特定部门的相关数据。

（3）具备更强的安全性。IPsec是基于网络层的VPN方案，对IP应用均是高度透明的。而SSL VPN是基于应用层的，在Web的应用防护方面更具一定优势。某些高端的SSL VPN产品同样支持文件共享、网络邻居、Telnet、Ftp、Oracle等TCP/UDP的C/S应用。2SSL-VPN的关键技术及性能分析

21访问控制技术

访问控制技术是由VPN服务的提供者根据用户的身份标志对访问某些信息项进行相应操控的作用机制。目前，通用的VPN方案中，常常是由系统管理员来控制相关用户的访问权限。作为安全的VPN设备，SSL VPN可通过“组”策略对应用进行访问控制[4]。有些SSL VPN产品可以将Web应用定义为一系列的URL，而组和用户则可允许和禁止访问相应的应用。其它一些SSL VPN产品可以提供更为精细的高级控制，控制策略不仅含有“允许”和“禁止”，还包括用户能访问的资源列表以及对这些资源的操作权限控制。由于SSL VPN工作在网络的应用层，管理员可以基于应用需求、用户特征以及TCP/IP端口进行严密的访问控制策略设置。SSL VPN还能通过浏览器中的参数支持动态访问部署策略，管理员可以依据用户身份、设备类型、网络信任级别、会话参数等各型因子，定义不同的会话角色，并给与不同的访问权限。另外，基于用户的访问控制需要维护大量的用户信息，当前最流行的控制策略则是基于角色的访问控制，在握手协议的过程中统一集成访问控制的基础功能，再将资源的控制权交托于可信的授权管理模型。

22性能分析

VPN的性能指标值对校园网中关键业务的应用实现具有直接影响，在设计数字化校园的VPN详尽方案之前，有必要了解其性能指标。SSL VPN中，常见的性能指标有连接速率、网络延迟、加密吞吐量、并发用户数，等。其中，连接速率表示了SSL VPN系统每秒钟可建立或终止的最大会话连接数目，用以度量被测VPN设备在单位时间内交易事务的处理能力[5]。可以通过添置SSL硬件加速卡、提高控制速率上限等举措来改善其性能。另外，SSL VPN使用的是非对称加密算法，这就导致VPN服务器的CPU将在高负荷状况下处理SSL的加解密。而对于这种计算密集型的加解密操作，为了保障服务器能够正常工作，既可以限制SSL会话的数量，也可以添加服务器的数目。只是这两种方式各有利弊，若限制会话数目，就会出现高峰期间的部分用户无法连接服务器，而添加服务器数目又会大幅增加VPN系统的财务用度。因而，通常情况下，使用SSL加速器来提升加解密速度，进入SSL的数据流由加速器解密并传给服务器，而外流的数据又经过加速器加密再回传给客户。服务器方面，只需要处理简单的SSL请求，将消耗资源的工作完全交给加速器，全面有效地提升了VPN方案的整体性能。

3SSL-VPN下的数字化校园解决方案

31需求分析与设计目标

校园数字化资源中集结了多种重要的数据库以及多款办公软件。大四年级的学生会经常需要登录毕业设计系统上传学科论文；校外居住的教师也需要登录图书馆期刊检索系统，下载专业文献；另外，因公在外的招生、财务人员又需要及时获取部门的数字化信息，并借助办公自动化的高端平台与其它部门顺畅沟通。上述校园网的这些外部访问通常都是不确定的动态IP地址，在数据库服务器的安全策略中多会将之认定为是非法用户而遭到拒绝。因此，在外部访问校园网之数字化校园时，就需要研发一个远程访问方案，该方案可将合法的非授权校外地址转化为授权的校园网内地址。此方案需要考虑的用户有三种，分别是：在外居住的教师、大四实习生以及在外办公的行政人员。

32系统体系结构

经过实地调研和深入分析，采用了SSL VPN架构，具体框架如图1所示。

由图1可知，这是一个基于Web模式的SSL VPN系统，在用户和应用服务器之间构建了一个安全的信息传递通道。其中，SSL VPN服务器相当于一个网关，且具备双重身份。对用户而言，这是服务器，负责提供基于证书的身份鉴别；对应用服务器而言，则属于客户端的身份，并向服务器递交访问申请。由此，通过在防火墙后安装VPN设备，校外用户只需要打开IE浏览器，就可以访问到校园数字化资源的URL。其后，SSL VPN 设备将取得连接并验证用户的身份，此时SSL服务器就会将连接映射到不同应用的服务器上。而且方案中又采用了技术，所有成功接入SSL VPN系统的校外用户都可以全面访问LAN口所能获得的数字化资源。本系统还具备较高的传输性能，优先考虑SSL VPN服务器的性能，将需要消耗大量资源的加解密工作交给加速器。实现过程中，采用的设备是由Cisco ASA建立Web VPN服务器，而将Radius Server作为验证用户身份的服务器。

33改进型安全策略——基于角色的控制

本校SSL VPN系统采用的是基于角色的访问控制策略，既包括用户安全认证的接口也包括用户访问的资源列表。实际上，校园网系统的用户认证和访问控制均在控制协议部分获得实现，可以在此过程中添加角色的访问控制。通过在证书中集成角色属性，系统在进行安全认证时，就可以同步实现角色验证。VPN系统在明确用户角色属性的基础上确定其访问权限，而后给出该用户可以访问的资源列表信息。另外，用户在登录VPN系统时，还需要在登录界面输入身份信息。

4结束语

随着校外用户对数字化校园资源访问需求的日益迫切增长，使得VPN技术也随之广受关注[6]。为了给予校外访问、使用校园数字化资源提供更大便利，因而在综合考虑本校实际用户数量和主要用户角色的基础上，由网络中心主持设计并全面实现了SSL VPN系统。目前，本校SSL VPN系统运转良好，能够满足现有的使用需求，并且也具备了一定的扩展能力。当然，该实施方案并不是唯一可选，当校园网的VPN用户数量并不多、要求也不高时，就可以考虑软件型VPN方案。不然，还可通过购买专业的VPN设备打造高水准、高级别的SSL VPN系统。

参考文献：

[1]王达. 虚拟专用网（VPN）精解[M]. 北京：清华大学出版社，2004：45-46.

[2]朱伟珠. 利用VPN技术实现高校图书馆资源共享[J]. 情报科学，2007，25（7）：1158-1061.

[3]徐家臻，陈莘萌. 基于IPsec与基于SSL的VPN的比较与分析[J]. 计算机工程与设计，2004，25（4）：186-188.

[4]沈海波，洪帆. 访问控制模型研究综述[J].计算机应用研究，2005，32（5）：9-11.

[5]KEN，ARAUJO. SSL VPN gateways：A new approach to secure remote access[J]. Database and Network Journal， 2003，33（6）：3-5.

vpn技术论文范文第7篇

论文摘要：随着信息技术的不断发展，学校如何更好的利用内部网络服务成为摆在学校面前的重要课题。本文通过对学校网络建设现状及vpn技术的分析介绍，在如何利用vpn技术为学校搭建网络应用安全通道进行了探索。

随着信息化时代的到来，以网络技术为代表的信息技术已经成为社会发展的重要推动力。网络技术以其信息海量性、交互性、便捷性等优势，正在日益深人人们的生活。同样，由于信息技术的巨大作用，它也被广泛应用于学校的各种活动之中。当然，网络技术同时也存在很多缺点，比如网络安全问题，就成为影响学校信息安全的潜在威胁。因此，学校在利用网络技术的同时，

一定要注意研究和防范其缺点和不足。

i、我国学校网络建设的基本情况和特点

应该说，我国学校网络建设起步时间较晚，但是发展速度十分迅速，笔者总结出我国学校网络建设的基本情况和特点如下:

1.1建设的普遍性

据一项不完全调查显示，目前我国具备独立的学校网络系统的学校约占全体注册学校数量的90%以上。这里所说的学校网络建设，不仅仅指学校的门户网站或者学校主页，而是涵盖学校内部行政办公网、教学网络以及学生网络等网络系统。可以说，随着网络技术的进一步普及，学校已经意识到建立自身独立的网络系统的巨大意义，能够主动投人人力物力，聘请专业机构针对本学校特点研发、部署网络系统。

1.2应用的广泛性

目前我国学校在创建独立网络体系的同时，非常注意对于网络功能的再开发。目前国内学校利用网络系统可以进行内部管理、办公自动化处理、视频会议、网络教学、ip电话、学校推广等等，极大地丰富了校园网络的应用手段，拓展了应用领域。

1.3安全意识提高

从国内市场主流网络安全技术销售情况可以看出，全社会网络安全意识正在逐步提高，一些造价不菲的学校版专业软件销售情况也十分可观。学校加强对网络安全的防范，一方面体现出学校的观念正在逐步改进，另一方面可以看出，我国国内的网络安全市场仍然具备较大的拓展空间。

1.4交流的多样性

学校网络大都由外部网络和内部网络构成。外部网络就是通常意义上的互联网，而内部网络是学校独立的网络系统，俗称内网。随着交流的不断增多和办公形式的多样化，越来越多的用户希望能随时通过互联网接人校园网，实现远程办公。而在当今日益繁多的网络技术中，vpn技术由于具备自身独特的优势，可以很好地满足建立学校网络安全通道的需求。

2,vpn技术

2.1基本情况

vpn仅irtualprivatenetwork)，即虚拟专用网，被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。vpn主要技术包括隧道技术与安全技术。简言之，通过利用vpn技术，可以在学校内部网络与外网之间建立一个虚拟的安全通道，实现学校充分利用校内网络系统的要求。

2.2独特优势

vpn技术是比较新的网络技术，具有许多以往网络虚拟技术所不具备的优势，具体说来，主要体现如下:

第一，可以最大限度地保证学校网络系统的安全运行。在前文中，笔者谈到学校关心网络安全问题，能否保证学校网络系统运行的稳定和安全，将是这项技术能否被大范围推广和使用的关键。在vpn技术中，学校可以在内部服务器上实现对用户资格的认证，同时，在网络运作过程中。 vpn技术还可以支持点对点加密及各种网络安全加密协议，如ipsecarity，这可以最大程度上保证学校网络系统的安全运行。

第二，可以降低学校网络运行维护的成本。由于vpn设备本身带有路由功能，可以有效地减少学校内部网络与互联网连接时需要的网络配置设备，对一些传统设备，vpn技术也可以很好地实现兼容。在虚拟网络运行过程中，由于其稳定性良好，不需要学校付出大量成本进行维护，因此可以极大地降低学校网络成本。

第三，可以实现学校网络系统功能的提升。学校网络系统应用vpn技术，可以将学校内部的网络设备与外网实现安全互联，同时也可以将学校分支机构的网络设备进行有效连接，主要部门通过对于vpn权限的控制，可以有效地掌控学校网络系统的运行情况，并依托学校网络进行各项活动，从而实现对学校网络功能的进一步扩展。

3、学校如何利用vpn技术

既然vpn技术具有许多优势，非常适合运用于学校网络建设，那么学校应该着手对这项技术的应用进行研究。笔者认为，我国学校运用vpn技术没有固定的模式和套路，应该依据学校自身的情况和特点，制定出相应的使用方案。但是，学校在使用vpn技术的过程中，还是可以找到一些共性的原则。

首先，是成本最小化原则。学校在利用vpn技术时，可以委托专业机构设置学校vpn，学校只需要设置相应的权限即可以实现对网络的有效管理。

vpn技术论文范文第8篇

论文关键词：ssl;ssl vpn;远程接入

论文摘要：本文讨论了在远程安全接入领域的ssl vpn技术，通过对ssl协议的分析，全面衡量了ssl vpn远程接入方案在军队院校网络应用中的综合优势。

1引言

打造远程安全接入平台，一直是网络远程访问的迫切需求。当前，众多的安全协议(如pptp.l2tp.ipsec和mpls)各具特色并侧重于不同的方面，但能同时结合简易、安全两项特性的则非ssl莫属，ssl vpn是平衡访问自由度和安全性的出色解决方案。

2 ssl

安全套接层(secure sockets layer, ssl)是netscape于1994年提出的基于web应用的安全协议，它介于http及tcp之间，高层协议可以透明地运行在该协议之上，它指定了一种在应用程序协议和丁cp/ip协议之间提供数据安全性分层的机制，能为丁cp/ip连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其安全连接基于握手协议、记录协议和警告协议来完成。

3 ssl vpn主要特点

(1)高安全性:ssl安全通道可确保端到端真正安全可靠的连接，能有效保证信息的真实性、完整性和保密性。

(2)高易用性:无需客户端的安装和配置，对终端系统具有良好的兼容性。

(3)高性价比:不需要配置，易于部署及管理，可有效降低网络配置成本。

(4)高可扩展性和兼容性:可随时添加需要vpn保护的服务器，并适用于大多数设备。

(5)高效的资源控制能力:可区分用户设置访问权限，实现区分对待的资源控制策略。

4 ssl vpn应用优势

随着军队院校网络信息化建设的推进，实际应用中面临着越来越多的跨地域、跨部门的数据传递，以及大量的远程访问内网的需求。例如跨地域的会商研讨、数据采集、资料检索、分支部门和下属机构的机要信息交换等。根据这些需求和实际情况，下面主要从ssl vpn和ipsec vpn对比出发，全面衡量ssl vpn的优势。

(1)谨慎灵活的接入认证策略。在远程接入过程中，用户身份验证是整个过程的第一环，也是最重要的一环，如果不能有效识别用户的身份，使得非法用户接入，将给内部网络带来极大的安全隐患。ssl vpn提供对所传送数据的加密、认证和发送源的身份认证，支持将多种身份识别方式进行组合，一般包括usb-key、硬件特征码、数字证书、动态令牌、短信认证等，而且可以对访问权限进行严格的等级划分，实现不同用户对于不同应用程序的控制。

(2)稳妥有效的数据保护策略。因为ssl vpn接入的是内部网络的应用，而不是整个网络，并限制了非web端口的访问，使得部分文件操作功能不易实现，这实际上也起到了相应的保护功能。同时，ssl网关隔离了内部服务器和客户端，客户端的大多数病毒木马感染不到内网服务器。而ipsec vpn实现的是ip级别的访问，使得局域网能够传播的病毒，通过vpn也能够传播，极易导致内部网络的防病毒策略形同虚设。一旦恶意ipsec vpn用户获得权限通过了网关，无疑会给内网带来灾难性的后果，但ssl vpn大大减弱了类似的风险。

(3)良好的可管理性和可控性。一方面，ssl vpn的部署不需改变原网络结构，就可部署在内网任一节点处，并可随时添加需要vpn保护的服务器。而ipsec vpn在部署时，则要考虑网络的拓扑结构，设备的移除和添加就有可能导致vpn重新部署，且客户终端设备的变更，也意味着客户端软件的更新或部署。另一方面，数字化校园已经将更多的服务集成于web应用，具备个性化的门户网站，不同的部门和人员都有对应的内网访问权限。这和基于ssl vpn的用户访问级别划分控制策略是一致的。

vpn技术论文范文第9篇

【关键词】L2 VPNIPSec隧道虚拟化The Research and Design of IPSec-based L2 VPN

ZHU Yufeng（School of Electronics Engineering and Computer Science， Peking University， Beijing， 100871， China）

Abstract： L2 VPN is working at layer 2 of OSI network model， which can hide the geographical limitations and provide virtual private network service.

This paper is intended to give solutions to implement L2 VPN using IPSec tunnel.

Key Words：L2 VPN， IPSec Tunnel， Virtualization

一、引言

随着虚拟化及云计算的兴起和应用，VPN隧道成为一个连接不同地区虚拟数据中心或者云计算中心的必备技术，其中L2 VPN工作在OSI网络模型的第二层，它可以隐藏地域限制，提供虚拟专有网络服务，能够更好的满足虚拟化及云计算的需求。

二、方法研究

L2 VPN基本的概念是将L2网桥和IPSec VPN网关结合，利用VPN隧道模拟物理网线，将2台或者多台跨越因特网的网桥连接起来。

如图所示：

为了实现以上L2 VPN的功能，我们需要考虑以下因素：

（1）如何将L2数据包导向VPN隧道；

（2）如何封装以太网帧；

（3）数据包的flow设计；

（4）如何支持VLAN；

（5）如何支持多站点多用户（例如，星型拓扑）。

2.1重定向数据包到VPN隧道

为了很好的连接L2网桥和VPN网关，我们定义一个虚拟的隧道端口，用来解耦合网桥和VPN的功能。对于网桥来说，虚拟隧道端口就像是一个物理端口一样，用来收发以太网数据包。对于VPN网关来说，虚拟隧道端口就是一个明文数据包进入加密隧道的入口，所有到达虚拟隧道端口的数据包，都将会被加密从隧道发出去。

虚拟隧道端口模拟物理以太网端口，它的功能如下：

（1）在内核中创建一个虚拟网络端口；

（2）发送以太网数据包。而驱动程序的发送功能，就是VPN隧道加密。

（3）接收以太网数据包。VPN加密后，会把明文放到虚拟端口的接收队列。

（4）支持网桥MAC反向学习。

（5）支持VLAN tag。

所有对于L2网桥看来，虚拟隧道端口和物理网桥端口没有任何区别，收到和发送的都是以太网数据包。网桥也不知道VPN网关的存在。同样，VPN网关也知道网桥的存在，到达VPN网关也只是以太网数据包。

2.2以太网数据包封装

IPSec隧道工作在三层，用来设计封装IP数据包，所以我们需要将以太网帧封装成IP数据包，再将该IP数据包封装成IPSec数据包。

我们可以考虑以下方式：

（1）EtherIP over IPSec；

（2）非标准的IPSec封装；

（3）混合模式。

（8）VPN1收到ARP应答密文包，解密去EtherIP和IPSec包头，查询MAC地址表，得知出口是eth1，然后将报文发往PC1。此时，VPN1并且更新MAC地址表。

VPN2网桥的MAC表：

（9）PC1收到ARP应答明文包，学到PC2的MAC地址。然后发送ICMP请求到PC2。数据包的目的MAC是PC2-MAC，源MAC是PC1-MAC。

（10）VPN1收到ICMP请求，查询MAC地址表得到出口是tun1，将数据包送到VPN隧道加密，然后发往VPN2网关。

（11）VPN2收到ICMP请求，查询MAC地址表，得到出口是eth1，将数据包发送到PC2。

（12）PC2收到ICMP请求并发送ICMP应答，该应答数据包被发发送到VPN2。

（13）VPN2收到ICMP应答，查询MAC地址表，得到出口是tun1，将数据包通过隧道发送到VPN1。

（14）VPN1收到ICMP应答，查询MAC地址表，得到出口是eth1，将数据包发送到PC1。

3.1VLAN支持

二层网桥可能连接很多VLAN，隧道端口需要工作在TRUNK模式，这样可以允许VLAN数据包通过VPN隧道。

拓扑如下：

EtherIP over IPSec可以封装VLAN tag，但是overhead会比较大。一种优化的方法是分配每个tunnel端口和tunnel一个VALN tag，这样就不需要封装VLAN tag，提高有效载荷。

3.2星型拓扑支持

要支持Hub & Spoke星型拓扑，我们只需要再增加一个tunnel端口，并且把该端口绑定到一个到Spoke的VPN隧道。该设计非常灵活，易于扩展。

拓扑如下：

四、结束语

本文通过引入虚拟隧道端口，巧妙的将L2网桥和IPSec VPN网关结合在一起，简单并且有效的将数据包重定向到VPN隧道。

另外，本文通过结合EtherIP over IPSec封装发送多播和广播数据包，IPSec封装发送单播数据包，有效提高了VPN隧道的有效载荷和传输性能。

参考文献

[1] RFC3378： EtherIP： Tunneling Ethernet Frames in IP Datagrams

[2] RFC2784： Generic Routing Encapsulation

[3] RFC3438： Layer Two Tunneling Protocol

[4] RFC4664： Framework for Layer 2 Virtual Private Networks

[5] RFC4665： Service Requirements for Layer2 Provider-Provisioned Virtual Private Networks

[6] RFC4026； Provider Provisioned Virtual Private Network （VPN） Terminology

[7] RFC4301： Security Architecture for the Internet Protocol

[8] RFC4303： IP Encapsulating Security Payload

vpn技术论文范文第10篇

关键词:IPSec VPN;MPLS VPN;SSL VPN;对比

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0101-01

一、引言

随着信息化经济一体化的发展,实现资源共享是每个企业追求发展进步不可或缺的一步。利用隧道技术在公共网络上建立安全的虚拟专用网络(VPN)是实现资源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN这几个比较主流的VPN技术。

二、IPSec VPN

IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,用来提供公用和专用网络的端对端加密和验证服务。IPsec给出了应用于IP层上网络数据安全的一整套体系结构,包括AH网络认证协议、ESP封装安全载荷、IKE因特网密钥交换和用于网络认证及加密的一些算法等[1]。其中,AH协议和ESP协议用来提供安全服务,IKE协议用于密钥交换。

(一)认证头(AH)协议

IPsec认证头协议是IPsec体系结构中的一种主要协议(AH协议把AH头插入IP数据包),它为IP数据报提供无连接完整性、数据源认证、保护以避免重播情况[1]。

(二)封装安全载荷(ESP)协议

封装安全载荷(ESP)协议是IPsec体系结构中的一种用来提高IP的安全性的主要协议。ESP加密要保护的数据并且在IPsec ESP的数据部分进行数据的完整性校验,以达到其数据机密性和完整性的目的。ESP提供了与AH相同的安全服务并提供了一种保密。

(三)IKE

IKE是一种混合型协议,由Internet安全联盟(SA)和密钥管理协议(ISAKMP)这两种密钥交换协议组成。IKE是以受保护的方式为SA协商并提供经过认证的密钥信息的协议。IKE用于协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。同样,IKE使用ISAKMP为其他IPSec(AH和ESP)协议协商SA。

三、MPLS VPN

MPLS VPN与传统的IPSec VPN不同,MPLS VPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于Internet。MPLS VPN是一种以MPLS技术为基础的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。

(一)MPLS VPN的基本原理

每个MPLS VPN网络的内部是由P(供应商)设备组成,这些设备构成了MPLS的核心,且不直接同CE路由器相连,围绕在P周围的PE路由器可以让MPLS VPN网络发挥VPN的作用。在MPLS VPN中,用户站点通常运行的是IP。它们并不需要运行MPLS和其他特殊的VPN协议。在PE路由器中,RD对应同每个用户站点连接。这些连接可以是诸如T1、单一的帧中继、ATM虚电路或者DSL等物理连接。RD在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在用户设备上进行配置,对于用户来说是透明的[2]。

(二)MPLS VPN的优点

1.减少时延。由于数据包不再经过封装或者加密,所以时延被减到最低。不再需要封装和加密原因是MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似[2]。

2.配置MPLS VPN网络的设备比较容易。配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络不许访问CPE。

3.提高了资源利用率。由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。

4.安全性高。采用MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATM VCC(Virtual Channel Connection,虚通道连接)类似的高可靠安全性。

四、SSL VPN

SSL VPN的出现是为了解决IPSec VPN的固有的缺点,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致优点,避免了因有客户端而导致的使用维护不便、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题[2]。IPSec VPN与SSL VPN的对比。传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置。若企业的远程接入数量增多,企业的维护成本就会随之增加。而SSL VPN最大的优点之一就是不需要安装客户端程序远程用户可以随时随地从任何浏览器上安全接入到内部网络。对比表如下:

五、总结

由于VPN的优秀安全特性,让它越来越受到安全要求较高的企业或部门的青睐。此文指出的IPSec VPN、MPLS VPN、SSL VPN技术增加了VPN通信的安全性。伴随着VPN的广泛使用,更加复杂的VPN系统会继续出现。所以,其安全策略管理的问题将逐步显现,这方面的研究也将受到高度重视。

参考文献:

[1]

本文链接：http://www.vanbs.com/v-141-2671.htmlvpn技术论文范文10篇

声明：本网页内容由互联网博主自发贡献，不代表本站观点，本站不承担任何法律责任。天上不会到馅饼，请大家谨防诈骗！若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。

上一篇：vpn技术范文10篇

下一篇：vr技术论文范文10篇