前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的vpn技術(shù)論文主題范文,僅供參考,歡迎閱讀并收藏。
一、VPN服務(wù)及其應(yīng)用
VPN,即Virtual Private Network,是建立于公共網(wǎng)絡(luò)基礎(chǔ)之上的虛擬私有網(wǎng)絡(luò),如利用Internet連接企業(yè)總部及其分支。VPN能夠給企業(yè)提供和私有網(wǎng)絡(luò)一樣的安全性、可靠性和可管理性等,并且能夠?qū)⑼ㄟ^(guò)公共網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)加密。利用VPN,企業(yè)能夠以較低的成本提供分支機(jī)構(gòu)、出差人員的內(nèi)網(wǎng)接入服務(wù)。
如果訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)資源,使用者需要接入本地ISP的接入服務(wù)提供點(diǎn),即接入Internet,然后可以連接企業(yè)邊界的VPN服務(wù)器。如果利用傳統(tǒng)的WAN技術(shù),使用者和企業(yè)內(nèi)網(wǎng)之間需要有一根專線,而這非常不利于外出辦公人員的接入。而利用VPN,出差人員只需要接入本地網(wǎng)絡(luò)。論文寫(xiě)作,管理。如果企業(yè)內(nèi)網(wǎng)的身份認(rèn)證服務(wù)器支持漫游的話,甚至可以不必接入本地ISP,并且使用VPN服務(wù)所使用的設(shè)備只是在企業(yè)內(nèi)部網(wǎng)絡(luò)邊界的VPN服務(wù)器。
二、VPN管理
VPN能夠使企業(yè)將其內(nèi)部網(wǎng)絡(luò)管理功能從企業(yè)網(wǎng)絡(luò)無(wú)縫延伸到公共網(wǎng)絡(luò),甚至可以是企業(yè)客戶。這其中涉及到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理任務(wù),可以在組建網(wǎng)絡(luò)的初期交給運(yùn)營(yíng)商去完成,但企業(yè)自身還要完成許多網(wǎng)絡(luò)管理的任務(wù)。所以,一個(gè)功能完整的VPN管理系統(tǒng)是必需的。
通過(guò)VPN管理系統(tǒng),可以實(shí)現(xiàn)以下目的:
1、降低成本:保證VPN可管理的同時(shí)不會(huì)過(guò)多增加操作和維護(hù)成本。
2、可擴(kuò)展性:VPN管理需要對(duì)日益增加的企業(yè)客戶作出快速的反應(yīng),包括網(wǎng)絡(luò)軟件和硬件的平滑升級(jí)、安全策略維護(hù)、網(wǎng)絡(luò)質(zhì)量保證QOS等。論文寫(xiě)作,管理。
3、減少風(fēng)險(xiǎn):從傳統(tǒng)的WAN網(wǎng)絡(luò)擴(kuò)展到公共網(wǎng)絡(luò),VPN面臨著安全與監(jiān)控的風(fēng)險(xiǎn)。網(wǎng)絡(luò)管理要求做到允許公司分部、客戶通過(guò)VPN訪問(wèn)企業(yè)內(nèi)網(wǎng)的同時(shí),還要確保企業(yè)資源的完整性。
4、可靠性:VPN構(gòu)建于公共網(wǎng)絡(luò)之上,其可控性降低,所有必須采取VPN管理提高其可靠性 。
三、VPN管理技術(shù)
1、第二層通道協(xié)議
第二層通道協(xié)議主要有兩種,PPTP和L2TP,其中L2TP協(xié)議將密鑰進(jìn)行加密,其可靠性更強(qiáng)。
L2TP提高了VPN的管理性,表現(xiàn)在以下方面:
(1)安全的身份驗(yàn)證
L2TP可以對(duì)隧道終點(diǎn)進(jìn)行驗(yàn)證。不使用明文的驗(yàn)證,而是使用類似PPPCHAP的驗(yàn)證方式。論文寫(xiě)作,管理。
(2)內(nèi)部地址分配
用戶接入VPN服務(wù)器后,可以獲取到企業(yè)內(nèi)部網(wǎng)絡(luò)的地址,從而方便的加入企業(yè)內(nèi)網(wǎng),訪問(wèn)網(wǎng)絡(luò)資源。地址的獲取可以使用動(dòng)態(tài)分配的管理方法,由于獲取的是企業(yè)內(nèi)部的私有地址,方便了地址管理并增加安全性。論文寫(xiě)作,管理。
(3)網(wǎng)絡(luò)計(jì)費(fèi)
L2TP能夠進(jìn)行用戶接口處的數(shù)據(jù)流量統(tǒng)計(jì),方便計(jì)費(fèi)。
(4)統(tǒng)一網(wǎng)絡(luò)管理
L2TP協(xié)議已成為標(biāo)準(zhǔn)的協(xié)議,相關(guān)的MIB也已制定完成,可以采用統(tǒng)一SNMP管理方案進(jìn)行網(wǎng)絡(luò)維護(hù)和管理。
2、IKE協(xié)議
IKE協(xié)議,即Internet Key Exchange,用于通信雙方協(xié)商和交換密鑰。IKE的特點(diǎn)是利用安全算法,不直接在網(wǎng)絡(luò)上傳輸密鑰,而是通過(guò)幾次數(shù)據(jù)的交換,利用數(shù)學(xué)算法計(jì)算出公共的密鑰。數(shù)據(jù)在網(wǎng)絡(luò)中被截取也不能計(jì)算出密鑰。使用的算法是Diffie Hellman,逆向分析出密鑰幾乎是不可能的。
在身份驗(yàn)證方面,IKE提供了公鑰加密驗(yàn)證、數(shù)字簽名、共享驗(yàn)證字方法。并可以利用企業(yè)或獨(dú)立CA頒發(fā)證書(shū)實(shí)現(xiàn)身份認(rèn)證。
IKE解決了在不安全的網(wǎng)絡(luò)中安全可靠地建立或更新共享密鑰的問(wèn)題,是一種通用的協(xié)議,不僅能夠?yàn)镮psec進(jìn)行安全協(xié)商,還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協(xié)議協(xié)商安全參數(shù)。
3、配置管理
可以使VPN服務(wù)器支持MIB,利用SNMP的遠(yuǎn)程配置和查詢功能對(duì)VPN網(wǎng)絡(luò)進(jìn)行安全的管理。
(1)WEB方式的管理
利用瀏覽器訪問(wèn)VPN服務(wù)器,利用服務(wù)器上設(shè)置的賬戶登錄,然后將Applet下載到瀏覽器上,就可以對(duì)服務(wù)器進(jìn)行配置。論文寫(xiě)作,管理。用戶登錄后,服務(wù)器會(huì)只授權(quán)登錄的IP地址和登錄客戶權(quán)限,從而避免偽造的IP地址和客戶操作。而且利用這種方式,還解決了普通SNMP協(xié)議只有查詢沒(méi)有配置功能的缺點(diǎn)。
(2)分級(jí)統(tǒng)一管理
如果企業(yè)網(wǎng)絡(luò)規(guī)模擴(kuò)大,可以對(duì)VPN服務(wù)器進(jìn)行統(tǒng)一配置管理,三級(jí)網(wǎng)絡(luò)中心負(fù)責(zé)數(shù)據(jù)的收集與統(tǒng)計(jì),然后向上層匯總。收集的數(shù)據(jù)包括VPN用戶數(shù)量、VPN用戶的數(shù)據(jù)流量等。通過(guò)分級(jí)管理,一級(jí)網(wǎng)絡(luò)中心就能夠獲取全部VPN用戶的數(shù)量、流量并進(jìn)行統(tǒng)計(jì),分析出各地情況,從而使用合適的方案。
4、IPSec策略
IPSec是一組協(xié)議的總稱,IPsec被設(shè)計(jì)用來(lái)提供入口對(duì)入口通信安全分組通信的安全性由單個(gè)結(jié)點(diǎn)提供給多臺(tái)機(jī)器或者是局域網(wǎng),也可以提供端到端通信安全,由作為端點(diǎn)的計(jì)算機(jī)完成安全操作。上述兩種模式都可以用來(lái)構(gòu)VPN,這是IPsec最主要的用途。
IPSec策略包括一系列規(guī)則和過(guò)濾器,以便提供不同程度的安全級(jí)別。論文寫(xiě)作,管理。在IPSec策略的實(shí)現(xiàn)中,有多種預(yù)置策略供用戶選擇,用戶也可以根據(jù)企業(yè)安全需求自行創(chuàng)建策略。IPSec策略的實(shí)施有兩種基本的方法,一是在本地計(jì)算機(jī)上指定策略,二是使用組策略對(duì)象,由其來(lái)實(shí)施策略。并且利用多種認(rèn)證方式提升VPN的安全管理性。
利用上述VPN管理技術(shù),可以大大提高企業(yè)網(wǎng)絡(luò)資源的安全性、完整性,并能夠?qū)崿F(xiàn)資源的分布式服務(wù)。以后還將結(jié)合更多的技術(shù),實(shí)現(xiàn)VPN網(wǎng)絡(luò)靈活的使用和安全方便的管理。其使用的領(lǐng)域也會(huì)越來(lái)越廣泛。
參考文獻(xiàn):
[1]帕勒萬(wàn)等著劉劍譯.無(wú)線網(wǎng)絡(luò)通信原理與應(yīng)用[M].清華大學(xué)出版社,2002.11
[2]朱坤華,李長(zhǎng)江.企業(yè)無(wú)線局域網(wǎng)的設(shè)計(jì)及組建研究[J].河南科技學(xué)院學(xué)報(bào)2008.2:120-123
[3]潘愛(ài)民.計(jì)算機(jī)網(wǎng)絡(luò)(第四版)[M].清華大學(xué)出版社2004.8
論文關(guān)鍵詞:電子商務(wù),信息安全,防火墻,權(quán)限控制
0 引言
近年來(lái),隨著信息技術(shù)的發(fā)展,各行各業(yè)都利用計(jì)算機(jī)網(wǎng)絡(luò)和通訊技術(shù)開(kāi)展業(yè)務(wù)工作。廣西百色田陽(yáng)縣農(nóng)產(chǎn)品批發(fā)中心利用現(xiàn)代信息技術(shù)建有專門(mén)的網(wǎng)站,通過(guò)網(wǎng)站實(shí)施農(nóng)產(chǎn)品信息、電子支付等商務(wù)工作。但是基于互聯(lián)網(wǎng)的電了商務(wù)的安全問(wèn)題日益突出,并且該問(wèn)題已經(jīng)嚴(yán)重制約了農(nóng)產(chǎn)品電子商務(wù)的進(jìn)一步發(fā)展。
1 農(nóng)產(chǎn)品電子商務(wù)的安全需求
根據(jù)電子商務(wù)系統(tǒng)的安全性要求,田陽(yáng)農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)需要滿足系統(tǒng)的實(shí)體安全、運(yùn)行安全和信息安全三方面的要求。
1) 系統(tǒng)實(shí)體安全
系統(tǒng)實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施(含網(wǎng)絡(luò))以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故(如電磁污染等)破壞的措施和過(guò)程。
2) 系統(tǒng)運(yùn)行安全系統(tǒng)運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn),提供一套安全措施(如風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急)來(lái)保護(hù)信息處理過(guò)程的安全[1]。項(xiàng)目組在實(shí)施項(xiàng)目前已對(duì)系統(tǒng)進(jìn)行了靜態(tài)的風(fēng)險(xiǎn)分析,防止計(jì)算機(jī)受到病毒攻擊,阻止黑客侵入破壞系統(tǒng)獲取非法信息,因此系統(tǒng)備份是必不可少的(如采用放置在不同地區(qū)站點(diǎn)的多臺(tái)機(jī)器進(jìn)行數(shù)據(jù)的實(shí)時(shí)備份)。為防止意外停電,系統(tǒng)需要配備多臺(tái)備用電源,作為應(yīng)急設(shè)施。
3) 信息安全
系統(tǒng)信息安全是指防止信息財(cái)產(chǎn)被故意的或偶然的非授權(quán)泄露、更改、破壞或信息被非法的系統(tǒng)標(biāo)識(shí)、控制。系統(tǒng)的核心服務(wù)是交易服務(wù),因此保證此類安全最為迫切。系統(tǒng)需要滿足保密性,即保護(hù)客戶的私人信息,不被非法竊取。同時(shí)系統(tǒng)要具有認(rèn)證性和完整性,即確??蛻羯矸莸暮戏ㄐ裕WC預(yù)約信息的真實(shí)性和完整性,系統(tǒng)要實(shí)現(xiàn)基于角色的安全訪問(wèn)控制、保證系統(tǒng)、數(shù)據(jù)和服務(wù)由合法的客戶、人員訪問(wèn)防火墻,即保證系統(tǒng)的可控性。在這基礎(chǔ)上要實(shí)現(xiàn)系統(tǒng)的不可否認(rèn)性,要有效防止通信或交易雙方對(duì)已進(jìn)行的業(yè)務(wù)的否認(rèn)論文的格式。
2 農(nóng)產(chǎn)品電子商和安全策略
為了滿足電子商務(wù)的安全要求,電子商務(wù)系統(tǒng)必須利用安全技術(shù)為電子商務(wù)活動(dòng)參與者提供可靠的安全服務(wù),具體可采用的技術(shù)如下:
2.1基于多重防范的網(wǎng)絡(luò)安全策略
1) 防火墻技術(shù)
防火墻是由軟件系統(tǒng)和硬件系統(tǒng)組成的,在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造保護(hù)屏障。所有內(nèi)外部網(wǎng)之間的連接都必須經(jīng)過(guò)保護(hù)屏障,并在此進(jìn)行檢查和連接,只有被授權(quán)的信息才能通過(guò)此保護(hù)屏障,從而使內(nèi)部網(wǎng)與外部網(wǎng)形成一定的隔離,防止非法入侵、非法盜用系統(tǒng)資源,執(zhí)行安全管制機(jī)制,記錄可疑事件等。
防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。
邊界防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過(guò)過(guò)濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò),這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊,如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。
2) VPN 技術(shù)
VPN 技術(shù)也是一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一,它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò),數(shù)據(jù)通過(guò)建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線,連接上本地的公眾信息網(wǎng),其分支機(jī)構(gòu)就可以相互之間安全的傳遞信息。同時(shí),企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備,讓自己的用戶撥號(hào)到公眾信息網(wǎng)上,就可以進(jìn)入企業(yè)網(wǎng)中。使用VPN 技術(shù)可以節(jié)省成本、擴(kuò)展性強(qiáng)、提供遠(yuǎn)程訪問(wèn)、便于管理和實(shí)現(xiàn)全面控制,是當(dāng)前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。
VPN提供用戶一種私人專用(Private)的感覺(jué),因此建立在不安全、不可信任的公共數(shù)據(jù)網(wǎng)的首要任務(wù)是解決安全性問(wèn)題。VPN的安全性可通過(guò)隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Intranet VPN中,要有高強(qiáng)度的加密技術(shù)來(lái)保護(hù)敏感信息;在遠(yuǎn)程訪問(wèn)VPN中要有對(duì)遠(yuǎn)程用戶可*的認(rèn)證機(jī)制。
性能
VPN要發(fā)展其性能至少不應(yīng)該低于傳統(tǒng)方法。盡管網(wǎng)絡(luò)速度不斷提高,但在Internet時(shí)代,隨著電子商務(wù)活動(dòng)的激增,網(wǎng)絡(luò)擁塞經(jīng)常發(fā)生,這給VPN性能的穩(wěn)定帶來(lái)極大的影響。因此VPN解決方案應(yīng)能夠讓管理員進(jìn)行通信控制來(lái)確保其性能。通過(guò)VPN平臺(tái),管理員定義管理政策來(lái)激活基于重要性的出入口帶寬分配。這樣既能確保對(duì)數(shù)據(jù)丟失有嚴(yán)格要求和高優(yōu)先級(jí)應(yīng)用的性能防火墻,又不會(huì)“餓死”,低優(yōu)先級(jí)的應(yīng)用。
管理問(wèn)題
由于網(wǎng)絡(luò)設(shè)施、應(yīng)用不斷增加,網(wǎng)絡(luò)用戶所需的IP地址數(shù)量持續(xù)增長(zhǎng),對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)管理,網(wǎng)絡(luò)安全處理能力的大小是VPN解決方案好壞的至關(guān)緊要的區(qū)分。VPN是公司對(duì)外的延伸,因此VPN要有一個(gè)固定管理方案以減輕管理、報(bào)告等方面負(fù)擔(dān)。管理平臺(tái)要有一個(gè)定義安全政策的簡(jiǎn)單方法,將安全政策進(jìn)行分布,并管理大量設(shè)備論文的格式。
2.2基于角色訪問(wèn)的權(quán)限控制策略
農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)信息系統(tǒng)含有大量的數(shù)據(jù)對(duì)象,與這些對(duì)象有關(guān)的用戶數(shù)量也非常多,所以用戶權(quán)限管理工作非常重要。
目前權(quán)根控制方法很多,我們采用基于RBAC演變的權(quán)限制制思路。在RBAC之中,包含用戶、角色、目標(biāo)、操作、許可權(quán)五個(gè)基本數(shù)據(jù)元素,權(quán)限被賦予角色,而不是用戶,當(dāng)一個(gè)角色被指定給一個(gè)用戶時(shí),此用戶就擁有了該角色所包含的權(quán)限[2]。角色訪問(wèn)控制策略主要是兩方面的工作:
(1)確定角色
根據(jù)系統(tǒng)作業(yè)流程的任務(wù),并結(jié)合實(shí)際的操作崗位劃分角色。角色分為高級(jí)別角色和代級(jí)別角色,低級(jí)別角色可以為高級(jí)別角色的子角色,高級(jí)別角色完全繼承其子角色的權(quán)限。
(2)分配權(quán)限策略
根據(jù)系統(tǒng)的實(shí)際功能結(jié)構(gòu)對(duì)系統(tǒng)功能進(jìn)行編碼,系統(tǒng)管理員可以創(chuàng)建、刪除角色所具有的權(quán)限,以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后,此時(shí)角色不發(fā)生沖突,對(duì)該角色的權(quán)限不能輕易進(jìn)行修改,以免造成由于修改角色權(quán)限從而造成角色發(fā)生沖突。對(duì)用戶的權(quán)限控制通過(guò)功能菜單權(quán)限控制或者激活權(quán)限控制來(lái)具體實(shí)現(xiàn)。用戶登陸系統(tǒng)時(shí),系統(tǒng)會(huì)根據(jù)用戶的角色的并集,從而得到用戶的權(quán)限,由權(quán)限得到菜單項(xiàng)對(duì)該用戶的可視屬性是true/false,從而得到用戶菜單。
2.3基于數(shù)據(jù)加密的數(shù)據(jù)安全策略
在農(nóng)產(chǎn)品商務(wù)系統(tǒng)中,數(shù)據(jù)庫(kù)系統(tǒng)作為計(jì)算機(jī)信息系統(tǒng)核心部件,數(shù)據(jù)庫(kù)文件作為信息的聚集體,其安全性將是重中之重。
1)數(shù)據(jù)庫(kù)加密系統(tǒng)措施
(1)在用戶進(jìn)入系統(tǒng)進(jìn)行兩級(jí)安全控制
這種控制可以采用多種方式,包括設(shè)置數(shù)據(jù)庫(kù)用戶名和口令,或者利用IC卡讀寫(xiě)器或者指紋識(shí)別器進(jìn)行用戶身份認(rèn)證。
2)防止非法復(fù)制
對(duì)于服務(wù)器來(lái)說(shuō)防火墻,可以采用軟指紋技術(shù)防止非法復(fù)制,當(dāng)然,權(quán)限控制、備份/復(fù)制和審計(jì)控制也是實(shí)行的一樣。
3)安全的數(shù)據(jù)抽取方式
提供兩種卸出和裝入數(shù)據(jù)庫(kù)中的加密數(shù)據(jù)的方式:其一是用密文式卸出,這種卸出方式不解密,卸出的數(shù)據(jù)還是密文,在這種模式下,可直接使用DBMS提供的卸出、裝入工具;其二是用明文方式卸出,這種卸出方式需要解密,卸出的數(shù)據(jù)明文,在這種模式下,可利用系統(tǒng)專用工具先進(jìn)行數(shù)據(jù)轉(zhuǎn)換,再使用DBMS提供的卸出、裝入工具完成[3]。
3結(jié)束語(yǔ)
隨著信息化技術(shù)的快速發(fā)展,農(nóng)產(chǎn)品電子商務(wù)創(chuàng)新必須適應(yīng)新的變化,必須充分考慮信息安全因素與利用信息安全技術(shù),這樣才能實(shí)現(xiàn)農(nóng)產(chǎn)品電子商務(wù)業(yè)務(wù)快速增長(zhǎng),本文所述的安全策略,對(duì)當(dāng)前實(shí)施電子商務(wù)有一定效果的,是值得推介應(yīng)用的。
參考文獻(xiàn):
[1]盧華玲.電子商務(wù)安全技術(shù)研究[J].重慶工學(xué)院學(xué)報(bào)(自然科學(xué)版),2007,(12):71-73.
[2]唐文龍.基于角色訪問(wèn)控制在農(nóng)產(chǎn)品電子商務(wù)系統(tǒng)中的應(yīng)用[j]. 大眾科技.34-35
[3]張立克.電子商務(wù)及其安全保障技術(shù)[J].水利電力機(jī)械,2007,29(2):69-74.
論文摘要:縣級(jí)供電企業(yè)在推進(jìn)信息化過(guò)程中,普遍存在著成本過(guò)大,安全系數(shù)較低以及建設(shè)周期長(zhǎng)等問(wèn)題。結(jié)合廬江供電公司在開(kāi)展城鄉(xiāng)營(yíng)銷(xiāo)管理信息化建設(shè)中出現(xiàn)的問(wèn)題進(jìn)行分析,提出利用VPN實(shí)現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)的解決方案,并分析了下一步信息化的主攻方向。
0引言
隨著電力信自、化水平的不斷提高,縣級(jí)供電企業(yè)綜合管理信息系統(tǒng)開(kāi)始逐步建立,但基層變電站、鄉(xiāng)鎮(zhèn)供電聽(tīng)與供電公司局域網(wǎng)聯(lián)網(wǎng)問(wèn)題嚴(yán)重地制約著縣級(jí)供電企業(yè)信息系統(tǒng)實(shí)用化水平的發(fā)展和信息資源的充分有效利用,這與供電企業(yè)管理發(fā)展的目標(biāo)追求以及客戶的需求是極不適應(yīng)的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設(shè)工作受地形、人員素質(zhì)、資金投人等因素影響,解決遠(yuǎn)程站點(diǎn)聯(lián)網(wǎng)問(wèn)題成為縣級(jí)供電企業(yè)信自、網(wǎng)絡(luò)建設(shè)中的突出矛盾。
1廬江供電公司信息化建設(shè)現(xiàn)狀
安徽廬江供電公司的信息化上作起步較晚,供電公司總部于X004年實(shí)現(xiàn)了生產(chǎn)M I S與辦公自動(dòng)化OA的單軌制運(yùn)行,總部信息化運(yùn)行提高了企業(yè)的整體管理水平和辦公效率。如今,廬江供電公司總部已運(yùn)行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、檔案管理系統(tǒng)、Web系統(tǒng)、財(cái)務(wù)管理系統(tǒng),現(xiàn)有的服務(wù)器包括:生產(chǎn)服務(wù)器、辦公自動(dòng)化服務(wù)器、檔案服務(wù)器、Web服務(wù)器、財(cái)務(wù)服務(wù)器。力、公用微機(jī)80多臺(tái),每位管理人員以及每個(gè)班組都配有微機(jī)。
在實(shí)施信息化建設(shè)與管理中,深深體會(huì)到廬江供電公司信息化建設(shè)不僅可降低財(cái)務(wù)管理、物資管理、項(xiàng)目管理、資料管理等方面的管理成本,并在生產(chǎn)管理中可將所有設(shè)備信息進(jìn)行分類編號(hào),輸人數(shù)據(jù)庫(kù),實(shí)行設(shè)備、設(shè)施缺陷管理,科學(xué)地制定缺陷檢修計(jì)劃,提高設(shè)備運(yùn)行可靠度,降低故障率,提高供電可靠性;同時(shí),廬江供電公司的營(yíng)銷(xiāo)管理信息系統(tǒng)建有業(yè)擴(kuò)子系統(tǒng)、電量電費(fèi)f系統(tǒng)、用電檢查子系統(tǒng)、綜合查詢系統(tǒng),通過(guò)這些系統(tǒng),可方便與客戶的交流、溝通,節(jié)約成本開(kāi)支,實(shí)現(xiàn)科學(xué)化營(yíng)銷(xiāo)流程管理。這些管理信息系統(tǒng)的應(yīng)用,加強(qiáng)J’企業(yè)的規(guī)范化管理,增強(qiáng)了管理的科學(xué)化水平,減輕了工作人員的負(fù)擔(dān),提高了企業(yè)的經(jīng)濟(jì)效益。
為此,廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營(yíng)銷(xiāo)MIS應(yīng)用系統(tǒng)的推進(jìn)力度,進(jìn)一步減輕了抄表人員的負(fù)擔(dān),縮短了開(kāi)票時(shí)間,加強(qiáng)了電費(fèi)電價(jià)的控制與管理,提高了營(yíng)銷(xiāo)管理自動(dòng)化水平。全縣17個(gè)鄉(xiāng)鎮(zhèn)供電聽(tīng),都使用同一版本的營(yíng)銷(xiāo)MIS應(yīng)用系統(tǒng)。舟個(gè)供電聽(tīng)都有3臺(tái)以上的微機(jī),其中1臺(tái)所長(zhǎng)用于日常辦公,另外2臺(tái)分別作為用電MIS系統(tǒng)的服務(wù)器與客戶端,并兼為所里其他工作人員辦公使用。其中,已有10個(gè)供電所可利用變電站的光纖系統(tǒng),與廬江供電公司總部實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián),提高了工作效率,節(jié)省了開(kāi)支。其余7個(gè)供電所仍不能夠?qū)崿F(xiàn)信息化共享,這些供電所非常希望盡快網(wǎng)絡(luò)互聯(lián)。
2采用VPN方案推進(jìn)供電所信息化建設(shè)進(jìn)程
這些供電所若使用以前的光纖聯(lián)網(wǎng)方式,不僅投資大,施工工期長(zhǎng),而且日后的維護(hù)量也多??紤]到以上原因,為盡快解決其余7個(gè)光纖未開(kāi)通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡(luò)互聯(lián)問(wèn)題,達(dá)到信息、共享,推廣鄉(xiāng)鎮(zhèn)供電所的營(yíng)銷(xiāo)MIS系統(tǒng)應(yīng)用,公司決定采用虛擬局域網(wǎng)(VPN),在現(xiàn)有設(shè)備基礎(chǔ)上,進(jìn)行簡(jiǎn)單的改造。通過(guò)在VPN網(wǎng)關(guān)中配置7個(gè)供電所的用戶、密碼以及訪問(wèn)策略,并分別在7個(gè)供電所安裝VPN客戶端,安裝公司的MIS應(yīng)用系統(tǒng),實(shí)現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)。VPN技術(shù)實(shí)際上就是綜合利用包封裝技術(shù)、加密技術(shù)、密鑰交換技術(shù)、PKI技術(shù),可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN , Virtual Private Network ) 。 VPN是一個(gè)被加密或封裝的通信過(guò)程,該過(guò)程把數(shù)據(jù)安全地從一端傳送到另一端,這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來(lái)保障,而數(shù)據(jù)是在一個(gè)開(kāi)放的、沒(méi)有安全保障的、經(jīng)過(guò)路由傳送的網(wǎng)絡(luò)上傳輸?shù)?。VPN技術(shù)能夠有效解決信息安全傳輸中的“機(jī)密性、完整性、不可抵賴性”問(wèn)題。 轉(zhuǎn)貼于
3方案效果比較
對(duì)2種方案的可能性進(jìn)行了比較,如圖1所示。如果廬江供電公司全部運(yùn)用光纖法來(lái)實(shí)現(xiàn)供電所的網(wǎng)絡(luò)互聯(lián),每個(gè)供電所的材料費(fèi)、施工費(fèi)按3.5萬(wàn)元,施工工期10天計(jì)算,7個(gè)供電所就需要3.5 x 7=24.5萬(wàn)元,需要10 x 7=70天。若這7個(gè)供電所采用VPN方案,只需要購(gòu)買(mǎi)VPN網(wǎng)關(guān)1臺(tái),價(jià)值3.5萬(wàn)元和7個(gè)客戶端鑰匙,價(jià)值7 x 480=3360元,5天內(nèi)就能完成7個(gè)供電所安裝。因此,應(yīng)用VPN方案,廬江供電公司就能節(jié)省資金達(dá)24 . 5-3 . 836=20.664萬(wàn)元,縮短工期65天,取得的直接效益是顯著的,并省去了今后光纖線路維護(hù)所需要工作量。
現(xiàn)在,這7個(gè)鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng),在局域網(wǎng)下載內(nèi)容的速度可達(dá)350 kb/s,生產(chǎn)MIS系統(tǒng)響應(yīng)時(shí)間為2--3 s,辦公自動(dòng)化系統(tǒng)瀏覽公司收發(fā)的文件、接受電子郵件的時(shí)間因文件的大小不同而有所差別,1 MB的文件大約需要8 s。由于ADSL是非對(duì)稱數(shù)字環(huán)路,所以發(fā)送電子郵件的速度要慢得多,1 MB的文件大約需要18s。從VPN方案運(yùn)行效果來(lái)看,完全能夠滿足廬江供電公司網(wǎng)絡(luò)發(fā)展及MIS系統(tǒng)應(yīng)用的需要。
4下一步信息化建設(shè)的主攻方向
目前,廬江供電所信息化還處于初級(jí)階段,對(duì)電力企業(yè)信息化建設(shè)的目標(biāo)還沒(méi)有完全形成統(tǒng)一的管理標(biāo)準(zhǔn);同時(shí),廬江供電公司在實(shí)施VPN技術(shù)后,也清楚地看出:VPN是一種虛擬專用網(wǎng)絡(luò),而不是一種真正的專用網(wǎng)絡(luò)。因此,廬江供電公司打算設(shè)立嚴(yán)格的管理制度,包括嚴(yán)格的權(quán)限管理,無(wú)關(guān)人員無(wú)權(quán)查看、改動(dòng)數(shù)據(jù),VPN客戶端的用戶與密碼管理等,建立起一套計(jì)算機(jī)管理操作等規(guī)章制度,使整個(gè)網(wǎng)絡(luò)安全有序地運(yùn)行。此外,該公司今后還將加大對(duì)供電所使用人員的計(jì)算機(jī)培訓(xùn)力度,包括計(jì)算機(jī)知識(shí)在內(nèi)的應(yīng)用培訓(xùn),促進(jìn)操作人員更好地使用軟件,提高操作人員計(jì)算機(jī)水平,也為計(jì)算機(jī)應(yīng)用在企業(yè)內(nèi)部得到更好地發(fā)展起到一定的推動(dòng)作用,并充實(shí)培養(yǎng)供電聽(tīng)計(jì)算機(jī)網(wǎng)絡(luò)管理人員、信息安全管理人員,把信息化建設(shè)中的培訓(xùn)工作貫穿始終,進(jìn)而拓寬信息化的覆蓋面,保證信息、化工作的健康發(fā)展,讓VPN技術(shù)更好地為廬江供電公司信息化、專業(yè)化、現(xiàn)代化服務(wù)。
5結(jié)語(yǔ)
【關(guān)鍵詞】隧道技術(shù),應(yīng)用,研究
中圖分類號(hào):U45文獻(xiàn)標(biāo)識(shí)碼: A
一、前言
由于網(wǎng)絡(luò)的發(fā)展和完善以及速度的不斷提高,越來(lái)越多的公司逐步進(jìn)行運(yùn)用隧道技能。大規(guī)模的組建VPN網(wǎng)絡(luò)已經(jīng)成為一種趨勢(shì),這種技術(shù)越來(lái)越多地遭到用戶的廣泛重視。
二、VPN的隧道技術(shù)
VPN技術(shù)比較復(fù)雜,它涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù),是一項(xiàng)交叉科學(xué)。具體來(lái)講,目前VPN主要采用下列四項(xiàng)技術(shù)來(lái)保證其安全,這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。隧道技術(shù)是VPN的基本技術(shù),類似于點(diǎn)對(duì)點(diǎn)連接技術(shù),它在公用網(wǎng)中建立一條數(shù)據(jù)通道(隧道),讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道技術(shù)的基本工作原理是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式之中,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,取出負(fù)載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑被稱為“隧道”。
三、隧道技術(shù)
1、第二層隧道協(xié)議
第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。創(chuàng)建隧道的過(guò)程類似于在雙方之間建立會(huì)話;隧道的兩個(gè)端點(diǎn)必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量,如地址分配,加密或壓縮等參數(shù)。第二層隧道協(xié)議有L2F、PPTP、L2TP等。
(一)、點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)
PPTP將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報(bào)內(nèi)通過(guò)IP網(wǎng)絡(luò),如Internet傳送。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。PPTP使用一個(gè)TCP連接對(duì)隧道進(jìn)行維護(hù),使用通用路由封裝(GRE)技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過(guò)隧道傳送??梢詫?duì)封裝PPP楨中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。
(二)、第2層轉(zhuǎn)發(fā)(L2F)
L2F是Cisco公司提出的隧道技術(shù),作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器將撥號(hào)數(shù)據(jù)流封裝在PPP楨內(nèi)通過(guò)廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器)。L2F服務(wù)器把數(shù)據(jù)包解包之后重新注入(inject)網(wǎng)絡(luò)。與PPTP和L2TP不同,L2F沒(méi)有確定的客戶方。應(yīng)當(dāng)注意L2F只在強(qiáng)制隧道中有效。
(三)、第2層隧道協(xié)議(L2TP)
L2TP結(jié)合了PPTP和L2F協(xié)議。設(shè)計(jì)者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢(shì)。L2TP是一種網(wǎng)絡(luò)層協(xié)議,支持封裝的PPP楨在IP,X.25,楨中繼或ATM等的網(wǎng)絡(luò)上進(jìn)行傳送。當(dāng)使用IP作為L(zhǎng)2TP的數(shù)據(jù)報(bào)傳輸協(xié)議時(shí),可以使用L2TP作為Internet網(wǎng)絡(luò)上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。
2、第三層隧道協(xié)議
IPSec是指IETF(因特網(wǎng)工程任務(wù)組)以RFC形式公布的一組安全I(xiàn)P協(xié)議集,是為IP及其以上協(xié)議(TCP和UDP等)提供安全保護(hù)的安全協(xié)議標(biāo)準(zhǔn)。其目標(biāo)是把安全機(jī)制引入IP協(xié)議,通過(guò)使用密碼學(xué)方法支持機(jī)密性和認(rèn)證服務(wù)等安全服務(wù)。IPSec通過(guò)在IP協(xié)議中增加兩個(gè)基于密碼的安全機(jī)制―認(rèn)證頭(AH)和封裝安全載荷(ESP)來(lái)支持IP數(shù)據(jù)報(bào)的認(rèn)證、完整性和機(jī)密性。IPSec協(xié)議族包括:IP安全架構(gòu)、認(rèn)證頭AH、封閉安全載荷ESP和Internet密鑰交換(IKE)等協(xié)議。IP安全架構(gòu)協(xié)議指定了IPSec的整個(gè)框架,是IP層安全的標(biāo)準(zhǔn)協(xié)議。AH協(xié)議定義了數(shù)據(jù)源認(rèn)證和完整性驗(yàn)證的應(yīng)用方法。ESP為IP數(shù)據(jù)報(bào)文提供數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)、抗重播和數(shù)據(jù)加密服務(wù)。IKE為AH和ESP提供密鑰交換機(jī)制,在實(shí)際進(jìn)行IP通信
時(shí),可以根據(jù)實(shí)際安全需求,同時(shí)使用AH和ESP協(xié)議,或選擇使用其中的一種。
3、新興的隧道協(xié)議
SSL是Netscape公司設(shè)計(jì)的主要用于web的安全傳輸協(xié)議。SSL被設(shè)計(jì)為使TCP提供一個(gè)可靠的端到端的安全服務(wù),它不是一個(gè)單一的協(xié)議,而是由多個(gè)協(xié)議組成記錄協(xié)議定義了要傳輸數(shù)據(jù)的格式,它位于可靠的傳輸協(xié)議TCP之上,用于各種更高層協(xié)議的封裝。記錄協(xié)議主要完成分組和組合,壓縮和解壓縮,以及消息認(rèn)證和加密等功能。所有傳輸數(shù)據(jù)包括握手消息和應(yīng)用數(shù)據(jù)都被封裝在記錄中。握手協(xié)議允許服務(wù)器與客戶機(jī)在應(yīng)用程序傳輸和接收數(shù)據(jù)之前互相認(rèn)證、協(xié)商加密算法和密鑰。通信雙方首先通過(guò)SSL握手協(xié)議建立客戶端與服務(wù)器之間的安全通道,SSL記錄協(xié)議通過(guò)分段、壓縮、添加MAC以及加密等操作步驟把應(yīng)用數(shù)據(jù)封裝成多條記錄,最后再進(jìn)行傳輸。
四、隧道技術(shù)的應(yīng)用模型
1、端到端安全應(yīng)用
IPSec存在于一個(gè)主機(jī)或終端系統(tǒng)時(shí),每一個(gè)離開(kāi)和進(jìn)入的PI數(shù)據(jù)包都可得到安全保護(hù)。PI包的安全保護(hù)可以從數(shù)據(jù)源一直到數(shù)據(jù)被接收。制定相應(yīng)的安全策略,一對(duì)獨(dú)立的SA可以保護(hù)兩個(gè)端點(diǎn)之間的全部通信―Tenlet、SMTP、WEB和FTP等?;蛘?,根據(jù)兩個(gè)端點(diǎn)之間通信的協(xié)議的不同(TCP和UDP)和端口的不同,分別用不同的SA保護(hù)兩個(gè)端點(diǎn)之間的不同的通信。在這種模式下,通信的端點(diǎn)同時(shí)也是PISec的端點(diǎn)。所以,端到端安全可以在傳送模式下,
利用PISec來(lái)完成;也可以在隧道模式下,利用額外IP頭的新增來(lái)提供端到端的安全保護(hù)。
2、虛擬專用網(wǎng)
IPSec存在于路山器等網(wǎng)絡(luò)互連設(shè)備時(shí),司一以構(gòu)建虛擬專用網(wǎng)VPN。VPN是“虛擬的”,因?yàn)樗皇且粋€(gè)物理的、明顯存在的網(wǎng)絡(luò)。兩個(gè)不同的物理網(wǎng)絡(luò)通過(guò)一條穿越公共網(wǎng)絡(luò)的安全隧道連接起來(lái),形成一個(gè)新的網(wǎng)絡(luò)VPN。VPN是“專川的”,因?yàn)楸患用艿乃淼揽梢蕴峁?shù)據(jù)的機(jī)密性。而今,人們從傳統(tǒng)的專線網(wǎng)絡(luò)轉(zhuǎn)移到利用公共網(wǎng)絡(luò)的網(wǎng)絡(luò),逐漸意識(shí)到節(jié)省費(fèi)用的VPN重耍性。通過(guò)在路山器上配置PISec,就可以構(gòu)建一個(gè)VPN。在路山器的一端,連接著一個(gè)受保護(hù)的私有網(wǎng)絡(luò),對(duì)這個(gè)網(wǎng)絡(luò)的訪問(wèn)要受到嚴(yán)格的擰制。在另一端連技的是一個(gè)不安全的網(wǎng)絡(luò)帳Internet。在兩個(gè)路山器之間的公共網(wǎng)絡(luò)上建立一條安全隧道,通信就可以從一個(gè)受保護(hù)的本地子網(wǎng)安全地傳送到另一個(gè)受保護(hù)的遠(yuǎn)程子網(wǎng)。這就是VPN,在VPN中,母一個(gè)具有IPSec的路由器都是一個(gè)網(wǎng)絡(luò)聚合點(diǎn)。在兩個(gè)PISec的路山器之間通常使用隧道模式,可以采用多種安全策略,建立一對(duì)或多對(duì)SA,試圖對(duì)VPN進(jìn)布J屯通信分析將是非常困難的。如果在一個(gè)本地私有網(wǎng)絡(luò)中的數(shù)據(jù)包的目的地是VPN的遠(yuǎn)程網(wǎng)絡(luò)―它是從一個(gè)路由器發(fā)送到另一個(gè)路山器的、加密的數(shù)據(jù)包。
3、移動(dòng)IP
在端到端安IP全中,數(shù)據(jù)包由產(chǎn)生和l或接收通信的那個(gè)主機(jī)進(jìn)行加密和解密.在VPN中,
網(wǎng)絡(luò)中的一個(gè)路由器對(duì)一個(gè)受安全保護(hù)的網(wǎng)絡(luò)中的主機(jī)(或多個(gè))的數(shù)據(jù)包進(jìn)行加密和解密。這兩個(gè)組合一般稱為移動(dòng)IP。移動(dòng)IP一般是獨(dú)立的,它要求計(jì)問(wèn)受安全保護(hù)的網(wǎng)絡(luò),它是一個(gè)移動(dòng)的客戶,不停留在某個(gè)固定的地方。他必須通過(guò)旅店、或任何一個(gè)可以進(jìn)行internetPOP的地方,安全地訪問(wèn)公司資源。在移動(dòng)IP的方案中,移動(dòng)主機(jī)和路由器都支持PISec,它們之間可以建立一條安個(gè)隧道。它們能夠在外出數(shù)據(jù)包抵達(dá)通信線路之前對(duì)它進(jìn)行安全保護(hù):能夠在對(duì)進(jìn)入包進(jìn)行IP處理之前,驗(yàn)證它們的安全保護(hù)。具有PISec的路山器保護(hù)的是移動(dòng)主機(jī)想要訪問(wèn)的那個(gè)網(wǎng)絡(luò),它也可以是支持V戶N的路山器,允許其它的移動(dòng)主機(jī)進(jìn)行安全的遠(yuǎn)程訪問(wèn)。在這種方案中,一方是移動(dòng)主機(jī),它既是通信方。另一方將PISec當(dāng)作一項(xiàng)服務(wù)提供給另一個(gè)網(wǎng)絡(luò)實(shí)體。
4、嵌套式隧道
有時(shí),需要支持多級(jí)網(wǎng)絡(luò)安全保護(hù)。比如下面一個(gè)例子:一個(gè)企業(yè)有一個(gè)安全網(wǎng)關(guān),以防止其網(wǎng)絡(luò)受到競(jìng)爭(zhēng)者或黑客的侵犯和攻擊,而企業(yè)內(nèi)部另有一個(gè)安全網(wǎng)關(guān),防止某些內(nèi)部員工進(jìn)入敏感的子網(wǎng)。比如銀行系統(tǒng)的企業(yè)網(wǎng)。這種情況下,如果某人希望對(duì)網(wǎng)絡(luò)內(nèi)部的保護(hù)子網(wǎng)進(jìn)行訪問(wèn),就必須使用嵌套式隧道。
5、鏈?zhǔn)剿淼?/p>
一種常見(jiàn)的網(wǎng)絡(luò)安全配置是Hub-and-spoke。從一個(gè)網(wǎng)絡(luò)橫過(guò)Hub-and-spoke網(wǎng)絡(luò),到達(dá)另一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包都由一個(gè)安全網(wǎng)關(guān)加密,由中心路由器解密,再加密,并由保護(hù)遠(yuǎn)程網(wǎng)絡(luò)的另一個(gè)安全網(wǎng)關(guān)解密。
6、隧道交換模型
如果從交換的角度來(lái)看,它也可以稱為隧道交換模型。在中心路由器所連接的四個(gè)網(wǎng)絡(luò)可以是不同類型的網(wǎng)絡(luò),隧道的實(shí)現(xiàn)方式也可以不同,但是,不同網(wǎng)絡(luò)的兩個(gè)節(jié)點(diǎn)在進(jìn)行數(shù)據(jù)傳輸時(shí),并不關(guān)心隧道的實(shí)現(xiàn)媒體,隧道可以接力的方式進(jìn)行數(shù)據(jù)的傳遞。從安全的角度,假設(shè)每一個(gè)隧道是安全的,且中心路由器也是安全的,那么任何兩個(gè)節(jié)點(diǎn)之間的通信也應(yīng)該是安全的。假設(shè)隧道間彼此不能信任,那么可以只將隧道的連接看作是一條數(shù)據(jù)的傳輸通道,再使用前面所論述的隧道模型實(shí)現(xiàn)安全保護(hù),如點(diǎn)到點(diǎn)的隧道安全模式。
五、結(jié)束語(yǔ)
由于Internet基礎(chǔ)設(shè)施的完善,隧道技能必將將在網(wǎng)建等各范疇,發(fā)揮著越來(lái)越重要的效果。實(shí)現(xiàn)隧道技能的多種多樣,它們各有各的優(yōu)勢(shì),如今,市場(chǎng)上大多數(shù)都在使用VPN這類技能。
參考文獻(xiàn)
[1]毛小兵,VPN演進(jìn)之隧道交換.《計(jì)算機(jī)世界》2000
[2]沈鑫剡.IP交換網(wǎng)原理、技術(shù)及實(shí)現(xiàn)[M].北京:人民郵電出版社,2003.
論文關(guān)鍵詞:數(shù)字資源,遠(yuǎn)程服務(wù),虛擬專用網(wǎng)(VPN,服務(wù)器
隨著信息技術(shù)的不斷進(jìn)步,數(shù)字資源的種類和數(shù)量日益增長(zhǎng),我國(guó)不同層次、不同類別的高校都不同程度地采購(gòu)或引進(jìn)了各種數(shù)字資源,以滿足本校讀者對(duì)數(shù)字資源的利用需求。但由于大多數(shù)數(shù)字資源出于版權(quán)保護(hù)和商業(yè)利益的考慮,往往僅限于校園網(wǎng)內(nèi)使用,使其合法用戶只能在本校 IP 地址范圍內(nèi)的辦公室、機(jī)房或圖書(shū)館等地使用,而當(dāng)其回家或出差在外時(shí)就將無(wú)法訪問(wèn)和使用這些資源, 這樣,不僅損害了圖書(shū)館合法用戶的利益,也大大降低了本館所購(gòu)數(shù)字資源的利用率。針對(duì)這種情況,可以采取以下應(yīng)對(duì)措施,為本校合法用戶提供校外遠(yuǎn)程訪問(wèn)數(shù)字資源服務(wù)。
1構(gòu)建虛擬專用網(wǎng)(“Virtual Private Network”,簡(jiǎn)稱VPN)
圖書(shū)館的電子資源因受IP地址的限制,目前只能被校園網(wǎng)內(nèi)用戶訪問(wèn)。為便于住校外教工、學(xué)生利用圖書(shū)館的電子資源,可引入虛擬專用網(wǎng)(“Virtual Private Network”,簡(jiǎn)稱VPN)技術(shù)來(lái)解決這個(gè)問(wèn)題,獲得VPN授權(quán)的用戶,可在非校園網(wǎng)內(nèi)使用圖書(shū)館的電子資源。
1.1虛擬專用網(wǎng)的簡(jiǎn)介
簡(jiǎn)單地講,VPN就是利用開(kāi)放的公眾網(wǎng)絡(luò)建立專用數(shù)據(jù)傳輸通道,將遠(yuǎn)程的分支辦公室、商業(yè)伙伴、移動(dòng)辦公人員等連接起來(lái),并且提供安全的端到端的數(shù)據(jù)通信的一種廣域網(wǎng)技術(shù)。VPN本質(zhì)上是一種網(wǎng)絡(luò)互聯(lián)型業(yè)務(wù),通過(guò)共享的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)滿足企業(yè)互聯(lián)需求,在共享使用網(wǎng)絡(luò)資源的同時(shí)具有與專網(wǎng)一樣保證用戶網(wǎng)絡(luò)的安全性、可靠性、可管理性。VPN業(yè)務(wù)并不限制網(wǎng)絡(luò)的使用,它既可以構(gòu)建于因特網(wǎng)或互聯(lián)
網(wǎng)運(yùn)營(yíng)商(ISP)的 IP網(wǎng)絡(luò)之上,也可以構(gòu)建于幀中繼(FR)或異步傳輸模式(ATM)等網(wǎng)絡(luò)基礎(chǔ)架構(gòu)之上,如圖1.1 所示。簡(jiǎn)言之,通過(guò)利用VPN 技術(shù),就可以在學(xué)校內(nèi)部網(wǎng)絡(luò)與外網(wǎng)之間建立一個(gè)虛擬的安全通道,從而實(shí)現(xiàn)學(xué)校充分利用圖書(shū)館資源的需求。
1.2虛擬專用網(wǎng)(VPN)的優(yōu)勢(shì)
1.2.1 運(yùn)行成本較低
VPN只需要通過(guò)現(xiàn)有的公用網(wǎng)來(lái)建立,不需要另外鋪設(shè)如光纖之類的物理線路,減少了專線的租用數(shù)量,同時(shí)也減少了數(shù)據(jù)傳輸過(guò)程中的輔助設(shè)備,而且VPN本身帶有路由功能,節(jié)省了費(fèi)用和資源,因此極大地降低了運(yùn)行成本。
1.2.2 具有可靠的安全性
VPN采用了隧道技術(shù)、數(shù)據(jù)加解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證等獨(dú)特的專有技術(shù)可以實(shí)現(xiàn)在內(nèi)部服務(wù)器上對(duì)用戶資格的認(rèn)證,點(diǎn)對(duì)點(diǎn)加密及各種網(wǎng)絡(luò)安全加密,確保了本地網(wǎng)絡(luò)和數(shù)據(jù)傳輸?shù)陌踩?,保障了圖書(shū)館網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。
1.2.3 靈活的運(yùn)用方式
只要網(wǎng)絡(luò)順暢,VPN技術(shù)就可以將圖書(shū)館內(nèi)部的網(wǎng)絡(luò)設(shè)備與外網(wǎng)實(shí)現(xiàn)安全互聯(lián)。這樣,圖書(shū)館的資源就能夠通過(guò)該技術(shù)傳輸語(yǔ)言、圖像和數(shù)據(jù)等,為廣大師生提供了靈活便捷的使用方 式。
1.2.4 易用性
客戶端不需要復(fù)雜的配置,不在用戶操作系統(tǒng)安裝過(guò)多的插件和程序,不改變用戶使用習(xí)慣和應(yīng)用快捷方式,一鍵式操作,簡(jiǎn)單易用;可以使讀者在任何一臺(tái)電腦上安全便捷地訪問(wèn)圖書(shū)館的電子資源。
1.2.5 便于管理
對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理,并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái),具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析,及可提供故障自動(dòng)報(bào)警。
1.3 圖書(shū)館如何利用VPN技術(shù)
1.3.1 應(yīng)用VPN技術(shù)授權(quán)校園網(wǎng)合法IP段內(nèi)的用戶使用數(shù)據(jù)
例如我院圖書(shū)館每年都要購(gòu)買(mǎi)大量的電子資源,如CNKI、萬(wàn)方、維普、EBSCO數(shù)據(jù)庫(kù)、英語(yǔ)學(xué)習(xí)中心(SRC)等,由于數(shù)字版權(quán)的原因,這些數(shù)字資源都有限制訪問(wèn)的IP地址范圍。圖書(shū)館支付費(fèi)用以后,數(shù)據(jù)庫(kù)服務(wù)商根據(jù)訪問(wèn)者的IP地址來(lái)判斷是否是經(jīng)過(guò)授權(quán)的用戶。圖書(shū)館應(yīng)用VPN技術(shù)就可以授權(quán)校園網(wǎng)合法IP段內(nèi)的用戶使用數(shù)據(jù),無(wú)需額外支持費(fèi)用,使圖書(shū)館數(shù)字資源得到了最大程度的共享。
1.3.2 應(yīng)用VPN技術(shù)以遠(yuǎn)程訪問(wèn)的形式訪問(wèn)圖書(shū)館數(shù)據(jù)
由于數(shù)字版權(quán)的原因,校園網(wǎng)及高校數(shù)字圖書(shū)館的大多數(shù)資源都不對(duì)外開(kāi)放。然而又因?yàn)閷W(xué)校人群的特殊性,有的教職工居住在校外,使用的是公網(wǎng)IP,不在校園網(wǎng)IP范圍內(nèi),無(wú)法在家或在出差的時(shí)候使用圖書(shū)館和校園網(wǎng)內(nèi)的其他資源。暑假、寒假在家的學(xué)生同樣是由于IP問(wèn)題無(wú)法訪問(wèn)學(xué)校圖書(shū)館數(shù)據(jù)。應(yīng)用VPN技術(shù)就可以輕松解決這一長(zhǎng)期困擾圖書(shū)館的問(wèn)題。用戶只需要向圖書(shū)館技術(shù)管理人員申請(qǐng)認(rèn)證證書(shū)和注冊(cè)賬戶,就能成為遠(yuǎn)程訪問(wèn)系統(tǒng)的合法用戶。在本機(jī)上安裝VPN 客戶端,然后登陸該賬戶就能通過(guò)Internet訪問(wèn)圖書(shū)館資源。用戶無(wú)需作任何調(diào)整,網(wǎng)絡(luò)配置也不必作任何改動(dòng)。
2、除了上述的解決方案,還可以利用遠(yuǎn)程數(shù)字圖書(shū)館軟件、RASDL以及Cookie跨域名技術(shù);由圖書(shū)館咨詢?nèi)藛T提供全文;利用檢索充值卡;預(yù)設(shè)賬戶和密碼等等的方案來(lái)解決遠(yuǎn)程訪問(wèn)問(wèn)題。
3、結(jié)束語(yǔ)
隨著校外合法用戶訪需求的增長(zhǎng),校外訪問(wèn)服務(wù)的開(kāi)展顯得越來(lái)越急切和重要,圖書(shū)館應(yīng)綜合運(yùn)用多種技術(shù)方式,盡可能地為他們提供方便。同時(shí),圖書(shū)館應(yīng)加強(qiáng)電子資源的本地鏡像建設(shè),以減少合法使用受到的限制。
【參考文獻(xiàn)】
[1] 王彩虹.局域網(wǎng)內(nèi)地方高校遠(yuǎn)程訪問(wèn)服務(wù)模式.圖書(shū)館學(xué)刊 [J].2011,(1).
[2] 王健.利用VPN技術(shù)實(shí)現(xiàn)高校圖書(shū)館數(shù)字資源的遠(yuǎn)程訪問(wèn)[J].圖書(shū)館學(xué)研究. 2006,(5).
[3] 郭峰.高校圖書(shū)館VPN網(wǎng)絡(luò)建設(shè)研究.情報(bào)探索[J].2010, (2).
論文關(guān)鍵詞:VPN,校園網(wǎng),遠(yuǎn)程訪問(wèn)
1 發(fā)展校園網(wǎng)的重要性
近幾年國(guó)家對(duì)教育工作日益重視,獨(dú)立學(xué)院規(guī)模不斷擴(kuò)大。在發(fā)展過(guò)程中,各獨(dú)立學(xué)院都十分重視與母體學(xué)校的資源整合。
獨(dú)立學(xué)院與母體學(xué)校一般都建立了各自的校園網(wǎng)絡(luò),且均接入互聯(lián)網(wǎng),因?yàn)橹T多條件的制約,至今多數(shù)獨(dú)立學(xué)院與母體學(xué)校之間沒(méi)有專線相互連接,造成了校園網(wǎng)應(yīng)用水平極低的現(xiàn)象。各種應(yīng)用系統(tǒng),如教務(wù)管理系統(tǒng)、題庫(kù)系統(tǒng)和電子圖書(shū)管等教學(xué)資源無(wú)法實(shí)現(xiàn)共享,迫切需要實(shí)現(xiàn)統(tǒng)一管理和對(duì)資源的充分利用。獨(dú)立學(xué)院的教師一般是由三部分構(gòu)成:一是母體學(xué)校的教師;二是外聘教師;三是專職教師。母體學(xué)校的教師和外聘教師,這兩類教師往往在多個(gè)高校共同教學(xué)、科研和辦公。如何加強(qiáng)與這部分教師的聯(lián)系,提高教學(xué)、科研和辦公效率顯得尤為重要。
此外,傳統(tǒng)的Internet接入和傳輸服務(wù)缺少安全機(jī)制,服務(wù)質(zhì)量無(wú)法保證,難以滿足不同校區(qū)之間關(guān)鍵性數(shù)據(jù)實(shí)時(shí)安全傳輸和應(yīng)用的特定要求。所以,建立安全可靠的獨(dú)立學(xué)院與母體學(xué)校間校園網(wǎng)的連接,實(shí)現(xiàn)資源共享。為母體學(xué)校教師和外聘教師提供一種安全、高效、快捷的網(wǎng)路服務(wù),如登錄校內(nèi)OA系統(tǒng)、教務(wù)系統(tǒng)和電子圖書(shū)館系統(tǒng)等,是獨(dú)立學(xué)院校園網(wǎng)建設(shè)的當(dāng)務(wù)之急。
2 VPN工作原理及其主要優(yōu)點(diǎn)
虛擬專用網(wǎng)VPN(Virtual Private Network)就是利用公網(wǎng)來(lái)構(gòu)建專用的網(wǎng)絡(luò),它是通過(guò)特殊的硬件和軟件直接通過(guò)共享的IP網(wǎng)所建立的隧道來(lái)實(shí)現(xiàn)不同的網(wǎng)絡(luò)的組件和資源之間的相互連接, 并提供同專用網(wǎng)絡(luò)一樣的安全和功能保障。
VPN并不是某個(gè)單位專有的封閉線路或者是租用某個(gè)網(wǎng)絡(luò)服務(wù)商提供的封閉線路。但同時(shí)VPN 又具有專線的數(shù)據(jù)傳輸功能,因?yàn)閂PN 能夠像專線一樣在公共網(wǎng)絡(luò)上處理自己?jiǎn)挝粌?nèi)部的信息。它主要有以下幾個(gè)方面的優(yōu)點(diǎn):(1)成本低。VPN在設(shè)備的使用量上比專線式的架構(gòu)節(jié)省,故能使校園網(wǎng)絡(luò)的總成本降低。(2)網(wǎng)絡(luò)架構(gòu)彈性大。VPN的平臺(tái)具備完整的擴(kuò)展性,大至學(xué)校的主校區(qū)設(shè)備,小至各分校區(qū),甚至個(gè)人撥號(hào)用戶,均可被包含在整體的VPN架構(gòu)中,以致他們可以在任何地方,通過(guò)Internet網(wǎng)絡(luò)訪問(wèn)校園網(wǎng)內(nèi)部資源。(3)良好的安全性。VPN架構(gòu)中采用了多種安全機(jī)制,如信道、加密、認(rèn)證、防火墻及黑客偵防系統(tǒng)等,確保資料在公眾網(wǎng)絡(luò)中傳輸時(shí)不至于被竊?。蚴羌词贡桓`取了,對(duì)方亦無(wú)法讀取封包內(nèi)所傳送的資料。(4)管理方便。VPN 較少的網(wǎng)絡(luò)設(shè)備及物理線路,使網(wǎng)絡(luò)的管理較為輕松。不論分校或遠(yuǎn)程訪問(wèn)用戶的多少,只需通過(guò)互聯(lián)網(wǎng)的路徑即可進(jìn)入主校區(qū)網(wǎng)路。
3 獨(dú)立學(xué)院校園網(wǎng)絡(luò)建設(shè)中的VPN技術(shù)選擇及對(duì)策
選擇適當(dāng)?shù)腣PN技術(shù)可以提供安全、高效、快捷的網(wǎng)絡(luò)服務(wù),能有效的解決獨(dú)立學(xué)院當(dāng)前所面臨的校區(qū)分散、資源共享和遠(yuǎn)程辦公等實(shí)際問(wèn)題。
3.1技術(shù)選擇
VPN 可分為軟件VPN和硬件VPN。軟件VPN 具有成本低、實(shí)施方便等優(yōu)勢(shì)。若是采用Windows 2000操作系統(tǒng),則該操作系統(tǒng)本身就集成了這項(xiàng)功能,只需進(jìn)行相應(yīng)的設(shè)置即可投入使用。而硬件VPN必須借助專用的設(shè)備才可以實(shí)現(xiàn),兩者之間存在比較大的差別。首先是硬件VPN能穿透NAT (Network Address Translation)防火墻,其次是硬件VPN 安全性遠(yuǎn)遠(yuǎn)好于軟件VPN。軟件VPN 的用戶身份認(rèn)證方式非常簡(jiǎn)單,只能通過(guò)用戶名和密碼方式進(jìn)行識(shí)別。硬件VPN的加密算法通常都較為安全,硬件VPN 集成了企業(yè)級(jí)防火墻、上網(wǎng)控制和路由功能,一次性提供多種寬帶安全的解決方案,可以輕松實(shí)現(xiàn)遠(yuǎn)程實(shí)施和維護(hù),相比之下軟件VPN 的后期維護(hù)顯得較為復(fù)雜。
目前VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全,這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。每項(xiàng)技術(shù)都對(duì)應(yīng)有一些成熟的方案,如VPN 隧道類型現(xiàn)就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等,加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等,在構(gòu)建VPN連接時(shí)應(yīng)根據(jù)實(shí)際情況進(jìn)行選用。
3.2 技術(shù)對(duì)策
VPN產(chǎn)品的性價(jià)比不同,對(duì)VPN硬件設(shè)備的選型也應(yīng)視需求而定。例如,在構(gòu)建VPN連接時(shí),如果校園網(wǎng)構(gòu)架不復(fù)雜,通訊需求量不是很大,但要求安全可靠和管理方便,應(yīng)選擇集成VPN功能的防火墻設(shè)備方案比較適合。此方法的特點(diǎn)首先是能滿足建立VPN網(wǎng)絡(luò)的需求,其次是增加的硬件防火墻能提高校園網(wǎng)絡(luò)的安全防范等級(jí)。
3.3 VPN網(wǎng)絡(luò)建設(shè)實(shí)現(xiàn)的目標(biāo)
主校區(qū)和分校區(qū)的內(nèi)部服務(wù)器及計(jì)算機(jī)之間要實(shí)時(shí)進(jìn)行安全的數(shù)據(jù)交換,兩者之問(wèn)需要建立雙向可尋址的VPN訪問(wèn)。遠(yuǎn)程客戶端要通過(guò)瀏覽器訪問(wèn)主校區(qū)的Web服務(wù)器,還需建立遠(yuǎn)程客戶端到主校區(qū)的單向VPN訪問(wèn)。
3.3.1 主校區(qū)和分校區(qū)的VPN連接
在各校區(qū)現(xiàn)有校園網(wǎng)的出口處分別安裝一臺(tái)VPN網(wǎng)關(guān),每個(gè)校區(qū)通過(guò)該設(shè)備連接互聯(lián)網(wǎng)。VPN網(wǎng)關(guān)在保持原來(lái)的上網(wǎng)功能不變的情況下,在不安全的互聯(lián)網(wǎng)上建立起經(jīng)過(guò)安全認(rèn)證、數(shù)據(jù)加密的IP Sec VPN隧道,實(shí)現(xiàn)校區(qū)安全互連。
根據(jù)主校區(qū)和分校區(qū)的網(wǎng)絡(luò)使用要求和經(jīng)濟(jì)性等多方面考慮,應(yīng)選用硬件型的集成VPN功能的防火墻。此外,防火墻還應(yīng)具備路由功能,支持NAT技術(shù),在分校區(qū)相對(duì)較小、校園網(wǎng)絡(luò)構(gòu)架不復(fù)雜的情況下,使用該類防火墻還可以將原校園網(wǎng)絡(luò)接入互聯(lián)網(wǎng)用的路由器省掉,是一個(gè)理想的選擇。主校區(qū)選擇一臺(tái)防火墻作為VPN網(wǎng)關(guān),設(shè)備應(yīng)可以支持上千個(gè)并發(fā)TCP/IP會(huì)話和上百個(gè)VPN 隧道,可以充分保證主校區(qū)內(nèi)所有計(jì)算機(jī)的安全、流暢的網(wǎng)絡(luò)使用及VPN支持的需求。對(duì)于分校區(qū)的多臺(tái)計(jì)算機(jī)上網(wǎng)及VPN需求,選擇一臺(tái)可支持幾十個(gè)VPN隧道的防火墻作為VPN 網(wǎng)關(guān)即可。由于校區(qū)網(wǎng)絡(luò)構(gòu)架并不復(fù)雜,主、分校區(qū)網(wǎng)關(guān)均擁有靜態(tài)公網(wǎng)IP地址,不會(huì)做經(jīng)常性的變動(dòng),可采用“基于路由的LAN (局域網(wǎng))到LAN的VPN” 手動(dòng)密鑰方式,創(chuàng)建IP Sec VPN隧道,來(lái)實(shí)現(xiàn)校區(qū)間安全連接。
3.3.2 遠(yuǎn)程用戶到主校區(qū)的VPN連接
考慮到遠(yuǎn)程用戶訪問(wèn)校園網(wǎng)絡(luò)集中于主校區(qū)Web服務(wù)器,遠(yuǎn)程用戶到主校區(qū)的VPN連接可以采用SSL VPN模式。SSL VPN采用高強(qiáng)度的加密技術(shù)和增強(qiáng)的訪問(wèn)控制,而且易于安裝、配置和管理,避開(kāi)了部署及管理必要客戶軟件的復(fù)雜性和人力需求。
3.3.3 做好防護(hù),提高VPN的安全性
雖然VPN 為遠(yuǎn)程工作提供了極大的便利,但是它的安全性卻不可忽視。通常校園網(wǎng)服務(wù)器、核心交換機(jī)都會(huì)安裝一些殺毒軟件或者是防火墻軟件,而遠(yuǎn)程計(jì)算機(jī)就不一定擁有這些安全軟件的防護(hù)。因此,必須有相應(yīng)的解決方案堵住VPN的安全漏洞,比如在遠(yuǎn)程計(jì)算機(jī)上安裝殺毒軟件和防火墻、對(duì)遠(yuǎn)程系統(tǒng)和內(nèi)部網(wǎng)絡(luò)系統(tǒng)定期檢查,對(duì)敏感文件進(jìn)行加密保護(hù)等,這樣才能防患于未然。
4、結(jié)束語(yǔ)
總之,在獨(dú)立學(xué)院與母校之間通信要求越來(lái)越高,各校區(qū)的網(wǎng)絡(luò)系統(tǒng)安全、經(jīng)濟(jì)和可靠的實(shí)現(xiàn)校區(qū)之間資源共享是目前首要考慮的問(wèn)題。利用遠(yuǎn)程客戶端到VPN網(wǎng)關(guān)的連接解決了受地域等條件限制的遠(yuǎn)程辦公問(wèn)題,滿足了經(jīng)常在校外工作人員查閱、訪問(wèn)本院信息資源的需要;通過(guò)VPN連接兩個(gè)局域網(wǎng),實(shí)現(xiàn)高校各校區(qū)之間網(wǎng)絡(luò)系統(tǒng)的邏輯連接,為各校區(qū)的資源共享提供方便、快捷的服務(wù)創(chuàng)造了良好條件。
參考文獻(xiàn):
[1] 戴宗坤等 VPN 與網(wǎng)絡(luò)安全[M]. 北京: 電子工業(yè)出版社, 2002.
>> 淺談呼倫貝爾市科技系統(tǒng)辦公自動(dòng)化平臺(tái)系統(tǒng)建設(shè) 企業(yè)OA協(xié)同辦公系統(tǒng)建設(shè)及后續(xù)開(kāi)發(fā)與應(yīng)用 淺談醫(yī)院辦公自動(dòng)化系統(tǒng)建設(shè)與管理 淺談辦公自動(dòng)化系統(tǒng)建設(shè)的實(shí)踐與啟示 淺談企業(yè)門(mén)戶系統(tǒng)建設(shè)的關(guān)鍵技術(shù) 淺談企業(yè)郵件系統(tǒng)建設(shè)與改造 淺談企業(yè)信息管理系統(tǒng)建設(shè) 淺談供電企業(yè)95598客戶服務(wù)系統(tǒng)建設(shè) 淺談VRS系統(tǒng)建設(shè) 辦公應(yīng)用系統(tǒng)建設(shè)的改進(jìn)思路 淺談如何加強(qiáng)企業(yè)辦公室系統(tǒng)自身建設(shè) 淺談電力營(yíng)銷(xiāo)管理系統(tǒng)建設(shè) 淺談醫(yī)院標(biāo)識(shí)系統(tǒng)建設(shè) 淺談醫(yī)院信息系統(tǒng)建設(shè) 淺談航標(biāo)遙測(cè)遙控系統(tǒng)建設(shè) 淺談企業(yè)培訓(xùn)中的E-Learning網(wǎng)絡(luò)學(xué)習(xí)系統(tǒng)建設(shè) 淺談冶金企業(yè)安全生產(chǎn)標(biāo)準(zhǔn)化系統(tǒng)建設(shè) 淺談大中型制造企業(yè)成本管理系統(tǒng)建設(shè) 淺談企業(yè)財(cái)務(wù)管理信息化系統(tǒng)建設(shè) 淺談當(dāng)代企業(yè)集團(tuán)檔案管理系統(tǒng)建設(shè) 常見(jiàn)問(wèn)題解答 當(dāng)前所在位置:.
[3]李福東.移動(dòng)辦公平臺(tái)架構(gòu)研究與實(shí)現(xiàn)[D].北京:北京郵電大學(xué)碩士論文,2008.
[4]尤衛(wèi)軍.移動(dòng)辦公平臺(tái)的實(shí)現(xiàn)方式[J].科技創(chuàng)新導(dǎo)報(bào),2012(2).http://.cn/Article/CJFDTotal-JSJS201202015.htm.
[5]王穎.移動(dòng)辦公綜合適配方案研究[J].數(shù)字通信,2011(12):36.
[6]溫國(guó)興,錢(qián)旭菲.利用移動(dòng)信息化技術(shù)實(shí)現(xiàn)移動(dòng)辦公.http://.cn/news/rdzt/bjdl/yxzp/jsyy/yxj/t20110104_624963.shtml.
[7]張璞,文登敏.基于J2ME和J2EE的移動(dòng)電子商務(wù)系統(tǒng)的研究[J].成都信息工程學(xué)院學(xué)報(bào),2006(4):504-507.
[8]羅勤.基于J2ME的移動(dòng)辦公系統(tǒng)的研究與開(kāi)發(fā):[碩士學(xué)位論文].大連:大連海事大學(xué),2005.
【關(guān)鍵詞】 WCDMA技術(shù) 無(wú)線傳感器網(wǎng)絡(luò) 中間件
RESEARCH ON NETWORK INTERCONNECTION OF WSN AND WCDMA
Xu Zhiwei,Ni Jie,Wang Gang,Zhao Honglin,Ma Yongkui (Harbin Institute of Technology,Heilongjiang Harbin,150001)
Abstract:ON the background of WCDMA mobile communication system of ZTE and WSN system of OURS, the article designs the interconnection scheme and realizes its function through B/S structure. The article designs the interconnection scheme on middleware technology and realizes its function through WEB.
Keywords: WCDMA technology, wireless sensor network, middleware
一、 n題研究背景
WCDMA移動(dòng)通信系統(tǒng)是哈爾濱工業(yè)大學(xué)通信工程系與中興通訊公司共建的碩士生和本科生校內(nèi)實(shí)踐基地。實(shí)驗(yàn)室現(xiàn)有的WCDMA移動(dòng)通信網(wǎng)絡(luò)只具備基本的語(yǔ)音通信和數(shù)據(jù)通信功能,學(xué)生們不能充分體會(huì)到通過(guò)移動(dòng)通信終端控制實(shí)際設(shè)備的功能,這樣就會(huì)使學(xué)生缺少對(duì)系統(tǒng)的更全面的認(rèn)識(shí)和興趣。本文設(shè)計(jì)WSN與WCDMA網(wǎng)絡(luò)互聯(lián)的具體方案,提出以中間件技術(shù)進(jìn)行WCDMA移動(dòng)通信網(wǎng)絡(luò)和無(wú)線傳感器網(wǎng)絡(luò)進(jìn)行互聯(lián)的具體方案,配置網(wǎng)絡(luò)互聯(lián)所需要的主要參數(shù)。本文利用無(wú)線傳感器網(wǎng)絡(luò)中間件技術(shù)實(shí)現(xiàn)WSN和WCDMA系統(tǒng)的互聯(lián),驗(yàn)證移動(dòng)通信終端通過(guò)WCDMA移動(dòng)通信網(wǎng)絡(luò)來(lái)訪問(wèn)和控制無(wú)線傳感器網(wǎng)絡(luò)的功能。
二、網(wǎng)絡(luò)互聯(lián)方案的設(shè)計(jì)
本文中系統(tǒng)的組建主要包括WCDMA移動(dòng)通信系統(tǒng)的組建和WSN實(shí)驗(yàn)系統(tǒng)的組建兩部分。WCDMA移動(dòng)通信系統(tǒng)采用WCDMA R4網(wǎng)絡(luò)結(jié)構(gòu),利用中興通訊公司的技術(shù)實(shí)現(xiàn)。WSN實(shí)驗(yàn)系統(tǒng)是基于奧爾斯公司OURS-IOTV2-EP平臺(tái)組建的。WSN和WCDMA網(wǎng)絡(luò)互聯(lián)是通過(guò)中間件技術(shù)實(shí)現(xiàn)。
2.1 WCDMA移動(dòng)通信系統(tǒng)的組成
本文采用WCDMA R4網(wǎng)絡(luò)結(jié)構(gòu)作為組建移動(dòng)通信網(wǎng)絡(luò)的模型。WCDMA R4網(wǎng)絡(luò)結(jié)構(gòu)主要由Node B、RNC、CS和PS等組成。CS域的功能實(shí)體主要包括移動(dòng)媒體網(wǎng)關(guān)(MGW)和移動(dòng)軟交換中心(MSC)。PS域的功能實(shí)體主要包括SGSN和GGSN等設(shè)備。
基站(Node B)在RNC控制下完成射頻信號(hào)的接收和發(fā)射,與移動(dòng)終端進(jìn)行通信,對(duì)信號(hào)進(jìn)行調(diào)制解調(diào)和定位信息管理。RNC通過(guò)接口電路完成對(duì)基站的管理,RNC通過(guò)接口電路與核心網(wǎng)進(jìn)行通信。RNC負(fù)責(zé)信道分配、信道切換、邏輯信道到傳輸信道的映射、信道傳輸格式設(shè)置。核心網(wǎng)由電路域(CS)和分組域(PS)構(gòu)成。電路域(CS)主要完成用戶的語(yǔ)音通信功能,包括話音業(yè)務(wù)、短信業(yè)務(wù)和視頻通話。分組域(PS)主要管理用戶訪問(wèn)互聯(lián)網(wǎng)的業(yè)務(wù)。本文選擇基站的型號(hào)是中興通訊公司的ZXSDR B8200 +ZXWR R8840,RNC選用的型號(hào)是ZXWR-RNCV3,移動(dòng)媒體網(wǎng)關(guān)型號(hào)是ZXWN MGW,移動(dòng)軟交換中心型號(hào)是ZXWN MSC,分組域的型號(hào)是ZXWN PS。
2.2 WSN實(shí)驗(yàn)系統(tǒng)的組成
該實(shí)驗(yàn)系統(tǒng)主要由硬件部分和軟件部分組成。硬件設(shè)備包括8個(gè)無(wú)線通信模塊、8個(gè)傳感器模塊、8個(gè)電源板模塊、高性能嵌入式網(wǎng)關(guān)和其他配套設(shè)備。實(shí)驗(yàn)系統(tǒng)包含4個(gè)無(wú)線傳感網(wǎng)通信節(jié)點(diǎn)和一個(gè)無(wú)線互聯(lián)網(wǎng)解調(diào)器。
2.3通過(guò)WEB中間件實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)
中間件是在操作系統(tǒng)(包含底層通訊協(xié)議)和多類分布式應(yīng)用系統(tǒng)聯(lián)系的單個(gè)應(yīng)用中間件,中間件的主要功能是屏蔽軟件系統(tǒng)的差異,實(shí)現(xiàn)對(duì)上層系統(tǒng)透明傳輸?shù)墓δ?,無(wú)線傳感器網(wǎng)絡(luò)的中間件軟件制定需要遵守如下的標(biāo)準(zhǔn):
A 由于節(jié)點(diǎn)的能源、運(yùn)算、儲(chǔ)存性能和通訊性能不足,因此WSN中間件需要的是較輕能耗程度的器件,且可以在功能和能源利用間實(shí)現(xiàn)均衡。
B 傳感網(wǎng)環(huán)境比較復(fù)雜,因而中間件軟件還需要供給優(yōu)越的容錯(cuò)體制、自變化體制和自保護(hù)體制。
C 中間件軟件的下層支持是多類軟件節(jié)點(diǎn)和操作平臺(tái)(如TinyOS、MANTIS OS、SOS等),因而中間件系統(tǒng)不用考慮下層的差異。
D中間件系統(tǒng)由不同的軟件組成,為各種上層軟件供給相同的、能夠拓展的接口,進(jìn)而進(jìn)行應(yīng)用的研制。
IOTService 是基于微軟操作系統(tǒng)運(yùn)行的,其功能主要是把不同的軟件服務(wù)集成到一個(gè)系統(tǒng)中。其它的系統(tǒng)和終端通過(guò)不同的局域網(wǎng)和廣域網(wǎng)與IOTService進(jìn)行連接。IOTService的主要優(yōu)點(diǎn)是為不同的用戶提供統(tǒng)一的軟件接口,可通過(guò)服務(wù)器/客戶端的模式通信,也可以搭建 WebService,通過(guò)WebService 和 IOTService 進(jìn)行通信,再進(jìn)一步編寫(xiě) B/S 架構(gòu)的應(yīng)用軟件。整個(gè)系統(tǒng)結(jié)構(gòu)如圖1所示。由于WSN的中間件技術(shù)能夠很好的在不同網(wǎng)絡(luò)環(huán)境中運(yùn)行,因此選取中間件技術(shù)作為WSN和WCDMA網(wǎng)絡(luò)互聯(lián)的方案。
2.4基于VPN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全互聯(lián)
雖然WSN和WCDMA網(wǎng)絡(luò)本身都有一些安全協(xié)議來(lái)保證信息在傳輸?shù)倪^(guò)程中的安全性,但由于在實(shí)際應(yīng)用中WSN與WCDMA進(jìn)行互聯(lián)時(shí)都要通過(guò)Internet,由于Internet對(duì)所用用戶是開(kāi)放的,因此信息經(jīng)過(guò)Internet傳輸時(shí)容易受到黑客的攻擊,所以研究WSN和WCDMA安全互聯(lián)技術(shù)很重要。本文研究并現(xiàn)了基于VPN技術(shù)進(jìn)行網(wǎng)絡(luò)安全互聯(lián)的方案。
虛擬專用網(wǎng)(Virtual Private Network)是通過(guò)互聯(lián)網(wǎng)等建立一種基于安全協(xié)議的網(wǎng)絡(luò)連接,通過(guò)VPN建立起的網(wǎng)絡(luò)連接是經(jīng)過(guò)安全協(xié)議加密的,因此能夠?qū)σ獋鬏數(shù)臄?shù)據(jù)進(jìn)行加密,實(shí)現(xiàn)在開(kāi)放的互聯(lián)網(wǎng)中安全通信的目的。在VPN中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有穿通專用的端到端物理鏈路,而是架構(gòu)在公用網(wǎng)絡(luò)平臺(tái)上。VPN對(duì)用戶端透明,用戶使用一條專用線路進(jìn)行通信。
三、實(shí)驗(yàn)過(guò)程
實(shí)驗(yàn)過(guò)程主要包括:(1)運(yùn)行計(jì)算機(jī)中的中間件。(2)修改tcpser.ip和 tcpsbm.ip為中間件所在計(jì)算機(jī)的IP 地址。(3)修改tcpser.port 和 tcpsbm.port為無(wú)線傳感網(wǎng)絡(luò)數(shù)據(jù) TCP 端口和管理中間件TCP 端口。(4)把jdbc.url中的DBQ部分修改為Access數(shù)據(jù)庫(kù)的路徑。(5)運(yùn)行startup.bat批處理命令。(6)在WCDMA制式的移動(dòng)終端瀏覽器中輸入IP地址后,移動(dòng)終端的屏幕上出現(xiàn)物聯(lián)網(wǎng)管理界面,在這里可以完成相關(guān)模塊的管理功能,實(shí)現(xiàn)無(wú)線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)拓?fù)浣Y(jié)構(gòu)的顯示和管理等功能。
四、結(jié)束語(yǔ)
本文完成以下研究工作:
1、組建以WCDMA R4為網(wǎng)絡(luò)結(jié)構(gòu)的移動(dòng)通信系統(tǒng),設(shè)計(jì)Node B、RNC和核心網(wǎng)的主要參數(shù),實(shí)現(xiàn)移動(dòng)通信終端通過(guò)WCDMA網(wǎng)絡(luò)的語(yǔ)音和數(shù)據(jù)通信功能。
2、分析無(wú)線傳感器網(wǎng)絡(luò)與WCDMA移動(dòng)通信網(wǎng)絡(luò)互聯(lián)的方案,選取中間件技術(shù)的互聯(lián)方案。
3、設(shè)計(jì)基于VPN技術(shù)的網(wǎng)絡(luò)互聯(lián)方案,并驗(yàn)證該方案能夠?qū)SN和WCDMA網(wǎng)絡(luò)進(jìn)行安全互聯(lián)。
參 考 文 獻(xiàn)
[1]孫卓. 異構(gòu)無(wú)線網(wǎng)絡(luò)中的接入選擇機(jī)制研究. 北京郵電大學(xué)博士論文,2007.
【 關(guān)鍵詞 】 SSL;SSL VPN;指紋識(shí)別;APT
1 引言
隨著信息技術(shù)的飛速發(fā)展,互聯(lián)網(wǎng)技術(shù)的普及,一方面為人們生活帶來(lái)的便利,另一方面也出現(xiàn)越來(lái)越多的安全問(wèn)題。自2013年美國(guó)“棱鏡門(mén)”事件后,關(guān)于APT(高級(jí)持續(xù)性威脅)的討論和研究也越來(lái)受到關(guān)注。
APT是一種針對(duì)特定目標(biāo)組織的有經(jīng)濟(jì)或政治目的,且持續(xù)時(shí)間較長(zhǎng)的一種攻擊,它結(jié)合了傳統(tǒng)的網(wǎng)絡(luò)攻擊方式同時(shí)利用0day漏洞,常常使受攻擊者防不勝防,直到出現(xiàn)真正損失才覺(jué)察到攻擊的存在。目前在APT攻擊中,常利用SSL隱藏或傳遞機(jī)密信息,同時(shí)SSL木馬的頻繁使用,危害也日益嚴(yán)重,因此如何區(qū)分出正常和異常的SSL成為了預(yù)防APT攻擊的一種有效方式?,F(xiàn)有的方法主要是針對(duì)SSL證書(shū)的可信度檢測(cè)上,但是近年來(lái)偽造證書(shū)可信度越來(lái)越高,所以單從證書(shū)角度已不全面可靠,還需要從SSL流量的端口、上下報(bào)文以及連接時(shí)長(zhǎng)等流量統(tǒng)計(jì)特點(diǎn)出發(fā)進(jìn)行。由于SSL有不同類型,比如SSL VPN、瀏覽器的SSL,不同類型具體的檢測(cè)方式也不相同,因此在此之前需要對(duì)抓取的各類SSL流量進(jìn)行分類。目前對(duì)SSL流量分類的相關(guān)研究仍是空白,本文基于此提出了各種SSL流量的“指紋識(shí)別”方法。
文章共分為四部分,首先介紹研究?jī)?nèi)容背景和意義,然后簡(jiǎn)要說(shuō)明SSL握手協(xié)議,其次對(duì)SSL流量“指紋識(shí)別”方法進(jìn)行詳細(xì)闡述,最后分析方法的特點(diǎn)及未來(lái)研究展望。
2 SSL握手協(xié)議
SSL安全套階層協(xié)議是為主機(jī)間提供安全通道的協(xié)議,位于傳輸層和應(yīng)用層之間,提供連接的隱秘性、用戶的真實(shí)性以及數(shù)據(jù)的可靠性。SSL協(xié)議由握手層協(xié)議、記錄層協(xié)議、更改密文協(xié)議和警報(bào)協(xié)議組成,如圖1所示。
其中握手協(xié)議是SSL協(xié)議中最為重要的協(xié)議,通過(guò)握手可以提供對(duì)雙方的身份驗(yàn)證機(jī)制。在這一過(guò)程中客戶端和服務(wù)器需要確認(rèn)一個(gè)用于加密明文數(shù)據(jù)所使用的密鑰和算法,同時(shí)協(xié)商雙方的信息摘要算法、數(shù)據(jù)壓縮算法等,過(guò)程如圖2所示。
(1)ClientHello消息。客戶端會(huì)首先向服務(wù)器發(fā)送這條消息,來(lái)通知對(duì)方客戶端所支持的算法,以及為了將來(lái)生成多個(gè)加密密鑰所需要的客戶端隨機(jī)數(shù)。
(2)ServerHello消息。服務(wù)器會(huì)從客戶端發(fā)送的加密算法中選擇其中的一種。
(3)Server Certificate 消息。Server Certificate包含了用于身份認(rèn)證的服務(wù)器標(biāo)識(shí),以及一個(gè)用于生成加密參數(shù)的隨機(jī)數(shù)。
(4)Certificate Request 消息??蛇x消息,如果服務(wù)器不需要驗(yàn)證客戶端的身份,則不會(huì)發(fā)送這條消息。
(5)Server Hello Done消息。這條消息表示ServerHello消息與Certificate消息一經(jīng)發(fā)送完畢,服務(wù)器會(huì)等候客戶端的回應(yīng)??蛻舳艘坏┦盏竭@條消息,才開(kāi)始數(shù)字證書(shū)合法性的驗(yàn)證。
(6)Client Certificate 消息??蛇x,如果沒(méi)有收到Certificate Request消息,則不需要發(fā)送數(shù)字證書(shū)。
3 SSL類型識(shí)別
SSL握手是客戶端和服務(wù)器進(jìn)行密鑰、算法協(xié)商的步驟,不同類型的SSL有特定的密鑰和算法選擇方式,這些可選擇的密鑰和算法通過(guò)ClientHello消息進(jìn)行傳遞,因此本文將根據(jù)SSL握手協(xié)議中客戶端發(fā)送的ClientHello消息來(lái)區(qū)分不同類型的SSL流量。
ClientHello消息中包含了SSL/TLS版本號(hào)、Cipher Suites(加密套件)和擴(kuò)展部分的簽名算法等。通常對(duì)于同一個(gè)客戶端發(fā)出的不同類型SSL請(qǐng)求,其ClientHello消息是有差別的。目前SSL流量可大致分為SSL VPN和瀏覽器產(chǎn)生的SSL,我們通過(guò)Wireshake軟件進(jìn)行大量抓包后分析發(fā)現(xiàn),通過(guò)Cipher Suites、SessionTicket TLS、Status_request這三個(gè)字段信息可以有效區(qū)分SSL VPN和瀏覽器的SSL流量,甚至可區(qū)分出不同瀏覽器和同一瀏覽器在不同操作系統(tǒng)下的SSL流量。
近幾年Microsoft推出使用SSL進(jìn)行加密的SSTP,方便了用戶在Windows上直接建立VPN,所以本文對(duì)SSL VPN的分析著重集中在SSTP VPN。同時(shí)主流的瀏覽器有IE、Chrome、Firefox、Sougou,其中Sougou是使用IE和Chrome內(nèi)核,因此不對(duì)Sougou瀏覽器進(jìn)行分析。特別需要注意的是,IE的各個(gè)版本隨著不同的操作系統(tǒng)版本SSL流量具有明顯不同。
3.1 SSTP VPN
SSTP VPN僅支持Win7操作系統(tǒng)及以上版本,在Win7、Win8以及Win8.1客戶端與Windows Server 2012間搭建SSTP VPN并抓取數(shù)據(jù)包,通過(guò)大量實(shí)驗(yàn)總結(jié)發(fā)現(xiàn),SSTP VPN在Win7和Win8操作系統(tǒng)中通常使用TLSv1.0,而Win8.1則使用TLSv1.2。并且Win7和Win8下Cipher Suites的總數(shù)相同,共12個(gè),相比之下Win8.1的 SSTP VPN Cipher Suites包含了24個(gè)加密套件。Cipher Suites通常由三個(gè)部分組成,第一是密鑰交換算法,第二是對(duì)稱加密算法,第三是摘要或者M(jìn)AC算法, RFC2246中建議了很多中組合,一般寫(xiě)法是“密鑰交換算法-對(duì)稱加密算法-摘要算法”。
雖然Win7和Win8下SSTP VPN的加密套件數(shù)量相同,但是還可通過(guò)擴(kuò)展部分是否包含SessionTicket TLS進(jìn)行有效區(qū)分,實(shí)驗(yàn)表明只有Win8和Win8.1才包含該項(xiàng)。Session Ticket是用于在握手階段SSL連接中斷后重新握手使用的,與Session ID的區(qū)別在于即使客戶端的重新請(qǐng)求發(fā)送至另一臺(tái)服務(wù)器仍然可以恢復(fù)對(duì)話,但是它僅保存在客戶端, 目前在瀏覽器中只有Firefox和Chrome和Win8以上版本的IE瀏覽器支持。此外三個(gè)操作系統(tǒng)下的SSTP VPN都不包含Status request擴(kuò)展項(xiàng),而瀏覽器則都包含,這是它們之間的最大區(qū)別。SSTP VPN的比較見(jiàn)表1,“√”表示包含,反之為“×”。
3.2 IE瀏覽器
對(duì)于IE瀏覽器,目前仍有使用的是IE8到IE11,其中Win7支持IE8、IE9,Win7 Sp1版本支持IE11以前的所有版本,從Win8.1開(kāi)始則主要使用IE11。在Win8及以上版本,IE瀏覽器產(chǎn)生的SSL流量包含了SessionTicket TLS字段,這是Win7版本與Win8、Win8.1流量的最大區(qū)別,通過(guò)這一特點(diǎn)可快速區(qū)分出瀏覽器的操作系統(tǒng)環(huán)境。然而,在Win7及Win7 sp1版本中,IE8、IE9和IE10都沒(méi)有區(qū)別,無(wú)論從握手協(xié)議擴(kuò)展項(xiàng)或者加密密碼套件上看都是相同的,數(shù)量都為12個(gè),與Win7環(huán)境下SSTP VPN的加密套件一致。唯獨(dú)能夠進(jìn)行區(qū)分的只有IE11,其加密密碼套件Cipher Suites包含了21個(gè),在原有12個(gè)的基礎(chǔ)上新增了9個(gè)組合。
相比之下Win8.1則較容易識(shí)別,因?yàn)橹皇褂肐E11,且用TLS 1.2版本,不僅包含SessionTicket TLS,而且Cipher Suites共有19個(gè),更新升級(jí)后的Win8.1專業(yè)版的Cipher Suites則包含24個(gè),不只是數(shù)量上簡(jiǎn)單的增加,還去除了原有的幾個(gè)加密算法組合。IE各版本識(shí)別如表2所示。
3.3 其他瀏覽器
針對(duì)其他兩個(gè)非IE的瀏覽器,F(xiàn)irefox和Chrome,這兩類瀏覽器產(chǎn)生的SSL流量都包含了SessionTicket TLS、Status_reques。但Cipher Suites數(shù)量上,在Win7系統(tǒng)下,當(dāng)Firefox和Chrome使用TLS 1.0時(shí), Firefox有11個(gè)Cipher Suites,而Chrome則有17個(gè)。除了在Cipher Suites的數(shù)量上的差別,F(xiàn)irefox和Chrome在其他擴(kuò)展字段與IE瀏覽器有明顯區(qū)別,主要體現(xiàn)在簽名哈希算法數(shù)量以及橢圓曲線算法。在簽名哈希算法數(shù)量選擇上,Chrome共10個(gè),比Firefox總數(shù)多了2個(gè),且具體簽名算法也不盡相同,而IE瀏覽器只有在使用TLS 1.2時(shí)擴(kuò)展項(xiàng)才有簽名哈希算法,數(shù)量為7個(gè)。不僅如此,在橢圓曲線算法上,Chrome瀏覽器、IE瀏覽器以及SSTP VPN各版本在數(shù)量和類型上都相同,只有Firfox多了一個(gè)。該特點(diǎn)即可區(qū)分Firefox與其他SSL類型。
通過(guò)以上ClientHello幾個(gè)字段的比較可以明顯區(qū)分各種類型的SSL流量,實(shí)現(xiàn)了SSL“指紋識(shí)別”,同時(shí)也為后續(xù)設(shè)計(jì)SSL檢測(cè)模型防御APT攻擊奠定了基礎(chǔ)。雖然所提分類方式彌補(bǔ)了目前研究空缺,但是對(duì)瀏覽器的SSL流量識(shí)別僅集中在Win7及以上現(xiàn)今較流行操作環(huán)境,對(duì)微軟早前的操作系統(tǒng)比如XP、Vista等未做分析,這是實(shí)驗(yàn)的不足之處。
4 結(jié)束語(yǔ)
本文通過(guò)分析現(xiàn)有APT和SSL研究背景,提出了一種通過(guò)SSL握手協(xié)議中的ClientHello消息進(jìn)行SSL流量類型識(shí)別的方法,不僅對(duì)Win7及以上版本的SSTP VPN、各版本瀏覽器的SSL流量做了有效區(qū)分,也為以后提出SSL檢測(cè)模型做好準(zhǔn)備工作。未來(lái)我們將在此基礎(chǔ)上深入分析各種SSL流量類型的異常檢測(cè)。
參考文獻(xiàn)
[1] Paul Giura, Wei Wang. A Context-Based Detection Framework for Advanced Persistent Threats. International Conference on Cyber Security[C].2012,69-74.
[2] 黃達(dá)理, 薛質(zhì). 進(jìn)階持續(xù)性滲透攻擊的特征分析研究[J]. 信息安全與通信保密, 2012, (5): 87-89.
[3] Zigan Cao, Gang Qiong, Yong Zhao, et al. Two-Phased Method for Detection Evasive Network Attack Channels[J]. China Communication, 2014, (8): 47-58.
[4] Linshung Huang, Alex Rice, Erling Ellingsen,et al. Analyzing Forged SSL Certificates in the Wild. IEEE Security and Privacy [C].2014,83-97.
[5] 鐘軍, 吳雪陽(yáng), 江一等. 一種安全協(xié)議的安全性分析及攻擊研究[J]. 計(jì)算機(jī)科學(xué)與工程, 2014,36(6): 1077-1082.
基金項(xiàng)目:
國(guó)家自然科學(xué)基金重點(diǎn)項(xiàng)目(云計(jì)算環(huán)境下軟件可靠性和安全性理論、技術(shù)與實(shí)證研究)(編號(hào):61332010)。
作者簡(jiǎn)介:
蘇E昕(1992-),女,上海交通大學(xué),碩士;主要研究方向和關(guān)注領(lǐng)域:網(wǎng)絡(luò)安全、信息安全管理。