vpn技术论文精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的vpn技术论文主题范文，仅供参考，欢迎阅读并收藏。

第1篇：vpn技术论文范文

关键词：vpn，管理，管理技术

 

一、VPN服务及其应用

VPN，即Virtual Private Network，是建立于公共网络基础之上的虚拟私有网络，如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等，并且能够将通过公共网络传输的数据加密。利用VPN，企业能够以较低的成本提供分支机构、出差人员的内网接入服务。

如果访问企业内部网络资源，使用者需要接入本地ISP的接入服务提供点，即接入Internet，然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术，使用者和企业内网之间需要有一根专线，而这非常不利于外出办公人员的接入。而利用VPN，出差人员只需要接入本地网络。论文写作，管理。如果企业内网的身份认证服务器支持漫游的话，甚至可以不必接入本地ISP，并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。

二、VPN管理

VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络，甚至可以是企业客户。这其中涉及到企业网络的网络管理任务，可以在组建网络的初期交给运营商去完成，但企业自身还要完成许多网络管理的任务。所以，一个功能完整的VPN管理系统是必需的。

通过VPN管理系统，可以实现以下目的：

1、降低成本：保证VPN可管理的同时不会过多增加操作和维护成本。

2、可扩展性：VPN管理需要对日益增加的企业客户作出快速的反应，包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作，管理。

3、减少风险：从传统的WAN网络扩展到公共网络，VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时，还要确保企业资源的完整性。

4、可靠性：VPN构建于公共网络之上，其可控性降低，所有必须采取VPN管理提高其可靠性 。

三、VPN管理技术

1、第二层通道协议

第二层通道协议主要有两种，PPTP和L2TP，其中L2TP协议将密钥进行加密，其可靠性更强。

L2TP提高了VPN的管理性，表现在以下方面：

（1）安全的身份验证

L2TP可以对隧道终点进行验证。不使用明文的验证，而是使用类似PPPCHAP的验证方式。论文写作，管理。

（2）内部地址分配

用户接入VPN服务器后，可以获取到企业内部网络的地址，从而方便的加入企业内网，访问网络资源。地址的获取可以使用动态分配的管理方法，由于获取的是企业内部的私有地址，方便了地址管理并增加安全性。论文写作，管理。

（3）网络计费

L2TP能够进行用户接口处的数据流量统计，方便计费。

（4）统一网络管理

L2TP协议已成为标准的协议，相关的MIB也已制定完成，可以采用统一SNMP管理方案进行网络维护和管理。

2、IKE协议

IKE协议，即Internet Key Exchange，用于通信双方协商和交换密钥。IKE的特点是利用安全算法，不直接在网络上传输密钥，而是通过几次数据的交换，利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman，逆向分析出密钥几乎是不可能的。

在身份验证方面，IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。

IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题，是一种通用的协议，不仅能够为Ipsec进行安全协商，还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。

3、配置管理

可以使VPN服务器支持MIB，利用SNMP的远程配置和查询功能对VPN网络进行安全的管理。

（1）WEB方式的管理

利用浏览器访问VPN服务器，利用服务器上设置的账户登录，然后将Applet下载到浏览器上，就可以对服务器进行配置。论文写作，管理。用户登录后，服务器会只授权登录的IP地址和登录客户权限，从而避免伪造的IP地址和客户操作。而且利用这种方式，还解决了普通SNMP协议只有查询没有配置功能的缺点。

（2）分级统一管理

如果企业网络规模扩大，可以对VPN服务器进行统一配置管理，三级网络中心负责数据的收集与统计，然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理，一级网络中心就能够获取全部VPN用户的数量、流量并进行统计，分析出各地情况，从而使用合适的方案。

4、IPSec策略

IPSec是一组协议的总称，IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网，也可以提供端到端通信安全，由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN，这是IPsec最主要的用途。

IPSec策略包括一系列规则和过滤器，以便提供不同程度的安全级别。论文写作，管理。在IPSec策略的实现中，有多种预置策略供用户选择，用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法，一是在本地计算机上指定策略，二是使用组策略对象，由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。

利用上述VPN管理技术，可以大大提高企业网络资源的安全性、完整性，并能够实现资源的分布式服务。以后还将结合更多的技术，实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。

参考文献：

[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社，2002.11

[2]朱坤华，李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123

[3]潘爱民.计算机网络（第四版）[M].清华大学出版社2004.8

第2篇：vpn技术论文范文

论文关键词：电子商务，信息安全，防火墙，权限控制

 

0 引言

近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站，通过网站实施农产品信息、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出，并且该问题已经严重制约了农产品电子商务的进一步发展。

1　农产品电子商务的安全需求

根据电子商务系统的安全性要求，田阳农产品电子商务系统需要满足系统的实体安全、运行安全和信息安全三方面的要求。

1) 系统实体安全

系统实体安全是指保护计算机设备、设施（含网络）以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故（如电磁污染等）破坏的措施和过程。

2) 系统运行安全系统运行安全是指为保障系统功能的安全实现，提供一套安全措施（如风险分析、审计跟踪、备份与恢复、应急）来保护信息处理过程的安全[1]。项目组在实施项目前已对系统进行了静态的风险分析，防止计算机受到病毒攻击，阻止黑客侵入破坏系统获取非法信息，因此系统备份是必不可少的（如采用放置在不同地区站点的多台机器进行数据的实时备份）。为防止意外停电，系统需要配备多台备用电源，作为应急设施。

3) 信息安全

系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息被非法的系统标识、控制。系统的核心服务是交易服务，因此保证此类安全最为迫切。系统需要满足保密性，即保护客户的私人信息，不被非法窃取。同时系统要具有认证性和完整性，即确保客户身份的合法性，保证预约信息的真实性和完整性，系统要实现基于角色的安全访问控制、保证系统、数据和服务由合法的客户、人员访问防火墙，即保证系统的可控性。在这基础上要实现系统的不可否认性，要有效防止通信或交易双方对已进行的业务的否认论文的格式。

2 农产品电子商和安全策略

为了满足电子商务的安全要求，电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务，具体可采用的技术如下：

2.1基于多重防范的网络安全策略

1) 防火墙技术

防火墙是由软件系统和硬件系统组成的，在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障，并在此进行检查和连接，只有被授权的信息才能通过此保护屏障，从而使内部网与外部网形成一定的隔离，防止非法入侵、非法盗用系统资源，执行安全管制机制，记录可疑事件等。

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

边界防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2) VPN 技术

VPN 技术也是一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，其分支机构就可以相互之间安全的传递信息。同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制，是当前和今后企业网络发展的趋势。

VPN提供用户一种私人专用（Private）的感觉，因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中，要有高强度的加密技术来保护敏感信息；在远程访问VPN中要有对远程用户可*的认证机制。

性能

VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高，但在Internet时代，随着电子商务活动的激增，网络拥塞经常发生，这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台，管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能防火墙，又不会“饿死”，低优先级的应用。

管理问题

由于网络设施、应用不断增加，网络用户所需的IP地址数量持续增长，对越来越复杂的网络管理，网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸，因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法，将安全政策进行分布，并管理大量设备论文的格式。

2.2基于角色访问的权限控制策略

农产品电子商务系统信息系统含有大量的数据对象，与这些对象有关的用户数量也非常多，所以用户权限管理工作非常重要。

目前权根控制方法很多，我们采用基于RBAC演变的权限制制思路。在RBAC之中，包含用户、角色、目标、操作、许可权五个基本数据元素，权限被赋予角色，而不是用户，当一个角色被指定给一个用户时，此用户就拥有了该角色所包含的权限[2]。角色访问控制策略主要是两方面的工作：

(1)确定角色

根据系统作业流程的任务，并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色，低级别角色可以为高级别角色的子角色，高级别角色完全继承其子角色的权限。

(2)分配权限策略

根据系统的实际功能结构对系统功能进行编码，系统管理员可以创建、删除角色所具有的权限，以及为角色增加、删除用户。需要注意的是角色被指派给用户后，此时角色不发生冲突，对该角色的权限不能轻易进行修改，以免造成由于修改角色权限从而造成角色发生冲突。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时，系统会根据用户的角色的并集，从而得到用户的权限，由权限得到菜单项对该用户的可视属性是true/false，从而得到用户菜单。

2.3基于数据加密的数据安全策略

在农产品商务系统中，数据库系统作为计算机信息系统核心部件，数据库文件作为信息的聚集体，其安全性将是重中之重。

1)数据库加密系统措施

(1)在用户进入系统进行两级安全控制

这种控制可以采用多种方式，包括设置数据库用户名和口令，或者利用IC卡读写器或者指纹识别器进行用户身份认证。

2)防止非法复制

对于服务器来说防火墙，可以采用软指纹技术防止非法复制，当然，权限控制、备份/复制和审计控制也是实行的一样。

3)安全的数据抽取方式

提供两种卸出和装入数据库中的加密数据的方式：其一是用密文式卸出，这种卸出方式不解密，卸出的数据还是密文，在这种模式下，可直接使用DBMS提供的卸出、装入工具；其二是用明文方式卸出，这种卸出方式需要解密，卸出的数据明文，在这种模式下，可利用系统专用工具先进行数据转换，再使用DBMS提供的卸出、装入工具完成[3]。

3结束语

随着信息化技术的快速发展，农产品电子商务创新必须适应新的变化，必须充分考虑信息安全因素与利用信息安全技术，这样才能实现农产品电子商务业务快速增长，本文所述的安全策略，对当前实施电子商务有一定效果的，是值得推介应用的。

参考文献：

[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报（自然科学版），2007，（12）：71－73.

[2]唐文龙.基于角色访问控制在农产品电子商务系统中的应用[j]. 大众科技.34-35

[3]张立克.电子商务及其安全保障技术[J].水利电力机械,2007,29(2):69-74.

第3篇：vpn技术论文范文

论文摘要:县级供电企业在推进信息化过程中，普遍存在着成本过大，安全系数较低以及建设周期长等问题。结合庐江供电公司在开展城乡营销管理信息化建设中出现的问题进行分析，提出利用VPN实现全公司网络互联的解决方案，并分析了下一步信息化的主攻方向。

0引言

随着电力信自、化水平的不断提高，县级供电企业综合管理信息系统开始逐步建立，但基层变电站、乡镇供电听与供电公司局域网联网问题严重地制约着县级供电企业信息系统实用化水平的发展和信息资源的充分有效利用，这与供电企业管理发展的目标追求以及客户的需求是极不适应的。由于乡镇供电所信息化建设工作受地形、人员素质、资金投人等因素影响，解决远程站点联网问题成为县级供电企业信自、网络建设中的突出矛盾。

1庐江供电公司信息化建设现状

安徽庐江供电公司的信息化上作起步较晚，供电公司总部于X004年实现了生产M I S与办公自动化OA的单轨制运行，总部信息化运行提高了企业的整体管理水平和办公效率。如今，庐江供电公司总部已运行的信息系统有:生产管理系统、办公自动化系统、档案管理系统、Web系统、财务管理系统，现有的服务器包括:生产服务器、办公自动化服务器、档案服务器、Web服务器、财务服务器。力、公用微机80多台，每位管理人员以及每个班组都配有微机。

在实施信息化建设与管理中，深深体会到庐江供电公司信息化建设不仅可降低财务管理、物资管理、项目管理、资料管理等方面的管理成本，并在生产管理中可将所有设备信息进行分类编号，输人数据库，实行设备、设施缺陷管理，科学地制定缺陷检修计划，提高设备运行可靠度，降低故障率，提高供电可靠性;同时，庐江供电公司的营销管理信息系统建有业扩子系统、电量电费f系统、用电检查子系统、综合查询系统，通过这些系统，可方便与客户的交流、沟通，节约成本开支，实现科学化营销流程管理。这些管理信息系统的应用，加强J’企业的规范化管理，增强了管理的科学化水平，减轻了工作人员的负担，提高了企业的经济效益。

为此，庐江供电公司加入了乡镇供电所营销MIS应用系统的推进力度，进一步减轻了抄表人员的负担，缩短了开票时间，加强了电费电价的控制与管理，提高了营销管理自动化水平。全县17个乡镇供电听，都使用同一版本的营销MIS应用系统。舟个供电听都有3台以上的微机，其中1台所长用于日常办公，另外2台分别作为用电MIS系统的服务器与客户端，并兼为所里其他工作人员办公使用。其中，已有10个供电所可利用变电站的光纤系统，与庐江供电公司总部实现网络互联，提高了工作效率，节省了开支。其余7个供电所仍不能够实现信息化共享，这些供电所非常希望尽快网络互联。

2采用VPN方案推进供电所信息化建设进程

这些供电所若使用以前的光纤联网方式，不仅投资大，施工工期长，而且日后的维护量也多。考虑到以上原因，为尽快解决其余7个光纤未开通的乡镇供电所的网络互联问题，达到信息、共享，推广乡镇供电所的营销MIS系统应用，公司决定采用虚拟局域网(VPN)，在现有设备基础上，进行简单的改造。通过在VPN网关中配置7个供电所的用户、密码以及访问策略，并分别在7个供电所安装VPN客户端，安装公司的MIS应用系统，实现全公司网络互联。VPN技术实际上就是综合利用包封装技术、加密技术、密钥交换技术、PKI技术，可以在公用的互联网上建立安全的虚拟专用网络(VPN ， Virtual Private Network ) 。 VPN是一个被加密或封装的通信过程，该过程把数据安全地从一端传送到另一端，这里数据的安全性由可靠的加密技术来保障，而数据是在一个开放的、没有安全保障的、经过路由传送的网络上传输的。VPN技术能够有效解决信息安全传输中的“机密性、完整性、不可抵赖性”问题。 转贴于

3方案效果比较

对2种方案的可能性进行了比较，如图1所示。如果庐江供电公司全部运用光纤法来实现供电所的网络互联，每个供电所的材料费、施工费按3.5万元，施工工期10天计算，7个供电所就需要3.5 x 7=24.5万元，需要10 x 7=70天。若这7个供电所采用VPN方案，只需要购买VPN网关1台，价值3.5万元和7个客户端钥匙，价值7 x 480=3360元，5天内就能完成7个供电所安装。因此，应用VPN方案，庐江供电公司就能节省资金达24 . 5-3 . 836=20.664万元，缩短工期65天，取得的直接效益是显着的，并省去了今后光纤线路维护所需要工作量。

现在，这7个乡镇供电所均可利用VPN方案安全可靠地登陆公司局域网，在局域网下载内容的速度可达350 kb/s，生产MIS系统响应时间为2--3 s，办公自动化系统浏览公司收发的文件、接受电子邮件的时间因文件的大小不同而有所差别，1 MB的文件大约需要8 s。由于ADSL是非对称数字环路，所以发送电子邮件的速度要慢得多，1 MB的文件大约需要18s。从VPN方案运行效果来看，完全能够满足庐江供电公司网络发展及MIS系统应用的需要。

4下一步信息化建设的主攻方向

目前，庐江供电所信息化还处于初级阶段，对电力企业信息化建设的目标还没有完全形成统一的管理标准;同时，庐江供电公司在实施VPN技术后，也清楚地看出:VPN是一种虚拟专用网络，而不是一种真正的专用网络。因此，庐江供电公司打算设立严格的管理制度，包括严格的权限管理，无关人员无权查看、改动数据，VPN客户端的用户与密码管理等，建立起一套计算机管理操作等规章制度，使整个网络安全有序地运行。此外，该公司今后还将加大对供电所使用人员的计算机培训力度，包括计算机知识在内的应用培训，促进操作人员更好地使用软件，提高操作人员计算机水平，也为计算机应用在企业内部得到更好地发展起到一定的推动作用，并充实培养供电听计算机网络管理人员、信息安全管理人员，把信息化建设中的培训工作贯穿始终，进而拓宽信息化的覆盖面，保证信息、化工作的健康发展，让VPN技术更好地为庐江供电公司信息化、专业化、现代化服务。

5结语

第4篇：vpn技术论文范文

【关键词】隧道技术，应用，研究

中图分类号：U45文献标识码： A

一、前言

由于网络的发展和完善以及速度的不断提高，越来越多的公司逐步进行运用隧道技能。大规模的组建VPN网络已经成为一种趋势，这种技术越来越多地遭到用户的广泛重视。

二、VPN的隧道技术

VPN技术比较复杂，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。具体来讲，目前VPN主要采用下列四项技术来保证其安全，这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术、使用者与设备身份认证技术(Authentication)。隧道技术是VPN的基本技术，类似于点对点连接技术，它在公用网中建立一条数据通道(隧道)，让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。

三、隧道技术

1、第二层隧道协议

第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。第二层隧道协议有L2F、PPTP、L2TP等。

（一）、点对点隧道协议(PPTP)

PPTP将PPP数据桢封装在IP数据报内通过IP网络，如Internet传送。PPTP还可用于专用局域网络之间的连接。PPTP使用一个TCP连接对隧道进行维护，使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。

（二）、第2层转发(L2F)

L2F是Cisco公司提出的隧道技术，作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP桢内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之后重新注入(inject)网络。与PPTP和L2TP不同，L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。

（三）、第2层隧道协议(L2TP)

L2TP结合了PPTP和L2F协议。设计者希望L2TP能够综合PPTP和L2F的优势。L2TP是一种网络层协议，支持封装的PPP桢在IP，X.25，桢中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时，可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。

2、第三层隧道协议

IPSec是指IETF(因特网工程任务组)以RFC形式公布的一组安全IP协议集，是为IP及其以上协议(TCP和UDP等)提供安全保护的安全协议标准。其目标是把安全机制引入IP协议，通过使用密码学方法支持机密性和认证服务等安全服务。IPSec通过在IP协议中增加两个基于密码的安全机制―认证头(AH)和封装安全载荷(ESP)来支持IP数据报的认证、完整性和机密性。IPSec协议族包括:IP安全架构、认证头AH、封闭安全载荷ESP和Internet密钥交换(IKE)等协议。IP安全架构协议指定了IPSec的整个框架，是IP层安全的标准协议。AH协议定义了数据源认证和完整性验证的应用方法。ESP为IP数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。IKE为AH和ESP提供密钥交换机制，在实际进行IP通信

时，可以根据实际安全需求，同时使用AH和ESP协议，或选择使用其中的一种。

3、新兴的隧道协议

SSL是Netscape公司设计的主要用于web的安全传输协议。SSL被设计为使TCP提供一个可靠的端到端的安全服务，它不是一个单一的协议，而是由多个协议组成记录协议定义了要传输数据的格式，它位于可靠的传输协议TCP之上，用于各种更高层协议的封装。记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。通信双方首先通过SSL握手协议建立客户端与服务器之间的安全通道，SSL记录协议通过分段、压缩、添加MAC以及加密等操作步骤把应用数据封装成多条记录，最后再进行传输。

四、隧道技术的应用模型

1、端到端安全应用

IPSec存在于一个主机或终端系统时，每一个离开和进入的PI数据包都可得到安全保护。PI包的安全保护可以从数据源一直到数据被接收。制定相应的安全策略，一对独立的SA可以保护两个端点之间的全部通信―Tenlet、SMTP、WEB和FTP等。或者，根据两个端点之间通信的协议的不同(TCP和UDP)和端口的不同，分别用不同的SA保护两个端点之间的不同的通信。在这种模式下，通信的端点同时也是PISec的端点。所以，端到端安全可以在传送模式下，

利用PISec来完成；也可以在隧道模式下，利用额外IP头的新增来提供端到端的安全保护。

2、虚拟专用网

IPSec存在于路山器等网络互连设备时，司一以构建虚拟专用网VPN。VPN是“虚拟的”，因为它不是一个物理的、明显存在的网络。两个不同的物理网络通过一条穿越公共网络的安全隧道连接起来，形成一个新的网络VPN。VPN是“专川的”，因为被加密的隧道可以提供数据的机密性。而今，人们从传统的专线网络转移到利用公共网络的网络，逐渐意识到节省费用的VPN重耍性。通过在路山器上配置PISec，就可以构建一个VPN。在路山器的一端，连接着一个受保护的私有网络，对这个网络的访问要受到严格的拧制。在另一端连技的是一个不安全的网络帐Internet。在两个路山器之间的公共网络上建立一条安全隧道，通信就可以从一个受保护的本地子网安全地传送到另一个受保护的远程子网。这就是VPN，在VPN中，母一个具有IPSec的路由器都是一个网络聚合点。在两个PISec的路山器之间通常使用隧道模式，可以采用多种安全策略，建立一对或多对SA，试图对VPN进布J屯通信分析将是非常困难的。如果在一个本地私有网络中的数据包的目的地是VPN的远程网络―它是从一个路由器发送到另一个路山器的、加密的数据包。

3、移动IP

在端到端安IP全中，数据包由产生和l或接收通信的那个主机进行加密和解密.在VPN中，

网络中的一个路由器对一个受安全保护的网络中的主机(或多个)的数据包进行加密和解密。这两个组合一般称为移动IP。移动IP一般是独立的，它要求计问受安全保护的网络，它是一个移动的客户，不停留在某个固定的地方。他必须通过旅店、或任何一个可以进行internetPOP的地方，安全地访问公司资源。在移动IP的方案中，移动主机和路由器都支持PISec，它们之间可以建立一条安个隧道。它们能够在外出数据包抵达通信线路之前对它进行安全保护:能够在对进入包进行IP处理之前，验证它们的安全保护。具有PISec的路山器保护的是移动主机想要访问的那个网络，它也可以是支持V户N的路山器，允许其它的移动主机进行安全的远程访问。在这种方案中，一方是移动主机，它既是通信方。另一方将PISec当作一项服务提供给另一个网络实体。

4、嵌套式隧道

有时，需要支持多级网络安全保护。比如下面一个例子:一个企业有一个安全网关，以防止其网络受到竞争者或黑客的侵犯和攻击，而企业内部另有一个安全网关，防止某些内部员工进入敏感的子网。比如银行系统的企业网。这种情况下，如果某人希望对网络内部的保护子网进行访问，就必须使用嵌套式隧道。

5、链式隧道

一种常见的网络安全配置是Hub-and-spoke。从一个网络横过Hub-and-spoke网络，到达另一个网络的数据包都由一个安全网关加密，由中心路由器解密，再加密，并由保护远程网络的另一个安全网关解密。

6、隧道交换模型

如果从交换的角度来看，它也可以称为隧道交换模型。在中心路由器所连接的四个网络可以是不同类型的网络，隧道的实现方式也可以不同，但是，不同网络的两个节点在进行数据传输时，并不关心隧道的实现媒体，隧道可以接力的方式进行数据的传递。从安全的角度，假设每一个隧道是安全的，且中心路由器也是安全的，那么任何两个节点之间的通信也应该是安全的。假设隧道间彼此不能信任，那么可以只将隧道的连接看作是一条数据的传输通道，再使用前面所论述的隧道模型实现安全保护，如点到点的隧道安全模式。

五、结束语

由于Internet基础设施的完善，隧道技能必将将在网建等各范畴，发挥着越来越重要的效果。实现隧道技能的多种多样，它们各有各的优势，如今，市场上大多数都在使用VPN这类技能。

参考文献

[1]毛小兵，VPN演进之隧道交换.《计算机世界》2000

[2]沈鑫剡.IP交换网原理、技术及实现[M].北京:人民邮电出版社，2003.

第5篇：vpn技术论文范文

论文关键词：数字资源,远程服务,虚拟专用网(VPN,服务器

随着信息技术的不断进步，数字资源的种类和数量日益增长，我国不同层次、不同类别的高校都不同程度地采购或引进了各种数字资源，以满足本校读者对数字资源的利用需求。但由于大多数数字资源出于版权保护和商业利益的考虑，往往仅限于校园网内使用，使其合法用户只能在本校 IP 地址范围内的办公室、机房或图书馆等地使用，而当其回家或出差在外时就将无法访问和使用这些资源， 这样，不仅损害了图书馆合法用户的利益，也大大降低了本馆所购数字资源的利用率。针对这种情况，可以采取以下应对措施，为本校合法用户提供校外远程访问数字资源服务。

1构建虚拟专用网（“Virtual Private Network”，简称VPN）

图书馆的电子资源因受IP地址的限制，目前只能被校园网内用户访问。为便于住校外教工、学生利用图书馆的电子资源，可引入虚拟专用网（“Virtual Private Network”，简称VPN）技术来解决这个问题，获得VPN授权的用户，可在非校园网内使用图书馆的电子资源。

1.1虚拟专用网的简介

简单地讲，VPN就是利用开放的公众网络建立专用数据传输通道，将远程的分支办公室、商业伙伴、移动办公人员等连接起来，并且提供安全的端到端的数据通信的一种广域网技术。VPN本质上是一种网络互联型业务，通过共享的网络基础架构满足企业互联需求，在共享使用网络资源的同时具有与专网一样保证用户网络的安全性、可靠性、可管理性。VPN业务并不限制网络的使用，它既可以构建于因特网或互联

网运营商(ISP)的 IP网络之上，也可以构建于帧中继(FR)或异步传输模式(ATM)等网络基础架构之上，如图1.1 所示。简言之，通过利用VPN 技术，就可以在学校内部网络与外网之间建立一个虚拟的安全通道，从而实现学校充分利用图书馆资源的需求。

1.2虚拟专用网（VPN）的优势

1.2.1 运行成本较低

VPN只需要通过现有的公用网来建立，不需要另外铺设如光纤之类的物理线路，减少了专线的租用数量，同时也减少了数据传输过程中的辅助设备，而且VPN本身带有路由功能，节省了费用和资源，因此极大地降低了运行成本。

1.2.2 具有可靠的安全性

VPN采用了隧道技术、数据加解密技术、密钥管理技术和身份认证等独特的专有技术可以实现在内部服务器上对用户资格的认证，点对点加密及各种网络安全加密，确保了本地网络和数据传输的安全，保障了图书馆网络系统的安全运行。

1.2.3 灵活的运用方式

只要网络顺畅，VPN技术就可以将图书馆内部的网络设备与外网实现安全互联。这样，图书馆的资源就能够通过该技术传输语言、图像和数据等，为广大师生提供了灵活便捷的使用方 式。

1.2.4 易用性

客户端不需要复杂的配置，不在用户操作系统安装过多的插件和程序，不改变用户使用习惯和应用快捷方式，一键式操作，简单易用；可以使读者在任何一台电脑上安全便捷地访问图书馆的电子资源。

1.2.5 便于管理

对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。

1.3 图书馆如何利用VPN技术

1.3.1 应用VPN技术授权校园网合法IP段内的用户使用数据

例如我院图书馆每年都要购买大量的电子资源，如CNKI、万方、维普、EBSCO数据库、英语学习中心（SRC）等，由于数字版权的原因，这些数字资源都有限制访问的IP地址范围。图书馆支付费用以后，数据库服务商根据访问者的IP地址来判断是否是经过授权的用户。图书馆应用VPN技术就可以授权校园网合法IP段内的用户使用数据，无需额外支持费用，使图书馆数字资源得到了最大程度的共享。

1.3.2 应用VPN技术以远程访问的形式访问图书馆数据

由于数字版权的原因，校园网及高校数字图书馆的大多数资源都不对外开放。然而又因为学校人群的特殊性，有的教职工居住在校外，使用的是公网IP，不在校园网IP范围内，无法在家或在出差的时候使用图书馆和校园网内的其他资源。暑假、寒假在家的学生同样是由于IP问题无法访问学校图书馆数据。应用VPN技术就可以轻松解决这一长期困扰图书馆的问题。用户只需要向图书馆技术管理人员申请认证证书和注册账户，就能成为远程访问系统的合法用户。在本机上安装VPN 客户端，然后登陆该账户就能通过Internet访问图书馆资源。用户无需作任何调整，网络配置也不必作任何改动。

2、除了上述的解决方案，还可以利用远程数字图书馆软件、RASDL以及Cookie跨域名技术；由图书馆咨询人员提供全文；利用检索充值卡；预设账户和密码等等的方案来解决远程访问问题。

3、结束语

随着校外合法用户访需求的增长，校外访问服务的开展显得越来越急切和重要，图书馆应综合运用多种技术方式，尽可能地为他们提供方便。同时，图书馆应加强电子资源的本地镜像建设，以减少合法使用受到的限制。

【参考文献】

[1] 王彩虹.局域网内地方高校远程访问服务模式.图书馆学刊 [J].2011,（1）.

[2] 王健.利用VPN技术实现高校图书馆数字资源的远程访问［J］.图书馆学研究. 2006,(5).

[3] 郭峰.高校图书馆VPN网络建设研究.情报探索［J］.2010, (2).

第6篇：vpn技术论文范文

论文关键词：VPN,校园网,远程访问

1 发展校园网的重要性

近几年国家对教育工作日益重视，独立学院规模不断扩大。在发展过程中，各独立学院都十分重视与母体学校的资源整合。

独立学院与母体学校一般都建立了各自的校园网络，且均接入互联网，因为诸多条件的制约，至今多数独立学院与母体学校之间没有专线相互连接，造成了校园网应用水平极低的现象。各种应用系统，如教务管理系统、题库系统和电子图书管等教学资源无法实现共享，迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成：一是母体学校的教师；二是外聘教师；三是专职教师。母体学校的教师和外聘教师，这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系，提高教学、科研和办公效率显得尤为重要。

此外，传统的Internet接入和传输服务缺少安全机制，服务质量无法保证，难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以，建立安全可靠的独立学院与母体学校间校园网的连接，实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务，如登录校内OA系统、教务系统和电子图书馆系统等，是独立学院校园网建设的当务之急。

2 VPN工作原理及其主要优点

虚拟专用网VPN（Virtual Private Network）就是利用公网来构建专用的网络，它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接， 并提供同专用网络一样的安全和功能保障。

VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN 又具有专线的数据传输功能，因为VPN 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点：(1)成本低。VPN在设备的使用量上比专线式的架构节省，故能使校园网络的总成本降低。(2)网络架构弹性大。VPN的平台具备完整的扩展性，大至学校的主校区设备，小至各分校区，甚至个人拨号用户，均可被包含在整体的VPN架构中，以致他们可以在任何地方，通过Internet网络访问校园网内部资源。(3)良好的安全性。VPN架构中采用了多种安全机制，如信道、加密、认证、防火墙及黑客侦防系统等，确保资料在公众网络中传输时不至于被窃取．或是即使被窃取了，对方亦无法读取封包内所传送的资料。(4)管理方便。VPN 较少的网络设备及物理线路，使网络的管理较为轻松。不论分校或远程访问用户的多少，只需通过互联网的路径即可进入主校区网路。

3 独立学院校园网络建设中的VPN技术选择及对策

选择适当的VPN技术可以提供安全、高效、快捷的网络服务，能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。

3.1技术选择

VPN 可分为软件VPN和硬件VPN。软件VPN 具有成本低、实施方便等优势。若是采用Windows 2000操作系统，则该操作系统本身就集成了这项功能，只需进行相应的设置即可投入使用。而硬件VPN必须借助专用的设备才可以实现，两者之间存在比较大的差别。首先是硬件VPN能穿透NAT (Network Address Translation)防火墙，其次是硬件VPN 安全性远远好于软件VPN。软件VPN 的用户身份认证方式非常简单，只能通过用户名和密码方式进行识别。硬件VPN的加密算法通常都较为安全，硬件VPN 集成了企业级防火墙、上网控制和路由功能，一次性提供多种宽带安全的解决方案，可以轻松实现远程实施和维护，相比之下软件VPN 的后期维护显得较为复杂。

目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。每项技术都对应有一些成熟的方案，如VPN 隧道类型现就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等，加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等，在构建VPN连接时应根据实际情况进行选用。

3.2 技术对策

VPN产品的性价比不同，对VPN硬件设备的选型也应视需求而定。例如，在构建VPN连接时，如果校园网构架不复杂，通讯需求量不是很大，但要求安全可靠和管理方便，应选择集成VPN功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立VPN网络的需求，其次是增加的硬件防火墙能提高校园网络的安全防范等级。

3.3 VPN网络建设实现的目标

主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换，两者之问需要建立双向可寻址的VPN访问。远程客户端要通过浏览器访问主校区的Web服务器，还需建立远程客户端到主校区的单向VPN访问。

3.3.1 主校区和分校区的VPN连接

在各校区现有校园网的出口处分别安装一台VPN网关，每个校区通过该设备连接互联网。VPN网关在保持原来的上网功能不变的情况下，在不安全的互联网上建立起经过安全认证、数据加密的IP Sec VPN隧道，实现校区安全互连。

根据主校区和分校区的网络使用要求和经济性等多方面考虑，应选用硬件型的集成VPN功能的防火墙。此外，防火墙还应具备路由功能，支持NAT技术，在分校区相对较小、校园网络构架不复杂的情况下，使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉，是一个理想的选择。主校区选择一台防火墙作为VPN网关，设备应可以支持上千个并发TCP／IP会话和上百个VPN 隧道，可以充分保证主校区内所有计算机的安全、流畅的网络使用及VPN支持的需求。对于分校区的多台计算机上网及VPN需求，选择一台可支持几十个VPN隧道的防火墙作为VPN 网关即可。由于校区网络构架并不复杂，主、分校区网关均拥有静态公网IP地址，不会做经常性的变动，可采用“基于路由的LAN (局域网)到LAN的VPN” 手动密钥方式，创建IP Sec VPN隧道，来实现校区间安全连接。

3.3.2 远程用户到主校区的VPN连接

考虑到远程用户访问校园网络集中于主校区Web服务器，远程用户到主校区的VPN连接可以采用SSL VPN模式。SSL VPN采用高强度的加密技术和增强的访问控制，而且易于安装、配置和管理，避开了部署及管理必要客户软件的复杂性和人力需求。

3.3.3 做好防护，提高VPN的安全性

虽然VPN 为远程工作提供了极大的便利，但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件，而远程计算机就不一定拥有这些安全软件的防护。因此，必须有相应的解决方案堵住VPN的安全漏洞，比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查，对敏感文件进行加密保护等，这样才能防患于未然。

4、结束语

总之，在独立学院与母校之间通信要求越来越高，各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到VPN网关的连接解决了受地域等条件限制的远程办公问题，满足了经常在校外工作人员查阅、访问本院信息资源的需要；通过VPN连接两个局域网，实现高校各校区之间网络系统的逻辑连接，为各校区的资源共享提供方便、快捷的服务创造了良好条件。

参考文献：

[1] 戴宗坤等 VPN 与网络安全[M]． 北京： 电子工业出版社， 2002．

第7篇：vpn技术论文范文

>> 浅谈呼伦贝尔市科技系统办公自动化平台系统建设 企业OA协同办公系统建设及后续开发与应用 浅谈医院办公自动化系统建设与管理 浅谈办公自动化系统建设的实践与启示 浅谈企业门户系统建设的关键技术 浅谈企业邮件系统建设与改造 浅谈企业信息管理系统建设 浅谈供电企业95598客户服务系统建设 浅谈VRS系统建设 办公应用系统建设的改进思路 浅谈如何加强企业办公室系统自身建设 浅谈电力营销管理系统建设 浅谈医院标识系统建设 浅谈医院信息系统建设 浅谈航标遥测遥控系统建设 浅谈企业培训中的E-Learning网络学习系统建设 浅谈冶金企业安全生产标准化系统建设 浅谈大中型制造企业成本管理系统建设 浅谈企业财务管理信息化系统建设 浅谈当代企业集团档案管理系统建设 常见问题解答 当前所在位置：.

[3]李福东.移动办公平台架构研究与实现[D].北京：北京邮电大学硕士论文，2008.

[4]尤卫军.移动办公平台的实现方式[J].科技创新导报，2012（2）.http：//.cn/Article/CJFDTotal-JSJS201202015.htm.

[5]王颖.移动办公综合适配方案研究[J].数字通信，2011（12）：36.

[6]温国兴，钱旭菲.利用移动信息化技术实现移动办公.http：//.cn/news/rdzt/bjdl/yxzp/jsyy/yxj/t20110104_624963.shtml.

[7]张璞，文登敏.基于J2ME和J2EE的移动电子商务系统的研究[J].成都信息工程学院学报，2006（4）：504-507.

[8]罗勤.基于J2ME的移动办公系统的研究与开发：[硕士学位论文].大连：大连海事大学，2005.

第8篇：vpn技术论文范文

【关键词】 WCDMA技术 无线传感器网络 中间件

RESEARCH ON NETWORK INTERCONNECTION OF WSN AND WCDMA

Xu Zhiwei，Ni Jie，Wang Gang，Zhao Honglin，Ma Yongkui （Harbin Institute of Technology，Heilongjiang Harbin，150001）

Abstract：ON the background of WCDMA mobile communication system of ZTE and WSN system of OURS， the article designs the interconnection scheme and realizes its function through B/S structure. The article designs the interconnection scheme on middleware technology and realizes its function through WEB.

Keywords： WCDMA technology， wireless sensor network， middleware

一、 n题研究背景

WCDMA移动通信系统是哈尔滨工业大学通信工程系与中兴通讯公司共建的硕士生和本科生校内实践基地。实验室现有的WCDMA移动通信网络只具备基本的语音通信和数据通信功能，学生们不能充分体会到通过移动通信终端控制实际设备的功能，这样就会使学生缺少对系统的更全面的认识和兴趣。本文设计WSN与WCDMA网络互联的具体方案，提出以中间件技术进行WCDMA移动通信网络和无线传感器网络进行互联的具体方案，配置网络互联所需要的主要参数。本文利用无线传感器网络中间件技术实现WSN和WCDMA系统的互联，验证移动通信终端通过WCDMA移动通信网络来访问和控制无线传感器网络的功能。

二、网络互联方案的设计

本文中系统的组建主要包括WCDMA移动通信系统的组建和WSN实验系统的组建两部分。WCDMA移动通信系统采用WCDMA R4网络结构，利用中兴通讯公司的技术实现。WSN实验系统是基于奥尔斯公司OURS-IOTV2-EP平台组建的。WSN和WCDMA网络互联是通过中间件技术实现。

2.1 WCDMA移动通信系统的组成

本文采用WCDMA R4网络结构作为组建移动通信网络的模型。WCDMA R4网络结构主要由Node B、RNC、CS和PS等组成。CS域的功能实体主要包括移动媒体网关（MGW）和移动软交换中心（MSC）。PS域的功能实体主要包括SGSN和GGSN等设备。

基站（Node B）在RNC控制下完成射频信号的接收和发射，与移动终端进行通信，对信号进行调制解调和定位信息管理。RNC通过接口电路完成对基站的管理，RNC通过接口电路与核心网进行通信。RNC负责信道分配、信道切换、逻辑信道到传输信道的映射、信道传输格式设置。核心网由电路域（CS）和分组域（PS）构成。电路域（CS）主要完成用户的语音通信功能，包括话音业务、短信业务和视频通话。分组域（PS）主要管理用户访问互联网的业务。本文选择基站的型号是中兴通讯公司的ZXSDR B8200 +ZXWR R8840，RNC选用的型号是ZXWR-RNCV3，移动媒体网关型号是ZXWN MGW，移动软交换中心型号是ZXWN MSC，分组域的型号是ZXWN PS。

2.2 WSN实验系统的组成

该实验系统主要由硬件部分和软件部分组成。硬件设备包括8个无线通信模块、8个传感器模块、8个电源板模块、高性能嵌入式网关和其他配套设备。实验系统包含4个无线传感网通信节点和一个无线互联网解调器。

2.3通过WEB中间件实现网络互联

中间件是在操作系统（包含底层通讯协议）和多类分布式应用系统联系的单个应用中间件，中间件的主要功能是屏蔽软件系统的差异，实现对上层系统透明传输的功能，无线传感器网络的中间件软件制定需要遵守如下的标准：

A 由于节点的能源、运算、储存性能和通讯性能不足，因此WSN中间件需要的是较轻能耗程度的器件，且可以在功能和能源利用间实现均衡。

B 传感网环境比较复杂，因而中间件软件还需要供给优越的容错体制、自变化体制和自保护体制。

C 中间件软件的下层支持是多类软件节点和操作平台（如TinyOS、MANTIS OS、SOS等），因而中间件系统不用考虑下层的差异。

D中间件系统由不同的软件组成，为各种上层软件供给相同的、能够拓展的接口，进而进行应用的研制。

IOTService 是基于微软操作系统运行的，其功能主要是把不同的软件服务集成到一个系统中。其它的系统和终端通过不同的局域网和广域网与IOTService进行连接。IOTService的主要优点是为不同的用户提供统一的软件接口，可通过服务器/客户端的模式通信，也可以搭建 WebService，通过WebService 和 IOTService 进行通信，再进一步编写 B/S 架构的应用软件。整个系统结构如图1所示。由于WSN的中间件技术能够很好的在不同网络环境中运行，因此选取中间件技术作为WSN和WCDMA网络互联的方案。

2.4基于VPN技术实现网络安全互联

虽然WSN和WCDMA网络本身都有一些安全协议来保证信息在传输的过程中的安全性，但由于在实际应用中WSN与WCDMA进行互联时都要通过Internet，由于Internet对所用用户是开放的，因此信息经过Internet传输时容易受到黑客的攻击，所以研究WSN和WCDMA安全互联技术很重要。本文研究并现了基于VPN技术进行网络安全互联的方案。

虚拟专用网（Virtual Private Network）是通过互联网等建立一种基于安全协议的网络连接，通过VPN建立起的网络连接是经过安全协议加密的，因此能够对要传输的数据进行加密，实现在开放的互联网中安全通信的目的。在VPN中，任意两个节点之间的连接并没有穿通专用的端到端物理链路，而是架构在公用网络平台上。VPN对用户端透明，用户使用一条专用线路进行通信。

三、实验过程

实验过程主要包括：（1）运行计算机中的中间件。（2）修改tcpser.ip和 tcpsbm.ip为中间件所在计算机的IP 地址。（3）修改tcpser.port 和 tcpsbm.port为无线传感网络数据 TCP 端口和管理中间件TCP 端口。（4）把jdbc.url中的DBQ部分修改为Access数据库的路径。（5）运行startup.bat批处理命令。（6）在WCDMA制式的移动终端浏览器中输入IP地址后，移动终端的屏幕上出现物联网管理界面，在这里可以完成相关模块的管理功能，实现无线传感器网络节点拓扑结构的显示和管理等功能。

四、结束语

本文完成以下研究工作：

1、组建以WCDMA R4为网络结构的移动通信系统，设计Node B、RNC和核心网的主要参数，实现移动通信终端通过WCDMA网络的语音和数据通信功能。

2、分析无线传感器网络与WCDMA移动通信网络互联的方案，选取中间件技术的互联方案。

3、设计基于VPN技术的网络互联方案，并验证该方案能够对WSN和WCDMA网络进行安全互联。

参 考 文 献

[1]孙卓. 异构无线网络中的接入选择机制研究. 北京邮电大学博士论文，2007.

第9篇：vpn技术论文范文

【 关键词 】 SSL；SSL VPN；指纹识别；APT

1 引言

随着信息技术的飞速发展，互联网技术的普及，一方面为人们生活带来的便利，另一方面也出现越来越多的安全问题。自2013年美国“棱镜门”事件后，关于APT（高级持续性威胁）的讨论和研究也越来受到关注。

APT是一种针对特定目标组织的有经济或政治目的，且持续时间较长的一种攻击，它结合了传统的网络攻击方式同时利用0day漏洞，常常使受攻击者防不胜防，直到出现真正损失才觉察到攻击的存在。目前在APT攻击中，常利用SSL隐藏或传递机密信息，同时SSL木马的频繁使用，危害也日益严重，因此如何区分出正常和异常的SSL成为了预防APT攻击的一种有效方式。现有的方法主要是针对SSL证书的可信度检测上，但是近年来伪造证书可信度越来越高，所以单从证书角度已不全面可靠，还需要从SSL流量的端口、上下报文以及连接时长等流量统计特点出发进行。由于SSL有不同类型，比如SSL VPN、浏览器的SSL，不同类型具体的检测方式也不相同，因此在此之前需要对抓取的各类SSL流量进行分类。目前对SSL流量分类的相关研究仍是空白，本文基于此提出了各种SSL流量的“指纹识别”方法。

文章共分为四部分，首先介绍研究内容背景和意义，然后简要说明SSL握手协议，其次对SSL流量“指纹识别”方法进行详细阐述，最后分析方法的特点及未来研究展望。

2 SSL握手协议

SSL安全套阶层协议是为主机间提供安全通道的协议，位于传输层和应用层之间，提供连接的隐秘性、用户的真实性以及数据的可靠性。SSL协议由握手层协议、记录层协议、更改密文协议和警报协议组成，如图1所示。

其中握手协议是SSL协议中最为重要的协议，通过握手可以提供对双方的身份验证机制。在这一过程中客户端和服务器需要确认一个用于加密明文数据所使用的密钥和算法，同时协商双方的信息摘要算法、数据压缩算法等，过程如图2所示。

（1）ClientHello消息。客户端会首先向服务器发送这条消息，来通知对方客户端所支持的算法，以及为了将来生成多个加密密钥所需要的客户端随机数。

（2）ServerHello消息。服务器会从客户端发送的加密算法中选择其中的一种。

（3）Server Certificate 消息。Server Certificate包含了用于身份认证的服务器标识，以及一个用于生成加密参数的随机数。

（4）Certificate Request 消息。可选消息，如果服务器不需要验证客户端的身份，则不会发送这条消息。

（5）Server Hello Done消息。这条消息表示ServerHello消息与Certificate消息一经发送完毕，服务器会等候客户端的回应。客户端一旦收到这条消息，才开始数字证书合法性的验证。

（6）Client Certificate 消息。可选，如果没有收到Certificate Request消息，则不需要发送数字证书。

3 SSL类型识别

SSL握手是客户端和服务器进行密钥、算法协商的步骤，不同类型的SSL有特定的密钥和算法选择方式，这些可选择的密钥和算法通过ClientHello消息进行传递，因此本文将根据SSL握手协议中客户端发送的ClientHello消息来区分不同类型的SSL流量。

ClientHello消息中包含了SSL/TLS版本号、Cipher Suites（加密套件）和扩展部分的签名算法等。通常对于同一个客户端发出的不同类型SSL请求，其ClientHello消息是有差别的。目前SSL流量可大致分为SSL VPN和浏览器产生的SSL，我们通过Wireshake软件进行大量抓包后分析发现，通过Cipher Suites、SessionTicket TLS、Status_request这三个字段信息可以有效区分SSL VPN和浏览器的SSL流量，甚至可区分出不同浏览器和同一浏览器在不同操作系统下的SSL流量。

近几年Microsoft推出使用SSL进行加密的SSTP，方便了用户在Windows上直接建立VPN，所以本文对SSL VPN的分析着重集中在SSTP VPN。同时主流的浏览器有IE、Chrome、Firefox、Sougou，其中Sougou是使用IE和Chrome内核，因此不对Sougou浏览器进行分析。特别需要注意的是，IE的各个版本随着不同的操作系统版本SSL流量具有明显不同。

3.1 SSTP VPN

SSTP VPN仅支持Win7操作系统及以上版本，在Win7、Win8以及Win8.1客户端与Windows Server 2012间搭建SSTP VPN并抓取数据包，通过大量实验总结发现，SSTP VPN在Win7和Win8操作系统中通常使用TLSv1.0，而Win8.1则使用TLSv1.2。并且Win7和Win8下Cipher Suites的总数相同，共12个，相比之下Win8.1的 SSTP VPN Cipher Suites包含了24个加密套件。Cipher Suites通常由三个部分组成，第一是密钥交换算法，第二是对称加密算法，第三是摘要或者MAC算法， RFC2246中建议了很多中组合，一般写法是“密钥交换算法-对称加密算法-摘要算法”。

虽然Win7和Win8下SSTP VPN的加密套件数量相同，但是还可通过扩展部分是否包含SessionTicket TLS进行有效区分，实验表明只有Win8和Win8.1才包含该项。Session Ticket是用于在握手阶段SSL连接中断后重新握手使用的，与Session ID的区别在于即使客户端的重新请求发送至另一台服务器仍然可以恢复对话，但是它仅保存在客户端， 目前在浏览器中只有Firefox和Chrome和Win8以上版本的IE浏览器支持。此外三个操作系统下的SSTP VPN都不包含Status request扩展项，而浏览器则都包含，这是它们之间的最大区别。SSTP VPN的比较见表1，“√”表示包含，反之为“×”。

3.2 IE浏览器

对于IE浏览器，目前仍有使用的是IE8到IE11，其中Win7支持IE8、IE9，Win7 Sp1版本支持IE11以前的所有版本，从Win8.1开始则主要使用IE11。在Win8及以上版本，IE浏览器产生的SSL流量包含了SessionTicket TLS字段，这是Win7版本与Win8、Win8.1流量的最大区别，通过这一特点可快速区分出浏览器的操作系统环境。然而，在Win7及Win7 sp1版本中，IE8、IE9和IE10都没有区别，无论从握手协议扩展项或者加密密码套件上看都是相同的，数量都为12个，与Win7环境下SSTP VPN的加密套件一致。唯独能够进行区分的只有IE11，其加密密码套件Cipher Suites包含了21个，在原有12个的基础上新增了9个组合。

相比之下Win8.1则较容易识别，因为只使用IE11，且用TLS 1.2版本，不仅包含SessionTicket TLS，而且Cipher Suites共有19个，更新升级后的Win8.1专业版的Cipher Suites则包含24个，不只是数量上简单的增加，还去除了原有的几个加密算法组合。IE各版本识别如表2所示。

3.3 其他浏览器

针对其他两个非IE的浏览器，Firefox和Chrome，这两类浏览器产生的SSL流量都包含了SessionTicket TLS、Status_reques。但Cipher Suites数量上，在Win7系统下，当Firefox和Chrome使用TLS 1.0时， Firefox有11个Cipher Suites，而Chrome则有17个。除了在Cipher Suites的数量上的差别，Firefox和Chrome在其他扩展字段与IE浏览器有明显区别，主要体现在签名哈希算法数量以及椭圆曲线算法。在签名哈希算法数量选择上，Chrome共10个，比Firefox总数多了2个，且具体签名算法也不尽相同，而IE浏览器只有在使用TLS 1.2时扩展项才有签名哈希算法，数量为7个。不仅如此，在椭圆曲线算法上，Chrome浏览器、IE浏览器以及SSTP VPN各版本在数量和类型上都相同，只有Firfox多了一个。该特点即可区分Firefox与其他SSL类型。

通过以上ClientHello几个字段的比较可以明显区分各种类型的SSL流量，实现了SSL“指纹识别”，同时也为后续设计SSL检测模型防御APT攻击奠定了基础。虽然所提分类方式弥补了目前研究空缺，但是对浏览器的SSL流量识别仅集中在Win7及以上现今较流行操作环境，对微软早前的操作系统比如XP、Vista等未做分析，这是实验的不足之处。

4 结束语

本文通过分析现有APT和SSL研究背景，提出了一种通过SSL握手协议中的ClientHello消息进行SSL流量类型识别的方法，不仅对Win7及以上版本的SSTP VPN、各版本浏览器的SSL流量做了有效区分，也为以后提出SSL检测模型做好准备工作。未来我们将在此基础上深入分析各种SSL流量类型的异常检测。

参考文献

[1] Paul Giura， Wei Wang. A Context-Based Detection Framework for Advanced Persistent Threats. International Conference on Cyber Security[C].2012，69-74.

[2] 黄达理， 薛质. 进阶持续性渗透攻击的特征分析研究[J]. 信息安全与通信保密， 2012， （5）： 87-89.

[3] Zigan Cao， Gang Qiong， Yong Zhao， et al. Two-Phased Method for Detection Evasive Network Attack Channels[J]. China Communication， 2014， （8）： 47-58.

[4] Linshung Huang， Alex Rice， Erling Ellingsen，et al. Analyzing Forged SSL Certificates in the Wild. IEEE Security and Privacy [C].2014，83-97.

[5] 钟军， 吴雪阳， 江一等. 一种安全协议的安全性分析及攻击研究[J]. 计算机科学与工程， 2014，36（6）： 1077-1082.

基金项目：

国家自然科学基金重点项目（云计算环境下软件可靠性和安全性理论、技术与实证研究）（编号：61332010）。

作者简介：

苏E昕（1992-），女，上海交通大学，硕士；主要研究方向和关注领域：网络安全、信息安全管理。