vpn技術論文精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的vpn技術論文主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：vpn技術論文范文

關鍵詞：vpn，管理，管理技術

 

一、VPN服務及其應用

VPN，即Virtual Private Network，是建立于公共網絡基礎之上的虛擬私有網絡，如利用Internet連接企業總部及其分支。VPN能夠給企業提供和私有網絡一樣的安全性、可靠性和可管理性等，并且能夠將通過公共網絡傳輸的數據加密。利用VPN，企業能夠以較低的成本提供分支機構、出差人員的內網接入服務。

如果訪問企業內部網絡資源，使用者需要接入本地ISP的接入服務提供點，即接入Internet，然后可以連接企業邊界的VPN服務器。如果利用傳統的WAN技術，使用者和企業內網之間需要有一根專線，而這非常不利于外出辦公人員的接入。而利用VPN，出差人員只需要接入本地網絡。論文寫作，管理。如果企業內網的身份認證服務器支持漫游的話，甚至可以不必接入本地ISP，并且使用VPN服務所使用的設備只是在企業內部網絡邊界的VPN服務器。

二、VPN管理

VPN能夠使企業將其內部網絡管理功能從企業網絡無縫延伸到公共網絡，甚至可以是企業客戶。這其中涉及到企業網絡的網絡管理任務，可以在組建網絡的初期交給運營商去完成，但企業自身還要完成許多網絡管理的任務。所以，一個功能完整的VPN管理系統是必需的。

通過VPN管理系統，可以實現以下目的：

1、降低成本：保證VPN可管理的同時不會過多增加操作和維護成本。

2、可擴展性：VPN管理需要對日益增加的企業客戶作出快速的反應，包括網絡軟件和硬件的平滑升級、安全策略維護、網絡質量保證QOS等。論文寫作，管理。

3、減少風險：從傳統的WAN網絡擴展到公共網絡，VPN面臨著安全與監控的風險。網絡管理要求做到允許公司分部、客戶通過VPN訪問企業內網的同時，還要確保企業資源的完整性。

4、可靠性：VPN構建于公共網絡之上，其可控性降低，所有必須采取VPN管理提高其可靠性 。

三、VPN管理技術

1、第二層通道協議

第二層通道協議主要有兩種，PPTP和L2TP，其中L2TP協議將密鑰進行加密，其可靠性更強。

L2TP提高了VPN的管理性，表現在以下方面：

（1）安全的身份驗證

L2TP可以對隧道終點進行驗證。不使用明文的驗證，而是使用類似PPPCHAP的驗證方式。論文寫作，管理。

（2）內部地址分配

用戶接入VPN服務器后，可以獲取到企業內部網絡的地址，從而方便的加入企業內網，訪問網絡資源。地址的獲取可以使用動態分配的管理方法，由于獲取的是企業內部的私有地址，方便了地址管理并增加安全性。論文寫作，管理。

（3）網絡計費

L2TP能夠進行用戶接口處的數據流量統計，方便計費。

（4）統一網絡管理

L2TP協議已成為標準的協議，相關的MIB也已制定完成，可以采用統一SNMP管理方案進行網絡維護和管理。

2、IKE協議

IKE協議，即Internet Key Exchange，用于通信雙方協商和交換密鑰。IKE的特點是利用安全算法，不直接在網絡上傳輸密鑰，而是通過幾次數據的交換，利用數學算法計算出公共的密鑰。數據在網絡中被截取也不能計算出密鑰。使用的算法是Diffie Hellman，逆向分析出密鑰幾乎是不可能的。

在身份驗證方面，IKE提供了公鑰加密驗證、數字簽名、共享驗證字方法。并可以利用企業或獨立CA頒發證書實現身份認證。

IKE解決了在不安全的網絡中安全可靠地建立或更新共享密鑰的問題，是一種通用的協議，不僅能夠為Ipsec進行安全協商，還可以可以為OSPFv2 、RIPv2、SNMPv3等要求安全保密的協議協商安全參數。

3、配置管理

可以使VPN服務器支持MIB，利用SNMP的遠程配置和查詢功能對VPN網絡進行安全的管理。

（1）WEB方式的管理

利用瀏覽器訪問VPN服務器，利用服務器上設置的賬戶登錄，然后將Applet下載到瀏覽器上，就可以對服務器進行配置。論文寫作，管理。用戶登錄后，服務器會只授權登錄的IP地址和登錄客戶權限，從而避免偽造的IP地址和客戶操作。而且利用這種方式，還解決了普通SNMP協議只有查詢沒有配置功能的缺點。

（2）分級統一管理

如果企業網絡規模擴大，可以對VPN服務器進行統一配置管理，三級網絡中心負責數據的收集與統計，然后向上層匯總。收集的數據包括VPN用戶數量、VPN用戶的數據流量等。通過分級管理，一級網絡中心就能夠獲取全部VPN用戶的數量、流量并進行統計，分析出各地情況，從而使用合適的方案。

4、IPSec策略

IPSec是一組協議的總稱，IPsec被設計用來提供入口對入口通信安全分組通信的安全性由單個結點提供給多臺機器或者是局域網，也可以提供端到端通信安全，由作為端點的計算機完成安全操作。上述兩種模式都可以用來構VPN，這是IPsec最主要的用途。

IPSec策略包括一系列規則和過濾器，以便提供不同程度的安全級別。論文寫作，管理。在IPSec策略的實現中，有多種預置策略供用戶選擇，用戶也可以根據企業安全需求自行創建策略。IPSec策略的實施有兩種基本的方法，一是在本地計算機上指定策略，二是使用組策略對象，由其來實施策略。并且利用多種認證方式提升VPN的安全管理性。

利用上述VPN管理技術，可以大大提高企業網絡資源的安全性、完整性，并能夠實現資源的分布式服務。以后還將結合更多的技術，實現VPN網絡靈活的使用和安全方便的管理。其使用的領域也會越來越廣泛。

參考文獻：

[1]帕勒萬等著劉劍譯.無線網絡通信原理與應用[M].清華大學出版社，2002.11

[2]朱坤華，李長江.企業無線局域網的設計及組建研究[J].河南科技學院學報2008.2:120-123

[3]潘愛民.計算機網絡（第四版）[M].清華大學出版社2004.8

第2篇：vpn技術論文范文

論文關鍵詞：電子商務，信息安全，防火墻，權限控制

 

0 引言

近年來,隨著信息技術的發展,各行各業都利用計算機網絡和通訊技術開展業務工作。廣西百色田陽縣農產品批發中心利用現代信息技術建有專門的網站，通過網站實施農產品信息、電子支付等商務工作。但是基于互聯網的電了商務的安全問題日益突出，并且該問題已經嚴重制約了農產品電子商務的進一步發展。

1　農產品電子商務的安全需求

根據電子商務系統的安全性要求，田陽農產品電子商務系統需要滿足系統的實體安全、運行安全和信息安全三方面的要求。

1) 系統實體安全

系統實體安全是指保護計算機設備、設施（含網絡）以及其它媒體免遭地震、水災、火災、有害氣體和其它環境事故（如電磁污染等）破壞的措施和過程。

2) 系統運行安全系統運行安全是指為保障系統功能的安全實現，提供一套安全措施（如風險分析、審計跟蹤、備份與恢復、應急）來保護信息處理過程的安全[1]。項目組在實施項目前已對系統進行了靜態的風險分析，防止計算機受到病毒攻擊，阻止黑客侵入破壞系統獲取非法信息，因此系統備份是必不可少的（如采用放置在不同地區站點的多臺機器進行數據的實時備份）。為防止意外停電，系統需要配備多臺備用電源，作為應急設施。

3) 信息安全

系統信息安全是指防止信息財產被故意的或偶然的非授權泄露、更改、破壞或信息被非法的系統標識、控制。系統的核心服務是交易服務，因此保證此類安全最為迫切。系統需要滿足保密性，即保護客戶的私人信息，不被非法竊取。同時系統要具有認證性和完整性，即確保客戶身份的合法性，保證預約信息的真實性和完整性，系統要實現基于角色的安全訪問控制、保證系統、數據和服務由合法的客戶、人員訪問防火墻，即保證系統的可控性。在這基礎上要實現系統的不可否認性，要有效防止通信或交易雙方對已進行的業務的否認論文的格式。

2 農產品電子商和安全策略

為了滿足電子商務的安全要求，電子商務系統必須利用安全技術為電子商務活動參與者提供可靠的安全服務，具體可采用的技術如下：

2.1基于多重防范的網絡安全策略

1) 防火墻技術

防火墻是由軟件系統和硬件系統組成的，在內部網與外部網之間構造保護屏障。所有內外部網之間的連接都必須經過保護屏障，并在此進行檢查和連接，只有被授權的信息才能通過此保護屏障，從而使內部網與外部網形成一定的隔離，防止非法入侵、非法盜用系統資源，執行安全管制機制，記錄可疑事件等。

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

邊界防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

2) VPN 技術

VPN 技術也是一項保證網絡安全的技術之一，它是指在公共網絡中建立一個專用網絡，數據通過建立好的虛擬安全通道在公共網絡中傳播。企業只需要租用本地的數據專線，連接上本地的公眾信息網，其分支機構就可以相互之間安全的傳遞信息。同時，企業還可以利用公眾信息網的撥號接入設備，讓自己的用戶撥號到公眾信息網上，就可以進入企業網中。使用VPN 技術可以節省成本、擴展性強、提供遠程訪問、便于管理和實現全面控制，是當前和今后企業網絡發展的趨勢。

VPN提供用戶一種私人專用（Private）的感覺，因此建立在不安全、不可信任的公共數據網的首要任務是解決安全性問題。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Intranet VPN中，要有高強度的加密技術來保護敏感信息；在遠程訪問VPN中要有對遠程用戶可*的認證機制。

性能

VPN要發展其性能至少不應該低于傳統方法。盡管網絡速度不斷提高，但在Internet時代，隨著電子商務活動的激增，網絡擁塞經常發生，這給VPN性能的穩定帶來極大的影響。因此VPN解決方案應能夠讓管理員進行通信控制來確保其性能。通過VPN平臺，管理員定義管理政策來激活基于重要性的出入口帶寬分配。這樣既能確保對數據丟失有嚴格要求和高優先級應用的性能防火墻，又不會“餓死”，低優先級的應用。

管理問題

由于網絡設施、應用不斷增加，網絡用戶所需的IP地址數量持續增長，對越來越復雜的網絡管理，網絡安全處理能力的大小是VPN解決方案好壞的至關緊要的區分。VPN是公司對外的延伸，因此VPN要有一個固定管理方案以減輕管理、報告等方面負擔。管理平臺要有一個定義安全政策的簡單方法，將安全政策進行分布，并管理大量設備論文的格式。

2.2基于角色訪問的權限控制策略

農產品電子商務系統信息系統含有大量的數據對象，與這些對象有關的用戶數量也非常多，所以用戶權限管理工作非常重要。

目前權根控制方法很多，我們采用基于RBAC演變的權限制制思路。在RBAC之中，包含用戶、角色、目標、操作、許可權五個基本數據元素，權限被賦予角色，而不是用戶，當一個角色被指定給一個用戶時，此用戶就擁有了該角色所包含的權限[2]。角色訪問控制策略主要是兩方面的工作：

(1)確定角色

根據系統作業流程的任務，并結合實際的操作崗位劃分角色。角色分為高級別角色和代級別角色，低級別角色可以為高級別角色的子角色，高級別角色完全繼承其子角色的權限。

(2)分配權限策略

根據系統的實際功能結構對系統功能進行編碼，系統管理員可以創建、刪除角色所具有的權限，以及為角色增加、刪除用戶。需要注意的是角色被指派給用戶后，此時角色不發生沖突，對該角色的權限不能輕易進行修改，以免造成由于修改角色權限從而造成角色發生沖突。對用戶的權限控制通過功能菜單權限控制或者激活權限控制來具體實現。用戶登陸系統時，系統會根據用戶的角色的并集，從而得到用戶的權限，由權限得到菜單項對該用戶的可視屬性是true/false，從而得到用戶菜單。

2.3基于數據加密的數據安全策略

在農產品商務系統中，數據庫系統作為計算機信息系統核心部件，數據庫文件作為信息的聚集體，其安全性將是重中之重。

1)數據庫加密系統措施

(1)在用戶進入系統進行兩級安全控制

這種控制可以采用多種方式，包括設置數據庫用戶名和口令，或者利用IC卡讀寫器或者指紋識別器進行用戶身份認證。

2)防止非法復制

對于服務器來說防火墻，可以采用軟指紋技術防止非法復制，當然，權限控制、備份/復制和審計控制也是實行的一樣。

3)安全的數據抽取方式

提供兩種卸出和裝入數據庫中的加密數據的方式：其一是用密文式卸出，這種卸出方式不解密，卸出的數據還是密文，在這種模式下，可直接使用DBMS提供的卸出、裝入工具；其二是用明文方式卸出，這種卸出方式需要解密，卸出的數據明文，在這種模式下，可利用系統專用工具先進行數據轉換，再使用DBMS提供的卸出、裝入工具完成[3]。

3結束語

隨著信息化技術的快速發展，農產品電子商務創新必須適應新的變化，必須充分考慮信息安全因素與利用信息安全技術，這樣才能實現農產品電子商務業務快速增長，本文所述的安全策略，對當前實施電子商務有一定效果的，是值得推介應用的。

參考文獻：

[1]盧華玲.電子商務安全技術研究[J].重慶工學院學報（自然科學版），2007，（12）：71－73.

[2]唐文龍.基于角色訪問控制在農產品電子商務系統中的應用[j]. 大眾科技.34-35

[3]張立克.電子商務及其安全保障技術[J].水利電力機械,2007,29(2):69-74.

第3篇：vpn技術論文范文

論文摘要:縣級供電企業在推進信息化過程中，普遍存在著成本過大，安全系數較低以及建設周期長等問題。結合廬江供電公司在開展城鄉營銷管理信息化建設中出現的問題進行分析，提出利用VPN實現全公司網絡互聯的解決方案，并分析了下一步信息化的主攻方向。

0引言

隨著電力信自、化水平的不斷提高，縣級供電企業綜合管理信息系統開始逐步建立，但基層變電站、鄉鎮供電聽與供電公司局域網聯網問題嚴重地制約著縣級供電企業信息系統實用化水平的發展和信息資源的充分有效利用，這與供電企業管理發展的目標追求以及客戶的需求是極不適應的。由于鄉鎮供電所信息化建設工作受地形、人員素質、資金投人等因素影響，解決遠程站點聯網問題成為縣級供電企業信自、網絡建設中的突出矛盾。

1廬江供電公司信息化建設現狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實現了生產M I S與辦公自動化OA的單軌制運行，總部信息化運行提高了企業的整體管理水平和辦公效率。如今，廬江供電公司總部已運行的信息系統有:生產管理系統、辦公自動化系統、檔案管理系統、Web系統、財務管理系統，現有的服務器包括:生產服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺，每位管理人員以及每個班組都配有微機。

在實施信息化建設與管理中，深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本，并在生產管理中可將所有設備信息進行分類編號，輸人數據庫，實行設備、設施缺陷管理，科學地制定缺陷檢修計劃，提高設備運行可靠度，降低故障率，提高供電可靠性;同時，廬江供電公司的營銷管理信息系統建有業擴子系統、電量電費f系統、用電檢查子系統、綜合查詢系統，通過這些系統，可方便與客戶的交流、溝通，節約成本開支，實現科學化營銷流程管理。這些管理信息系統的應用，加強J’企業的規范化管理，增強了管理的科學化水平，減輕了工作人員的負擔，提高了企業的經濟效益。

為此，廬江供電公司加入了鄉鎮供電所營銷MIS應用系統的推進力度，進一步減輕了抄表人員的負擔，縮短了開票時間，加強了電費電價的控制與管理，提高了營銷管理自動化水平。全縣17個鄉鎮供電聽，都使用同一版本的營銷MIS應用系統。舟個供電聽都有3臺以上的微機，其中1臺所長用于日常辦公，另外2臺分別作為用電MIS系統的服務器與客戶端，并兼為所里其他工作人員辦公使用。其中，已有10個供電所可利用變電站的光纖系統，與廬江供電公司總部實現網絡互聯，提高了工作效率，節省了開支。其余7個供電所仍不能夠實現信息化共享，這些供電所非常希望盡快網絡互聯。

2采用VPN方案推進供電所信息化建設進程

這些供電所若使用以前的光纖聯網方式，不僅投資大，施工工期長，而且日后的維護量也多。考慮到以上原因，為盡快解決其余7個光纖未開通的鄉鎮供電所的網絡互聯問題，達到信息、共享，推廣鄉鎮供電所的營銷MIS系統應用，公司決定采用虛擬局域網(VPN)，在現有設備基礎上，進行簡單的改造。通過在VPN網關中配置7個供電所的用戶、密碼以及訪問策略，并分別在7個供電所安裝VPN客戶端，安裝公司的MIS應用系統，實現全公司網絡互聯。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術，可以在公用的互聯網上建立安全的虛擬專用網絡(VPN ， Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程，該過程把數據安全地從一端傳送到另一端，這里數據的安全性由可靠的加密技術來保障，而數據是在一個開放的、沒有安全保障的、經過路由傳送的網絡上傳輸的。VPN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。 轉貼于

3方案效果比較

對2種方案的可能性進行了比較，如圖1所示。如果廬江供電公司全部運用光纖法來實現供電所的網絡互聯，每個供電所的材料費、施工費按3.5萬元，施工工期10天計算，7個供電所就需要3.5 x 7=24.5萬元，需要10 x 7=70天。若這7個供電所采用VPN方案，只需要購買VPN網關1臺，價值3.5萬元和7個客戶端鑰匙，價值7 x 480=3360元，5天內就能完成7個供電所安裝。因此，應用VPN方案，廬江供電公司就能節省資金達24 . 5-3 . 836=20.664萬元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線路維護所需要工作量。

現在，這7個鄉鎮供電所均可利用VPN方案安全可靠地登陸公司局域網，在局域網下載內容的速度可達350 kb/s，生產MIS系統響應時間為2--3 s，辦公自動化系統瀏覽公司收發的文件、接受電子郵件的時間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對稱數字環路，所以發送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運行效果來看，完全能夠滿足廬江供電公司網絡發展及MIS系統應用的需要。

4下一步信息化建設的主攻方向

目前，廬江供電所信息化還處于初級階段，對電力企業信息化建設的目標還沒有完全形成統一的管理標準;同時，廬江供電公司在實施VPN技術后，也清楚地看出:VPN是一種虛擬專用網絡，而不是一種真正的專用網絡。因此，廬江供電公司打算設立嚴格的管理制度，包括嚴格的權限管理，無關人員無權查看、改動數據，VPN客戶端的用戶與密碼管理等，建立起一套計算機管理操作等規章制度，使整個網絡安全有序地運行。此外，該公司今后還將加大對供電所使用人員的計算機培訓力度，包括計算機知識在內的應用培訓，促進操作人員更好地使用軟件，提高操作人員計算機水平，也為計算機應用在企業內部得到更好地發展起到一定的推動作用，并充實培養供電聽計算機網絡管理人員、信息安全管理人員，把信息化建設中的培訓工作貫穿始終，進而拓寬信息化的覆蓋面，保證信息、化工作的健康發展，讓VPN技術更好地為廬江供電公司信息化、專業化、現代化服務。

5結語

第4篇：vpn技術論文范文

【關鍵詞】隧道技術，應用，研究

中圖分類號：U45文獻標識碼： A

一、前言

由于網絡的發展和完善以及速度的不斷提高，越來越多的公司逐步進行運用隧道技能。大規模的組建VPN網絡已經成為一種趨勢，這種技術越來越多地遭到用戶的廣泛重視。

二、VPN的隧道技術

VPN技術比較復雜，它涉及到通信技術、密碼技術和現代認證技術，是一項交叉科學。具體來講，目前VPN主要采用下列四項技術來保證其安全，這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密鑰管理技術、使用者與設備身份認證技術(Authentication)。隧道技術是VPN的基本技術，類似于點對點連接技術，它在公用網中建立一條數據通道(隧道)，讓數據包通過這條隧道傳輸。隧道技術的基本工作原理是在源局域網與公網的接口處將數據作為負載封裝在一種可以在公網上傳輸的數據格式之中，在目的局域網與公網的接口處將數據解封裝，取出負載。被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。

三、隧道技術

1、第二層隧道協議

第二層隧道協議是先把各種網絡協議封裝到PPP中，再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。創建隧道的過程類似于在雙方之間建立會話；隧道的兩個端點必須同意創建隧道并協商隧道各種配置變量，如地址分配，加密或壓縮等參數。第二層隧道協議有L2F、PPTP、L2TP等。

（一）、點對點隧道協議(PPTP)

PPTP將PPP數據楨封裝在IP數據報內通過IP網絡，如Internet傳送。PPTP還可用于專用局域網絡之間的連接。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝(GRE)技術把數據封裝成PPP數據楨通過隧道傳送。可以對封裝PPP楨中的負載數據進行加密或壓縮。

（二）、第2層轉發(L2F)

L2F是Cisco公司提出的隧道技術，作為一種傳輸協議L2F支持撥號接入服務器將撥號數據流封裝在PPP楨內通過廣域網鏈路傳送到L2F服務器(路由器)。L2F服務器把數據包解包之后重新注入(inject)網絡。與PPTP和L2TP不同，L2F沒有確定的客戶方。應當注意L2F只在強制隧道中有效。

（三）、第2層隧道協議(L2TP)

L2TP結合了PPTP和L2F協議。設計者希望L2TP能夠綜合PPTP和L2F的優勢。L2TP是一種網絡層協議，支持封裝的PPP楨在IP，X.25，楨中繼或ATM等的網絡上進行傳送。當使用IP作為L2TP的數據報傳輸協議時，可以使用L2TP作為Internet網絡上的隧道協議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。

2、第三層隧道協議

IPSec是指IETF(因特網工程任務組)以RFC形式公布的一組安全IP協議集，是為IP及其以上協議(TCP和UDP等)提供安全保護的安全協議標準。其目標是把安全機制引入IP協議，通過使用密碼學方法支持機密性和認證服務等安全服務。IPSec通過在IP協議中增加兩個基于密碼的安全機制―認證頭(AH)和封裝安全載荷(ESP)來支持IP數據報的認證、完整性和機密性。IPSec協議族包括:IP安全架構、認證頭AH、封閉安全載荷ESP和Internet密鑰交換(IKE)等協議。IP安全架構協議指定了IPSec的整個框架，是IP層安全的標準協議。AH協議定義了數據源認證和完整性驗證的應用方法。ESP為IP數據報文提供數據源驗證、數據完整性校驗、抗重播和數據加密服務。IKE為AH和ESP提供密鑰交換機制，在實際進行IP通信

時，可以根據實際安全需求，同時使用AH和ESP協議，或選擇使用其中的一種。

3、新興的隧道協議

SSL是Netscape公司設計的主要用于web的安全傳輸協議。SSL被設計為使TCP提供一個可靠的端到端的安全服務，它不是一個單一的協議，而是由多個協議組成記錄協議定義了要傳輸數據的格式，它位于可靠的傳輸協議TCP之上，用于各種更高層協議的封裝。記錄協議主要完成分組和組合，壓縮和解壓縮，以及消息認證和加密等功能。所有傳輸數據包括握手消息和應用數據都被封裝在記錄中。握手協議允許服務器與客戶機在應用程序傳輸和接收數據之前互相認證、協商加密算法和密鑰。通信雙方首先通過SSL握手協議建立客戶端與服務器之間的安全通道，SSL記錄協議通過分段、壓縮、添加MAC以及加密等操作步驟把應用數據封裝成多條記錄，最后再進行傳輸。

四、隧道技術的應用模型

1、端到端安全應用

IPSec存在于一個主機或終端系統時，每一個離開和進入的PI數據包都可得到安全保護。PI包的安全保護可以從數據源一直到數據被接收。制定相應的安全策略，一對獨立的SA可以保護兩個端點之間的全部通信―Tenlet、SMTP、WEB和FTP等。或者，根據兩個端點之間通信的協議的不同(TCP和UDP)和端口的不同，分別用不同的SA保護兩個端點之間的不同的通信。在這種模式下，通信的端點同時也是PISec的端點。所以，端到端安全可以在傳送模式下，

利用PISec來完成；也可以在隧道模式下，利用額外IP頭的新增來提供端到端的安全保護。

2、虛擬專用網

IPSec存在于路山器等網絡互連設備時，司一以構建虛擬專用網VPN。VPN是“虛擬的”，因為它不是一個物理的、明顯存在的網絡。兩個不同的物理網絡通過一條穿越公共網絡的安全隧道連接起來，形成一個新的網絡VPN。VPN是“專川的”，因為被加密的隧道可以提供數據的機密性。而今，人們從傳統的專線網絡轉移到利用公共網絡的網絡，逐漸意識到節省費用的VPN重耍性。通過在路山器上配置PISec，就可以構建一個VPN。在路山器的一端，連接著一個受保護的私有網絡，對這個網絡的訪問要受到嚴格的擰制。在另一端連技的是一個不安全的網絡帳Internet。在兩個路山器之間的公共網絡上建立一條安全隧道，通信就可以從一個受保護的本地子網安全地傳送到另一個受保護的遠程子網。這就是VPN，在VPN中，母一個具有IPSec的路由器都是一個網絡聚合點。在兩個PISec的路山器之間通常使用隧道模式，可以采用多種安全策略，建立一對或多對SA，試圖對VPN進布J屯通信分析將是非常困難的。如果在一個本地私有網絡中的數據包的目的地是VPN的遠程網絡―它是從一個路由器發送到另一個路山器的、加密的數據包。

3、移動IP

在端到端安IP全中，數據包由產生和l或接收通信的那個主機進行加密和解密.在VPN中，

網絡中的一個路由器對一個受安全保護的網絡中的主機(或多個)的數據包進行加密和解密。這兩個組合一般稱為移動IP。移動IP一般是獨立的，它要求計問受安全保護的網絡，它是一個移動的客戶，不停留在某個固定的地方。他必須通過旅店、或任何一個可以進行internetPOP的地方，安全地訪問公司資源。在移動IP的方案中，移動主機和路由器都支持PISec，它們之間可以建立一條安個隧道。它們能夠在外出數據包抵達通信線路之前對它進行安全保護:能夠在對進入包進行IP處理之前，驗證它們的安全保護。具有PISec的路山器保護的是移動主機想要訪問的那個網絡，它也可以是支持V戶N的路山器，允許其它的移動主機進行安全的遠程訪問。在這種方案中，一方是移動主機，它既是通信方。另一方將PISec當作一項服務提供給另一個網絡實體。

4、嵌套式隧道

有時，需要支持多級網絡安全保護。比如下面一個例子:一個企業有一個安全網關，以防止其網絡受到競爭者或黑客的侵犯和攻擊，而企業內部另有一個安全網關，防止某些內部員工進入敏感的子網。比如銀行系統的企業網。這種情況下，如果某人希望對網絡內部的保護子網進行訪問，就必須使用嵌套式隧道。

5、鏈式隧道

一種常見的網絡安全配置是Hub-and-spoke。從一個網絡橫過Hub-and-spoke網絡，到達另一個網絡的數據包都由一個安全網關加密，由中心路由器解密，再加密，并由保護遠程網絡的另一個安全網關解密。

6、隧道交換模型

如果從交換的角度來看，它也可以稱為隧道交換模型。在中心路由器所連接的四個網絡可以是不同類型的網絡，隧道的實現方式也可以不同，但是，不同網絡的兩個節點在進行數據傳輸時，并不關心隧道的實現媒體，隧道可以接力的方式進行數據的傳遞。從安全的角度，假設每一個隧道是安全的，且中心路由器也是安全的，那么任何兩個節點之間的通信也應該是安全的。假設隧道間彼此不能信任，那么可以只將隧道的連接看作是一條數據的傳輸通道，再使用前面所論述的隧道模型實現安全保護，如點到點的隧道安全模式。

五、結束語

由于Internet基礎設施的完善，隧道技能必將將在網建等各范疇，發揮著越來越重要的效果。實現隧道技能的多種多樣，它們各有各的優勢，如今，市場上大多數都在使用VPN這類技能。

參考文獻

[1]毛小兵，VPN演進之隧道交換.《計算機世界》2000

[2]沈鑫剡.IP交換網原理、技術及實現[M].北京:人民郵電出版社，2003.

第5篇：vpn技術論文范文

論文關鍵詞：數字資源,遠程服務,虛擬專用網(VPN,服務器

隨著信息技術的不斷進步，數字資源的種類和數量日益增長，我國不同層次、不同類別的高校都不同程度地采購或引進了各種數字資源，以滿足本校讀者對數字資源的利用需求。但由于大多數數字資源出于版權保護和商業利益的考慮，往往僅限于校園網內使用，使其合法用戶只能在本校 IP 地址范圍內的辦公室、機房或圖書館等地使用，而當其回家或出差在外時就將無法訪問和使用這些資源， 這樣，不僅損害了圖書館合法用戶的利益，也大大降低了本館所購數字資源的利用率。針對這種情況，可以采取以下應對措施，為本校合法用戶提供校外遠程訪問數字資源服務。

1構建虛擬專用網（“Virtual Private Network”，簡稱VPN）

圖書館的電子資源因受IP地址的限制，目前只能被校園網內用戶訪問。為便于住校外教工、學生利用圖書館的電子資源，可引入虛擬專用網（“Virtual Private Network”，簡稱VPN）技術來解決這個問題，獲得VPN授權的用戶，可在非校園網內使用圖書館的電子資源。

1.1虛擬專用網的簡介

簡單地講，VPN就是利用開放的公眾網絡建立專用數據傳輸通道，將遠程的分支辦公室、商業伙伴、移動辦公人員等連接起來，并且提供安全的端到端的數據通信的一種廣域網技術。VPN本質上是一種網絡互聯型業務，通過共享的網絡基礎架構滿足企業互聯需求，在共享使用網絡資源的同時具有與專網一樣保證用戶網絡的安全性、可靠性、可管理性。VPN業務并不限制網絡的使用，它既可以構建于因特網或互聯

網運營商(ISP)的 IP網絡之上，也可以構建于幀中繼(FR)或異步傳輸模式(ATM)等網絡基礎架構之上，如圖1.1 所示。簡言之，通過利用VPN 技術，就可以在學校內部網絡與外網之間建立一個虛擬的安全通道，從而實現學校充分利用圖書館資源的需求。

1.2虛擬專用網（VPN）的優勢

1.2.1 運行成本較低

VPN只需要通過現有的公用網來建立，不需要另外鋪設如光纖之類的物理線路，減少了專線的租用數量，同時也減少了數據傳輸過程中的輔助設備，而且VPN本身帶有路由功能，節省了費用和資源，因此極大地降低了運行成本。

1.2.2 具有可靠的安全性

VPN采用了隧道技術、數據加解密技術、密鑰管理技術和身份認證等獨特的專有技術可以實現在內部服務器上對用戶資格的認證，點對點加密及各種網絡安全加密，確保了本地網絡和數據傳輸的安全，保障了圖書館網絡系統的安全運行。

1.2.3 靈活的運用方式

只要網絡順暢，VPN技術就可以將圖書館內部的網絡設備與外網實現安全互聯。這樣，圖書館的資源就能夠通過該技術傳輸語言、圖像和數據等，為廣大師生提供了靈活便捷的使用方 式。

1.2.4 易用性

客戶端不需要復雜的配置，不在用戶操作系統安裝過多的插件和程序，不改變用戶使用習慣和應用快捷方式，一鍵式操作，簡單易用；可以使讀者在任何一臺電腦上安全便捷地訪問圖書館的電子資源。

1.2.5 便于管理

對網絡實行集中監測、分權管理，并統一分配帶寬資源。選用先進的網絡管理平臺，具有對設備、端口等的管理、流量統計分析，及可提供故障自動報警。

1.3 圖書館如何利用VPN技術

1.3.1 應用VPN技術授權校園網合法IP段內的用戶使用數據

例如我院圖書館每年都要購買大量的電子資源，如CNKI、萬方、維普、EBSCO數據庫、英語學習中心（SRC）等，由于數字版權的原因，這些數字資源都有限制訪問的IP地址范圍。圖書館支付費用以后，數據庫服務商根據訪問者的IP地址來判斷是否是經過授權的用戶。圖書館應用VPN技術就可以授權校園網合法IP段內的用戶使用數據，無需額外支持費用，使圖書館數字資源得到了最大程度的共享。

1.3.2 應用VPN技術以遠程訪問的形式訪問圖書館數據

由于數字版權的原因，校園網及高校數字圖書館的大多數資源都不對外開放。然而又因為學校人群的特殊性，有的教職工居住在校外，使用的是公網IP，不在校園網IP范圍內，無法在家或在出差的時候使用圖書館和校園網內的其他資源。暑假、寒假在家的學生同樣是由于IP問題無法訪問學校圖書館數據。應用VPN技術就可以輕松解決這一長期困擾圖書館的問題。用戶只需要向圖書館技術管理人員申請認證證書和注冊賬戶，就能成為遠程訪問系統的合法用戶。在本機上安裝VPN 客戶端，然后登陸該賬戶就能通過Internet訪問圖書館資源。用戶無需作任何調整，網絡配置也不必作任何改動。

2、除了上述的解決方案，還可以利用遠程數字圖書館軟件、RASDL以及Cookie跨域名技術；由圖書館咨詢人員提供全文；利用檢索充值卡；預設賬戶和密碼等等的方案來解決遠程訪問問題。

3、結束語

隨著校外合法用戶訪需求的增長，校外訪問服務的開展顯得越來越急切和重要，圖書館應綜合運用多種技術方式，盡可能地為他們提供方便。同時，圖書館應加強電子資源的本地鏡像建設，以減少合法使用受到的限制。

【參考文獻】

[1] 王彩虹.局域網內地方高校遠程訪問服務模式.圖書館學刊 [J].2011,（1）.

[2] 王健.利用VPN技術實現高校圖書館數字資源的遠程訪問［J］.圖書館學研究. 2006,(5).

[3] 郭峰.高校圖書館VPN網絡建設研究.情報探索［J］.2010, (2).

第6篇：vpn技術論文范文

論文關鍵詞：VPN,校園網,遠程訪問

1 發展校園網的重要性

近幾年國家對教育工作日益重視，獨立學院規模不斷擴大。在發展過程中，各獨立學院都十分重視與母體學校的資源整合。

獨立學院與母體學校一般都建立了各自的校園網絡，且均接入互聯網，因為諸多條件的制約，至今多數獨立學院與母體學校之間沒有專線相互連接，造成了校園網應用水平極低的現象。各種應用系統，如教務管理系統、題庫系統和電子圖書管等教學資源無法實現共享，迫切需要實現統一管理和對資源的充分利用。獨立學院的教師一般是由三部分構成：一是母體學校的教師；二是外聘教師；三是專職教師。母體學校的教師和外聘教師，這兩類教師往往在多個高校共同教學、科研和辦公。如何加強與這部分教師的聯系，提高教學、科研和辦公效率顯得尤為重要。

此外，傳統的Internet接入和傳輸服務缺少安全機制，服務質量無法保證，難以滿足不同校區之間關鍵性數據實時安全傳輸和應用的特定要求。所以，建立安全可靠的獨立學院與母體學校間校園網的連接，實現資源共享。為母體學校教師和外聘教師提供一種安全、高效、快捷的網路服務，如登錄校內OA系統、教務系統和電子圖書館系統等，是獨立學院校園網建設的當務之急。

2 VPN工作原理及其主要優點

虛擬專用網VPN（Virtual Private Network）就是利用公網來構建專用的網絡，它是通過特殊的硬件和軟件直接通過共享的IP網所建立的隧道來實現不同的網絡的組件和資源之間的相互連接， 并提供同專用網絡一樣的安全和功能保障。

VPN并不是某個單位專有的封閉線路或者是租用某個網絡服務商提供的封閉線路。但同時VPN 又具有專線的數據傳輸功能，因為VPN 能夠像專線一樣在公共網絡上處理自己單位內部的信息。它主要有以下幾個方面的優點：(1)成本低。VPN在設備的使用量上比專線式的架構節省，故能使校園網絡的總成本降低。(2)網絡架構彈性大。VPN的平臺具備完整的擴展性，大至學校的主校區設備，小至各分校區，甚至個人撥號用戶，均可被包含在整體的VPN架構中，以致他們可以在任何地方，通過Internet網絡訪問校園網內部資源。(3)良好的安全性。VPN架構中采用了多種安全機制，如信道、加密、認證、防火墻及黑客偵防系統等，確保資料在公眾網絡中傳輸時不至于被竊取．或是即使被竊取了，對方亦無法讀取封包內所傳送的資料。(4)管理方便。VPN 較少的網絡設備及物理線路，使網絡的管理較為輕松。不論分校或遠程訪問用戶的多少，只需通過互聯網的路徑即可進入主校區網路。

3 獨立學院校園網絡建設中的VPN技術選擇及對策

選擇適當的VPN技術可以提供安全、高效、快捷的網絡服務，能有效的解決獨立學院當前所面臨的校區分散、資源共享和遠程辦公等實際問題。

3.1技術選擇

VPN 可分為軟件VPN和硬件VPN。軟件VPN 具有成本低、實施方便等優勢。若是采用Windows 2000操作系統，則該操作系統本身就集成了這項功能，只需進行相應的設置即可投入使用。而硬件VPN必須借助專用的設備才可以實現，兩者之間存在比較大的差別。首先是硬件VPN能穿透NAT (Network Address Translation)防火墻，其次是硬件VPN 安全性遠遠好于軟件VPN。軟件VPN 的用戶身份認證方式非常簡單，只能通過用戶名和密碼方式進行識別。硬件VPN的加密算法通常都較為安全，硬件VPN 集成了企業級防火墻、上網控制和路由功能，一次性提供多種寬帶安全的解決方案，可以輕松實現遠程實施和維護，相比之下軟件VPN 的后期維護顯得較為復雜。

目前VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。每項技術都對應有一些成熟的方案，如VPN 隧道類型現就有L2TP (Layer 2Tunneling Protoco1)、IP Sec (Internet Protocol Security)、SSL (Secure Sockets Layer)等，加密算法有DES (Data Encryption Standard)、3DES (Triple DES)、AES(Advanced Encryption Standard)等，在構建VPN連接時應根據實際情況進行選用。

3.2 技術對策

VPN產品的性價比不同，對VPN硬件設備的選型也應視需求而定。例如，在構建VPN連接時，如果校園網構架不復雜，通訊需求量不是很大，但要求安全可靠和管理方便，應選擇集成VPN功能的防火墻設備方案比較適合。此方法的特點首先是能滿足建立VPN網絡的需求，其次是增加的硬件防火墻能提高校園網絡的安全防范等級。

3.3 VPN網絡建設實現的目標

主校區和分校區的內部服務器及計算機之間要實時進行安全的數據交換，兩者之問需要建立雙向可尋址的VPN訪問。遠程客戶端要通過瀏覽器訪問主校區的Web服務器，還需建立遠程客戶端到主校區的單向VPN訪問。

3.3.1 主校區和分校區的VPN連接

在各校區現有校園網的出口處分別安裝一臺VPN網關，每個校區通過該設備連接互聯網。VPN網關在保持原來的上網功能不變的情況下，在不安全的互聯網上建立起經過安全認證、數據加密的IP Sec VPN隧道，實現校區安全互連。

根據主校區和分校區的網絡使用要求和經濟性等多方面考慮，應選用硬件型的集成VPN功能的防火墻。此外，防火墻還應具備路由功能，支持NAT技術，在分校區相對較小、校園網絡構架不復雜的情況下，使用該類防火墻還可以將原校園網絡接入互聯網用的路由器省掉，是一個理想的選擇。主校區選擇一臺防火墻作為VPN網關，設備應可以支持上千個并發TCP／IP會話和上百個VPN 隧道，可以充分保證主校區內所有計算機的安全、流暢的網絡使用及VPN支持的需求。對于分校區的多臺計算機上網及VPN需求，選擇一臺可支持幾十個VPN隧道的防火墻作為VPN 網關即可。由于校區網絡構架并不復雜，主、分校區網關均擁有靜態公網IP地址，不會做經常性的變動，可采用“基于路由的LAN (局域網)到LAN的VPN” 手動密鑰方式，創建IP Sec VPN隧道，來實現校區間安全連接。

3.3.2 遠程用戶到主校區的VPN連接

考慮到遠程用戶訪問校園網絡集中于主校區Web服務器，遠程用戶到主校區的VPN連接可以采用SSL VPN模式。SSL VPN采用高強度的加密技術和增強的訪問控制，而且易于安裝、配置和管理，避開了部署及管理必要客戶軟件的復雜性和人力需求。

3.3.3 做好防護，提高VPN的安全性

雖然VPN 為遠程工作提供了極大的便利，但是它的安全性卻不可忽視。通常校園網服務器、核心交換機都會安裝一些殺毒軟件或者是防火墻軟件，而遠程計算機就不一定擁有這些安全軟件的防護。因此，必須有相應的解決方案堵住VPN的安全漏洞，比如在遠程計算機上安裝殺毒軟件和防火墻、對遠程系統和內部網絡系統定期檢查，對敏感文件進行加密保護等，這樣才能防患于未然。

4、結束語

總之，在獨立學院與母校之間通信要求越來越高，各校區的網絡系統安全、經濟和可靠的實現校區之間資源共享是目前首要考慮的問題。利用遠程客戶端到VPN網關的連接解決了受地域等條件限制的遠程辦公問題，滿足了經常在校外工作人員查閱、訪問本院信息資源的需要；通過VPN連接兩個局域網，實現高校各校區之間網絡系統的邏輯連接，為各校區的資源共享提供方便、快捷的服務創造了良好條件。

參考文獻：

[1] 戴宗坤等 VPN 與網絡安全[M]． 北京： 電子工業出版社， 2002．

第7篇：vpn技術論文范文

>> 淺談呼倫貝爾市科技系統辦公自動化平臺系統建設 企業OA協同辦公系統建設及后續開發與應用 淺談醫院辦公自動化系統建設與管理 淺談辦公自動化系統建設的實踐與啟示 淺談企業門戶系統建設的關鍵技術 淺談企業郵件系統建設與改造 淺談企業信息管理系統建設 淺談供電企業95598客戶服務系統建設 淺談VRS系統建設 辦公應用系統建設的改進思路 淺談如何加強企業辦公室系統自身建設 淺談電力營銷管理系統建設 淺談醫院標識系統建設 淺談醫院信息系統建設 淺談航標遙測遙控系統建設 淺談企業培訓中的E-Learning網絡學習系統建設 淺談冶金企業安全生產標準化系統建設 淺談大中型制造企業成本管理系統建設 淺談企業財務管理信息化系統建設 淺談當代企業集團檔案管理系統建設 常見問題解答 當前所在位置：.

[3]李福東.移動辦公平臺架構研究與實現[D].北京：北京郵電大學碩士論文，2008.

[4]尤衛軍.移動辦公平臺的實現方式[J].科技創新導報，2012（2）.http：//.cn/Article/CJFDTotal-JSJS201202015.htm.

[5]王穎.移動辦公綜合適配方案研究[J].數字通信，2011（12）：36.

[6]溫國興，錢旭菲.利用移動信息化技術實現移動辦公.http：//.cn/news/rdzt/bjdl/yxzp/jsyy/yxj/t20110104_624963.shtml.

[7]張璞，文登敏.基于J2ME和J2EE的移動電子商務系統的研究[J].成都信息工程學院學報，2006（4）：504-507.

[8]羅勤.基于J2ME的移動辦公系統的研究與開發：[碩士學位論文].大連：大連海事大學，2005.

第8篇：vpn技術論文范文

【關鍵詞】 WCDMA技術 無線傳感器網絡 中間件

RESEARCH ON NETWORK INTERCONNECTION OF WSN AND WCDMA

Xu Zhiwei，Ni Jie，Wang Gang，Zhao Honglin，Ma Yongkui （Harbin Institute of Technology，Heilongjiang Harbin，150001）

Abstract：ON the background of WCDMA mobile communication system of ZTE and WSN system of OURS， the article designs the interconnection scheme and realizes its function through B/S structure. The article designs the interconnection scheme on middleware technology and realizes its function through WEB.

Keywords： WCDMA technology， wireless sensor network， middleware

一、 n題研究背景

WCDMA移動通信系統是哈爾濱工業大學通信工程系與中興通訊公司共建的碩士生和本科生校內實踐基地。實驗室現有的WCDMA移動通信網絡只具備基本的語音通信和數據通信功能，學生們不能充分體會到通過移動通信終端控制實際設備的功能，這樣就會使學生缺少對系統的更全面的認識和興趣。本文設計WSN與WCDMA網絡互聯的具體方案，提出以中間件技術進行WCDMA移動通信網絡和無線傳感器網絡進行互聯的具體方案，配置網絡互聯所需要的主要參數。本文利用無線傳感器網絡中間件技術實現WSN和WCDMA系統的互聯，驗證移動通信終端通過WCDMA移動通信網絡來訪問和控制無線傳感器網絡的功能。

二、網絡互聯方案的設計

本文中系統的組建主要包括WCDMA移動通信系統的組建和WSN實驗系統的組建兩部分。WCDMA移動通信系統采用WCDMA R4網絡結構，利用中興通訊公司的技術實現。WSN實驗系統是基于奧爾斯公司OURS-IOTV2-EP平臺組建的。WSN和WCDMA網絡互聯是通過中間件技術實現。

2.1 WCDMA移動通信系統的組成

本文采用WCDMA R4網絡結構作為組建移動通信網絡的模型。WCDMA R4網絡結構主要由Node B、RNC、CS和PS等組成。CS域的功能實體主要包括移動媒體網關（MGW）和移動軟交換中心（MSC）。PS域的功能實體主要包括SGSN和GGSN等設備。

基站（Node B）在RNC控制下完成射頻信號的接收和發射，與移動終端進行通信，對信號進行調制解調和定位信息管理。RNC通過接口電路完成對基站的管理，RNC通過接口電路與核心網進行通信。RNC負責信道分配、信道切換、邏輯信道到傳輸信道的映射、信道傳輸格式設置。核心網由電路域（CS）和分組域（PS）構成。電路域（CS）主要完成用戶的語音通信功能，包括話音業務、短信業務和視頻通話。分組域（PS）主要管理用戶訪問互聯網的業務。本文選擇基站的型號是中興通訊公司的ZXSDR B8200 +ZXWR R8840，RNC選用的型號是ZXWR-RNCV3，移動媒體網關型號是ZXWN MGW，移動軟交換中心型號是ZXWN MSC，分組域的型號是ZXWN PS。

2.2 WSN實驗系統的組成

該實驗系統主要由硬件部分和軟件部分組成。硬件設備包括8個無線通信模塊、8個傳感器模塊、8個電源板模塊、高性能嵌入式網關和其他配套設備。實驗系統包含4個無線傳感網通信節點和一個無線互聯網解調器。

2.3通過WEB中間件實現網絡互聯

中間件是在操作系統（包含底層通訊協議）和多類分布式應用系統聯系的單個應用中間件，中間件的主要功能是屏蔽軟件系統的差異，實現對上層系統透明傳輸的功能，無線傳感器網絡的中間件軟件制定需要遵守如下的標準：

A 由于節點的能源、運算、儲存性能和通訊性能不足，因此WSN中間件需要的是較輕能耗程度的器件，且可以在功能和能源利用間實現均衡。

B 傳感網環境比較復雜，因而中間件軟件還需要供給優越的容錯體制、自變化體制和自保護體制。

C 中間件軟件的下層支持是多類軟件節點和操作平臺（如TinyOS、MANTIS OS、SOS等），因而中間件系統不用考慮下層的差異。

D中間件系統由不同的軟件組成，為各種上層軟件供給相同的、能夠拓展的接口，進而進行應用的研制。

IOTService 是基于微軟操作系統運行的，其功能主要是把不同的軟件服務集成到一個系統中。其它的系統和終端通過不同的局域網和廣域網與IOTService進行連接。IOTService的主要優點是為不同的用戶提供統一的軟件接口，可通過服務器/客戶端的模式通信，也可以搭建 WebService，通過WebService 和 IOTService 進行通信，再進一步編寫 B/S 架構的應用軟件。整個系統結構如圖1所示。由于WSN的中間件技術能夠很好的在不同網絡環境中運行，因此選取中間件技術作為WSN和WCDMA網絡互聯的方案。

2.4基于VPN技術實現網絡安全互聯

雖然WSN和WCDMA網絡本身都有一些安全協議來保證信息在傳輸的過程中的安全性，但由于在實際應用中WSN與WCDMA進行互聯時都要通過Internet，由于Internet對所用用戶是開放的，因此信息經過Internet傳輸時容易受到黑客的攻擊，所以研究WSN和WCDMA安全互聯技術很重要。本文研究并現了基于VPN技術進行網絡安全互聯的方案。

虛擬專用網（Virtual Private Network）是通過互聯網等建立一種基于安全協議的網絡連接，通過VPN建立起的網絡連接是經過安全協議加密的，因此能夠對要傳輸的數據進行加密，實現在開放的互聯網中安全通信的目的。在VPN中，任意兩個節點之間的連接并沒有穿通專用的端到端物理鏈路，而是架構在公用網絡平臺上。VPN對用戶端透明，用戶使用一條專用線路進行通信。

三、實驗過程

實驗過程主要包括：（1）運行計算機中的中間件。（2）修改tcpser.ip和 tcpsbm.ip為中間件所在計算機的IP 地址。（3）修改tcpser.port 和 tcpsbm.port為無線傳感網絡數據 TCP 端口和管理中間件TCP 端口。（4）把jdbc.url中的DBQ部分修改為Access數據庫的路徑。（5）運行startup.bat批處理命令。（6）在WCDMA制式的移動終端瀏覽器中輸入IP地址后，移動終端的屏幕上出現物聯網管理界面，在這里可以完成相關模塊的管理功能，實現無線傳感器網絡節點拓撲結構的顯示和管理等功能。

四、結束語

本文完成以下研究工作：

1、組建以WCDMA R4為網絡結構的移動通信系統，設計Node B、RNC和核心網的主要參數，實現移動通信終端通過WCDMA網絡的語音和數據通信功能。

2、分析無線傳感器網絡與WCDMA移動通信網絡互聯的方案，選取中間件技術的互聯方案。

3、設計基于VPN技術的網絡互聯方案，并驗證該方案能夠對WSN和WCDMA網絡進行安全互聯。

參 考 文 獻

[1]孫卓. 異構無線網絡中的接入選擇機制研究. 北京郵電大學博士論文，2007.

第9篇：vpn技術論文范文

【 關鍵詞 】 SSL；SSL VPN；指紋識別；APT

1 引言

隨著信息技術的飛速發展，互聯網技術的普及，一方面為人們生活帶來的便利，另一方面也出現越來越多的安全問題。自2013年美國“棱鏡門”事件后，關于APT（高級持續性威脅）的討論和研究也越來受到關注。

APT是一種針對特定目標組織的有經濟或政治目的，且持續時間較長的一種攻擊，它結合了傳統的網絡攻擊方式同時利用0day漏洞，常常使受攻擊者防不勝防，直到出現真正損失才覺察到攻擊的存在。目前在APT攻擊中，常利用SSL隱藏或傳遞機密信息，同時SSL木馬的頻繁使用，危害也日益嚴重，因此如何區分出正常和異常的SSL成為了預防APT攻擊的一種有效方式。現有的方法主要是針對SSL證書的可信度檢測上，但是近年來偽造證書可信度越來越高，所以單從證書角度已不全面可靠，還需要從SSL流量的端口、上下報文以及連接時長等流量統計特點出發進行。由于SSL有不同類型，比如SSL VPN、瀏覽器的SSL，不同類型具體的檢測方式也不相同，因此在此之前需要對抓取的各類SSL流量進行分類。目前對SSL流量分類的相關研究仍是空白，本文基于此提出了各種SSL流量的“指紋識別”方法。

文章共分為四部分，首先介紹研究內容背景和意義，然后簡要說明SSL握手協議，其次對SSL流量“指紋識別”方法進行詳細闡述，最后分析方法的特點及未來研究展望。

2 SSL握手協議

SSL安全套階層協議是為主機間提供安全通道的協議，位于傳輸層和應用層之間，提供連接的隱秘性、用戶的真實性以及數據的可靠性。SSL協議由握手層協議、記錄層協議、更改密文協議和警報協議組成，如圖1所示。

其中握手協議是SSL協議中最為重要的協議，通過握手可以提供對雙方的身份驗證機制。在這一過程中客戶端和服務器需要確認一個用于加密明文數據所使用的密鑰和算法，同時協商雙方的信息摘要算法、數據壓縮算法等，過程如圖2所示。

（1）ClientHello消息。客戶端會首先向服務器發送這條消息，來通知對方客戶端所支持的算法，以及為了將來生成多個加密密鑰所需要的客戶端隨機數。

（2）ServerHello消息。服務器會從客戶端發送的加密算法中選擇其中的一種。

（3）Server Certificate 消息。Server Certificate包含了用于身份認證的服務器標識，以及一個用于生成加密參數的隨機數。

（4）Certificate Request 消息。可選消息，如果服務器不需要驗證客戶端的身份，則不會發送這條消息。

（5）Server Hello Done消息。這條消息表示ServerHello消息與Certificate消息一經發送完畢，服務器會等候客戶端的回應。客戶端一旦收到這條消息，才開始數字證書合法性的驗證。

（6）Client Certificate 消息。可選，如果沒有收到Certificate Request消息，則不需要發送數字證書。

3 SSL類型識別

SSL握手是客戶端和服務器進行密鑰、算法協商的步驟，不同類型的SSL有特定的密鑰和算法選擇方式，這些可選擇的密鑰和算法通過ClientHello消息進行傳遞，因此本文將根據SSL握手協議中客戶端發送的ClientHello消息來區分不同類型的SSL流量。

ClientHello消息中包含了SSL/TLS版本號、Cipher Suites（加密套件）和擴展部分的簽名算法等。通常對于同一個客戶端發出的不同類型SSL請求，其ClientHello消息是有差別的。目前SSL流量可大致分為SSL VPN和瀏覽器產生的SSL，我們通過Wireshake軟件進行大量抓包后分析發現，通過Cipher Suites、SessionTicket TLS、Status_request這三個字段信息可以有效區分SSL VPN和瀏覽器的SSL流量，甚至可區分出不同瀏覽器和同一瀏覽器在不同操作系統下的SSL流量。

近幾年Microsoft推出使用SSL進行加密的SSTP，方便了用戶在Windows上直接建立VPN，所以本文對SSL VPN的分析著重集中在SSTP VPN。同時主流的瀏覽器有IE、Chrome、Firefox、Sougou，其中Sougou是使用IE和Chrome內核，因此不對Sougou瀏覽器進行分析。特別需要注意的是，IE的各個版本隨著不同的操作系統版本SSL流量具有明顯不同。

3.1 SSTP VPN

SSTP VPN僅支持Win7操作系統及以上版本，在Win7、Win8以及Win8.1客戶端與Windows Server 2012間搭建SSTP VPN并抓取數據包，通過大量實驗總結發現，SSTP VPN在Win7和Win8操作系統中通常使用TLSv1.0，而Win8.1則使用TLSv1.2。并且Win7和Win8下Cipher Suites的總數相同，共12個，相比之下Win8.1的 SSTP VPN Cipher Suites包含了24個加密套件。Cipher Suites通常由三個部分組成，第一是密鑰交換算法，第二是對稱加密算法，第三是摘要或者MAC算法， RFC2246中建議了很多中組合，一般寫法是“密鑰交換算法-對稱加密算法-摘要算法”。

雖然Win7和Win8下SSTP VPN的加密套件數量相同，但是還可通過擴展部分是否包含SessionTicket TLS進行有效區分，實驗表明只有Win8和Win8.1才包含該項。Session Ticket是用于在握手階段SSL連接中斷后重新握手使用的，與Session ID的區別在于即使客戶端的重新請求發送至另一臺服務器仍然可以恢復對話，但是它僅保存在客戶端， 目前在瀏覽器中只有Firefox和Chrome和Win8以上版本的IE瀏覽器支持。此外三個操作系統下的SSTP VPN都不包含Status request擴展項，而瀏覽器則都包含，這是它們之間的最大區別。SSTP VPN的比較見表1，“√”表示包含，反之為“×”。

3.2 IE瀏覽器

對于IE瀏覽器，目前仍有使用的是IE8到IE11，其中Win7支持IE8、IE9，Win7 Sp1版本支持IE11以前的所有版本，從Win8.1開始則主要使用IE11。在Win8及以上版本，IE瀏覽器產生的SSL流量包含了SessionTicket TLS字段，這是Win7版本與Win8、Win8.1流量的最大區別，通過這一特點可快速區分出瀏覽器的操作系統環境。然而，在Win7及Win7 sp1版本中，IE8、IE9和IE10都沒有區別，無論從握手協議擴展項或者加密密碼套件上看都是相同的，數量都為12個，與Win7環境下SSTP VPN的加密套件一致。唯獨能夠進行區分的只有IE11，其加密密碼套件Cipher Suites包含了21個，在原有12個的基礎上新增了9個組合。

相比之下Win8.1則較容易識別，因為只使用IE11，且用TLS 1.2版本，不僅包含SessionTicket TLS，而且Cipher Suites共有19個，更新升級后的Win8.1專業版的Cipher Suites則包含24個，不只是數量上簡單的增加，還去除了原有的幾個加密算法組合。IE各版本識別如表2所示。

3.3 其他瀏覽器

針對其他兩個非IE的瀏覽器，Firefox和Chrome，這兩類瀏覽器產生的SSL流量都包含了SessionTicket TLS、Status_reques。但Cipher Suites數量上，在Win7系統下，當Firefox和Chrome使用TLS 1.0時， Firefox有11個Cipher Suites，而Chrome則有17個。除了在Cipher Suites的數量上的差別，Firefox和Chrome在其他擴展字段與IE瀏覽器有明顯區別，主要體現在簽名哈希算法數量以及橢圓曲線算法。在簽名哈希算法數量選擇上，Chrome共10個，比Firefox總數多了2個，且具體簽名算法也不盡相同，而IE瀏覽器只有在使用TLS 1.2時擴展項才有簽名哈希算法，數量為7個。不僅如此，在橢圓曲線算法上，Chrome瀏覽器、IE瀏覽器以及SSTP VPN各版本在數量和類型上都相同，只有Firfox多了一個。該特點即可區分Firefox與其他SSL類型。

通過以上ClientHello幾個字段的比較可以明顯區分各種類型的SSL流量，實現了SSL“指紋識別”，同時也為后續設計SSL檢測模型防御APT攻擊奠定了基礎。雖然所提分類方式彌補了目前研究空缺，但是對瀏覽器的SSL流量識別僅集中在Win7及以上現今較流行操作環境，對微軟早前的操作系統比如XP、Vista等未做分析，這是實驗的不足之處。

4 結束語

本文通過分析現有APT和SSL研究背景，提出了一種通過SSL握手協議中的ClientHello消息進行SSL流量類型識別的方法，不僅對Win7及以上版本的SSTP VPN、各版本瀏覽器的SSL流量做了有效區分，也為以后提出SSL檢測模型做好準備工作。未來我們將在此基礎上深入分析各種SSL流量類型的異常檢測。

參考文獻

[1] Paul Giura， Wei Wang. A Context-Based Detection Framework for Advanced Persistent Threats. International Conference on Cyber Security[C].2012，69-74.

[2] 黃達理， 薛質. 進階持續性滲透攻擊的特征分析研究[J]. 信息安全與通信保密， 2012， （5）： 87-89.

[3] Zigan Cao， Gang Qiong， Yong Zhao， et al. Two-Phased Method for Detection Evasive Network Attack Channels[J]. China Communication， 2014， （8）： 47-58.

[4] Linshung Huang， Alex Rice， Erling Ellingsen，et al. Analyzing Forged SSL Certificates in the Wild. IEEE Security and Privacy [C].2014，83-97.

[5] 鐘軍， 吳雪陽， 江一等. 一種安全協議的安全性分析及攻擊研究[J]. 計算機科學與工程， 2014，36（6）： 1077-1082.

基金項目：

國家自然科學基金重點項目（云計算環境下軟件可靠性和安全性理論、技術與實證研究）（編號：61332010）。

作者簡介：

蘇E昕（1992-），女，上海交通大學，碩士；主要研究方向和關注領域：網絡安全、信息安全管理。