引論：我們?yōu)槟砹?3篇vpn技術(shù)論文范文，供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源，期望它們能夠激發(fā)您的創(chuàng)作靈感，讓您的文章更具深度。

篇1

vpn(VirtualPrivateNetwork)即虛擬專用網(wǎng)，是一項迅速發(fā)展起來的新技術(shù)，主要用于在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)。由于它只是使用因特網(wǎng)而不是專線來連接分散在各地的本地網(wǎng)絡(luò)，僅在效果上和真正的專用網(wǎng)一樣，故稱之為虛擬專用網(wǎng)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。一個網(wǎng)絡(luò)連接通常由客戶機、傳輸介質(zhì)和服務(wù)器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術(shù)。所謂隧道技術(shù)就是在內(nèi)部數(shù)據(jù)報的發(fā)送接受過程中使用了加密解密技術(shù)，使得傳送數(shù)據(jù)報的路由器均不知道數(shù)據(jù)報的內(nèi)容，就好像建立了一條可信賴的隧道。該技術(shù)也是基于TCP/IP協(xié)議的。

2隧道技術(shù)的實現(xiàn)

假設(shè)某公司在相距很遠的兩地的部門A和B建立了虛擬專用網(wǎng)，其內(nèi)部網(wǎng)絡(luò)地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網(wǎng)進行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設(shè)部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，如圖1所示。

圖1

現(xiàn)在設(shè)部門A的主機X向部門B的主機Y發(fā)送數(shù)據(jù)報，源地址是20.1.0.1而目的地址是20.2.0.3。該數(shù)據(jù)報從主機X發(fā)送給路由器R1。路由器R1收到這個內(nèi)部數(shù)據(jù)報后進行加密，然后重新封裝成在因特網(wǎng)上發(fā)送的外部數(shù)據(jù)報，這個外部數(shù)據(jù)報的源地址是R1在因特網(wǎng)上的IP地址125.1.2.3，而目的地址是路由器R2在因特網(wǎng)上的IP地址192.168.5.27。路由器R2收到R1發(fā)送的數(shù)據(jù)報后，對其進行解密，恢復(fù)出原來的內(nèi)部數(shù)據(jù)報，并轉(zhuǎn)發(fā)給主機Y。這樣便實現(xiàn)了虛擬專用網(wǎng)的數(shù)據(jù)傳輸。

3軍隊院校校園網(wǎng)建設(shè)VPN技術(shù)應(yīng)用設(shè)想

隨著我軍三期網(wǎng)的建設(shè)，VPN技術(shù)也可廣泛應(yīng)用于軍隊院校的校園網(wǎng)建設(shè)之中。這是由軍隊院校的實際需求所決定的。首先，軍隊的特殊性要求一些信息的傳達要做到安全可靠，采用VPN技術(shù)會大大提高網(wǎng)絡(luò)傳輸?shù)目煽啃?；第二，軍隊院校不但有各教研室和學(xué)員隊，還包括保障部隊、管理機構(gòu)等，下屬部門較多，有些部門相距甚至不在一個地方，采用VPN技術(shù)可簡化網(wǎng)絡(luò)的設(shè)計和管理；第三，采用了VPN技術(shù)后將為外出調(diào)研的教員、學(xué)員們以及其它軍隊院校的用戶通過軍隊網(wǎng)訪問本校圖書館查閱資料提供便利。

而VPN技術(shù)的特點正好能夠滿足以上幾點需求。首先是安全性，VPN通過使用點到點協(xié)議(PPP)用戶級身份驗證的方法進行驗證，這些驗證方法包括：密碼身份驗證協(xié)議(PAP)、質(zhì)詢握手身份驗證協(xié)議(CHAP)、Shiva密碼身份驗證協(xié)議(SPAP)、Microsoft質(zhì)詢握手身份驗證協(xié)議(MS-CHAP)和可選的可擴展身份驗證協(xié)議(EAP)，并且采用微軟點對點加密算法(MPPE)和網(wǎng)際協(xié)議安全(IPSec)機制對數(shù)據(jù)包進行加密。對于敏感的數(shù)據(jù)，還可以使用VPN連接通過VPN服務(wù)器將高度敏感的數(shù)據(jù)服務(wù)器物理地進行分隔，只有擁有適當(dāng)權(quán)限的用戶才能通過遠程訪問建立與VPN服務(wù)器的VPN連接，并且可以訪問敏感部門網(wǎng)絡(luò)中受到保護的資源。第二，在解決異地訪問本地電子資源問題上，這正是VPN技術(shù)的主要特點之一，可以讓外地的授權(quán)用戶方便地訪問本地的資源。目前，主要的VPN技術(shù)有IPSecVPN和SSLVPN兩種。其中IPSec技術(shù)的工作原理類似于包過濾防火墻，可以看作是對包過濾防火墻的一種擴展。當(dāng)接收到一個IP數(shù)據(jù)包時，包過濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當(dāng)找到一個相匹配的規(guī)則時，包過濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。但是IPSec不同于包過濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄，直接轉(zhuǎn)發(fā)(繞過IPSec)外還能對IP數(shù)據(jù)包進行加密和認證。而SSLVPN技術(shù)則是近幾年發(fā)展起來的新技術(shù)，它能夠更加有效地進行訪問控制，而且安全易用，不需要高額的費用。該技術(shù)主要具有以下幾個特點：第一，安全性高；第二，便于擴展；第三，簡單性；第四，兼容性好。

我認為軍隊院校校園網(wǎng)VPN技術(shù)應(yīng)主要采用SSLVPN技術(shù)。首先因為其安全性好，由于IPSecVPN部署在網(wǎng)絡(luò)層，因此，內(nèi)部網(wǎng)絡(luò)對于通過VPN的使用者來說是透明的，只要是通過了IPSecVPN網(wǎng)關(guān)，它可以在內(nèi)部為所欲為。因此，IPSecVPN的目標是建立起來一個虛擬的IP網(wǎng)，而無法保護內(nèi)部數(shù)據(jù)的安全，而SSLVPN則是接入企業(yè)內(nèi)部的應(yīng)用，而不是企業(yè)的整個網(wǎng)絡(luò)。它可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限，從而保護具體的敏感數(shù)據(jù)。并且數(shù)據(jù)加密的安全性有加密算法來保證。對于軍隊機構(gòu)，安全保密應(yīng)該是主要考慮的方面之一。第二，SSLVPN與IPSecVPN相比，具有更好的可擴展性?？梢噪S時根據(jù)需要，添加需要VPN保護的服務(wù)器。而IPSecVPN在部署時，要考慮網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，如果增添新的設(shè)備，往往要改變網(wǎng)絡(luò)結(jié)構(gòu)，那么IPSecVPN就要重新部署。第三，操作的復(fù)雜度低，它不需要配置，可以立即安裝、立即生效，另外客戶端不需要麻煩的安裝，直接利用瀏覽器中內(nèi)嵌的SSL協(xié)議就行。第四，SSLVPN的兼容性很好，而不像傳統(tǒng)的IPSecVPN對客戶端采用的操作系統(tǒng)版本具有很高的要求，不同的終端操作系統(tǒng)需要不同的客戶端軟件。此外，使用SSLVPN還具有更好的經(jīng)濟性，這是因為只需要在總部放置一臺硬件設(shè)備就可以實現(xiàn)所有用戶的遠程安全訪問接入；但是對于IPSecVPN來說，每增加一個需要訪問的分支就需要添加一個硬件設(shè)備。

雖然SSLVPN的優(yōu)點很多，但也可結(jié)合使用IPSecVPN技術(shù)。因為這兩種技術(shù)目前應(yīng)用在不同的領(lǐng)域。SSLVPN考慮的是應(yīng)用軟件的安全性，更多應(yīng)用在Web的遠程安全接入方面；而IPSecVPN是在兩個局域網(wǎng)之間通過網(wǎng)絡(luò)建立的安全連接，保護的是點對點之間的通信，并且，IPSecVPN工作于網(wǎng)絡(luò)層，不局限于Web應(yīng)用。它構(gòu)建了局域網(wǎng)之間的虛擬專用網(wǎng)絡(luò)，對終端站點間所有傳輸數(shù)據(jù)進行保護，而不管是哪類網(wǎng)絡(luò)應(yīng)用，安全和應(yīng)用的擴展性更強?？捎糜谲娦Ｖg建立虛擬專用網(wǎng)，進行安全可靠的信息傳送。

4結(jié)論

總之，VPN是一項綜合性的網(wǎng)絡(luò)新技術(shù)，目前的運用還不是非常地普及，在軍隊網(wǎng)中的應(yīng)用更是少之又少。但是隨著全軍三期網(wǎng)的建成以及我軍信息化建設(shè)的要求，VPN技術(shù)將會發(fā)揮其應(yīng)有的作用。

篇2

    1 引言

    隨著我院辦學(xué)形式的轉(zhuǎn)變,先后在北京和杭州成立的相關(guān)研究所,以及在杭州的浙江技師學(xué)院分?！，F(xiàn)要求使各分部區(qū)能訪問主校區(qū)的校內(nèi)資源,保證連接和訪問的安。所以必須尋找一種新的互連方式解決校區(qū)間數(shù)據(jù)傳遞或教職工在校外訪問校內(nèi)資源中遇到的問題。價格上要求實惠,數(shù)據(jù)要求安全,因此虛擬專用網(wǎng)可以幫助遠程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,虛擬專用網(wǎng)還可以保護現(xiàn)有的網(wǎng)絡(luò)投資。虛擬專用網(wǎng)可用于不斷增長的移動用戶的全球因特網(wǎng)接入,以實現(xiàn)安全連接;可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

    2 VPN簡介

    2.1 虛擬專用網(wǎng)

    虛擬專用網(wǎng)(Virtual Private Network,VPN),是基于IP的VPN為:"使用IP機制仿真出一個私有的廣域網(wǎng)"是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬,是指用戶不再需要擁有實際的長途數(shù)據(jù)線路,而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò),是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。

    2.2 VPN的實現(xiàn)技術(shù)

    VPN實現(xiàn)的兩個關(guān)鍵技術(shù)是隧道技術(shù)和加密技術(shù),同時QoS技術(shù)對VPN的實現(xiàn)也至關(guān)重要。

    (1)VPN訪問點模型。首先提供一個VPN訪問點功能組成模型圖作為參考,如圖1所示。其中IPSec集成了IP層隧道技術(shù)和加密技術(shù)。

    (2)隧道技術(shù)。隧道技術(shù)簡單的說就是:原始報文在A地進行封裝,到達B地后把封裝去掉還原成原始報文,這樣就形成了一條由A到B的通信隧道。目前實現(xiàn)隧道技術(shù)的有一般路由封裝(Generic Routing Encapsulation,GRE)L2TP和PPTP。

    2.3 VPN的主要特點

    (1)安全保障。雖然實現(xiàn)VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個邏輯的、點對點的連接,稱之為建立一個隧道,可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密,以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面,由于VPN直接構(gòu)建在公用網(wǎng)上,實現(xiàn)簡單、方便、靈活,但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。ExtranetVPN將企業(yè)網(wǎng)擴展到合作伙伴和客戶,對安全性提出了更高的要求。

    (2)服務(wù)質(zhì)量保證(QoS)。VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個主要因素;而對于擁有眾多分支機構(gòu)的專線VPN網(wǎng)絡(luò),交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性;對于其它應(yīng)用(如視頻等)則對網(wǎng)絡(luò)提出了更明確的要求,如網(wǎng)絡(luò)時延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。QoS通過流量預(yù)測與流量控制策略,可以按照優(yōu)先級分配帶寬資源,實現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生。

    (3)可擴充性和靈活性。VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。

    (4)可管理性。從用戶角度和運營商角度應(yīng)可方便地進行管理、維護。在VPN管理方面,VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以,一個完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標為:減小網(wǎng)絡(luò)風(fēng)險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上,VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

    3 VPN應(yīng)用實例

    利用VPN 較少的網(wǎng)絡(luò)設(shè)備及物理線路,使網(wǎng)絡(luò)的管理較為輕松。不論分?；蜻h程訪問用戶的多少,只需通過互聯(lián)網(wǎng)的路徑即可進入主校區(qū)網(wǎng)路。

    結(jié)合我校的實際要求,采用美國網(wǎng)件產(chǎn)品FVL328、FVL318VPN產(chǎn)品,價格實惠,總體性能滿足要求,美國網(wǎng)件的VPN網(wǎng)絡(luò)解決方案不僅支持IPSEC等協(xié)議,以及DES、3DES、AES加密算法,同時還可通過IKE、共享秘鑰、PKI(X.509)進行身份認證等方式,加強內(nèi)部網(wǎng)絡(luò)的安全性能。

    FVL328、FVS318具有支持動態(tài)DDNS組建的IPSEC VPN網(wǎng)絡(luò)的功能, 并運用了產(chǎn)品自身的DDNS(動態(tài)域名解析)技術(shù),整個VPN系統(tǒng)網(wǎng)絡(luò)使用方便、快速、圖形化的配置界面使維護和管理更簡單、建設(shè)費用低廉。VPN拓撲結(jié)構(gòu)圖,如圖2所示:

    在總校采用一臺FVL328作為中心端,在其他分校使用FVS318,整個VPN網(wǎng)絡(luò)通過認證密碼統(tǒng)一管理,形成一個集中管理的虛擬私有網(wǎng)絡(luò),VPN傳輸使用IPSEC協(xié)議。對外安全邊界使用NETGEAR的寬帶防火墻技術(shù)屏蔽來自外部的各種可能攻擊。

    總?？刹捎霉潭ǖ腎P地址和域名,各分校可以申請動態(tài)拔號ADSL寬帶線路, 通過從NETGEAR的VPN設(shè)備中申請獲得免費的DDNS(動態(tài)域名解析服務(wù)),從而可低成本地組建VPN網(wǎng)絡(luò)連接,結(jié)合美國網(wǎng)件公司的VPN防火墻FVL328和FVS318的先進安全策略技術(shù),來實現(xiàn)實際需求和將來可能的需求. 各分院能夠直接訪問到母校的數(shù)據(jù)共享服務(wù)器資源, 同時又要保證數(shù)據(jù)能安全的在公網(wǎng)上進行傳輸.即實現(xiàn)母校與各分院之間數(shù)據(jù)和信息能夠安全、保密、高速、穩(wěn)定的實時傳輸。

    4 結(jié)語

    文中所舉的例子給讀者起著拋磚引玉的作用,由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡(luò),用戶就節(jié)省了租用專線的費用,在運行的資金支出上,除了購買VPN設(shè)備,企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費用,也節(jié)省了長途電話費。VPN技術(shù)戶廣泛用于校際間的數(shù)據(jù)傳送,也是企業(yè)的分支機構(gòu)聯(lián)系數(shù)據(jù)的主要手段。

    參考文獻

篇3

1.校園網(wǎng)問題分析及其解決方案的提出

虛擬專用網(wǎng)（VPN），是對企業(yè)內(nèi)部網(wǎng)的擴展。它通過“隧道”技術(shù)、加密技術(shù)、認證技術(shù)和訪問控制等手段提供一種通過公用網(wǎng)絡(luò)（通常是因特網(wǎng)）安全地對單位內(nèi)部專用網(wǎng)絡(luò)進行遠程訪問的連接方式。

近年來，隨著高校信息化建設(shè)工作的深入開展，校園網(wǎng)用戶對校園網(wǎng)的要求也越來越高，傳統(tǒng)的單一公網(wǎng)接入模式已經(jīng)很難滿足日趨復(fù)雜的應(yīng)用需求。大多數(shù)的教師習(xí)慣于利用家里的計算機上網(wǎng)查資料、寫論文。如果要去學(xué)校圖書館網(wǎng)站，或者是教育網(wǎng)內(nèi)查資料，一般情況下是無法查找并下載的，因為學(xué)校圖書館的電子資源都做了訪問限制，普通Internet用戶也是不能訪問教育網(wǎng)的。在每年期末考試后，老師在線提交成績時，都要登錄學(xué)校內(nèi)部“教務(wù)處”的網(wǎng)站在線提交，這時也只能到學(xué)校提交。

為此，校園網(wǎng)的建設(shè)可采用多ISP連接的網(wǎng)絡(luò)訪問模式：在原有的教育網(wǎng)出口的基礎(chǔ)上增加一個當(dāng)?shù)豂SP（移動、聯(lián)通或電信寬帶ISP）出口，形成多ISP連接的校園網(wǎng)絡(luò)結(jié)構(gòu)，并且需學(xué)校的網(wǎng)絡(luò)中心在學(xué)校組建VPN服務(wù)器，供教職工在校外使用校內(nèi)資源。在組建VPN服務(wù)器時，使用當(dāng)?shù)豂SP出口，為校外的教職工提供VPN接入服務(wù)，因為校外教職工大多使用當(dāng)?shù)豂SP提供的ADSL寬帶業(yè)務(wù)。當(dāng)校外職工使用VPN接入學(xué)校的VPN服務(wù)器后，就可以訪問校園網(wǎng)與教育網(wǎng)上的資源，這將為教職工提供很大的便利。

2.VPN關(guān)鍵技術(shù)研究

⑴隧道技術(shù)：隧道是指在公用網(wǎng)建立一條數(shù)據(jù)通道，讓數(shù)據(jù)包通過這條隧道傳輸。隧道技術(shù)可分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。第2層隧道協(xié)議對應(yīng)于OSI模型的數(shù)據(jù)鏈路層，使用幀作為數(shù)據(jù)交換單位。PPTP（點對點隧道協(xié)議）、L2TP（第二層隧道協(xié)議）和L2F（第2層轉(zhuǎn)發(fā)協(xié)議）都屬于第2層隧道協(xié)議，是將用戶數(shù)據(jù)封裝在點對點協(xié)議（PPP）幀中通過互聯(lián)網(wǎng)發(fā)送。第3層隧道協(xié)議對應(yīng)于OSI模型的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。MPLS、SSL以及IPSec隧道模式屬于第3層隧道協(xié)議，是將IP包封裝在附加的IP包頭中，通過IP網(wǎng)絡(luò)傳送。無論哪種隧道協(xié)議都是由傳輸?shù)妮d體、不同的封裝格式以及用戶數(shù)據(jù)包組成的。它們的本質(zhì)區(qū)別在于，用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。

⑵安全技術(shù)：VPN安全技術(shù)主要包括加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù)。加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)；密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊??；使用者與設(shè)備身份認證技術(shù)最常用的是使用者名稱與密碼認證等方式。

3.基于VPN技術(shù)的多出口校園網(wǎng)的設(shè)計

3.1 網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃

為了滿足可擴展性和適應(yīng)性目標，網(wǎng)絡(luò)結(jié)構(gòu)采用典型的層次化拓撲，即核心層、分布層、訪問層。核心層路由器用于優(yōu)化網(wǎng)絡(luò)可用性和性能，主要承擔(dān)校園網(wǎng)的高速數(shù)據(jù)交換任務(wù)，同時要為各分布層節(jié)點提供最佳數(shù)據(jù)傳輸路徑；分布層交換機用于執(zhí)行策略，分別連接圖書館、辦公樓、實驗樓以及各院系；接入層通過低端交換機和無線訪問節(jié)點連接用戶。畢業(yè)論文。網(wǎng)絡(luò)拓撲圖如圖1所示。

圖1 網(wǎng)絡(luò)拓撲圖

3.2 網(wǎng)絡(luò)工作原理

在該組網(wǎng)方案中，學(xué)校通過核心層路由器分別接入教育網(wǎng)與Internet，然后通過一硬件防火墻與分布層交換機連接，分布層交換機負責(zé)連接圖書館、辦公樓、實驗樓以及各院系的接入層設(shè)備，校園網(wǎng)內(nèi)的終端計算機直接與接入層設(shè)備相連。終端計算機可直接使用教育網(wǎng)分配的IP地址。校園網(wǎng)內(nèi)有一臺安裝了ISAServer2006的VPN服務(wù)器，給其分配一個教育網(wǎng)IP地址（假設(shè)Ip：202.102.134.100，網(wǎng)關(guān)地址202.102.134.68），在防火墻中將一個公網(wǎng)地址（假設(shè)為222.206.176.12）映射到該地址。VPN服務(wù)器可通過“防火墻”與“核心層路由器”訪問Internet與教育網(wǎng)，Internet上的用戶，可以通過“Internet上的VPN客戶端—>Internet網(wǎng)絡(luò)—>核心層路由器—>防火墻—>分布層交換機—>ISA Server2006VPN服務(wù)器”的路線連接到VPN服務(wù)器，之后，ISAServer2006 VPN服務(wù)器通過防火墻和核心層路由器訪問教育網(wǎng)，并且ISA Server2006 VPN服務(wù)器通過分布層交換機提供了到學(xué)校內(nèi)網(wǎng)的訪問。

3.3 技術(shù)要點

⑴防火墻內(nèi)網(wǎng)地址問題。如果防火墻是透明模式接入，各個網(wǎng)口是不需要地址的。若防火墻是假透明，就需要給防火墻的每個網(wǎng)口配置同一個網(wǎng)段的IP。如果是路由模式，需要給防火墻的每個網(wǎng)口配置不同網(wǎng)段的IP，就象路由器一樣?，F(xiàn)在有一些防火墻已經(jīng)有所謂的混合模式，也就是透明和路由同時工作，這屬于路由模式的擴展。畢業(yè)論文。

⑵VPN服務(wù)器的注意事項。ISA Server2006VPN服務(wù)器要求至少有“兩塊網(wǎng)卡”才能做VPN服務(wù)器，若服務(wù)器上只有一塊網(wǎng)卡，需為其安裝一塊“虛擬網(wǎng)卡”。另外，VPN服務(wù)器不一定要直接連接在分布層交換機上，也可以是圖書館、辦公樓、實驗樓以及各院系的一臺服務(wù)器，只要映射一個公網(wǎng)地址即可。

⑶設(shè)定ISA Server2006接受VPN呼叫。VPN 可通過默認設(shè)置的動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）或者通過使用路由選擇和遠程訪問控制臺分配的一組地址來分配地址。如果選擇了DHCP，VPN客戶端永遠不會同DHCP服務(wù)器進行直接通信，運行ISA Server2006的VPN服務(wù)器將分配從DHCP服務(wù)器所獲得的地址；它將基于運行ISA Server2006的VPN 服務(wù)器的內(nèi)部接口配置來分配名稱服務(wù)器地址。如果擁有多個內(nèi)部接口，運行ISA Server的VPN 服務(wù)器將選擇其中之一。

⑷VPN客戶端地址的分配。在給VPN客戶端分配IP地址時，在為VPN客戶端分配IP地址的時候，要保證所分配的地址不能與VPN服務(wù)器本身以及VPN服務(wù)器所屬內(nèi)網(wǎng)、公網(wǎng)的地址沖突，否則VPN客戶端在訪問內(nèi)網(wǎng)時，會造成尋址問題而不能訪問。畢業(yè)論文。為了避免出現(xiàn)問題，直接分配私網(wǎng)的IP地址即可，比如192.168.14.0/24網(wǎng)段。另外，校園網(wǎng)外的教職工，在撥叫VPN服務(wù)器時，應(yīng)是防火墻映射的地址，本文中即222.206.176.12。

4.結(jié)束語

多出口是目前許多高校組建校園網(wǎng)時所采取的方式，多出口解決了教育網(wǎng)與Internet之間的出口速度很慢的問題，將VPN技術(shù)應(yīng)用到具有多出口的高校校園網(wǎng)，可以讓校外Internet用戶更容易、更方便的獲得對教育網(wǎng)、校園網(wǎng)數(shù)字資源的使用權(quán)。

參考文獻

[1]曹利峰,杜學(xué)繪,陳性元.一種新的IPsecVPN的實現(xiàn)方式研究[J].計算機應(yīng)用與軟件,2008,07

[2]賈毅峰.雙出口校園網(wǎng)中策略路由的應(yīng)用[J].銅仁學(xué)院學(xué)報,2009,11

[3]吳建國,王鐵,許興華.校園網(wǎng)雙(多)出口的基本解決策略和方法[J].云南師范大學(xué)學(xué)報,2010.01

篇4

一、引言

隨著科學(xué)技術(shù)的飛速發(fā)展,國內(nèi)外各高校圖書館之間的交流合作不斷深化、師生員工對于知識的需求多元化，迫使各高校圖書館集中科研力量開發(fā)新型借閱系統(tǒng)、利用新興網(wǎng)絡(luò)技術(shù)建設(shè)一個既能滿足當(dāng)前應(yīng)用又能滿足長遠發(fā)展需求的數(shù)字圖書館網(wǎng)絡(luò)平臺。但是在建設(shè)數(shù)字圖書館的過程中很多高校遇到了一些問題：電子書商基于對產(chǎn)品版權(quán)的保護，在電子資源中設(shè)置數(shù)字版權(quán)（DRM），限制了訪問的IP地址范圍，這與師生員工利用公共網(wǎng)絡(luò)帳號（網(wǎng)絡(luò)運營商提供的動態(tài)分配IP地址的上網(wǎng)帳號）訪問校園內(nèi)網(wǎng)（專用網(wǎng)絡(luò)）的電子資源的權(quán)限沖突，導(dǎo)致師生員工無法檢索需要的信息資料，直接造成許多圖書館電子資源的閑置和浪費，使得投入和產(chǎn)出不成正比，影響了數(shù)字圖書館的合理化建設(shè)。面對這種情況,VPN技術(shù)為我們提供了一套可管理、可認證、安全的遠程訪問電子資源的解決方案。

二、VPN技術(shù)簡介

1.VPN簡述

VPN(Virtual Private Network)可譯為“虛擬專用網(wǎng)”。它并不是一個新名詞，因為在電信服務(wù)的電話網(wǎng)絡(luò)中早就提出了VPN的概念。VPN不是真的專用網(wǎng)絡(luò)，但是卻能實現(xiàn)專用網(wǎng)絡(luò)的功能。因特網(wǎng)工程技術(shù)委員會(IETF)對的VPN的解釋是：通過公共網(wǎng)絡(luò)建立一個臨時的、安全的、私有的點對點連接，通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸,從而實現(xiàn)在公網(wǎng)上傳輸私密數(shù)據(jù),并達到私有專用網(wǎng)絡(luò)的安全級別。VPN網(wǎng)絡(luò)的認證機制很好的保護了用戶收發(fā)數(shù)據(jù)的完整性、準確性,避免收發(fā)的數(shù)據(jù)不相符；而且VPN技術(shù)本身對網(wǎng)絡(luò)流量能進行預(yù)測和控制,實現(xiàn)網(wǎng)絡(luò)帶寬的優(yōu)化管理,從而避免在互聯(lián)網(wǎng)使用高峰期造成網(wǎng)絡(luò)堵塞,提高了數(shù)據(jù)傳輸?shù)馁|(zhì)量；另外，單位、企業(yè)很在意的經(jīng)濟投入也是非常的合理、節(jié)約，只要一次性購買VPN設(shè)備（包括服務(wù)器、路由器等），而不再需要增購其它的存儲設(shè)備，進行重復(fù)性建設(shè)，并且VPN網(wǎng)絡(luò)更不用考慮線路帶寬的利用率和費用的問題。一旦組建好VPN網(wǎng)絡(luò)之后只須安排一個專業(yè)技術(shù)員對其進行日常的管理維護（主要是安全管理、設(shè)備正常運行監(jiān)控、配置管理、訪問控制列表管理等）即可。此外，現(xiàn)有公共網(wǎng)絡(luò)提供多種接入方式,如:PSTN撥號、ADSL、CableModem、小區(qū)寬帶等,VPN網(wǎng)絡(luò)也可以根據(jù)各種接入方式的信息量、實時性及通信條件等情況,分別選擇不同的速率與之鏈接；同時，VPN網(wǎng)絡(luò)能夠支持任何類型的數(shù)據(jù)流,支持多種類型的傳輸媒介,滿足同步傳輸語音、圖像的需求,方便增加新的節(jié)點,增加訪問用戶的數(shù)量,具有很高的可擴充性能。

2.VPN關(guān)鍵技術(shù)

那么，VPN是采用什么技術(shù)和協(xié)議來很好的發(fā)揮它的特點的？首先我們需要了解國際標準組織制定的OSI網(wǎng)絡(luò)模型，它把傳統(tǒng)Internet網(wǎng)絡(luò)分為7層：物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)網(wǎng)際協(xié)議層、數(shù)據(jù)信息傳送層、對話層、表示層和應(yīng)用層；最底層是物理層，而最高層是應(yīng)用層，VPN技術(shù)利用這個OSI模型為基礎(chǔ)，開發(fā)出目前主流的三類Internet VPN遠程安全接入技術(shù)（基于網(wǎng)絡(luò)協(xié)議第三層的安全鏈接技術(shù)IPSecVPN、基于多協(xié)議的標記交換技術(shù)MPLS VPN、基于網(wǎng)絡(luò)協(xié)議第七層的安全鏈接技術(shù)SSL VPN）。這些VPN技術(shù)具有類似的功能,但也存在著不同特性和各自擅長的應(yīng)用取向。無論采用什么技術(shù)標準的VPN網(wǎng)絡(luò)運用下面四種核心手段保證通信安全。

1)隧道技術(shù)（Tunneling）

隧道技術(shù)是VPN網(wǎng)絡(luò)的基本技術(shù),并依靠多種隧道協(xié)議來完成，例如：PPTP（點對點

隧道協(xié)議）、PPP（點對點通信協(xié)議）、L2F（數(shù)據(jù)鏈路層轉(zhuǎn)發(fā)協(xié)議）、L2TP（數(shù)據(jù)鏈路層隧道協(xié)議）等。目前比較流行的隧道協(xié)議是IPSec（網(wǎng)絡(luò)協(xié)議安全標準）與SSL（安全認證應(yīng)用層標準）協(xié)議的結(jié)合,使用此協(xié)議可以很容易地建立IP層（網(wǎng)絡(luò)協(xié)議第三層）用戶的要求,也可以實現(xiàn)需要C/S（客戶機/服務(wù)器）架構(gòu)或者B/S（瀏覽器／服務(wù)器）架構(gòu)的數(shù)據(jù)管理信息系統(tǒng)的要求。

2)加密&解密技術(shù)(Encryption&Decryption)

加密&解密技術(shù)是網(wǎng)絡(luò)實時數(shù)據(jù)通信中一項比較成熟的技術(shù),VPN可以直接利用此項技術(shù)。現(xiàn)行VPN使用的加密&解密技術(shù)主要有兩種:對稱加密(單鑰加密)算法和不對稱加密(公鑰加密)算法。其中不對稱加密算法生成的密鑰用戶管理方便,占用存儲空間小,所以此算法是目前VPN網(wǎng)絡(luò)中使用最為廣泛的算法。

3)密鑰管理&交換技術(shù)(KeyManagement)

密鑰管理&交換技術(shù)是保護在公共網(wǎng)絡(luò)上傳輸?shù)乃接袛?shù)據(jù)流可以安全地傳遞密鑰、識別密鑰從而進行數(shù)據(jù)交換。為了使數(shù)據(jù)可以安全、準確、及時地傳遞,國際標準組織制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密鑰管理&交換協(xié)議，進而形成了現(xiàn)行的密鑰管理&交換機制，主要有三種:KMI機制（基于傳統(tǒng)網(wǎng)絡(luò)）、PKI機制（基于開放網(wǎng)絡(luò)）和SPK機制（基于大規(guī)模專用網(wǎng)絡(luò)），最為廣泛使用的是KMI機制。

4)使用者身份認證技術(shù)(Authentication)

使用者身份認證技術(shù)最常用的是用戶名、口令或智能卡認證(特殊的U盤)等方式。在實際應(yīng)用中，移動用戶使用智能卡方式,此卡內(nèi)存貯有用戶登錄VPN網(wǎng)絡(luò)所要求的各項相關(guān)數(shù)據(jù)信息；遠程非移動用戶采用用戶名與口令方式來登錄,例如ADSL連接方式則在撥號時實現(xiàn)，如果是專線用戶則在路由器中實現(xiàn),此用戶名與口令一般不需要登錄用戶來干預(yù),所以用戶訪問VPN網(wǎng)絡(luò)就如同在局域網(wǎng)內(nèi)一樣方便。

如今，VPN技術(shù)突飛猛進，又出現(xiàn)許多新技術(shù)元素，所以VPN技術(shù)的發(fā)展前景很廣闊。而解決數(shù)字圖書館建設(shè)中的一些疑難問題就目前看來采用VPN技術(shù)是一種很高效的解決辦法。

三、數(shù)字圖書館建設(shè)中幾種常見（VPN）模式

在各個高校數(shù)字圖書館建設(shè)過程中，根據(jù)師生用戶群的使用特點以及應(yīng)用環(huán)境的不同，VPN大致可采用三種不同的解決方案：遠程訪問虛擬網(wǎng)(AccessVPN)、校園內(nèi)部虛擬網(wǎng)(IntranetVPN)和校園擴展虛擬網(wǎng)(ExtranetVPN)。

1.遠程訪問虛擬網(wǎng)(AccessVPN)：如果圖書館員或者師生用戶需要移動或者遠程訪問圖書館或者圖書館開展遠程教育,就可以考慮使用AccessVPN。AccessVPN通過使用與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施（公共骨干網(wǎng)）,提供圖書館內(nèi)網(wǎng)和公共網(wǎng)絡(luò)之間的安全連接。AccessVPN能使圖書館所有用戶隨時、隨地以其所需的方式辦理圖書館各種業(yè)務(wù)。

2.圖書館內(nèi)部虛擬網(wǎng)(IntranetVPN)：近年來隨著高校規(guī)模的不斷擴大,辦學(xué)方式的不斷豐富,各大高校都呈現(xiàn)多校區(qū)辦學(xué)模式，圖書館也不例外，許多高校圖書館組建分支機構(gòu)，這樣就可以考慮使用IntranetVPN。IntranetVPN通過公用網(wǎng)服務(wù)商提供的QoS機制（能自動識別數(shù)據(jù)包并轉(zhuǎn)發(fā)到對應(yīng)的地址去），使圖書館與各個校區(qū)分支機構(gòu)的路由器之間建立VPN安全隧道,保證圖書館各個分支機構(gòu)能實時、準確的與主機構(gòu)之間交換數(shù)據(jù)。論文參考網(wǎng)。

3.圖書館擴展虛擬網(wǎng)(ExtranetVPN)：其實這種應(yīng)用模式只是圖書館內(nèi)部虛擬網(wǎng)的擴展，這種模式為圖書館和電子資源供應(yīng)商的網(wǎng)站平臺之間提供了一種安全的連接通道，例如電子書商提供圖書館內(nèi)網(wǎng)遠程鏡像訪問企業(yè)主站的安全訪問模式和各高校圖書館之間的合作,就可以考慮使用ExtranetVPN。論文參考網(wǎng)。ExtranetVPN更多的是考慮協(xié)調(diào)和安全問題。

以上提供的幾種圖書館VPN解決方案常常通過軟、硬件以及輔助設(shè)備把他們結(jié)合起來使用，這樣就大大豐富了VPN技術(shù)在圖書館數(shù)字化建設(shè)中的作用。

四、VPN在安徽農(nóng)業(yè)大學(xué)圖書館中的應(yīng)用

安徽農(nóng)業(yè)大學(xué)是安徽省一所省屬重點綜合性大學(xué)，安徽農(nóng)業(yè)大學(xué)的數(shù)字圖書館建設(shè)也采用VPN技術(shù)來實現(xiàn)校外公網(wǎng)訪問校內(nèi)資源，實現(xiàn)學(xué)校的公共資源的充分利用。

現(xiàn)階段，安徽農(nóng)業(yè)大學(xué)圖書館還沒有分館，所以VPN技術(shù)主要應(yīng)用于校外師生用戶通過公共網(wǎng)絡(luò)訪問圖書館電子資源。學(xué)校采用一家很有實力的網(wǎng)絡(luò)技術(shù)公司的M5600 SSL VPN路由器構(gòu)建VPN網(wǎng)絡(luò)，這種VPN路由器主要采用使用者用戶名認證技術(shù)保證校外師生用戶通過公共網(wǎng)絡(luò)正確訪問圖書館電子資源。論文參考網(wǎng)。根據(jù)目前的需求可以看出，現(xiàn)階段的用戶群還是比較集中和狹窄的，這也是為了保護學(xué)校資源和電子書商的版權(quán)。但是，為了能在不遠的將來使圖書館資源利用率達到最優(yōu)化，學(xué)校購買的VPN路由器是智能化和可升級的，這樣就足以保證數(shù)字圖書館建設(shè)的可持續(xù)發(fā)展。

總之，VPN的應(yīng)用前景是很廣闊的，不僅僅是解決公共網(wǎng)絡(luò)訪問內(nèi)網(wǎng)資源的問題；可以預(yù)見，數(shù)據(jù)共享是未來圖書館的發(fā)展趨勢。各高校圖書館都會建設(shè)專有VPN網(wǎng)絡(luò),從而使信息資源全球化、集成化、多元化。

[參考文獻]

1.李紅艷. VPN技術(shù)在高校圖書館網(wǎng)絡(luò)系統(tǒng)設(shè)計中的應(yīng)用[J]. 中國期刊網(wǎng)CNKI數(shù)字圖書館，科技情報開發(fā)與經(jīng)濟，第16卷第21期，2006年.

2.唐淑娟,秦一方,井向陽. VPN技術(shù)與圖書館資源遠程利用[J]. 中國期刊網(wǎng)CNKI數(shù)字圖書館,情報探索，第1期，2007年1月.

篇5

1 引言

信息技術(shù)的迅速發(fā)展和廣泛應(yīng)用，不僅改變著人們的工作和生活方式，也改變著教育和學(xué)習(xí)方式，也促進了國內(nèi)外數(shù)字資源的突飛猛進發(fā)展，高校圖書館購買的數(shù)字資源也越來越多，可供師生訪問的資源日漸增多，但是數(shù)據(jù)庫資源的知識產(chǎn)權(quán)和版權(quán)等因素使得相當(dāng)部分數(shù)字資源使用范圍有限，只能在校園網(wǎng)內(nèi)部訪問，不能對外網(wǎng)開放。電大開放教育以學(xué)生為中心，具有開放性、靈活性、針對性和適應(yīng)性等特點，主要運用衛(wèi)星、電視、互聯(lián)網(wǎng)、移動終端等信息化手段和多種教學(xué)媒介，構(gòu)建全民多樣化終身學(xué)習(xí)型社會。國家開放大學(xué)數(shù)字圖書館的服務(wù)對象是開放大學(xué)及電大系統(tǒng)的師生，但他們多數(shù)是在職在崗的成人，學(xué)習(xí)的地方相對分散，到校園圖書館利用數(shù)字資源極為不便，也因此形成了開放大學(xué)圖書館服務(wù)方式的特殊性。為了滿足電大系統(tǒng)教師和學(xué)生隨時隨地便捷地使用圖書館數(shù)字資源，國家開放大學(xué)數(shù)字圖書館提供遠程訪問服務(wù)。

2 遠程訪問數(shù)字圖書館

本文所討論的遠程訪問是校外訪問，就是指非校園網(wǎng)用戶突破校內(nèi)IP地址的物理限制使用學(xué)校購買的數(shù)字化數(shù)據(jù)庫資源。目前遠程訪問圖書館數(shù)字資源有傳統(tǒng)服務(wù)器技術(shù)、VPN技術(shù)、Athens項目、PKI技術(shù)、Shibbloeth項目、EZproxy技術(shù)等[1]。VPN技術(shù)實現(xiàn)遠程訪問已經(jīng)普遍應(yīng)用并逐步完善，尤其在遠程訪問圖書館數(shù)字資源中應(yīng)用更為廣泛。新興的 SSL VPN 技術(shù)非常適合移動用戶的遠程接入訪問，該技術(shù)集傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全、快速及共享數(shù)據(jù)庫的低成本且簡單易行等優(yōu)點特點，可以為外部網(wǎng)提供虛擬連接，從而成為高校圖書館為所有非校園網(wǎng)的師生提供資源共享的最理想的方案[2]。

3 VPN概述

VPN（Virtual Private Network）即虛擬專用網(wǎng)絡(luò)，是一種網(wǎng)絡(luò)新技術(shù)，在公用網(wǎng)絡(luò)上通過加密、認證、封裝以及密鑰交換技術(shù)，建立單位內(nèi)部專用網(wǎng)絡(luò)進行遠程虛擬訪問的連接方式。VPN具有傳輸數(shù)據(jù)安全可靠，連接方便靈活，可完全控制，成本低等特點[3]。

SSL VPN是采用SSL（Secure Sockets Layer，安全套接層）協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)。SSL協(xié)議是基于WEB的安全協(xié)議，使用SSL 協(xié)議進行認證和數(shù)據(jù)加密的VPN就可以免于安裝客戶端。相對于傳統(tǒng)的VPN而言，SSL VPN具有部署簡單，無客戶端，維護成本低，網(wǎng)絡(luò)適應(yīng)強等特點[4]。

4 應(yīng)用VPN技術(shù)訪問數(shù)字圖書館的方法

筆者在教育教學(xué)過程中發(fā)現(xiàn)絕大多數(shù)學(xué)生不會遠程訪問數(shù)字圖書館，甚至很多教師都不會合理利用網(wǎng)上數(shù)字資源。開放大學(xué)圖書館由于涉及數(shù)據(jù)庫資源的知識產(chǎn)權(quán)問題，使用范圍有限，在校園網(wǎng)內(nèi)使用沒有限制，但校外只允許屬于電大的教師和學(xué)生作為合法的用戶，提供VPN技術(shù)，用戶在登錄后，需要安裝VPN控件，才能正常的打開文獻資源列表。一般情況下，VPN系統(tǒng)會自動檢測電腦系統(tǒng)，并引導(dǎo)安裝VPN插件，也可以在網(wǎng)站下載插件安裝包進行安裝。因此要求我們提供用戶名和密碼來進行身份的確認。筆者在教學(xué)工作中發(fā)現(xiàn)，很多學(xué)生寫畢業(yè)論文或教師做課題研究的時候，抱怨找不到資源，找到的資源不完整或者下載需付費，下面簡單介紹校外如何訪問開放大學(xué)數(shù)字圖書館（中央廣播電視大學(xué)圖書館）。

4.1 開放大學(xué)數(shù)字圖書館介紹

國家開放大學(xué)數(shù)字圖書館為開放大學(xué)及全國電大系統(tǒng)提供一站式、扁平化服務(wù)，其中電子圖書書目數(shù)據(jù)達340多萬種、電子圖書全文達234萬種、學(xué)術(shù)文獻7000多萬篇、社科數(shù)字期刊2800多種，名師講座88624集，基本實現(xiàn)數(shù)字文獻資源全學(xué)科覆蓋[5]。主要涵蓋：（1）開放文獻資源列表，提供中央電大圖書館提供的常用電子文獻資源列表；（2）讀者論壇幫助BBS（beta），是開放數(shù)圖論壇讀者幫助模塊，在此可以反饋在使用中存在的問題，提出數(shù)字圖書改進建議；（3）數(shù)字圖書館學(xué)習(xí)空間，以圖書館培訓(xùn)、教育為主要內(nèi)容，同時提供教師自建課程的Moodle教學(xué)平臺；（4）電大在線?我的工作室，提供在線教學(xué)輔導(dǎo)的全部信息；（5）開放大學(xué)講壇，由中央電大圖書館主辦的學(xué)術(shù)講座平臺，匯集名師名家，深入講解近期發(fā)生的熱點問題，提供最全的視頻資料信息；（6）全國電大圖書館通訊，是圖書館服務(wù)與交流電子期刊，提供了最新的電大圖書館工作動態(tài)，介紹電大圖書館新引進的和推薦的文獻信息資源等；（7）社會化應(yīng)用及交流網(wǎng)站等服務(wù)。

4.2 安裝VPN控件

開放大學(xué)數(shù)字圖書館（http：//）通過VPN的方式對開放教育學(xué)生以及電大系統(tǒng)教職工提供授權(quán)訪問服務(wù)。打開頁面“插件”（如上圖），下載“國家開放大學(xué)數(shù)字圖書館遠程訪問控件”，即VPN控件，在安裝過程中關(guān)閉防火墻和IE安全控（上接81頁）

件軟件，并將圖書館網(wǎng)站的鏈接地址添加到IE信任列表，Windows Vista用戶在安裝控件時請關(guān)閉UAC，Windows 7用戶在安裝控件時請對IE點擊右鍵選擇“以管理員身份運行”，再打開安裝頁面。安裝VPN控件后，這個插件要求必須使用IE瀏覽器進行訪問，IE瀏覽器的版本最低為6.0。

4.3 登陸訪問資源列表

點擊“開放數(shù)圖”，學(xué)生用電大在線學(xué)生證號進行登錄，教師用電大在線用戶名進行登錄，通過點擊開放文獻資源列表標簽，在進入過程中檢查身份的合法性及訪問資源的安全性，檢查完畢進入應(yīng)用列表，包括CNKI、維普、萬方、超星、龍源、讀秀等數(shù)據(jù)庫，涵蓋了最新期刊、會議論文、學(xué)位論文等。

4.4 文獻檢索

以中國知網(wǎng)（CNKI）為例，打開CNKI（國開鏡像版），期刊包括博碩士學(xué)位論文、會議、報紙、外文文獻、年鑒、百科、詞典、統(tǒng)計數(shù)據(jù)、專利、標準等內(nèi)容，通過全文、主題、篇名、關(guān)鍵字、摘要、文獻來源等方式輸入關(guān)鍵字進行檢索，在檢索結(jié)果中打開自己感興趣的文獻進行閱讀、下載。

日新月異的信息技術(shù)，促進了教育信息化的迅猛發(fā)展，電大教師的信息技術(shù)應(yīng)用能力、文獻檢索的方法和途徑直接決定了遠程教育教學(xué)資源的使用效率和科研水平，因此筆者認為提升師生信息素養(yǎng)，加強信息技術(shù)應(yīng)用能力，通過系統(tǒng)內(nèi)數(shù)字資源應(yīng)用培訓(xùn)，從數(shù)字圖書館平臺訪問、國內(nèi)主要文獻數(shù)據(jù)庫的使用、移動數(shù)字圖書館的使用等方面進行培訓(xùn)，使教職工掌握數(shù)字文獻資源的使用，提高數(shù)字資源的使用率，充分發(fā)揮資源共享的優(yōu)勢和效益，為教學(xué)和科研提供支持。

參考文獻：

[1]張文豐，黃淑敏.開放大學(xué)數(shù)字圖書館資源校外訪問方式的研究[J].黑龍江科技信息，2007，（20）：146.

[2]付凱東.SSL VPN技術(shù)在高校圖書館數(shù)字資源中的應(yīng)用[J].微計算機信息，2010，26（7-3）：107.

[3]百度百科：虛擬專用網(wǎng)絡(luò)[EB/OL].http：///view/480950.htm？fromId=19735.

篇6

    虛擬專用網(wǎng)即VPN(Virtual Private Network)是利用接入服務(wù)器(Access Sever)、廣域網(wǎng)上的路由器以及VPN專用設(shè)備在公用的WAN上實現(xiàn)虛擬專用網(wǎng)技術(shù)。通常利internet上開展的VPN服務(wù)被稱為IPVPN。

    利用共用的WAN網(wǎng),傳輸企業(yè)局域網(wǎng)上的信息,一個關(guān)鍵的問題就是信息的安全問題。為了解決此問題,VPN采用了一系列的技術(shù)措施來加以解決。其中主要的技術(shù)就是所謂的隧道技術(shù)。

    1. 隧道技術(shù)

    Internet中的隧道是邏輯上的概念。假設(shè)總部的LAN上和分公司的LAN上分別連有內(nèi)部的IP地址為A和B的微機?？偛亢头止镜絀SP的接入點上的配置了VPN設(shè)備。它們的全局IP地址是C和D。假定從微機B向微機A發(fā)送數(shù)據(jù)。在分公司的LAN上的IP分組的IP地址是以內(nèi)部IP地址表示的"目的地址A""源地址B"。因此分組到達分公司的VPN設(shè)備后,立即在它的前部加上與全局IP地址對應(yīng)的"目的地址C"和"源地址D"。全局IP地址C和D是為了通過Internet中的若干路由器將IP分組從VPN設(shè)備從D發(fā)往VPN設(shè)備C而添加的。此IP分組到達總部的VPN設(shè)備C后,全局IP地址即被刪除,恢復(fù)成IP分組發(fā)往地址A。由此可見,隧道技術(shù)就是VPN利用公用網(wǎng)進行信息傳輸?shù)年P(guān)鍵。為此,還必須在IP分組上添加新頭標,這就是所謂IP的封裝化。同時利用隧道技術(shù),還必須使得隧道的入口與出口相對地出現(xiàn)。

    基于隧道技術(shù)VPN網(wǎng)絡(luò),對于通信的雙方,感覺如同在使用專用網(wǎng)絡(luò)進行通信。

    2. 隧道協(xié)議

    在一個分組上再加上一個頭標被稱為封裝化。對封裝化的數(shù)據(jù)分組是否加密取決于隧道協(xié)議。因此,要成功的使用VPN技術(shù)還需要有隧道協(xié)議。

    2.1 當(dāng)前主要的隧道協(xié)議以及隧道機制的分類:

    ⑴ L2F(Layer 2 Forwarding)

    L2F是cisco公司提出的隧道技術(shù),作為一種傳輸協(xié)議L2F支持撥號接入服務(wù)器。將撥號數(shù)據(jù)流封裝在PPP幀內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器).

    ⑵ PTP(Point to point Tunnelimg protocol)

    PPTP協(xié)議又稱為點對點的隧道協(xié)議。PPTP協(xié)議允許對IP,IPX或NETBEUT數(shù)據(jù)流進行加密,然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互連網(wǎng)絡(luò)傳送。

    ⑶ 2TP(Layer 2 Tunneling Protocol)

    該協(xié)議是遠程訪問型VPN今后的標準協(xié)議。

    L2F、PPTP、L2TP共同特點是從遠程客戶直至內(nèi)部網(wǎng)入口的VPN設(shè)備建立PPP連接,端口用戶可以在客戶側(cè)管理PPP。它們除了能夠利用內(nèi)部IP地址的擴展功能外,還能在VPN上利用PPP支持的多協(xié)議通信功能,多鏈路功能及PPP的其他附加功能。因此在Internet上實現(xiàn)第二層連接的PPPSecsion的隧道協(xié)議被稱作第二層隧道。對于不提供PPP功能的隧道協(xié)議都由標準的IP層來處理,稱其為第三層隧道,以區(qū)分于第二層隧道。

    ⑷ TMP/BAYDVS

    ATMP和BaydVs(Bay Dial VPN Service)是基于ISP遠程訪問的VPN協(xié)議,它部分采用了移動IP的機制。ATMP以GRE實現(xiàn)封裝化,將VPN的起點和終點配置ISP內(nèi)。因此,用戶可以不裝與VPN想適配的軟件。

    ⑸ PSEC

    IPSEC規(guī)定了在IP網(wǎng)絡(luò)環(huán)境中的安全框架。該規(guī)范規(guī)定了VPN能夠利用認證頭標(AH:Authmentication Header)和封裝化安全凈荷(ESP:Encapsnlating Security Paylamd)。

    IPSEC隧道模式允許對IP負載數(shù)據(jù)進行加密,然后封裝在IP包頭中,通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如INTERNET發(fā)送。

    從以上的隧道協(xié)議,我們可以看出隧道機制的分類是根據(jù)虛擬數(shù)據(jù)鏈絡(luò)層的網(wǎng)絡(luò),DSI七層網(wǎng)絡(luò)中的位置,將自己定義為第二層的隧道分類技術(shù)。按照這種劃分方法,從此產(chǎn)生了"二層VPN "與"三層VPN"的區(qū)別。但是隨著技術(shù)的發(fā)展,這樣的劃分出現(xiàn)了不足,比如基于會話加密的SSLVPN技術(shù)[2]、基于端口轉(zhuǎn)發(fā)的HTTPTunnel[1]技術(shù)等等。如果繼續(xù)使用這樣的分類,將出現(xiàn)"四層VPN"、"五層VPN",分類教為冗余。因此,目前出現(xiàn)了其他的隧道機制的分類。

    2.2 改進后的幾種隧道機制的分類

    ⑴ J.Heinanen等人提出的根據(jù)隧道建立時采用的接入方式不同來分類,將隧道分成四類。分別是使用撥號方式的VPN,使用路由方式的VPN,使用專線方式的VPN和使用局域網(wǎng)仿真方式的VPLS。

    例如同樣是以太網(wǎng)的技術(shù),根據(jù)實際情況的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多種VPN組網(wǎng)方式所提供的網(wǎng)絡(luò)性能將大有區(qū)別,因此按照接入方式不同來分類也無法表示這幾種方式在網(wǎng)絡(luò)性能上的差異,由此將引起在實際應(yīng)用中對VPN技術(shù)選型造成誤導(dǎo)。

    ⑵ 由于網(wǎng)絡(luò)性能是所有網(wǎng)絡(luò)技術(shù)的重要評價標準。根據(jù)隧道建立的機制對網(wǎng)絡(luò)性能的影響不同,可以將隧道分成封裝型隧道和隔離型隧道的VPN分類方法。封裝型隧道技術(shù)是利用封裝的思想,將原本工作在某一層的數(shù)據(jù)包在包頭提供了控制信息與網(wǎng)絡(luò)信息,從而使重新封裝的數(shù)據(jù)包仍能夠通過公眾網(wǎng)絡(luò)傳遞。例如L2TP就是典型的封裝型隧道。

    隔離型隧道的建立,則是參考了數(shù)據(jù)交換的原理,根據(jù)不同的標記,直接將數(shù)據(jù)分發(fā)到不同的設(shè)備上去。由于不同標記的數(shù)據(jù)包在進入網(wǎng)絡(luò)邊緣時已經(jīng)相互隔離,如果接入網(wǎng)絡(luò)的數(shù)據(jù)包也是相互隔離的就保證了數(shù)據(jù)的安全性,例如LSVPN。從性能上看,使用封裝型隧道技術(shù)一般只能提供點對點的通道,而點對多點的業(yè)務(wù)支持能力教差,但是可擴展性,靈活性具有優(yōu)勢。

    采用隔離型隧道技術(shù),則不存在以上問題,可以根據(jù)實際需要,提供點對點,點對多點,多點對多點的網(wǎng)絡(luò)拓撲。

    3. 諸種安全與加密技術(shù)

    IPVPN技術(shù),由于利用了Internet網(wǎng)絡(luò)傳輸總部局域網(wǎng)的內(nèi)部信息,使得低成本,遠距離。但隨之而來的是由于Internet技術(shù)的標準化和開放性,導(dǎo)致威脅網(wǎng)絡(luò)的安全。雖然可采取安全對策的訪問控制來提高網(wǎng)絡(luò)的安全性,但黑客仍可以從世界上任何地方對網(wǎng)絡(luò)進行攻擊,使得在IPVPN的網(wǎng)點A和網(wǎng)點B之間安全通信受到威脅。因此,利用IPVPN通信時,應(yīng)比專線更加注意Internet接入點的安全。為此,IPVPN采用了以下諸種安全與加密技術(shù)。[2]

    ⑴ 防火墻技術(shù)

    防火墻技術(shù),主要用于抵御來自黑客的攻擊。

    ⑵ 加密及防止數(shù)據(jù)被篡改技術(shù)

    加密技術(shù)可以分為對稱加密和非對稱加密(專用密鑰號與公用密鑰)。對稱加密(或?qū)Ｓ眉用?也稱常規(guī)加密,由通信雙方共享一個秘密密鑰。

    非對稱加密,或公用密鑰,通信雙方使用兩個不同的密鑰,一個是只有發(fā)送方知道的專用密鑰,另一個則是對應(yīng)的公用密鑰。任何一方都可以得到公用密鑰。基于隧道技術(shù)的VPN虛擬專用網(wǎng),只有采用了以上諸種技術(shù)以后,才能夠發(fā)揮其良好的通信功能。

    參考文獻

篇7

The Application of SSL VPN Technology in the Computer Network of Teaching Resources

Tan Qinhong

(Tongren Polytechnic,Tongren554300,China)

Abstract:This article first computer teaching resources network security risks were analyzed,then briefly introduces the basic principles of SSL VPN technology,traditional security devices can not solve the authentication of users or devices in the network of computer teaching resources,confidentiality,non-repudiation issues,solve these problems,SSL VPN technology used in computer teaching resource network designed computer teaching resources for more than one level in depth network security protection system,the system has high security,high availability,mobile office convenience,access control strict,and has the characteristics of confidentiality,authentication,nonrepudiation.

Keywords:Computer teaching resources network;Network security;SSL VPN

一、校園網(wǎng)計算機教學(xué)系統(tǒng)面臨的安全風(fēng)險分析

隨著國家教育事業(yè)的快速發(fā)展以及IT技術(shù)的迅猛發(fā)展，人們的生產(chǎn)、生活方式發(fā)生了翻天覆地的變化，傳統(tǒng)的教室內(nèi)黑板面授教學(xué)模式已經(jīng)不能完全滿足當(dāng)代的教學(xué)工作，必須有一種新的教學(xué)方式來彌補傳統(tǒng)教學(xué)模式單一的不足，計算機教學(xué)應(yīng)運而生，特別是計算機多媒體教學(xué)。計算機教學(xué)方式中，學(xué)習(xí)的人可以隨時隨地的學(xué)習(xí)，不受時間和空間的限制，并且具有學(xué)習(xí)成本低廉等一系列優(yōu)點，因此計算機教學(xué)受到越來越多的歡迎。

為方便教師和學(xué)生等對教學(xué)資源的外部訪問，存儲有教學(xué)資源的網(wǎng)絡(luò)大多與互聯(lián)網(wǎng)相連，難免會受到來自于網(wǎng)絡(luò)內(nèi)部和外部的攻擊，計算機網(wǎng)絡(luò)的大多設(shè)備或軟件為國外生產(chǎn)，其中可能存在一些后門程序，操作系統(tǒng)、應(yīng)用系統(tǒng)等都存在大量的漏洞可以讓攻擊者利用，計算機病毒等惡意程序、SQL注入攻擊、跨站腳本攻擊、DDOS攻擊、釣魚網(wǎng)站的泛濫讓校園網(wǎng)的安全形式不容樂觀。

校園網(wǎng)中，用戶有學(xué)生、教師、外部學(xué)習(xí)者等主體，教學(xué)資源的訪問主體的身份不好控制、資源訪問控制困難，很難讓指定的用戶只能訪問指定的資源，不能訪問其它非授權(quán)訪問資源、用戶對資源的訪問不具有抗抵賴等問題。

校園網(wǎng)是學(xué)校的門戶，是學(xué)校的形象窗口，是學(xué)校賴以生存的生產(chǎn)資料的一部分，如果遭到惡意攻擊，導(dǎo)致不能正常對外部提供服務(wù)，將對學(xué)校造成嚴重損失。

二、SSL VPN簡介

VPN（Virtual Private Network虛擬專用網(wǎng)絡(luò)）[1]是一種在公共的網(wǎng)絡(luò)基礎(chǔ)平臺（如internet）上建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。VPN通過對數(shù)據(jù)包進行加密和封包，在公共網(wǎng)絡(luò)基礎(chǔ)平臺上構(gòu)建出安全、可靠的專用隧道，使私有數(shù)據(jù)在公共網(wǎng)絡(luò)上安全傳輸。用戶使用VPN技術(shù)，不需要建設(shè)自己的專用網(wǎng)絡(luò)，節(jié)省投資，使用便捷，VPN技術(shù)因而獲得了廣泛的應(yīng)用。

VPN技術(shù)發(fā)展至今，產(chǎn)生了多個種類，有工作在2層的L2TP VPN，工作在3層的IPsec VPN，工作在傳輸層和應(yīng)用層之間的SSL（Secure Socket Layer安全套接層）VPN，基于虛擬路由表和標簽轉(zhuǎn)發(fā)的MPLS/BGP VPN等。其中SSL VPN由于接入方便、方便用戶通過公共網(wǎng)絡(luò)（如internet）接入業(yè)務(wù)網(wǎng)絡(luò)，在遠程接入上應(yīng)用廣泛。

SSL是一個獨立于平臺并獨立于應(yīng)用的協(xié)議，用戶保護基于TCP的應(yīng)用。在TCP/IP四層架構(gòu)中，SSL在傳輸層之上，應(yīng)用層之下，像TCP連接所連接的套接字一樣工作。

SSL VPN技術(shù)幫助用戶使用標準的Web瀏覽器就可以通過公共網(wǎng)絡(luò)平臺接入所要訪問的遠程資源。在用戶的計算機上，不需要安裝客戶端軟件及進行復(fù)雜的配置，大大方便了用戶，僅僅通過一臺接入了Internet的計算機就能訪問遠程資源。這為企業(yè)及政府提高效率也帶來了方便。

用戶所要訪問的資源位于企業(yè)網(wǎng)或者政務(wù)網(wǎng)內(nèi)部，在此情況下，需要部署SSL VPN網(wǎng)關(guān)在企業(yè)網(wǎng)或者政務(wù)網(wǎng)的邊緣，介于服務(wù)器與遠程用戶之間，控制二者的通信。如下圖所示：

SSL VPN網(wǎng)關(guān)除了作為隧道的終點，還要執(zhí)行以下三種功能：，應(yīng)用轉(zhuǎn)換、端口轉(zhuǎn)發(fā)[2]。

篇8

一、引言

隨著信息化經(jīng)濟一體化的發(fā)展,實現(xiàn)資源共享是每個企業(yè)追求發(fā)展進步不可或缺的一步。利用隧道技術(shù)在公共網(wǎng)絡(luò)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN)是實現(xiàn)資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個比較主流的VPN技術(shù)。

二、IPSec VPN

IPSec VPN即指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù),用來提供公用和專用網(wǎng)絡(luò)的端對端加密和驗證服務(wù)。IPsec給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括AH網(wǎng)絡(luò)認證協(xié)議、ESP封裝安全載荷、IKE因特網(wǎng)密鑰交換和用于網(wǎng)絡(luò)認證及加密的一些算法等[1]。其中,AH協(xié)議和ESP協(xié)議用來提供安全服務(wù),IKE協(xié)議用于密鑰交換。

(一)認證頭(AH)協(xié)議

IPsec認證頭協(xié)議是IPsec體系結(jié)構(gòu)中的一種主要協(xié)議(AH協(xié)議把AH頭插入IP數(shù)據(jù)包),它為IP數(shù)據(jù)報提供無連接完整性、數(shù)據(jù)源認證、保護以避免重播情況[1]。

(二)封裝安全載荷(ESP)協(xié)議

封裝安全載荷(ESP)協(xié)議是IPsec體系結(jié)構(gòu)中的一種用來提高IP的安全性的主要協(xié)議。ESP加密要保護的數(shù)據(jù)并且在IPsec ESP的數(shù)據(jù)部分進行數(shù)據(jù)的完整性校驗,以達到其數(shù)據(jù)機密性和完整性的目的。ESP提供了與AH相同的安全服務(wù)并提供了一種保密。

(三)IKE

IKE是一種混合型協(xié)議,由Internet安全聯(lián)盟(SA)和密鑰管理協(xié)議(ISAKMP)這兩種密鑰交換協(xié)議組成。IKE是以受保護的方式為SA協(xié)商并提供經(jīng)過認證的密鑰信息的協(xié)議。IKE用于協(xié)商AH和ESP所使用的密碼算法,并將算法所需的必備密鑰放到恰當(dāng)位置。同樣,IKE使用ISAKMP為其他IPSec(AH和ESP)協(xié)議協(xié)商SA。

三、MPLS VPN

MPLS VPN與傳統(tǒng)的IPSec VPN不同,MPLS VPN不依靠封裝和加密技術(shù),而是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標記來創(chuàng)建一個安全的VPN,MPLS VPN的所有技術(shù)產(chǎn)生于Internet。MPLS VPN是一種以MPLS技術(shù)為基礎(chǔ)的IP VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(Multiprotocol Label Switching,多協(xié)議標記交換)技術(shù),簡化核心路由器的路由選擇方式,結(jié)合傳統(tǒng)路由技術(shù)的標記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)(IP VPN)。

(一)MPLS VPN的基本原理

每個MPLS VPN網(wǎng)絡(luò)的內(nèi)部是由P(供應(yīng)商)設(shè)備組成,這些設(shè)備構(gòu)成了MPLS的核心,且不直接同CE路由器相連,圍繞在P周圍的PE路由器可以讓MPLS VPN網(wǎng)絡(luò)發(fā)揮VPN的作用。在MPLS VPN中,用戶站點通常運行的是IP。它們并不需要運行MPLS和其他特殊的VPN協(xié)議。在PE路由器中,RD對應(yīng)同每個用戶站點連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置,是設(shè)置VPN站點工作的一部分,它并不在用戶設(shè)備上進行配置,對于用戶來說是透明的[2]。

(二)MPLS VPN的優(yōu)點

1.減少時延。由于數(shù)據(jù)包不再經(jīng)過封裝或者加密,所以時延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創(chuàng)建一個專用網(wǎng),它同幀中繼網(wǎng)絡(luò)具備的安全性很相似[2]。

2.配置MPLS VPN網(wǎng)絡(luò)的設(shè)備比較容易。配置MPLS VPN網(wǎng)絡(luò)的設(shè)備也變得容易了,僅需配置核心網(wǎng)絡(luò)不許訪問CPE。

3.提高了資源利用率。由于在網(wǎng)內(nèi)使用標簽交換,用戶各個點的局域網(wǎng)可以使用重復(fù)的IP地址,提高了IP資源利用率。

4.安全性高。采用MPLS作為通道機制實現(xiàn)透明報文傳輸,MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection,虛通道連接)類似的高可靠安全性。

四、SSL VPN

SSL VPN的出現(xiàn)是為了解決IPSec VPN的固有的缺點,SSL VPN繼承了IPSec VPN的遠程使用與內(nèi)網(wǎng)使用體驗一致優(yōu)點,避免了因有客戶端而導(dǎo)致的使用維護不便、帶來大量病毒和蠕蟲的入侵、無法與企業(yè)現(xiàn)有認證服務(wù)器結(jié)合、無法審計等問題[2]。IPSec VPN與SSL VPN的對比。傳統(tǒng)的IPSec VPN在部署時,往往需要在每個遠程接入的終端都安裝相應(yīng)的IPSec客戶端并需要作復(fù)雜的配置。若企業(yè)的遠程接入數(shù)量增多,企業(yè)的維護成本就會隨之增加。而SSL VPN最大的優(yōu)點之一就是不需要安裝客戶端程序遠程用戶可以隨時隨地從任何瀏覽器上安全接入到內(nèi)部網(wǎng)絡(luò)。對比表如下:

五、總結(jié)

由于VPN的優(yōu)秀安全特性,讓它越來越受到安全要求較高的企業(yè)或部門的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術(shù)增加了VPN通信的安全性。伴隨著VPN的廣泛使用,更加復(fù)雜的VPN系統(tǒng)會繼續(xù)出現(xiàn)。所以,其安全策略管理的問題將逐步顯現(xiàn),這方面的研究也將受到高度重視。

篇9

隨著電力信自、化水平的不斷提高，縣級供電企業(yè)綜合管理信息系統(tǒng)開始逐步建立，但基層變電站、鄉(xiāng)鎮(zhèn)供電聽與供電公司局域網(wǎng)聯(lián)網(wǎng)問題嚴重地制約著縣級供電企業(yè)信息系統(tǒng)實用化水平的發(fā)展和信息資源的充分有效利用，這與供電企業(yè)管理發(fā)展的目標追求以及客戶的需求是極不適應(yīng)的。由于鄉(xiāng)鎮(zhèn)供電所信息化建設(shè)工作受地形、人員素質(zhì)、資金投人等因素影響，解決遠程站點聯(lián)網(wǎng)問題成為縣級供電企業(yè)信自、網(wǎng)絡(luò)建設(shè)中的突出矛盾。

1廬江供電公司信息化建設(shè)現(xiàn)狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實現(xiàn)了生產(chǎn)M I S與辦公自動化OA的單軌制運行，總部信息化運行提高了企業(yè)的整體管理水平和辦公效率。如今，廬江供電公司總部已運行的信息系統(tǒng)有:生產(chǎn)管理系統(tǒng)、辦公自動化系統(tǒng)、檔案管理系統(tǒng)、Web系統(tǒng)、財務(wù)管理系統(tǒng)，現(xiàn)有的服務(wù)器包括:生產(chǎn)服務(wù)器、辦公自動化服務(wù)器、檔案服務(wù)器、Web服務(wù)器、財務(wù)服務(wù)器。力、公用微機80多臺，每位管理人員以及每個班組都配有微機。

在實施信息化建設(shè)與管理中，深深體會到廬江供電公司信息化建設(shè)不僅可降低財務(wù)管理、物資管理、項目管理、資料管理等方面的管理成本，并在生產(chǎn)管理中可將所有設(shè)備信息進行分類編號，輸人數(shù)據(jù)庫，實行設(shè)備、設(shè)施缺陷管理，科學(xué)地制定缺陷檢修計劃，提高設(shè)備運行可靠度，降低故障率，提高供電可靠性;同時，廬江供電公司的營銷管理信息系統(tǒng)建有業(yè)擴子系統(tǒng)、電量電費f系統(tǒng)、用電檢查子系統(tǒng)、綜合查詢系統(tǒng)，通過這些系統(tǒng)，可方便與客戶的交流、溝通，節(jié)約成本開支，實現(xiàn)科學(xué)化營銷流程管理。這些管理信息系統(tǒng)的應(yīng)用，加強J’企業(yè)的規(guī)范化管理，增強了管理的科學(xué)化水平，減輕了工作人員的負擔(dān)，提高了企業(yè)的經(jīng)濟效益。

為此，廬江供電公司加入了鄉(xiāng)鎮(zhèn)供電所營銷MIS應(yīng)用系統(tǒng)的推進力度，進一步減輕了抄表人員的負擔(dān)，縮短了開票時間，加強了電費電價的控制與管理，提高了營銷管理自動化水平。全縣17個鄉(xiāng)鎮(zhèn)供電聽，都使用同一版本的營銷MIS應(yīng)用系統(tǒng)。舟個供電聽都有3臺以上的微機，其中1臺所長用于日常辦公，另外2臺分別作為用電MIS系統(tǒng)的服務(wù)器與客戶端，并兼為所里其他工作人員辦公使用。其中，已有10個供電所可利用變電站的光纖系統(tǒng)，與廬江供電公司總部實現(xiàn)網(wǎng)絡(luò)互聯(lián)，提高了工作效率，節(jié)省了開支。其余7個供電所仍不能夠?qū)崿F(xiàn)信息化共享，這些供電所非常希望盡快網(wǎng)絡(luò)互聯(lián)。

2采用VPN方案推進供電所信息化建設(shè)進程

這些供電所若使用以前的光纖聯(lián)網(wǎng)方式，不僅投資大，施工工期長，而且日后的維護量也多?？紤]到以上原因，為盡快解決其余7個光纖未開通的鄉(xiāng)鎮(zhèn)供電所的網(wǎng)絡(luò)互聯(lián)問題，達到信息、共享，推廣鄉(xiāng)鎮(zhèn)供電所的營銷MIS系統(tǒng)應(yīng)用，公司決定采用虛擬局域網(wǎng)(VPN)，在現(xiàn)有設(shè)備基礎(chǔ)上，進行簡單的改造。通過在VPN網(wǎng)關(guān)中配置7個供電所的用戶、密碼以及訪問策略，并分別在7個供電所安裝VPN客戶端，安裝公司的MIS應(yīng)用系統(tǒng)，實現(xiàn)全公司網(wǎng)絡(luò)互聯(lián)。VPN技術(shù)實際上就是綜合利用包封裝技術(shù)、加密技術(shù)、密鑰交換技術(shù)、PKI技術(shù)，可以在公用的互聯(lián)網(wǎng)上建立安全的虛擬專用網(wǎng)絡(luò)(VPN ， Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程，該過程把數(shù)據(jù)安全地從一端傳送到另一端，這里數(shù)據(jù)的安全性由可靠的加密技術(shù)來保障，而數(shù)據(jù)是在一個開放的、沒有安全保障的、經(jīng)過路由傳送的網(wǎng)絡(luò)上傳輸?shù)摹PN技術(shù)能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。

3方案效果比較

對2種方案的可能性進行了比較，如圖1所示。如果廬江供電公司全部運用光纖法來實現(xiàn)供電所的網(wǎng)絡(luò)互聯(lián)，每個供電所的材料費、施工費按3.5萬元，施工工期10天計算，7個供電所就需要3.5 x 7=24.5萬元，需要10 x 7=70天。若這7個供電所采用VPN方案，只需要購買VPN網(wǎng)關(guān)1臺，價值3.5萬元和7個客戶端鑰匙，價值7 x 480=3360元，5天內(nèi)就能完成7個供電所安裝。因此，應(yīng)用VPN方案，廬江供電公司就能節(jié)省資金達24 . 5-3 . 836=20.664萬元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線路維護所需要工作量。

現(xiàn)在，這7個鄉(xiāng)鎮(zhèn)供電所均可利用VPN方案安全可靠地登陸公司局域網(wǎng)，在局域網(wǎng)下載內(nèi)容的速度可達350 kb/s，生產(chǎn)MIS系統(tǒng)響應(yīng)時間為2--3 s，辦公自動化系統(tǒng)瀏覽公司收發(fā)的文件、接受電子郵件的時間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對稱數(shù)字環(huán)路，所以發(fā)送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運行效果來看，完全能夠滿足廬江供電公司網(wǎng)絡(luò)發(fā)展及MIS系統(tǒng)應(yīng)用的需要。

4下一步信息化建設(shè)的主攻方向

篇10

Zhang Ding-xiang

(Guizhou Commercial College, Guiyang GuizhouGuiyang 550004)

【 Abstract 】 Although at present to provide enterprises with VPN network platform building scheme is more, but the building costs are high, make many enterprise hope and stopped. Therefore, seek a kind of economic and enough VPN network platform construction scheme is very necessary.This paper will introduce a kind of deployment scheme and configuration method which that using ADSL dial-up internet, dynamic DNS technology and software VPN over the internet to construct economic VPN network platform. This program can be used for the construction or upgrading of an enterprise VPN platform.

【 Keywords 】 economical ;VPN; network platform; construction method

1 引言

隨著互聯(lián)網(wǎng)在企業(yè)領(lǐng)域應(yīng)用的不斷深化，VPN（虛擬專用網(wǎng)）已作為一種安全的局域網(wǎng)遠程擴展方案，并受到越來越多的企業(yè)關(guān)注和運用。對于占全國企業(yè)總數(shù)80%的中小型企業(yè)來說，大多數(shù)都需要通過計算機網(wǎng)絡(luò)安全地、可靠地、及時地傳輸各種業(yè)務(wù)數(shù)據(jù)，并希望投入的成本越少越好，還期望原有的和即將發(fā)生的投資都能夠得到長期的保護。因而，為這些企業(yè)尋求一種經(jīng)濟的夠用的VPN網(wǎng)絡(luò)平臺解決方案和實現(xiàn)方法是很有必要的、迫切的。

2 解決方案

在企業(yè)構(gòu)建VPN平臺過程中，無論采用何種方案都應(yīng)以追求數(shù)據(jù)傳輸?shù)臋C密性、完整性、可控性和可維護性等為建設(shè)目標。這里以論文《集散式中小型企業(yè)遠程數(shù)據(jù)安全傳輸解決方案》中提出的“6+”解決方案為基礎(chǔ)，概要地介紹一種經(jīng)濟的VPN網(wǎng)絡(luò)平臺構(gòu)建方法，以起到拋磚引玉的作用。“6+” 解決方案為PC機、操作系統(tǒng)、ADSL撥號、DDNS、二級域名、集成型VPN網(wǎng)關(guān)軟件6種組件的綜合集成。

2.1 VPN網(wǎng)絡(luò)部署拓撲圖

企業(yè)VPN部署的典型拓撲結(jié)構(gòu)圖如圖1所示，企業(yè)總部與互聯(lián)網(wǎng)的連接均通過VPN網(wǎng)關(guān)接入，VPN網(wǎng)關(guān)通過網(wǎng)線物理連接到ADSL Modem上，ADSL Modem再通過電話線邏輯接入到互聯(lián)網(wǎng)；各分支機構(gòu)和企業(yè)移動用戶也通過VPN網(wǎng)關(guān)接入因特網(wǎng)，接入方式可以不采用ADSL Modem撥號連接。

2.2 方案要點

(1) 選配PC機?？偛縑PN網(wǎng)關(guān)主機選用一臺質(zhì)量較好的普通PC機即可。主機基本配置要求為Pentium CPU、512MB內(nèi)存、80GB硬盤、10/100Mbps雙網(wǎng)卡。這些技術(shù)參數(shù)也可作為分支機構(gòu)VPN網(wǎng)關(guān)的參考。

(2) 選定主機操作系統(tǒng)。從習(xí)慣性和普及性考慮，選用專業(yè)版或服務(wù)器版的Windows作為VPN網(wǎng)關(guān)（主機）的操作系統(tǒng)，如Windows 2000 專業(yè)版、Windows 2003服務(wù)器版、Windows XP SP3專業(yè)版等。

(3) 采用ADSL撥號接入互聯(lián)網(wǎng)?？偛颗c因特網(wǎng)的接入方式采用常規(guī)的ADSL Modem撥號接入，目的是可以獲得一個免費的公網(wǎng)IP地址，只不過該IP地址是動態(tài)的，每次撥號時可能獲得不同的IP地址。

(4) DDNS的選用。選用擁有我國自主知識產(chǎn)權(quán)的花生殼作為DDNS（動態(tài)域名解析服務(wù)系統(tǒng)），花生殼DDNS能自動地準確地將動態(tài)IP地址與固定域名實時綁定，使得VPN客戶端根據(jù)域名就可以隨時找到VPN服務(wù)端的動態(tài)公網(wǎng)IP地址。

(5) 二級域名的申請。通常情況下，申請租用一級（頂級）域名都是要付費的，而申請租用二級域名多數(shù)都是免費的。對于構(gòu)建VPN平臺來說，域名叫什么都無所謂，僅僅是一個符號而已，只要能準確地解析到IP地址即可。為能更好地運用花生殼DDNS解析IP地址，這里在花生殼網(wǎng)站上申請一個二級域名作為VPN服務(wù)端網(wǎng)關(guān)的域名地址（如“iioffice.省略”）。

篇11

1.引言

網(wǎng)絡(luò)流量的指數(shù)級增長，導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)的處理越加復(fù)雜，特別是在跨區(qū)域大型企業(yè)，政府等部門對新業(yè)務(wù)的需求越來越大的情況下，現(xiàn)有城域網(wǎng)絡(luò)各方面的瓶頸越來越突出，而且隨著NGN、IPTV等基于IP的話音與視頻業(yè)務(wù)的發(fā)展，對城域網(wǎng)與接入網(wǎng)的功能與性能又提出了許多更高更新的要求：高帶寬、高可靠性、高QoS、低延時和靈活的擴展性。網(wǎng)絡(luò)處理器，作為新一代的高性能路由器的核心設(shè)備，在數(shù)據(jù)傳輸處理方面有許多特別的優(yōu)勢，它不但擁有ASIC處理器的高速高帶寬，而且具有非常強的靈活性高端路由器，同時在流量管理、QoS、OAM等技術(shù)也有獨特的優(yōu)勢。

2.城域網(wǎng)技術(shù)概述

從橫向劃分，承載網(wǎng)通常可以分為骨干網(wǎng)、城域網(wǎng)與接入網(wǎng)，城域網(wǎng)位于骨干網(wǎng)與接入網(wǎng)的交匯處，是通信網(wǎng)中最復(fù)雜的應(yīng)用環(huán)境，各種業(yè)務(wù)和各種協(xié)議都在此匯聚、分流和進出骨干網(wǎng)。多種交換技術(shù)和業(yè)務(wù)網(wǎng)絡(luò)并存的局面是城域網(wǎng)建設(shè)所面對的最主要問題。而基于IP/MPLS技術(shù)建設(shè)多業(yè)務(wù)綜合承載網(wǎng)絡(luò)已經(jīng)被全球運營商認同。

在城域網(wǎng)絡(luò)中，骨干層通過出口路由器實現(xiàn)與兩張骨干網(wǎng)的連接完成高速的數(shù)據(jù)轉(zhuǎn)發(fā)，并充當(dāng)IP 城域網(wǎng)出口設(shè)備。匯聚層作為IP城域網(wǎng)骨干區(qū)域向下的延伸，與骨干層構(gòu)成了核心路由區(qū)域，并充當(dāng)三層MPLS VPN （Multi-PropocolLabel Switching VirtualPrivate Network） 的P 設(shè)備論文參考文獻格式。匯聚層BAS （寬帶接入服務(wù)器）和路由器以上運行三層網(wǎng)絡(luò)，以下視具體的情況運行三層或二層網(wǎng)絡(luò)。接入層負責(zé)用戶接入，采用二層網(wǎng)絡(luò)。

3. NP-3網(wǎng)絡(luò)處理器概述

Ezchip公司的NP-3處理器，是一款高靈活性的網(wǎng)絡(luò)處理器，它提供10G線速的包處理能力及良好的帶寬控制能力。通過編程能實現(xiàn)如二層交換，Q-in-Q，PBT，T-MPLS，VPLS，MPLS，IPV4/IPV6等多種功能。同時該芯片集成的一個流量控制器，能提供較強的流量管理功能。

NP-3的數(shù)據(jù)處理流圖如圖3.1：

圖3.1：NP-3數(shù)據(jù)處理流圖

TOPparse解析和提取各種數(shù)據(jù)幀的幀頭、地址、端口、協(xié)議等作為查表的關(guān)鍵字。同時也可利用硬件或軟件解析報文，過濾非法的畸形報文、攻擊報文。

TOPsearch使用TOPparse提取出的關(guān)鍵字查找相關(guān)的路由表、會話表、策略表、統(tǒng)計計數(shù)表等。

TOPresolve根據(jù)TOPsearchI查找表所得的結(jié)果進行判斷和決策。同時可以通過高學(xué)更新會話狀態(tài)信息等。

TOPserach II可選，在TOPresolve完成后，進行比較簡單的額外的數(shù)據(jù)表查找。

TOPmodify對報文的內(nèi)容進行修改并發(fā)送到不同的路徑上。

4.城域網(wǎng)關(guān)鍵技術(shù)分析及NP-3平臺下的數(shù)據(jù)轉(zhuǎn)發(fā)面實現(xiàn)

4.1網(wǎng)絡(luò)結(jié)構(gòu)及關(guān)鍵技術(shù)分析

典型的城域網(wǎng)由服務(wù)商骨干網(wǎng)絡(luò)（serviceprovider backbone network, SP-BN）和多個服務(wù)商網(wǎng)絡(luò)（serviceprovider network, SP-N）構(gòu)成高端路由器，服務(wù)商網(wǎng)絡(luò)之間通過骨干網(wǎng)連接，用戶之間則通過服務(wù)商網(wǎng)絡(luò)連接到骨干網(wǎng)，如圖1所示，圖中SP-BN通過MPLS協(xié)議連接，而SP-N通過Q-in-Q（IEEE802.1ad）協(xié)議連接。本文將基于該網(wǎng)絡(luò)實例進行研究討論。

圖4.1：城域網(wǎng)絡(luò)基本結(jié)構(gòu)

在城域網(wǎng)網(wǎng)絡(luò)中涉及的三類關(guān)鍵服務(wù)：

?點到點二層VPN服務(wù)（VPWS）

兩個單獨的用戶站點之間可通過本服務(wù)實現(xiàn)二層連接，預(yù)先配置好一個統(tǒng)一的服務(wù)ID(service ID)，建立一條通過SP-N和SP-BN的鏈路論文參考文獻格式。數(shù)據(jù)幀只需通過預(yù)先配置好的service ID進行轉(zhuǎn)發(fā)。如圖4.1中的Client A與Client B之間的二層服務(wù)。

?點到多點二層VPN服務(wù)（VPLS）

本服務(wù)提供了多個站點之間的二層連接，相當(dāng)于構(gòu)建了一個虛擬的局域網(wǎng)，數(shù)據(jù)幀的轉(zhuǎn)發(fā)基于service ID和報文的目的MAC地址（destination MAC address, DA）。如圖4.1中的Client A、Client B、Client C之間的二層服務(wù)。

?點到多點路由服務(wù)（L3VPN）

本服務(wù)提供了多個站點之間的三層連接，同時也能夠?qū)崿F(xiàn)本城域網(wǎng)絡(luò)與外網(wǎng)的連接。在各個用戶站點看來，SP-N就是一個虛擬的私有IP網(wǎng)絡(luò)。數(shù)據(jù)幀的轉(zhuǎn)發(fā)基于service ID和目的IP地址（destination IP address, DIP）。如圖4.1中的Client A、Client B、Client C之間的三層服務(wù)

?NP-3硬件支持

NP-3的TOPparse模塊能實現(xiàn)硬件快速分析和提取數(shù)據(jù)報文對應(yīng)OSI七層網(wǎng)絡(luò)模型的關(guān)鍵字段，包括MAC地址信息，VLAN標記，以太幀類型，MPLS標簽，IP地址，端口，HTTP，UTL等等。在本設(shè)計中，重點是對含有多個VLAN標記和MPLS標簽的復(fù)雜城域網(wǎng)服務(wù)的快速處理，NP-3能實現(xiàn)至少4級標簽棧的解析，對跨越多重網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜服務(wù)有強大的支持能力。

4.2NP-3處理器上的關(guān)鍵數(shù)據(jù)轉(zhuǎn)發(fā)面處理流程分析

NP-3處理器的數(shù)據(jù)轉(zhuǎn)發(fā)處理能力強，而對于控制協(xié)議的處理能力就較弱。在NP-3上高端路由器，對數(shù)據(jù)幀的處理依賴于以下三個因素：端口的配置，數(shù)據(jù)幀的格式以及網(wǎng)絡(luò)所提供的服務(wù)。根據(jù)設(shè)備的位置，端口的配置又分為四種模式：C-tagged模式，聚合模式，Q-in-Q模式，MPLS模式。

首先確定有幾下幾類數(shù)據(jù)幀：標準以太網(wǎng)幀，Q-in-Q幀，MPLS封裝的IP幀，各幀的結(jié)構(gòu)如下。

?標準以太網(wǎng)幀，有三種類型：

 

DA

SA

0X800

IF

DATA

 

DA

SA

0X8100

C_TAG

0X800

IF

DATA

 

DA

SA

0X8100

C_TAG1

0X8100

C_TAG2

0X800

篇12

1.信息安全保護能力技術(shù)要求分類中，業(yè)務(wù)信息安全類記為A。

錯誤

2.OSI安全體系結(jié)構(gòu)標準不是一個實現(xiàn)的標準，而是描述如何設(shè)計標準的標準。正確

3.只靠技術(shù)就能夠?qū)崿F(xiàn)安全。

錯誤

4.災(zāi)難恢復(fù)和容災(zāi)是同一個意思。

正確

5.VPN與防火墻的部署關(guān)系通常分為串聯(lián)和并聯(lián)兩種模式。

正確

6.美國的布什切尼政府把信息高速公路，互聯(lián)網(wǎng)的發(fā)展推動起來了。

錯誤

7.兩種經(jīng)濟形態(tài)并存的局面將成為未來世界競爭的主要格局。

正確

8.電子商務(wù)是成長潛力大，綜合效益好的產(chǎn)業(yè)。

正確

9.電子商務(wù)促進了企業(yè)基礎(chǔ)架構(gòu)的變革和變化。

正確

10.在企業(yè)推進信息化的過程中應(yīng)認真防范風(fēng)險。

正確

11.科研課題/項目是科學(xué)研究的主要內(nèi)容，也是科學(xué)研究的主要實踐形式，更是科研方法的應(yīng)有實踐范疇，是科研管理的主要抓手。

正確

12.科研方法注重的是研究方法的指導(dǎo)意義和學(xué)術(shù)價值。

錯誤

13.西方的“方法”一詞來源于英文。

錯誤

14.科學(xué)觀察可以分為直接觀察和間接觀察。

正確

15.統(tǒng)計推論目的是對整理出的數(shù)據(jù)進行加工概括，從多種角度顯現(xiàn)大量資料所包含的數(shù)量特征和數(shù)量關(guān)系。

錯誤

16.學(xué)術(shù)論文是學(xué)位申請者為申請學(xué)位而提交的具有一定學(xué)術(shù)價值的論文。

錯誤

17.期刊論文從投稿到發(fā)表需要有一個編輯評價的標準，但是它更需要有一個質(zhì)量的監(jiān)控體系、監(jiān)控體制。

正確

18.科研成果是衡量科學(xué)研究任務(wù)完成與否、質(zhì)量優(yōu)劣以及科研人員貢獻大小的重要標志。正確

19.一稿多投產(chǎn)生糾紛的責(zé)任一般情況由作者承擔(dān)。

正確

20.知識產(chǎn)權(quán)保護的工程和科技創(chuàng)新的工程是一個系統(tǒng)的工程，不是由某一個方法單獨努力就能做到的，需要國家、單位和科研工作者共同努力。

正確

二、單項選擇(每題2分)

21.信息安全的安全目標不包括（C）。

A、保密性

B、完整性

D、可用性

22.《計算機信息系統(tǒng)安全保護條例》規(guī)定，（B）主管全國計算機信息安全保護工作。

A、國家安全部

B、公安部

C、國家保密局

D、教育部

23.《計算機信息系統(tǒng)安全保護條例》第14條規(guī)定：“對計算機信息中發(fā)生案件，有關(guān)使用單位應(yīng)當(dāng)在24小時內(nèi)向當(dāng)?shù)兀˙）人民政府公安機關(guān)報告?！?/p>

A、區(qū)級以上

B、縣級以上

C、市級以上

D、省級以上

24.根據(jù)SHARE 78標準，在（D）級情況下，備份中心處于活動狀態(tài)，網(wǎng)絡(luò)實時傳送數(shù)據(jù)、流水日志、系統(tǒng)處于工作狀態(tài)，數(shù)據(jù)丟失與恢復(fù)時間一般是小時級的。

A、本地冗余設(shè)備級

B、應(yīng)用冷備級

C、數(shù)據(jù)零丟失級

D、應(yīng)用系統(tǒng)溫備級

25.（A）是密碼學(xué)發(fā)展史上唯一一次真正的革命。

A、公鑰密碼體制

B、對稱密碼體制

C、非對稱密碼體制

D、加密密碼體制

26.以下（C）不屬于計算機病毒特征。

A、潛伏性

B、傳染性

C、免疫性

D、破壞性

27.在進行網(wǎng)絡(luò)部署時，（B）在網(wǎng)絡(luò)層上實現(xiàn)加密和認證。

A、防火墻

B、VPN

C、IPSec

D、入侵檢測

28.美國（A）政府提出來網(wǎng)絡(luò)空間的安全戰(zhàn)略

A、布什切尼

B、克林頓格爾

C、奧巴馬克林頓

D、肯尼迪

29.對于電子商務(wù)發(fā)展存在的問題，下列說法中錯誤的是（C）

A、推進電子商務(wù)發(fā)展的體制機制有待健全

B、電子商務(wù)發(fā)展的制度環(huán)境不完善

C、電子商務(wù)的商業(yè)模式成熟

D、電子商務(wù)對促進傳統(tǒng)生產(chǎn)經(jīng)營模

30.下列選項中，不屬于電子商務(wù)規(guī)劃框架的是（C）

A、應(yīng)用

B、服務(wù)

C、物流

D、環(huán)境

31.（D）是創(chuàng)新的基礎(chǔ)。

A、技術(shù)

C、人才

D、知識

32.兩大科研方法中的假設(shè)演繹法以（B）為代表。

A、達爾文的《進化論》

B、笛卡爾的《論方法》

C、馬克思的《資本論》

D、弗蘭西斯?培根的《新工具》

33.以下不屬于理論創(chuàng)新的特征的是（D）

A、繼承性

B、斗爭性

C、時代性

D、減速性

34.（A）主要是應(yīng)用已有的理論來解決設(shè)計、技術(shù)、工藝、設(shè)備、材料等具體技術(shù)問題而取得的。

A、科技論文

B、學(xué)術(shù)論文

C、會議論文

D、學(xué)位論文

35.（B）是通過查閱相關(guān)的紙質(zhì)或電子文獻資料或者通過其他途徑獲得的行業(yè)內(nèi)部資料或信息等。

A、直接材料

B、間接材料

C、加工整理的材料c

D、實驗材料

36.（C）是整個文章的整體設(shè)計，不僅能指導(dǎo)和完善文章的具體寫作，還能使文章所表達的內(nèi)容條理化、系統(tǒng)化、周密化。

A、摘要

B、引言

C、寫作提綱

D、結(jié)論

37.期刊論文的發(fā)表載體是（C）。

A、娛樂雜志

B、生活雜志

C、學(xué)術(shù)期刊

D、新聞報紙

38.（B）是指科研課題的執(zhí)行人在科研過程中要向科研主管部門或課題委托方匯報研究工作的進度情況以及提交階段性成果的書面材料。

A、開題報告

B、中期報告

C、結(jié)項報告

D、課題報告

39.我國于（A）年實施了《專利法》。

A、1985

B、1986

C、1987

D、1988

40.知識產(chǎn)權(quán)具有專有性，不包括以下哪項（D）。

A、排他性

B、獨占性

C、可售性

三、多項選擇(每題2分)

41.我國信息安全管理政策主要包括（ACD）。

A、法律體系

B、行政體系

C、政策體系

D、強制性技術(shù)標準

E、道德體系

42.信息系統(tǒng)安全的總體要求是（ABCD）的總和。

A、物理安全

B、系統(tǒng)安全

C、網(wǎng)絡(luò)安全

D、應(yīng)用安全

E、基礎(chǔ)安全

43.網(wǎng)絡(luò)隔離技術(shù)發(fā)展經(jīng)歷了五個階段：（ABCDE）。

A、完全的物理隔離階段

B、硬件的隔離階段

C、數(shù)據(jù)轉(zhuǎn)播隔離階段

D、空氣開關(guān)隔離階段

E、完全通道隔離階段

44.以下屬于我國電子政務(wù)安全工作取得的新進展的有（ABCDE）

A、重新成立了國家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組

B、成立新一屆的國家信息化專家咨詢委員會

C、信息安全統(tǒng)一協(xié)作的職能得到加強

D、協(xié)調(diào)辦公室保密工作的管理得到加強

E、信息內(nèi)容的管理或網(wǎng)絡(luò)治理力度得到了加強

45.下列說法正確的是（ABCDE）

A、電子商務(wù)產(chǎn)業(yè)是以重大技術(shù)突破和重大發(fā)展需求為基礎(chǔ)的新興產(chǎn)業(yè)

B、電子商務(wù)對經(jīng)濟社會全局和長遠發(fā)展具有重大引領(lǐng)帶動作用

C、電子商務(wù)是知識技術(shù)密集的產(chǎn)業(yè)

D、電子商務(wù)是物質(zhì)資源消耗少的產(chǎn)業(yè)

E、應(yīng)把優(yōu)先發(fā)展電子商務(wù)服務(wù)業(yè)放到重要位置

46.科研論文按發(fā)表形式分，可以分為（ABE）

A、期刊論文

B、學(xué)術(shù)論文

C、實驗論文

D、應(yīng)用論文

E、會議論文

47.學(xué)術(shù)期刊的文章類型有（ABC）。

A、綜述性的文章

B、專欄性的文章

C、報道性的文章

D、文言文

E、以上都正確

48.期刊發(fā)表的周期有（BCDE）。

A、日刊

B、周刊

C、半月刊

D、月刊

E、旬刊

49.知識產(chǎn)權(quán)的三大特征是（ABC）。

B、時間性

C、地域性

D、大眾性

E、以上都不正確

50.從個人層面來講，知識產(chǎn)權(quán)保護的措施有（ABC）。

A、在日常的科研行為中一定要有相應(yīng)的行動策略

B、在科研轉(zhuǎn)化的過程中，要注意保護自己的著作權(quán)

篇13

1.1校園電子商務(wù)的概念。

校園電子商務(wù)是電子商務(wù)在校園這個特定環(huán)境下的具體應(yīng)用，它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)、計算機硬件、軟件和安全通信手段構(gòu)建的滿足于校本論文由整理提供園內(nèi)單位、企業(yè)和個人進行商務(wù)、工作、學(xué)習(xí)、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)。

1.2校園電子商務(wù)的特點。

相對于一般電子商務(wù)，校園電子商務(wù)具有客戶群本論文由整理提供穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務(wù)性大于盈利性等特點，這些特點也是校園開展電子商務(wù)的優(yōu)勢所在。與傳統(tǒng)校園商務(wù)活動相比，校園電子商務(wù)的特點有：交易不受時間空間限制、快捷方便、交易成本較低。

2校園電子商務(wù)的安全問題

2.1校園電子商務(wù)安全的內(nèi)容。

校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分：校園網(wǎng)絡(luò)安全和校園支付交易安全。校園網(wǎng)絡(luò)安全內(nèi)容主要包括：計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動在校園網(wǎng)應(yīng)用時所產(chǎn)生的各種安全問題，如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等。

2.2校園電子商務(wù)安全威脅。

校園電子商務(wù)安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅。然而，網(wǎng)絡(luò)安全與交易安全并不是孤立的，而是密不可分且相輔相成的，網(wǎng)絡(luò)安全是基礎(chǔ)，是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡(luò)，它也面臨許許多多的安全威脅，比如：身份竊取、非本論文由整理提供授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務(wù)、交易否認、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴重的威脅，網(wǎng)上交易面臨的威脅可以歸納為：信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機密性遭到破壞；篡改信息是非法用戶對交易信息插入、刪除或修改，破壞信息的完整性；假冒是非法用戶冒充合法交易者以偽造交易信息；交易抵賴是交易雙方一方或否認交易行為，交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一。

2.3校園電子商務(wù)安全的基本安全需求。

通過對校園電子商務(wù)安全威脅的分析，可以本論文由整理提供看出校園電子商務(wù)安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求。

3校園電子商務(wù)安全解決方案

3.1校園電子商務(wù)安全體系結(jié)構(gòu)。

校園電子商務(wù)安全是一個復(fù)雜的系統(tǒng)工程，因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務(wù)的安全需求，通過對校園人文環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃，再結(jié)合的電子商務(wù)的安全技術(shù)，總結(jié)校園電子商務(wù)安全體系本論文由整理提供結(jié)構(gòu)，如圖所示：

上述安全體系結(jié)構(gòu)中，人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化，它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境；基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認證中心；邏輯實體層包括校園一卡通、支付網(wǎng)關(guān)、認證服務(wù)器和本論文由整理提供交易服務(wù)器；安全機制層包括加密技術(shù)、認證技術(shù)以及安全協(xié)議等電子商務(wù)安全機制；應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺，包括網(wǎng)上交易、支付和配送服務(wù)等。

針對上述安全體系結(jié)構(gòu)，具體的方案有：

（1）營造良好校園人文環(huán)境。加強大學(xué)生本論文由整理提供的道德教育，培養(yǎng)校園電子商務(wù)參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念，共

同營造良好的校園電子商務(wù)人文環(huán)境，防止人為惡意攻擊和破壞。

（2）建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程，校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián)，由學(xué)校結(jié)算中心專門處理與金融機構(gòu)的業(yè)務(wù)，可以大大提高校園網(wǎng)上支付的安全性。

（3）建立統(tǒng)一身份認證系統(tǒng)。建立校園統(tǒng)一身份認證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認證的功能。

（4）組織物流配送團隊。校園師生居住地點相對集中，一般來說就在學(xué)校內(nèi)部或校園附近，只需要很少的人員就可以解決物流配送問題，而本論文由整理提供不需要委托第三方物流公司，在校園內(nèi)建立一個物流配送團隊就可以準確及時的完成配送服務(wù)。

3.2校園網(wǎng)絡(luò)安全對策。

保障校園網(wǎng)絡(luò)安全的主要措施有：

（1）防火墻技術(shù)。利用防火墻技術(shù)來實現(xiàn)校園局域網(wǎng)的安全性，以解決訪問控制問題，使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進行訪問本論文由整理提供，防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的破壞。

（2）病毒防治技術(shù)。在任何網(wǎng)絡(luò)環(huán)境下，計算機病毒都具有不可估量的威脅性和破壞力，校園網(wǎng)雖然是局域網(wǎng)，可是免不了計算機病毒的威脅，因此，加強病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。

（3）VPN技術(shù)。目前，我國高校大都已經(jīng)建立了校園一卡通工程，如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護和改進。

3.3交易信息安全對策。

針對校園電子商務(wù)中交易信息安全問題，可以用電子商務(wù)的安全機制來解決，例如數(shù)據(jù)加密技術(shù)、認證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密，可以保證信息的機密性；通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認性的問題；通過安全協(xié)議方法，建立安全信息傳輸通道來保證電子商務(wù)交易過程和數(shù)據(jù)的安全。

（1）數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施，其原理是利用一定的加密算法來保證數(shù)據(jù)的機密，主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，而解密密鑰不公開。

（2）認證技術(shù)。認證技術(shù)是保證電子商務(wù)交易安全的一項重要技術(shù)，它是網(wǎng)上交易支付的前提，負責(zé)對交易各方的身份進行確認。在校園電子商務(wù)本論文由整理提供中，網(wǎng)上交易認證可以通過校園統(tǒng)一身份認證系統(tǒng)（例如校園一卡通系統(tǒng)）來進行對交易各方的身份認證。

（3）安全協(xié)議技術(shù)。目前，電子商務(wù)發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析，校園電子商務(wù)更適合采用SSL協(xié)議。SSL位于傳輸層與應(yīng)用層之間，能夠更好地封裝應(yīng)用層數(shù)據(jù)，不用改變位于應(yīng)用層的應(yīng)用程序，對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務(wù)器之間的一條安全通信通道，保證傳輸數(shù)據(jù)的安全。

3.4基于一卡通的校園電子商務(wù)。

目前，我國高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善，使用校園一卡通進行校園電子商務(wù)的網(wǎng)上支付可以增強校園電子商務(wù)的支付安全，可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風(fēng)險等。同時，使用校園一卡通作為校園電子支付載體的安全保障有：

（1）校園網(wǎng)是一個內(nèi)部網(wǎng)絡(luò)，它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵，由于有防火墻及反病毒軟件等安全防范設(shè)施，來自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時，校園一卡通中心有著良好的安全機制，使得使用校園一卡通在校內(nèi)進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網(wǎng)

（2）校園一卡通具有統(tǒng)一身份認證系統(tǒng)，能夠?qū)⑴c交易的各方進行身份認證，各方的交易活動受到統(tǒng)一的審計和監(jiān)控，統(tǒng)一身份認證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡(luò)管理中對不同角色的用戶享有不同級別的授權(quán)，使其網(wǎng)上活動受到其身份的限制，有效防止一些惡意事情的發(fā)生。同時，由于校內(nèi)人員身份單一，多為學(xué)生，交易中一旦發(fā)生糾紛，身份容易確認，糾紛就容易解決。

4結(jié)束語