虚拟机里vpn连接最多能连几个虚拟机
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇vpn技术论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
VPN,即Virtual Private Network,是建立于公共网络基础之上的虚拟私有网络,如利用Internet连接企业总部及其分支。VPN能够给企业提供和私有网络一样的安全性、可靠性和可管理性等,并且能够将通过公共网络传输的数据加密。利用VPN,企业能够以较低的成本提供分支机构、出差人员的内网接入服务。
如果访问企业内部网络资源,使用者需要接入本地ISP的接入服务提供点,即接入Internet,然后可以连接企业边界的VPN服务器。如果利用传统的WAN技术,使用者和企业内网之间需要有一根专线,而这非常不利于外出办公人员的接入。而利用VPN,出差人员只需要接入本地网络。论文写作,管理。如果企业内网的身份认证服务器支持漫游的话,甚至可以不必接入本地ISP,并且使用VPN服务所使用的设备只是在企业内部网络边界的VPN服务器。
VPN能够使企业将其内部网络管理功能从企业网络无缝延伸到公共网络,甚至可以是企业客户。这其中涉及到企业网络的网络管理任务,可以在组建网络的初期交给运营商去完成,但企业自身还要完成许多网络管理的任务。所以,一个功能完整的VPN管理系统是必需的。
2、可扩展性:VPN管理需要对日益增加的企业客户作出快速的反应,包括网络软件和硬件的平滑升级、安全策略维护、网络质量保证QOS等。论文写作,管理。
3、减少风险:从传统的WAN网络扩展到公共网络,VPN面临着安全与监控的风险。网络管理要求做到允许公司分部、客户通过VPN访问企业内网的同时,还要确保企业资源的完整性。
第二层通道协议主要有两种,PPTP和L2TP,其中L2TP协议将密钥进行加密,其可靠性更强。
L2TP可以对隧道终点进行验证。不使用明文的验证,而是使用类似PPPCHAP的验证方式。论文写作,管理。
用户接入VPN服务器后,可以获取到企业内部网络的地址,从而方便的加入企业内网,访问网络资源。地址的获取可以使用动态分配的管理方法,由于获取的是企业内部的私有地址,方便了地址管理并增加安全性。论文写作,管理。
L2TP协议已成为标准的协议,相关的MIB也已制定完成,可以采用统一SNMP管理方案进行网络维护和管理。
IKE协议,即Internet Key Exchange,用于通信双方协商和交换密钥。IKE的特点是利用安全算法,不直接在网络上传输密钥,而是通过几次数据的交换,利用数学算法计算出公共的密钥。数据在网络中被截取也不能计算出密钥。使用的算法是Diffie Hellman,逆向分析出密钥几乎是不可能的。
在身份验证方面,IKE提供了公钥加密验证、数字签名、共享验证字方法。并可以利用企业或独立CA颁发证书实现身份认证。
IKE解决了在不安全的网络中安全可靠地建立或更新共享密钥的问题,是一种通用的协议,不仅能够为Ipsec进行安全协商,还可以可以为OSPFv2 、RIPv2、SNMPv3等要求安全保密的协议协商安全参数。
利用浏览器访问VPN服务器,利用服务器上设置的账户登录,然后将Applet下载到浏览器上,就可以对服务器进行配置。论文写作,管理。用户登录后,服务器会只授权登录的IP地址和登录客户权限,从而避免伪造的IP地址和客户操作。而且利用这种方式,还解决了普通SNMP协议只有查询没有配置功能的缺点。
如果企业网络规模扩大,可以对VPN服务器进行统一配置管理,三级网络中心负责数据的收集与统计,然后向上层汇总。收集的数据包括VPN用户数量、VPN用户的数据流量等。通过分级管理,一级网络中心就能够获取全部VPN用户的数量、流量并进行统计,分析出各地情况,从而使用合适的方案。
IPSec是一组协议的总称,IPsec被设计用来提供入口对入口通信安全分组通信的安全性由单个结点提供给多台机器或者是局域网,也可以提供端到端通信安全,由作为端点的计算机完成安全操作。上述两种模式都可以用来构VPN,这是IPsec最主要的用途。
IPSec策略包括一系列规则和过滤器,以便提供不同程度的安全级别。论文写作,管理。在IPSec策略的实现中,有多种预置策略供用户选择,用户也可以根据企业安全需求自行创建策略。IPSec策略的实施有两种基本的方法,一是在本地计算机上指定策略,二是使用组策略对象,由其来实施策略。并且利用多种认证方式提升VPN的安全管理性。
利用上述VPN管理技术,可以大大提高企业网络资源的安全性、完整性,并能够实现资源的分布式服务。以后还将结合更多的技术,实现VPN网络灵活的使用和安全方便的管理。其使用的领域也会越来越广泛。
[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123
近年来,随着信息技术的发展,各行各业都利用计算机网络和通讯技术开展业务工作。广西百色田阳县农产品批发中心利用现代信息技术建有专门的网站,通过网站实施农产品信息、电子支付等商务工作。但是基于互联网的电了商务的安全问题日益突出,并且该问题已经严重制约了农产品电子商务的进一步发展。
根据电子商务系统的安全性要求,田阳农产品电子商务系统需要满足系统的实体安全、运行安全和信息安全三方面的要求。
系统实体安全是指保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施和过程。
2) 系统运行安全系统运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急)来保护信息处理过程的安全[1]。项目组在实施项目前已对系统进行了静态的风险分析,防止计算机受到病毒攻击,阻止黑客侵入破坏系统获取非法信息,因此系统备份是必不可少的(如采用放置在不同地区站点的多台机器进行数据的实时备份)。为防止意外停电,系统需要配备多台备用电源,作为应急设施。
系统信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或信息被非法的系统标识、控制。系统的核心服务是交易服务,因此保证此类安全最为迫切。系统需要满足保密性,即保护客户的私人信息,不被非法窃取。同时系统要具有认证性和完整性,即确保客户身份的合法性,保证预约信息的真实性和完整性,系统要实现基于角色的安全访问控制、保证系统、数据和服务由合法的客户、人员访问防火墙,即保证系统的可控性。在这基础上要实现系统的不可否认性,要有效防止通信或交易双方对已进行的业务的否认论文的格式。
为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:
防火墙是由软件系统和硬件系统组成的,在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障,并在此进行检查和连接,只有被授权的信息才能通过此保护屏障,从而使内部网与外部网形成一定的隔离,防止非法入侵、非法盗用系统资源,执行安全管制机制,记录可疑事件等。
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
边界防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
VPN 技术也是一项保证网络安全的技术之一,它是指在公共网络中建立一个专用网络,数据通过建立好的虚拟安全通道在公共网络中传播。企业只需要租用本地的数据专线,连接上本地的公众信息网,其分支机构就可以相互之间安全的传递信息。同时,企业还可以利用公众信息网的拨号接入设备,让自己的用户拨号到公众信息网上,就可以进入企业网中。使用VPN 技术可以节省成本、扩展性强、提供远程访问、便于管理和实现全面控制,是当前和今后企业网络发展的趋势。
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可*的认证机制。
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Internet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能防火墙,又不会“饿死”,低优先级的应用。
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备论文的格式。
农产品电子商务系统信息系统含有大量的数据对象,与这些对象有关的用户数量也非常多,所以用户权限管理工作非常重要。
目前权根控制方法很多,我们采用基于RBAC演变的权限制制思路。在RBAC之中,包含用户、角色、目标、操作、许可权五个基本数据元素,权限被赋予角色,而不是用户,当一个角色被指定给一个用户时,此用户就拥有了该角色所包含的权限[2]。角色访问控制策略主要是两方面的工作:
根据系统作业流程的任务,并结合实际的操作岗位划分角色。角色分为高级别角色和代级别角色,低级别角色可以为高级别角色的子角色,高级别角色完全继承其子角色的权限。
根据系统的实际功能结构对系统功能进行编码,系统管理员可以创建、删除角色所具有的权限,以及为角色增加、删除用户。需要注意的是角色被指派给用户后,此时角色不发生冲突,对该角色的权限不能轻易进行修改,以免造成由于修改角色权限从而造成角色发生冲突。对用户的权限控制通过功能菜单权限控制或者激活权限控制来具体实现。用户登陆系统时,系统会根据用户的角色的并集,从而得到用户的权限,由权限得到菜单项对该用户的可视属性是true/false,从而得到用户菜单。
在农产品商务系统中,数据库系统作为计算机信息系统核心部件,数据库文件作为信息的聚集体,其安全性将是重中之重。
这种控制可以采用多种方式,包括设置数据库用户名和口令,或者利用IC卡读写器或者指纹识别器进行用户身份认证。
对于服务器来说防火墙,可以采用软指纹技术防止非法复制,当然,权限控制、备份/复制和审计控制也是实行的一样。
提供两种卸出和装入数据库中的加密数据的方式:其一是用密文式卸出,这种卸出方式不解密,卸出的数据还是密文,在这种模式下,可直接使用DBMS提供的卸出、装入工具;其二是用明文方式卸出,这种卸出方式需要解密,卸出的数据明文,在这种模式下,可利用系统专用工具先进行数据转换,再使用DBMS提供的卸出、装入工具完成[3]。
随着信息化技术的快速发展,农产品电子商务创新必须适应新的变化,必须充分考虑信息安全因素与利用信息安全技术,这样才能实现农产品电子商务业务快速增长,本文所述的安全策略,对当前实施电子商务有一定效果的,是值得推介应用的。
[1]卢华玲.电子商务安全技术研究[J].重庆工学院学报(自然科学版),2007,(12):71-73.
论文摘要:县级供电企业在推进信息化过程中,普遍存在着成本过大,安全系数较低以及建设周期长等问题。结合庐江供电公司在开展城乡营销管理信息化建设中出现的问题进行分析,提出利用VPN实现全公司网络互联的解决方案,并分析了下一步信息化的主攻方向。
随着电力信自、化水平的不断提高,县级供电企业综合管理信息系统开始逐步建立,但基层变电站、乡镇供电听与供电公司局域网联网问题严重地制约着县级供电企业信息系统实用化水平的发展和信息资源的充分有效利用,这与供电企业管理发展的目标追求以及客户的需求是极不适应的。由于乡镇供电所信息化建设工作受地形、人员素质、资金投人等因素影响,解决远程站点联网问题成为县级供电企业信自虚拟机里vpn连接最多能连几个虚拟机、网络建设中的突出矛盾。
安徽庐江供电公司的信息化上作起步较晚,供电公司总部于X004年实现了生产M I S与办公自动化OA的单轨制运行,总部信息化运行提高了企业的整体管理水平和办公效率。如今,庐江供电公司总部已运行的信息系统有:生产管理系统、办公自动化系统、档案管理系统、Web系统、财务管理系统,现有的服务器包括:生产服务器、办公自动化服务器、档案服务器、Web服务器、财务服务器。力、公用微机80多台,每位管理人员以及每个班组都配有微机。
在实施信息化建设与管理中,深深体会到庐江供电公司信息化建设不仅可降低财务管理、物资管理、项目管理、资料管理等方面的管理成本,并在生产管理中可将所有设备信息进行分类编号,输人数据库,实行设备、设施缺陷管理,科学地制定缺陷检修计划,提高设备运行可靠度,降低故障率,提高供电可靠性;同时,庐江供电公司的营销管理信息系统建有业扩子系统、电量电费f系统、用电检查子系统、综合查询系统,通过这些系统,可方便与客户的交流、沟通,节约成本开支,实现科学化营销流程管理。这些管理信息系统的应用,加强J’企业的规范化管理,增强了管理的科学化水平,减轻了工作人员的负担,提高了企业的经济效益。
为此,庐江供电公司加入了乡镇供电所营销MIS应用系统的推进力度,进一步减轻了抄表人员的负担,缩短了开票时间,加强了电费电价的控制与管理,提高了营销管理自动化水平。全县17个乡镇供电听,都使用同一版本的营销MIS应用系统。舟个供电听都有3台以上的微机,其中1台所长用于日常办公,另外2台分别作为用电MIS系统的服务器与客户端,并兼为所里其他工作人员办公使用。其中,已有10个供电所可利用变电站的光纤系统,与庐江供电公司总部实现网络互联,提高了工作效率,节省了开支。其余7个供电所仍不能够实现信息化共享,这些供电所非常希望尽快网络互联。
这些供电所若使用以前的光纤联网方式,不仅投资大,施工工期长,而且日后的维护量也多。考虑到以上原因,为尽快解决其余7个光纤未开通的乡镇供电所的网络互联问题,达到信息、共享,推广乡镇供电所的营销MIS系统应用,公司决定采用虚拟局域网(VPN),在现有设备基础上,进行简单的改造。通过在VPN网关中配置7个供电所的用户、密码以及访问策略,并分别在7个供电所安装VPN客户端,安装公司的MIS应用系统,实现全公司网络互联。VPN技术实际上就是综合利用包封装技术、加密技术、密钥交换技术、PKI技术,可以在公用的互联网上建立安全的虚拟专用网络(VPN , Virtual Private Network ) 。 VPN是一个被加密或封装的通信过程,该过程把数据安全地从一端传送到另一端,这里数据的安全性由可靠的加密技术来保障,而数据是在一个开放的、没有安全保障的、经过路由传送的网络上传输的。VPN技术能够有效解决信息安全传输中的“机密性、完整性、不可抵赖性”问题。 转贴于
对2种方案的可能性进行了比较,如图1所示。如果庐江供电公司全部运用光纤法来实现供电所的网络互联,每个供电所的材料费、施工费按3.5万元,施工工期10天计算,7个供电所就需要3.5 x 7=24.5万元,需要10 x 7=70天。若这7个供电所采用VPN方案,只需要购买VPN网关1台,价值3.5万元和7个客户端钥匙,价值7 x 480=3360元,5天内就能完成7个供电所安装。因此,应用VPN方案,庐江供电公司就能节省资金达24 . 5-3 . 836=20.664万元,缩短工期65天,取得的直接效益是显着的,并省去了今后光纤线路维护所需要工作量。
现在,这7个乡镇供电所均可利用VPN方案安全可靠地登陆公司局域网,在局域网下载内容的速度可达350 kb/s,生产MIS系统响应时间为2--3 s,办公自动化系统浏览公司收发的文件、接受电子邮件的时间因文件的大小不同而有所差别,1 MB的文件大约需要8 s。由于ADSL是非对称数字环路,所以发送电子邮件的速度要慢得多,1 MB的文件大约需要18s。从VPN方案运行效果来看,完全能够满足庐江供电公司网络发展及MIS系统应用的需要。
目前,庐江供电所信息化还处于初级阶段,对电力企业信息化建设的目标还没有完全形成统一的管理标准;同时,庐江供电公司在实施VPN技术后,也清楚地看出:VPN是一种虚拟专用网络,而不是一种真正的专用网络。因此,庐江供电公司打算设立严格的管理制度,包括严格的权限管理,无关人员无权查看、改动数据,VPN客户端的用户与密码管理等,建立起一套计算机管理操作等规章制度,使整个网络安全有序地运行。此外,该公司今后还将加大对供电所使用人员的计算机培训力度,包括计算机知识在内的应用培训,促进操作人员更好地使用软件,提高操作人员计算机水平,也为计算机应用在企业内部得到更好地发展起到一定的推动作用,并充实培养供电听计算机网络管理人员、信息安全管理人员,把信息化建设中的培训工作贯穿始终,进而拓宽信息化的覆盖面,保证信息、化工作的健康发展,让VPN技术更好地为庐江供电公司信息化、专业化、现代化服务。
由于网络的发展和完善以及速度的不断提高,越来越多的公司逐步进行运用隧道技能。大规模的组建VPN网络已经成为一种趋势,这种技术越来越多地遭到用户的广泛重视。
VPN技术比较复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。具体来讲,目前VPN主要采用下列四项技术来保证其安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术、使用者与设备身份认证技术(Authentication)。隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网中建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。第二层隧道协议有L2F、PPTP、L2TP等。
PPTP将PPP数据桢封装在IP数据报内通过IP网络,如Internet传送。PPTP还可用于专用局域网络之间的连接。PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。
L2F是Cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP桢内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之后重新注入(inject)网络。与PPTP和L2TP不同,L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。
L2TP结合了PPTP和L2F协议。设计者希望L2TP能够综合PPTP和L2F的优势。L2TP是一种网络层协议,支持封装的PPP桢在IP,X.25,桢中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。
IPSec是指IETF(因特网工程任务组)以RFC形式公布的一组安全IP协议集,是为IP及其以上协议(TCP和UDP等)提供安全保护的安全协议标准。其目标是把安全机制引入IP协议,通过使用密码学方法支持机密性和认证服务等安全服务。IPSec通过在IP协议中增加两个基于密码的安全机制―认证头(AH)和封装安全载荷(ESP)来支持IP数据报的认证、完整性和机密性。IPSec协议族包括:IP安全架构、认证头AH、封闭安全载荷ESP和Internet密钥交换(IKE)等协议。IP安全架构协议指定了IPSec的整个框架,是IP层安全的标准协议。AH协议定义了数据源认证和完整性验证的应用方法。ESP为IP数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。IKE为AH和ESP提供密钥交换机制,在实际进行IP通信
SSL是Netscape公司设计的主要用于web的安全传输协议。SSL被设计为使TCP提供一个可靠的端到端的安全服务,它不是一个单一的协议,而是由多个协议组成记录协议定义了要传输数据的格式,它位于可靠的传输协议TCP之上,用于各种更高层协议的封装。记录协议主要完成分组和组合,压缩和解压缩,以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。通信双方首先通过SSL握手协议建立客户端与服务器之间的安全通道,SSL记录协议通过分段、压缩、添加MAC以及加密等操作步骤把应用数据封装成多条记录,最后再进行传输。
IPSec存在于一个主机或终端系统时,每一个离开和进入的PI数据包都可得到安全保护。PI包的安全保护可以从数据源一直到数据被接收。制定相应的安全策略,一对独立的SA可以保护两个端点之间的全部通信―Tenlet、SMTP、WEB和FTP等。或者,根据两个端点之间通信的协议的不同(TCP和UDP)和端口的不同,分别用不同的SA保护两个端点之间的不同的通信。在这种模式下,通信的端点同时也是PISec的端点。所以,端到端安全可以在传送模式下,
IPSec存在于路山器等网络互连设备时,司一以构建虚拟专用网VPN。VPN是“虚拟的”,因为它不是一个物理的、明显存在的网络。两个不同的物理网络通过一条穿越公共网络的安全隧道连接起来,形成一个新的网络VPN。VPN是“专川的”,因为被加密的隧道可以提供数据的机密性。而今,人们从传统的专线网络转移到利用公共网络的网络,逐渐意识到节省费用的VPN重耍性。通过在路山器上配置PISec,就可以构建一个VPN。在路山器的一端,连接着一个受保护的私有网络,对这个网络的访问要受到严格的拧制。在另一端连技的是一个不安全的网络帐Internet。在两个路山器之间的公共网络上建立一条安全隧道,通信就可以从一个受保护的本地子网安全地传送到另一个受保护的远程子网。这就是VPN,在VPN中,母一个具有IPSec的路由器都是一个网络聚合点。在两个PISec的路山器之间通常使用隧道模式,可以采用多种安全策略,建立一对或多对SA,试图对VPN进布J屯通信分析将是非常困难的。如果在一个本地私有网络中的数据包的目的地是VPN的远程网络―它是从一个路由器发送到另一个路山器的、加密的数据包。
网络中的一个路由器对一个受安全保护的网络中的主机(或多个)的数据包进行加密和解密。这两个组合一般称为移动IP。移动IP一般是独立的,它要求计问受安全保护的网络,它是一个移动的客户,不停留在某个固定的地方。他必须通过旅店、或任何一个可以进行internetPOP的地方,安全地访问公司资源。在移动IP的方案中,移动主机和路由器都支持PISec,它们之间可以建立一条安个隧道。它们能够在外出数据包抵达通信线路之前对它进行安全保护:能够在对进入包进行IP处理之前,验证它们的安全保护。具有PISec的路山器保护的是移动主机想要访问的那个网络,它也可以是支持V户N的路山器,允许其它的移动主机进行安全的远程访问。在这种方案中,一方是移动主机,它既是通信方。另一方将PISec当作一项服务提供给另一个网络实体。
有时,需要支持多级网络安全保护。比如下面一个例子:一个企业有一个安全网关,以防止其网络受到竞争者或黑客的侵犯和攻击,而企业内部另有一个安全网关,防止某些内部员工进入敏感的子网。比如银行系统的企业网。这种情况下,如果某人希望对网络内部的保护子网进行访问,就必须使用嵌套式隧道。
一种常见的网络安全配置是Hub-and-spoke。从一个网络横过Hub-and-spoke网络,到达另一个网络的数据包都由一个安全网关加密,由中心路由器解密,再加密,并由保护远程网络的另一个安全网关解密。
如果从交换的角度来看,它也可以称为隧道交换模型。在中心路由器所连接的四个网络可以是不同类型的网络,隧道的实现方式也可以不同,但是,不同网络的两个节点在进行数据传输时,并不关心隧道的实现媒体,隧道可以接力的方式进行数据的传递。从安全的角度,假设每一个隧道是安全的,且中心路由器也是安全的,那么任何两个节点之间的通信也应该是安全的。假设隧道间彼此不能信任,那么可以只将隧道的连接看作是一条数据的传输通道,再使用前面所论述的隧道模型实现安全保护,如点到点的隧道安全模式。
由于Internet基础设施的完善,隧道技能必将将在网建等各范畴,发挥着越来越重要的效果。实现隧道技能的多种多样,它们各有各的优势,如今,市场上大多数都在使用VPN这类技能。
随着信息技术的不断进步,数字资源的种类和数量日益增长,我国不同层次、不同类别的高校都不同程度地采购或引进了各种数字资源,以满足本校读者对数字资源的利用需求。但由于大多数数字资源出于版权保护和商业利益的考虑,往往仅限于校园网内使用,使其合法用户只能在本校 IP 地址范围内的办公室、机房或图书馆等地使用,而当其回家或出差在外时就将无法访问和使用这些资源, 这样,不仅损害了图书馆合法用户的利益,也大大降低了本馆所购数字资源的利用率。针对这种情况,可以采取以下应对措施,为本校合法用户提供校外远程访问数字资源服务。
图书馆的电子资源因受IP地址的限制,目前只能被校园网内用户访问。为便于住校外教工、学生利用图书馆的电子资源,可引入虚拟专用网(“Virtual Private Network”,简称VPN)技术来解决这个问题,获得VPN授权的用户,可在非校园网内使用图书馆的电子资源。
简单地讲,VPN就是利用开放的公众网络建立专用数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,并且提供安全的端到端的数据通信的一种广域网技术。VPN本质上是一种网络互联型业务,通过共享的网络基础架构满足企业互联需求,在共享使用网络资源的同时具有与专网一样保证用户网络的安全性、可靠性、可管理性。VPN业务并不限制网络的使用,它既可以构建于因特网或互联
网运营商(ISP)的 IP网络之上,也可以构建于帧中继(FR)或异步传输模式(ATM)等网络基础架构之上,如图1.1 所示。简言之,通过利用VPN 技术,就可以在学校内部网络与外网之间建立一个虚拟的安全通道,从而实现学校充分利用图书馆资源的需求。
VPN只需要通过现有的公用网来建立,不需要另外铺设如光纤之类的物理线路,减少了专线的租用数量,同时也减少了数据传输过程中的辅助设备,而且VPN本身带有路由功能,节省了费用和资源,因此极大地降低了运行成本。
VPN采用了隧道技术、数据加解密技术、密钥管理技术和身份认证等独特的专有技术可以实现在内部服务器上对用户资格的认证,点对点加密及各种网络安全加密,确保了本地网络和数据传输的安全,保障了图书馆网络系统的安全运行。
只要网络顺畅,VPN技术就可以将图书馆内部的网络设备与外网实现安全互联。这样,图书馆的资源就能够通过该技术传输语言、图像和数据等,为广大师生提供了灵活便捷的使用方 式。
客户端不需要复杂的配置,不在用户操作系统安装过多的插件和程序,不改变用户使用习惯和应用快捷方式,一键式操作,简单易用;可以使读者在任何一台电脑上安全便捷地访问图书馆的电子资源。
对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
例如我院图书馆每年都要购买大量的电子资源,如CNKI、万方、维普、EBSCO数据库、英语学习中心(SRC)等,由于数字版权的原因,这些数字资源都有限制访问的IP地址范围。图书馆支付费用以后,数据库服务商根据访问者的IP地址来判断是否是经过授权的用户。图书馆应用VPN技术就可以授权校园网合法IP段内的用户使用数据,无需额外支持费用,使图书馆数字资源得到了最大程度的共享。
由于数字版权的原因,校园网及高校数字图书馆的大多数资源都不对外开放。然而又因为学校人群的特殊性,有的教职工居住在校外,使用的是公网IP,不在校园网IP范围内,无法在家或在出差的时候使用图书馆和校园网内的其他资源。暑假、寒假在家的学生同样是由于IP问题无法访问学校图书馆数据。应用VPN技术就可以轻松解决这一长期困扰图书馆的问题。用户只需要向图书馆技术管理人员申请认证证书和注册账户,就能成为远程访问系统的合法用户。在本机上安装VPN 客户端,然后登陆该账户就能通过Internet访问图书馆资源。用户无需作任何调整,网络配置也不必作任何改动。
2、除了上述的解决方案,还可以利用远程数字图书馆软件、RASDL以及Cookie跨域名技术;由图书馆咨询人员提供全文;利用检索充值卡;预设账户和密码等等的方案来解决远程访问问题。
随着校外合法用户访需求的增长,校外访问服务的开展显得越来越急切和重要,图书馆应综合运用多种技术方式,尽可能地为他们提供方便。同时,图书馆应加强电子资源的本地镜像建设,以减少合法使用受到的限制。
[2] 王健.利用VPN技术实现高校图书馆数字资源的远程访问[J].图书馆学研究. 2006,(5).
近几年国家对教育工作日益重视,独立学院规模不断扩大。在发展过程中,各独立学院都十分重视与母体学校的资源整合。
独立学院与母体学校一般都建立了各自的校园网络,且均接入互联网,因为诸多条件的制约,至今多数独立学院与母体学校之间没有专线相互连接,造成了校园网应用水平极低的现象。各种应用系统,如教务管理系统、题库系统和电子图书管等教学资源无法实现共享,迫切需要实现统一管理和对资源的充分利用。独立学院的教师一般是由三部分构成:一是母体学校的教师;二是外聘教师;三是专职教师。母体学校的教师和外聘教师,这两类教师往往在多个高校共同教学、科研和办公。如何加强与这部分教师的联系,提高教学、科研和办公效率显得尤为重要。
此外,传统的Internet接入和传输服务缺少安全机制,服务质量无法保证,难以满足不同校区之间关键性数据实时安全传输和应用的特定要求。所以,建立安全可靠的独立学院与母体学校间校园网的连接,实现资源共享。为母体学校教师和外聘教师提供一种安全、高效、快捷的网路服务,如登录校内OA系统、教务系统和电子图书馆系统等,是独立学院校园网建设的当务之急。
虚拟专用网VPN(Virtual Private Network)就是利用公网来构建专用的网络,它是通过特殊的硬件和软件直接通过共享的IP网所建立的隧道来实现不同的网络的组件和资源之间的相互连接, 并提供同专用网络一样的安全和功能保障。
VPN并不是某个单位专有的封闭线路或者是租用某个网络服务商提供的封闭线路。但同时VPN 又具有专线的数据传输功能,因为VPN 能够像专线一样在公共网络上处理自己单位内部的信息。它主要有以下几个方面的优点:(1)成本低。VPN在设备的使用量上比专线式的架构节省,故能使校园网络的总成本降低。(2)网络架构弹性大。VPN的平台具备完整的扩展性,大至学校的主校区设备,小至各分校区,甚至个人拨号用户,均可被包含在整体的VPN架构中,以致他们可以在任何地方,通过Internet网络访问校园网内部资源。(3)良好的安全性。VPN架构中采用了多种安全机制,如信道、加密、认证、防火墙及黑客侦防系统等,确保资料在公众网络中传输时不至于被窃取.或是即使被窃取了,对方亦无法读取封包内所传送的资料。(4)管理方便。VPN 较少的网络设备及物理线路,使网络的管理较为轻松。不论分校或远程访问用户的多少,只需通过互联网的路径即可进入主校区网路。
选择适当的VPN技术可以提供安全、高效、快捷的网络服务,能有效的解决独立学院当前所面临的校区分散、资源共享和远程办公等实际问题。
VPN 可分为软件VPN和硬件VPN。软件VPN 具有成本低、实施方便等优势。若是采用Windows 2000操作系统,则该操作系统本身就集成了这项功能,只需进行相应的设置即可投入使用。而硬件VPN必须借助专用的设备才可以实现,两者之间存在比较大的差别。首先是硬件VPN能穿透NAT (Network Address Translation)防火墙,其次是硬件VPN 安全性远远好于软件VPN。软件VPN 的用户身份认证方式非常简单,只能通过用户名和密码方式进行识别。硬件VPN的加密算法通常都较为安全,硬件VPN 集成了企业级防火墙、上网控制和路由功能,一次性提供多种宽带安全的解决方案,可以轻松实现远程实施和维护,相比之下软件VPN 的后期维护显得较为复杂。
VPN产品的性价比不同,对VPN硬件设备的选型也应视需求而定。例如,在构建VPN连接时,如果校园网构架不复杂,通讯需求量不是很大,但要求安全可靠和管理方便,应选择集成VPN功能的防火墙设备方案比较适合。此方法的特点首先是能满足建立VPN网络的需求,其次是增加的硬件防火墙能提高校园网络的安全防范等级。
主校区和分校区的内部服务器及计算机之间要实时进行安全的数据交换,两者之问需要建立双向可寻址的VPN访问。远程客户端要通过浏览器访问主校区的Web服务器,还需建立远程客户端到主校区的单向VPN访问。
在各校区现有校园网的出口处分别安装一台VPN网关,每个校区通过该设备连接互联网。VPN网关在保持原来的上网功能不变的情况下,在不安全的互联网上建立起经过安全认证、数据加密的IP Sec VPN隧道,实现校区安全互连。
根据主校区和分校区的网络使用要求和经济性等多方面考虑,应选用硬件型的集成VPN功能的防火墙。此外,防火墙还应具备路由功能,支持NAT技术,在分校区相对较小、校园网络构架不复杂的情况下,使用该类防火墙还可以将原校园网络接入互联网用的路由器省掉,是一个理想的选择。主校区选择一台防火墙作为VPN网关,设备应可以支持上千个并发TCP/IP会话和上百个VPN 隧道,可以充分保证主校区内所有计算机的安全、流畅的网络使用及VPN支持的需求。对于分校区的多台计算机上网及VPN需求,选择一台可支持几十个VPN隧道的防火墙作为VPN 网关即可。由于校区网络构架并不复杂,主、分校区网关均拥有静态公网IP地址,不会做经常性的变动,可采用“基于路由的LAN (局域网)到LAN的VPN” 手动密钥方式,创建IP Sec VPN隧道,来实现校区间安全连接。
考虑到远程用户访问校园网络集中于主校区Web服务器,远程用户到主校区的VPN连接可以采用SSL VPN模式。SSL VPN采用高强度的加密技术和增强的访问控制,而且易于安装、配置和管理,避开了部署及管理必要客户软件的复杂性和人力需求。
虽然VPN 为远程工作提供了极大的便利,但是它的安全性却不可忽视。通常校园网服务器、核心交换机都会安装一些杀毒软件或者是防火墙软件,而远程计算机就不一定拥有这些安全软件的防护。因此,必须有相应的解决方案堵住VPN的安全漏洞,比如在远程计算机上安装杀毒软件和防火墙、对远程系统和内部网络系统定期检查,对敏感文件进行加密保护等,这样才能防患于未然。
总之,在独立学院与母校之间通信要求越来越高,各校区的网络系统安全、经济和可靠的实现校区之间资源共享是目前首要考虑的问题。利用远程客户端到VPN网关的连接解决了受地域等条件限制的远程办公问题,满足了经常在校外工作人员查阅、访问本院信息资源的需要;通过VPN连接两个局域网,实现高校各校区之间网络系统的逻辑连接,为各校区的资源共享提供方便、快捷的服务创造了良好条件。
摘要:随着网络通信技术的发展,智能手机、平板电脑的广泛应用,人们不再满足于“固定办公桌”式办公和VPN远程接入办公模式
浅谈呼伦贝尔市科技系统办公自动化平台系统建设 企业OA协同办公系统建设及后续开发与应用 浅谈医院办公自动化系统建设与管理 浅谈办公自动化系统建设的实践与启示 浅谈企业门户系统建设的关键技术 浅谈企业邮件系统建设与改造 浅谈企业信息管理系统建设 浅谈供电企业95598客户服务系统建设 浅谈VRS系统建设 办公应用系统建设的改进思路 浅谈如何加强企业办公室系统自身建设 浅谈电力营销管理系统建设 浅谈医院标识系统建设 浅谈医院信息系统建设 浅谈航标遥测遥控系统建设 浅谈企业培训中的E-Learning网络学习系统建设 浅谈冶金企业安全生产标准化系统建设 浅谈大中型制造企业成本管理系统建设 浅谈企业财务管理信息化系统建设 浅谈当代企业集团档案管理系统建设 常见问题解答 当前所在位置:.
[7]张璞,文登敏.基于J2ME和J2EE的移动电子商务系统的研究[J].成都信息工程学院学报,2006(4):504-507.
[8]罗勤.基于J2ME的移动办公系统的研究与开发:[硕士学位论文].大连:大连海事大学,2005.
[9]骆曲毅.基于镜像技术的移动掌上办公系统的设计与实现:[硕士学位论文].电子科技大学,2010.
WCDMA移动通信系统是哈尔滨工业大学通信工程系与中兴通讯公司共建的硕士生和本科生校内实践基地。实验室现有的WCDMA移动通信网络只具备基本的语音通信和数据通信功能,学生们不能充分体会到通过移动通信终端控制实际设备的功能,这样就会使学生缺少对系统的更全面的认识和兴趣。本文设计WSN与WCDMA网络互联的具体方案,提出以中间件技术进行WCDMA移动通信网络和无线传感器网络进行互联的具体方案,配置网络互联所需要的主要参数。本文利用无线传感器网络中间件技术实现WSN和WCDMA系统的互联,验证移动通信终端通过WCDMA移动通信网络来访问和控制无线传感器网络的功能。
本文中系统的组建主要包括WCDMA移动通信系统的组建和WSN实验系统的组建两部分。WCDMA移动通信系统采用WCDMA R4网络结构,利用中兴通讯公司的技术实现。WSN实验系统是基于奥尔斯公司OURS-IOTV2-EP平台组建的。WSN和WCDMA网络互联是通过中间件技术实现。
本文采用WCDMA R4网络结构作为组建移动通信网络的模型。WCDMA R4网络结构主要由Node B、RNC、CS和PS等组成。CS域的功能实体主要包括移动媒体网关(MGW)和移动软交换中心(MSC)。PS域的功能实体主要包括SGSN和GGSN等设备。
基站(Node B)在RNC控制下完成射频信号的接收和发射,与移动终端进行通信,对信号进行调制解调和定位信息管理。RNC通过接口电路完成对基站的管理,RNC通过接口电路与核心网进行通信。RNC负责信道分配、信道切换、逻辑信道到传输信道的映射、信道传输格式设置。核心网由电路域(CS)和分组域(PS)构成。电路域(CS)主要完成用户的语音通信功能,包括话音业务、短信业务和视频通话。分组域(PS)主要管理用户访问互联网的业务。本文选择基站的型号是中兴通讯公司的ZXSDR B8200 +ZXWR R8840,RNC选用的型号是ZXWR-RNCV3,移动媒体网关型号是ZXWN MGW,移动软交换中心型号是ZXWN MSC,分组域的型号是ZXWN PS。
该实验系统主要由硬件部分和软件部分组成。硬件设备包括8个无线个电源板模块、高性能嵌入式网关和其他配套设备。实验系统包含4个无线传感网通信节点和一个无线通过WEB中间件实现网络互联
中间件是在操作系统(包含底层通讯协议)和多类分布式应用系统联系的单个应用中间件,中间件的主要功能是屏蔽软件系统的差异,实现对上层系统透明传输的功能,无线传感器网络的中间件软件制定需要遵守如下的标准:
A 由于节点的能源、运算、储存性能和通讯性能不足,因此WSN中间件需要的是较轻能耗程度的器件,且可以在功能和能源利用间实现均衡。
C 中间件软件的下层支持是多类软件节点和操作平台(如TinyOS、MANTIS OS、SOS等),因而中间件系统不用考虑下层的差异。
D中间件系统由不同的软件组成,为各种上层软件供给相同的、能够拓展的接口,进而进行应用的研制。
IOTService 是基于微软操作系统运行的,其功能主要是把不同的软件服务集成到一个系统中。其它的系统和终端通过不同的局域网和广域网与IOTService进行连接。IOTService的主要优点是为不同的用户提供统一的软件接口,可通过服务器/客户端的模式通信,也可以搭建 WebService,通过WebService 和 IOTService 进行通信,再进一步编写 B/S 架构的应用软件。整个系统结构如图1所示。由于WSN的中间件技术能够很好的在不同网络环境中运行,因此选取中间件技术作为WSN和WCDMA网络互联的方案。
虽然WSN和WCDMA网络本身都有一些安全协议来保证信息在传输的过程中的安全性,但由于在实际应用中WSN与WCDMA进行互联时都要通过Internet,由于Internet对所用用户是开放的,因此信息经过Internet传输时容易受到黑客的攻击,所以研究WSN和WCDMA安全互联技术很重要。本文研究并现了基于VPN技术进行网络安全互联的方案。
虚拟专用网(Virtual Private Network)是通过互联网等建立一种基于安全协议的网络连接,通过VPN建立起的网络连接是经过安全协议加密的,因此能够对要传输的数据进行加密,实现在开放的互联网中安全通信的目的。在VPN中,任意两个节点之间的连接并没有穿通专用的端到端物理链路,而是架构在公用网络平台上。VPN对用户端透明,用户使用一条专用线路进行通信。
实验过程主要包括:(1)运行计算机中的中间件。(2)修改tcpser.ip和 tcpsbm.ip为中间件所在计算机的IP 地址。(3)修改tcpser.port 和 tcpsbm.port为无线传感网络数据 TCP 端口和管理中间件TCP 端口。(4)把jdbc.url中的DBQ部分修改为Access数据库的路径。(5)运行startup.bat批处理命令。(6)在WCDMA制式的移动终端浏览器中输入IP地址后,移动终端的屏幕上出现物联网管理界面,在这里可以完成相关模块的管理功能,实现无线传感器网络节点拓扑结构的显示和管理等功能。
1、组建以WCDMA R4为网络结构的移动通信系统,设计Node B、RNC和核心网的主要参数,实现移动通信终端通过WCDMA网络的语音和数据通信功能。
3、设计基于VPN技术的网络互联方案,并验证该方案能够对WSN和WCDMA网络进行安全互联。
随着信息技术的飞速发展,互联网技术的普及,一方面为人们生活带来的便利,另一方面也出现越来越多的安全问题。自2013年美国“棱镜门”事件后,关于APT(高级持续性威胁)的讨论和研究也越来受到关注。
APT是一种针对特定目标组织的有经济或政治目的,且持续时间较长的一种攻击,它结合了传统的网络攻击方式同时利用0day漏洞,常常使受攻击者防不胜防,直到出现真正损失才觉察到攻击的存在。目前在APT攻击中,常利用SSL隐藏或传递机密信息,同时SSL木马的频繁使用,危害也日益严重,因此如何区分出正常和异常的SSL成为了预防APT攻击的一种有效方式。现有的方法主要是针对SSL证书的可信度检测上,但是近年来伪造证书可信度越来越高,所以单从证书角度已不全面可靠,还需要从SSL流量的端口、上下报文以及连接时长等流量统计特点出发进行。由于SSL有不同类型,比如SSL VPN、浏览器的SSL,不同类型具体的检测方式也不相同,因此在此之前需要对抓取的各类SSL流量进行分类。目前对SSL流量分类的相关研究仍是空白,本文基于此提出了各种SSL流量的“指纹识别”方法。
文章共分为四部分,首先介绍研究内容背景和意义,然后简要说明SSL握手协议,其次对SSL流量“指纹识别”方法进行详细阐述,最后分析方法的特点及未来研究展望。
SSL安全套阶层协议是为主机间提供安全通道的协议,位于传输层和应用层之间,提供连接的隐秘性、用户的真实性以及数据的可靠性。SSL协议由握手层协议、记录层协议、更改密文协议和警报协议组成,如图1所示。
其中握手协议是SSL协议中最为重要的协议,通过握手可以提供对双方的身份验证机制。在这一过程中客户端和服务器需要确认一个用于加密明文数据所使用的密钥和算法,同时协商双方的信息摘要算法、数据压缩算法等,过程如图2所示。
(1)ClientHello消息。客户端会首先向服务器发送这条消息,来通知对方客户端所支持的算法,以及为了将来生成多个加密密钥所需要的客户端随机数。
(4)Certificate Request 消息。可选消息,如果服务器不需要验证客户端的身份,则不会发送这条消息。
(5)Server Hello Done消息。这条消息表示ServerHello消息与Certificate消息一经发送完毕,服务器会等候客户端的回应。客户端一旦收到这条消息,才开始数字证书合法性的验证。
SSL握手是客户端和服务器进行密钥、算法协商的步骤,不同类型的SSL有特定的密钥和算法选择方式,这些可选择的密钥和算法通过ClientHello消息进行传递,因此本文将根据SSL握手协议中客户端发送的ClientHello消息来区分不同类型的SSL流量。
ClientHello消息中包含了SSL/TLS版本号、Cipher Suites(加密套件)和扩展部分的签名算法等。通常对于同一个客户端发出的不同类型SSL请求,其ClientHello消息是有差别的。目前SSL流量可大致分为SSL VPN和浏览器产生的SSL,我们通过Wireshake软件进行大量抓包后分析发现,通过Cipher Suites、SessionTicket TLS、Status_request这三个字段信息可以有效区分SSL VPN和浏览器的SSL流量,甚至可区分出不同浏览器和同一浏览器在不同操作系统下的SSL流量。
近几年Microsoft推出使用SSL进行加密的SSTP,方便了用户在Windows上直接建立VPN,所以本文对SSL VPN的分析着重集中在SSTP VPN。同时主流的浏览器有IE、Chrome、Firefox、Sougou,其中Sougou是使用IE和Chrome内核,因此不对Sougou浏览器进行分析。特别需要注意的是,IE的各个版本随着不同的操作系统版本SSL流量具有明显不同。
虽然Win7和Win8下SSTP VPN的加密套件数量相同,但是还可通过扩展部分是否包含SessionTicket TLS进行有效区分,实验表明只有Win8和Win8.1才包含该项。Session Ticket是用于在握手阶段SSL连接中断后重新握手使用的,与Session ID的区别在于即使客户端的重新请求发送至另一台服务器仍然可以恢复对话,但是它仅保存在客户端, 目前在浏览器中只有Firefox和Chrome和Win8以上版本的IE浏览器支持。此外三个操作系统下的SSTP VPN都不包含Status request扩展项,而浏览器则都包含,这是它们之间的最大区别。SSTP VPN的比较见表1,“√”表示包含,反之为“×”。
对于IE浏览器,目前仍有使用的是IE8到IE11,其中Win7支持IE8、IE9,Win7 Sp1版本支持IE11以前的所有版本,从Win8.1开始则主要使用IE11。在Win8及以上版本,IE浏览器产生的SSL流量包含了SessionTicket TLS字段,这是Win7版本与Win8、Win8.1流量的最大区别,通过这一特点可快速区分出浏览器的操作系统环境。然而,在Win7及Win7 sp1版本中,IE8、IE9和IE10都没有区别,无论从握手协议扩展项或者加密密码套件上看都是相同的,数量都为12个,与Win7环境下SSTP VPN的加密套件一致。唯独能够进行区分的只有IE11,其加密密码套件Cipher Suites包含了21个,在原有12个的基础上新增了9个组合。
相比之下Win8.1则较容易识别,因为只使用IE11,且用TLS 1.2版本,不仅包含SessionTicket TLS,而且Cipher Suites共有19个,更新升级后的Win8.1专业版的Cipher Suites则包含24个,不只是数量上简单的增加,还去除了原有的几个加密算法组合。IE各版本识别如表2所示。
针对其他两个非IE的浏览器,Firefox和Chrome,这两类浏览器产生的SSL流量都包含了SessionTicket TLS、Status_reques。但Cipher Suites数量上,在Win7系统下,当Firefox和Chrome使用TLS 1.0时, Firefox有11个Cipher Suites,而Chrome则有17个。除了在Cipher Suites的数量上的差别,Firefox和Chrome在其他扩展字段与IE浏览器有明显区别,主要体现在签名哈希算法数量以及椭圆曲线算法。在签名哈希算法数量选择上,Chrome共10个,比Firefox总数多了2个,且具体签名算法也不尽相同,而IE浏览器只有在使用TLS 1.2时扩展项才有签名哈希算法,数量为7个。不仅如此,在椭圆曲线算法上,Chrome浏览器、IE浏览器以及SSTP VPN各版本在数量和类型上都相同,只有Firfox多了一个。该特点即可区分Firefox与其他SSL类型。
通过以上ClientHello几个字段的比较可以明显区分各种类型的SSL流量,实现了SSL“指纹识别”,同时也为后续设计SSL检测模型防御APT攻击奠定了基础。虽然所提分类方式弥补了目前研究空缺,但是对浏览器的SSL流量识别仅集中在Win7及以上现今较流行操作环境,对微软早前的操作系统比如XP、Vista等未做分析,这是实验的不足之处。
本文通过分析现有APT和SSL研究背景,提出了一种通过SSL握手协议中的ClientHello消息进行SSL流量类型识别的方法,不仅对Win7及以上版本的SSTP VPN、各版本浏览器的SSL流量做了有效区分,也为以后提出SSL检测模型做好准备工作。未来我们将在此基础上深入分析各种SSL流量类型的异常检测。
[2] 黄达理, 薛质. 进阶持续性渗透攻击的特征分析研究[J]. 信息安全与通信保密, 2012, (5): 87-89.
[5] 钟军, 吴雪阳, 江一等. 一种安全协议的安全性分析及攻击研究[J]. 计算机科学与工程, 2014,36(6): 1077-1082.
国家自然科学基金重点项目(云计算环境下软件可靠性和安全性理论、技术与实证研究)(编号:61332010)。
苏E昕(1992-),女,上海交通大学,硕士;主要研究方向和关注领域:网络安全、信息安全管理。
在各研究机构和行业人士的共同努力下,有些问题正在逐步得到解决。EPCglobal推出的超高频第二代协议(UHF generation 2 protocal)预计将与ISO 18000-6C RFID无线界面规范一起配合使用。EPCglobal选择安全供应商Verisign公司(Verisign Inc.)作为其基础设施供应商,共同解决安全和数据共享方面的问题。
分布全球各处的学术研究也正在同步展开,他们一方面运用现行技术系统进行漏洞检查,提出可能存在的安全隐患,同时撰写学术论文提醒他们需要继续加强RFID的安全性,也积极提出可能的解决办法。比如中科院软件所就安全协议方面提出的理论分析模型和方法,中科院自动化所提出的实际读写器授权认证的思想。还有人提出增加加密保护的层次,以及在RFID上层制订一些保护标准等。Sabetti说,采用数据验证的ISO 15693标准,有望在RFID安全中发挥作用。
同时行业人士表示,他们的技术也正在快速改进。Gen 2(第二代)RFID标签已经不通过无线发送号码,并能锁定密码而不会被更改。对于将安全放在第一位的应用,只有更昂贵和更智能化的标签才能提供更高的安全性。德仪(TI)公司副总裁和RFID系统部门总经理Julie England称,安全措施需要按照任务分解方式进行配置。因此药瓶上的RFID标签要比纸毛巾上的标签更为安全。正在制定供应链行业RFID标准的EPCglobal(全球产品电子代码管理中心),也在跟踪调查安全问题。在解决标准化问题后,推进针对RFID应用的安全性立法,将为该技术的安全应用、市场推广起到重要促进作用。
虽然许多公司刚刚开始考虑RFID安全问题,但隐私权倡导者和立法者已经关注标签的隐私问题有一段日子了。在德国麦德龙集团设在莱茵贝格的“未来商店”中,贴在货物上的RFID标签一旦离开商店就失去功效,商店在出口处为顾客安装了一台“消码器”,可以将芯片上的产品数字代码全部清为零。RSA安全公司展示了RSA“阻塞器标签(Blocker Tag)”,这种内置在购物袋中的专门设计的RFID标签能发动DoS攻击,防止RFID阅读器读取袋中所购货物上的标签。但缺点是,Blocker Tag给扒手提供了干扰商店安全的办法。所以,该公司改变了方法。一个方法是使用“软阻塞器”,它强化了消费者隐私保护,但只在物品确实被购买后执行。消费者在销售点刷一下与个人隐私数据相关的“忠诚卡”,购物后,销售点会更新隐私信息,并提示某些阅读器如供应链阅读器不要读取该信息。业内人士表示,“软阻塞器”会是一个不错的选择,EPCglobal第二代标准会具有这项功能。
安全漏洞会出现在RFID标签、网络或者数据等各个环节。“因为,采用现有标准目前存在着问题。”RSA实验室的首席科学家兼主任Burt Kaliski说,RSA实验室是安全厂商RSA公司的研究中心。“过去20年间开发的所有优秀的安全工具都没有嵌入到这些RFID标签的硬件中。因为存在一些技术难题,比如,对标签加密会耗用过多的处理器能力,还会给轻便、廉价并可控制成本的标签增加额外的成本。”
许多大企业和商家也开始注意到这个问题的严重性并采取了相应的措施。2005年10月17日,生产多种安全和数字标识产品的MIKOH Corporation 与 Serigraph Inc签订了MIKOH Corporation RFID标签安全技术专利使用权转让协定。Serigraph Inc是美国第一家获得MIKOH Corporation这种协议。Serigraph Inc是一家提供创新装饰解决方案的公司,该公司在材料、产品设计和生产应用多种印刷整理技术有着丰富的经验。
这份协议允许Serigraph公司生产、营销已并入MIKOH公司的智能安全防篡改标志技术(Smart&Secure tamper-indicating)的RFID芯片、封印和标签。“当RFID技术在行业内快速得到应用时,我们必须确保标签的安全性和所获数据的完整性。”Serigraph消费类电子商业经理Joseph A. Klahn说。“MIKOH 提供了目前最先进的技术解决了标签物理损害的问题。”
MIKOH称,当RFID标签的原始配置受到干扰时,Smart&Secure技术会使标签无效,这样就可以防止伪造、替换品、偷窃及其他形式的欺诈造成的安全问题和商业损失。在一些RFID应用中,如对药品贴上标签,集装箱安全性应用,重要文件的防伪应用,安全设备的监控等,标签的完整性是非常关键,所以这些应用将得益于RFID标签的篡改侦测技术(Tamper-detection)。
“传统的RFID标签不仅仅只局限在一个物品,它可以从一个物品移到另一个物品上进行应用,”MIKOH Corporation的首席技术官Peter Atherton博士说,“在系统没有觉察的情况下,贴在重要物品的标签可以很容易被去掉,这样就不能达到自动追踪物品的本意了。”
MIKOH称,已获专利的Smart&Secure技术可以与兼容现存所有的RFID频段,芯片种类和压力敏感性标签设计。
与此同时,无线安全软件开发商 Columbitech宣布无线 VPN支持 RFID读取器的信息安全。这次升级的内容包括加强安全架构建设,为应用单位的无线通信提供特别安全保护。利用本解决方案以及许多RFID读取器的开放式结构,用户可以方便地采用第三方应用方式,可以快速开发新的面向用户、面向应用的通信方法以更好满足业务需要和客户的强制性要求。简言之,Columbitech的无线VPN功能灵活,可以实现功能扩展,如数据的过滤和管理功能。在多天线、多读取器密集环境,现在也可以实现大距离准确读取数据,保证安全。 例如,用户现在可以安全可靠设计一种应用,指令货品在仓库的移动路线,或者快速可靠适应日常应用,报告自动化部件的状态,例如为在制造业环境使用的输送带报告其运行状态。
Columbitech的无线VPN可以克服RFID读取器在不同环境使用时遇到的困难。它采用标准化的通信协议,使通信的安全性得到最大保护。在一段时间的停止无线通信以后,Columbitech 的WVPN用户利用话路的持续特性可以自动重新联接到VPN的任何一个话路。Columbitech的WVPN也可以经过改造,适合用户已有的网络架构,为用户的多种手持器件提供无线通信服务。
在公开的无线环境传递敏感信息需要有安全保证,即决不允许外人获取信息,或者进入合作网络,同时又要保证终端用户使用方便。Columbitech的 WVPN可以为用户提供可靠、方便、无障碍、单信号的通信环境。它可以防止第三方窃听或者破坏由RFID器件传递的数据。Columbitech总裁Asa Holmstrom说: “安全性和保密性可以随着应用的推广进一步提高,公司的无线VPN采用最新的标准和算法,保证RFID器件、合作网络、RFID手持读取器传递的数据安全可靠。”
为使用户建立低成本企业级RFID应用环境,这种解决方案可以让企业自己把无线通信装置设置在RFID读取器邻近。这样Columbitech的WVPN就可以为企业实现无线业务数据通信和移动数据通信。
LMDS( Local Multipoint Distribution Services )本地多点分配业务系统工作在20-40 GHz 频段上的点对多点数字微波通信技术,适用于城域接入网的本地宽带业务传输和接入,基站典型覆盖半径为3-5km,每个基站可支持数百个端站,按用户的需求动态分配带宽,每个端站最高带宽可达 8-16Mb/s,可捆绑各种宽、窄带业务,支持数据、话音、视频、Internet,LMDS技术的成熟与完善,长期困扰运营商的接入网“瓶颈”问题便迎刃而解。
数字基站(DBS): 做为集中器,发送并接收所有用户业务。核心功能在于对RF信号的调制/解调,同时完成无线用户的汇聚,并与骨干网的连接。
无线基站(RBS): 结构紧凑的室外单元,传输RF信号至扇型天线,IF信号至DBS。一般情况下,基站包括多个RBS,每个RBS提供一个扇区的容量及覆盖。RBS安装于铁塔或房顶。
无线端站(RT):安装于用户端,墙面或抱杆安装,环境适应力强。包括设计非常紧凑的收发信单元及集成天线,与NT传输IF信号,由NT供电。
网络终端(NT):室内单元,提供1个多个终端接口,可与用户直接连接,或与用户端集中设备相连(如Routers/多业务交换机、ADSM mux、VPN hub,或PBX)。核心功能在于对RF信号的调制/解调。可固定在机架,或桌面放置。
网络及业务管理:对骨干网设备、基站、端站,即有线和无线系统所有的操作维护进行管理。提供业界功能最强大的管理系统,包括简单易用的完全图形接口,方便的路径及配置管理,良好的路由选择及恢复功能,超强的可扩展性及灵活性。
LMDS是一个可以综合租用线、交换话音、ISDN和基于IP业务的多业务平台。本节将描述租用线业务的主要应用及相应的典型网络配置作为典型应用:
租用线业务提供端站与基站之间 E1/T1 或 分档E1/T1 的透明传输。系统汇聚业务通过TDM E1/T1电路接口或DBS ATM接口传输至骨干网。所有配置和路径管理,包括无线资源的分配均由网管系统完成。
LMDS使用约30GHz的频段作为传输媒介,这是因为微米波的波长与雨点的直径在同一数量级,因此抗雨衰性能差。通信质量受雨、雪等天气影响较大。雨衰影响是LMDS系统设计必须予以考虑的重要因素。
国际电信联盟对降雨的影响已进行了深入研究,在ITU-RP.837建议中,将地球分为15个降雨气候区,分别以大写字母A到Q来表示,每一降雨区是以与它相关的降雨强度统计来表证,并给出了对应不同降雨强度所发生的时间概率。遵照ITU-R P.838建议,可以针对工作频率、极化和降雨率计算比衰减(dB/Km)和有效路径长度(这是考虑到在整个传输段长度上降雨强度不是均匀分布的缘故),进而可以针对衰落储备值Ft计算出在一定传输距离下,降雨衰减超出Ft的时间百分数P,或反之,根据雨衰特性及Ft求出在保证P值一定的情况下可用的通信距离是多少。必要时,还可以根据在ITU-R P.841建议,从长期百分数P变换到最坏月份百分数Pu。在考虑LMDS因雨衰引起的不可用性指标时,时间百分数Pu即为不可用性指标。[2]
n为了满足不同通信距离和不同地区降雨率减对发射功率的要求,A7390 LMDS系统支持自动发射功率控制(ATPC)功能。
nA7390 LMDS系统在上行链路实施ATPC,保证系统工作在理想的C/N指标。论文格式。ATPC动态范围为40dB(MII要求为35dB)。
随着计算机网络的日益普及,越来越多的家庭通过各种方式接入到了互联网,由于hub的逐渐淘汰,路由器作为入门的网络共享设备开始被更多的人关注,而且各厂商提供了丰富的升级固件,方便了用户进行功能扩展以及升级,本例中使用的DD-WRT固件由第三方厂商提供,市面上的主流路由器基本都可以直接升级使用。
本文路由器所采用的DD-WRT固件版本号为:v24 RC-5(11/22/07)std,其他版本固件操作基本类似。下面是操作流程:
方法:打开浏览器,在地址栏输入192.168.1.1,在弹出的登陆框中输入所使用路由器的默认密码,登陆到路由器的web管理界面后单击服务(Services),然后找到Secure Shell(安全外壳),将其中的SSHd选择启用,密码登录也选择启用,端口填入80。
在上面的操作中,我们已经将路由器的远程登录功能打开,并且登录端口使用80端口,重启路由器后会产生一个端口冲突问题,一般路由器的本地WEB管理地址也是使用80端口,这样会导致ssh服务启动失败,所以我们必须将其中一个登录端口进行更改,本论文讨论的是基于80端口的服务器搭建,所以我们将本地的管理页面登录端口进行更改,如果你不是使用80作为ssh端口,那么可以跳过此步设置。
-D/tmp/root/.省略,接下来就是自己去去申请一个用户,将注册的用户名还有密码填到相应的位置,类型选择动态,主机名填你申请好的完整域名:xxxx.省略。
我们以使用比较普遍的MyEntunnel为例作演示,如图2,需要注意的地方已经使用红色方框标示出来,其他选项根据需要自己进行修改即可。
根据红色方框标示依次填入SSH Server地址,SSH Port端口,以及相应的用户名还有密码,在填写第二个红色方框中的SOCKS Port时需要大家注意,应避免与本机已安装软件所使用的端口发生冲突。
我们以IE6为例演示如何设置浏览器的,该为socks5,打开IE浏览器,点击“工具”菜单,选择“Internet选项”,单击“连接”选项卡,在显示界面中点击“局域网设置”选中“为LAN使用服务器”,单击“高级”:参考图3进行填写,设置结束以后依次单击“确定”退出。
现在搭建服务器可以选择的软件与平台比较丰富了,但是大都需要占用一立的计算机,这对一般的终端用户来说要求是比较高的。而且普通的服务器软件要求作为服务器的计算机不能关闭,否则的使用该服务器的客户端就会失效,这样在实际使用中就有了很大的局限性。
本例所演示的基于80端口的服务器搭建只是抛砖引玉,具体使用中端口可以根据需要自己进行修改。路由器相对计算机的耗电量来说是很小的,而且作为网络共享设备,一般情况下不会关闭,使用DD-WRT固件搭建服务器又非常简单,只要放置路由器的地理位置合适,使用这种方式搭建的服务器来突破网络限制可以说是成本最低的。