vpn技术论文范文

vpn技术论文范文第1篇

关键词VPN；虚拟专用网；SSLVPN；IPSecVPN

1引言

VPN(VirtualPrivateNetwork)即虚拟专用网，是一项迅速发展起来的新技术，主要用于在公用网络中建立专用的数据通信网络。由于它只是使用因特网而不是专线来连接分散在各地的本地网络，仅在效果上和真正的专用网一样，故称之为虚拟专用网。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。一个网络连接通常由客户机、传输介质和服务器三个部分组成。VPN同样也由这三部分组成，不同的是VPN连接使用了隧道技术。所谓隧道技术就是在内部数据报的发送接受过程中使用了加密解密技术，使得传送数据报的路由器均不知道数据报的内容，就好像建立了一条可信赖的隧道。该技术也是基于TCP/IP协议的。

2隧道技术的实现

假设某公司在相距很远的两地的部门A和B建立了虚拟专用网，其内部网络地址分别为专用地址20.1.0.0和20.2.0.0。显然，这两个部门若利用因特网进行通信，则需要分别拥有具有合法的全球IP的路由器。这里假设部门A、B的路由器分别为R1、R2，且其全球IP地址分别为125.1.2.3和192.168.5.27，如图1所示。

图1

现在设部门A的主机X向部门B的主机Y发送数据报，源地址是20.1.0.1而目的地址是20.2.0.3。该数据报从主机X发送给路由器R1。路由器R1收到这个内部数据报后进行加密，然后重新封装成在因特网上发送的外部数据报，这个外部数据报的源地址是R1在因特网上的IP地址125.1.2.3，而目的地址是路由器R2在因特网上的IP地址192.168.5.27。路由器R2收到R1发送的数据报后，对其进行解密，恢复出原来的内部数据报，并转发给主机Y。这样便实现了虚拟专用网的数据传输。

3军队院校校园网建设VPN技术应用设想

随着我军三期网的建设，VPN技术也可广泛应用于军队院校的校园网建设之中。这是由军队院校的实际需求所决定的。首先，军队的特殊性要求一些信息的传达要做到安全可靠，采用VPN技术会大大提高网络传输的可靠性；第二，军队院校不但有各教研室和学员队，还包括保障部队、管理机构等，下属部门较多，有些部门相距甚至不在一个地方，采用VPN技术可简化网络的设计和管理；第三，采用了VPN技术后将为外出调研的教员、学员们以及其它军队院校的用户通过军队网访问本校图书馆查阅资料提供便利。

而VPN技术的特点正好能够满足以上几点需求。首先是安全性，VPN通过使用点到点协议(PPP)用户级身份验证的方法进行验证，这些验证方法包括：密码身份验证协议(PAP)、质询握手身份验证协议(CHAP)、Shiva密码身份验证协议(SPAP)、Microsoft质询握手身份验证协议(MS-CHAP)和可选的可扩展身份验证协议(EAP)，并且采用微软点对点加密算法(MPPE)和网际协议安全(IPSec)机制对数据包进行加密。对于敏感的数据，还可以使用VPN连接通过VPN服务器将高度敏感的数据服务器物理地进行分隔，只有拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接，并且可以访问敏感部门网络中受到保护的资源。第二，在解决异地访问本地电子资源问题上，这正是VPN技术的主要特点之一，可以让外地的授权用户方便地访问本地的资源。目前，主要的VPN技术有IPSecVPN和SSLVPN两种。其中IPSec技术的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外还能对IP数据包进行加密和认证。而SSLVPN技术则是近几年发展起来的新技术，它能够更加有效地进行访问控制，而且安全易用，不需要高额的费用。该技术主要具有以下几个特点：第一，安全性高；第二，便于扩展；第三，简单性；第四，兼容性好。

我认为军队院校校园网VPN技术应主要采用SSLVPN技术。首先因为其安全性好，由于IPSecVPN部署在网络层，因此，内部网络对于通过VPN的使用者来说是透明的，只要是通过了IPSecVPN网关，它可以在内部为所欲为。因此，IPSecVPN的目标是建立起来一个虚拟的IP网，而无法保护内部数据的安全，而SSLVPN则是接入企业内部的应用，而不是企业的整个网络。它可以根据用户的不同身份，给予不同的访问权限，从而保护具体的敏感数据。并且数据加密的安全性有加密算法来保证。对于军队机构，安全保密应该是主要考虑的方面之一。第二，SSLVPN与IPSecVPN相比，具有更好的可扩展性。可以随时根据需要，添加需要VPN保护的服务器。而IPSecVPN在部署时，要考虑网络的拓扑结构，如果增添新的设备，往往要改变网络结构，那么IPSecVPN就要重新部署。第三，操作的复杂度低，它不需要配置，可以立即安装、立即生效，另外客户端不需要麻烦的安装，直接利用浏览器中内嵌的SSL协议就行。第四，SSLVPN的兼容性很好，而不像传统的IPSecVPN对客户端采用的操作系统版本具有很高的要求，不同的终端操作系统需要不同的客户端软件。此外，使用SSLVPN还具有更好的经济性，这是因为只需要在总部放置一台硬件设备就可以实现所有用户的远程安全访问接入；但是对于IPSecVPN来说，每增加一个需要访问的分支就需要添加一个硬件设备。

虽然SSLVPN的优点很多，但也可结合使用IPSecVPN技术。因为这两种技术目前应用在不同的领域。SSLVPN考虑的是应用软件的安全性，更多应用在Web的远程安全接入方面；而IPSecVPN是在两个局域网之间通过网络建立的安全连接，保护的是点对点之间的通信，并且，IPSecVPN工作于网络层，不局限于Web应用。它构建了局域网之间的虚拟专用网络，对终端站点间所有传输数据进行保护，而不管是哪类网络应用，安全和应用的扩展性更强。可用于军校之间建立虚拟专用网，进行安全可靠的信息传送。

4结论

总之，VPN是一项综合性的网络新技术，目前的运用还不是非常地普及，在军队网中的应用更是少之又少。但是随着全军三期网的建成以及我军信息化建设的要求，VPN技术将会发挥其应有的作用。

参考文献

[1]谢希仁.计算机网络(第4版).北京：电子工业出版社，2003

vpn技术论文范文第2篇

关键词：虚拟专用网VPN远程访问网络安全

引言

随着信息时代的来临，企业的发展也日益呈现出产业多元化、结构分布化、管理信息化的特征。计算机网络技术不断提升，信息管理范围不断扩大，不论是企业内部职能部门，还是企业外部的供应商、分支机构和外出人员，都需要同企业总部之间建立起一个快速、安全、稳定的网络通信环境。怎样建立外部网络环境与内部网络环境之间的安全通信，实现企业外部分支机构远程访问内部网络资源，成为当前很多企业在信息网络化建设方面亟待解决的问题。

一、VPN技术简介

VPN（VirtualPrivateNetwork）即虚拟专用网络，指的是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商）在公用网络中建立专用的数据通信网络的技术，通过对网络数据的封装和加密传输，在公用网络上传输私有数据的专用网络。在隧道的发起端（即服务端），用户的私有数据经过封装和加密之后在Internet上传输，到了隧道的接收端（即客户端），接收到的数据经过拆封和解密之后安全地到达用户端。

VPN可以提供多样化的数据、音频、视频等服务以及快速、安全的网络环境，是企业网络在互联网上的延伸。该技术通过隧道加密技术达到类似私有网络的安全数据传输功能，具有接入方式灵活、可扩充性好、安全性高、抗干扰性强、费用低等特点。它能够提供Internet远程访问，通过安全的数据通道将企业分支机构、远程用户、现场服务人员等跟公司的企业网连接起来，构成一个扩展的公司企业网，此外它还提供了对移动用户和漫游用户的支持，使网络时代的移动办公成为现实。

随着互联网技术和电子商务的蓬勃发展，基于Internet的商务应用在企业信息管理领域得到了长足发展。根据企业的商务活动，需要一些固定的生意伙伴、供应商、客户也能够访问本企业的局域网，从而简化信息传递的路径，加快信息交换的速度，提高企业的市场响应速度和决策速度。同时，围绕企业自身的发展战略，企业的分支机构越来越多，企业需要与各分支机构之间建立起信息相互访问的渠道。面对越来越复杂的网络应用和日益突出的信息处理问题，VPN技术无疑给我们提供了一个很好的解决思路。VPN可以帮助远程用户同公司的内部网建立可信的安全连接，并保证数据的安全传输，通过将数据流转移到低成本的网络上，大幅度地减少了企业、分支机构、供应商和客户花在信息传递环节的时间，降低了企业局域网和Internet安全对接的成本。VPN的应用建立在一个全开放的Internet环境之中，这样就大大简化了网络的设计和管理，满足了不断增长的移动用户和Internet用户的接入，以实现安全快捷的网络连接。

二、基于Internet的VPN网络架构及安全性分析

VPN技术类型有很多种，在互联网技术高速发展的今天，可以利用Internet网络技术实现VPN服务器架构以及客户端连接应用，基于Internet环境的VPN技术具有成本低、安全性好、接入方便等特点，能够很好的满足企业对VPN的常规需求。

2.1Internet环境下的VPN网络架构Internet环境下的VPN网络包括VPN服务器、VPN客户端、VPN连接、隧道等几个重要环节。在VPN服务器端，用户的私有数据经过隧道协议和和数据加密之后在Internet上传输，通过虚拟隧道到达接收端，接收到的数据经过拆封和解密之后安全地传送给终端用户，最终形成数据交互。基于Internet环境的企业VPN网络拓扑结构。

2.2VPN技术安全性分析VPN技术主要由三个部分组成：隧道技术，数据加密和用户认证。隧道技术定义数据的封装形式，并利用IP协议以安全方式在Internet上传送；数据加密保证敏感数据不会被盗取；用户认证则保证未获认证的用户无法访问网络资源。VPN的实现必须保证重要数据完整、安全地在隧道中进行传输，因此安全问题是VPN技术的核心问题，目前，VPN的安全保证主要是通过防火墙和路由器，配以隧道技术、加密协议和安全密钥来实现的，以此确保远程客户端能够安全地访问VPN服务器。

在运行性能方面，随着企业电子商务活动的激增，信息处理量日益增加，网络拥塞的现象经常发生，这给VPN性能的稳定带来极大的影响。因此制定VPN方案时应考虑到能够对网络通信进行控制来确保其性能。我们可以通过VPN管理平台来定义管理策略，分配基于数据传输重要性的接口带宽，这样既能满足重要数据优先应用的原则，又不会屏蔽低优先级的应用。考虑到网络设施的日益完善、网络应用程序的不断增加、网络用户数量的快速增长，对与复杂的网络管理、网络安全、权限分配的综合处理能力是VPN方案应用的关键。因此VPN方案要有一个固定的管理策略以减轻管理、报告等方面的负担，管理平台要有一个定义安全策略的简单方法，将安全策略进行合理分布，并能管理大量网络设备，确保整个运行环境的安全稳定。

三、Windows环境下VPN网络的设计与应用

企业利用Internet网络技术和Windows系统设计出VPN网络，无需铺设专用的网络通讯线路，即可实现远程终端对企业资源的访问和共享。在实际应用中，VPN服务端需要建立在Windows服务器的运行环境中，客户端几乎适用于所有的Windows操作系统。下面以Windows2003系统为例介绍VPN服务器与客户端的配置。

3.1Windows2003系统中VPN服务器的安装配置在Windows2003系统中VPN服务称之为“路由和远程访问”，需要对此服务进行必要的配置使其生效。

3.1.1VPN服务的配置。桌面上选择“开始”“管理工具”“路由和远程访问”，打开“路由和远程访问”服务窗口；鼠标右键点击本地计算机名，选择“配置并启用路由和远程访问”；在出现的配置向导窗口点下一步，进入服务选择窗口；标准VPN配置需要两块网卡（分别对应内网和外网），选择“远程访问（拨号或VPN）”；外网使用的是Internet拨号上网，因此在弹出的窗口中选择“VPN”；下一步连接到Internet的网络接口，此时会看到服务器上配置的两块网卡及其IP地址，选择连接外网的网卡；在对远程客户端指派地址的时候，一般选择“来自一个指定的地址范围”，根据内网网段的IP地址，新建一个指定的起始IP地址和结束IP地址。最后，“设置此服务器与RADIUS一起工作”选否。VPN服务器配置完成。

3.1.2赋予用户拨入权限设置。默认的系统用户均被拒绝拨入到VPN服务器上，因此需要为远端用户赋予拨入权限。在“管理工具”中打开“计算机管理”控制台；依次展开“本地用户和组”“用户”，选中用户并进入用户属性设置；转到“拨入”选项卡，在“选择访问权限(拨入或VPN)”选项组下选择“允许访问”，即赋予了远端用户拨入VPN服务器的权限。

3.2VPN客户端配置VPN客户端适用范围更广，这里以Windows2003为例说明，其它的Windows操作系统配置步骤类似。

在桌面“网上邻居”图标点右键选属性，之后双击“新建连接向导”打开向导窗口后点下一步；接着在“网络连接类型”窗口里选择“连接到我的工作场所的网络”；在网络连接方式窗口里选择“虚拟专用网络连接”；接着为此连接命名后点下一步；在“VPN服务器选择”窗口里，输入VPN服务端地址，可以是固定IP，也可以是服务器域名；点下一步依次完成客户端设置。在连接的登陆窗口中输入服务器所指定的用户名和密码，即可连接上VPN服务器端。:

3.3连接后的共享操作当VPN客户端拨入连接以后，即可访问服务器所在局域网里的信息资源，就像并入局域网一样适用。远程用户既可以使用企业OA，ERP等信息管理系统，也可以使用文件共享和打印等共享资源。

四、小结

现代化企业在信息处理方面广泛地应用了计算机互联网络，在企业网络远程访问以及企业电子商务环境中，虚拟专用网(VPN)技术为信息集成与优化提供了一个很好的解决方案。VPN技术利用在公共网络上建立安全的专用网络，从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务，是企业内部网的扩展和延伸。VPN技术在企业资源管理与配置、信息的共享与交互、供应链集中管理、电子商务等方面都具有很高的应用价值，在未来的企业信息化建设中具有广阔的前景。

参考文献:

[1]闫晓弟，耶健.基于VPN的电子资源远程访问系统的研究与实现.情报杂志.2009(8).

vpn技术论文范文第3篇

关键词：远程访问 透明URL Rewriting技术 泛域名

中图分类号：G250.76 文献标识码：A 文章编号：1674-098X（2014）07（b）-0196-04

随着电子资源的普及和丰富，人们越来越习惯和依赖于利用电子资源进行学习和科研，网络电子资源越来越显得重要。许多图书馆投入巨额资金引入了大量的网络数据库等电子资源。数据库提供商出于版权和商业利益的考虑，这些数据库电子资源大部分是通过IP地址认证访问方式提供服务。由于图书馆（特别是公共图书馆）用户IP分散和不固定，极大地限制了电子资源的利用率，造成图书馆电子资源利用率严重偏低，效益低下。[1]

为解决合法用户访问电子资源，开发远程访问电子资源系统有重大意义。突破IP限制常采用下列几种方式[2-7]：（1）参考咨询的办法，非技术、间接的办法解决IP限制问题。这是传统的方式，时至今日也是解决电子资源利用率的一个有效的方法；（2）VPN技术，即虚拟专用网，本质是通过Internet公网建立虚拟的私有网，从而解决IP限制问题。VPN是一项成熟的网络技术，通过VPN远程访问电子资源的论文大量出现在2003-2008年。VPN远程访问电子资源的优点是安全可控，但缺点也明显，图书馆需要安装VPN设备或服务，网络防火墙进行设置，用户需要安装VPN客户端软件；[8-10]（3）使用自动配置脚本服务技术，通过浏览器设置自动脚本配置，实现指定的数据库访问服务器，解决IP限制问题。但安全性比较差，读者浏览器需要设置本地或服务器的脚本。2005年起，有这方面的，但没有VPN使用广泛；（4）透明技术。是指突破IP 地址的物理限制，用户计算机不用安装任何插件或作任何配置，通过身份认证后就可以在任何能上互联网的地方使用图书馆电子资源。透明技术是目前远程访问电子资源较理想解决方案。已经被广泛用于图书馆中受控电子资源的访问。远程访问图书馆电子资源服务欧美高校开展得最早，比如基于URL重写技术的产品Ezproxy，2005年前已经普遍使用。国内这方面应用研究较晚，2006年起陆续有文章介绍Ezproxy在高校图书馆的应用研究，2008年有高校与软件公司合作开发本校的远程服务系统，但开发通用产品还鲜有报道。[11-13]

鉴于远程透明访问电子资源的产品少、功能简单的现状，根据公共图书馆的特点，本文设计“远程透明访问电子资源系统”，系统采用URL地址重写技术开发，实现下列主要功能：（1）透明；（2）身份认证；（2）访问控制；（4）下载数量控制；（5）事件触发功能转移。身份认证、访问控制、透明访问是系统基本功能，系统的特点是设计了下载数量的控制及事件触发功能转移功能，对授权允许远程访问的资源，做到“既能有效开放，又能严格控制”，对授权必须馆内访问的资源，实现跳转至参考咨询等系统提供服务，为实现数据库商、图书馆、读者“三方共赢”提供技术保障和支持，对提供图书馆数据资源的利用率具有重要意义[14-15]。

1 远程透明访问电子资源系统的工作原理及核心技术

1.1 透明服务器与普通服务器的原理及区别

普通的服务器，需要在客户端浏览器设置服务器的IP地址及端口，所有访问都会通过服务器二传接力，加大了服务器的负担，也影响了客户端的效率。采用脚本的改进型服务器，虽然能够有选择性地使用服务器，即访问脚本指定的电子资源才通过，访问其他资源直接访问，但客户端需要进行脚本的设置。而透明则可以实现“零”设置，又能有选择性的使用服务器，实现客户便利及高效率。图1是两种服务器的示意图。

1.2 透明的核心技术

1.2.1 URL Rewriting技术

URL Rewrite即URL重写，就是改写网页里的URL，重定向到其他URL的过程。URL Rewrite最常见的应用是URL伪静态化，是将动态页面显示为静态页面方式的一种技术。透明服务器（tmproxy）就是可以利用URL Rewrite技术，通过改写受IP控制电子资源URL，使之转换成链接服务器新的URL。

例如：受IP控制的电子资源的URL是.

[14] 李洪文.基于URL重写技术的电子资源统一授权访问系统的原理和实现[J].大学图书馆学报，2008（4）：68-71.

vpn技术论文范文第4篇

论文关键词：ssl;ssl vpn;远程接入

论文摘要：本文讨论了在远程安全接入领域的ssl vpn技术，通过对ssl协议的分析，全面衡量了ssl vpn远程接入方案在军队院校网络应用中的综合优势。

1引言

打造远程安全接入平台，一直是网络远程访问的迫切需求。当前，众多的安全协议(如pptp.l2tp.ipsec和mpls)各具特色并侧重于不同的方面，但能同时结合简易、安全两项特性的则非ssl莫属，ssl vpn是平衡访问自由度和安全性的出色解决方案。

2 ssl

安全套接层(secure sockets layer, ssl)是netscape于1994年提出的基于web应用的安全协议，它介于http及tcp之间，高层协议可以透明地运行在该协议之上，它指定了一种在应用程序协议和丁cp/ip协议之间提供数据安全性分层的机制，能为丁cp/ip连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其安全连接基于握手协议、记录协议和警告协议来完成。

3 ssl vpn主要特点

(1)高安全性:ssl安全通道可确保端到端真正安全可靠的连接，能有效保证信息的真实性、完整性和保密性。

(2)高易用性:无需客户端的安装和配置，对终端系统具有良好的兼容性。

(3)高性价比:不需要配置，易于部署及管理，可有效降低网络配置成本。

(4)高可扩展性和兼容性:可随时添加需要vpn保护的服务器，并适用于大多数设备。

(5)高效的资源控制能力:可区分用户设置访问权限，实现区分对待的资源控制策略。

4 ssl vpn应用优势

随着军队院校网络信息化建设的推进，实际应用中面临着越来越多的跨地域、跨部门的数据传递，以及大量的远程访问内网的需求。例如跨地域的会商研讨、数据采集、资料检索、分支部门和下属机构的机要信息交换等。根据这些需求和实际情况，下面主要从ssl vpn和ipsec vpn对比出发，全面衡量ssl vpn的优势。

(1)谨慎灵活的接入认证策略。在远程接入过程中，用户身份验证是整个过程的第一环，也是最重要的一环，如果不能有效识别用户的身份，使得非法用户接入，将给内部网络带来极大的安全隐患。ssl vpn提供对所传送数据的加密、认证和发送源的身份认证，支持将多种身份识别方式进行组合，一般包括usb-key、硬件特征码、数字证书、动态令牌、短信认证等，而且可以对访问权限进行严格的等级划分，实现不同用户对于不同应用程序的控制。

(2)稳妥有效的数据保护策略。因为ssl vpn接入的是内部网络的应用，而不是整个网络，并限制了非web端口的访问，使得部分文件操作功能不易实现，这实际上也起到了相应的保护功能。同时，ssl网关隔离了内部服务器和客户端，客户端的大多数病毒木马感染不到内网服务器。而ipsec vpn实现的是ip级别的访问，使得局域网能够传播的病毒，通过vpn也能够传播，极易导致内部网络的防病毒策略形同虚设。一旦恶意ipsec vpn用户获得权限通过了网关，无疑会给内网带来灾难性的后果，但ssl vpn大大减弱了类似的风险。

(3)良好的可管理性和可控性。一方面，ssl vpn的部署不需改变原网络结构，就可部署在内网任一节点处，并可随时添加需要vpn保护的服务器。而ipsec vpn在部署时，则要考虑网络的拓扑结构，设备的移除和添加就有可能导致vpn重新部署，且客户终端设备的变更，也意味着客户端软件的更新或部署。另一方面，数字化校园已经将更多的服务集成于web应用，具备个性化的门户网站，不同的部门和人员都有对应的内网访问权限。这和基于ssl vpn的用户访问级别划分控制策略是一致的。

vpn技术论文范文第5篇

论文摘要：随着信息技术的不断发展，学校如何更好的利用内部网络服务成为摆在学校面前的重要课题。本文通过对学校网络建设现状及vpn技术的分析介绍，在如何利用vpn技术为学校搭建网络应用安全通道进行了探索。

随着信息化时代的到来，以网络技术为代表的信息技术已经成为社会发展的重要推动力。网络技术以其信息海量性、交互性、便捷性等优势，正在日益深人人们的生活。同样，由于信息技术的巨大作用，它也被广泛应用于学校的各种活动之中。当然，网络技术同时也存在很多缺点，比如网络安全问题，就成为影响学校信息安全的潜在威胁。因此，学校在利用网络技术的同时，

一定要注意研究和防范其缺点和不足。

i、我国学校网络建设的基本情况和特点

应该说，我国学校网络建设起步时间较晚，但是发展速度十分迅速，笔者总结出我国学校网络建设的基本情况和特点如下:

1.1建设的普遍性

据一项不完全调查显示，目前我国具备独立的学校网络系统的学校约占全体注册学校数量的90%以上。这里所说的学校网络建设，不仅仅指学校的门户网站或者学校主页，而是涵盖学校内部行政办公网、教学网络以及学生网络等网络系统。可以说，随着网络技术的进一步普及，学校已经意识到建立自身独立的网络系统的巨大意义，能够主动投人人力物力，聘请专业机构针对本学校特点研发、部署网络系统。

1.2应用的广泛性

目前我国学校在创建独立网络体系的同时，非常注意对于网络功能的再开发。目前国内学校利用网络系统可以进行内部管理、办公自动化处理、视频会议、网络教学、ip电话、学校推广等等，极大地丰富了校园网络的应用手段，拓展了应用领域。

1.3安全意识提高

从国内市场主流网络安全技术销售情况可以看出，全社会网络安全意识正在逐步提高，一些造价不菲的学校版专业软件销售情况也十分可观。学校加强对网络安全的防范，一方面体现出学校的观念正在逐步改进，另一方面可以看出，我国国内的网络安全市场仍然具备较大的拓展空间。

1.4交流的多样性

学校网络大都由外部网络和内部网络构成。外部网络就是通常意义上的互联网，而内部网络是学校独立的网络系统，俗称内网。随着交流的不断增多和办公形式的多样化，越来越多的用户希望能随时通过互联网接人校园网，实现远程办公。而在当今日益繁多的网络技术中，vpn技术由于具备自身独特的优势，可以很好地满足建立学校网络安全通道的需求。

2,vpn技术

2.1基本情况

vpn仅irtualprivatenetwork)，即虚拟专用网，被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过非安全网络的安全、稳定的隧道。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。vpn主要技术包括隧道技术与安全技术。简言之，通过利用vpn技术，可以在学校内部网络与外网之间建立一个虚拟的安全通道，实现学校充分利用校内网络系统的要求。

2.2独特优势

vpn技术是比较新的网络技术，具有许多以往网络虚拟技术所不具备的优势，具体说来，主要体现如下:

第一，可以最大限度地保证学校网络系统的安全运行。在前文中，笔者谈到学校关心网络安全问题，能否保证学校网络系统运行的稳定和安全，将是这项技术能否被大范围推广和使用的关键。在vpn技术中，学校可以在内部服务器上实现对用户资格的认证，同时，在网络运作过程中。 vpn技术还可以支持点对点加密及各种网络安全加密协议，如ipsecarity，这可以最大程度上保证学校网络系统的安全运行。

第二，可以降低学校网络运行维护的成本。由于vpn设备本身带有路由功能，可以有效地减少学校内部网络与互联网连接时需要的网络配置设备，对一些传统设备，vpn技术也可以很好地实现兼容。在虚拟网络运行过程中，由于其稳定性良好，不需要学校付出大量成本进行维护，因此可以极大地降低学校网络成本。

第三，可以实现学校网络系统功能的提升。学校网络系统应用vpn技术，可以将学校内部的网络设备与外网实现安全互联，同时也可以将学校分支机构的网络设备进行有效连接，主要部门通过对于vpn权限的控制，可以有效地掌控学校网络系统的运行情况，并依托学校网络进行各项活动，从而实现对学校网络功能的进一步扩展。

3、学校如何利用vpn技术

既然vpn技术具有许多优势，非常适合运用于学校网络建设，那么学校应该着手对这项技术的应用进行研究。笔者认为，我国学校运用vpn技术没有固定的模式和套路，应该依据学校自身的情况和特点，制定出相应的使用方案。但是，学校在使用vpn技术的过程中，还是可以找到一些共性的原则。

首先，是成本最小化原则。学校在利用vpn技术时，可以委托专业机构设置学校vpn，学校只需要设置相应的权限即可以实现对网络的有效管理。

vpn技术论文范文第6篇

关键词:IPSec VPN;MPLS VPN;SSL VPN;对比

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0101-01

一、引言

随着信息化经济一体化的发展,实现资源共享是每个企业追求发展进步不可或缺的一步。利用隧道技术在公共网络上建立安全的虚拟专用网络(VPN)是实现资源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN这几个比较主流的VPN技术。

二、IPSec VPN

IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,用来提供公用和专用网络的端对端加密和验证服务。IPsec给出了应用于IP层上网络数据安全的一整套体系结构,包括AH网络认证协议、ESP封装安全载荷、IKE因特网密钥交换和用于网络认证及加密的一些算法等[1]。其中,AH协议和ESP协议用来提供安全服务,IKE协议用于密钥交换。

(一)认证头(AH)协议

IPsec认证头协议是IPsec体系结构中的一种主要协议(AH协议把AH头插入IP数据包),它为IP数据报提供无连接完整性、数据源认证、保护以避免重播情况[1]。

(二)封装安全载荷(ESP)协议

封装安全载荷(ESP)协议是IPsec体系结构中的一种用来提高IP的安全性的主要协议。ESP加密要保护的数据并且在IPsec ESP的数据部分进行数据的完整性校验,以达到其数据机密性和完整性的目的。ESP提供了与AH相同的安全服务并提供了一种保密。

(三)IKE

IKE是一种混合型协议,由Internet安全联盟(SA)和密钥管理协议(ISAKMP)这两种密钥交换协议组成。IKE是以受保护的方式为SA协商并提供经过认证的密钥信息的协议。IKE用于协商AH和ESP所使用的密码算法,并将算法所需的必备密钥放到恰当位置。同样,IKE使用ISAKMP为其他IPSec(AH和ESP)协议协商SA。

三、MPLS VPN

MPLS VPN与传统的IPSec VPN不同,MPLS VPN不依靠封装和加密技术,而是依靠转发表和数据包的标记来创建一个安全的VPN,MPLS VPN的所有技术产生于Internet。MPLS VPN是一种以MPLS技术为基础的IP VPN,是在网络路由和交换设备上应用MPLS(Multiprotocol Label Switching,多协议标记交换)技术,简化核心路由器的路由选择方式,结合传统路由技术的标记交换实现的IP虚拟专用网络(IP VPN)。

(一)MPLS VPN的基本原理

每个MPLS VPN网络的内部是由P(供应商)设备组成,这些设备构成了MPLS的核心,且不直接同CE路由器相连,围绕在P周围的PE路由器可以让MPLS VPN网络发挥VPN的作用。在MPLS VPN中,用户站点通常运行的是IP。它们并不需要运行MPLS和其他特殊的VPN协议。在PE路由器中,RD对应同每个用户站点连接。这些连接可以是诸如T1、单一的帧中继、ATM虚电路或者DSL等物理连接。RD在PE路由器中被配置,是设置VPN站点工作的一部分,它并不在用户设备上进行配置,对于用户来说是透明的[2]。

(二)MPLS VPN的优点

1.减少时延。由于数据包不再经过封装或者加密,所以时延被减到最低。不再需要封装和加密原因是MPLS VPN可以创建一个专用网,它同帧中继网络具备的安全性很相似[2]。

2.配置MPLS VPN网络的设备比较容易。配置MPLS VPN网络的设备也变得容易了,仅需配置核心网络不许访问CPE。

3.提高了资源利用率。由于在网内使用标签交换,用户各个点的局域网可以使用重复的IP地址,提高了IP资源利用率。

4.安全性高。采用MPLS作为通道机制实现透明报文传输,MPLS的LSP具有与帧中继和ATM VCC(Virtual Channel Connection,虚通道连接)类似的高可靠安全性。

四、SSL VPN

SSL VPN的出现是为了解决IPSec VPN的固有的缺点,SSL VPN继承了IPSec VPN的远程使用与内网使用体验一致优点,避免了因有客户端而导致的使用维护不便、带来大量病毒和蠕虫的入侵、无法与企业现有认证服务器结合、无法审计等问题[2]。IPSec VPN与SSL VPN的对比。传统的IPSec VPN在部署时,往往需要在每个远程接入的终端都安装相应的IPSec客户端并需要作复杂的配置。若企业的远程接入数量增多,企业的维护成本就会随之增加。而SSL VPN最大的优点之一就是不需要安装客户端程序远程用户可以随时随地从任何浏览器上安全接入到内部网络。对比表如下:

五、总结

由于VPN的优秀安全特性,让它越来越受到安全要求较高的企业或部门的青睐。此文指出的IPSec VPN、MPLS VPN、SSL VPN技术增加了VPN通信的安全性。伴随着VPN的广泛使用,更加复杂的VPN系统会继续出现。所以,其安全策略管理的问题将逐步显现,这方面的研究也将受到高度重视。

参考文献:

[1]

vpn技术论文范文第7篇

【 关键词 】 经济型；VPN；网络平台；构建方法

An Economical VPN Network Platform Construction Methods

Zhang Ding-xiang

(Guizhou Commercial College, Guiyang GuizhouGuiyang 550004)

【 Abstract 】 Although at present to provide enterprises with VPN network platform building scheme is more, but the building costs are high, make many enterprise hope and stopped. Therefore, seek a kind of economic and enough VPN network platform construction scheme is very necessary.This paper will introduce a kind of deployment scheme and configuration method which that using ADSL dial-up internet, dynamic DNS technology and software VPN over the internet to construct economic VPN network platform. This program can be used for the construction or upgrading of an enterprise VPN platform.

【 Keywords 】 economical ;VPN; network platform; construction method

1 引言

随着互联网在企业领域应用的不断深化，VPN（虚拟专用网）已作为一种安全的局域网远程扩展方案，并受到越来越多的企业关注和运用。对于占全国企业总数80%的中小型企业来说，大多数都需要通过计算机网络安全地、可靠地、及时地传输各种业务数据，并希望投入的成本越少越好，还期望原有的和即将发生的投资都能够得到长期的保护。因而，为这些企业寻求一种经济的够用的VPN网络平台解决方案和实现方法是很有必要的、迫切的。

2 解决方案

在企业构建VPN平台过程中，无论采用何种方案都应以追求数据传输的机密性、完整性、可控性和可维护性等为建设目标。这里以论文《集散式中小型企业远程数据安全传输解决方案》中提出的“6+”解决方案为基础，概要地介绍一种经济的VPN网络平台构建方法，以起到抛砖引玉的作用。“6+” 解决方案为PC机、操作系统、ADSL拨号、DDNS、二级域名、集成型VPN网关软件6种组件的综合集成。

2.1 VPN网络部署拓扑图

企业VPN部署的典型拓扑结构图如图1所示，企业总部与互联网的连接均通过VPN网关接入，VPN网关通过网线物理连接到ADSL Modem上，ADSL Modem再通过电话线逻辑接入到互联网；各分支机构和企业移动用户也通过VPN网关接入因特网，接入方式可以不采用ADSL Modem拨号连接。

2.2 方案要点

(1) 选配PC机。总部VPN网关主机选用一台质量较好的普通PC机即可。主机基本配置要求为Pentium CPU、512MB内存、80GB硬盘、10/100Mbps双网卡。这些技术参数也可作为分支机构VPN网关的参考。

(2) 选定主机操作系统。从习惯性和普及性考虑，选用专业版或服务器版的Windows作为VPN网关（主机）的操作系统，如Windows 2000 专业版、Windows 2003服务器版、Windows XP SP3专业版等。

(3) 采用ADSL拨号接入互联网。总部与因特网的接入方式采用常规的ADSL Modem拨号接入，目的是可以获得一个免费的公网IP地址，只不过该IP地址是动态的，每次拨号时可能获得不同的IP地址。

(4) DDNS的选用。选用拥有我国自主知识产权的花生壳作为DDNS（动态域名解析服务系统），花生壳DDNS能自动地准确地将动态IP地址与固定域名实时绑定，使得VPN客户端根据域名就可以随时找到VPN服务端的动态公网IP地址。

(5) 二级域名的申请。通常情况下，申请租用一级（顶级）域名都是要付费的，而申请租用二级域名多数都是免费的。对于构建VPN平台来说，域名叫什么都无所谓，仅仅是一个符号而已，只要能准确地解析到IP地址即可。为能更好地运用花生壳DDNS解析IP地址，这里在花生壳网站上申请一个二级域名作为VPN服务端网关的域名地址（如“iioffice.省略”）。

(6) 集成型VPN网关软件的选用。选用高性能高可靠的Injoy Firewall综合型网关软件（已获得中国公安部的安全认证许可）来构建VPN平台。该软件除具备VPN的基本功能（隧道传输、加密解密、密钥管理、身份认证等）外，还具有较强的防火墙和入侵检测功能，并内置了PPPoE及PSTN拨号器、DHCP Server，还支持NAT-T技术和高强度高速度的AES加密算法。

3 配置要点

vpn技术论文范文第8篇

关键词：文山学院 虚拟专用网 VPN

一、现状及需求

文山学院坐落于祖国西南边陲云南省文山州州府所在地文山市，学校占地948亩，有教职工594人，学校设有10个二级学院共43个本专科专业，全日制在校生9183人。从学校建设角度，可以把文山学院分为老校区和新校区。学校校园网覆盖到办公楼、教学楼、教职工宿舍楼及老校区部分学生宿舍，由于校园网出口带宽不高，整体网速慢以及很多学生宿舍没有校园网布线，使得很多学生都是自己向网络供应商申请接入互联网。由于我校的教务管理系统只能在校园网内部访问，教师查询教学信息以及考试成绩等的录入只能局限在校园网内部，另外广大教师在获取学校图书馆提供的电子图书、科研论文等信息资源时，也只能在校园网访问。因此，迫切需要一种方法能让学校的师生无论是在学校内还是校外，都能顺利地访问校园网里的资源。这对提高教学效率和教师的科研水平都是很有益的。因此，提出建设我校的VPN解决方案，能够兼顾性能和价格，实现真正意义的优质低价的网络VPN互联。

二、VPN技术分析

虚拟专用网（Virtual Private NetWork，VPN）是指利用Internet等公共网络创建远程的计算机到局域网以及局域网到局域网的连接，而建立的一种可以跨跃更大的物理范围的局域网应用。

1.隧道技术

隧道技术（Tunneling）是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息，以便通过互联网传递被封装的负载数据。

VPN采用隧道（Tunneling）技术，利用PPTP与L2TP等协议对数据包进行封装和加密，所以保证了在Internet等公共网络上传输的数据的安全性。

2.VPN分类

VPN按照它的应用可以分为两种：单机到局域网的连接（point to LAN）（如图1所示）和局域网到局域网的连接（LAN to LAN）[1]（如图2所示）。

单机到局域网的连接适用于单个用户连接到企业局域网。只要用户个人计算机能够访问Internet，用户就能通过VPN方式跟企业局域网建立连接，从而访问企业局域网提供的资源。

局域网到局域网的连接适用于企业分支机构（可以是多个分支机构）连接到企业总部局域网。企业分支机构和企业总部既可以通过Internet互联也可以通过专线连接，达到分支机构局域网和总部局域网逻辑上属于一个更大的局域网，实现资源的相互共享。

图1单机到局域网的连接

图2 局域网到局域网的连接

根据我校的实际情况，提供VPN服务可以方便广大师生员工通过外网访问校园网登陆教务管理系统数字图书馆等操作，选择单机到局域网的连接。

一个完整的VPN系统一般由VPN服务器、VPN数据通道和VPN客户端三个单元构成。

三、VPN服务器及客户机的安装配置

1.VPN服务器的安装与配置

方案以安装有Windows Server 2008操作系统作为VPN服务器。

①单击“开始”“程序”“管理工具”“管理您的服务器”命令，添加“远程访问/VPN服务器”角色，启动“路由和远程访问服务器向导”

②在向导的配置界面中，选择“虚拟专用网络（VPN）访问和NAT”单选按钮，配置该服务器为VPN服务器，同时具有NAT功能，然后单击“下一步”按钮

③选择“VPN”和拨号复选框，然后单击“下一步”按钮

④使用VPN，在VPN服务器上必须有两个网络接口，一个连接到Internet，一个接到校园网网络。选择“本地连接”为VPN服务器到Internet的网络接口，“本地连接2”连接到校园局域网。单击“下一步”按钮

⑤选择“自动”单选按钮，因为校园网内专门有DHCP服务器进行IP地址的指派。单击“下一步”按钮

⑥提示是否选择此服务器与RADIUS服务器一起工作，选择“否”，单击“下一步”按钮

⑦最后单击“完成”按钮，结束“远程访问/VPN服务器”的配置。

为用户配置远程访问权限

用户可以通过VPN服务器上的本地用户账户和局域网中的域用户账户通过VPN访问局域网。要使用户通过VPN访问局域网，账户都应该具有“拨入权限”。

2.VPN客户端计算机安装与配置

远程客户首要条件是已经连接到Internet。远程客户机接入Internet可以是通过宽带拨号，也可以是局域网到Internet的网络连接。

方案以安装有windows 7 SP1操作系统作为VPN客户端。

①打开控制面板进入“网络和共享中心”。

②点击进入“设置新的连接和网络”，选择“连接到工作区”并点击“下一步”。

③点击“使用我的Internet连接（VPN）”

④在“Internet地址”栏输入企业网络地址，并“下一步”。

⑤输入企业网络管理员提供的用户名和密码，点击“连接”便可以连接到企业网络。

⑥连接成功后，VPN客户端逻辑上已经和企业网络处在同一局域网内，此时VPN客户端便可以使用远程局域网提供的各种资源。

四、结论

建立校园VPN，可以利用现有的公共网络资源，在普通用户和校区之间建立安全、可靠、经济和高效的传输链路，利用Internet的传输线路保证了网络的互联性，采用隧道、加密等VPN技术保证了信息传输的安全性，从而极大地提高了办公效率，节省了学校资源，为校园信息化建设奠定了基础。

参考文献：

[1]郝兴伟.计算机网络技术及应用[M].中国水利水电出版社，2009年：196-212.

[2]高博，赵映红.虚拟专用网络（VPN）技术应用与实践[J].水科学与工程技术，2014（3）：93-96.

作者简介：

vpn技术论文范文第9篇

论文摘要:重点分析了vpn的实现技术。

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络的安全性、保密性、可靠稳定性，对于企业和一些跨区域专门从事特定业务的部门，从经济实用性、网络安全性、数据传输可靠性上来，看vpn技术无疑是一种不错的选择。下面就vpn技术的实现做一下粗浅的分析:

1 vpn简介

虚拟专用网(virtuaiprivatenetwork, vpn)是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。vpn极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性。

vpn可分为三大类:(1)企业各部门与远程分支之间的in-tranet vpn;(2)企业网与远程(移动)雇员之间的远程访问(re-mote access)vpn;(3)企业与合作伙伴、客户、供应商之间的extranet vpno

在extranetvpn中，企业要与不同的客户及供应商建立联系，vpn解决方案也会不同。因此，企业的vpn产品应该能够同其他厂家的产品进行互操作。这就要求所选择的vpn方案应该是基于工业标准和协议的。这些协议有ipsec、点到点隧道协议(pointtopoint tunneling protocol,pptp)、第二层隧道协议(layer2 tunneling protocol,i,2tp)等。

2 vpn的实现技术

vpn实现的两个关键技术是隧道技术和加密技术，同时qos技术对vpn的实现也至关重要。

2.1 vpn访问点模型

首先提供一个vpn访问点功能组成模型图作为参考。其中ipsec集成了ip层隧道技术和加密技术。

2.2隧道技术

隧道技术简单的说就是:原始报文在a地进行封装，到达b地后把封装去掉还原成原始报文，这样就形成了一条由a到b的通信隧道。目前实现隧道技术的有一般路由封装(generi-croutingencapsulation, gre )i,2tp和pptpo

(1)gre

gre主要用于源路由和终路由之间所形成的隧道。例如，将通过隧道的报文用一个新的报文头(gre报文头)进行封装然后带着隧道终点地址放人隧道中。当报文到达隧道终点时，gre报文头被剥掉，继续原始报文的目标地址进行寻址。gre隧道通常是点到点的，即隧道只有一个源地址和一个终地址。然而也有一些实现允许一点到多点，即一个源地址对多个终地址。这时候就要和下一条路由协议(next-hoproutingprotocol , nhrp)结合使用。nhrp主要是为了在路由之间建立捷径。

gre隧道用来建立vpn有很大的吸引力。从体系结构的观点来看，vpn就象是通过普通主机网络的隧道集合。普通主机网络的每个点都可利用其地址以及路由所形成的物理连接，配置成一个或多个隧道。在gre隧道技术中人口地址用的是普通主机网络的地址空间，而在隧道中流动的原始报文用的是vpn的地址空间，这样反过来就要求隧道的终点应该配置成vpn与普通主机网络之间的交界点。这种方法的好处是使vpn的路由信息从普通主机网络的路由信息中隔离出来，多个vpn可以重复利用同一个地址空间而没有冲突，这使得vpn从主机网络中独立出来。从而满足了vpn的关键要求:可以不使用全局唯一的地址空间。隧道也能封装数量众多的协议族，减少实现vpn功能函数的数量。还有，对许多vpn所支持的体系结构来说，用同一种格式来支持多种协议同时又保留协议的功能，这是非常重要的。ip路由过滤的主机网络不能提供这种服务，而只有隧道技术才能把vpn私有协议从主机网络中隔离开来。基于隧道技术的vpn实现的另一特点是对主机网络环境和vpn路由环境进行隔离。对vpn而言主机网络可看成点到点的电路集合，vpn能够用其路由协议穿过符合vpn管理要求的虚拟网。同样，主机网络用符合网络要求的路由设计方案，而不必受vpn用户网络的路由协议限制。

虽然gre隧道技术有很多优点，但用其技术作为vpn机制也有缺点，例如管理费用高、隧道的规模数量大等。因为gre是由手工配置的，所以配置和维护隧道所需的费用和隧道的数量是直接相关的—每次隧道的终点改变，隧道要重新配置。隧道也可自动配置，但有缺点，如不能考虑相关路由信息、性能问题以及容易形成回路问题。一旦形成回路，会极大恶化路由的效率。除此之外，通信分类机制是通过一个好的粒度级别来识别通信类型。如果通信分类过程是通过识别报文(进人隧道前的)进行的话，就会影响路由发送速率的能力及服务性能。

gre隧道技术是用在路由器中的，可以满足extranetvpn以及intranetvpn的需求。但是在远程访问vpn中，多数用户是采用拨号上网。这时可以通过l2tp和pptp来加以解决。

(2)l2tp和pptp

l2tp是l2f( layer2forwarding)和ppt’i〕的结合。但是由于pc机的桌面操作系统包含着pptp，因此ppt’i〕仍比较流行。隧道的建立有两种方式即:“用户初始化”隧道和“nas初始化”(networkaccess server)隧道。前者一般指“主动’，隧道，后者指“强制”隧道。“主动”隧道是用户为某种特定目的的请求建立的，而“强制”隧道则是在没有任何来自用户的动作以及选择的情况下建立的。l2tp作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下:

a.用户通过modem与nas建立连接;b.用户通过nas的l2tp接入服务器身份认证;;c.在政策配置文件或nas与政策服务器进行协商的基础上，nas和l2tp接入服务器动态地建立一条l2tp隧道;d.用户与l2tp接入服务器之间建立一条点到点协议(pointtopointprotocol, ppp)访问服务隧道;e.用户通过该隧道获得vpn服务。

与之相反的是，pptp作为“主动”隧道模型允许终端系统进行配置，与任意位置的pptp服务器建立一条不连续的、点到点的隧道。并且，pptp协商和隧道建立过程都没有中间媒介nas的参与。nas的作用只是提供网络服务。pptp建立过程如下:a.用户通过串口以拨号ip访问的方式与nas建立连接取得网络服务;b.用户通过路由信息定位pptp接入服务器;c.用户形成一个pptp虚拟接口;d.用户通过该接口与pptp接入服务器协商、认证建立一条ppp访问服务隧道;e.用户通过该隧道获得vpn服务。

在l2tp中，用户感觉不到nas的存在，仿佛与pptp接入服务器直接建立连接。而在pptp中，pptp隧道对nas是透明的;nas不需要知道pptp接入服务器的存在，只是简单地把pptp流量作为普通ip流量处理。

采用l2tp还是pptp实现vpn取决于要把控制权放在nas还是用户手中。砚tp比pptp更安全，因为砚tp接入服务器能够确定用户从哪里来的。砚tp主要用于比较集中的、固定的vpn用户，而pptp比较适合移动的用户。

2.3加密技术

数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容。加密算法有用于windows95的rc4、用于ipsec的des和三次deso rc4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了;des和三次des强度比较高，可用于敏感的商业信息。

加密技术可以在协议栈的任意层进行;可以对数据或报文头进行加密。在网络层中的加密标准是ipsec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”:加密只在路由器中进行，而终端与第一条路由之间不加密。这种方法不太安全，因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中，vpn安全粒度达到个人终端系统的标准;而“隧道模式”方案，vpn安全粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件。

2.4 qos技术

通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的vpn。但是该vpn性能上不稳定，管理上不能满足企业的要求，这就要加入qos技术。实行qos应该在主机网络中，即vpn所建立的隧道这一段，这样才能建立一条性能符合用户要求的隧道。

vpn技术论文范文第10篇

[论文关键词]无线网络安全通信手段对比

[论文摘要]探讨无线网络中实现安全通信的若干手段，并对比它们之间的差异，供同行参考。

一、引言

无线通信采用无线电波传输，具有保密性强、移动性高、抗干扰性好、架设与维护容易等特点，还能支持移动计算，越来越成为室外通信的最佳方案。目前无线通信可以实现计算机局域网、无线接入、网际互联、图文传真、电子邮件、互联网浏览、数据采集和遥测遥控等，已经成为现代通信手段的重要组成部分。因此，无线网络的安全通信技术成为业界的研究热点。

二、无线网络的安全通信措施

（一）WLAN的安全保障

虽然目前广泛使用的跳频扩频技术可以让人难于截取，但也只是对普通人难而已，随着通信技术的飞速发展，相信很快就会普及起来。

IEEE802.11标准制定了如下3种方法来为WLAN的数据通信提供安全保障：

1．使用802.11的服务群标识符SSID。但是，在一个中等规模的WLAN上，即使每年只进行两次基本群标识符的人工修改，也足以证明这是一个低效的不可靠的安全措施。

2．使用设备的MAC地址来提供安全防范，显然这也是一个低水平的防护手段。

3．安全机制相比前两种效果要好得多，即WEP(WiredEquivalentPrivacy)。它是采用RC4算法来加密传输的网络分组，通过WEP协议来保护进入无线网的身份验证过程。但从有线网连接到无线网是通过使用某些网络设备进行连接（即网络适配器验证，而不是利用网络资源进行加密的），还有其他的一些不可靠问题，人们在重要点的加密场合，都不使用WEP安全协议。

（二）VPN与IPSec的作用

VPN首先是用于在Internet上扩展一个公司的网络当然公司的部门或子公司在地理上位于不同的地域，甚至在不同的国家。VPN是一个加密了的隧道，在隧道中它对IP中的所有数据进行封装。在VPN中最常用的两种隧道协议是，点对点隧道协议PPTP和第二层隧道化协议LTP，它们分别是由微软和Cisco公司开发的。还有一种现在也在VPN中广泛使用的有隧道功能的协议即IPSec，它还是一个IETF建议IP层安全标准。IPSec首先是作为IPv4的附加系统实现的，而IPv6则将该协议功能作为强制配置了。

（三）IPSec协议及其实施

IPSec协议包括如下：验证头AH(Authentication)，封装安全载荷ESP(EncapsulationSecurityPayload)，Internet密钥交换IKE(InternetKeyExchange)，Internet安全关联和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)及转码。IPSec体系定义了主机和网关应该提供的各科能力，讨论了协议的语义，以及牵涉到IPSec协议同TCP/IP协议套件剩余部分如何进行沟通的问题。封装安全载荷和验证头文档定义了协议、载荷头的格式以及它们提供的服务，还定义了包的处理规则。转码方式定义了如何对数据进行转换，以保证其安全。这些内容包括：算法、密钥大小、转码程序和算法专用信息。IKE可以为IPSec协议生成密钥。还有一个安全策略的问题，它决定了两个实体间是否能够通信，采取哪一种转码方式等。

IPSec的工作模式有如下2种：

1．通道模式：这种模式特点是数据包的最终目的地不是安全终点。路由器为自己转发的数据包提供安全服务时，也要选用通道模式。在通道模式中，IPSec模块在一个正常的普通IP数据包内封装了IPSec头，并增加了一个外部IP头。

2．传送模式：在传送模式中，AH和ESP保护的是传送头，在这种模式中，AH和ESP会拦截从传送层到网络层的数据包，并根据具体情况提供保护。例如：A、B是两个已配置好的主机，它们之间流通的数据包均应予以加密。在这种情况采用的是封装安全载荷(ESP)的传送模式。若只是为了对传送层数据包进行验证，则应采用“验证头(AH)”传送模式。IPSec可以在终端主机、网关/路由器或两者之间进行实施和配置。

（四）一个实现无线通信加密的方法

在给出下面加密方案之前，首先确定加密的位置：综前所述，选择在TCP/IP协议的IP层进行加密（当然也含了解密功能，下同）处理，可以达到既便利又满足尽可能与上下游平台无关性。为了叙述方便，笔者定义一个抽象实体：加密模块，当它是一台PC或工控机时，它就是具备基本网络协议解析与转换功能的安全（加密）网关；当它是一个DSP或FPGA芯片时，它就是一个具备网络协议功能的加密芯片；当它是一个与操作系统内核集成的软件模块时，它就是一个加密模块。至此，就形成如下加密方案的雏形：

1．在无线网络的桥路器或是无线Hub与有线LAN间置一加密模块，这时可用一台功能强劲的PC或是工控机（方便户外携带使用），最好是双CPU的，具备强大的数学运算能力，实现网络层到链路层之间的功能和IP数据包的加解密功能。

2．BlackBox：对FPGA(FieldProgrammableGateArray)进行集群，初定为由3块FPGA芯片构成，1块加密，1块解密，1块进行协议处理。之所以要求集群，是基于这样一个事实：由独立的一块100－1000MIPS的FPGA芯片完成协议处理和加解密这样超强度的运算处理，缺乏可行性。

3．在购买第三方厂商的无线HUB及桥路器时，与厂商进行技术合作，要求他们在设备上提供FPGA的接口，逻辑上FPGA只完成IP包数据的加解密功能，不涉及协议处理（由厂商的软硬件平成）。但这涉及知识产权归属的问题，对厂商来说，由他们来实现这一点是非常容易的。

三、小结