中国知网查重 高校在线论文查重入口

立即检测
  • 58 元/篇
    系统说明: 知网职称论文检测AMLC/SMLC是杂志社专用系统,针对投稿论文、评审论文、学校、单位职称论文的学术不端重复率检测系统。
  • 328 元/篇
    系统说明: 知网本科论文检测PMLC是最权威的大学生毕业论文检测系统,含“大学生论文联合对比库”,国内95%以上高校使用。检测结果和学校一致!
  • 498 元/篇
    系统说明: 此系统不支持验证!可用作研究生初稿检测,相比知网VIP5.3缺少“学术论文联合对比库”,检测结果有5%左右的误差!(论文中若参考往届研究生论文,重复率误差会较大)
  • 128 元/篇
    系统说明: 大分解论文检测系统,对于想检测学术不端文献检测系统,而又价格便宜的同学可以选择,限每篇2.9万字符,结果与大学生PMLC、硕博VIP定稿系统有出入!
  • 68 元/篇
    系统说明: 知网论文小分解检测系统,适合中国知网初稿查重,数据库和定稿查重不同。结果与本科PMLC,研究生VIP5.3有出入,限每篇1.4万字符!
  • 3 元/千字
    系统说明: 学术家论文重复率检测系统,支持学位论文、毕业论文、投稿论文、职称评审论文,提供全文对照,word标红报告,性价比超高!
论文案例分享-基于sslvpn关键技术分析
时间:2021-04-26 11:49:52

  vpn指虚拟专用网络,它的功能是建立专用网络在公用网络上,并且进行加密通讯。广泛应用在企业网络中,vpn网关通过对数据包的加密和数据包目标地址的转换实现远程访问。Vpn可通过服务器、硬件、软件等多种方式实现。

  Vpn是一项十分实用的技术,它能够扩展企业的内部网络,传统的IPSec vpn不易配置客户端这一问题日益凸显,对比而言,ssl vpn是一种全新的技术,这项新技术迅速掀起热潮,长期的被人们持续关注,ssl利用每个web浏览器的加密以及验证的内置功能,与安全网关结合一起,共同提供一种能够安全远程访问企业应用的机制,以便进行远程移动用户可以更快捷的访问公司内部B/S、C/S应用和其他重要的核心资源。Ssl协议被内置于浏览器中,利用ssl协议进行认证和数据加密的ssl vpn可以省去安装客户端。

  Vpn的分类

  1.按vpn不同的协议进行分类。

  有PPTP VPN、MPLS VPN、IPsec VPN、SSL VPN、L2TP VPN、Open VPN、GRE VPN。

  其中PPTP和L2TP协议工作在OSI模型的第二层(数据链路层),也称二层隧道协议;IPSec、GRE是第三层隧道协议(网络层);SSL位于应用层,属于应用层隧道协议,广泛用于web浏览程序和web服务器程序,提供对等身份认证和应用数据的加密。

  2.按vpn的应用分类

  (1)Access VPN(远程接入VPN):客户端到网关,利用公网作为骨干网在设备之间传输VPN数据流量;

  (2)Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源;

  (3)Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接。

  3、按所用的设备类型进行分类:

  网络设备提供商针对不同客户的需求,开发出不同的VPN网络设备,主要为交换机、路由器和防火墙:

  (1)路由器式VPN:路由器式VPN部署比较轻易,只要在路由器上添加VPN服务即可;

  (2)交换机式VPN:首要应用于连接用户较少的VPN网络;

  (3)防火墙式VPN:防火墙式VPN是最常见的一种VPN的实现方式,许多厂商都提供这种配置类型

  4.按照实现原理划分:

  (1)重叠VPN:此VPN需要用户本身建立端节点之间的VPN链路,包括:GRE、L2TP、IPSec等众多技术。

  (2)对等VPN:由网络运营商在主干网上完成VPN通道的建立,主要包括MPLS、VPN技术。

  VPN类型详解PPTP VPN

  PPTP:点对点隧道协议,一种支持多协议虚拟专用网络(VPN)的网络技术,工作在第二层数据链路层。以相同工作在第二层的点对点传输协议(PPP)为基础,PPTP将PPP帧封装成IP数据包,以便于在互联网上传输并可以通过密码验证协议(PAP),可扩展认证协议(EAP)增加安全性。远程用户能够通过安装有点对点协议的操作系统访问公司网络资源。

  PPTP VPN的实现的必要条件要求:客户机和服务器之间必须有联通并且可用的IP网络。

  该VPN可在Windows、Linux系统下搭建,或者经过配置路由器来实现。

  L2F:第二层转发协议。用于建立横跨公共网络的安全隧道来将ISP POP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。L2F允许高层协议的链路层隧道技术,使得把原始拨号服务器的位置和拨号协议连接终止与提供的网络访问位置分离成为可能。

  L2TP VPN

  L2TP:二层隧道协议,结合PPTP与L2F两种二层隧道协议的优点,为众多公司接受。L2TP扩展了PPP模型,它使用PPP来封装用户数据,允许多协议通过隧道传送,作为安全性增强,L2TP与IPSec(Internet协议安全性)结合——L2TP/IPsec,L2TP基于UDP协议,因此L2TP不保证数据消息的可靠投递,若数据丢失,不予重传。

  L2TP的实现:与PPTP不同,PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接。

  该VPN可在Windows、Linux系统下搭建,或者经过配置防火墙、路由器来实现。

  MPLS VPN

  MPLS:多协议标签交换(MPLS)是一种用于快速数据包互换和路由的体系,通过这一体系,网络数据的流量获取了能证明自己的路标,还获取了路由地址、转发和交换等功能。更特殊的是,它具有管理各种不同形式通信流的机制。有一种方式就是它提供的,通过将一个简单并有一定长度的标签形象赋予给ip地址上,用于不同的包的转发和交换的技术。

  基于该技术的传统的VPN普遍通过三种隧道协议来实现在公网上传输私有网络间的数据流,分别是GREL2TPPPTP,而LSP自己便是就是公网上的隧道,所以用MPLS来实现VPN有着得天独厚的自然优势。

  利用MPLS实现的vpn就是将不同分支的私有网络在经过公网上的隧道LSP后,将其联结起来,从而形成统一的一个网络。此外该技术的vpn也能对不同的vpn进行互通控制。

  MPLSVPN网络主要由CE、PE和P等3部分组成:

  Customer Edge:用户网络边缘设备,可以是路由器交换机主机。

  Provider Edge:是服务商边缘路由器,位于骨干网络。

  Provider):是服务提供商网络中的骨干路由器。

  该VPN需通过配置路由器搭建。

  IPsec VPN

  nternet协议安全性(IPSec)作为一个开放标准的框架结构,利用加密的安全服务来保证Internet协议(IP)网络上能够进行安全有效的保密通讯。IPSec协议拥有包封装技术,利用该技术在取得互联网的路由地址后,可以在内部实现ip地址的封装,实现异地网络的互连联,因此,IPSec也是一种VPN技术。

  IPSec不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构。该体系结构包括认证头协议(Authentication Header,简称为AH)、封装安全负载协议(EncapsulatingSecurity Payload,简称为ESP)。

  IPSec可以在两种模式下运行,传输模式和隧道模式。

  传输模式:被用来计算AH或ESP头的数据是来自传输层,在原IP包头的后面存放着有计算的AH或ESP头加上一些用户数据被ESP加密的也都在此原IP包头后。两台主机间或一台主机和一个安全网关间的通讯是传输模式主要应用的情形。

  隧道模式:被用来计算的AH或ESP头是利用用户的整个IP数据包,相较于传输模式,隧道模式将ESP加密的用户的数据和AH头、ESP头一起封装在新的ip数据包中。两个安全网关间的通讯是隧道模式的主要应用情形。另外隧道模式是可以掩盖原IP地址实现异地网络访问内部网络,即是VPN。

  该VPN可在Windows、Linux环境下搭建,或者通过配置防火墙、路由器、第三方软件实现。

  GRE VPN

  GRE(Generic Routing Encapsulation)即通用路由封装协议,应用于网络设备,目前多半厂商的网络设备都可以支持GRE隧道协议。GRE是对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。GRE是VPN的第三层隧道协议,即在协议层之间采用了一种被称之为Tunnel(隧道)的技术。

  tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个tunnel的两端分别对数据报进行封装及解封装。

  该VPN可通过网络设备搭建。

  OPEN VPN

  OpenVPN是一个基于SSL加密的应用层VPN协议。

  OpenVpn的技术核心是虚拟网卡,其次是SSL协议实现。

  虚拟网卡是一个驱动软件,通过使用网络底层的编程技术来实现的,安装在主机上成为一个新网卡,另外安装虚拟网卡也可以像其它网卡一样进行配置。处在应用层里,服务程序可以将虚拟网卡开启。当应用软件发送数据给虚拟网卡,服务程序是能读取到其发送的数据,另外在虚拟网卡写入数据的是服务程序的话,应用软件也能接收到数据。虚拟网卡在很多的操作系统下都有相应的实现,这也是OpenVpn可以跨平台一个很主要的理由

  SSL VPN

  SSL(Secure Sockets Layer安全套接层)协议,它指定了一种在应用程序协议(如HTTP、Telenet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制。在TCP/IP连接过程中,该协议能为其提供消息完整性、数据加密、服务器认证和可选的客户机认证。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

  SSL协议可分为两层:

  SSL记录协议(SSL Record Protocol):可靠的传输协议(如TCP)是其建立的基础,数据封装、加密、压缩等功能都是由SSL记录协议提供给高层协议。

  SSL握手协议(SSL Handshake Protocol):以SSL记录协议为基础建立,主要用途是在数据传输前帮助通讯双方进行交换加密密钥、协商加密算法、以及身份认证等功能。

  当有客户需要通过vpn接入到企业内部时,安全程度高的ssl vpn会有更多企业部署运行,通过ssl vpn接入到只是企业内部的应用。然而如果是IPSec vpn客户则直接联入到企业的内部网络,这对企业的网络来讲是十分危险的。

  许多以SSL协议为基础的远程访问可以免于在远程客户端安装客户端软件,使用标准的Web浏览器连接上网便可在网页访问到企业总部内部的网络资源,这也是ssl vpn的优势之一。

  该VPN可在Windows server 2008、Windows 7企业版、Linux环境下搭建,或者通过网络设备实现。

  二、ssl vpn概念

  ssl vpn是建立在安全套层协议(Security Socket Layer-SSL)基础之上的,能与远程访问建立一个通道,该通道具有一定的安全性也叫安全访问通道的一种vpn技术。

  这项ssl+vpn技术是最近几年发展起来的新技术,在web的普及度提高后和互联网电子商务、远程网络办公的发展当中,ssl+vpn技术应用也随之兴起。

  ssl+vpn作为最近兴起的vpn新技术,它凭借着自身功能的强大性和实施应用的便捷性在市场上的相关ssl+vpn的品牌逐渐增加,用户需要考虑选择一个适合的产品,能更好的为自己提供优质的服务,SSL+VPN的vpn新技术的发展出现,能够满足用户对产品具有成本低、高性价比等特点的远程访问普遍需求。

  一、什么是ssl vpn

  指的是应用层的vpn,以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了百传输过程的安全性(HTTPS),HTTPS的安全基础是SSL,因此加密的详道细内容就需要SSL。ssl vpn实际就是以在HTTP的基础下加入SSL层的HTTPS为基础从而访问受到保护的应用。直路方式(见图一)和旁路方式(见图二)是当前较为常见的ssl vpn的两种方式。

  直路方式原理介绍:如果客户端需要访问一个应用服务器时,首要的是必须保证ssl vpn网关和客户端通过证书进行彼此验证;接着还要保证这条ssl通道是建立在ssl vpn网关和客户端两者之间的,然后是应用服务器和客户端代理的ssl vpn网关间完成TCP协议的连接建立,ssl vpn网关这里的功能就是在两者间转发数据。

  旁路方式原理介绍:不同于直路方式,旁路方式独立出ssl加速设备,从而减轻进行ssl加密与解密时的运行负担,在ssl vpn server接受到HTTPS请求时,ssl加速设备专门处理ssl加密的过程,经过ssl加密设备的处理后,接着就把数据发送给ssl vpn server。

  Ssl vpn网关,在传输过程中发挥关键作用是代理。用户发送访问应用服务器的请求时,请求不是首先发送到应用服务器等待接收,而是被ssl vpn接收,ssl vpn对接收后的数据进行协议解析,接着执行身份认证和访问控制等安全策略,最后再把解析的数据转换为合适的后端协议,才将其发送给应用服务器。

  ssl vpn具有瘦客户端和无客户端两种接入的方式。

  瘦客户端方式:客户端代理实现端口转发,基于ssl vpn客户端是自动下载的,因此客户知道瘦客户端方式接入是透明的,它支持的应用类型是所有以固定端口的TCP应用,例如Email(IMAP、SMTP、POP)等。

  无客户端方式:利用IE浏览器实现应用翻译和内容重写的功能。它支持的应用类型可以是web方式也可以是文件共享。通过web方式也可以访问企业的web应用。

  二、ssl vpn技术原理和流程简述

  (一)ssl vpn技术运行原理

  ssl vpn技术是netscape公司开发的一套内含两层的互联网数据安全协议,内容有:

  (1)ssl记录协议。记录协议主要向高层协议提供数据打包、加密和压缩的服务内容,在整个网络系统中,这些作用是基本的功能。记录协议是记录在互联网系统中的传输协议上的,所应用的传输协议主要为tcp(Transmission Control Protocol)等

  (2)ssl握手协议。这个协议处于记录协议的上层位置,在对该协议合理进行应用后,才会开始正式的数据传输过程。该协议开启开展身份认证,密钥交换、加密算法协商的工作之后,接着进行正式的数据传输工作。ssl vpn从根本上说是一种安全连接技术,处于互联网技术运行的过程中,专业的软件和应用浏览器可以在系统中建立数据传输通道。完整的ssl vpn系统包括客户端,服务器,网关。Ssl vpn系统的服务器通过网关获取各项服务,加上对密钥和加密算法协调能够给予安全保护的功能。

  (二)ssl vpn技术运行流程

  ssl vpn技术在运行中,该系统的流程如下:

  (1)浏览器申请进行等待状态过程。

  处于运行过程的ssl vpn系统会同时监听多个的web服务器的请求端口,待接收到某个服务器发送的请求时,进行数据的处理工作和对服务器的加密算法和密钥的分析工作

  (2)建立安全连接过程。

  web服务器发出连接申请之后,ssl vpn服务器接收到连接请求便会建立安全连接。

  (3)服务器地址转换过程。

  ssl vpn服务器监测客户端的端口和服务地址,把相关数据转为服务器的地址,完成后紧接着向相应的web服务器发送请求信号等待web服务器响应。

  (4)响应数据转换过程。

  在获取到响应数据后,ssl vpn系统对该数据再一步处理,通过应用建成的安全连接将处理后的数据传输,反映到客户端的浏览器上。

  二、ssl vpn与传统的IPSEC vpn对比分析

  1.引言

  虚拟专用网络(Virtual Private Network)根据vpn的相关技术实现的网络层次能够分为三种不同的类型,基于(数据链路层的vpn、网络层的vpn、应用层的vpn)ssl vpn是属于基于应用层的vpn这一类,IPSEC vpn是属于基于网络层的vpn,传统的IPSEC协议的vpn技术在得到足够的关注的同时,因其存在部分不足之处,于是基于ssl协议的vpn技术迅速发展起来,下文是简单介绍ssl vpn与IPSEC vpn两种技术定义后进行比较两种技术特点和适用场所。

  2.IPSec vpn定义

  IP Security协议族是由IETF所制定的一系列安全协议,它含有的密码学,可互操作,高质量的安全保护机制是服务于IPSec协议族在端到端ip报文交互的,IP Security vpn是利用IP Security隧道建立的网络层vpn。

  IPSec是一组协议,不是单独一个的协议。它是由认证头,封装安全载荷,因特网密钥交换协议等等其他一系列协议所构成。IPSec安全协议中定义了能够在ip数据包增加扩展头以及字段的一种方式来保证ip包的机密、完整、可认证性;IPSec密钥交换协议IKE含有定义通信实体之间的进行身份认证,协商加密算法,创建安全关联还有生成共享会话密钥的方法。

  3.1安全防护

  两种安全协议都提供加密和身份验证,相异的是ssl协议仅仅加密通信双方传输的应用数据。防护差异详见图1所示

  3.2加密算法

  3.2.1 SSL vpn的加密算法

  SSL V2和V3协议支持RC4,RC2,IDEA,DES加密算法,消息散列函数MD5产生的密钥充当加密算法使用的密钥。

  3.2.2 IPSec vpn的加密算法

  IPSec使用的加密算法有:

  DES(Data Encryp-tion Standard)用56位(bit)的密钥对1个64位的明文块加密。

  3DES(Triple Data E ncryption Standard)用3个56位的DES密钥,总共168位密钥,对明文加密。

  AES(Advanced Encryption Standard)它的密钥长度分为128位,192位,256位三种长度,对明文加密。

  3.3身份验证

  ssl vpn可以提供双向或者单向数字证书,建立ssl连接前提是需要客户端和服务器进行身份认证,认证的采用数字证书的形式。采取客户端对服务器的认证或者是双方进行双向认证都可以完成认证,身份验证较为灵活,反观IPSec vpn,双向数字证书进行身份认证是唯一提供的方式。

  3.4数据安全

  只须在客户和网络资源边缘处建立通道是IPSec vpn的安全协议的特点,IPSec vpn提供的是端到边缘的安全性。ssl的安全通道的不同点是在客户到访问的资源之间建立的通道,做到了端到端的真正的安全,提供了端到端、用户到资源的安全性。除此之外,ssl vpn更加的容易提供细粒度的访问控制。它对用户的权限,资源,服务,文件能进行进一步的控制,与第三方认证系统结合更加便利,这与IPSec vpn主要基于IP组对用户进行控制更显优势。

  3.5应用场景

  IPSec vpn应用场景主要有三个方面,一是网关(防火墙)之间,这种应用场景也称为点到点或点到多点IPSec vpn,主要用途是在公司总部与分支机之间建立的IPSec隧道,进而实现局域网之间互通;二是网关与主机之间,主要用于出差员工通过互联网需要访问总部资源时;三是主机与主机之间,这种类型是主机之间通过互联网,进行数据传输,当需要进行加密时,它是在主机侧完成加解密的操作。这种类型在实际应用中非常少见或者几乎不用。

  ssl vpn网关绝大多数部署于企业的网络出入口介于远程用户和服务器之间,在应用服务器前,控制着两者的通信

  移动办公技术和气象业务系统在实现了快速的发展后,传统的桌面办公方式与现代化的气象业务发展需求之间出现不平衡的发展态势,难以满足实际需求。

  Bring your own device的发展正逐渐改变着人们的工作方式,Bring your own device(BYOD)指的是携带着自己的设备进行。人们可以抛开时间、地点、网络环境、人员、设备等因素,不再受这些因素的限制。在气象行业中同样如此。ssl协议的vpn技术在气象移动办公业务的应用符合实际所需,实现了BYOD的移动办公。这种工作方式的运用,可以消除气象工作人员必须到指定电脑办公否则操作不了的窘境,随时随地收发邮件,查看气象信息,处理文件等,加快办公效率,更好的凸显了信息化的工作效率,ssl vpn技术在气象移动业务的应用还能确保通信数据的安全性、准确性。

  基于ssl协议的vpn技术应用于气象移动办公将极大地凸显其优势。在考虑内、外部的应用来说,使用ssl将使信息的真实性、完整性、保密性得到保障。

  ssl vpn技术具有简便(无需配置),立即安装,即刻生效的特点。移动接入和Web安全,不需要安装或设定客户端软件,通过直接利用浏览器中内嵌的SSL协议就可以实现远程安全接入。适用任何的终端及操作系统,兼容性好。

  四、探讨SSL VPN技术当前存在的问题

  SSL VPN技术比IPSec vpn技术有一定的优势,但是也存在一定问题。我们需要对这些问题的引发因素进行分析。SSL VPN技术当前存在的问题:

  加密过程:应用ssl vpn技术加剧了服务器的负载问题。在该项技术当前的应用中,系统的反应速度远远不够,ssl vpn技术的响应速度上与高效运作的发展要求不协调,不匹配。究其原因是在ssl vpn技术的应用中通过建成加密通道的过程中,这个加密过程会产生数量众多的字符。例:ssl vpn3.0,密钥的字符达到至少1024bit,随着密钥长度的增加,该密钥的字节数也随之变大。

  解密过程:ssl vpn系统运行涉及解密过程需要耗费许多时间。

  密钥产生和生成过程:产生的密钥会存在于系统内,当产生的大量无效密钥未被及时清理,此时占用巨大的存储空间会给整个服务器带来巨大的运行负担。