发布时间:2023-04-06 18:39:37
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的vpn技术论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
关键词:vpn,MPLS,BGP,WAN
随着广域网(WAN)的应用需求不断增长,通信运营商竞争不断加剧,新的WAN的解决方案必须在降低实施、运营成本的同时,提供更快的响应时间、更好的服务质量(QoS)以及足够的安全性。VPN技术的出现,满足了市场需求。
传统的解决方案是采用搭建物理链路的专网,VPN采用在公共IP网络商构建企业IP虚拟专网。MPLS-VPN能够在提供原有VPN网络所有功能的同时,提供强有力的QoS能力,具有可靠性高、安全性高、扩展能力强、控制策略灵活以及管理能力强大等特点。
1.技术分析1:VPN虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
如此需要迫切解决的两个问题:
一:动态创建隧道。通过MPLS协议解决了这个问题。
二:路由冲突问题。通过BGP协议解决了这个问题。
2:MPLSMPLS(Multi Protocol Label Switch:多协议标签交换)提供了快速包转发和动态建立隧道的技术。论文大全。MPLS是基于标记的IP路由选择方法。这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS)、虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输方式等其它各类信息。MPLS的报文Head结构如下图:
论文摘要:MPLS技术提供了类似于虚电路的标签交换业务,可以实现底层标签自动的分配,在业务的提供上比传统的VPN技术更廉价,更快速和安全的数据传输。同时MPLS VPN可以充分利用MPLS技术的一些先进特性,提供流量工程能力、服务质量保证等。DCN网络作为公司内部各营业、办公、网管、运维等各信息系统承载的网络平台,在应用系统整合的大趋势下,对网络健壮性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在这样的环境背景下,成为DCN网络改造的必然。
随着公司的不断发展,DCN网上承载的业务系统不断增多,除“97”系统外,还有如网管集中监控系统、电源监控系统、客服系统、OA等及融合后3G网管系统等,有些应用系统对安全性要求较高比如OA和财务,有些系统对带宽和网络质量(QoS)要求较高。现有的网络不能满足“分而治之”的企业运作管理需要。由于信息系统集中整合的需要,实施此次MPLS升级改造。通过本次改造工程的实施,优化网络结构,提高网络的安全性、可靠性及整个DCN网的服务质量。由一张实体物理网实现虚拟多业务网,采用MPLS VPN隔离各类业务系统,骨干以现有DCN骨干网为基础构建,接入网采用灵活的方式到终端,满足企业内部应用的承载和安全需求。最终,DCN网络中的终端与主机须划入至各自所属的MPLS VPN域中,实现各个VPN域之间的通信隔离,同时在各个VPN间建立数据通道,部署防火墙对经过数据通道的流量进行访问控制,实现对不同VPN域的通信数据的有效安全控制。
1 MPLS VPN技术简介
MPLS VPN是由若干不同的site组成的集合,一个site可以属于不同的VPN,属于同一VPN的site具有IP连通性,不同VPN间可以有控制地实现互访与隔离。
MPLS VPN网络主要由CE、PE和P等3部分组成:CE(Custom Edge Router,用户网络边缘路由器)设备直接与服务提供商网络。设备与用户的CE直接相连,负责VPN业务接入,处理VPN-IPv4路由,是MPLS三层VPN的主要实现者:P(Provider Router,骨干网核心路由器)负责快速转发数据,不与CE直接相连。在整个MPLS VPN中,P、PE设备需要支持MPLS的基本功能,CE设备不必支持MPLS。
PE是MPLS VPN网络的关键设备,根据PE路由器是否参与客户的路由,MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS标准,使用MBGP在PE路由器之间分发路由信息,使用MPLS技术在VPN站点之间传送数据,因而又称为BGP/MPLS VPN。在MPLS VPN网络中,对VPN的所有处理都发生在PE路由器上,为此,PE路由器上起用了VPNv4地址族,引入了RD(Route Distinguisher)和RT(Route Target)等属性。RD具有全局惟一性,通过将8byte的RD作为IPv4地址前缀的扩展,使不惟一的IPv4地址转化为惟一的VPNv4地址。VPNv4地址对客户端设备来说是不可见的,它只用于骨干网络上路由信息的分发。RT使用了BGP中扩展团体属性,用于路由信息的分发,具有全局惟一性,同一个RT只能被一个VPN使用,它分成Import RT和Export RT,分别用于路由信息的导入和导出策略。在PE路由器上针对每个site都创建了一个虚拟路由转发表VRF(VPN Routing & Forwarding),VRF为每个site维护逻辑上分离的路由表,每个VRF都有Import RT和Export RT属性。通过对Import RT和Export RT的合理配置,运营商可以构建不同拓扑类型的VPN,如重叠式VPN和Hub-and-spoke VPN。
整个MPLS VPN体系结构可以分成控制面和数据面,控制面定义了LSP的建立和VPN路由信息的分发过程,数据面则定义了VPN数据的转发过程。在控制层面,P路由器并不参与VPN路由信息的交互,客户路由器是通过CE和PE路由器之间、PE路由器之间的路由协议交互知道属于某个VPN的网络拓扑信息。除了路由协议外,在控制层面工作的还有LDP,它在整个MPLS网络中进行标签的分发,形成数据转发的逻辑通道LSP。在数据转发层面,MPLS VPN网络中传输的VPN业务数据采用外标签(又称隧道标签)和内标签(又称VPN标签)两层标签栈结构。当一个VPN业务分组由CE路由器发给入口PE路由器后,PE路由器查找该子接口对应的VRF表,从VRF表中得到VPN标签、初始外层标签以及到出口PE路由器的输出接口。当VPN分组被打上两层标签之后,就通过PE输出接口转发出去,然后在MPLS骨干网中沿着LSP被逐级转发。在出口PE之前的最后一个P路由器上,外层标签被弹出,P路由器将只含有VPN标签的分组转发给出口PE路由器。出口PE路由器根据内层标签查找对应的输出接口,在弹出VPN标签后通过该接口将VPN分组发送给正确的CE路由器,从而实现了整个数据转发过程。
2 骨干迁移的三个关键问题
由于DCN网络建设时间比较久,网络结构比较复杂,如何从全部使用IP环境的DCN过渡到全部使用MPLS VPN环境的DCN成了此次网络升级改造的重点。网络改造期间,网络的平稳运行无论对于市场还是对于业务系统都是至关重要的,由于MPLS VPN技术是对全省DCN网络传输技术的彻底改变,如何在改变网络协议结构的同时让网络仍然健康地运行成为实现MPLS VPN改造的首要问题。
过渡期间最应该考虑的关键三个问题是:
1)在IP环境下,各域间路由的互通问题。实现方法是先将组成DCN的各个IP网络单元以地市为单位逐个改造为MPLS VPN 网络单元,然后逐个与省公司建立MP BGP邻居实现全网MPLS VPN化。
2)受控互访的实现,即做到市公司在同一VPN区域内部互相之间不可见;市公司在同一VPN区域内部可以访问省公司;市公司访问处于不同VPN区域的省公司业务。方案设计中采用HUB-SPOKE方式和对PE、CE层面实施控制来实现。
3)VPN划分与IP地址整理,DCN网络建设前期并未考虑各个应用系统的MPLS VPN划分,因此大多系统混杂在一起,或者接在同一台设备,或者干脆就在同一个网段中,同时还存在生产与管理地址段混用的问题。具体系统混接的问题可以分为三类,地址混用、设备支持能力不足以及第二地址问题。
3 DCN网络改造升级的设计
DCN网络改造解决方案是融合MPLS、VPN和QOS技术的统一解决方案。方案采用MPLS作为承载数据传输的新协议,使用EIGRP作为主干IGP协议,MPLS VPN路由使用MP-IBGP以及路由反射器进行域内传送,省公司采用背对背VRF方式与集团对接。
MPLS需要建立在IGP路由的基础上,IGP协议对MPLS的主要作用就是保证MPLS邻居之间的可达性和MBGP邻居之间的可达性,省骨干网使用的EIGRP协议,地市网络根据自己网络环境使用EIGRP或OSPF协议。所有协议在省网和市网之间重分发。整个网络IGP协议互通。根据整体方案,各PE-CE路由协议保持原OSPF动态路由协议,在PE设备将OSPF路由重分发至MP-BGP。
各业务VPN互访通过防火墙来实现。由于目前将DCN全网业务基本划分为MS、BS、OS和OTHER这四个大的系统,跨系统流量如何导通成为一个较为重要的问题。如果全部使用重叠VPN的方式,一方面增加了维护的复杂度,另一方面违背了建设MPLS VPN的根本目标,重新给各业务系统带来了安全隐患。采用防火墙和重叠VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过MPLS链路上连互访。通过在防火墙上配置严格的安全策略,对各VPN之间流量进行过滤,这样隔离的各MPLS VPN之间可以安全的进行数据通信,这样即解决了各业务系统之间的互通问题,也保证了各业务系统的安全。
综合前面所述,主要采用防火墙和重叠VPN配合方式实现跨域互访,省公司不同域的终端和主机通过省公司防火墙实现跨域互访,地市公司终端或主机需要跨域访问省公司系统,通过地市防火墙连通到不同的域中,然后通过MPLS链路上连互访。
将各业务VPN为HUB-SPOKE模式,即各地市业务系统仅可与省中心进行通信,相互之间不可见,不能进行相互访问。
在省公司和地市公司核心路由器连接防火墙,将防火墙的不同端口接入到不同VPN域中。在防火墙上根据各VPN业务的访问需求作相应的访问控制,各VPN业务之间通过防火墙进行访问。
4 MPLS VPN对DCN网络的重要意义
由于应用系统整合方向是集团公司集中和省公司集中。集团、省集中应用系统通过DCN网络进行信息交互,而应用系统整合除功能整合外,其物理整合和集中的形势则表现为集中的企业数据中心,MPLS升级的重要意义体现在:
1)全网络覆盖:应用系统整合后,系统集中统一部署服务器,满足地市、县客户端远程访问省级应用系统服务器,集团公司级应用系统和省级应用系统之间有信息交互的应用需求。
2)系统受控安全互访需求:企业运作需要,不同应用系统间又有互访的要求。例如:营帐综合客户端,处于办公网,兼顾办公和营帐工作,需访问营帐系统;网管综合客户端,兼顾网管工作和办公管理、资源管理、工单、故障单工作,经常在两网间切换;因此需要DCN网络进行安全隔离的同时,支持系统间受控互访,通过用户身份识别、访问授权、隧道加密、安全策略部署等技术保证被访系统的安全。
3)可用性要求:随着信息化建设的深入,系统功能将逐步得到完善,传送的信息内容将日趋丰富,VPN颗粒将趋向细化,VPN拓扑将日益复杂,对现有企业网络的交换容量、处理能力、链路连接能力以及VPN支持能力是网络规划建设中必需着重考虑的问题。
4)可靠性要求:DCN网络承载着企业运作所需的重要应用和数据,在整个信息化系统中起到中枢神经的作用,网络故障将影响企业正常运作。信息系统整合将导致地域性和功能性集中化程度的提高,从而增加了对DCN网络的依赖。必需充分考虑网络高可靠性,避免网络设备和链路的单点故障,保证关键应用系统的访问和接入,保证作为应用系统核心的企业数据中心的高效可靠的连接。
5)服务质量要求:DCN网络是在同一物理网络上承载多个相对独立的业务系统,各业务系统为不同的职能部门开展业务提供服务,其数据流程和管理方式都存在差异,不同业务系统,需要网络平台提供差别服务,如对带宽、实时性有不同的要求,网络必须具备带宽管理、资源预留、服务等级设置的能力。
在保证DCN网络安全运行的前提下,有步骤、分阶段实施MPLS改造,并按照规划设计应用RT策略实现各系统互访受控与隔离。目前,改造后的DCN网络运行状况良好。
在实现MPLS VPN后,受控互访则变得相对轻松,仅仅需要在各个MPLS VPN路由环境之间的数据通道上部署防火墙即可对各VPN间也就是各应用系统间的访问进行控制。随着受控互访的实现,全覆盖、可用、可靠、优化传输以及可管理等周边需求的实现也变得比较容易。一张实体物理网、虚拟多业务网,采用MPLS VPN隔离各类业务系统,骨干以现有DCN骨干网为基础构建,接入网采用灵活的方式到终端。独立统一的一张实体物理网,满足企业内部应用的承载需求。虚拟多业务网,统一的业务隔离、受控互访机制和统一的VPN业务接入机制。
5 结束语
MPLS VPN网络改造的实现,极大的提高的DCN网络的安全性,为前台营业、办公OA、运维网络监控等各项不同的业务网络应用提供可靠地保证。
参考文献:
[1] 范亚芹,张丽翠,宋维刚.可提供MPLS VPN网络安全性保障的解决方案[J].吉林大学学报:信息科学版,2005(03).
论文关键词:VPN;供电企业;信息化
论文摘要:县级供电企业在推进信息化过程中,普遍存在着成本过大,安全系数较低以及建设周期长等问题。结合庐江供电公司在开展城乡营销管理信息化建设中出现的问题进行分析,提出利用VPN实现全公司网络互联的解决方案,并分析了下一步信息化的主攻方向。
0引言
随着电力信自、化水平的不断提高,县级供电企业综合管理信息系统开始逐步建立,但基层变电站、乡镇供电听与供电公司局域网联网问题严重地制约着县级供电企业信息系统实用化水平的发展和信息资源的充分有效利用,这与供电企业管理发展的目标追求以及客户的需求是极不适应的。由于乡镇供电所信息化建设工作受地形、人员素质、资金投人等因素影响,解决远程站点联网问题成为县级供电企业信自、网络建设中的突出矛盾。
1庐江供电公司信息化建设现状
安徽庐江供电公司的信息化上作起步较晚,供电公司总部于X004年实现了生产M I S与办公自动化OA的单轨制运行,总部信息化运行提高了企业的整体管理水平和办公效率。如今,庐江供电公司总部已运行的信息系统有:生产管理系统、办公自动化系统、档案管理系统、Web系统、财务管理系统,现有的服务器包括:生产服务器、办公自动化服务器、档案服务器、Web服务器、财务服务器。力、公用微机80多台,每位管理人员以及每个班组都配有微机。
在实施信息化建设与管理中,深深体会到庐江供电公司信息化建设不仅可降低财务管理、物资管理、项目管理、资料管理等方面的管理成本,并在生产管理中可将所有设备信息进行分类编号,输人数据库,实行设备、设施缺陷管理,科学地制定缺陷检修计划,提高设备运行可靠度,降低故障率,提高供电可靠性;同时,庐江供电公司的营销管理信息系统建有业扩子系统、电量电费f系统、用电检查子系统、综合查询系统,通过这些系统,可方便与客户的交流、沟通,节约成本开支,实现科学化营销流程管理。这些管理信息系统的应用,加强J’企业的规范化管理,增强了管理的科学化水平,减轻了工作人员的负担,提高了企业的经济效益。
为此,庐江供电公司加入了乡镇供电所营销MIS应用系统的推进力度,进一步减轻了抄表人员的负担,缩短了开票时间,加强了电费电价的控制与管理,提高了营销管理自动化水平。全县17个乡镇供电听,都使用同一版本的营销MIS应用系统。舟个供电听都有3台以上的微机,其中1台所长用于日常办公,另外2台分别作为用电MIS系统的服务器与客户端,并兼为所里其他工作人员办公使用。其中,已有10个供电所可利用变电站的光纤系统,与庐江供电公司总部实现网络互联,提高了工作效率,节省了开支。其余7个供电所仍不能够实现信息化共享,这些供电所非常希望尽快网络互联。
2采用VPN方案推进供电所信息化建设进程
这些供电所若使用以前的光纤联网方式,不仅投资大,施工工期长,而且日后的维护量也多。考虑到以上原因,为尽快解决其余7个光纤未开通的乡镇供电所的网络互联问题,达到信息、共享,推广乡镇供电所的营销MIS系统应用,公司决定采用虚拟局域网(VPN),在现有设备基础上,进行简单的改造。通过在VPN网关中配置7个供电所的用户、密码以及访问策略,并分别在7个供电所安装VPN客户端,安装公司的MIS应用系统,实现全公司网络互联。VPN技术实际上就是综合利用包封装技术、加密技术、密钥交换技术、PKI技术,可以在公用的互联网上建立安全的虚拟专用网络(VPN , Virtual Private Network ) 。 VPN是一个被加密或封装的通信过程,该过程把数据安全地从一端传送到另一端,这里数据的安全性由可靠的加密技术来保障,而数据是在一个开放的、没有安全保障的、经过路由传送的网络上传输的。VPN技术能够有效解决信息安全传输中的“机密性、完整性、不可抵赖性”问题。
3方案效果比较
对2种方案的可能性进行了比较,如图1所示。如果庐江供电公司全部运用光纤法来实现供电所的网络互联,每个供电所的材料费、施工费按3.5万元,施工工期10天计算,7个供电所就需要3.5 x 7=24.5万元,需要10 x 7=70天。若这7个供电所采用VPN方案,只需要购买VPN网关1台,价值3.5万元和7个客户端钥匙,价值7 x 480=3360元,5天内就能完成7个供电所安装。因此,应用VPN方案,庐江供电公司就能节省资金达24 . 5-3 . 836=20.664万元,缩短工期65天,取得的直接效益是显着的,并省去了今后光纤线路维护所需要工作量。
现在,这7个乡镇供电所均可利用VPN方案安全可靠地登陆公司局域网,在局域网下载内容的速度可达350 kb/s,生产MIS系统响应时间为2--3 s,办公自动化系统浏览公司收发的文件、接受电子邮件的时间因文件的大小不同而有所差别,1 MB的文件大约需要8 s。由于ADSL是非对称数字环路,所以发送电子邮件的速度要慢得多,1 MB的文件大约需要18s。从VPN方案运行效果来看,完全能够满足庐江供电公司网络发展及MIS系统应用的需要。
4下一步信息化建设的主攻方向
目前,庐江供电所信息化还处于初级阶段,对电力企业信息化建设的目标还没有完全形成统一的管理标准;同时,庐江供电公司在实施VPN技术后,也清楚地看出:VPN是一种虚拟专用网络,而不是一种真正的专用网络。因此,庐江供电公司打算设立严格的管理制度,包括严格的权限管理,无关人员无权查看、改动数据,VPN客户端的用户与密码管理等,建立起一套计算机管理操作等规章制度,使整个网络安全有序地运行。此外,该公司今后还将加大对供电所使用人员的计算机培训力度,包括计算机知识在内的应用培训,促进操作人员更好地使用软件,提高操作人员计算机水平,也为计算机应用在企业内部得到更好地发展起到一定的推动作用,并充实培养供电听计算机网络管理人员、信息安全管理人员,把信息化建设中的培训工作贯穿始终,进而拓宽信息化的覆盖面,保证信息、化工作的健康发展,让VPN技术更好地为庐江供电公司信息化、专业化、现代化服务。
【关键词】计算机网络;信息安全;防火墙;安全技术
随着计算机互联网技术的飞速发展,网络信息化在给人们带来种种物质和文化享受的同时,我们也正受到日益严重的来自网络的安全威胁。尽管我们已经广泛地使用各种复杂的安全技术,但是,仍然有很多黑客的非法入侵,对社会造成了严重的危害。针对各种来自网络的安全威胁,怎样才能确保网络信息的安全性。本文通过对网络安全存在的威胁进行分析,总结出威胁网络安全的几种典型表现形式,进而归纳出常用的网络安全的防范措施。
一、计算机网络安全存在的隐患
众所周知,Internet是开放的,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
1.每一种安全机制都有一定的应用范围和应用
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
2.安全工具的使用往往受到人为因素的影响
一个安全工具能不能实现效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。比如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。
3.系统的后门和木马程序
从最早计算机被入侵开始,黑客们就已经发展了“后门”技术,利用后门技术,他们可以再次进入系统。后门的功能主要有:使管理员无法阻止;种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少的时间。木马,又称特洛伊木马,是一类特殊的后门程序,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
4.只要有程序,就可能存在BUG
任何一款软件都或多或少存在漏洞,甚至连安全工具本身也可能存在安全的漏洞。这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。
二、计算机网络安全的防护策略
尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全:
1.防火墙技术
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
2.数据加密
采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。主要存在两种主要的加密类型:私匙加密和公匙加密。
3.虚拟专用网(VPN)技术
虚拟专用网(VPN)技术利用现有的不安全的公共网络建立安全方便的企业专业通信网络,使数据通过安全的“加密管道”在公共网络中,是目前解决信息安全问题的一个最新、最成功的技术课题之一。在公共网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。VPN有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。由于VPN技术可扩展性强,建立方便,具有高度的安全性,简化了网络技术和管理,使费用降到最低,因而,逐渐成为通用的技术。
4.入侵检测系统
入侵检测技术是为保证系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测中违反安全策略行为的技术。它是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。本论文从多方面描述了网络安全的防护策略,比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。
参考文献:
[1]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003
关键词:IP网络 VPN 信息安全
中图分类号:TN711 文献标识码:A 文章编号:
随着信息技术的飞速发展和IP网用户数量的迅猛增加以及多媒体应用需求的不断增长,人们对IP网提高带宽的渴望越来越强。
初期的Internet仅提供文件传输、电子邮件等数据业务,如今的Internet集图像、视频、声音、文字、动画等为一体,即以传输多媒体宽带业务为主,由此Internet的发展趋势必然是宽带化向宽带IP网络发展,宽带IP网络技术应运而生。
所谓的宽带IP网络是指Internet的交换设备、中继通信线路、用户接入设备和用户终端设备都是宽带的,通常中继线带宽为每秒数吉比特至几十吉比特,接入带宽为1~100Mbit/s。在这样一个宽带IP网络上能传送各种音视频和多媒体等宽带业务,同时支持当前的窄带业务,它集成与发展了当前的网络技术、IP技术,并向下一代网络方向发展。
当今年代,IP网络的覆盖范围如此广泛、网络规模如此庞大、用户数量如此之多、业务传输如此频繁,保障其安全性显然是至关重要的。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从内容看网络安全大致包括4个方面,即网络实体安全、软件安全、数据安全及安全管理。从其本质上来讲主要就是网络上的信息安全,即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。
宽带IP网络面临的安全性威胁分为两大类:被动攻击和主动攻击。被动攻击中,攻击者只是观察和分析某一个协议数据单元,不对数据信息做任何修改,所以根本不会留下痕迹或留下的痕迹很少,因而一般都检测不出来,对付被动攻击可以采用数据加密技术。主动攻击是更改信息和拒绝用户使用资源的攻击,攻击者对某个连接中通过的协议数据单元进行各种处理。这类攻击可分为篡改、伪造、中断和抵赖。主动攻击可采取适当的措施检测出来,而要有效的防是十分困难的。对付主动攻击需要将数据加密技术与适当的鉴别技术相结合。另外还有一种特殊的主动攻击就是恶意程序,如计算机如冲、特洛伊木马和逻辑炸弹。
宽带IP网络安全服务的基本需求包括保密性、完整性、可用性、可控性和不可否认性。
为了满足网络信息系统安全的基本要求,加强网络信息系统安全性,对抗安全攻击,可采取数据加密、数字签名、鉴别、设置防火墙等一系列措施。
为了保证数据信息的保密性和完整性,要对数据信息进行加密,数据加密的密码体制分为常规密钥和公开密钥两种密码体制,从网络传输的角度看,有两种不同的加密策略:链路加密和端到端加密。两种加密策略各有优缺点,一般将链路加密和端到端加密结合起来使用,以获得更好的安全性。
保证网络安全的另外一个重要措施就是设置防火墙,防火墙是一种位于两个网络间、实施网络之间访问控制的组件集合,防火墙的网络称为“可信赖的网络”,而将外部Internet 称为“不可信赖的网络”。
防火墙可以从不同角度分类,根据物理特性可分为硬件防火墙和软件防火墙,但是由于软件防火墙自身属于运行于系统上的程序,不可避免地需要占用一部分CPU资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失。因此,许多网络更侧重于硬件防火墙作为防御措施。
以上介绍了保障IP网络安全的一些措施,在不安全的公共网络上建立一个安全的专用通信网络VPN也称得上是实现管好全性的一项举措。
VPN虚拟专网是虚拟私有网络的简称,安是一种利用公共网络,来构建的私有专用网络,VPN将给企业提供集安全性、可靠性和可管理性于一身的私有专用网络。
VPN的目标是在不安全的公共网络上建立一个安全的专用通信网络,在降低费用的同时保障通信的安全性,即构建在公共数据网络上的VPN将像当前企业私有的网络一样提供安全性、可靠性和可管理性。VPN利用严密的安全措施和隧道技术来确保数据专有、安全地在公网上传输。目前Internet已成为全球最大的网络基础设施,几乎延伸到世界的各个角落,于是基于Internet的IP VPN技术越来越受到关注,IETF对基于IP的VPN的定义为“使用IP机制仿真出一个私有广域网”。
IP VPN按接入方式划分可分为专线VPN和拨号VPN,专线VPN是为已经通过专线接入ISP边缘路由器的用户提供的VPN解决方案,是一种“永远在线”的VPN。拨号VPN又称VPDN,它是向利用拨号PSTN或ISDN接入ISP的用户提供的VPN业务,是一种“按需连接”的VPN。因为这种VPN的用户一般是漫游用户,因此VPDN通常需要做身份认证。按协议实现类型还可以分为采用第二层隧道协议的VPN和采用第三层隧道协议的VPN。还可以按VPN的发起方式、服务类型、承载主体等多种方式进行划分。
构成IP VPN的主要设备有IP安全隧道和VPN设备。内部网LAN1发送者发送明文信息到连接公共网络的源VPN设备,源VPN设备首先进行访问控制,确定是否需要对数据进行加密或让数据直接通过或拒绝通过。对需要加密的IP数据报进行加密,并附上数字签名以提供数据报鉴别。VPN设备依据所使用的隧道协议,重新封装加密后的数据,此数据通过IP安全隧道在公共网络上传输。当数据报到达目的的PVN设备时,首先根据隧道协议数据报被解除封装,数字签名被核对无误后数据报被解密还原成原明文,然后目的VPN设备根据明文中的目的地址对内部网LAN2中的主机进行访问控制,在核对无误后将明文传送经LAN2中的接收者。
VPN的隧道技术是构建VPN的关键技术,广义的隧道包括隧道启动节点、隧道终止点和承载隧道的IP网络。按照工作的层次,隧道协议可分为两类:二层隧道协议和三层隧道协议。三层隧道协议主要有两种:RFC1701通用路由封装协议和IETF制定的IP层加密标准协议IPSec协议。二层隧道协议主要有三种,点对点隧道协议(PPTP)、二层转发协议(L2F)和二层隧道协议(L2TP)。二层隧道协议简单易行,但扩展性差且提供内在的安全机制安全强度低,主要应用于构建拨号VPN,而三层隧道协议安全性、可扩展性、可靠性较强,两者通常结合使用。
关键词:虚拟专用网 IP隧道 网络电话
中图分类号:TP393.1 文献标识码:A 文章编号:1672-3791(2013)03(b)-0039-03
虚拟专用网(VPN)作为一种安全而有效的商用通信技术,在网络内部有着专线一样的加密性,又没有专线那样高的费用,因此得到广泛的应用。虚拟专用连接的业务类型较单一,因此VPN增值服务对多媒体实时应用提出了内在要求。随着VPN应用和VOIP应用的日益广泛,能不能将VPN技术和VOIP技术结合起来,将VOIP应用拓展到VPN中从而拓展了VPN技术的应用领域,为VPN增值服务提供新的增长点。
1 VPN简介及优势介绍
VPN是Virtual Private Network的缩写,即虚拟专用网。简单地说,VPN即是指在公众网络上所建立的企业网络,并且此企业网络拥有与专用网络相同的安全、管理及功能等特点,它替代了传统的拨号访问,利用Internet公网资源作为企业专网的替代和补充,节省昂贵的长途费用。
VPN网络具有较好的安全性,以多种方式增强了网络的智能和安全性。专业的VPN产品都对远端用户的接入提供了非常严格的身份检测和认证机制,确保用户的合法性。另外,VPN通过加密协议的采用实现了对传输数据的封装,避免数据的明文传送带来的安全隐患。
企业用户可以使用VPN替代租用线路来实现分支机构的连接。网络容量容易扩展,借助VPN,企业可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。
2 VOIP的关键技术
VOIP是Voice over Internet Protocol的缩写,指的是将模拟的声音信号经过压缩与封包之后,以数据封包的形式在IP网络的环境进行语音信号的传输,通俗来说也就是互联网电话或者简称IP电话的意思。
VOIP的基本原理是:通过语音的压缩算法对语音数据编码进行压缩处理,然后把这些语音数据按TCP/IP标准进行打包,经过IP网络把数据包送至接收地,再把这些语音数据包串起来,经过解压处理后,恢复成原来的语音信号,从而达到由互联网传送语音的目的。IP电话的核心与关键设备是IP网关,它把各地区电话区号映射为相应的地区网关IP地址。这些信息存放在一个数据库中,数据接续处理软件将完成呼叫处理、数字语音打包、路由管理等功能。
采用IP网络承载话音业务与传统的电话业务相比存在着诸多的优势。VOIP可以使电话物理网络和Internet或IP物理数据网络合二为一,有效地简化通信系统,减低系统成本和管理成本;利用IP分布式的、灵活而可扩展的通信方式,以及VOIP所提供的新功能可以使企业、雇员、合作伙伴和客户更灵活而有效的沟通;VOIP可以使话音应用与原有的数据业务应用有机的融合在一起,开创新一代业务应用。
3 VOIP的基本传输过程
为了在一个IP网络上传输语音信号,要求几个元素和功能。最简单形式的网络由两个或多个具有VOIP功能的设备组成,这一设备通过一个IP网络连接。VOIP设备把语音信号转换为IP数据流,并把这些数据流转发到IP目的地,IP目的地又把它们转换回到语音信号。两者之音的网络必须支持IP传输,且可以是IP路由器和网络链路的任意组合。因此可以简单地将VOIP的传输过程分为下列几个阶段。
3.1 语音-数据转换
语音信号是模拟波形,通过IP方式来传输语音,不管是实时应用业务还是非实时应用业务,首先要对语音信号进行模拟数据转换,也就是对模拟语音信号进行8位或6位的量化,然后送入到缓冲存储区中,缓冲器的大小可以根据延迟和编码的要求选择。许多低比特率的编码器是采取以帧为单位进行编码。
3.2 原数据到IP转换
一旦语音信号进行数字编码,下一步就是对语音包以特定的帧长进行压缩编码。大部份的编码器都有特定的帧长,若一个编码器使用15 ms的帧,则把从第一来的60 ms的包分成4帧,并按顺序进行编码。每个帧合120个语音样点(抽样率为8 kHz)。编码后,将4个压缩的帧合成一个压缩的语音包送入网络处理器。网络处理器为语音添加包头、时标和其它信息后通过网络传送到另一端点。语音网络简单地建立通信端点之间的物理连接(一条线路),并在端点之间传输编码的信号。
3.3 传送
在这个通道中,全部网络被看成一个从输入端接收语音包,然后在一定时间(t)内将其传送到网络输出端。
3.4 IP包-数据的转换
目的地VOIP设备接收这个IP数据并开始处理。网络提供一个可变长度的缓冲器,该缓冲器可容纳许多语音包。其次,解码器将经编码的语音包解压缩后产生新的语音包,这个模块也可以按帧进行操作,完全和解码器的长度相同。若帧长度为15 ms,是60 ms的语音包被分成4帧,然后它们被解码还原成60 ms的语音数据流送入解码缓冲器。在数据报的处理过程中,去掉寻址和控制信息,保留原始的原数据,然后把这个原数据提供给解码器。
3.5 数字语音转换为模拟语音
播放驱动器将缓冲器中的语音样点(480个)取出送入声卡,通过扬声器按预定的频率(例如8 kHz)播出。简而言之,语音信号在IP网络上的传送要经过从模拟信号到数字信号的转换、数字语音封装成IP分组、IP分组通过网络的传送、IP分组的解包和数字语音还原到模拟信号等过程。
4 网络电话技术的信令协议浅析
与VOIP相关的网络技术协议很多,常见的有控制实时数据流应用在IP网络传输的RTP和RTCP;有保证网络QoS质量服务的RSVP和IP different Service等,还有传统语音数字化编码的一系列协议如G.711、G.728、G.723、G.729等等。这里我们要讨论信令(signaling)协议,在网络电话系统基础组成部分之间如何进行呼叫控制与交换的标准规程。
4.1 H.323
由ITU-T工业标准组织为VOIP制定的标准化信令协议,定义为基于包交换的多媒体传输系统。H.323结构体系由H.323终端、网关、关守和多点控制单元MCU组成。H.323的目标是可以使H.323的节点之间交换媒体数据流。
4.2 SIP(Session Initiated Protocol)
SIP是IETF定义多媒体数据和控制体系结构中的重要组成部分。SIP是一种信令协议,用来建立、修改和终结多媒体会话。它还结合其他几个IETF的协议SDP、RSVP和SAP协同工作,一般采用RTP/RTCP协议进行传输控制。
4.3 MGCP(Media Gateway Control Protocol)和Megaco/H.248
用来控制媒体网关通信的协议。在企业VOIP网络与电信运营商VOIP服务网络相连接的网关系统上支持。
5 基于WINDOWS 2003的VPN语音传输
本文实现环境为ADSL下使用路由器,然后在路由器下面的一台主机作为VPN服务器。网络拓扑结构如图1。
5.1 获取VPN服务器的地址
花生壳是完全免费的桌面式域名管理和动态域名解析(DDNS)等功能为一体的客户端软件。本例是通作在ADSL猫之后又使用了桌面路由器接入Internet的,通过这种方式一定要在路由器中作端口映射,由于windows 2003的VPN服务用的是1723端口,将1723端口映射到192.168.0.5这台设有VPN服务的机器。然后,在访问策略中要允许VPN通过路由器。由于路由器支持DDNS,所以填入申请的花生壳账号和密码,这样省去了在VPN服务器上安装花生壳的麻烦,这样,在网络上访问域名yangc 的时候,Internet自动就找到了这台路由器,并通过端口映射把地址映射到了VPN服务器。
5.2 WINDOWS 2003中配置VPN
选择“开始”“所有程序”“管理工具”“路由和远程访问”,打开路由和远程访问的配置界面,在配置中选择“远程访问(拨号或VPN)”,在远程访问中选择“VPN”,在IP地址指定中选择“来自一个指定的地址范围”,这里添加一个范围,即VPN连接的客户端拨入的时候使用的地址,比如从“10.0.0.100”到“10.0.0.110”。RADIUS服务器配置比较复杂,这里由于对安全性不高,所以在管理多个远程访问服务器中,选择使用路由和远程访问自己的认证方式进行鉴权。要登录到VPN服务器,必须要知道该服务器的一个有拨入权限的用户,打开计算机管理页面,在本地用户和组里边新建一个用户,给这个用户远程登录的权限,一定要在“远程访问权限”处选择“允许访问”,不然就无法登录。创建好了账号之后,点击账号属性,授予账号远程拨入的权限。
5.3 VPN客户端的设置
先用本机测试过程如下:右键“网上邻居”“属性”,打开网络连接后点击“新建连接向导”。
打开新建连接向导,选择“连接到我的工作场所的网络选项”要建立的是VPN, “虚拟专用网络连接”。公司名只起到识别网络连接的作用,这里,填入VPN。因为现在做的是本机的测试,所以填入的IP地址为本机的地址192.168.0.5,用户VPN就是刚才新建的用户。在可用连接中选择“任何人使用”点击完成之后出现了(如图2)的界面,填入有远程接入权限的账号密码。
到这里,基于PPTP的连接就建立完成了。打开CMD窗口,使用IPCONFIG/ALL的命令查看网络连接,会看见三个网卡,其中一个IP地址为192.168.0.5的就是本机网卡,另外两个是刚才做本机测试时建立的,它们的IP地址为10.0.0.xxx,这是VPN默认的IP地址连接的拨入地址和播出地址。
上面的服务器中的测试完成后,就可以在任何有Internet接入的地方进行远程连接了,其过程和在本机连接测试的过程一样,在实际连接时到“连接VPN”这一步时,输入VPN服务器所在的公网IP,因为是动态的IP,所以填入DDNS,即激活了花生壳动态域名解析服务的域名。
5.4 实现IP语音
本论文使用了小小程序员编写的局域网语音视频工具。界面(如图3),这个软件的缺点是必须知道要通话方的IP地址。
如果是LAN环境,填入IP,这里使用在VPN环境,所以要使用VPN连接获取到的IP地址。可以用IPCONFIG获得。(如图4)显示,VPN连接获取的IP为169.254.157.53。
打开软件之后,填入要连接的IP地址,如果网络正常,就会有连接成功的提示,之后,就可以向对方发送语音了,发送之后,对方只要接受就可以听到语音(如图5)。
6 结论
本文先介绍了VPN的种类,常见的加密协议等,然后对VOIP进行了详尽的介绍,最后在WINDOWS 2003 SERVER组建的VPN环境中成功的实现了语音的传输。文中使用花生壳解决了ADSL拨号上网IP不固定的问题,使用端口映射解决了VPN服务器在虚拟LAN环境不能直接从Internet访问的问题,达到了预期的效果。
参考文献
[1] 高海英,薛元星,辛阳.VPN技术[M].北京:机械工业出版社,2004(4).
[2](美)佩皮贾克.MPLS和VPN体系结构CCIP版[M].赵斌,译.北京:人民邮电出版社,2003(4).
[3]Marcus Goncalves.IP网络语音技术[M].北京:机械工业出版社,1999(11).
论文关键词:SSL;SSLVPN;远程接入
1引言
打造远程安全接入平台,一直是网络远程访问的迫切需求。当前,众多的安全协议(如PPTP.L2TP.IPSec和MPLS)各具特色并侧重于不同的方面,但能同时结合简易、安全两项特性的则非SSL莫属,SSLVPN是平衡访问自由度和安全性的出色解决方案。
2SSL
安全套接层(SecureSocketsLayer,SSL)是Netscape于1994年提出的基于Web应用的安全协议,它介于HTTP及TCP之间,高层协议可以透明地运行在该协议之上,它指定了一种在应用程序协议和丁CP/IP协议之间提供数据安全性分层的机制,能为丁CP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。其安全连接基于握手协议、记录协议和警告协议来完成。
3SSLVPN主要特点
(1)高安全性:SSL安全通道可确保端到端真正安全可靠的连接,能有效保证信息的真实性、完整性和保密性。
(2)高易用性:无需客户端的安装和配置,对终端系统具有良好的兼容性。
(3)高性价比:不需要配置,易于部署及管理,可有效降低网络配置成本。
(4)高可扩展性和兼容性:可随时添加需要VPN保护的服务器,并适用于大多数设备。
(5)高效的资源控制能力:可区分用户设置访问权限,实现区分对待的资源控制策略。
4SSLVPN应用优势
随着军队院校网络信息化建设的推进,实际应用中面临着越来越多的跨地域、跨部门的数据传递,以及大量的远程访问内网的需求。例如跨地域的会商研讨、数据采集、资料检索、分支部门和下属机构的机要信息交换等。根据这些需求和实际情况,下面主要从SSLVPN和IPSecVPN对比出发,全面衡量SSLVPN的优势。
(1)谨慎灵活的接入认证策略。在远程接入过程中,用户身份验证是整个过程的第一环,也是最重要的一环,如果不能有效识别用户的身份,使得非法用户接入,将给内部网络带来极大的安全隐患。
SSLVPN提供对所传送数据的加密、认证和发送源的身份认证,支持将多种身份识别方式进行组合,一般包括USB-Key、硬件特征码、数字证书、动态令牌、短信认证等,而且可以对访问权限进行严格的等级划分,实现不同用户对于不同应用程序的控制。
(2)稳妥有效的数据保护策略。因为SSLVPN接入的是内部网络的应用,而不是整个网络,并限制了非Web端口的访问,使得部分文件操作功能不易实现,这实际上也起到了相应的保护功能。同时,SSL网关隔离了内部服务器和客户端,客户端的大多数病毒木马感染不到内网服务器。而IPSecVPN实现的是IP级别的访问,使得局域网能够传播的病毒,通过VPN也能够传播,极易导致内部网络的防病毒策略形同虚设。一旦恶意IPSecVPN用户获得权限通过了网关,无疑会给内网带来灾难性的后果,但SSLVPN大大减弱了类似的风险。
[论文关键词] 电子商务 信息安全 信息安全技术 数字认证 安全协议
[论文摘 要]电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
随着网络的发展,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,愈来愈受到国际社会的高度关注。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、DTS 收到文件的日期与时间和DIS 数字签名,用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS 在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
用过Internet,企业可以从异地取回重要数据,同时又要面对 Internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。
2. VPN技术
虚拟专用网简称VPN,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠IPS或 NSP在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于 Internet 安全传输重要信息的效应。目前VPN 主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 Internet 上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它识别彼此的身份。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献
[1] 劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005.
[2] 赵泉.网络安全与电子商务[M].北京:清华大学出版社,2005.