序言：寫作是分享個人見解和探索未知領域的橋梁，我們為您精選了8篇的vpn技術論文樣本，期待這些樣本能夠為您提供豐富的參考和啟發，請盡情閱讀。

第1篇

關鍵詞：vpn,MPLS,BGP,WAN

隨著廣域網(WAN)的應用需求不斷增長，通信運營商競爭不斷加劇，新的WAN的解決方案必須在降低實施、運營成本的同時，提供更快的響應時間、更好的服務質量（QoS）以及足夠的安全性。VPN技術的出現，滿足了市場需求。

傳統的解決方案是采用搭建物理鏈路的專網，VPN采用在公共IP網絡商構建企業IP虛擬專網。MPLS-VPN能夠在提供原有VPN網絡所有功能的同時，提供強有力的QoS能力，具有可靠性高、安全性高、擴展能力強、控制策略靈活以及管理能力強大等特點。

1．技術分析1:VPN虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。

如此需要迫切解決的兩個問題：

一：動態創建隧道。通過MPLS協議解決了這個問題。

二：路由沖突問題。通過BGP協議解決了這個問題。

2:MPLSMPLS（Multi Protocol Label Switch：多協議標簽交換）提供了快速包轉發和動態建立隧道的技術。論文大全。MPLS是基于標記的IP路由選擇方法。這些標記可以被用來代表逐跳式或者顯式路由，并指明服務質量(QoS)、虛擬專網以及影響一種特定類型的流量(或一個特殊用戶的流量)在網絡上的傳輸方式等其它各類信息。MPLS的報文Head結構如下圖：

第2篇

論文摘要：MPLS技術提供了類似于虛電路的標簽交換業務，可以實現底層標簽自動的分配，在業務的提供上比傳統的VPN技術更廉價，更快速和安全的數據傳輸。同時MPLS VPN可以充分利用MPLS技術的一些先進特性，提供流量工程能力、服務質量保證等。DCN網絡作為公司內部各營業、辦公、網管、運維等各信息系統承載的網絡平臺，在應用系統整合的大趨勢下，對網絡健壯性、安全性及可控制管理性都提出了更高的要求。MPLS VPN正是在這樣的環境背景下，成為DCN網絡改造的必然。

隨著公司的不斷發展，DCN網上承載的業務系統不斷增多，除“97”系統外，還有如網管集中監控系統、電源監控系統、客服系統、OA等及融合后3G網管系統等，有些應用系統對安全性要求較高比如OA和財務，有些系統對帶寬和網絡質量（QoS）要求較高。現有的網絡不能滿足“分而治之”的企業運作管理需要。由于信息系統集中整合的需要，實施此次MPLS升級改造。通過本次改造工程的實施，優化網絡結構，提高網絡的安全性、可靠性及整個DCN網的服務質量。由一張實體物理網實現虛擬多業務網，采用MPLS VPN隔離各類業務系統，骨干以現有DCN骨干網為基礎構建，接入網采用靈活的方式到終端，滿足企業內部應用的承載和安全需求。最終，DCN網絡中的終端與主機須劃入至各自所屬的MPLS VPN域中，實現各個VPN域之間的通信隔離，同時在各個VPN間建立數據通道，部署防火墻對經過數據通道的流量進行訪問控制，實現對不同VPN域的通信數據的有效安全控制。

1 MPLS VPN技術簡介

MPLS VPN是由若干不同的site組成的集合，一個site可以屬于不同的VPN，屬于同一VPN的site具有IP連通性，不同VPN間可以有控制地實現互訪與隔離。

MPLS VPN網絡主要由CE、PE和P等3部分組成：CE(Custom Edge Router，用戶網絡邊緣路由器)設備直接與服務提供商網絡。設備與用戶的CE直接相連，負責VPN業務接入，處理VPN-IPv4路由，是MPLS三層VPN的主要實現者：P(Provider Router，骨干網核心路由器)負責快速轉發數據，不與CE直接相連。在整個MPLS VPN中，P、PE設備需要支持MPLS的基本功能，CE設備不必支持MPLS。

PE是MPLS VPN網絡的關鍵設備，根據PE路由器是否參與客戶的路由，MPLS VPN分成Layer3 MPLS VPN和Layer2 MPLS VPN。其中Layer3 MPLS VPN遵循RFC 2547BIS標準，使用MBGP在PE路由器之間分發路由信息，使用MPLS技術在VPN站點之間傳送數據，因而又稱為BGP/MPLS VPN。在MPLS VPN網絡中，對VPN的所有處理都發生在PE路由器上，為此，PE路由器上起用了VPNv4地址族，引入了RD(Route Distinguisher)和RT(Route Target)等屬性。RD具有全局惟一性，通過將8byte的RD作為IPv4地址前綴的擴展，使不惟一的IPv4地址轉化為惟一的VPNv4地址。VPNv4地址對客戶端設備來說是不可見的，它只用于骨干網絡上路由信息的分發。RT使用了BGP中擴展團體屬性，用于路由信息的分發，具有全局惟一性，同一個RT只能被一個VPN使用，它分成Import RT和Export RT，分別用于路由信息的導入和導出策略。在PE路由器上針對每個site都創建了一個虛擬路由轉發表VRF(VPN Routing & Forwarding)，VRF為每個site維護邏輯上分離的路由表，每個VRF都有Import RT和Export RT屬性。通過對Import RT和Export RT的合理配置，運營商可以構建不同拓撲類型的VPN，如重疊式VPN和Hub-and-spoke VPN。

整個MPLS VPN體系結構可以分成控制面和數據面，控制面定義了LSP的建立和VPN路由信息的分發過程，數據面則定義了VPN數據的轉發過程。在控制層面，P路由器并不參與VPN路由信息的交互，客戶路由器是通過CE和PE路由器之間、PE路由器之間的路由協議交互知道屬于某個VPN的網絡拓撲信息。除了路由協議外，在控制層面工作的還有LDP，它在整個MPLS網絡中進行標簽的分發，形成數據轉發的邏輯通道LSP。在數據轉發層面，MPLS VPN網絡中傳輸的VPN業務數據采用外標簽(又稱隧道標簽)和內標簽(又稱VPN標簽)兩層標簽棧結構。當一個VPN業務分組由CE路由器發給入口PE路由器后，PE路由器查找該子接口對應的VRF表，從VRF表中得到VPN標簽、初始外層標簽以及到出口PE路由器的輸出接口。當VPN分組被打上兩層標簽之后，就通過PE輸出接口轉發出去，然后在MPLS骨干網中沿著LSP被逐級轉發。在出口PE之前的最后一個P路由器上，外層標簽被彈出，P路由器將只含有VPN標簽的分組轉發給出口PE路由器。出口PE路由器根據內層標簽查找對應的輸出接口，在彈出VPN標簽后通過該接口將VPN分組發送給正確的CE路由器，從而實現了整個數據轉發過程。

2 骨干遷移的三個關鍵問題

由于DCN網絡建設時間比較久，網絡結構比較復雜，如何從全部使用IP環境的DCN過渡到全部使用MPLS VPN環境的DCN成了此次網絡升級改造的重點。網絡改造期間，網絡的平穩運行無論對于市場還是對于業務系統都是至關重要的，由于MPLS VPN技術是對全省DCN網絡傳輸技術的徹底改變，如何在改變網絡協議結構的同時讓網絡仍然健康地運行成為實現MPLS VPN改造的首要問題。

過渡期間最應該考慮的關鍵三個問題是：

1）在IP環境下，各域間路由的互通問題。實現方法是先將組成DCN的各個IP網絡單元以地市為單位逐個改造為MPLS VPN 網絡單元，然后逐個與省公司建立MP BGP鄰居實現全網MPLS VPN化。

2）受控互訪的實現，即做到市公司在同一VPN區域內部互相之間不可見；市公司在同一VPN區域內部可以訪問省公司；市公司訪問處于不同VPN區域的省公司業務。方案設計中采用HUB-SPOKE方式和對PE、CE層面實施控制來實現。

3）VPN劃分與IP地址整理，DCN網絡建設前期并未考慮各個應用系統的MPLS VPN劃分，因此大多系統混雜在一起，或者接在同一臺設備，或者干脆就在同一個網段中，同時還存在生產與管理地址段混用的問題。具體系統混接的問題可以分為三類，地址混用、設備支持能力不足以及第二地址問題。

3 DCN網絡改造升級的設計

DCN網絡改造解決方案是融合MPLS、VPN和QOS技術的統一解決方案。方案采用MPLS作為承載數據傳輸的新協議，使用EIGRP作為主干IGP協議，MPLS VPN路由使用MP-IBGP以及路由反射器進行域內傳送，省公司采用背對背VRF方式與集團對接。

MPLS需要建立在IGP路由的基礎上，IGP協議對MPLS的主要作用就是保證MPLS鄰居之間的可達性和MBGP鄰居之間的可達性，省骨干網使用的EIGRP協議，地市網絡根據自己網絡環境使用EIGRP或OSPF協議。所有協議在省網和市網之間重分發。整個網絡IGP協議互通。根據整體方案，各PE-CE路由協議保持原OSPF動態路由協議，在PE設備將OSPF路由重分發至MP-BGP。

各業務VPN互訪通過防火墻來實現。由于目前將DCN全網業務基本劃分為MS、BS、OS和OTHER這四個大的系統，跨系統流量如何導通成為一個較為重要的問題。如果全部使用重疊VPN的方式，一方面增加了維護的復雜度，另一方面違背了建設MPLS VPN的根本目標，重新給各業務系統帶來了安全隱患。采用防火墻和重疊VPN配合方式實現跨域互訪，省公司不同域的終端和主機通過省公司防火墻實現跨域互訪，地市公司終端或主機需要跨域訪問省公司系統，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。通過在防火墻上配置嚴格的安全策略，對各VPN之間流量進行過濾，這樣隔離的各MPLS VPN之間可以安全的進行數據通信，這樣即解決了各業務系統之間的互通問題，也保證了各業務系統的安全。

綜合前面所述，主要采用防火墻和重疊VPN配合方式實現跨域互訪，省公司不同域的終端和主機通過省公司防火墻實現跨域互訪，地市公司終端或主機需要跨域訪問省公司系統，通過地市防火墻連通到不同的域中，然后通過MPLS鏈路上連互訪。

將各業務VPN為HUB－SPOKE模式，即各地市業務系統僅可與省中心進行通信，相互之間不可見，不能進行相互訪問。

在省公司和地市公司核心路由器連接防火墻，將防火墻的不同端口接入到不同VPN域中。在防火墻上根據各VPN業務的訪問需求作相應的訪問控制，各VPN業務之間通過防火墻進行訪問。

4 MPLS VPN對DCN網絡的重要意義

由于應用系統整合方向是集團公司集中和省公司集中。集團、省集中應用系統通過DCN網絡進行信息交互，而應用系統整合除功能整合外，其物理整合和集中的形勢則表現為集中的企業數據中心，MPLS升級的重要意義體現在：

1）全網絡覆蓋：應用系統整合后，系統集中統一部署服務器，滿足地市、縣客戶端遠程訪問省級應用系統服務器，集團公司級應用系統和省級應用系統之間有信息交互的應用需求。

2）系統受控安全互訪需求：企業運作需要，不同應用系統間又有互訪的要求。例如：營帳綜合客戶端，處于辦公網，兼顧辦公和營帳工作，需訪問營帳系統；網管綜合客戶端，兼顧網管工作和辦公管理、資源管理、工單、故障單工作，經常在兩網間切換；因此需要DCN網絡進行安全隔離的同時，支持系統間受控互訪，通過用戶身份識別、訪問授權、隧道加密、安全策略部署等技術保證被訪系統的安全。

3）可用性要求：隨著信息化建設的深入，系統功能將逐步得到完善，傳送的信息內容將日趨豐富，VPN顆粒將趨向細化，VPN拓撲將日益復雜，對現有企業網絡的交換容量、處理能力、鏈路連接能力以及VPN支持能力是網絡規劃建設中必需著重考慮的問題。

4）可靠性要求：DCN網絡承載著企業運作所需的重要應用和數據，在整個信息化系統中起到中樞神經的作用，網絡故障將影響企業正常運作。信息系統整合將導致地域性和功能性集中化程度的提高，從而增加了對DCN網絡的依賴。必需充分考慮網絡高可靠性，避免網絡設備和鏈路的單點故障，保證關鍵應用系統的訪問和接入，保證作為應用系統核心的企業數據中心的高效可靠的連接。

5）服務質量要求：DCN網絡是在同一物理網絡上承載多個相對獨立的業務系統，各業務系統為不同的職能部門開展業務提供服務，其數據流程和管理方式都存在差異，不同業務系統，需要網絡平臺提供差別服務，如對帶寬、實時性有不同的要求，網絡必須具備帶寬管理、資源預留、服務等級設置的能力。

在保證DCN網絡安全運行的前提下，有步驟、分階段實施MPLS改造，并按照規劃設計應用RT策略實現各系統互訪受控與隔離。目前，改造后的DCN網絡運行狀況良好。

在實現MPLS VPN后，受控互訪則變得相對輕松，僅僅需要在各個MPLS VPN路由環境之間的數據通道上部署防火墻即可對各VPN間也就是各應用系統間的訪問進行控制。隨著受控互訪的實現，全覆蓋、可用、可靠、優化傳輸以及可管理等周邊需求的實現也變得比較容易。一張實體物理網、虛擬多業務網，采用MPLS VPN隔離各類業務系統，骨干以現有DCN骨干網為基礎構建，接入網采用靈活的方式到終端。獨立統一的一張實體物理網，滿足企業內部應用的承載需求。虛擬多業務網，統一的業務隔離、受控互訪機制和統一的VPN業務接入機制。

5 結束語

MPLS VPN網絡改造的實現，極大的提高的DCN網絡的安全性，為前臺營業、辦公OA、運維網絡監控等各項不同的業務網絡應用提供可靠地保證。

參考文獻：

[1] 范亞芹，張麗翠，宋維剛.可提供MPLS VPN網絡安全性保障的解決方案[J].吉林大學學報:信息科學版，2005(03).

第3篇

論文關鍵詞:VPN；供電企業;信息化

論文摘要:縣級供電企業在推進信息化過程中，普遍存在著成本過大，安全系數較低以及建設周期長等問題。結合廬江供電公司在開展城鄉營銷管理信息化建設中出現的問題進行分析，提出利用VPN實現全公司網絡互聯的解決方案，并分析了下一步信息化的主攻方向。

0引言

隨著電力信自、化水平的不斷提高，縣級供電企業綜合管理信息系統開始逐步建立，但基層變電站、鄉鎮供電聽與供電公司局域網聯網問題嚴重地制約著縣級供電企業信息系統實用化水平的發展和信息資源的充分有效利用，這與供電企業管理發展的目標追求以及客戶的需求是極不適應的。由于鄉鎮供電所信息化建設工作受地形、人員素質、資金投人等因素影響，解決遠程站點聯網問題成為縣級供電企業信自、網絡建設中的突出矛盾。

1廬江供電公司信息化建設現狀

安徽廬江供電公司的信息化上作起步較晚，供電公司總部于X004年實現了生產M I S與辦公自動化OA的單軌制運行，總部信息化運行提高了企業的整體管理水平和辦公效率。如今，廬江供電公司總部已運行的信息系統有:生產管理系統、辦公自動化系統、檔案管理系統、Web系統、財務管理系統，現有的服務器包括:生產服務器、辦公自動化服務器、檔案服務器、Web服務器、財務服務器。力、公用微機80多臺，每位管理人員以及每個班組都配有微機。

在實施信息化建設與管理中，深深體會到廬江供電公司信息化建設不僅可降低財務管理、物資管理、項目管理、資料管理等方面的管理成本，并在生產管理中可將所有設備信息進行分類編號，輸人數據庫，實行設備、設施缺陷管理，科學地制定缺陷檢修計劃，提高設備運行可靠度，降低故障率，提高供電可靠性;同時，廬江供電公司的營銷管理信息系統建有業擴子系統、電量電費f系統、用電檢查子系統、綜合查詢系統，通過這些系統，可方便與客戶的交流、溝通，節約成本開支，實現科學化營銷流程管理。這些管理信息系統的應用，加強J’企業的規范化管理，增強了管理的科學化水平，減輕了工作人員的負擔，提高了企業的經濟效益。

為此，廬江供電公司加入了鄉鎮供電所營銷MIS應用系統的推進力度，進一步減輕了抄表人員的負擔，縮短了開票時間，加強了電費電價的控制與管理，提高了營銷管理自動化水平。全縣17個鄉鎮供電聽，都使用同一版本的營銷MIS應用系統。舟個供電聽都有3臺以上的微機，其中1臺所長用于日常辦公，另外2臺分別作為用電MIS系統的服務器與客戶端，并兼為所里其他工作人員辦公使用。其中，已有10個供電所可利用變電站的光纖系統，與廬江供電公司總部實現網絡互聯，提高了工作效率，節省了開支。其余7個供電所仍不能夠實現信息化共享，這些供電所非常希望盡快網絡互聯。

2采用VPN方案推進供電所信息化建設進程

這些供電所若使用以前的光纖聯網方式，不僅投資大，施工工期長，而且日后的維護量也多。考慮到以上原因，為盡快解決其余7個光纖未開通的鄉鎮供電所的網絡互聯問題，達到信息、共享，推廣鄉鎮供電所的營銷MIS系統應用，公司決定采用虛擬局域網(VPN)，在現有設備基礎上，進行簡單的改造。通過在VPN網關中配置7個供電所的用戶、密碼以及訪問策略，并分別在7個供電所安裝VPN客戶端，安裝公司的MIS應用系統，實現全公司網絡互聯。VPN技術實際上就是綜合利用包封裝技術、加密技術、密鑰交換技術、PKI技術，可以在公用的互聯網上建立安全的虛擬專用網絡(VPN ， Virtual Private Network ) 。 VPN是一個被加密或封裝的通信過程，該過程把數據安全地從一端傳送到另一端，這里數據的安全性由可靠的加密技術來保障，而數據是在一個開放的、沒有安全保障的、經過路由傳送的網絡上傳輸的。VPN技術能夠有效解決信息安全傳輸中的“機密性、完整性、不可抵賴性”問題。

3方案效果比較

對2種方案的可能性進行了比較，如圖1所示。如果廬江供電公司全部運用光纖法來實現供電所的網絡互聯，每個供電所的材料費、施工費按3.5萬元，施工工期10天計算，7個供電所就需要3.5 x 7=24.5萬元，需要10 x 7=70天。若這7個供電所采用VPN方案，只需要購買VPN網關1臺，價值3.5萬元和7個客戶端鑰匙，價值7 x 480=3360元，5天內就能完成7個供電所安裝。因此，應用VPN方案，廬江供電公司就能節省資金達24 . 5-3 . 836=20.664萬元，縮短工期65天，取得的直接效益是顯著的，并省去了今后光纖線路維護所需要工作量。

現在，這7個鄉鎮供電所均可利用VPN方案安全可靠地登陸公司局域網，在局域網下載內容的速度可達350 kb/s，生產MIS系統響應時間為2--3 s，辦公自動化系統瀏覽公司收發的文件、接受電子郵件的時間因文件的大小不同而有所差別，1 MB的文件大約需要8 s。由于ADSL是非對稱數字環路，所以發送電子郵件的速度要慢得多，1 MB的文件大約需要18s。從VPN方案運行效果來看，完全能夠滿足廬江供電公司網絡發展及MIS系統應用的需要。

4下一步信息化建設的主攻方向

目前，廬江供電所信息化還處于初級階段，對電力企業信息化建設的目標還沒有完全形成統一的管理標準;同時，廬江供電公司在實施VPN技術后，也清楚地看出:VPN是一種虛擬專用網絡，而不是一種真正的專用網絡。因此，廬江供電公司打算設立嚴格的管理制度，包括嚴格的權限管理，無關人員無權查看、改動數據，VPN客戶端的用戶與密碼管理等，建立起一套計算機管理操作等規章制度，使整個網絡安全有序地運行。此外，該公司今后還將加大對供電所使用人員的計算機培訓力度，包括計算機知識在內的應用培訓，促進操作人員更好地使用軟件，提高操作人員計算機水平，也為計算機應用在企業內部得到更好地發展起到一定的推動作用，并充實培養供電聽計算機網絡管理人員、信息安全管理人員，把信息化建設中的培訓工作貫穿始終，進而拓寬信息化的覆蓋面，保證信息、化工作的健康發展，讓VPN技術更好地為廬江供電公司信息化、專業化、現代化服務。

第4篇

【關鍵詞】計算機網絡；信息安全；防火墻；安全技術

隨著計算機互聯網技術的飛速發展，網絡信息化在給人們帶來種種物質和文化享受的同時，我們也正受到日益嚴重的來自網絡的安全威脅。盡管我們已經廣泛地使用各種復雜的安全技術，但是，仍然有很多黑客的非法入侵，對社會造成了嚴重的危害。針對各種來自網絡的安全威脅，怎樣才能確保網絡信息的安全性。本文通過對網絡安全存在的威脅進行分析，總結出威脅網絡安全的幾種典型表現形式，進而歸納出常用的網絡安全的防范措施。

一、計算機網絡安全存在的隱患

眾所周知，Internet是開放的，即使在使用了現有的安全工具和機制的情況下，網絡的安全仍然存在很大隱患，這些安全隱患主要可以歸結為以下幾點：

1.每一種安全機制都有一定的應用范圍和應用

防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是對于內部網絡之間的訪問，防火墻往往是無能為力的。因此，對于內部網絡到內部網絡之間的入侵行為和內外勾結的入侵行為，防火墻是很難發覺和防范的。

2.安全工具的使用往往受到人為因素的影響

一個安全工具能不能實現效果，在很大程度上取決于使用者，包括系統管理者和普通用戶，不正當的設置就會產生不安全因素。比如操作員安全配置不當造成系統存在安全漏洞，用戶安全意識不強，口令選擇不慎，將自己的帳號隨意轉借他人或與別人共享等都會給網絡安全帶來威脅。

3.系統的后門和木馬程序

從最早計算機被入侵開始，黑客們就已經發展了“后門”技術，利用后門技術，他們可以再次進入系統。后門的功能主要有：使管理員無法阻止；種植者再次進入系統；使種植者在系統中不易被發現；使種植者進入系統花費最少的時間。木馬，又稱特洛伊木馬，是一類特殊的后門程序，它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。

4.只要有程序，就可能存在BUG

任何一款軟件都或多或少存在漏洞，甚至連安全工具本身也可能存在安全的漏洞。這些缺陷和漏洞恰恰就是黑客進行攻擊的首選目標。幾乎每天都有新的BUG被發現和公布出來，程序設計者在修改已知的BUG的同時又可能使它產生了新的BUG。

二、計算機網絡安全的防護策略

盡管計算機網絡信息安全受到威脅，但是采取恰當的防護措施也能有效的保護網絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網絡信息的安全：

1.防火墻技術

防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業的安全策略控制（允許、拒絕、監測）出入網絡的信息流，且本身具有較強的抗攻擊能力。防火墻能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。

2.數據加密

采用網絡加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網絡在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。主要存在兩種主要的加密類型：私匙加密和公匙加密。

3.虛擬專用網（VPN）技術

虛擬專用網（VPN）技術利用現有的不安全的公共網絡建立安全方便的企業專業通信網絡，使數據通過安全的“加密管道”在公共網絡中，是目前解決信息安全問題的一個最新、最成功的技術課題之一。在公共網絡上構建VPN有兩種主流的機制，這兩種機制為路由過濾技術和隧道技術。VPN有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協議可分為第二層和第三層的；按發起方式可分成客戶發起的和服務器發起的。由于VPN技術可擴展性強，建立方便，具有高度的安全性，簡化了網絡技術和管理，使費用降到最低，因而，逐漸成為通用的技術。

4.入侵檢測系統

入侵檢測技術是為保證系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測中違反安全策略行為的技術。它是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力（包括安全審計、監視、進攻識別和響應），提高了信息安全基礎結構的完整性。入侵檢測從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。

隨著計算機技術和網絡技術已深入到社會各個領域，人類社會各種活動對計算機網絡的依賴程度已經越來越大。因此只有嚴格的保密政策、明晰的安全策略以及高素質的網絡管理人才才能完好、實時地保證信息的完整性和確證性，為網絡提供強大的安全服務。本論文從多方面描述了網絡安全的防護策略，比如防火墻，認證，加密技術等都是當今常用的方法，本論文從這些方法入手深入研究各個方面的網絡安全問題的解決，可以使讀者有對網絡安全技術的更深刻的了解。

參考文獻：

[1]楊義先.網絡安全理論與技術[M].北京：人民郵電出版社，2003

第5篇

關鍵詞：IP網絡 VPN 信息安全

中圖分類號：TN711 文獻標識碼：A 文章編號：

隨著信息技術的飛速發展和IP網用戶數量的迅猛增加以及多媒體應用需求的不斷增長，人們對IP網提高帶寬的渴望越來越強。

初期的Internet僅提供文件傳輸、電子郵件等數據業務，如今的Internet集圖像、視頻、聲音、文字、動畫等為一體，即以傳輸多媒體寬帶業務為主，由此Internet的發展趨勢必然是寬帶化向寬帶IP網絡發展，寬帶IP網絡技術應運而生。

所謂的寬帶IP網絡是指Internet的交換設備、中繼通信線路、用戶接入設備和用戶終端設備都是寬帶的，通常中繼線帶寬為每秒數吉比特至幾十吉比特，接入帶寬為1～100Mbit/s。在這樣一個寬帶IP網絡上能傳送各種音視頻和多媒體等寬帶業務，同時支持當前的窄帶業務，它集成與發展了當前的網絡技術、IP技術，并向下一代網絡方向發展。

當今年代，IP網絡的覆蓋范圍如此廣泛、網絡規模如此龐大、用戶數量如此之多、業務傳輸如此頻繁，保障其安全性顯然是至關重要的。

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。從內容看網絡安全大致包括4個方面，即網絡實體安全、軟件安全、數據安全及安全管理。從其本質上來講主要就是網絡上的信息安全，即要保障網絡上信息的保密性、完整性、可用性、可控性和真實性。

寬帶IP網絡面臨的安全性威脅分為兩大類：被動攻擊和主動攻擊。被動攻擊中，攻擊者只是觀察和分析某一個協議數據單元，不對數據信息做任何修改，所以根本不會留下痕跡或留下的痕跡很少，因而一般都檢測不出來，對付被動攻擊可以采用數據加密技術。主動攻擊是更改信息和拒絕用戶使用資源的攻擊，攻擊者對某個連接中通過的協議數據單元進行各種處理。這類攻擊可分為篡改、偽造、中斷和抵賴。主動攻擊可采取適當的措施檢測出來，而要有效的防是十分困難的。對付主動攻擊需要將數據加密技術與適當的鑒別技術相結合。另外還有一種特殊的主動攻擊就是惡意程序，如計算機如沖、特洛伊木馬和邏輯炸彈。

寬帶IP網絡安全服務的基本需求包括保密性、完整性、可用性、可控性和不可否認性。

為了滿足網絡信息系統安全的基本要求，加強網絡信息系統安全性，對抗安全攻擊，可采取數據加密、數字簽名、鑒別、設置防火墻等一系列措施。

為了保證數據信息的保密性和完整性，要對數據信息進行加密，數據加密的密碼體制分為常規密鑰和公開密鑰兩種密碼體制，從網絡傳輸的角度看，有兩種不同的加密策略：鏈路加密和端到端加密。兩種加密策略各有優缺點，一般將鏈路加密和端到端加密結合起來使用，以獲得更好的安全性。

保證網絡安全的另外一個重要措施就是設置防火墻，防火墻是一種位于兩個網絡間、實施網絡之間訪問控制的組件集合，防火墻的網絡稱為“可信賴的網絡”，而將外部Internet 稱為“不可信賴的網絡”。

防火墻可以從不同角度分類，根據物理特性可分為硬件防火墻和軟件防火墻，但是由于軟件防火墻自身屬于運行于系統上的程序，不可避免地需要占用一部分CPU資源維持工作，而且由于數據判斷處理需要一定的時間，在一些數據流量大的網絡里，軟件防火墻會使整個系統工作效率和數據吞吐速度下降，甚至有些軟件防火墻會存在漏洞，導致有害數據可以繞過它的防御體系，給數據安全帶來損失。因此，許多網絡更側重于硬件防火墻作為防御措施。

以上介紹了保障IP網絡安全的一些措施，在不安全的公共網絡上建立一個安全的專用通信網絡VPN也稱得上是實現管好全性的一項舉措。

VPN虛擬專網是虛擬私有網絡的簡稱，安是一種利用公共網絡，來構建的私有專用網絡，VPN將給企業提供集安全性、可靠性和可管理性于一身的私有專用網絡。

VPN的目標是在不安全的公共網絡上建立一個安全的專用通信網絡，在降低費用的同時保障通信的安全性，即構建在公共數據網絡上的VPN將像當前企業私有的網絡一樣提供安全性、可靠性和可管理性。VPN利用嚴密的安全措施和隧道技術來確保數據專有、安全地在公網上傳輸。目前Internet已成為全球最大的網絡基礎設施，幾乎延伸到世界的各個角落，于是基于Internet的IP VPN技術越來越受到關注，IETF對基于IP的VPN的定義為“使用IP機制仿真出一個私有廣域網”。

IP VPN按接入方式劃分可分為專線VPN和撥號VPN，專線VPN是為已經通過專線接入ISP邊緣路由器的用戶提供的VPN解決方案，是一種“永遠在線”的VPN。撥號VPN又稱VPDN，它是向利用撥號PSTN或ISDN接入ISP的用戶提供的VPN業務，是一種“按需連接”的VPN。因為這種VPN的用戶一般是漫游用戶，因此VPDN通常需要做身份認證。按協議實現類型還可以分為采用第二層隧道協議的VPN和采用第三層隧道協議的VPN。還可以按VPN的發起方式、服務類型、承載主體等多種方式進行劃分。

構成IP VPN的主要設備有IP安全隧道和VPN設備。內部網LAN1發送者發送明文信息到連接公共網絡的源VPN設備，源VPN設備首先進行訪問控制，確定是否需要對數據進行加密或讓數據直接通過或拒絕通過。對需要加密的IP數據報進行加密，并附上數字簽名以提供數據報鑒別。VPN設備依據所使用的隧道協議，重新封裝加密后的數據，此數據通過IP安全隧道在公共網絡上傳輸。當數據報到達目的的PVN設備時，首先根據隧道協議數據報被解除封裝，數字簽名被核對無誤后數據報被解密還原成原明文，然后目的VPN設備根據明文中的目的地址對內部網LAN2中的主機進行訪問控制，在核對無誤后將明文傳送經LAN2中的接收者。

VPN的隧道技術是構建VPN的關鍵技術，廣義的隧道包括隧道啟動節點、隧道終止點和承載隧道的IP網絡。按照工作的層次，隧道協議可分為兩類：二層隧道協議和三層隧道協議。三層隧道協議主要有兩種：RFC1701通用路由封裝協議和IETF制定的IP層加密標準協議IPSec協議。二層隧道協議主要有三種，點對點隧道協議（PPTP）、二層轉發協議（L2F）和二層隧道協議（L2TP）。二層隧道協議簡單易行，但擴展性差且提供內在的安全機制安全強度低，主要應用于構建撥號VPN，而三層隧道協議安全性、可擴展性、可靠性較強，兩者通常結合使用。

第6篇

關鍵詞：虛擬專用網 IP隧道 網絡電話

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1672-3791（2013）03（b）-0039-03

虛擬專用網（VPN）作為一種安全而有效的商用通信技術，在網絡內部有著專線一樣的加密性，又沒有專線那樣高的費用，因此得到廣泛的應用。虛擬專用連接的業務類型較單一，因此VPN增值服務對多媒體實時應用提出了內在要求。隨著VPN應用和VOIP應用的日益廣泛，能不能將VPN技術和VOIP技術結合起來，將VOIP應用拓展到VPN中從而拓展了VPN技術的應用領域，為VPN增值服務提供新的增長點。

1 VPN簡介及優勢介紹

VPN是Virtual Private Network的縮寫，即虛擬專用網。簡單地說，VPN即是指在公眾網絡上所建立的企業網絡，并且此企業網絡擁有與專用網絡相同的安全、管理及功能等特點，它替代了傳統的撥號訪問，利用Internet公網資源作為企業專網的替代和補充，節省昂貴的長途費用。

VPN網絡具有較好的安全性，以多種方式增強了網絡的智能和安全性。專業的VPN產品都對遠端用戶的接入提供了非常嚴格的身份檢測和認證機制，確保用戶的合法性。另外，VPN通過加密協議的采用實現了對傳輸數據的封裝，避免數據的明文傳送帶來的安全隱患。

企業用戶可以使用VPN替代租用線路來實現分支機構的連接。網絡容量容易擴展，借助VPN，企業可以利用ISP的設施和服務，同時又完全掌握著自己網絡的控制權。

2 VOIP的關鍵技術

VOIP是Voice over Internet Protocol的縮寫，指的是將模擬的聲音信號經過壓縮與封包之后，以數據封包的形式在IP網絡的環境進行語音信號的傳輸，通俗來說也就是互聯網電話或者簡稱IP電話的意思。

VOIP的基本原理是：通過語音的壓縮算法對語音數據編碼進行壓縮處理，然后把這些語音數據按TCP/IP標準進行打包，經過IP網絡把數據包送至接收地，再把這些語音數據包串起來，經過解壓處理后，恢復成原來的語音信號，從而達到由互聯網傳送語音的目的。IP電話的核心與關鍵設備是IP網關，它把各地區電話區號映射為相應的地區網關IP地址。這些信息存放在一個數據庫中，數據接續處理軟件將完成呼叫處理、數字語音打包、路由管理等功能。

采用IP網絡承載話音業務與傳統的電話業務相比存在著諸多的優勢。VOIP可以使電話物理網絡和Internet或IP物理數據網絡合二為一，有效地簡化通信系統，減低系統成本和管理成本；利用IP分布式的、靈活而可擴展的通信方式，以及VOIP所提供的新功能可以使企業、雇員、合作伙伴和客戶更靈活而有效的溝通；VOIP可以使話音應用與原有的數據業務應用有機的融合在一起，開創新一代業務應用。

3 VOIP的基本傳輸過程

為了在一個IP網絡上傳輸語音信號，要求幾個元素和功能。最簡單形式的網絡由兩個或多個具有VOIP功能的設備組成，這一設備通過一個IP網絡連接。VOIP設備把語音信號轉換為IP數據流，并把這些數據流轉發到IP目的地，IP目的地又把它們轉換回到語音信號。兩者之音的網絡必須支持IP傳輸，且可以是IP路由器和網絡鏈路的任意組合。因此可以簡單地將VOIP的傳輸過程分為下列幾個階段。

3.1 語音-數據轉換

語音信號是模擬波形，通過IP方式來傳輸語音，不管是實時應用業務還是非實時應用業務，首先要對語音信號進行模擬數據轉換，也就是對模擬語音信號進行8位或6位的量化，然后送入到緩沖存儲區中，緩沖器的大小可以根據延遲和編碼的要求選擇。許多低比特率的編碼器是采取以幀為單位進行編碼。

3.2 原數據到IP轉換

一旦語音信號進行數字編碼，下一步就是對語音包以特定的幀長進行壓縮編碼。大部份的編碼器都有特定的幀長，若一個編碼器使用15 ms的幀，則把從第一來的60 ms的包分成4幀，并按順序進行編碼。每個幀合120個語音樣點（抽樣率為8 kHz）。編碼后，將4個壓縮的幀合成一個壓縮的語音包送入網絡處理器。網絡處理器為語音添加包頭、時標和其它信息后通過網絡傳送到另一端點。語音網絡簡單地建立通信端點之間的物理連接（一條線路），并在端點之間傳輸編碼的信號。

3.3 傳送

在這個通道中，全部網絡被看成一個從輸入端接收語音包，然后在一定時間（t）內將其傳送到網絡輸出端。

3.4 IP包-數據的轉換

目的地VOIP設備接收這個IP數據并開始處理。網絡提供一個可變長度的緩沖器，該緩沖器可容納許多語音包。其次，解碼器將經編碼的語音包解壓縮后產生新的語音包，這個模塊也可以按幀進行操作，完全和解碼器的長度相同。若幀長度為15 ms，是60 ms的語音包被分成4幀，然后它們被解碼還原成60 ms的語音數據流送入解碼緩沖器。在數據報的處理過程中，去掉尋址和控制信息，保留原始的原數據，然后把這個原數據提供給解碼器。

3.5 數字語音轉換為模擬語音

播放驅動器將緩沖器中的語音樣點（480個）取出送入聲卡，通過揚聲器按預定的頻率（例如8 kHz）播出。簡而言之，語音信號在IP網絡上的傳送要經過從模擬信號到數字信號的轉換、數字語音封裝成IP分組、IP分組通過網絡的傳送、IP分組的解包和數字語音還原到模擬信號等過程。

4 網絡電話技術的信令協議淺析

與VOIP相關的網絡技術協議很多，常見的有控制實時數據流應用在IP網絡傳輸的RTP和RTCP；有保證網絡QoS質量服務的RSVP和IP different Service等，還有傳統語音數字化編碼的一系列協議如G.711、G.728、G.723、G.729等等。這里我們要討論信令（signaling）協議，在網絡電話系統基礎組成部分之間如何進行呼叫控制與交換的標準規程。

4.1 H.323

由ITU-T工業標準組織為VOIP制定的標準化信令協議，定義為基于包交換的多媒體傳輸系統。H.323結構體系由H.323終端、網關、關守和多點控制單元MCU組成。H.323的目標是可以使H.323的節點之間交換媒體數據流。

4.2 SIP（Session Initiated Protocol）

SIP是IETF定義多媒體數據和控制體系結構中的重要組成部分。SIP是一種信令協議，用來建立、修改和終結多媒體會話。它還結合其他幾個IETF的協議SDP、RSVP和SAP協同工作，一般采用RTP/RTCP協議進行傳輸控制。

4.3 MGCP（Media Gateway Control Protocol）和Megaco/H.248

用來控制媒體網關通信的協議。在企業VOIP網絡與電信運營商VOIP服務網絡相連接的網關系統上支持。

5 基于WINDOWS 2003的VPN語音傳輸

本文實現環境為ADSL下使用路由器，然后在路由器下面的一臺主機作為VPN服務器。網絡拓撲結構如圖1。

5.1 獲取VPN服務器的地址

花生殼是完全免費的桌面式域名管理和動態域名解析（DDNS）等功能為一體的客戶端軟件。本例是通作在ADSL貓之后又使用了桌面路由器接入Internet的，通過這種方式一定要在路由器中作端口映射，由于windows 2003的VPN服務用的是1723端口，將1723端口映射到192.168.0.5這臺設有VPN服務的機器。然后，在訪問策略中要允許VPN通過路由器。由于路由器支持DDNS，所以填入申請的花生殼賬號和密碼，這樣省去了在VPN服務器上安裝花生殼的麻煩，這樣，在網絡上訪問域名yangc 的時候，Internet自動就找到了這臺路由器，并通過端口映射把地址映射到了VPN服務器。

5.2 WINDOWS 2003中配置VPN

選擇“開始”“所有程序”“管理工具”“路由和遠程訪問”，打開路由和遠程訪問的配置界面，在配置中選擇“遠程訪問（撥號或VPN）”，在遠程訪問中選擇“VPN”，在IP地址指定中選擇“來自一個指定的地址范圍”，這里添加一個范圍，即VPN連接的客戶端撥入的時候使用的地址，比如從“10.0.0.100”到“10.0.0.110”。RADIUS服務器配置比較復雜，這里由于對安全性不高，所以在管理多個遠程訪問服務器中，選擇使用路由和遠程訪問自己的認證方式進行鑒權。要登錄到VPN服務器，必須要知道該服務器的一個有撥入權限的用戶，打開計算機管理頁面，在本地用戶和組里邊新建一個用戶，給這個用戶遠程登錄的權限，一定要在“遠程訪問權限”處選擇“允許訪問”，不然就無法登錄。創建好了賬號之后，點擊賬號屬性，授予賬號遠程撥入的權限。

5.3 VPN客戶端的設置

先用本機測試過程如下：右鍵“網上鄰居”“屬性”，打開網絡連接后點擊“新建連接向導”。

打開新建連接向導，選擇“連接到我的工作場所的網絡選項”要建立的是VPN， “虛擬專用網絡連接”。公司名只起到識別網絡連接的作用，這里，填入VPN。因為現在做的是本機的測試，所以填入的IP地址為本機的地址192.168.0.5，用戶VPN就是剛才新建的用戶。在可用連接中選擇“任何人使用”點擊完成之后出現了（如圖2）的界面，填入有遠程接入權限的賬號密碼。

到這里，基于PPTP的連接就建立完成了。打開CMD窗口，使用IPCONFIG/ALL的命令查看網絡連接，會看見三個網卡，其中一個IP地址為192.168.0.5的就是本機網卡，另外兩個是剛才做本機測試時建立的，它們的IP地址為10.0.0.xxx，這是VPN默認的IP地址連接的撥入地址和播出地址。

上面的服務器中的測試完成后，就可以在任何有Internet接入的地方進行遠程連接了，其過程和在本機連接測試的過程一樣，在實際連接時到“連接VPN”這一步時，輸入VPN服務器所在的公網IP，因為是動態的IP，所以填入DDNS，即激活了花生殼動態域名解析服務的域名。

5.4 實現IP語音

本論文使用了小小程序員編寫的局域網語音視頻工具。界面（如圖3），這個軟件的缺點是必須知道要通話方的IP地址。

如果是LAN環境，填入IP，這里使用在VPN環境，所以要使用VPN連接獲取到的IP地址。可以用IPCONFIG獲得。（如圖4）顯示，VPN連接獲取的IP為169.254.157.53。

打開軟件之后，填入要連接的IP地址，如果網絡正常，就會有連接成功的提示，之后，就可以向對方發送語音了，發送之后，對方只要接受就可以聽到語音（如圖5）。

6 結論

本文先介紹了VPN的種類，常見的加密協議等，然后對VOIP進行了詳盡的介紹，最后在WINDOWS 2003 SERVER組建的VPN環境中成功的實現了語音的傳輸。文中使用花生殼解決了ADSL撥號上網IP不固定的問題，使用端口映射解決了VPN服務器在虛擬LAN環境不能直接從Internet訪問的問題，達到了預期的效果。

參考文獻

[1] 高海英，薛元星，辛陽.VPN技術[M].北京：機械工業出版社，2004（4）.

[2]（美）佩皮賈克.MPLS和VPN體系結構CCIP版[M].趙斌，譯.北京：人民郵電出版社，2003（4）.

[3]Marcus Goncalves.IP網絡語音技術[M].北京：機械工業出版社，1999（11）.

第7篇

論文關鍵詞：SSL;SSLVPN;遠程接入

1引言

打造遠程安全接入平臺，一直是網絡遠程訪問的迫切需求。當前，眾多的安全協議(如PPTP.L2TP.IPSec和MPLS)各具特色并側重于不同的方面，但能同時結合簡易、安全兩項特性的則非SSL莫屬，SSLVPN是平衡訪問自由度和安全性的出色解決方案。

2SSL

安全套接層(SecureSocketsLayer,SSL)是Netscape于1994年提出的基于Web應用的安全協議，它介于HTTP及TCP之間，高層協議可以透明地運行在該協議之上，它指定了一種在應用程序協議和丁CP/IP協議之間提供數據安全性分層的機制，能為丁CP/IP連接提供數據加密、服務器認證、消息完整性以及可選的客戶機認證。其安全連接基于握手協議、記錄協議和警告協議來完成。

3SSLVPN主要特點

(1)高安全性:SSL安全通道可確保端到端真正安全可靠的連接，能有效保證信息的真實性、完整性和保密性。

(2)高易用性:無需客戶端的安裝和配置，對終端系統具有良好的兼容性。

(3)高性價比:不需要配置，易于部署及管理，可有效降低網絡配置成本。

(4)高可擴展性和兼容性:可隨時添加需要VPN保護的服務器，并適用于大多數設備。

(5)高效的資源控制能力:可區分用戶設置訪問權限，實現區分對待的資源控制策略。

4SSLVPN應用優勢

隨著軍隊院校網絡信息化建設的推進，實際應用中面臨著越來越多的跨地域、跨部門的數據傳遞，以及大量的遠程訪問內網的需求。例如跨地域的會商研討、數據采集、資料檢索、分支部門和下屬機構的機要信息交換等。根據這些需求和實際情況，下面主要從SSLVPN和IPSecVPN對比出發，全面衡量SSLVPN的優勢。

(1)謹慎靈活的接入認證策略。在遠程接入過程中，用戶身份驗證是整個過程的第一環，也是最重要的一環，如果不能有效識別用戶的身份，使得非法用戶接入，將給內部網絡帶來極大的安全隱患。

SSLVPN提供對所傳送數據的加密、認證和發送源的身份認證，支持將多種身份識別方式進行組合，一般包括USB-Key、硬件特征碼、數字證書、動態令牌、短信認證等，而且可以對訪問權限進行嚴格的等級劃分，實現不同用戶對于不同應用程序的控制。

(2)穩妥有效的數據保護策略。因為SSLVPN接入的是內部網絡的應用，而不是整個網絡，并限制了非Web端口的訪問，使得部分文件操作功能不易實現，這實際上也起到了相應的保護功能。同時，SSL網關隔離了內部服務器和客戶端，客戶端的大多數病毒木馬感染不到內網服務器。而IPSecVPN實現的是IP級別的訪問，使得局域網能夠傳播的病毒，通過VPN也能夠傳播，極易導致內部網絡的防病毒策略形同虛設。一旦惡意IPSecVPN用戶獲得權限通過了網關，無疑會給內網帶來災難性的后果，但SSLVPN大大減弱了類似的風險。

第8篇

［論文關鍵詞］ 電子商務　信息安全　信息安全技術　數字認證　安全協議

［論文摘 要］電子商務是新興商務形式，信息安全的保障是電子商務實施的前提。本文針對電子商務活動中存在的信息安全隱患問題，實施保障電子商務信息安全的數據加密技術、身份驗證技術、防火墻技術等技術性措施，完善電子商務發展的內外部環境，促進我國電子商務可持續發展。

隨著網絡的發展，電子商務的迅速崛起，使網絡成為國際競爭的新戰場。然而，由于網絡技術本身的缺陷，使得網絡社會的脆性大大增加，一旦計算機網絡受到攻擊不能正常運作時，整個社會就會陷入危機。所以，構筑安全的電子商務信息環境，愈來愈受到國際社會的高度關注。

一、電子商務中的信息安全技術

電子商務的信息安全在很大程度上依賴于技術的完善，包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。

1.防火墻技術。防火墻主要是加強網絡之間的訪問控制， 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。

2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據，當需要時可使用不同的密鑰將密文數據還原成明文數據。

3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密，與原文一起傳送給接收者，接收者只有用發送者的公鑰才能解密被加密的摘要。

4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔，包括需加時間戳的文件的摘要、DTS 收到文件的日期與時間和DIS 數字簽名，用戶首先將需要加時間的文件用HASH編碼加密形成摘要，然后將該摘要發送到DTS，DTS 在加入了收到文件摘要的日期和時間信息后再對該文件加密，然后送回用戶。

二、電子商務安全防范措施

網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。

1.防火墻技術

用過Internet，企業可以從異地取回重要數據，同時又要面對 Internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此，企業必須加筑安全的“壕溝”，而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過，而且防火墻本身必須能夠免于滲透。

2. VPN技術

虛擬專用網簡稱VPN，指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網，依靠IPS或 NSP在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能，從而實現基于 Internet 安全傳輸重要信息的效應。目前VPN 主要采用四項技術來保證安全， 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。

3.數字簽名技術

為了保證數據和交易的安全、防止欺騙，確認交易雙方的真實身份，電子商務必須采用加密技術。數字簽名就是基于加密技術的，它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者，接收者用發送者的公鑰解開數據后，就可確認消息來自于誰，同時也是對發送者發送的信息真實性的一個證明，發送者對所發信息不可抵賴，從而實現信息的有效性和不可否認性。

三、電子商務的安全認證體系

隨著計算機的發展和社會的進步，通過網絡進行的電子商務活動當今社會越來越頻繁，身份認證是一個不得不解決的重要問題，它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要，它是用戶獲得訪問權限的關鍵步驟。現代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊，包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。

身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系，最好是惟一對應的。身份認證是安全系統中的第一道關卡。

數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 Internet 上驗證用戶身份的方式，其作用類似于司機的駕駛執照或身份證。它是由一個權威機構CA機構，又稱為證書授權(Certificate Authority)中心發行的，人們可以在網上用它識別彼此的身份。

四、結束語

安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是，安全技術可以降低系統遭到破壞、攻擊的風險。因此，為進一步促進電子商務體系的完善和行業的健康快速發展，必須在實際運用中解決電子商務中出現的各類問題，使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手，僅在技術角度防范是遠遠不夠的，還必須完善電子商務立法，以規范飛速發展的電子商務現實中存在的各類問題，從而引導和促進我國電子商務快速健康發展。

參考文獻

[1] 勞幗齡.電子商務的安全技術[M].北京:中國水利水電出版社，2005.

[2] 趙泉.網絡安全與電子商務[M].北京:清華大學出版社，2005.