远程访问系统

远程访问系统（精选十篇）

远程访问系统篇1

恒天重工股份有限公司是我国纺织机械行业的大型骨干企业, 主要生产化纤、棉纺、烘燥、织造、印染、织机、非织造布等类成套设备。销售遍及全国各地, 并远销50个国家和地区。公司产品多、批量小、产品加工周期长。为提高生产效率, 满足日益激烈的市场竞争需要, 2002年公司开始使用ERP即企业资源规划 (Enterprise Resource Planning) 软件进行管理。

E R P系统是以企业资源合理、有效利用为目标, 帮助企业以较短的生产周期和较低的成本对市场变化做出迅速反应, 实现信息流、物流、资金流的集成, 从而实现资源共享, 有效解决企业的诸多困扰, 提升综合管理, 增强了企业的竞争能力。因此, E R P成为公司发展的必然选择。

2 公司发展对ERP系统的更高需求

由于企业的管理不断优化整合, ERP系统也要随着企业发展而不断地进行完善。公司ERP系统采用的是C/S结构, 为保持程序使用和维护的一致性, 要将本该存放在每个客户端的程序放在一个应用文件服务器中, 通过访问共享的程序来运行ERP系统。

随着公司业务扩展, 逐渐呈现出了多地域协同生产的需求, 目前就郑州区域而言, 已经发展成南阳路, 郑上路和西开发区等几个相对独立的部分, 则各部门E R P系统在保证正常使用的前提下, 更要保障系统数据的安全性。这就需要我们提供安全可靠的远程连接来满足ERP系统的使用需求。通过广泛的调研, 最终我们选中了基于V P N的远程访问。

3 VPN概念

VPN是虚拟专用网Virtual Private Network的缩写, 是因特网基础上开发的供企业专用的虚拟网络。该网络利用可靠度不高的公用互联网络作为信息传输媒介, 通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络类似的安全性能, 从而实现对重要信息的安全传输。

V P N是在因特网中建立一条虚拟的专用通道, 让两个远距离的网络用户能在一个专用的网络通道中相互传递数据信息。任何V P N技术的核心都是“隧道” (Tunneling) 技术。隧道允许VPN的数据流被路由通过IP网络, 而不管生成该数据流的是何种类型的网络或设备。从这个意义上说, VPN的操作独立于其他的网络协议, 隧道内的数据流可以是I P、I P X、AppleTalk或其他类型的数据包。因此, VPN是通过跨越基于I P协议的公用网建立起一条安全专用通道来实现公网私用。只需连入因特网, 就可以远程访问单位内部网络资源。

VPN按网络结构可分为以下3种类型:

(1) 基于VPN的远程访问。即单机连接到网络, 又称点到站点, 桌面到网络。用于提供远程移动用户对公司内部网的安全访问。 (2) 基于VPN的网络互联。即网络连接到网络, 又称站点到站点, 网关 (路由器) 到网关 (路由器) 或网络到网络。用于企业总部网络和分支机构网络的内部主机之间的安全通信时, 还可用于企业的内部网与企业合作伙伴网络之间的信息交流, 并提供一定程度的安全保护, 防止对内部信息的非法访问。 (3) 基于VPN的点对点通信。即单机到单机, 又称端对端, 用于企业内部网的两台主机之间的安全通信。

4 具体实现

作者在公司现有条件下就基于VPN的远程访问进行了探索, 通过实践验证了E R P远程访问的可行性。

(1) 将公司总部ERP数据库服务器和应用程序服务器通过防火墙进行设置, 使两个服务器能够与互联网连接。

(2) 防火墙策略设置。步骤:虚拟专用网—PPTP—用户信息—新建用户名密码;安全策略—安全策略—安全通道pptp-内—设置对应规则。

(3) 远程通过ADSL拨号, 接入互联网。

(4) 远程建立VPN连接。步骤:网上邻居属性→新建连接向导→连接到我的工作场合的网络 (VPN) →虚拟专用网络连接→公司名称→IP地址 (指定公司防火墙的公网地址) →完成。

(5) 远程登录VPN。输入VPN用户名和密码。

(6) 运行ERP软件。

通过以上六步, 实现了公司E R P系统远程连接使用。由于是在VPN中进行数据传输, 保证了数据的安全性。

5 结语

经过一年多的应用证明, 通过VPN可以实现远程运行E R P系统, 这为公司企业多地域协同生产提供了保证, 同时也为将来公司与上下游企业间的协作提供了可能。

从经济方面考虑, V P N互联网络以INTERNET为承载网, 要比专线互联方式大大降低公司维护网络的费用。

从安全方面考虑, V P N技术则在隧道中采用了最高达1 6 8位的加密算法和信息摘要算法, 能很好的保证传输数据的机密性和完整性。

从实施方面考虑, 通过V P N技术进行互联, 只需保证公司总部ERP服务器和防火墙设置, 远程需要连接时, 只需具备互联网访问功能即可, 远程登录互联网后建立V P N通道就能运行E R P系统。

摘要：ERP系统是以企业资源合理、有效利用为目标, 帮助企业以较短的生产周期和较低的成本对市场变化做出迅速反应, 实现信息流、物流、资金流的集成, 从而实现资源共享, 有效解决企业的诸多困扰, 提升综合管理, 增强了企业的竞争能力。

关键词：VPN,ERP,远程访问,数据,安全性

参考文献

[1]马春光, 郭方方.《防火墙、入侵检测与VPN》.北京邮电大学出版社, (2008-08) .

[2]刘翔.《ERP与协同决策》.上海交通大学出版社, 2006-04.

远程访问系统篇2

本协议由北京大学医学图书馆与用户共同签订。其条款具有法律效力。北京大学医学图书馆电子资源远程访问系统所有用户必须按规定承担应尽的责任，不得违反本协议的条款。

1．本系统只允许授权用户本人使用，用户不得将账号交付他人使用。2．授权用户需承认并尊重原文献数据商和出版商的版权，所查阅资料与下载文献仅可用于科研，不得在网络上传播和从事商业活动。

3．授权用户需承诺不恶意下载原文献数据，不连续、系统、集中、批量地进行下载图书馆开放的电子资源，更不能使用网络下载工具批量下载。授权用户每天可下载文献全文15篇，每月总共可下载100篇。

4．本系统及所提供的资源，仅供北京大学医学部校内人员使用。用户因各种原因不在学校继续学习或工作，应在离职后一个星期内联系图书馆注销账户；逾期不注销者，图书馆有权中止其账户，并追究其法律和经济责任。5．图书馆保留对违反本协议的用户进行警告、中止帐户和诉诸法律的权力。用户需承担因违反本协议条款而产生的经济责任。

本协议自签名起生效，有效期为一年，期满时若未收到任一方通知要求终止协议，则自动延续，继续有效。本协议的最终解释权归北京大学医学图书馆所有。如有系统变更或升级，图书馆有权更改、中止及重新制订协议。

北京大学医学图书馆

附属医院图书馆

用户签名

（公章）

（公章/馆长签字）

****年**月**日

警惕远程访问威胁篇3

警惕远程桌面威胁

为了方便用户进行远程访问操作，Windows系统自带了远程桌面连接功能，当将本地系统的远程桌面连接功能成功启用后，网管员就能在网络的其他位置自由访问、控制本地计算机系统了。借助这项连接功能，网管员能实时地远程控制本地系统，进行远程安装程序、启动软件操作，所有的操作效果几乎与本地一样，这么一来网管员就能随时随地远程控制单位网络中的重要计算机系统了。

要享受远程桌面连接便利，必须先要在服务器端系统和客户端系统同时启用远程桌面连接功能。例如，要启用Win7系统中的远程桌面连接功能时，可以先用鼠标右键单击系统桌面中的“计算机”图标，执行右键菜单中的“属性”命令，弹出计算机系统属性管理界面，点击左侧区域中的“远程设置”标签，切换到如图1所示的标签设置页面，选中“允许运行任意版本远程桌面的计算机连接”或“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”选项，而后单击“确定”按钮，就能完成对应系统远程桌面连接功能的启用任务了。

一旦启用了远程桌面连接功能，黑客、木马也容易借用该功能威胁网络中重要主机系统的安全，为此，我们一定要想办法保护远程桌面连接的安全。

调整端口号码

由于远程桌面连接功能默认使用的3389端口号码，被众多黑客、木马所熟悉，为了避免该功能被恶意用户随意使用，我们可以将该功能使用的端口号码调整为一个不被外人熟悉的陌生号码，以便降低远程桌面连接的安全威胁。例如，要将远程桌面端口号码修改为2222时，可以按照如下步骤来操作：

首先打开本地系统的“开始”菜单，点选“运行”选项，弹出系统运行对话框，输入“regedit”命令，切换到系统注册表编辑界面；依次展开该界面左侧的HKEY LOCAL MACHIN E＼SYSTEM＼Current Control Set＼Control＼Terminal Server＼Win Stations＼KDP—Tcp目录，将该目录下的PortNumber键值由“3389”调整为“2222”；

其次展开注册表中HKEY-LOCALMACHINE＼SYSTEM＼Current Control Set＼Control＼Terminal Server＼Wds＼rdpwd＼Tds＼tcp目录，将该目录下的PortNumber键值由“3389”调整为“2222”，之后重新启动计算机系统就能使上述设置生效了；

日后使用远程桌面连接功能远程访问本地计算机系统时，必须通过“IP地址：端口”方式来进行。比方说，笔者单位局域网中有一台61.155.50.140的服务器，现在要在家中使用远程桌面连接功能远程控制该服务器，那就需要先打开远程桌面连接对话框，在如图2所示的地址框中输入“61.155.50.140：2222”，这样才能确保远程访问操作成功进行。当然，这种远程桌面连接方式与以往的连接方式，在速度和操作方面没有任何差别，只是通过“2222”端口实现远程桌面连接的。

授权合法用户

启用了远程桌面连接功能后，计算机系统就好像人为地开了一扇后门，任何用户包括黑客此时都能偷偷混入进来，对目标计算机系统进行一些非法操作。为了预防黑客等恶意用户趁虚而入，我们有必要加强对远程桌面连接操作的授权，仅让合法用户才有资格使用这项功能，下面就是为合法用户授权的具体步骤：

首先用鼠标右键单击系统桌面中的“计算机”图标，执行右键菜单中的“属性”命令，弹出计算机系统属性管理界面，点击左侧区域中的“远程设置”标签，在对应标签设置页面中的“远程桌面”位置处，点击“选择用户”按钮，打开如图3所示的设置对话框，将所有已经存在的用户账号全部删除掉；

其次按下“添加”按钮，切换到用户账号选择对话框，将合法用户账号依次选中并导入进来，同时按“确定”按钮执行设置保存操作，这样普通用户将无法通过远程桌面连接功能对本地计算机系统进行远程控制访问了，只有合法用户才能使用这项功能成功访问本地系统。

强行身份验证

在Vista以上版本系统中，启用“只允许运行带网络级身份验证的远程桌面的计算机连接(更安全)”功能，可以强行要求用户进行网络身份验证，以此增强远程桌面连接安全性。但是，Windows XP系统默认不支持网络身份验证功能，那样一来通过远程桌面连接方式远程访问该系统时，受到的安全威胁就比较大。其实，在Windows XP系统中下载安装SP3补丁包后，通过简单配置也能让该系统支持网络身份验证功能，下面就是具体的配置步骤：

首先打开Windows XP系统的注册表编辑窗口，展开该窗口中的HKEY LOCALMACHIN E＼SYSTEM＼Current Control Set＼Control＼Lsa目录，双击该目录下的“Security Packages”键值，切换到编辑多字符串设置框，正确输入“tspkg”字符，按“确定”按钮返回；

其次将鼠标定位到HKEY-LOCALMACHINE＼SYSTEM＼Current Control Set＼Control＼ServiceProvider目录上，双击该目录下的“SecurityProviders”键值，在弹出的数值数据框中正确输入字符串“，credssp.dll”，再按“确定”按钮保存设置操作；最后重新启动计算机系统，这样在远程桌面连接框的“关于”设置页面中，我们就能看到“支持网络级别的身份验证”功能选项了。

警惕telnet登录威胁

telnet登录命令是TCP／IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力，在客户端系统中使用telnet命令登录连接到远端的服务器，在本地系统输入的命令能够在服务器上自动运行，这种运行效果就像直接在服务器上直接输入一样，这样网管员就能在本地系统远程控制和操作远端的服务器主机了。

很多时候，为了提高网

络访问和控制效率，不少网管员常常会使用telnet登录命令来远程管理与控制局域网中的重要主机系统。默认状态下，Windows 7系统是禁用telnet功能的，要想启用这项功能时，可以依次单击“开始”I“控制面板”选项，逐一双击“程序和功能”I“打开或关闭Windows功能”图标，在其后弹出的列表中将“telnet服务器”I“telnet客户端”等选项选中(如图4所示)，这样telnet登录功能就被成功启用了。

不过在进行telnet登录操作时，也存在明显的安全威胁：该命令默认要用到Windows系统的23端口，而这个端口号码一般也会被黑客恶意利用，所以可能会由此带来一些安全麻烦；而且，telnet登录功能几乎都以明文方式在传输数据，这种传输方式很容易被黑客中途拦截。那么怎样才能有效提升telnet登录连接安全呢?很简单!可以将人人皆知的23端口号码变成陌生的号码，下面就是具体的端口号码调整步骤：

首先依次单击本地系统的“开始”I“运行”选项，在系统运行框中执行“cmd”命令，切换到DOS命令行窗口；在命令行提示符下，输入字符串命令“tintadmn configport=122”(这里假设122为新的登录端口)，按回车键后，本地系统的telnet登录端口就被调整为122了。当然，新设置的登录端口号码不能和本地系统中已开启的号码相同，否则telnet登录操作将会失效。经过上述设置后，当用户想telnet登录本地系统时，就需要在本地系统主机的IP地址后面加上“：122”，才能确保telnet连接操作的成功。

在安全要求较高的场合下，我们也可以选用支持加密功能的SSH连接替代telnet登录连接，这是由于SSH连接在传输数据之前，会采用特殊算法加密数据，之后才会在网络中传输，恶意用户即使采取技术手段中途窃取到了这些数据，也无法发现其中的具体内容，通过SSH连接能有效预防远程访问中的信息泄露问题，而且也能够防止DNS欺骗和IP欺骗。使用SSH连接，还有一个额外的好处，那就是在网络中传输的数据是经过压缩的，所以可以加快数据传输的速度。

警惕VPN连接威胁

为了便于移动用户访问单位内部网络资源，很多单位内网都架设了VPN服务器，用户通过VPN连接可以随时随地远程访问内网资源。不过，VPN连接需要借助Internet传输通道才能完成，而且来自外网的访问操作要进入单位内网核心，这样就需要解除许多限制，没有了诸多的限制，那么一些安全威胁就可能通过VPN连接进入单位内网。为此，我们有必要采取相关安全措施，来保护VPN连接安全。

进行日志跟踪

为了及时发现VPN连接中的异常问题，我们必须加强对这种连接操作进行日志跟踪记录。一旦遇到不正常现象时，只要打开系统事件查看器，找到相关日志记录，快速定位VPN连接的时间日期、目的地址、源地址，通过这些信息找到具体的故障原因。除了要对网络登录行为进行监控记录外，还应该尽可能地监控连接会话信息。要是意外遇到安全事故时，那么可以利用的信息源就比较多，找到具体原因的速度就比较快。而且更为重要的是，倘若网络中事先部署了预防监控措施，那么日志记录中的任何异常现象，都能被网管员及时发现，这样安全威胁程度将会始终处于可控状态。

启用安全策略

通常来说，要是单位内网允许用户进行远程访问操作，常常会对这些访问用户应用事先定义好的安全策略，确保远程访问操作不会威胁内网安全。要是单位内网使用了一些标准的操作系统，那么也必须要求远程访问用户使用同样的安全标准。例如，单位内网要求每位员工都要安装杀毒软件，并且定期下载更新病毒数据库，那么我们也要强制远程访问用户满足这些运行要求。

加强安全认证

远程访问系统篇4

自从20世纪80年代初诞生了第一批温室控制计算机以后,温室计算机控制技术便首先在发达国家得到广泛应用,后来各发展中国家也都纷纷引进、开发出适合自己的系统。由于自动测试技术与计算机网络技术日益紧密的结合,网络技术推动了远程、分布式、网络化的测试、计量和诊断仪器等系统的迅速发展,分布式网络化测试系统成为现代测试技术发展的必然趋势。近年来,我国在温室结构和温室控制技术、温室远程监控等方面开展了不少研究,温室控制得到了快速发展。但温室控制涉及到硬件结构和控制算法等多个方面,考察现有的温室系统,主要存在如下问题:①在控制方式上,大多为基于RS-485总线的控制系统,硬件系统仍属于集中控制范畴项目,不属于国际网络规范,一旦控制器发生故障容易使整个系统瘫痪;②温室结构上,差异也比较大,各个功能执行机构不相同,缺乏统一的标准,控制器、传感器没有相应的配套设备,不同厂商设备不易互联;③随着控制速度的提高,要求对现场的远程控制、实时性也更高 [1,2,3,4,5]。因此,考虑到温室控制系统中现存的问题,引入LXI网络,在温室控制网络中构成分布式系统,研究温室信息的网络传输、通信的兼容性和实时性问题,从而实现温室环境信息(温度、湿度、光照强度、CO2浓度等环境参数)的远程访问。

1 系统硬件平台与工作原理

1.1 LXI网络

在温室自动控制系统中引入LXI网络,不仅可以解决(传统)温室控制系统中存在的诸如网络兼容差、各个设备之间标准不同、远程控制难、实时性差等问题,也可使控制更为可靠,给整个系统的开发设计带来了诸多优点,在温室控制系统未来的发展中具有广阔的应用前景[7,8]。

LXI网络是基于以太网新型网络化测试平台标准而产生的,是以局域网为基础的仪器扩展,建立在IEEE802.3和IEEE 1588之上,是(它)为高效能的仪器提供一个自动测试系统的LAN(Local Area Network)模块化平台,替代传统的测试总线技术。利用LXI技术逐步替代传统低速的测试测量接口,并通过互联网或局域网访问远端测试模块或仪器,它是成熟的以太网技术在测试自动化领域的应用扩展[6]。

1.2 LXI系统工作原理

温室信息远程访问系统可分为两部分(如图1所示):内部的网络控制和与Internet、农业专用网相连的远程控制网。温室控制的内部网采用LXI网络系统结构,由控制计算机(上位PC机)、智能节点(下位控制器)及LXI网络组成[4]。1台控制计算机可与多台下位机通过LXI网络实现通信,从而可以对多个温室进行监测、访问和管理。LXI网络把温室环境、施肥灌溉等控制功能下放到现场,依托智能节点实现基本的访问和控制功能。例如,温室的环境控制智能节点接收传感器所采集的现场有关数据,在节点内完成相应的控制算法,然后将结果直接输出到执行机构上,并把采样、执行、各种传感、执行机构的控制等相关信息转换成TCP/IP协议数据包,发送到LXI网络上实现信息共享。通过LXI网络,在控制计算机和智能节点之间交换各种数据和管理控制信息,便捷地访问远程系统,共享/访问多个数据库,实现资源共享。温室信息远程访问系统应用LXI网络,把所有的现场设备、控制器件和个人计算机工作站集成为一个高度可靠、低耗和实时的访问系统。

内网系统的工作过程:通过网络收到的控制指令信号,向现场控制器发出启动信号,启动现场控制器及其控制的机构,同时准备接收现场控制器传送回来的信号和数据。被启动的现场控制器,一方面定时启动各个传感器测量温室环境,传感器将采集到的信号经放大器放大,送入A/D转换电路转换成相应的数字量后,再送入现场控制器进行数据预处理、判断分析;另一方面,现场控制器把上次采集到的数据向远端发送。如果发送和接收工作完成后还不到规定的时间,则自动踏步等待下一个时钟中断信号的到来,然后再向远端发送数据,如此不断地循环,以保证实时采集温室作物所需要的适宜的生长环境信息。

1.3 STR912芯片简介

STR912是ARM9系列微处理器的一款,它整合了一个16/32位的ARM966ES RISC处理器内核,使用两个独立的内部总线访问指令与数据存储器,可同时对代码和数据进行访问。每个存储器通过高度优化的TCM(Tightly Coupled Memory,紧密耦合内存)接口与内核连接,从而加快了访问速度。此外,该内核支持单周期数字信号处理DSP(Digital Signal Processing)指令,使得STR912能够同时满足控制与信号处理的需求,相对于传统的基于独立DSP与控制处理器的解决方案具有明显的优势。

STR912具有大容量存储器,除复杂控制应用外它还支持RTOS(Real-Time Operating System,实时操作系统)与TCP/IP栈。其SRAM(Static Random Access Memory,静态随机存储器)可达96 kbytes,是当今市场上所有基于ARM的通用闪存MCU(Micro Controller Unit)所包含的最大SRAM,这使其成为更大包缓冲的理想选择,支持更快的串行通信。特别地,连接到电池输入引脚的电池或超级电容可保护SRAM。其闪存大小可达544 kbytes,配置为两组即读即写存储器,以支持灵活的远程固件更新及EEPROM评估。每个SRAM及闪存均可用于指令或数据存储[9]。

1.4 硬件体系结构

在硬件实现上,采用STR912作为MCU进行路由处理和客户终端管理; STE100P芯片作为网络通信模块; PC机作为上位机,用于处理网络传输过来的温室环境信息。硬件体系结构如图2所示。

其主要的单元模块和功能概述如下:

1) 网络控制器。系统与LXI网络的物理接口,负责实现底层的TCP/IP网络协议,采用目前常用的以太网控制芯片就可满足要求,如STE100P芯片。

2) 数字量模块(数字量输入输出通道)。与温室现场执行机构连接,将微处理器的控制信号输出到执行机构及其设备。

3) 数据采集模块(模拟量输入通道)。与温室现场传感器连接,完成对传感器及运行设备的检测并将采集的信号转换后输入到微处理器中。

4) 存储系统。存储移植的uCLinux实时操作系统、外设驱动程序、温室控制程序等。

5) 微处理器单元STR912。完成通过LXI网与控制计算机的通信,负责温室系统的现场控制和管理。

2 系统软件平台的实现

2.1 B/S模式的Web技术

Web服务简称B/S模式,其服务模式仍为浏览器/服务器(Browser/Server )模式,是从C/S(Client/Server,客户机/服务器) 模式演化而来的一种新的网络应用服务模式,以HTTP协议为传输层协议,网络上主机有唯一可识别的IP地址,无论在何处,它都可以作为系统的组成部分。HTTP协议规定:浏览器首先与Web服务器建立联系,然后浏览器发送所需的服务请求,服务器返回服务结果并随即关闭TCP连接。相对于C/S模式而言, B/S模式的客户端不需要专门的客户端软件,它采用网页浏览器为客户端浏览工具,使用时直接访问服务器的Web地址,就可以监视控制远程测控点的数据变化情况[10,11,12]。

Web服务器是现场实时温室信息的发布平台,服务器将实时数据以网页形式发布到Internet上,远程PC机通过接入Internet浏览服务器信息,由于B/S访问模式是Web Server和Browser之间的直接访问,所以只需在客户端采用诸如IE这样的浏览器对服务器上的数据进行浏览,不用开发客户端程序。

用户操作通过客户端浏览器实现,其主要事务在服务器端实现,数据存储、提取则在数据库服务器端实现,形成3层结构,如图3所示。在这种结构中,该系统的一次完整运行应为:用户登陆,即通过浏览器向网络上的Web应用程序服务器发出请求,Web应用程序服务器对浏览器的请求进行处理,将用户操作主页面返回到浏览器;用户进行数据查询参数的输入、采集系统的参数修改等操作,完成后向Web应用程序服务器发出提交请求;服务器对浏览器的数据提交请求并进行处理,即进行数据分析计算、数据库存取、动态页面生成等工作;最后,Web应用程序服务器将模型运行结果返回到客户端浏览器。

2.2 远程Web访问的实现

网络远程访问使用户可以随时随地查询温室环境信息,是当前温室控制一大发展趋势。系统的远程访问功能基于Web技术,通过各CGI程序完成具体的访问[14,15]。选择使用基于Web的访问使得用户无论使用PDA还是传统个人计算机均可用于远程访问。运行于系统上的本组件实现后,用户端可使用标准浏览器,而无需针对平台,单独编写控制程序。

实现远程访问时,用户使用控制端通过网络发至网页服务器的命令被网页服务器解析,网页服务器负责启动命令中指定的CGI程序,并将命令中的各参数传递给CGI程序,具体的CGI模块与相应设备间进行网络间的通信,完成温室信息的远程访问。

3 结论

通过以上对LXI网络的温室信息远程访问技术的讨论,本文利用LXI网络和Internet的远程数据传输技术搭建远程温室监控平台,可以不再受地域因素的影响,实现对温室环境的检测和远程控制,解决网络兼容难的问题,使用户及时地掌握远程温室的环境信息,提高了工作效率,具有较大的应用前景。

摘要：针对传统温室控制在远程控制中存在的局限性,构建了一种基于以太网的新型检测平台-LXI(LANExtension for Instrumentation,局域网的仪器扩展),它能远程获取温室的环境信息。该系统由上位管理机、网络芯片STE100和智能节点组成,采用LXI网络拓扑结构的总线方式,以ARM966ES微处理器STR912为控制器。该系统软件主要是实现uCLinux内核的移植和Web远端信息的访问,客户端用户只需要通过Internet远程连接即可访问温室的环境信息。

路由和远程访问服务器的分析篇5

路由和远程访问的配置是组网中必不可少的步骤，随着路由技术的发展，相信远程访问服务器也将更加的成熟。这是路由和远程访问服务器所连接到的内部网子网上的一个地址范围。每当路由和远程访问服务器从DHCP服务器获得远程访问客户端的IP地址，或者当手动配置的静态池包含某个被连接子网的地址范围内的IP地址时，就会使用这类地址。使用子网内地址的优点在于不需要对路由基础结构作出任何变更。

子网外地址范围

这是表示逻辑地连接到远程访问服务器的一个不同子网的一个地址范围。当静态池包含位于一个单独的子网上的IP地址时，就会使用这类地址。使用子网外地址的优点在于，远程访问客户端的IP地址更容易识别。地址的类型决定了流量从Intranet节点转发到连接的远程访问客户端的方式。当某个连接的远程访问客户端发送一个包时，将发生以下过程：

1.包将通过PPP链路发送到路由和远程访问服务器。

2.路由和远程访问服务器使用IP转发过程来将包转发到某个连接的子网上的临近主机，或者更可能将它转发到一个连接的Intranet(内部网)上的一个临近路由器。关于IP转发过程的更多信息，请参见理解IP路由表。当流量被发送到路由和远程访问客户端时，将它传输到远程访问服务器的过程是不同的，具体取决于远程访问客户端是分配到一个子网内地址，还是分配到一个子网外地址。

针对子网内地址的包传输

3lian素材

对于一个子网内地址，远程访问服务器将充当一个代理“地址解析协议(ARP)”设备，对于分配给连接的路由和远程访问客户端的IP地址，它要负责响应针对这些地址的ARPRequest帧。远程访问服务器维护着分配给远程访问客户端的IP地址的列表，并代表这些客户端响应ARP请求。对于正在使用一个子网上的地址的远程访问客户端，将包传输给它的过程如下：

1.远程服务器所连接到的Intranet子网上的一个节点发送一个ARPRequest帧，请求被分配到远程访问客户端的IP地址的节点的 MAC地址。

2.远程访问服务器接收ARP请求，检查连接的远程访问客户端表，并在找到一个匹配项的情况下，使用一个包含它自己的MAC地址的 ARPReply消息来响应该ARP请求。

3.Intranet子网上的节点将包转发给远程访问服务器。

4.远程访问服务器接收该包，检查目标IP地址，确定对应的PPP连接，然后通过这个PPP连接转发该包。对于子网内地址，邻近节点将执行直接的传输，似乎就像远程客户端直接连接到邻近节点的子网上一样。邻近节点不知道目的地实际上是通过远程访问服务器来访问的。

子网外地址的包传输

对于子网外地址，远程访问服务器充当路由器，在所连接到的子网上的节点(通常是路由器)和连接的远程访问客户端之间转发包。对于正在使用一个子网外地址的远程访问客户端，将包传输给它的过程如下：

1.远程服务器所连接到的Intranet子网上的一个节点发送一个ARPRequest帧，请求对应于远程访问服务器的IP地址的MAC地址。

2.远程访问服务器使用一个包含它自己的MAC地址的ARPReply消息来响应该ARP请求，

3.Intranet子网上的节点将包转发给远程访问服务器。

4.远程访问服务器接收该包，检查目标IP地址，确定对应的PPP连接，然后通过这个PPP连接转发该包。

对于子网外地址，邻近节点执行间接传输，把远程访问服务器当作是一个路由器。为了使分配了一个子网外地址的远程访问客户端能够访问 Intranet上的节点，路由基础结构必须包含和子网外地址范围相匹配的路由，并且这些路由要指向远程访问服务器的一个Intranet接口。为了添加这些路由，您可以执行以下操作之一：由于对应于子网外地址范围的路由是自动添加到远程访问服务器的路由表中的，您可以给路由和远程访问服务器配置某种路由协议，比如路由信息协议(RIP)或开放最短路径优先(OSPF)协议，以便把不在子网上的路由传播到邻近路由器。把对应于子网外地址范围的路由当作静态路由添加到某个邻近路由器，并配置该路由器来将那些路由传播到它的邻近路由器。对于没有使用诸如RIP或OSPF之类的路由协议的小型网络，您还可以手动向路由器添加对应于子网外地址范围的路由。

获得IP地址的方法

您可以将“路由和远程访问”服务配置为自动获得远程访问客户端的IP地址，或者从某个静态IP地址池获得地址。这个配置将在您使用“路由和远程访问服务器安装向导”时进行，您可以在IP选项卡中对“路由和远程访问”管理单元中的某个远程访问服务器的属性进行更改。

自动获得IP地址

当配置为自动获得IP地址时，“路由和远程访问”服务将指示TCP/IP的DHCP客户端组件使用DHCP来一次获得10个IP地址。“路由和远程访问”服务在第一个远程访问客户端连接时(而不是在“路由和远程访问”服务器启动时)尝试获得前10个IP地址。“路由和远程访问”服务把从 DHCP获得的第一个IP地址用于内部(Internal)接口(可从“路由和远程访问”管理单元中的“IP路由常规”节点中看到)。后续的地址将在基于 IP的远程访问客户端连接时分配给它们。在远程客户端断开连接时恢复的任何IP地址都将被重新使用。

当从DHCP获得的前10个IP地址全都被同时使用，而此时另一个远程访问客户端尝试建立连接时，“路由和远程访问”服务将使用DHCP客户端组件来获得另外10个地址。您可以通过改变 HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRemoteAccessParametersIpInitialAddressPoolSize 注册表项的值(DWORD)来修改一次获得的地址数量。如果不能联系到一个DHCP服务器，DHCP客户端将返回从169.254.0.1到 169.254.255.254的“自动专用IP地址(APIPA)”范围内的地址。APIPA地址是子网外地址，它们在Intranet路由基础结构中没有对应的路由。远程访问客户端被分配到一个APIPA地址，但是却不能越过远程访问服务器开展通信。

远程访问系统篇6

〔关键词〕电子资源；远程访问；开源软件；SSL VPN；ssl-exploer

〔中图分类号〕G250.72；TP393.2 〔文献标识码〕B 〔文章编号〕1008-0821(2009)04-0160-04

Remote Access to Library Based on SSL VPN Using Open Source SoftwareXu Xin

(Library，Chongqing Jiaotong University，Chongqing 400074，China)

〔Abstract〕The paper analyzed the principle of SSL protocol and its advantage of security，low cost，easy configuration，which constructs on VPN.Meanwhile，it suggested a project of remote access to library which was based on the open source software，ssl-exploer.And it also discussed the specific ways of realization and characters.

〔Key words〕digital resource；remote access；open source software；ssl vpnssl-exploer

远程访问图书馆，又叫校外访问，是指突破IP地址的物理限制，可以在任何能上网的地方使用图书馆电子资源[1]。由于受知识产权保护、商业利益、访问速度、图书馆局域网安全性等各方面因素影响，对于图书馆购买的电子资源，无论是电子资源开发商还是购买了电子资源的高校图书馆，都不希望就此成为免费的公众资源。因此，大多数电子资源都是通过IP地址来控制访问的，合法用户通常被限制在校园网IP地址范围内使用。这样造成了本校师生在校外无法使用图书馆电子资源的现象，不仅损害了图书馆合法用户的利益，也影响了图书馆电子资源的利用率。针对这种情况，一些高校图书馆先后采取了诸如拨号上网、反向代理、VPN等各种不同的技术解决方案为本校合法用户提供校外远程访问服务[2]。

从技术上讲，VPN(虚拟专用网)是目前解决远程访问的最好选择，因为它能利用公共网络将处于不同区域的多个局域网虚拟成一个局域网，并且能提供非常好的安全保障。但是采用传统的基于IP层安全协议(IPSec)实现的VPN方案存在成本高、配置复杂等一些缺陷，相比之下，基于安全套接层协议(SSL)的SSL VPN方案能克服IPSec VPN的不足，同时具有安全接入控制、维护管理方便的特点。但是目前市场SSL VPN产品成熟度不高，标准混乱，本文从开源软件研究入手，提出一个利用免费开源软件构建SSL VPN的图书馆电子资源访问方案。以期对图书馆远程访问的具体实施起到参考作用。

1 SSL VPN技术概述

1.1 传统IPSec VPN的缺点

VPN(virtual private network)是在公共通信网络中建立一条虚拟的专用通道，利用公共通信网络来传输内部网络数据的虚拟专用网络。IPSec协议族是基于IP网络层上，为保护IP通信安全而设计的一系列协议。通过IPSec协议族提供的隧道、加密和认证等安全服务而在公共网络上构造的虚拟专用网就叫做IPSec VPN，它能为两个网络之间数据传输提供安全性，是一个LAN to LAN的解决方案[3]。但是对校外访问图书馆电子资源的应用而言，只是需要将若干分散的单个远程用户简单方便、临时地接入校园网络，而不是把两个网络固定连在一起。因此，在这种场合下，IPSec VPN方案显然不太适用，况且安装、升级以及配置IPSec VPN客户端软件对普通用户来说也是个较困难的问题，同时这种方案在穿越防火墙、配置路由器端口上也是非常麻烦的，需要对网络配置进行修改调整，存在一定的安全隐患。

1.2 SSL协议及其安全性

近来基于SSL协议的SSL VPN技术崭露头角，SSL VPN技术实现的远程访问方案能实现安全接入，而且配置和管理方便、能穿透防火墙，建设成本比目前的IPSec VPN要低许多。

SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接协议层”，它是网景(Netscape)公司提出的基于Web应用的安全协议。SSL协议指定了一种在应用程序协议(如HTTPS、Telnet、NMTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证[4]。

SSL协议主要由握手层协议和记录层协议构成，它与TCP/IP协议间的关系如图1所示[5]。

由图1可见，SSL其实在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，从而达到数据安全并且透明传输的效果。透明性使得几乎所有的基于TCP的协议稍加改动就可以在SSL上运行。

1.3 SSL VPN实现方式

SSL VPN一般的实现方式是在内部网的防火墙后面，放置一个SSL网关服务器，如果远程用户希望安全地连接到内部网，用户只需在浏览器地址栏上输入SSL网关服务器的地址，访问请求将被SSL网关服务器取得并验证该用户的身份，通过身份验证后SSL网关服务器将根据远程用户的配置权限，提供相应的内部网络资源的访问能力。

目前SSL VPN的主要实现技术有Web代理、应用转换、SSL隧道等[6]。

(1)Web代理(Proxy)：SSL VPN网关将来自远端浏览器的页面请求(采用HTTPS协议)转发给Web服务器，然后将服务器的响应回传给远程用户。

(2)应用转换(Application Translation)：对于非Web页面的文件访问，往往借助于应用转换。SSL VPN网关与内部网的应用服务器通信，将这些服务器对客户端的响应转化为HTTPS协议和HTML格式发往客户端。

(3)SSL隧道(SSL Tunnel)：它也需要在远程用户机器上运行一个小的Java或ActiveX程序，根据网络层信息(如目的IP地址和端口号)进行安全加密的接入控制。

从以上分析可以看出，基于SSL协议实现的SSL VPN能够满足TCP协议网络应用，包括传统的C/S模式应用和目前盛行的B/S模式应用，同时具备了安全加密传输的特点。更重要的是SSL协议已经被浏览器软件内置支持，客户端无需安装设置，使用简单便捷，这是SSL VPN相对于Ipsec VPN的最大优势。

2 基于开源软件实现SSL VPN方式的图书馆远程访问方案

2.1 方案设计思路

目前SSL VPN产品在VPN市场上比较热门，种类较多，产品性能各有不同。但同时我们也看到，SSL VPN市场标准尚未统一，良莠不齐，产品普遍价格较高，这些都给用户的SSL VPN设备选购带来了不小的困难。

对图书馆电子资源远程解决方案而言，Web方式访问的电子资源虽然占多数，但目前也有少量C/S方式的数据资源，同时图书馆也要求解决方案满足低成本，配置简单，扩展性好，管理方便的特点。通过分析比较，结合图书馆的实际需求，我们选用一款免费的功能强大的开源软件“ssl-explorer”来实现SSL VPN方式的图书馆远程资源访问，可大大节省网络建设成本，设置及维护也很简单。

2.2 ssl-explorer的特点

ssl-explorer是Internet上第一个开源的SSL VPN软件，由3SP公司开发维护，分为2个版本：一个是免费的Community Edition(社区版)，另一个是需要付费的Enterprise Edition(企业版)。企业版的功能比社区版多，但是对图书馆电子资源远程访问需求而言，免费的社区版的功能已足够满足要求。

ssl-explorer是用JAVA语言开发的，能运行在各种操作系统平台上。在对远程用户的鉴权认证方式上，既可以采用本地数据库方式，也能与第三方鉴权方式相配合(如RADIUS，AD，LDAP)[7]。

在SSL VPN技术实现方式上，ssl-explorer软件支持上文提及的Web代理、应用转换、SSL隧道，其中Web代理又分为四种模式“Tunneled Web”(隧道Web)、“Replacement Proxy”(替换代理)、“Path-Based Reverse Proxy”(基于路径的反向代理)、“Host-Based Reverse Proxy”(基于主机的反向代理)。

“Tunneled Web”是ssl explorer默认推荐模式，使用较简单，这种方式的工作原理如图2所示。

SSL VPN网关服务器是位于内部网内，它通过与因特网相连为远程用户提供SSL接入服务。远程用户使用Web浏览器访问SSL VPN网关服务器，服务器启用HTTPS协议首先对用户的身份进行验证，通过了身份验证，用户Web浏览器自动从SSL VPN网关服务器下载一个代理Agent程序(Java applet)，然后获得一个该用户权限所能访问的内部网络资源列表。当用户发出对某个内部资源主机的Web访问请求时，该请求不会直接发给拥有该资源的目标主机，而是被Agent截获，将数据加密用HTTPS协议先发给SSL VPN服务器，SSL VPN服务器收到加密数据后，通过代理方式向目标主机发出请求，并接收来自目标主机资源的数据，然后使用SSL加密数据，最后通过HTTPS协议回发给远程用户[6]。

Web代理方式中另外3种方式，与上面过程类似，只是不需要下载Agent程序。不管使用那种代理模式，远程用户客户端都只需使用Web浏览器，就能够安全接入到SSL VPN网关服务器，通过网关服务器提供的SSL VPN服务，像内部网络用户一样方便地享用网络资源。

2.3 系统的安装与本地部署

整个方案的连接示意图如图3。

在校园网的防火墙之后部署1台电脑安装和配置ssl-explorer软件作为SSL VPN网关服务器，即可实现图书馆电子资源远程访问。

安装和配置ssl-explorer的主要步骤如下：

2.3.1 下载编译ssl-explorer软件

本文选择windows xp系统安装ssl-explorer。从“http：∥3sp.com/showSslExplorer.do”下载免费版“ssl-explorer for windows”软件源码，然后再安装JDK1.5(或以上版本)和Apache ANT 1.6.0(或以上版本)2个软件保证必要的编译和运行环境，按照ssl-explorer的编译配置帮助，利用ANT编译安装即可。

ssl-explorer安装过程中需要注意以下几个地方：

①SSL证书设置：可以选择自建证书，提高系统安全性。

②鉴权方式：选择本地数据库最简单，不需要其他专门的数据库软件支持。

③选择管理员用户名和密码：后面的参数配置都要由管理员登录来完成。

2.3.2 ssl-explorer系统参数配置

软件安装完成后，在本机上用浏览器访问“https：∥localhost”，出现一个登录界面，输入管理员用户名和密码即进入系统管理页面，系统参数设置都在这个页面进行。在系统管理页面需要注意的是“Resources”(资源)的访问方式的参数设置，共有4种方式：

①“Web Forwards”，适用于Web应用。

②“SSL Tunnels”适用于基于TCP协议的C/S应用程序，类似于IPSec隧道实现技术。

③“Network Places”用于远程用户访问内部网的文件服务器(如FTP)。

④“Applications”用于网关服务器发布，由客户端下载运行的在线应用扩展程序。

一般选择“Web Forwards”即可。

2.3.3 访问控制管理

在系统管理页面的“Access Control”中可以设置远程用户组别、用户账号和初始密码、访问权限及策略、远程IP限制等参数。

2.3.4 防火墙的参数设置

不需要对现有的防火墙或网络设备做什么变动，只需要防火墙开启了443端口，以便远程用户机器能够通过HTTPS协议访问ssl-explorer网关服务器。

2.4 软件的优化与改进

原始的ssl-explorer软件无论从界面和功能设置上都不太适合中文用户的使用习惯，因此需要对软件做一些修改和完善。

2.4.1 汉化界面

ssl-explorer应用的主要障碍是界面汉化的问题，ssl-explorer是由ssl-explorer的服务器端代码和客户端agent代码两部分组成，汉化界面主要集中在服务器端，在Ant环境下对各模块界面和文字和图片进行替换即可。

2.4.2 客户端agent的修改和编译

客户端agent其实是一个java applet程序，它会自动从SSL VPN网关服务器下载运行，不需要远程用户安装和配置。这个applet软件的界面很简单，汉化较容易，需要改进的是增加对远程用户的提示帮助功能。另外客户端的java applet需要突破java本身固有的安全限制，它的编译和安装方式与服务端有所不同，主要步骤如下：

①利用jdkbin目录下的keytool创建RSA密钥：

keytool-genkey-keystore[storename.store]-alias[aliasname]

keytool-genkey-alias[aliasname]-keyalg RSA

(注：[aliasname]代表密钥的名称)

②安装自己的测试证书：

keytool-export-keystore[storename.store]-alias[aliasname]-file[certificate.cer]

keytool-export-alias[aliasname]-file[certificate.cer]

(注：[certificate.cer]代表证书的名称，一般证书都以.cer为后缀名)

③生成Applet使用的jar文件(将编译后的class文件打包成jar)：

jar cvf[jarname.jar][classfilename.class]

④用RSA密钥签名Applet：

jarsigner-keystore[storename.store][jarname.jar][aliasname]

jarsigner[jarname.jar][aliasname]

至此获得的这个Applet就是能SSL VPN的客户端agent程序。

2.5 ssl-explorer方案的优势

采用开源软件ssl-explorer来实现SSL VPN方式的远程访问方案，主要有以下优势：

(1)“零安装”的客户端：不需要对客户端做任何安装配置，客户端自动下载运行的Agent是Java Applet程序，完全兼容目前流行的各种web浏览器，对客户端操作系统类型也没有限制，具有广泛的适用范围。

(2)网络部署灵活方便：使用建立在SSL基础之上的HTTPS协议进行通讯，由于目前几乎所有的防火墙和网络设备都支持HTTPS协议，因此，不需要对设备或网络设备做任何改变就能方便地实施。

(3)安全性高：远程客户端对图书馆内部网络的所有访问都通过SSL VPN服务器代理完成，即客户机与图书馆内部网络间没有直接的网络连接，所以黑客和病毒无法对图书馆内部网络进行破坏，加强对SSL VPN服务器的网络安全防范措施即可提高对黑客和病毒的入侵攻击。

(4)开源代码免费，且功能可扩展：首先是开源软件的免费，降低了建设成本，其次是有完整的软件源代码，图书馆技术人员能够对软件功能进行修改、完善和个性化改造。

3 结语

利用开源软件ssl-explorer实现的基于SSL VPN的图书馆电子资源远程访问方案具备安全性高、成本低、管理方便、易于扩展等优点，有很好的推广价值。该软件的功能相当丰富，本文只是重点分析了针对B/S模式的实现方式，其他比如“SSL Tunnel”实现C/S模式远程访问、“Network Places”实现文件服务器访问等等，限于篇幅都没有深入探讨。由于ssl-explorer的最新源码可以从Internet自由下载，在具备源代码的条件下，该软件的功能扩充和完善工作并不是一件困难的事情。从长远建设来看，要对开源软件的功能进行扩展优化或个性化改造，图书馆需要配备一定水平的技术人员，其实这也是图书馆数字化建设的必然要求和发展趋势。

参考文献

[1]夏志方.远程访问图书馆电子述[J].图书情报工作，2006，(3)：123-126.

[2]叶新明，陈光锋.校外访问代理软件的分析与比资源技术综较[J].现代图书情报技术，2006，(1)：83-85.

[3]海滨，唐全.VPN技术及其安全优势的分析[J].电气电子教学学报，2003，(6)：46-49.

[4]张学杰，李大兴.SSL技术在构建VPN中的应用[J].计算机应用，2006，(8)：1827-1830.

[5]朱伟珠.基于SSL协议的数字图书馆资源远程访问[J].图书馆建设，2007，(5)：41-43.

[6]郭铃，李伟生.SSL VPN的设计与实现[J].计算机技术与发展，2007，(8)：148-150.

远程访问系统篇7

关键词：安全认证,远程访问系统,邮政综合网

随着信息化的迅猛发展,各行各业对信息系统的依赖越来越强,因此计算机及网络风险日益突出。仅在金融行业,计算机犯罪案件就以每年30%以上的速度增长,涉案金额也越来越大,且具有以下几个特点:(1)犯罪主体以内部或内外勾结为主;(2)作案目的以盗窃资金为主;(3)发案原因多以有章不循、屡禁不止、检查监督不力等内部风险控制和运行管理方面的安全漏洞为主。

因此加强计算机及网络内部管理和监控是保证计算机系统安全生产的重中之重,为此,采用了多种技术手段,如会话加密、数字证书、防火墙、虚拟专用网等,但运维管理仍存在较多的安全隐患,特别体现在针对核心服务器的远程访问的运维管理上。

首先,目前对服务器的缺乏必要的审记手段,仅能通过录像、双人分段保存密码、操作系统日志结合手工记录操作日志等管理办法,无法追溯操作人员的在服务器上的操作过程、了解操作人员行为意图,并且这样的管理成本很高,很难做到长期照章执行。

其次,对服务器的维护和管理依赖于操作系统的口令认证,口令具有可被转授、被窥探及易被遗忘等弱点。

另外,在实际环境中还存在多人共用一个账号等现象,使得管理存在很大的安全漏洞,直接威胁服务器安全。

1 网络安全认证

针对邮政综合计算机网省中心远程接入需求进行详细分析,采取身份认证、传输加密、事件审计、过程控制、安全事件响应机制等技术建立一套综合网省中心远程接入控制系统,确保远程访问操作的安全进行。主要包括:

(1)身份认证,对远程访问综合网省中心的用户进行严格的身份认证,并根据不同的身份赋予不同的操作权限;

(2)传输加密,从远程访问的客户端开始采用加密技术进行数据的安全传输;

(3)事件审计,对远程访问的操作进行记录日志,并以文本和录像的形式再现详细的操作过程;

(4)过程控制,根据预先设定的不同操作权限、操作级别的用户进行操作控制,不允许超越级别和权限的动作发生。

1.1 安全认证流程

图1描述了安全认证的流程:(1)服务器访问前端输入登录的目的服务器IP地址、操作员号、指纹等数据发送请求包到远程访问管理系统服务器;(2)远程访问管理系统服务器验证密码或者指纹、判断是否符合访问策略后,返回响应数据包;(3)服务器访问前端收到远程访问管理系统服务器返回的验证通过的信息后,自动向登录的目标服务器发起登录请求;(4)服务器端的远程访问管理系统安全模块验证请求包合法后,许可服务器访问前端按远程访问管理系统返回的权限访问。

1.2 操作审计的流程

图2描述了操作审计的流程:(1)服务器访问前端向远程访问管理系统服务器发送操作指令数据,远程访问管理系统服务器记录审计日志;(2)远程访问管理系统服务器成功记录操作指令后,服务器访问前端向核心服务器发送操作指令;(3)核心服务器返回指令的运行结果;(4)服务器访问前端将核心服务器上的运行结果送远程访问管理系统服务器记录审计日志,然后在服务器访问前端显示运行结果。

2 确定适应邮政远程访问系统的方案

由于湖南省绿卡网、综合网、电子邮政三网系统建设不同步、网络覆盖范围不统一和实现技术不一致等原因,以前在全省范围内形成了绿卡网、综合网两套完全冗余而又相互独立的网络平台。2002年初,为了满足湖南省邮政三网业务发展规模不断扩大的需求,优化省三网网络环境,故而进行了全面的网络资源整合,调整全省三网系统建设思路,将三网(邮储、综合网、电子邮政)统一构建成一个网络传输平台,用于承载省各项邮政业务。于2002年5月完成了省中心到市州级ATM骨干网络的扩容工程,市到县级网络系统扩容工程也正在实施当中。到目前为止,湖南省已建成一个可承载邮政各项业务系统,网络规模覆盖全省市、州、县、乡级,具有良好可用性、可靠性、可扩充性和安全性,集数据、视频、音频等功能于一体的网络支撑平台。

湖南省邮政计算机网络系统做为全国邮政计算机网络系统的一部分,总体结构可划分为为三层四级结构。三层即核心层、分布层、接入层,四级即省中心、地市中心、县中心、网点四级。全省网络拓扑图见图3。

2.1 系统总体网络结构

系统网络要求遵循目前的网络结构,以不改动网络结构为基础。系统网络结构图如图4所示。

湖南邮政远程访问管理系统不单独组网,整个系统作为湖南邮政综合计算机网的一个子系统,采用全省邮政网络传输平台进行数据的传输和实现全省各市州(县)对远程访问管理系统服务器的访问。

远程访问管理系统服务器、受访问主机、客户端三者只要通过网络互相联通即可。一般而言,客户是能够访问主机,这样,将远程访问管理系统服务器设置在受访主机同一个网段里即可。

3 结束语

通过采用安全认证的远程访问系统,加强了计算机及网络内部管理和监控,杜绝内部作案的可能性,建立良好的故障处理反应机制,保障银行信息系统的安全正常运行。

参考文献

[1]许永江.金融安全认证手段的融合[J].互联网田地,2008(12):58.

[2]伍红华.网格安全认证模型的建立与研究[J].湖北师范学院学报:自然科学版,2007(4):8-11.

[3]周功业.基于角色访问控制的对象存储安全认证机制[J].计算机工程与设计,2007(24):5847-5849.

远程访问系统篇8

虚拟专用网(Virtual Private Network,简称VPN)是指在公用网络上建立专用网络的技术。整个VPN网络的任意两个节点之间的连接并没有传统专用网络所需要的物理链路(如DDN或帧中继等),而是架构在公用网络(如Internet)之上的逻辑网络。因此,虚拟专用网是对企业内部网的扩展,虚拟专用网可以实现远程用户、企业分支机构、商业伙伴及供应商公司等的内网建立安全可信的网络链接,保证数据的安全传输。其中,IPSec、MPLS VPN和SSL VPN是目前使用较多的VPN技术。

随着社会信息化的发展,高等教育信息化程度越来越高,由于数据库知识产权和版权等限制,居住在校外的师生访问不了校园内部馆藏资源,给校外师生的学习科研造成不便。针对于目前各个高校普遍存在的问题,使校外师生通过相应的身份认证技术进入校园网然后利用校园网IP地址合法王文校内的电子资源数据库,满足校外师生远程访问电子资源的需求。因此,采用VPN技术既能保证电子资源数据库的知识产权,又能实现校外师生访问馆藏资源,提高电子资源的利用率。

2 VPN技术简介

采用VPN技术能给用户带来的好处有:

1)使用VPN技术可降低成本。通过公用网建立VPN,可以节约大量的通信费用,而不用投入大量的人力、物力去安装、维护广域网(WAN)的线路设备。

2)传输数据安全可靠。由于虚拟专用网采用加解密技术和身份认证技术等,保证数据的可靠性及传输数据的安全性和保密性。

3)连接方便灵活。用户通过VPN网络,合作伙伴之间就不需要在双方之间租用线路或帧中继线路,可以直接通过VPN配置安全连接线路即可。

4)完全控制。虚拟专用网虽然使用ISP的设施和服务,但完全掌握自己网络的控制权,对于网络安全设置、网络管理变化都可自己管理,便于管理。

3 远程访问校园网资源存在的难题

由于校外用户访问校内电子资源过程中存在用户环境复杂、安全性高、使用方便、访问量大等问题,使校园网目前普遍存在以下问题:

1)用户希望随时随地能够快速访问校园网内的电子资源数据库。由于大多数电子资源仅供学院内部使用,具有知识产权保护,因此大多数电子资源在开放前都对合法用户的IP地址等进行限制,防止校外非法用户使用。而校外的合法用户由于使用的电脑IP地址不是合法的IP地址,因此不能正常访问电子资源。由此可见,校外合法用户如想正常使用校园网的电子资源数据库,需要获取校园网IP地址,采用合法使用电子资源。

2)用户接入方便和远程接入易用原则。由于大多数师生对计算机网络专业知识了解不够,因此,希望在进行VPN连接时能够方便快捷,而且在连接过程中容易实现连接,便于实现及网络故障维护。

3)系统的可扩展性。由于校园网电子资源较多,所支持的技术平台也各种各样,因此,要求用户在使用过程中的各种访问方式都能够支持,具有通用性和可扩展性。

4 采用VPN技术实现远程访问校园网资源

随着社会信息化和对资源的不断需求,大多数师生在校外进行备课、科研等工作时需要及时有效地访问校园网电子资源数据库,因此,校园网必须提供一种有效的远程访问方式。通过采取VPN技术,可以突破校园网电子资源访问瓶颈,实现校园网之间的信息资源共享,实现远程访问校园网资源。

4.1 主要的技术难题

校园网通过VPN技术实现时需要考虑资源开放与访问权限两大问题。

1)网络资源开放。要保证校外师生能够像在校内网一样能够访问校园网所有的电子资源数据库。

2)校内资源的访问权限。

既要保障校外师生方便使用校内网电子资源的同时,也要保障资源的安全性。因此,在通过VPN技术实现资源开放的同时,需要针对于师生用户的不同需求,通过设置不同的访问权限来加以限制,要使师生在校外方便地远程接入校园网,保证高可靠的网络应用。

4.2 采用SSL VPN技术实现用户远程访问校内资源

SSL VPN是采用SSL(Security Socket Layer)协议来实现远程接入的一种VPN技术,相对于传统VPN,SSL VPN具有部署简单,维护成本低,网络适应强等特点。海蜘蛛路由系统针对中国互联网的特点,根据终端接入路由器的功能需要,专门设计并构建了一套专用Linux系统,并以此系统为基石,以用户需求为导向,逐步开发了路由系统的各个通用模块,以及针对有中国特色的网络环境所设计的一系列专用模块。整个系统模块化程度高,灵活性和可扩展性强,体积精减、运行效率高,安全性好、稳定性佳,并具有良好的硬件兼容性。海蜘蛛路由系统中关于SSL VPN技术的解决方案如下:

1)SSL_VPN服务端的设定

a)设定SSL_VPN服务参数。进入“服务应用”→“SSL VPN服务”,如初次使用需要生成证书、密钥等文件,点击在右下角的“证书密钥文件管理”在弹出的窗口中单击“这里”即可“重新生成CA、服务器端证书及TLS密钥”,如图1(a)所示。然后单击导出按钮即可导出刚刚生成的证书文件:ca.crt、ca.key、server.key、ta.key、server.crt。如果之前导出过上述5个文件,则可以上传其到服务器,沿用原有的证书及密钥,无需重新生成。

b)VPN参数设置

VPN连接参数设置如图2所示,其中,协议类型/监听端口设置为UDP,端口默认为1194,如更改,则需要在客户端进行更改设置。VPN子网地址是为链接到此VPN服务器的客户端分配的IP地址,一般使用的是内部保留IP地址,即用192.168.*.*或10.*.*.*,这里我们使用10.10.0.0/255.2555.0.0,此地址可根据本单位的实际情况自行设置。VPN安全参数设置如图3所示。如果想让客户端拨入后能访问远程局域网,只需勾选“允许客户端访问本地局域网”。

c)VPN用户管理

VPN服务器端用户管理主要是管理客户端用户连接VPN服务器时需要登录的用户名和密码,以及对客户端状态、IP地址等信息进行管理。在服务器管理界面中,进入“服务应用”→“用户账号管理”,点击新增用户,如图4所示:

其中分配固定IP地址是为此用户分配固定的IP地址,并且此IP地址在任何时候不能在分配给其它客户端。如果需要让某个帐户拨号后始终获得一个固定的VPN IP地址,在“分配固定IP”项输入想要分配的IP即可,如10.10.0.2.

2)SSL_VPN客户端的设定

从Open VPN官方网站下载Open VPN 2.2.1 for Windows程序。下载后双击下载文件进行安装,其安装使用默认参数即可,一直点击Next直到完成。默认安装在C:Program FilesOpen VPN目录下面。然后再对客户端进行配置如下:

a)进入C:Program FilesOpen VPN目录,将从服务器导出的2个文件(ca.crt、ta.key)放到config子目录下。

b)拷贝sample-config目录下的client.ovpn到config子目录下。

c)用记事本打开client.ovpn文件,清空里面的内容,并加入如下内容,如图5所示。其中采取的协议类型、服务器IP地址及端口等需要和服务器端一致。

3)系统测试结果

右键单击client.ovpn配置文件,选择“Start Open VPN on this config file”启动VPN连接。然后依次输入用户名和密码,如果正确,就会看到连接完成的提示。此时,右键单击“网上邻居”,选择“属性”进入网络连接页面,在“LAN或高速Internet”栏中会多出一个已连接的图标,双击它,会看到相关的VPN连接信息,如图6所示。点击详细信息,可以看到此链接的详细信息,如图7所示。最后可以通过ping命令进行网络测试。

5 结束语

SSL VPN网关位于企业网的边缘,介于企业服务器与远程用户之间,控制二者的通信。SSL VPN采用标准的安全套接层(SSL)对传输中的数据包进行加密,从而在应用层保护了数据的安全性。SSL VPN克服了IPSec VPN的不足,用户可以轻松实现安全易用、无需客户端安装且配置简单的远程访问,从而降低用户的总成本并增加远程用户的工作效率。目前该系统在郑州大学西亚斯国际学院图书馆得到运用,运用方便灵活,配置安全简单,使用效果显著。

摘要：随着高校校园网可供师生访问的资源日渐增多,由于知识产权和版权等因素使得相当部分电子资源只能在校园网内部访问,不能对外网开放,校外居住的师生访问不了校园网内部资源,采用VPN技术可以实现校外师生远程访问校园网内部资源。该文根据VPN技术的不同特点和校园网应用的实际需要,探讨采用SSLVPN技术实现用户远程访问校园网资源。实验结果表明,该系统有运行效率高,安全性好、稳定性佳等优点。

关键词：VPN技术,SSLVPN,校园网,资源

参考文献

[1]弗拉海.SSL与远程接入VPN[M].王哲,罗进文,白帆,译.北京:人民邮电出版社,2009.

[2]金汉均,汪双顶.VPN虚拟专用网安全实践教程[M].北京:清华大学出版社,2009.

[3]夏冬.利用Windows server2003搭建图书馆VPN服务器[J].科技情报开发与经济,2010,20(2):37-39.

[4]张丽平,谢宝义,史东风.SSL VPN技术在高校图书馆应用的实例与分析[J].科技情报开发与经济,2010,20(8):52-53.

远程访问系统篇9

众所周知, 我国高校越来越重视数字化校园的开发和建设, 依托网络技术开展电化教学、电子教学资源的应用。近年来, 很多高校都购置了大量的电子数据供广大师生开展教学、科研工作, 这些资源对于学校学科建设和科学研究工作有很重要的意义。但是, 不管是什么类型的图书, 都要遵循数字版权保护 (Digital Rights Management, DRM) 的规定。在保护知识产权的背景下, 高校图书馆所购买的电子资源大部分都有限制访问的IP地址范围。一般仅限于校园网内, 即数据库服务商是根据访问者的IP地址来判断你是否经过授权的用户, 只要是从校园网出去的IP地址都是认可的, 用户就可以使用数字资源, 反之则认定是非法用户, 无法访问数字资源。

随着学校的发展, 越来越多的教师和学生在校外居住, 他们迫切要求在校园外也能够共享到图书馆的数字资源, 同时还有大量的校友、客座教授、外聘教师、合作单位教师也需要随时随地地接入校园网共享丰富的校园网资源。但他们使用的都是社会网络运营商提供的IP地址, 不是校园网的IP地址范围, 数据库服务商认为是非授权用户, 拒绝访问。因此, 本文提出了一套基于VPN技术的远程访问电子图书馆的解决方案, 将校园网当作校外用户的中转站, 使校外用户通过转换后拥有校内地址再访问资源数据库。这样, 拓宽图书馆数字资源的使用地域, 提高了学院资源的利用效率, 方便广大师生更好的展开教学、科研工作。

2 VPN概述

虚拟专用网络, 简称VPN (virtual private network) , 是一种利用隧道、加密和认证等技术, 在开放的Internet上建立一条专用的安全信息通道来扩展内部网络, 从而使经过鉴权的受信任用户可以通过互联网远程访问内网所需资源的网络系统, 即所谓的“化公为私”的这样一种技术。VPN技术的核心是“隧道”技术, 通过该技术实现专用化数据安全传输, 从而实现虚拟专用网线的链接。目前, 最流行的两种Internet远程安全接入技术为:IPSec VPN和SSL VPN。

IPSec (Internet Protocol Security) , 即Internet协议安全性, 是由I-ETF (Internet工程任务组) 制订的一系列RFC (Request For Comments, 一系列以编号排定的文件) 标准协议所组成的体系。IPSec VPN工作在IP层, 其原理类似于数据包过滤防火墙, 当接收到一个IP数据包时, IPSec通过查询SPD (安全策略数据库) 决定对接收到的IP数据包的处理。因此, IPSec VPN主要应用于面到面的网络通信, 不局限于Web应用, 数据传输的安全性和应用的扩展性更强, 适用于多校区图书馆之间管理系统的共享问题, 现场采购和采访人员远程查重问题等。

SSL (Secure Sockets Layer) , 即安全套接层协议, 是由Netscape公司设计的基于Web应用的安全协议, 它指定了一种在应用程序协议 (如Http、Telnet、SMTP和FTP等) 和TCP/IP协议之间提供数据安全性分层的机制, 它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。基于SSL VPN的Web浏览器模式结构如图1所示, 用户的整个访问过程是从Web浏览器至Web服务器, 并经过SSLVPN服务器中转, 即由SSL协议构建了一条从外网访问内网资源的安全访问通道。因此, SSL VPN主要应用于点到面的网络通信[1], 具有简单易用、网络部署灵活方便、可操作性强、维护成本低、支持移动设备接入等显著优点。

3 基于VPN技术的远程访问系统

3.1 系统资源

通过远程访问系统, 可实现校外访问学院图书馆资源、学院主页页、学院办公系统、教务系统等。目前本馆的数字资源中既有镜像资源源也有网络数据库, 主要包括14个数据库, 如:中国期刊库 (CNKI) 、读读秀和数字化馆藏图书等。远程访问系统服务旨在对经过数据库服务务商授权的电子资源提供365天、每天24小时的免费在线服务, 来提提高资源利用效率、最大程度地满足读者的信息需求, 让读者可以不不受时空和地域的限制访问学院系统和获得授权的电子资源。

3.2 系统用户

为了更有效的利用学院电子资源, 本远程访问系统的用户主要包包括:住在校外的本校教师、与本校有合作关系的学校和企事业单位位相关人员、毕业生、在校生 (假期期间的使用) 和区域内高校和中学学的教师学生。对高校来讲, 有利于高校馆之间资源的互补利用。对中中学来讲, 可以有效改善由于中学经费受限造成图书资料稀缺的状况况, 还可以不必增加图书资料存储设备和图书管理人员、技术人员, 并并使中学生有途径提早了解感兴趣的大学课程和专业课程。关键是区区域教育图书馆联盟的建立, 使区域内高校、中学的教育成为一个比比较完整的体系。

3.3 用户组权限

本系统设置有teacher和VIP会员两个用户组。用户组在电子资源源的需求和使用方面存在较大的差异性, 为了保障用户安全、高效地地使用资源, 管理员对不同的用户组设置了不同的访问权限。tteacher用户组的用户成员是住在校外的本校教师, 此用户组的访问权权限较大, 可以访问学院图书馆资源、学院主页、学院办公系统、教务务系统等。VIP会员用户组的用户成员包括企事业单位相关人员、毕毕业生和区域内高校和中学的教师学生, 此用户组的访问权限较小, 只能访问学院图书馆资源。

3.4 网络配置

我校VPN系统是通过三级级联和端口映射实现的。一级:学校的防火墙 (公网IP:60.6.254.190) , 二级:学校局域网路由 (IP::10.8.28.100) , 三级:VPN服务器 (IP:192.168.1.10) 。一级路由IP的80、443、2222、3306端口映射到二级路由IP的相同端口, 二级路由IP的80、443、2222、3306端口映射到VPN服务器的相同端口。如图2所示。80端口的功能:访问VPN的主页;443端口的功能:提供加密和通过安全端口传输的另一种HTTP。

3.5 系统访问模式

本系统采用C/S (Client/Server) 结构的网络应用。综合考虑了组网和安全的技术、单位的网络条件、具体应用、经费及技术力量等, , 本馆选择了经济而又高效的SSL VPN系统来实现资源共享[2]。将SSL VPN应用客户端通过基于WEB的Active X形式, 来实现客户端远程接入, 如图3所示。

首次使用VPN服务的客户端, 在输入用户名、密码、身份证号, , 选择用户组, 点击登录后, 浏览器会自动弹出提示框, 选择“安装Active X控件”, 将下载ENLINK SSL VPN控件, 并提示安装, 安装完控件后, 客户端与服务器之间即建立了数据传输的虚拟隧道;对于已经安装过Active X的客户端, 再次登录使用VPN服务时, 系统会自动检测客户端Active X的安装和配置情况, 即可显示和使用其电子资源。

3.6 网络安全

安全性是VPN的一个显著特点。VPN上的设施和服务完全掌握在图书馆手里。用户认证、访问权限、安全性和资源管理等重要工作, 主动权完全由图书馆掌控。SSL VPN只开放443端口传输数据所以黑客不易侦测出系统内部的网络结构, 内部网络受攻击的机会将大大减少, 同时, 病毒从远程客户端入侵的可能性也会大大降低。

本系统还采用了特色安全机制保护网络安全。首先, 在发放用户名和密码时, 会详细登记用户的工作单位、身份证号和联系方式等, 并把这些用户资料记录在一个新的数据库里。如果发现用户恶意下载或没有遵守关于数字资源知识产权保护的相关规定, 可以立即联系到该用户, 一经查实, 将停止该用户的使用权限。其次, 在用户登录时, 必须输入身份证号, 防止账号被盗和匿名登录。

SSL VPN有多种身份认证方式:DB认证、LDAP认证、RADIUS认证、AD认证和数字证书认证等。DB认证是本地数据库认证。LDAP是一种轻型目录访问协议, 具有结构清晰, 查找速度较快的特点。RADIUS认证是业界普遍采用的认证协议。Active Directory认证是Microsoft公司的目录结构的认证方式。数字证书认证需要生成和分发证书。本系统采用DB认证方式进行客户端身份认证, 在用户登录时, 输入用户名、密码和身份证号, 借助Web应用程序自动进行, 简单, 快速, 安全, 节省人力。

在这样的多种安全机制保护下, VPN虚拟网络中的数据虽然会通过公共网络传输数据, 但数据的安全性是有足够保证的。

结束语

SSL VPN技术帮助用户通过标准的Web浏览器就可以访问图书馆应用数据库, 提高了图书馆的资源利用率, 为图书馆的远程文献信息服务打开新局面, 使读者和用户能够不受时间和空间的限制地访问电子资源, 真正发挥高校在全社会知识、资源普及和共享中应有的作用。

摘要：本文介绍了VPN技术, 并分析了IPSec VPN和SSL VPN两种主流VPN技术特点。以邢台职业技术学院为例, 详细阐述了如何利用VPN技术构建远程访问系统, 让读者可以不受时空和地域的限制访问学院电子资源。

关键词：VPN,远程访问,数字化

参考文献

[1]易光华, 傅光轩, 周锦顺等.M PLS VPN、IPsec VPN和SSL VPN技术的研究与比较[J].贵州科学, 2007 (25, 2) :34-38.

配置远程访问服务篇10

一直以来, 专用的、高速的点到点连接是需要安全传输大量数据的公司的首要解决方案。但是, 许多IT业界的高层人士却对跨专网的广域联网成本感到有些为难。随着IT资源和预算的增加, 人们的期望值也随着增长, 这种增长是以指数级来计算的。IT管理层正寻找更加有效和更加具有竞争力的方法。为了实现这些愿望, 公司把注意力投向了虚拟专用网 (VPN) ——全球的基于因特网的远程接入解决方案。

一、远程访问服务概述

远程访问服务 (RAS) 允许客户机通过拨号连接或虚拟专用连接登录网络。远程客户机一旦得到RAS服务器的确认, 就可以访问网络资源, 就好像客户机已经直接连接在局域网上一样。

远程访问连接方式

远程访问服务适合的环境内外是:在各地有分公司和出差的员工需要访问总部网络的资源。如何在公司总部局域网上实现安全、方便、低成本的远程访问服务呢?Windows Server 2003的远程访问服务提供了答案。

Windows Server 2003远程访问服务提供了两种远程访问连接方式:

(1) 拨号网络

(2) 虚拟专用网 (VPN)

二、配置远程访问服务

案例:某公司出差的员工需要访问公司局域网的文件服务器上的共享文件夹doc。文件服务器的IP地址为10.1.1.2。出差的员工使用VPN连接到公司局域网, VPN服务器的IP地址为192.168.1.2, 出差的员工的计算机的操作系统为Windows XP, IP地址为192.168.1.11

激活路由和远程访问服务

RRAS是Windows Server 2003的默认安装组件, 其初始状态处于停用 (红色向下的箭头表示停用状态) , 所以在配置RAS之前, 必须将其激活。

(1) 打开“开始”菜单, 选中“管理工具”→“路由和远程访问”命令。