基于VPN实现企业虚拟私有云的体系架构

随着企业IT基础设施的不断发展和完善,数据中心整合和虚拟私有云技术越来越成为企业关注的重点。提出一种基于虚拟专用网络实现企业虚拟私有云(VPC)的体系架构,并讨论实现该体系结构的目标和途径,重点阐述基于虚拟专用局域网服务(VPLS)技术实现VPN的设计原理,最后给出所述VPC架构在上海烟糖集团数据中心部署中的验证。     

虚拟专用网与防火墙集成的设计

虚拟专用网和防火墙是当前网络安全防御体系中两个非常重要和常见的防御设施。首先提出了集成实现虚拟专用网和防火墙两者功能时,VPN网关和防火墙的相对放置位置的几种方案,并分析了每种方案的优缺点。最后给出了将VPN网关和防火墙作为一个整体设备,实际安装到内部局域网与互联网之间时一个比较好的实现方案。     

VPN与隧道技术研究

文中比较了隧道技术中常用的协议，并在此基础上提出了一个实现可靠的数据传输的系统方案。     

基于路由器的VPN设计与实现

基于路由器的VPN具有配置简单、安全性高、支持网络地址转换等特点。分析了路由器VPN的基本原理和实现方法设计并实现了基于路由器的VPN。     

基于层化IPSec的VPN方案

提出了一种基于层化IPSec的VPN方案。该方案采用层化IPSec保护机制,对数据报不同部分进行区分,提供不同的安全服务,满足新出现的诸如流量工程、QoS、流量分析等应用和服务;在此基础上通过模块化方式设计的VPN模型,不但有利软件与嵌入式实现,而且还可以大幅度降低构建VPN的成本和周期。     

多端口选择环境下的改进VPN网络通信优化仿真

VPN在工作过程中,总线数据需要选择对应的端口进行通信,存在数据的多端口选择过程,一旦数据选择非最优端口,校验程序会提示出现通信错误,需要重新进行通信端口选择,以完成通信.传统的方法在进行端口重新选择时,需要在疑似正确端口中,进行车轮式端口试错,以找到最优通信端口,虽然加入了端口选择约束条件,但是一旦网络端口过多,端口选择过程相当复杂,导致网络通信效率下降.为此提出基于马尔科夫链算法的改进虚拟专用网络通信优化方法.根据支持向量机原理,对虚拟专用网络中的大量端口进行分区,将端口数据特征建立马尔科夫链模型,用低优先级业务组重传的均值代替初始通信特征值,以保证快速找到最优端口,降低通信时间.实验结果表明,利用改进算法进行多端口选择环境下的改进VPN网络通信优化处理,能够极大的提高通信的效率,降低通信的误码率.     

基于VPN技术的组网方案探讨

基于VPN技术,提出了一种为大公司分布在不同区域的分支机构提供一种非常廉价、安全、灵活自如的网络信息传输解决方案,并通过组建试验网络的测试,证明了方案的可行性.     

VPN拓扑中关联控制技术的研究

网络拓扑的安全性是保障网络服务安全的核心研究内容;尤其在虚拟私有网络（VPN：Virtual Private Network）拓扑中,由于VPN的隧道技术、私有路由技术和加密技术,一方面使得内部服务群暴露在Internet中,另一方面增加防火墙和入侵检测系统（IDS：Intrusion Detection System）保护内部网络的难度。为此,本文提出以VPN网关为中心,协同用户终端、防火墙、IDS和内部的应用服务,构建的多层安全防护机制——关联控制机制（CCM：Correlative Control Mechanism）。CCM将终端延伸、IDS关联和应用引擎三者关联,使得VPN防护构成一个关联整体,提高了网络拓扑的安全性。     

远程接入虚拟专用网的两种增强型设计方案

目前远程用户接入虚拟专用网主要基于L2TP协议和IPsec协议，但是这两种协议都存在各自的缺点，文章对此作了详细的分析，同时在这两个协议的基础上提出了两种增强型的解决方案：L2TP/sed接入方案和基于PKI和混合认证IEK的接入方案。     

虚拟专用网的AAA管理系统的研究与设计

通过引入分散管理与策略化网络连接的思想，提出了基于虚拟专用网的AAA管理系统的系统框架，并制订了一套完整的AAA管理通信协议，对系统设计和开发过程中使用的重点技术进行了详细剖析。     

一种面向SSL VPN的新型应用层访问控制模型

利用虚拟私有网（VPN：Virtual Private Network）来实现安全跨越Internet访问远端服务群的技术是目前网络安全研究的一个重要组成部分。但是,由于虚拟私有网的隧道技术能够绕过防火墙,使得基于VPN服务器攻击内部服务群成为可能。因此,本文提出了一种面向VPN的新型访问控制模型——应用层集中式信息访问控制模型。它综合了目前主流访问控制模型的控制特点、反病毒和入侵检测的工作机制。并针对VPN通信流的特点,将访问控制与VPN隧道、转发机制紧耦合,从而增强网络安全性。同时,本文给出了该模型的一个实现原型。     

基于IPSec的虚拟专用网VPN的设计

IPSec是可“无缝”地为P引入安全机制的协议套件，本文分析了其安全体系结构和原理，给出了基于IPSec构建企业分支机构安全VPN网络的解决方案及设计中需着重考虑的问题。讨论了IPSec发展远景以及一些可改进的地方。     

基于JZ875的低能耗无线VPN设计

提高数据在数传模块之间传输的效率,在以JZ875数传电台为通信模块的基础上,通过霍夫曼压缩对发送数据进行数据压缩、查询Hash表对基站数据添加信道包头以建立专用信道、DES加密算法对发送数据进行加密三个步骤的有机结合,建立了大田水分传感器网络中基站端与远程计算机端之间的高效率虚拟专用网。实验结果显示,在数传模块的正常通讯范围内,基站端数据发送量可以减少20%左右,远程计算机端接收到的数据正确率可达96%左右。     

一种基于可信计算的VPN接入认证方案

平台安全性在远程访问企业资源显得越来越重要.目前VPN客户端认证在对终端用户身份和平台身份认证的同时,尚未很好地保证终端平台的安全性,使得终端平台成为入侵者获得非法访问权限的途径.通过采用智能卡和可信平台模块相结合的方案,提高了终端平台身份认证的安全性,确保网络接入和通信的安全可信.     

Network virtualization substrate with parallelized data plane

Network virtualization provides the ability to run multiple concurrent virtual networks over a shared substrate. However, it is challenging to design such a platform to host multiple heterogenous and often highly customized virtual networks. Not only high degree of flexibility is desired for virtual networks to customize their functions, fast packet forwarding is also required. This paper presents PdP, a flexible network virtualization platform capable of achieving high speed packet forwarding. A PdP node has multiple machines to perform packet processing for virtual networks hosted in the system. To forward packets in high speed, the data plane of a virtual network in PdP can be allocated with multiple forwarding machines to process packets in parallel. Furthermore, a virtual network in PdP can be fully customized. Both the control plane and data plane of a virtual network run in virtual machines so as to be isolated from other virtual networks. We have built a proof-of-concept prototyping PdP platform using off-the-shelf commodity hardware and open source software. The performance evaluation results show that our system can closely match the best-known packet forwarding speed of software router running in commodity hardware.     

基于本地虚拟化技术的隐藏进程检测

自隐藏恶意代码已成为PC平台下急需解决的安全问题,进程隐藏则是这类恶意代码最常用和最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于本地虚拟化技术的隐藏进程检测技术——Gemini。基于该本地虚拟化技术,Gemini在本地化启动的虚拟机中（Local-Booted Virtual Machine)完整重现了宿主操作系统的运行环境,结合隐式的真实进程列表（TVPL)获取技术,Gemini实现了在虚拟机监视器（VMM)内检测宿主操作系统内隐藏进程的能力。测试结果证明了宿主计算环境重现的有效性与隐藏进程检测的完整性。     

基于Radius的VPN设计与实现

提出了一种支持Client/Server方式的灵活、可靠的安全方案。可用于解决客户通过虚拟专用网访问网络资源的安全通信问题.     

VPN动态密码认证系统设计与实现

针对VPN接入的身份认证问题，提出了一种综合运用LDAP认证、应用系统认证和动态密码认证技术的多级认证模式，运用UML模式对动态密码认证系统进行设计，实现了多应用系统和多种用户管理模式环境中的统一用户认证管理和安全的远程访问。     

虚拟专用网隧道技术分析

1.引言隧道技术其实就是一种封装技术,即将一种协议的数据包封装在另外一种协议中进行传输,这样,被封装的协议对传输网络来说,就是透明的。如图1所示,协议2数据包被封装在协议1中,整个协议2的数据包放在协议1的净荷域中,隧道头中的信息用于对隧道进行控制,是可选项。     

Flexible service consolidation with nested virtualization and library operating systems

In Infrastructure-as-a-service (IaaS) clouds, users can reduce costs by scale-in or scale-down when running services are underutilized. Since these optimizations of instance deployment require at least one minimum instance even for running an underutilized service, cost reduction is limited. For further optimization, multiple services can be consolidated into one instance. However, services have to be stopped temporarily at the consolidation time, and isolation between services becomes weaker after the consolidation. To solve these problems, this paper proposes FlexCapsule, which enables seamless and secure service consolidation in existing IaaS clouds. FlexCapsule runs each service in a lightweight virtual machine (VM) called an app VM, using a library operating system. An app VM runs inside an instance using a technique called nested virtualization. FlexCapsule can optimize instance deployment with negligible downtime by flexibly migrating app VMs. Due to strong isolation provided by app VMs, it can guarantee security between consolidated services. In addition, FlexCapsule provides multiprocess support using app VMs by emulating process fork and process pools. We have implemented FlexCapsule in Xen using both fully virtualized OS^v and paravirtualized MiniOS. Then, we examined the effectiveness of FlexCapsule using several applications. Due to the premature implementation of nested virtualization in Xen, the performance of app VMs largely degraded, but we believe that the performance could be improved using several existing optimizations.