芻議VPN網(wǎng)絡(luò)的通信安全與優(yōu)化實(shí)現(xiàn)

高山山，康燕，安然

（呼和浩特鐵路局呼和通信段，呼和浩特010000）

芻議VPN網(wǎng)絡(luò)的通信安全與優(yōu)化實(shí)現(xiàn)

高山山，康燕，安然

（呼和浩特鐵路局呼和通信段，呼和浩特010000）

VPN技術(shù)憑借著高效、安全、搭建成本低、便捷、可控、客戶端部署靈活性高等特點(diǎn)，逐步替代了傳統(tǒng)的專線技術(shù)，成為當(dāng)今安全傳輸信息技術(shù)的主流。通過(guò)現(xiàn)實(shí)信息網(wǎng)絡(luò)中數(shù)據(jù)包和相關(guān)數(shù)據(jù)的統(tǒng)計(jì)和分析，證明了VPN技術(shù)在數(shù)據(jù)傳輸安全保障方面的價(jià)值，并對(duì)目前VPN技術(shù)在固定、移動(dòng)網(wǎng)絡(luò)環(huán)境下存在的不足進(jìn)行了分析并提出改進(jìn)方案。

VPN網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)通信

【DOI】10.13616/j.cnki.gcjsysj.2016.09.073

1 VPN技術(shù)淺析與研究意義

虛擬專用網(wǎng)絡(luò)VPN(Virtual Private Network)，是指在專用或者萬(wàn)維網(wǎng)中建立與其他網(wǎng)絡(luò)用戶隔離的用戶群，這些用戶之間可以像在專用網(wǎng)絡(luò)上那樣相互通信并定義訪問(wèn)資源級(jí)別[1]。它是在多個(gè)局域網(wǎng)之間通過(guò)隧道技術(shù)建立一個(gè)虛擬的網(wǎng)絡(luò)專用通道，可以簡(jiǎn)單地理解為VNP技術(shù)是一根保證數(shù)據(jù)傳輸過(guò)程安全性和靈活性的虛擬專用網(wǎng)線。

1.1 VPN技術(shù)的常規(guī)類型

據(jù)實(shí)施VPN網(wǎng)絡(luò)過(guò)程中采用的設(shè)備類型進(jìn)行分類：軟件VPN、硬件VPN、軟硬件綜合VPN。據(jù)VPN網(wǎng)絡(luò)部署方式進(jìn)行分類：遠(yuǎn)程訪問(wèn)VPN、站點(diǎn)到站點(diǎn)VPN。VPN技術(shù)通信過(guò)程中應(yīng)用的協(xié)議進(jìn)行分類：PPTP、L2TP、SSTP等。專用網(wǎng)絡(luò)隧道技術(shù)是VPN網(wǎng)絡(luò)的技術(shù)核心部分，原理是將VPN網(wǎng)絡(luò)中用戶的數(shù)據(jù)信息封裝到PDU（協(xié)議數(shù)據(jù)單元）中，接著通過(guò)其他傳輸協(xié)議方式傳輸?shù)酵獠康膶?duì)等實(shí)體，然后傳輸給其他用戶。隧道技術(shù)可以實(shí)現(xiàn)網(wǎng)絡(luò)和網(wǎng)絡(luò)、主機(jī)和主機(jī)、網(wǎng)絡(luò)和主機(jī)之間的安全通信，其過(guò)程為數(shù)據(jù)封裝、加密、傳輸、拆分、解密過(guò)程。

1.2 VPN技術(shù)研究的意義

（1）VPN技術(shù)提高數(shù)據(jù)在傳輸過(guò)程中的安全性，進(jìn)而提高了數(shù)據(jù)傳輸過(guò)程的價(jià)值；（2）逐步推進(jìn)IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的過(guò)渡；（3）使得網(wǎng)絡(luò)操作系統(tǒng)得以普及，加快網(wǎng)絡(luò)化進(jìn)程，增加網(wǎng)絡(luò)聚合程度。VPN思想及其技術(shù)的出現(xiàn)，必將在網(wǎng)絡(luò)進(jìn)化過(guò)程乃至完成其最終形態(tài)過(guò)程中起到至關(guān)重要的作用。

2 VPN技術(shù)的不足與優(yōu)化措施

2.1 VPN網(wǎng)絡(luò)通信的缺陷和改進(jìn)思路

當(dāng)今網(wǎng)絡(luò)下，大部分網(wǎng)絡(luò)仍是IPv4網(wǎng)絡(luò)，IPv6網(wǎng)絡(luò)仍然屬于孤島狀態(tài)，未來(lái)是信息時(shí)代，而美國(guó)有著絕對(duì)的網(wǎng)絡(luò)信息控制權(quán)，這使得IPv4向IPv6過(guò)渡勢(shì)在必行而且是迫在眉睫的。對(duì)此，我國(guó)應(yīng)該建立國(guó)內(nèi)自己的緩存域名服務(wù)器，即使是美國(guó)將中國(guó)國(guó)家域名刪除，也不能完全限制國(guó)家網(wǎng)絡(luò)通信。且我國(guó)積極參與IPv6制定標(biāo)準(zhǔn)和應(yīng)用推廣，使得各國(guó)分享了IPv6的技術(shù)和控制權(quán)，才能將互聯(lián)網(wǎng)從一個(gè)國(guó)家絕對(duì)控制的形式中解脫出來(lái)。過(guò)渡過(guò)程中可能存在2種情況：通過(guò)IPv4網(wǎng)絡(luò)實(shí)現(xiàn)IPv6網(wǎng)絡(luò)之間的通信；論文提出在IPv6通信網(wǎng)絡(luò)前增加相對(duì)應(yīng)的網(wǎng)關(guān)設(shè)備，該設(shè)備主要用于相應(yīng)的網(wǎng)絡(luò)協(xié)議翻譯。雖然增加了網(wǎng)絡(luò)投資，但是使得傳輸?shù)臄?shù)據(jù)經(jīng)過(guò)VPN網(wǎng)絡(luò)隧道技術(shù)和協(xié)議網(wǎng)關(guān)的包裝，增強(qiáng)了數(shù)據(jù)傳輸?shù)陌踩浴?/p>

2.2 VPN技術(shù)在移動(dòng)網(wǎng)絡(luò)環(huán)境中的安全性分析和解決措施

移動(dòng)通信技術(shù)憑借著4G網(wǎng)絡(luò)的興起，已經(jīng)和互聯(lián)網(wǎng)技術(shù)成為我國(guó)信息產(chǎn)業(yè)的兩大支柱。伴隨著移動(dòng)通信技術(shù)的發(fā)展，相應(yīng)的移動(dòng)VPN技術(shù)需求也得以提出，移動(dòng)VPN技術(shù)是網(wǎng)絡(luò)VPN技術(shù)在移動(dòng)網(wǎng)絡(luò)上的拓展，其發(fā)展時(shí)間較短，仍然處于萌芽階段，需要在安全性方面得到更多的技術(shù)支持。隨著移動(dòng)網(wǎng)絡(luò)和IPv6技術(shù)的推廣和普及。VPN技術(shù)在移動(dòng)網(wǎng)絡(luò)上一定給信息產(chǎn)業(yè)帶來(lái)巨大的改變。移動(dòng)網(wǎng)絡(luò)VPN與固定網(wǎng)絡(luò)VPN連接在結(jié)構(gòu)上的不同之處在于，首先要求移動(dòng)網(wǎng)絡(luò)和固定網(wǎng)絡(luò)直接先進(jìn)性連接，然后才能將移動(dòng)VPN客戶端與互聯(lián)網(wǎng)進(jìn)行連接。無(wú)線信號(hào)從基站發(fā)出傳輸?shù)揭苿?dòng)通信設(shè)備過(guò)程中很容易被第三方截獲，造成VPN安全通信技術(shù)的漏洞。論文采用數(shù)字認(rèn)證證書和對(duì)應(yīng)的數(shù)字證書標(biāo)識(shí)值一一綁定的方法解決該問(wèn)題，并通過(guò)將數(shù)字證書所持有的特征值鑲嵌入智能卡磁條中的方式進(jìn)行解決傳輸數(shù)據(jù)給終端設(shè)備帶來(lái)的壓力及傳輸過(guò)程中速度慢且費(fèi)用高的缺點(diǎn)，通過(guò)證書的標(biāo)識(shí)值可以在CA服務(wù)器上獲取相關(guān)的數(shù)字證書，同時(shí)將證書的處理部分移交到CA服務(wù)器上，進(jìn)而解放移動(dòng)客戶端的運(yùn)算資源。通過(guò)哈希運(yùn)算在共享密鑰不變?cè)淼幕A(chǔ)上進(jìn)行身份雙向認(rèn)證等一系列的改進(jìn)，從而阻止破解攻擊的生效[2]。

2.3 在C/S層面對(duì)VPN網(wǎng)絡(luò)的優(yōu)化設(shè)計(jì)

不論是RASVPN還是STSVPN網(wǎng)絡(luò)服務(wù)，都是單向提供服務(wù)的結(jié)構(gòu)，可以理解為客戶端都連接著VPN服務(wù)器，雖然這有利于網(wǎng)絡(luò)的集中管理，但是不利于多個(gè)VPN客戶端或者各個(gè)VPN網(wǎng)絡(luò)相互間的通信[3]，因?yàn)閷?shí)現(xiàn)該通信過(guò)程中數(shù)據(jù)轉(zhuǎn)發(fā)必須通過(guò)一個(gè)VPN網(wǎng)絡(luò)服務(wù)器，增加了該服務(wù)器的負(fù)載量，降低VPN客戶端的通信速度。且這種單向服務(wù)連接結(jié)構(gòu)對(duì)單一的VPN服務(wù)器的依賴性很大，一旦該VPN服務(wù)器出現(xiàn)故障，整個(gè)VPN網(wǎng)絡(luò)將處于癱瘓狀態(tài)。VPN網(wǎng)絡(luò)與分布式存儲(chǔ)概念結(jié)合后，最大的優(yōu)勢(shì)是網(wǎng)絡(luò)中不存在集中式VPN服務(wù)器，這種模式下將服務(wù)器與客戶端的概念有絕對(duì)化變?yōu)橄鄬?duì)化[4]。

3 結(jié)論

從VPN技術(shù)在社會(huì)需要、VPN技術(shù)原理和相對(duì)于傳統(tǒng)專線網(wǎng)絡(luò)的優(yōu)勢(shì)、移動(dòng)客戶端VPN技術(shù)缺陷和優(yōu)化方法、VPN技術(shù)自動(dòng)化部署和VPN技術(shù)在推進(jìn)當(dāng)今網(wǎng)絡(luò)影響及對(duì)網(wǎng)絡(luò)發(fā)展展望，論述了VPN技術(shù)對(duì)當(dāng)今網(wǎng)絡(luò)世界格局改變的作用和存在意義。還完成了以下優(yōu)化設(shè)計(jì)：（1）整合了多個(gè)VPN工程，模擬出一套能在多種網(wǎng)絡(luò)環(huán)境下都適應(yīng)的VPN通信網(wǎng)絡(luò)結(jié)構(gòu)模型；（2）提出了在IPv6和IPv4不同協(xié)議間的通信思路，既解決了網(wǎng)絡(luò)通信對(duì)服務(wù)器的依賴又解決了IPv4網(wǎng)址短缺問(wèn)題；（3）提出了一系列針對(duì)不穩(wěn)定網(wǎng)絡(luò)中自動(dòng)化部署VPN網(wǎng)絡(luò)客戶端和服務(wù)端及其之間連接方式的方法。

【1】王路，袁宏春，萬(wàn)里冰.基于IP的點(diǎn)對(duì)點(diǎn)分布式VPN系統(tǒng)[J].電子科技大學(xué)學(xué)報(bào)，2014(1)：25-27.

【2】劉曉紅，紀(jì)越峰.下一代應(yīng)用層防火墻性能及其測(cè)試[J].計(jì)算機(jī)工程，2012(11)：223-224.

【3】鮮繼清，譚丹，陳輝.局域網(wǎng)中個(gè)人防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究，2010(5)：103-105.

【4】李軍.信息泄漏防范何去何從[J].計(jì)算機(jī)安全，2013(3)：76-78.

Discussion on Communication Security and Optimization of VPN Network

GAO Shan-shan,KANG Yan,AN Ran
(Huhe Communications Segment of Hohhot Railway Administration,Hohhot 010000，China)

With the characteristics of high efficiency,safety,low building cost,convenience,controllability and high flexibility of client deployment,the VPN technology has gradually replaced the traditional line technology,and become the mainstream of today's information technology of secure transmission.Through statistics and analysis of data packets and the related data in practical information network,the value of VPN technology in the security of data transmission is proved,the shortages of VPN technology in fixed and mobile network environment are analyzed and an improved scheme is proposed.

VPN network;network security;network communication

TP393.08

A

1007-9467（2016）09-0176-02

2016-08-17

高山山（1989～），男，山西朔州人，助理工程師，從事鐵路通信研究。