網(wǎng)絡(luò)安全VPN關(guān)鍵技術(shù)研究與運(yùn)用

趙統(tǒng)一

摘 要：本文對(duì)影響網(wǎng)絡(luò)安全VPN關(guān)鍵技術(shù)的一些因素進(jìn)行了分析，分析了網(wǎng)絡(luò)安全VPN 關(guān)鍵技術(shù)工作原理，并對(duì)VPN 技術(shù)利弊進(jìn)行了剖析，討論了VPN 技術(shù)在實(shí)際工作中的運(yùn)用。

關(guān)鍵詞：網(wǎng)絡(luò)安全 VPN 應(yīng)用

1 影響VPN技術(shù)的安全性因素

（1）竊聽攻擊。一般情況下，絕大多數(shù)網(wǎng)絡(luò)通信是利用公共網(wǎng)絡(luò)資源進(jìn)行信息交互存在不安全隱患，攻擊者通過獲取數(shù)據(jù)通信路徑，就可以“竊聽”或者“解讀”數(shù)據(jù)流，引起通信信息外泄、危及敏感數(shù)據(jù)安全

（2）中間者攻擊。中間者攻擊主要對(duì)通信對(duì)象的通信過程以及通信數(shù)據(jù)進(jìn)行監(jiān)視、截取和控制，對(duì)數(shù)據(jù)交換進(jìn)行重定向，使用網(wǎng)絡(luò)低層協(xié)議的通信兩端的主機(jī)是很難區(qū)分出不同的通信對(duì)象。

（3）流量數(shù)據(jù)分析攻擊。“流量數(shù)據(jù)分析”攻擊是通過檢查IP 包中的網(wǎng)絡(luò)流量，分析誰(shuí)正在參與交互通信、使用何種服務(wù)、推測(cè)出信息交互者之間的關(guān)系等方式，通過檢查包的未加密字段或未加保護(hù)包的屬性進(jìn)行攻擊。

2 VPN 的安全關(guān)鍵技術(shù)

目前，VPN 主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。

（1）隧道技術(shù)。網(wǎng)絡(luò)隧道技術(shù)在不改變網(wǎng)絡(luò)標(biāo)準(zhǔn)的條件下，利用公共網(wǎng)絡(luò)來實(shí)現(xiàn)某些使用特別通信協(xié)議的網(wǎng)絡(luò)或用戶之間的連接和通信，是一種利用可路由協(xié)議（如IP 協(xié)議）在網(wǎng)絡(luò)中傳送其他協(xié)議數(shù)據(jù)包到目標(biāo)網(wǎng)絡(luò)的技術(shù)。目前，通常采用封裝普通組播數(shù)據(jù)報(bào)的辦法，將報(bào)頭、校驗(yàn)和以及有效負(fù)載組成的組播數(shù)據(jù)報(bào)轉(zhuǎn)換（封裝）成源路由IP 數(shù)據(jù)報(bào)。源路由IP 數(shù)據(jù)報(bào)有不同的報(bào)頭結(jié)構(gòu)，并可以容納完全的組播數(shù)據(jù)報(bào)，在封裝時(shí)，最終目標(biāo)和源路由器的IP 地址被插入到數(shù)據(jù)報(bào)的報(bào)頭中。然后使用IP 協(xié)議可用的算法對(duì)數(shù)據(jù)報(bào)進(jìn)行傳輸，并且通過路由器發(fā)送，直到到達(dá)最終的目標(biāo)路由器。當(dāng)數(shù)據(jù)包到達(dá)最終目標(biāo)路由器時(shí)，它進(jìn)行解包，源路由報(bào)頭被刪除，IP 地址由原來的組播IP 地址代替，然后將數(shù)據(jù)報(bào)提交給目標(biāo)網(wǎng)絡(luò)中的相應(yīng)主機(jī)。

（2）加密技術(shù)。目前VPN 中均采用對(duì)稱加密體制和公鑰加密體制相結(jié)合的方法。對(duì)稱加密體制的通信雙方共享一個(gè)密鑰，發(fā)送方使用該密鑰將明文加密成密文，接受方使用相同的密鑰將密文還原成明文。公鑰加密體制，也稱非對(duì)稱加密體制。在通信過程中，發(fā)送方用接收方的公開密鑰加密消息，并且可以用發(fā)送方的秘密密鑰對(duì)信息加密，進(jìn)行數(shù)字簽名。接收方收到消息后，用自己的秘密密鑰解密消息，并使用發(fā)送方的公開密鑰解密數(shù)字簽名，驗(yàn)證發(fā)送方身份。數(shù)據(jù)加密技術(shù)按照不同的形式有不同的分類方法，貫穿于整個(gè)信息存儲(chǔ)、傳輸、鑒別和管理的全過程。

（3）密鑰管理技術(shù)。密鑰管理技術(shù)的主要任務(wù)是保障公用數(shù)據(jù)網(wǎng)上傳遞密鑰的安全。1）對(duì)稱密鑰管理。數(shù)據(jù)發(fā)送方可以為每次交換的信息生成唯一一把對(duì)稱密鑰并用公開密鑰對(duì)該密鑰進(jìn)行加密，然后再將加密后的密鑰和用該密鑰加密的信息一起發(fā)送給相應(yīng)的數(shù)據(jù)接收方。2）公開密鑰管理/數(shù)字證書。目前電了商務(wù)廣泛采用數(shù)字證書技術(shù)，通信雙方之間可以使用數(shù)字證書（公開密鑰證書）來交換公開密鑰，標(biāo)識(shí)通信雙方。

（4）身份認(rèn)證技術(shù)。身份認(rèn)證技術(shù)是網(wǎng)絡(luò)安全中最直接、最前沿的一道防線，是鑒別合法用戶與非法用戶重要手段，用戶在使用網(wǎng)絡(luò)安全系統(tǒng)，首先必須向身份認(rèn)證系統(tǒng)表明自己的身份，經(jīng)過身份認(rèn)證系統(tǒng)識(shí)別確認(rèn)身份后，根據(jù)用戶身份、權(quán)限級(jí)別決定能否訪問某個(gè)資源或者進(jìn)行某項(xiàng)操作，在允許并監(jiān)督經(jīng)過授權(quán)的操作同時(shí)防止非法操作，是防止黑客入侵和計(jì)算機(jī)病毒破壞的重要手段，在信息安全中占有非常重要的地位。目前，身份確認(rèn)技術(shù)的發(fā)展越來越受到人們的重視，根據(jù)層次和先后出現(xiàn)的順序，主要包括一般常用的靜態(tài)口令、一次性口令、數(shù)字證書和生物特征技術(shù)等等。

3 VPN 技術(shù)的優(yōu)點(diǎn)

（1）降低成本，VPN 利用了現(xiàn)有的Internet 組建虛擬專網(wǎng)，不需要使用重新敷設(shè)專用的線路就能實(shí)現(xiàn)數(shù)據(jù)安全的傳輸，實(shí)現(xiàn)了資源共享，降低了通信成本。

（2）易于擴(kuò)展，采用VPN 只需在結(jié)點(diǎn)處架設(shè)VPN 設(shè)備，就可利用Internet 建立安全連接，這樣在分部增多，內(nèi)部網(wǎng)絡(luò)結(jié)點(diǎn)趨于復(fù)雜，只需添加一臺(tái)VPN 設(shè)備，改變相關(guān)配置，就可以實(shí)現(xiàn)新的內(nèi)部網(wǎng)絡(luò)安全連接。

（3）保證安全，VPN 技術(shù)利用可靠的加密認(rèn)證技術(shù)，在內(nèi)部網(wǎng)絡(luò)建立隧道，增加了信息安全性，可以有效防止信息被泄露、篡改和復(fù)制。

4 VPN 技術(shù)的實(shí)際運(yùn)用用

（1）VPN 技術(shù)在遠(yuǎn)程辦公系統(tǒng)中的應(yīng)用。網(wǎng)絡(luò)時(shí)代，企業(yè)規(guī)模不斷擴(kuò)大，分支機(jī)構(gòu)分布廣泛，企業(yè)內(nèi)部及合作伙伴之間的信息交互非常頻繁。由于公網(wǎng)以非加密的明文進(jìn)行傳輸，保密性和安全性很差，而防火墻、加密傳輸、入侵檢測(cè)或基于專線連接的方式不僅成本高，而且多數(shù)是被動(dòng)防御，難以適應(yīng)現(xiàn)代企業(yè)的需求。虛擬專用網(wǎng)（VPN）以其公網(wǎng)連接、加密傳輸?shù)膬?yōu)勢(shì)，贏得了越來越多企業(yè)的青睞。企業(yè)總部一般是企業(yè)信息存放、處理的中心，內(nèi)部主機(jī)數(shù)量多，數(shù)據(jù)流量大，安全性和實(shí)時(shí)性要求高；分支機(jī)構(gòu)內(nèi)部建有一定規(guī)模的局域網(wǎng)，同時(shí)通過當(dāng)?shù)豂SP 接Internet 網(wǎng)，VPN 網(wǎng)關(guān)部署在機(jī)構(gòu)內(nèi)部網(wǎng)與Internet 網(wǎng)的接口處；移動(dòng)辦公人員訪問內(nèi)部網(wǎng)絡(luò)時(shí)，不需使用VPN 網(wǎng)關(guān)設(shè)備，只需要移動(dòng)用戶的主機(jī)上安裝啟動(dòng)VPN 安全包即可。

（2）VPN 在電子商務(wù)安全中的應(yīng)用。隨著互聯(lián)網(wǎng)的發(fā)展，電子商務(wù)己經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。越來越多的企業(yè)通過Internet 進(jìn)行商務(wù)活動(dòng)，但電子商務(wù)的安全問題是制約電子商務(wù)發(fā)展的主要瓶頸，如何建立一個(gè)安全、便捷的電子商務(wù)環(huán)境，對(duì)信息提供足夠的保護(hù)，商家和用戶都十分關(guān)心。VPN 能夠利用Internet 或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與令用網(wǎng)絡(luò)一樣的安全和功能保障，采用VPN 技術(shù)組網(wǎng)，降低組網(wǎng)費(fèi)用和通訊費(fèi)用，增加靈活性，能為需要跨地域開展電子商務(wù)活動(dòng)的企業(yè)提供安全暢通的網(wǎng)絡(luò)，解決電子商務(wù)安全的基礎(chǔ)網(wǎng)絡(luò)安全問題。

（3）VPN 技術(shù)在金融行業(yè)的應(yīng)用。解決方案金融系統(tǒng)已經(jīng)建立了覆蓋全國(guó)的網(wǎng)絡(luò)，包括廣泛的企業(yè)內(nèi)部網(wǎng)、辦公網(wǎng)和開放Web 站點(diǎn)。隨著業(yè)務(wù)的合并、應(yīng)用的整合，事實(shí)上所有這些網(wǎng)絡(luò)就構(gòu)成了LAN+WAN+Internet 的一個(gè)復(fù)雜的而又不可分割的有機(jī)體。這樣一個(gè)有著多層次、廣用戶的業(yè)務(wù)應(yīng)用，存在縱橫交錯(cuò)的邏輯合并和物理連接的網(wǎng)絡(luò)，不可避免地存在眾多安全隱患。為了解決端到端的數(shù)據(jù)安全，許多VPN 方案被提出：比如IIPPTP，L2TP，L2F VPN 以及MPLS VPN。東軟推出的NetEye VPN 采用了先進(jìn)的工PSec 協(xié)議，NetEye VPN 提供了完善的產(chǎn)品線，精簡(jiǎn)的NetEye Firewall withVPN，為用戶提供便捷的接入，靈活的安全策略控制。

5 結(jié)語(yǔ)

網(wǎng)絡(luò)在無(wú)形中改變了各行各業(yè)的運(yùn)作方式，信息運(yùn)營(yíng)也基本實(shí)現(xiàn)了業(yè)務(wù)的互聯(lián)、資源的共享。與此同時(shí)，網(wǎng)絡(luò)安全性也越來越得到廣泛關(guān)注，VPN 技術(shù)提供了一種簡(jiǎn)潔有效、安全可靠的解決方案被廣泛應(yīng)用。

參考文獻(xiàn)

[1]王永生. VPN技術(shù)在企業(yè)中的應(yīng)用[J].大眾科技. 2008（08）.

[2]范青. 淺談虛擬專用網(wǎng)（VPN）的技術(shù)研究與應(yīng)用[J].科技信息（科學(xué)教研）. 2007（33）.

[3]金武功. 關(guān)于VPN技術(shù)和應(yīng)用[J].電腦知識(shí)與技術(shù)（學(xué)術(shù)交流）. 2007（17）.