陳斌

摘要 隨著計(jì)算機(jī)技術(shù)的廣泛普及，VPN這一網(wǎng)絡(luò)安全保障技術(shù)得到了大范圍的應(yīng)用和發(fā)展?；诖?，本文首先從用戶端接入、數(shù)據(jù)信息傳輸、專網(wǎng)資源訪問三個(gè)角度入手，闡述了VPN安全性的評(píng)估層面：其后，圍繞檢測(cè)工具結(jié)構(gòu)、檢測(cè)模塊功能兩個(gè)方面，重點(diǎn)分析了VPN的安全檢測(cè)方案設(shè)計(jì)。意在通過本文的研究，為VPN設(shè)備日后的安全穩(wěn)定發(fā)展提供理論貢獻(xiàn)。

【關(guān)鍵詞】VPN設(shè)備 數(shù)據(jù)傳輸 安全閾值

21世紀(jì)是信息與網(wǎng)絡(luò)的時(shí)代，無論是企業(yè)、政府還是個(gè)人，都逐漸呈現(xiàn)出了電子化的行為發(fā)展趨勢(shì)。隨之而來的，網(wǎng)絡(luò)信息的安全問題也越來越突出，對(duì)人們的生產(chǎn)生活構(gòu)成了較大威脅。此時(shí)，應(yīng)用了密鑰技術(shù)、訪問控制技術(shù)、安全信道技術(shù)等多種保護(hù)措施的VPN被開發(fā)出來，在很大程度上為人們的網(wǎng)絡(luò)應(yīng)用需求提供了安全保障。所以，我們有必要對(duì)VPN安全性的評(píng)估與檢測(cè)進(jìn)行分析研究。

1 VPN安全性的評(píng)估層面

1.1 用戶端接入的安全層面

基于VPN工作的特殊性，檢測(cè)人員必須要對(duì)其用戶端口的接入安全提起重視。一旦有非權(quán)限用戶通過密碼破譯等方式進(jìn)入到VPN所連接的專用網(wǎng)絡(luò)當(dāng)中，將會(huì)導(dǎo)致內(nèi)網(wǎng)中的大量數(shù)據(jù)暴露到不法分子視野內(nèi)，繼而造成嚴(yán)重的信息泄露問題。但與之不相符的是，當(dāng)前中低端的VPN設(shè)備受到技術(shù)類型、構(gòu)建成本的限制，同時(shí)也為了適應(yīng)專業(yè)操作能力不強(qiáng)的用戶群體，大多只設(shè)計(jì)出“ID-密碼”這一簡(jiǎn)單的權(quán)限驗(yàn)證方式，為數(shù)據(jù)信息從接入端泄露埋下了隱患。

1.2 數(shù)據(jù)信息傳輸?shù)陌踩珜用?/p>

市面上絕大部分的VPN都配備有數(shù)據(jù)加密功能，以保障用戶數(shù)據(jù)在通信傳輸過程中的安全穩(wěn)定。但由于應(yīng)用加密方式的技術(shù)等級(jí)和加密效率各不相同，應(yīng)用DES、3DES、AES等不同加密算法的VPN會(huì)呈現(xiàn)出參差不齊的安全性能，故相關(guān)檢測(cè)人員也應(yīng)將數(shù)據(jù)傳輸?shù)钠焚|(zhì)納入到評(píng)估標(biāo)準(zhǔn)當(dāng)中。

1.3 專用網(wǎng)絡(luò)資源的訪問安全層面

當(dāng)前大多數(shù)的VPN產(chǎn)品只對(duì)用戶端的初步接入權(quán)限進(jìn)行評(píng)估處理，而缺乏對(duì)用戶網(wǎng)絡(luò)資源訪問當(dāng)中的二次限制。這就使得供應(yīng)商、合作方等非企業(yè)人員通過VPN進(jìn)入企業(yè)內(nèi)網(wǎng)時(shí)，可享受到與企業(yè)內(nèi)部人員相同的資源服務(wù)待遇，繼而為企業(yè)信息資源的流出造成了一定風(fēng)險(xiǎn)。據(jù)此，在實(shí)際的檢測(cè)管理工作中，相關(guān)人員也應(yīng)將VPN的權(quán)限分配納入到安全性評(píng)估標(biāo)準(zhǔn)當(dāng)中。

2 VPN安全性的檢測(cè)方案設(shè)計(jì)

2.1 檢測(cè)工具的結(jié)構(gòu)設(shè)計(jì)

通常來說，VPN安全性的檢測(cè)工具主要由多核測(cè)試程序和上位機(jī)控制程序兩個(gè)環(huán)節(jié)構(gòu)成。其中，多核測(cè)試程序的作用在于接收和響應(yīng)上位機(jī)控制程序發(fā)出的安全檢測(cè)指令，并將響應(yīng)的測(cè)試內(nèi)容“打包”發(fā)送到VPN端上;上位機(jī)控制程序的作用在于通過Windows系統(tǒng)界面與VPN用戶實(shí)現(xiàn)信息交互，并將用戶的要求轉(zhuǎn)換為具體指令發(fā)送到下位各檢測(cè)環(huán)節(jié)當(dāng)中。

具體來講，VPN安全性的檢測(cè)流程應(yīng)經(jīng)歷以下幾個(gè)步驟：

（1）上位機(jī)控制程序收到來自用戶的檢測(cè)任務(wù)，并將任務(wù)要求封裝制成指令數(shù)據(jù)，通信到多核測(cè)試程序的網(wǎng)絡(luò)端口當(dāng)中;

（2）多核測(cè)試程序在接到任務(wù)指令后，對(duì)其內(nèi)容進(jìn)行解構(gòu)，將解析出的字段信息轉(zhuǎn)送到系統(tǒng)的采集節(jié)點(diǎn)當(dāng)中;

（3）指令信息經(jīng)過節(jié)點(diǎn)的進(jìn)一步處理，傳送到被檢測(cè)VPN端上;

（4）數(shù)據(jù)包對(duì)VPN設(shè)備實(shí)施安全檢測(cè)處理，并將處理結(jié)果由采集節(jié)點(diǎn)反饋給上位機(jī)控制程序，最終將其直觀地呈現(xiàn)到用戶面前的計(jì)算機(jī)系統(tǒng)界面當(dāng)中。

2.2 檢測(cè)模塊的功能設(shè)計(jì)

2.2.1 密碼算法檢測(cè)模塊

VPN系統(tǒng)的實(shí)際執(zhí)行能力是否與其內(nèi)置密碼計(jì)算方案相符，是VPN設(shè)備開發(fā)者和使用者共同關(guān)注的話題。對(duì)于這一問題因素的檢測(cè)，最簡(jiǎn)單的方式是使用相關(guān)軟件模擬出設(shè)備的算法方案和運(yùn)行條件，繼而將軟件模擬結(jié)果與VPN設(shè)備的實(shí)際情況進(jìn)行對(duì)比，即可發(fā)現(xiàn)其執(zhí)行能力與密碼方案之間的出入情況。所以，可將設(shè)備模擬軟件應(yīng)用到檢測(cè)體系的功能模塊當(dāng)中，從而實(shí)現(xiàn)對(duì)VPN密碼安全性的快速檢測(cè)。

2.2.2 密鑰變更檢測(cè)模塊

在密碼算法的基礎(chǔ)上，VPN設(shè)備會(huì)根據(jù)一定的周期，對(duì)網(wǎng)絡(luò)端口的準(zhǔn)入密鑰進(jìn)行變更，以防止外部人員端口的入侵。對(duì)于這一模塊的功能設(shè)計(jì)，可從密鑰變更的時(shí)間間隔入手，通過持續(xù)向VPN設(shè)備發(fā)送相同的數(shù)據(jù)樣本，并通過技術(shù)手段截取VPN密鑰處理后的數(shù)據(jù)包信息。通過對(duì)比不同時(shí)間下數(shù)據(jù)包中的密文變更情況，即可推算出VPN密鑰變更行為的有效性，并分析出其具體的變更周期。具體來講：

首先，要設(shè)定出安全檢測(cè)所使用的數(shù)據(jù)樣本，其代碼長(zhǎng)度應(yīng)與VPN內(nèi)置加密算法的分組長(zhǎng)度相似。設(shè)定之后，便可將數(shù)據(jù)包發(fā)送給VPN設(shè)備，并保存數(shù)據(jù)樣本的原文件;其后，截取到VPN密鑰處理后的數(shù)據(jù)包，并將其與原數(shù)據(jù)包文件相互比較，若二者一致，則說明VPN的密鑰尚未發(fā)生更改;若二者不一致，則視為VPN密鑰已經(jīng)更改。此時(shí)，結(jié)合原文件的發(fā)送時(shí)間以及截取數(shù)據(jù)包的生成時(shí)間，就可判斷出VPN密鑰變更的間隔時(shí)間;最后，如果處理后的文件并未發(fā)生改變，檢測(cè)模塊則應(yīng)繼續(xù)對(duì)VPN設(shè)備進(jìn)行數(shù)據(jù)包發(fā)送，直至反饋數(shù)據(jù)發(fā)生變化，并記錄出準(zhǔn)確時(shí)間。

2.2.3 滲透測(cè)試模塊

滲透測(cè)試模塊主要檢測(cè)的是VPN在面臨黑客入侵、病毒攻擊等突發(fā)情況時(shí)，其安全性的穩(wěn)定能力。所以，檢測(cè)者在設(shè)計(jì)這一功能模塊時(shí)，應(yīng)站在黑客的角度上，假想出VPN設(shè)備可能被攻擊的MAC地址、TCP協(xié)議端口號(hào)、IP地址等任何一個(gè)方向，并據(jù)此模擬出由淺入深、多種強(qiáng)度的黑客攻擊行為。當(dāng)滲透成功時(shí)，檢測(cè)行為應(yīng)立即停止，并記錄下此時(shí)VPN的整體狀態(tài)，即VPN應(yīng)對(duì)外部攻擊的安全閾值。

3 總結(jié)

總而言之，VPN技術(shù)在當(dāng)前仍處于完善階段，此時(shí)進(jìn)行有效的安全性評(píng)估和檢測(cè)手段，有利于促進(jìn)VPN整體性能的快速、穩(wěn)定發(fā)展。由本文分析可知，通過合理的安全程序設(shè)計(jì)，加之有效的密碼算法和密鑰技術(shù)檢測(cè)手段，能有效獲取到VPN設(shè)備的密鑰變更間隔，明確VPN防御能力的安全閾值，實(shí)現(xiàn)檢測(cè)體系的不斷完善，為VPN后續(xù)的調(diào)整和優(yōu)化工作夯實(shí)基礎(chǔ)。

參考文獻(xiàn)

[1]史漢嶂.VPN設(shè)備若干安全性及性能的測(cè)試工具設(shè)計(jì)與實(shí)現(xiàn)[D].西安電子科技大學(xué)，2012.

[2]從三個(gè)層面評(píng)估VPN方案的安全性[N].計(jì)算機(jī)世界，2004-06-14 （C14）.