VPN技術(shù)在公安網(wǎng)絡(luò)安全中的應(yīng)用

劉爽

摘 要：信息化技術(shù)的出現(xiàn)，為各個(gè)領(lǐng)域的發(fā)展和進(jìn)步提供了有力的技術(shù)支持。并促進(jìn)邊防部隊(duì)信息化建設(shè)的開展，公安網(wǎng)絡(luò)主要負(fù)責(zé)傳遞信息等，也得到了廣泛應(yīng)用，因此公安網(wǎng)絡(luò)的安全性具有重要意義，將VPN技術(shù)應(yīng)用到公安網(wǎng)絡(luò)中，有利于提高公安網(wǎng)絡(luò)的安全性，進(jìn)而保障我國的穩(wěn)定性和安全性。

關(guān)鍵詞：公安網(wǎng)絡(luò)；VPN技術(shù)；安全技術(shù)

1 研究背景

信息化技術(shù)的不斷完善，使其在邊防部隊(duì)中得到了廣泛應(yīng)用，并促進(jìn)了邊防部隊(duì)信息化水平的提升。也使得用戶對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的高效性、可靠性、靈活性、經(jīng)濟(jì)性等提出了更多更高的要求。邊防部隊(duì)自身具有過于分散的特點(diǎn)，因此彼此間進(jìn)行信息的傳遞和共享極為重要。但是在實(shí)際中，分部的用戶僅能對(duì)上級(jí)單位的相關(guān)服務(wù)器進(jìn)行訪問，而無法對(duì)內(nèi)部局域網(wǎng)、辦公室計(jì)算機(jī)進(jìn)行訪問。所以通過公安網(wǎng)絡(luò)進(jìn)行虛擬專用網(wǎng)絡(luò)的組建具有一定的重要性和必要性，而應(yīng)用VPN技術(shù)也有利于保障公安網(wǎng)絡(luò)的安全性。

2 VPN簡(jiǎn)述

VPN即是指虛擬專用網(wǎng)絡(luò)，是一種通過虛擬得到的單位內(nèi)部的專線網(wǎng)絡(luò)。主要可以進(jìn)行專線內(nèi)部傳輸數(shù)據(jù)等功能，通過對(duì)用戶的身份、權(quán)限等信息的有效分析，將用戶直接接入到應(yīng)進(jìn)行接觸的信息中。VPN主要是在進(jìn)行世紀(jì)網(wǎng)絡(luò)建立的前提下建立的一種功能性的網(wǎng)絡(luò)，組網(wǎng)方式為專用網(wǎng)。從而將專用網(wǎng)所具有的功能提供給用戶，其自身并非既有獨(dú)立性的物理網(wǎng)絡(luò)。VPN的應(yīng)用技術(shù)主要有隧道技術(shù)、加密技術(shù)、QoS技術(shù)等。

2.1 隧道技術(shù)

該技術(shù)以互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)，進(jìn)而進(jìn)行數(shù)據(jù)的傳遞工作，通過隧道技術(shù)進(jìn)行數(shù)據(jù)幀、數(shù)據(jù)包等的傳遞。將這部分?jǐn)?shù)據(jù)幀、數(shù)據(jù)包通過隧道技術(shù)協(xié)議進(jìn)行拆解并粉狀，最后通過隧道傳輸。該技術(shù)也是VPN技術(shù)中的核心技術(shù)，是一種保障信息技術(shù)進(jìn)行傳遞的關(guān)鍵技術(shù)。

2.2 加密技術(shù)

加密技術(shù)的原理是轉(zhuǎn)變并偽裝信息的表現(xiàn)信息，從而使信息數(shù)據(jù)的轉(zhuǎn)換得以實(shí)現(xiàn)，進(jìn)而防止非授權(quán)方對(duì)信息數(shù)據(jù)的實(shí)際內(nèi)容進(jìn)行窺視。可在協(xié)議的任意層應(yīng)用加密技術(shù)，并對(duì)信息數(shù)據(jù)進(jìn)行加密，采用的標(biāo)準(zhǔn)是網(wǎng)絡(luò)層中的IPSec。在網(wǎng)絡(luò)層中進(jìn)行加密，最具安全性的方法便是在主機(jī)端進(jìn)行加密，或通過隧道模式進(jìn)行。而在路由器中進(jìn)行加密，則不應(yīng)在終端至第一條路由間進(jìn)行加密，主要是因?yàn)榻K端到第一條路由間極易被截取，從而無法保障信息的安全性，所以應(yīng)用加密技術(shù)雖然在一定程度上保障了信息數(shù)據(jù)的安全，避免數(shù)據(jù)信息被破譯，但仍存在部分風(fēng)險(xiǎn)。

2.3 QoS技術(shù)

該技術(shù)及時(shí)將隧道技術(shù)和加密技術(shù)結(jié)合使用，從而將二者的優(yōu)勢(shì)發(fā)揮到最大化，并摒棄二者的缺陷。該技術(shù)具有較好的安全性，并且可以進(jìn)行互相操作。但是該技術(shù)在實(shí)際應(yīng)用中無法滿足企業(yè)發(fā)展的需求，因此僅能將該技術(shù)應(yīng)用到內(nèi)部網(wǎng)絡(luò)中，在主機(jī)的網(wǎng)絡(luò)中進(jìn)行，從而使VPN的各項(xiàng)性能指標(biāo)得到提升。

此外還可采用認(rèn)證技術(shù)和密鑰交換和管理，其中認(rèn)證技術(shù)的應(yīng)用，可避免外界對(duì)數(shù)據(jù)信息進(jìn)行篡改、偽造，從而保障其安全性。而密鑰交換和管理技術(shù)的應(yīng)用，則使加密密鑰的傳輸更具安全性。

3 VPN技術(shù)在網(wǎng)絡(luò)安全中存在的問題和措施

3.1 安全網(wǎng)關(guān)

在保障VPN系統(tǒng)的安全性時(shí)，一個(gè)重要的環(huán)節(jié)便是安全網(wǎng)關(guān)。安全網(wǎng)關(guān)位于內(nèi)部網(wǎng)與互聯(lián)網(wǎng)相連接的部位，因此互聯(lián)網(wǎng)中的安全隱患會(huì)對(duì)其產(chǎn)生直接影響?？赏ㄟ^系統(tǒng)防火墻集成相應(yīng)的安全網(wǎng)關(guān)，并將VPN網(wǎng)關(guān)與防火墻向協(xié)調(diào)，從而保障安全網(wǎng)關(guān)與防火墻的使用功能正常發(fā)揮，并更具安全性與實(shí)用性。可通過進(jìn)行過優(yōu)化和重新編譯的linyx等專用的安全網(wǎng)管系統(tǒng)。應(yīng)具有以下幾方面的功能：其一便是可對(duì)VPN加密，并建立相應(yīng)的隧道。進(jìn)行IDS的集成，對(duì)系統(tǒng)中關(guān)鍵的信息可進(jìn)行快速有效的搜集和分析。對(duì)黑客的攻擊具有預(yù)防作用，并可進(jìn)行安全漏洞的檢測(cè)等。

3.2 服務(wù)質(zhì)量

服務(wù)質(zhì)量的參數(shù)對(duì)數(shù)據(jù)包等具有傳輸延時(shí)、抖動(dòng)和丟失率等，并保障相關(guān)業(yè)務(wù)的質(zhì)量。在實(shí)際運(yùn)行中，若數(shù)據(jù)為按照相關(guān)的要求及時(shí)到達(dá)目的地，則影響網(wǎng)絡(luò)系統(tǒng)的正常應(yīng)用?？赏ㄟ^ATM技術(shù)進(jìn)行解決，該技術(shù)中的MPOA技術(shù)的功能與QoS的功能具有相似性。既可以從轉(zhuǎn)發(fā)中將路由器的功能進(jìn)行分離，還可以對(duì)旁路由器的功能進(jìn)行提供，進(jìn)而使QoS的水平提升。

4 VPN技術(shù)在公安網(wǎng)絡(luò)中的應(yīng)用

4.1 構(gòu)建點(diǎn)到點(diǎn)的安全通信鏈路

在公安網(wǎng)絡(luò)進(jìn)行通信時(shí)，通常需要在各用戶間進(jìn)行端到端的安全傳輸通道的構(gòu)建，進(jìn)而實(shí)現(xiàn)通信。可通過網(wǎng)絡(luò)層中的IPSec協(xié)議進(jìn)行端到端安全鏈路的構(gòu)建，將該協(xié)議應(yīng)用到安全鏈路的兩端接口的設(shè)備中，并利用接口設(shè)備實(shí)現(xiàn)公安網(wǎng)絡(luò)和計(jì)算機(jī)的連接。并利用AH、ESP協(xié)議進(jìn)行數(shù)據(jù)身份的認(rèn)證和加密及解密等處理。

在通信時(shí)，首先要對(duì)雙方進(jìn)行身份認(rèn)證，若為非法用戶則斷開邏輯鏈接，對(duì)于合法用戶則為雙方同步生成隨機(jī)的工作密鑰，此后發(fā)送方用此密鑰對(duì)通信數(shù)據(jù)進(jìn)行加密，而接收方亦用相同的密鑰進(jìn)行解密。

4.2 構(gòu)建單用戶到內(nèi)部局域網(wǎng)的安全訪問通道

當(dāng)公安網(wǎng)用戶想要訪問某單位內(nèi)部資源時(shí)，需要構(gòu)建一條單用戶到內(nèi)部網(wǎng)絡(luò)的安全訪問通道。安全訪問鏈路構(gòu)建可用L2TP、IPSec雙重安全協(xié)議?；贗PSec的L2TP具有兩種隧道類型，自發(fā)型隧道和強(qiáng)制型隧道。強(qiáng)制隧道需要有服務(wù)提供商ISP提供認(rèn)真服務(wù)器，在這種環(huán)境下，存在二個(gè)認(rèn)證服務(wù)器，即ISP內(nèi)的認(rèn)證服務(wù)器LAC和內(nèi)部網(wǎng)內(nèi)的認(rèn)證服務(wù)器LNS。自愿隧道模式用戶主機(jī)充當(dāng)了LAC，用戶自主對(duì)L2TP進(jìn)行配置和管理。

公安網(wǎng)絡(luò)中構(gòu)建訪問型VPN時(shí)，在具有信息資源優(yōu)勢(shì)的單位內(nèi)部網(wǎng)絡(luò)中建立認(rèn)證服務(wù)器LNS?？紤]公安網(wǎng)絡(luò)中操作的可行性，將L2TP和IPSec均安裝于遠(yuǎn)程用戶主機(jī)上，由遠(yuǎn)程訪問用戶充當(dāng)LAC，遠(yuǎn)程用戶發(fā)送訪問請(qǐng)求到LNS，經(jīng)驗(yàn)證后，搭建立L2TP鏈路。

4.3 構(gòu)建局域網(wǎng)間的安全通信鏈路

由于邊防部隊(duì)各單位所處地域分散，依托公安網(wǎng)絡(luò)構(gòu)建安全、便捷、低成本的專用線路，連接各單位內(nèi)部局域網(wǎng)，是解決安全通信的有效途徑。以IP安全協(xié)議體系IPSec為基礎(chǔ)，面向網(wǎng)關(guān)到網(wǎng)關(guān)的VPN應(yīng)用環(huán)境，設(shè)計(jì)了一種基于IPSec協(xié)議的VPN網(wǎng)關(guān)。安全網(wǎng)關(guān)的設(shè)計(jì)原理為，將IPSec協(xié)議與IP層相結(jié)合，形成IPSec+IP協(xié)議，對(duì)流入網(wǎng)關(guān)的數(shù)據(jù)包，進(jìn)行身份驗(yàn)證和解密處理等處理。將VPN技術(shù)運(yùn)用到公安網(wǎng)絡(luò)中，有效地保證部隊(duì)信息的安全傳輸。但仍存在著構(gòu)建與公安網(wǎng)絡(luò)相適應(yīng)的管理機(jī)制和服務(wù)提供單位制的問題，隨著研究深入，相信這個(gè)問題會(huì)逐步解決，從而進(jìn)一步提升邊防部隊(duì)信息化建設(shè)水平。

5 結(jié)束語

信息化技術(shù)的出現(xiàn)和不斷完善，促進(jìn)了各個(gè)領(lǐng)域的進(jìn)步。隨著邊防部隊(duì)信息化建設(shè)的不斷完善，負(fù)責(zé)傳遞信息的公安網(wǎng)絡(luò)得到了廣泛應(yīng)用。因此相關(guān)的人員應(yīng)提高對(duì)公安網(wǎng)絡(luò)的重視，并采取有效的措施保障公安網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性與安全性，進(jìn)而維護(hù)我國的安全。將VPN技術(shù)應(yīng)用到公安網(wǎng)絡(luò)中，構(gòu)建相應(yīng)的虛擬專用網(wǎng)絡(luò)，使分部用戶實(shí)現(xiàn)信息的傳遞和共享。并滿足用戶的實(shí)際需求，提高網(wǎng)絡(luò)系統(tǒng)實(shí)際運(yùn)行的靈活性、高效性和經(jīng)濟(jì)性，促進(jìn)公安網(wǎng)絡(luò)的進(jìn)一步發(fā)展。

參考文獻(xiàn)

[1]李巖.VPN技術(shù)在公安網(wǎng)絡(luò)安全中的應(yīng)用[J].環(huán)球市場(chǎng)信息導(dǎo)報(bào)，2016（21）：115-115.

[2]姜云濤.VPN技術(shù)在省級(jí)公安交管專網(wǎng)中的應(yīng)用和實(shí)現(xiàn)[D].北京大學(xué)，2011.

[3]陳旭.基于PKI和VPN技術(shù)的公安內(nèi)網(wǎng)設(shè)計(jì)與實(shí)現(xiàn)[D].大連海事大學(xué)，2016.

[4]胡濤.VPN技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].農(nóng)村經(jīng)濟(jì)與科技，2011，22（6）：242-244.