淺析VPN網(wǎng)絡(luò)的通信安全問題

摘 要：計(jì)算機(jī)網(wǎng)絡(luò)中的VPN技術(shù)令人們辦公跨越地區(qū)與時(shí)間的限制，使企業(yè)遠(yuǎn)程用戶、公司分支機(jī)構(gòu)以及合作伙伴等與公司內(nèi)部網(wǎng)絡(luò)建立可靠的連接成為可能，然而VPN技術(shù)在網(wǎng)絡(luò)安全方面仍存在一些亟待解決的問題，本文對(duì)如何增強(qiáng)VPN的通信安全進(jìn)行了探討，期望為相關(guān)人員提供一定借鑒。

關(guān)鍵詞：VPN 通信安全 應(yīng)對(duì)措施

0引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展及廣泛應(yīng)用，一種嶄新的數(shù)據(jù)傳輸技術(shù)VPN逐漸得到社會(huì)越來越廣泛的重視。作為一種依托公共網(wǎng)絡(luò)資源傳輸專用數(shù)據(jù)的信息通道，VPN憑借其操作的簡(jiǎn)單便捷性、應(yīng)用的靈活性等優(yōu)勢(shì)得到了廣泛應(yīng)用，然而該技術(shù)在為人們的工作和生活帶來諸多便利的同時(shí)也存在不容忽視的安全問題。由于VPN直接在公用網(wǎng)絡(luò)上構(gòu)建，傳輸數(shù)據(jù)時(shí)很容易受到網(wǎng)絡(luò)不法分子的攻擊，此外VPN還需要對(duì)未經(jīng)過授權(quán)的非法用戶訪問網(wǎng)絡(luò)資源進(jìn)行阻止。目前隨著企業(yè)擴(kuò)展VPN的廣泛應(yīng)用，企業(yè)在與外界其他用戶進(jìn)行聯(lián)系的過程中需要更高的安全保障。對(duì)VPN通信網(wǎng)絡(luò)的安全性進(jìn)行研究具有極為重要的現(xiàn)實(shí)意義。

1 VPN概述

VPN是一種基于公共網(wǎng)絡(luò)的專用信息傳輸通道，該通道利用信息加密技術(shù)、認(rèn)證技術(shù)等一系列信息保密手段盡可能保證信息傳輸?shù)陌踩?。根?jù)應(yīng)用范圍的不同VPN可以劃分為如下種類，分別是遠(yuǎn)程訪問虛擬網(wǎng)、企業(yè)內(nèi)部以及企業(yè)擴(kuò)展虛擬網(wǎng)，其中遠(yuǎn)程接入VPN技術(shù)可以實(shí)現(xiàn)遠(yuǎn)程辦公室或其他移動(dòng)用戶對(duì)企業(yè)網(wǎng)絡(luò)的訪問，企業(yè)內(nèi)部VPN技術(shù)負(fù)責(zé)跨地區(qū)的企業(yè)內(nèi)部進(jìn)行辦公網(wǎng)絡(luò)的互聯(lián)，企業(yè)擴(kuò)展VPN便于企業(yè)與外部群體如客戶、合作伙伴等建立聯(lián)系。VPN的實(shí)質(zhì)是借助互聯(lián)網(wǎng)建立的一個(gè)安全性的臨時(shí)連接，使用戶能經(jīng)濟(jì)而有效的與目標(biāo)網(wǎng)絡(luò)建立連接并獲取所需信息。

2 VPN涉及的關(guān)鍵技術(shù)

VPN安全傳輸信息的實(shí)現(xiàn)離不開以下各項(xiàng)網(wǎng)絡(luò)安全技術(shù)：隧道技術(shù)、密鑰管理技術(shù)、加密與解密技術(shù)以及身份認(rèn)證技術(shù)等。這些安全技術(shù)的實(shí)施對(duì)于確保資料在傳輸中不被竊取具有重要作用，即使信息被竊取，由于信息是以密文形式在互聯(lián)網(wǎng)中傳輸，因而此類網(wǎng)絡(luò)安全技術(shù)可以保證網(wǎng)絡(luò)惡意行為者無法讀取資料內(nèi)容。

2.1隧道技術(shù)。該技術(shù)的原理是借助公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在互聯(lián)網(wǎng)中傳輸信息，隧道技術(shù)可以令數(shù)據(jù)包有效傳輸，數(shù)據(jù)包通常按照不同的協(xié)議封裝，在傳輸之前首先經(jīng)過隧道協(xié)議的處理，使之被重新加密，加密后的數(shù)據(jù)包被封裝進(jìn)新的包頭并得以傳送。新的包頭中涵蓋了路由信息，確保被重新封裝的數(shù)據(jù)包得以在隧道的兩端之間利用公共網(wǎng)絡(luò)安全傳輸。當(dāng)新封裝的數(shù)據(jù)包進(jìn)入公共網(wǎng)絡(luò)的傳遞路線時(shí)，其所經(jīng)過的邏輯路徑即通常意義上的隧道。當(dāng)?shù)竭_(dá)網(wǎng)絡(luò)終點(diǎn)后，數(shù)據(jù)包便經(jīng)過解封操作并繼而轉(zhuǎn)發(fā)到接收端。

2.2加密技術(shù)。對(duì)數(shù)據(jù)進(jìn)行加密所依據(jù)的原理即改變數(shù)據(jù)的表示形式從而對(duì)其進(jìn)行偽裝，未經(jīng)過授權(quán)的接收方無法獲取信息內(nèi)容，只有經(jīng)過授權(quán)的用戶才可以對(duì)信息進(jìn)行解密使之還原為所需信息。在協(xié)議棧的任何層面都可以實(shí)行加密技術(shù)，加密技術(shù)的應(yīng)用對(duì)象涵蓋數(shù)據(jù)以及報(bào)文頭等。VPN技術(shù)在網(wǎng)絡(luò)層中依據(jù)的加密準(zhǔn)則是IPSec，對(duì)網(wǎng)絡(luò)層最為安全的加密手段是對(duì)主機(jī)的端到端進(jìn)行加密，此外也可以利用隧道模式。VPN技術(shù)所采用的密鑰加密系統(tǒng)分為對(duì)稱性與非對(duì)稱性兩種，常用的VPN加密算法包括數(shù)據(jù)加密標(biāo)準(zhǔn)算法、三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)算法以及高級(jí)加密標(biāo)準(zhǔn)等。

2.3密鑰管理技術(shù)。為了使密鑰安全的在公用網(wǎng)絡(luò)上進(jìn)行傳遞而不被竊取，有必要對(duì)密鑰進(jìn)行保護(hù)和科學(xué)管理。對(duì)密鑰管理依據(jù)的是既定的演算法則如Difie Hellman法則等，此外也可以設(shè)置公用密鑰以及私用密鑰兩種密鑰類型，分別為信息發(fā)送方和接收方所擁有。

2.4身份認(rèn)證技術(shù)。當(dāng)VPN客戶端發(fā)出通信請(qǐng)求時(shí)，位于隧道另一端的設(shè)備必須對(duì)用戶進(jìn)行身份驗(yàn)證從而確保通信路徑的安全性。對(duì)身份進(jìn)行認(rèn)證通常有兩種方法：預(yù)共享密鑰以及RSA特征碼。其中預(yù)共享密鑰指的是安全通道的雙方在使用VPN通道之前共享的密鑰，利用對(duì)稱加密原理，該方式可以手動(dòng)輸入到每個(gè)對(duì)等的雙方中從而確認(rèn)雙方身份。RSA特征碼方式對(duì)用戶身份的驗(yàn)證采用的是數(shù)字證書方式。

3 VPN技術(shù)在通信網(wǎng)絡(luò)應(yīng)用中的常見安全問題

3.1VPN安全網(wǎng)關(guān)。VPN網(wǎng)絡(luò)中的一個(gè)關(guān)鍵組成部分便是網(wǎng)關(guān)，VPN網(wǎng)關(guān)位于內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行連接的位置，很容易受到開放性極強(qiáng)的互聯(lián)網(wǎng)的安全威脅，為了取保其安全性，VPN網(wǎng)關(guān)中必須集成防火墻功能。而目前VPN網(wǎng)關(guān)無法充分與防火墻協(xié)調(diào)，二者協(xié)調(diào)水平的高低直接決定了VPN安全網(wǎng)關(guān)能否發(fā)揮防護(hù)功能。為提高網(wǎng)關(guān)的安全性，并使之更加實(shí)用，有必要引進(jìn)專用的安全網(wǎng)關(guān)系統(tǒng)，可以將Linux系統(tǒng)進(jìn)行優(yōu)化或是重新編譯，使之專門承擔(dān)VPN安全網(wǎng)關(guān)功能。此外，VPN網(wǎng)關(guān)需要支持VPN隧道的建立，并可以實(shí)現(xiàn)VPN的加密。另外，網(wǎng)關(guān)應(yīng)具備管理服務(wù)質(zhì)量的功能，使之可以對(duì)QoS策略進(jìn)行優(yōu)化。對(duì)安全漏洞的檢測(cè)與處理也是網(wǎng)關(guān)的一項(xiàng)重要職能，VPN網(wǎng)關(guān)必須保證有足夠的防范能力應(yīng)對(duì)黑客攻擊。

3.2VPN的服務(wù)水平。對(duì)VPN服務(wù)水平進(jìn)行衡量需要依靠誤差率、丟失率、傳輸時(shí)延和抖動(dòng)等參數(shù)，VPN網(wǎng)絡(luò)的最主要目標(biāo)就是將數(shù)據(jù)根據(jù)要求傳輸?shù)侥康牡兀坏?shù)據(jù)傳輸出現(xiàn)問題，網(wǎng)絡(luò)應(yīng)用會(huì)受到不可逆的破壞，尤其對(duì)于網(wǎng)絡(luò)應(yīng)用的關(guān)鍵領(lǐng)域如電子商務(wù)、ERP等，數(shù)據(jù)無法安全傳輸會(huì)對(duì)企業(yè)、用戶乃至社會(huì)造成重大損失。服務(wù)質(zhì)量的提升需要從以下幾方面入手：首先借助ATM技術(shù)，使路由的確定功能從轉(zhuǎn)發(fā)中剝離出來從而單獨(dú)存在，當(dāng)旁路掉網(wǎng)導(dǎo)致網(wǎng)速緩慢時(shí)可以提供旁路路由器功能。此外，可以利用IPV6技術(shù)，相比傳統(tǒng)的IPV4技術(shù)，該技術(shù)可以令VPN網(wǎng)絡(luò)的安全性大大提升，并且服務(wù)質(zhì)量也遠(yuǎn)勝于IPV4，該技術(shù)的Traffic Class字段可以根據(jù)服務(wù)需求的不同分別采取各自對(duì)應(yīng)的分級(jí)和標(biāo)識(shí)，并借助路由器對(duì)處于同一級(jí)別的數(shù)據(jù)包進(jìn)行辨識(shí)及處理。

4 提升VPN網(wǎng)絡(luò)通信安全性的措施

為了確保VPN網(wǎng)絡(luò)的安全性，相關(guān)部門首先要樹立高度的安全意識(shí)，絕不能掉以輕心。盡管公司防火墻可以對(duì)外來攻擊起到一定的防護(hù)作用，但即使存在防火墻，入侵者也可以利用一個(gè)經(jīng)過授權(quán)的用戶私自進(jìn)入網(wǎng)絡(luò)，從而危及VPN網(wǎng)絡(luò)安全。為此，VPN的安全漏洞必須得到高度重視，研發(fā)人員要采取相關(guān)措施完善遠(yuǎn)程訪問的安全機(jī)制。除了個(gè)人計(jì)算機(jī)中必備的防火墻之外，所有遠(yuǎn)程工作人員應(yīng)在使用VPN網(wǎng)絡(luò)前進(jìn)行全面的身份認(rèn)證，敏感文件應(yīng)進(jìn)行加密，此外應(yīng)選取具有安全防護(hù)功能的DSL供應(yīng)商。

結(jié) 語

VPN通信網(wǎng)絡(luò)的安全問題關(guān)乎互聯(lián)網(wǎng)的穩(wěn)定運(yùn)作、企業(yè)的信息安全乃至全社會(huì)的利益，相關(guān)部門應(yīng)重視對(duì)VPN通信網(wǎng)絡(luò)安全的技術(shù)研發(fā)工作，使信息傳輸?shù)陌踩猿浞值玫奖Ｕ?，保證網(wǎng)絡(luò)資源的充分利用，從而使VPN技術(shù)發(fā)揮更大的價(jià)值。

參考文獻(xiàn)：

[1] 蔣新. 論VPN技術(shù)的安全問題[J]. 鐵路通信信號(hào)工程技術(shù)， 2002（3）：39-40.

[2] 楊瑞霞. 基于IPSec的VPN的安全性分析[D]. 山東師范大學(xué)， 2003.

[3] 咸廷偉. 基于安全通信的VPN技術(shù)的研究與設(shè)計(jì)[D]. 西南石油學(xué)院， 2003.

作者簡(jiǎn)介：王軒，19810914，性別：男，籍貫：天津?qū)氎?，現(xiàn)有職稱：工程師，學(xué)歷：大學(xué)本科，研究方向：工程類。