淺析虛擬專用網(wǎng)VPN的安全技術(shù)

藍(lán)茹玥

【摘 要】virtual private network，簡(jiǎn)稱VPN，它是虛擬網(wǎng)中的一種，當(dāng)前由于其有較高的安全服務(wù)保障及較大的可擴(kuò)充性等特點(diǎn)得到越來(lái)越廣泛的應(yīng)用。本文首先分析VPN的優(yōu)勢(shì)及特點(diǎn)，然后介紹它的幾點(diǎn)安全技術(shù)。

【關(guān)鍵詞】VPN；特點(diǎn)；安全技術(shù)

虛擬專用網(wǎng)（virtual private network，VPN）指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端一端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet、ATM（異步傳輸模式）、FrameRelay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。

由于VPN是在Internet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，用戶節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購(gòu)買(mǎi)VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP（Internet服務(wù)提供商）支付一定的上網(wǎng)費(fèi)用，也節(jié)省了長(zhǎng)途電話費(fèi)，相對(duì)于專線連接來(lái)說(shuō)，通信成本最高可降低70%。這就是VPN價(jià)格低廉的原因。隨著網(wǎng)絡(luò)辦公自動(dòng)化的普及，越來(lái)越多的企業(yè)和單位開(kāi)設(shè)VPN服務(wù)，為異地安全辦公提供便利。

VPN主要由服務(wù)器網(wǎng)關(guān)、隧道和客戶機(jī)3部分組成，其結(jié)構(gòu)如下圖所示。在企業(yè)內(nèi)部，需要配置一臺(tái)VPN服務(wù)器網(wǎng)關(guān)，在外部網(wǎng)絡(luò)中的客戶端通過(guò)VPN隧道訪問(wèn)服務(wù)器，數(shù)據(jù)傳輸是經(jīng)過(guò)壓縮、加密的，具有較高的通信安全性。

1.虛擬專用網(wǎng)VPN的優(yōu)勢(shì)及特點(diǎn)

相對(duì)于專線網(wǎng)絡(luò)，VPN的優(yōu)勢(shì)和特點(diǎn)主要有以下幾點(diǎn)：

1.1安全保障

雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。

1.2服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其他應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

1.3可擴(kuò)充性和靈活性

VPN必須能夠支持通過(guò)Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

1.4可管理性

從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，但企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)，具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。

2.虛擬專用網(wǎng)（VPN）的安全技術(shù)

由于VPN傳輸?shù)氖瞧髽I(yè)或單位的私有信息，VPN用戶對(duì)數(shù)據(jù)的安全性都很重視。目前VPN主要采用4項(xiàng)技術(shù)來(lái)保證安全，這4項(xiàng)技術(shù)分別是隧道技術(shù)（tunneling）、加解密技術(shù)（encryption & decryption）、密鑰管理技術(shù)（key management）、使用者與設(shè)備身份認(rèn)證技術(shù)（authentication）。

2.1隧道技術(shù)

隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝人隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F（1ayer 2 forwarding，第二層轉(zhuǎn)發(fā)協(xié)議）、PPTP（point-to-pointtunnelingprotocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議）、L2TP（1ayer 2 tunneling protocol，第二層隧道協(xié)議）等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP，IPSec（IP security）等。IPSec是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用的密鑰等服務(wù)，從而在IP層提供安全保障。

2.2加解密技術(shù)

基于VPN的網(wǎng)絡(luò)通信中，為了保障數(shù)據(jù)的安全性，傳輸?shù)臄?shù)據(jù)都是經(jīng)過(guò)加解密處理的。最基本使用的對(duì)稱加解密算法主要有DES，3DES，AES，RC4，RC5等，常用的非對(duì)稱加解密算法主要有RSA、橢圓曲線等。

2.3密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用和私用。

2.4身份認(rèn)證技術(shù)

VPN采用了身份認(rèn)證技術(shù)，常用的有PAP（password authentication protocol，密碼認(rèn)證協(xié)議）、CHAP（challenge handshake authentication protocol，質(zhì)詢握手認(rèn)證協(xié)議）等。VPN連接中一般都包括以下兩種形式的認(rèn)證。

（1）用戶身份認(rèn)證：在VPN連接建立之前，VPN服務(wù)器對(duì)請(qǐng)求建立接連的VPN客戶機(jī)進(jìn)行身份認(rèn)證，檢查其是否為合法的授權(quán)用戶，如果使用雙向認(rèn)證，還需進(jìn)行VPN客戶機(jī)對(duì)VPN服務(wù)器的身份認(rèn)證，以防偽裝的非法服務(wù)器提供錯(cuò)誤信息。

（2）數(shù)據(jù)完整性和合法性認(rèn)證：檢查鏈路上傳輸?shù)臄?shù)據(jù)是否出自源端以及在傳輸過(guò)程中是否經(jīng)過(guò)篡改。在VPN鏈路中傳輸?shù)臄?shù)據(jù)包包含密碼檢查和校驗(yàn)，密鑰只由發(fā)送者和接收者雙方共享。

3.結(jié)束語(yǔ)

隨著Internet技術(shù)的不斷發(fā)展，企業(yè)辦公越來(lái)越離不開(kāi)網(wǎng)絡(luò)，VPN技術(shù)對(duì)于企業(yè)的貢獻(xiàn)越來(lái)越受到重視，因此，VPN會(huì)在今后一段時(shí)間內(nèi)保持強(qiáng)勁的發(fā)展勢(shì)頭，在這個(gè)背景之下，其安全性需要得到我們的充分重視，采取切實(shí)有效的措施，抵御各類網(wǎng)絡(luò)安全性。

【參考文獻(xiàn)】

[1]項(xiàng)順伯.VPN安全性分析[J].承德石油高等專科學(xué)校學(xué)報(bào)，2011.

[2]尋大勇.VPN安全技術(shù)的應(yīng)用研究[J].電腦知識(shí)與技術(shù)，2012.