虛擬專用網(wǎng)絡(luò)技術(shù)在安全領(lǐng)域的應(yīng)用

付強(qiáng) 劉青華

摘 要： 隨著我國綜合國力的迅猛發(fā)展，不斷的對(duì)前沿科技進(jìn)行探索，我國所掌握的前沿科技已經(jīng)越來越多，越來越廣泛，同時(shí)保護(hù)國有信息資料的安全工作也受到足夠的重視。但是在當(dāng)前階段，計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)中的漏洞層出不窮，非法盜取信息事件頻發(fā)，安全技術(shù)犯罪手段越來越多，因此保衛(wèi)計(jì)算機(jī)的網(wǎng)絡(luò)和信息安全已是一項(xiàng)刻不容緩的任務(wù)。在計(jì)算機(jī)網(wǎng)絡(luò)信息安全領(lǐng)域中，虛擬專用網(wǎng)技術(shù)是一項(xiàng)必不可少的手段。文章主要分析了當(dāng)前的虛擬專用網(wǎng)（VPN）技術(shù)的特點(diǎn)，以及它在計(jì)算機(jī)網(wǎng)絡(luò)與信息安全領(lǐng)域的應(yīng)用于市場前景，希望對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全研究的理論探索方面能提供一些幫助。

關(guān)鍵詞：計(jì)算機(jī)科學(xué)技術(shù)；網(wǎng)絡(luò)信息安全；虛擬專用網(wǎng)絡(luò)技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8937（2016）24-0090-02

VPN技術(shù)即虛擬專用網(wǎng)絡(luò)技術(shù)，簡單來說就是在公共的萬維網(wǎng)上建立VPN服務(wù)器，我們通過客戶端就連接這個(gè)VPN服務(wù)器，建立一條VPN隧道，這個(gè)VPN隧道是一個(gè)加密鏈路，我們所有的信息傳遞都是在加密鏈路內(nèi)進(jìn)行傳輸[1]。即使有人使用非法手段監(jiān)聽互聯(lián)網(wǎng)進(jìn)行信息嗅探，也不能獲取到加密鏈路中的私密信息。這樣，既不影響萬維網(wǎng)信息傳遞的便利性，還能保證私密信息和私有數(shù)據(jù)的安全傳遞，有效的避免了由于網(wǎng)絡(luò)信息泄露導(dǎo)致經(jīng)濟(jì)損失等嚴(yán)重的影響，所以，虛擬的專用網(wǎng)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)的安全領(lǐng)域起著至關(guān)重要的作用。

1 虛擬網(wǎng)絡(luò)技術(shù)的專用特點(diǎn)

VPN即虛擬專用網(wǎng)絡(luò)（Virtual Private Network），是一條穿過公共網(wǎng)絡(luò)中的私有網(wǎng)絡(luò)，是一條安全穩(wěn)定的隧道。通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)封包的加密傳輸，在一個(gè)公用的網(wǎng)絡(luò)上（一般指Internet）建立一個(gè)臨時(shí)的連接，從而實(shí)現(xiàn)在公有網(wǎng)絡(luò)上傳輸私密數(shù)據(jù)，達(dá)到私有網(wǎng)絡(luò)的安全級(jí)別[2]。最常使用的場景就是對(duì)企業(yè)組織內(nèi)部網(wǎng)絡(luò)的拓展工作上的應(yīng)用，利用VPN來解決一些其他地區(qū)的客戶、公司積極一些分支機(jī)構(gòu)的隨時(shí)隨地進(jìn)行溝通等問題。建立良好的可信度與安全性并存的連接模式，確保安全的將信息傳遞出去。VPN是一個(gè)企業(yè)之間創(chuàng)建的虛擬安全線路，以實(shí)現(xiàn)安全連接，避免了重新鋪設(shè)專用線路的難題，降低了網(wǎng)絡(luò)組建的成本，降低了工作難度。

同時(shí)，虛擬專用網(wǎng)絡(luò)技術(shù)還具有簡單易操作、設(shè)備簡便等特點(diǎn)，搭建以及使用方便，所以虛擬網(wǎng)絡(luò)技術(shù)以其獨(dú)有的優(yōu)勢在如今的信息化時(shí)代的市場競爭中保持著絕對(duì)的優(yōu)勢，發(fā)展前景是非常廣闊的，已經(jīng)成為各大公司和企業(yè)必要的技術(shù)組成部分。

2 虛擬專用網(wǎng)絡(luò)的主要技術(shù)

2.1 加解密技術(shù)（Encryption&Decryption）

加解密技術(shù)是虛擬專用網(wǎng)絡(luò)技術(shù)中最為核心的技術(shù)，私密信息的安全主要依賴于加解密技術(shù)，同時(shí)，加解密技術(shù)也是對(duì)隧道技術(shù)的一種保護(hù)。密，是一個(gè)隱藏性高的關(guān)鍵，將接收到的信息進(jìn)行加密處理，并將信息做編碼的處理，一次性完成所有的加密的工作，確保其他的一些非法的用戶侵入，保證信息傳遞過程的安全保障。信息屬于明文的格式，將信息的明隱藏起來的過程就把明文改成了密文，然后再把密文還原為最初的信息內(nèi)容就叫做解密。

CBC算法（Cipher Block Chain）是一種常見的加解密模式，是將密碼進(jìn)行分組，每一個(gè)分組都將被用到下一個(gè)分組加密的密碼修改的工作中，采用這種連接的方式將分組連接在一起。加密公式為：

Ci=Ek（MI⊙Ci-1）

解密的公式是：

Mi=Ci-1Dk（Ci）。

DES算法是美國國家標(biāo)準(zhǔn)局來發(fā)的一種對(duì)稱密鑰的算法。是一種很好的數(shù)據(jù)加密標(biāo)準(zhǔn)。有40到56數(shù)位長加密密鑰。還有一種叫做3DES的一個(gè)加密密鑰，他的加密策略與DES 的加密策略是一樣的算法，但是，他不是一次性的完成加密的工作，需要做三次的加密工作，而且每一次的機(jī)密密鑰都是截然不同的，反復(fù)的加密，也造成了揭開數(shù)據(jù)密碼的難度系數(shù)，是工作變得更加繁瑣和麻煩。

AES算法（Advanced Encryption Standard）是采用高級(jí)的加密標(biāo)準(zhǔn)模式進(jìn)行信息密鑰的方法，是美國國家技術(shù)標(biāo)準(zhǔn)委員會(huì)采用經(jīng)過三年的方案挑選出的五種方案中最終挑選出來的比利時(shí)的研究成果”Rijndael"作為AES算法的基礎(chǔ)。經(jīng)過漫長時(shí)間等待和研究，將AES發(fā)展成最高級(jí)別的一個(gè)加密方法。AES算法只需要加密一次數(shù)據(jù)即可，這也是與其他的機(jī)密密鑰的區(qū)別之處，簡單明了的精確算法，安全性能高的優(yōu)點(diǎn)，提高了其使用的范圍。

AES和DES的性能比較：

密鑰的長短：DES算法支持40 bit到56 bit的密鑰長度；AES支持128 bit的密鑰長度，AES算法是DES算法支持的密鑰強(qiáng)度的大約一千多倍。

安全性能：DES算法加密密鑰的過程比較復(fù)雜，經(jīng)過反復(fù)加密三次，安全性能比較差；AES算法只需要一次性將信息加密密鑰，安全性較高。

利用的范圍：DES算法設(shè)計(jì)上相對(duì)較復(fù)雜，需要的內(nèi)存的空間較大，是它的利用范圍有限；AES算法在設(shè)計(jì)上比較簡潔明了，密鑰安裝上較快，需要的內(nèi)存空間較小，使用范圍比較寬泛。

所以，相對(duì)而言，AES高效率和更高的安全保障，簡單技術(shù)寫操作，AES算法比DES算法會(huì)有更好的發(fā)展空間，未來有可能取代DES算法的在國際上的地位。

2.2 隧道技術(shù)（Tunneling）

隧道技術(shù)就是原始的數(shù)據(jù)在一個(gè)機(jī)器進(jìn)行封裝，在另一個(gè)機(jī)器那里把封裝去掉后，還原成最初的數(shù)據(jù)，從一個(gè)機(jī)器到另一個(gè)機(jī)器的信息整理就是一個(gè)信息的通信隧道。就目前的隧道技術(shù)的發(fā)展?fàn)顩r來看，有以下幾種類型：一般路由封裝（GRE）、L2TP和PPTP。

GRE隧道的技術(shù)就是最初的路由源頭和目的路由之間形成的隧道，簡單的說就是一個(gè)點(diǎn)到另一個(gè)點(diǎn)的過程。比如說，將一個(gè)GRE的報(bào)文頭進(jìn)行了重新改編，并進(jìn)行封裝，加上目的地的地址放到隧道里。

在GRE報(bào)文頭抵達(dá)隧道的目的地的時(shí)候，封裝就會(huì)被拿掉，并按照最初報(bào)文中的目的地的地址尋找?？梢钥闯鯣RE隧道技術(shù)之存在一個(gè)最開始的一個(gè)地址和一個(gè)目的地的地址。但是有些時(shí)候也會(huì)有一點(diǎn)到多個(gè)點(diǎn)的情況，就是一個(gè)源地址與多個(gè)目的地的地址并存。

這種情況下就要與下一跳路由協(xié)（Next-Hop Routing Protocol， NHRP）結(jié)合使用，利用NHRP在路由之間建立捷徑。

L2TP技術(shù)是L2F（Layer 2 Forwarding）和PPTP的結(jié)合。當(dāng)前的發(fā)展來看，PPTP仍存在PC機(jī)的桌面的操作系統(tǒng)里，使用也很廣泛。

隧道有兩種建立的方式：用戶初始化隧道和NAS（Network Access Server）初始化隧道。用戶初始化隧道通常指“主動(dòng)”型隧道，NAS是“強(qiáng)制”型隧道?！爸鲃?dòng)”隧道基于用戶基礎(chǔ)上的，用戶從自己的利益出發(fā)所提出的請(qǐng)求，“強(qiáng)制”隧道與用戶沒有具體溝通，不需要用戶做任何事情，在用戶不知情的情況下建立的隧道模式。L2TP屬于“強(qiáng)制”隧道的范圍，如何將L2TP“強(qiáng)制”隧道建立連接，以下幾點(diǎn)介紹：

①用戶利用NAS的L2TP接入到服務(wù)器中，進(jìn)行身份驗(yàn)證；

②利用Modem與NAS建立連接；

③用戶可通過L2TP“強(qiáng)制”隧道獲取VPN的服務(wù)

④用戶與L2TP接入服務(wù)器應(yīng)建立點(diǎn)到點(diǎn)的協(xié)議訪問隧道

⑤對(duì)于NAS與政策服務(wù)器或者是在政策配置文件進(jìn)行協(xié)商的時(shí)候，NAS和L2TP接入服務(wù)器建立一條L2TP隧道。

與L2TP隧道不同的是，PPTP屬于“主動(dòng)”型的隧道模式，它是允許終端的系統(tǒng)進(jìn)行配置的，無論P(yáng)PTP處在一個(gè)什么位置，都會(huì)與PPTP服務(wù)器建立一個(gè)沒有連續(xù)性的點(diǎn)到點(diǎn)的一個(gè)隧道模式。

同時(shí)，在PPTP協(xié)商和隧道建立過程中，NAS是不參與其中，他的作用只是為網(wǎng)絡(luò)服務(wù)提供幫助。那么，PPTP建立的過程有以下幾點(diǎn)：

①用戶通過PPTP隧道獲取VPN的服務(wù)；

②用戶與PPTP的服務(wù)器的接入應(yīng)通過路由的相關(guān)信息進(jìn)行定位；

③定位之后，用戶就會(huì)與PPTP建立一個(gè)虛擬的對(duì)接口；

④用戶利用這個(gè)接口，與PPTP服務(wù)器進(jìn)行協(xié)商和認(rèn)證并建立一條可以訪問兼服務(wù)的隧道；

⑤用戶與NAS建立連接并獲取網(wǎng)絡(luò)服務(wù)，需要利用串口來撥號(hào)IP訪問的方式進(jìn)行。

L2TP技術(shù)的應(yīng)用中，看似是與PPTP的接入器直接建立的連接，也感覺不到NAS起到的作用。但是在PPTP隧道技術(shù)的應(yīng)用中，NAS的作用是讓可以看得到的。NAS把PPTP的流量只是看做簡單的IP流量進(jìn)行處理，不需要了解PPTP接入服務(wù)器的具體的存在方式。

控制權(quán)是在NAS還是用戶的手中是采用L2TP或是PPTP實(shí)現(xiàn)VPN的關(guān)鍵所在。相比較而言，L2TP會(huì)比 PPTP的安全性高，并且L2TP接入器的用戶是可以確定的。在應(yīng)用上看，L2PT技術(shù)適合大多數(shù)是集中的、比較固定的VPN的用戶，比較分散的、移動(dòng)的用戶適合PPTP技術(shù)。

2.3 用戶身份認(rèn)證技術(shù)（Authentication）

身份認(rèn)證通常又稱為實(shí)體認(rèn)證、身份鑒別等。在信息VPN信息安全中，身份認(rèn)證是最基本的環(huán)境，也是最重要的環(huán)節(jié)。若沒有身份認(rèn)證，安全無從談起。身份認(rèn)證的實(shí)質(zhì)是需要被認(rèn)證的一方有一些別人所不知道的信息（如口令、私鑰、證書、指紋等生物學(xué)特征），除了被認(rèn)證人以為，別人都不可以偽造的，并且被認(rèn)證人能使認(rèn)證方信任他確實(shí)有那些信息，那么被認(rèn)證人的身份就得到認(rèn)證了。

2.3.1 基于用戶名/口令的身份認(rèn)證方式

用戶名和密碼是最常用的認(rèn)證方式，在系統(tǒng)創(chuàng)建的時(shí)候附加上注冊用戶名與密碼，在每次進(jìn)行系統(tǒng)登錄的時(shí)候需要提供用戶名與密碼，若信息正確則認(rèn)證成功。這種方式簡便容易實(shí)現(xiàn)，不需要負(fù)責(zé)其他成本，但是存在安全風(fēng)險(xiǎn)，如網(wǎng)絡(luò)竊聽、重放攻擊、字典攻擊、暴力攻擊、嗅探等非法手段容易泄露認(rèn)證信息。

2.3.2 數(shù)字證書認(rèn)證

數(shù)字證書是基于公鑰的一種認(rèn)證技術(shù)，只有利用數(shù)字證書驗(yàn)證了對(duì)方的身份信息后才可以進(jìn)行數(shù)據(jù)傳輸。數(shù)字證書采用公鑰密碼體制，使用證書擁有者的私鑰來驗(yàn)證其身份。數(shù)字證書認(rèn)證的基本思路是通信雙方首先獲得對(duì)方的證書，并用CA的公鑰來驗(yàn)證數(shù)字證書是否正確，同時(shí)檢查證書的主體證書的有效期等信息，最后獲取證書的公鑰將需要的發(fā)送的信息進(jìn)行加密處理。

2.3.3 一次性口令認(rèn)證

用戶每次登陸的密碼都是不同的，使用一次后即失效。一次性口令認(rèn)證也可稱為動(dòng)態(tài)口令。

2.3.4 生物特征技術(shù)認(rèn)證

人體的生物特征是天生的，每個(gè)人都是不一樣的，在生物特征認(rèn)證中首先提取出個(gè)人的生物特征，經(jīng)過處理后保存于計(jì)算機(jī)內(nèi)，作為登錄的依據(jù)，生物特征技術(shù)認(rèn)證偽造困難，不易丟失。隨著密碼學(xué)、網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，生物特征技術(shù)將受到廣泛的歡迎。

2.4 密鑰管理技術(shù)（Key Management）

密鑰管理技術(shù)是由SKIP協(xié)議與ISAKMP協(xié)議組成，如何在共用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取是密鑰管理技術(shù)的主要任務(wù)，對(duì)用戶需要傳輸?shù)拿荑€信息安全起著決定性作用。SKIP主要是利用Diffie-Hellman的演算法則，使得密鑰在互聯(lián)網(wǎng)之問進(jìn)行不公開的傳播，隱秘性較好[4]。在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。在ISAKMP中，密鑰的傳輸是公開的，人人都可以獲取，因此需要小心謹(jǐn)慎的使用。

3 虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的

應(yīng)用

3.1 企業(yè)總部與遠(yuǎn)程分支之間的應(yīng)用

企業(yè)內(nèi)部搭建有自己的工作局域網(wǎng)，企業(yè)各個(gè)分支部分分散在全國各地，再分支部門需要連接到局域網(wǎng)內(nèi)部時(shí)就可以接入VPN進(jìn)行工作，實(shí)現(xiàn)資源全局安全共享。例如某大型企業(yè)總部在北京，局域網(wǎng)機(jī)房在北京，身在上海的分部需要召開一次網(wǎng)絡(luò)會(huì)議，會(huì)議信息涉密，這種情況即可使用VPN連接北京會(huì)議系統(tǒng)的，不僅省時(shí)省力，方便輕松，還有利于企業(yè)各分部之間的溝通和發(fā)展，增強(qiáng)企業(yè)的凝聚力與影響力，企業(yè)的網(wǎng)絡(luò)信息也得以優(yōu)化和提升。

3.2 企業(yè)網(wǎng)與遠(yuǎn)程員工間的應(yīng)用

企業(yè)員工可以通過VPN遠(yuǎn)程接入到公司內(nèi)部網(wǎng)絡(luò)進(jìn)行辦公，可以進(jìn)行移動(dòng)辦公，增加了工作的便利性。例如，某IT企業(yè)在內(nèi)網(wǎng)搭建有一套管理系統(tǒng)，該系統(tǒng)有一位骨干員工負(fù)責(zé)，由于工作指派等事由，該員工出差外地幾日，恰逢該管理系統(tǒng)出現(xiàn)故障，無人可以解決問題，這時(shí)該員工即可通過遠(yuǎn)程VPN接入到內(nèi)網(wǎng)進(jìn)行調(diào)試與解決問題。通過這種技術(shù)即可以快速解決公司內(nèi)部問題，也不影響遠(yuǎn)方的業(yè)務(wù)。

3.3 企業(yè)、供應(yīng)商、合作伙伴間的應(yīng)用

大部分企業(yè)或者組織與供應(yīng)商或是合作伙伴不可能都在同一個(gè)地區(qū)，如果需要時(shí)常見面洽談商務(wù)會(huì)耗費(fèi)大量時(shí)間成本和財(cái)力物力，因此，通過虛擬專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程洽談是一個(gè)非常優(yōu)秀的解決方案，所以虛擬網(wǎng)絡(luò)專用技術(shù)極大的提高了企業(yè)工作效率，減少了成本的支出。

4 結(jié) 語

綜上所述，本文主要討論了虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全領(lǐng)域中的案例與簡單應(yīng)用，闡述目前與虛擬專用網(wǎng)相關(guān)聯(lián)的技術(shù)理論，討論虛擬專用網(wǎng)在企業(yè)中的簡單應(yīng)用案例。在當(dāng)前網(wǎng)絡(luò)信息時(shí)代，保護(hù)網(wǎng)絡(luò)信息安全是重中之重，希望本文的一些信息可以給相關(guān)方面的研究提供支持與幫助。

參考文獻(xiàn)：

[1] 楊敏.虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用探討[J].科 技創(chuàng)新與應(yīng)用，2014，（23）：72-72.

[2] 張偉杰.虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用[J].電子 世界，2014，（17）：171-171.

[3] 王永剛.虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用[J].電子 測試，2015，（10）：73-74.

[4] 宋巖.虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用分析[J].硅 谷，2013，（23）：35-36.