芻議VPN網絡的通信安全與優化實現

高山山，康燕，安然

（呼和浩特鐵路局呼和通信段，呼和浩特010000）

芻議VPN網絡的通信安全與優化實現

高山山，康燕，安然

（呼和浩特鐵路局呼和通信段，呼和浩特010000）

VPN技術憑借著高效、安全、搭建成本低、便捷、可控、客戶端部署靈活性高等特點，逐步替代了傳統的專線技術，成為當今安全傳輸信息技術的主流。通過現實信息網絡中數據包和相關數據的統計和分析，證明了VPN技術在數據傳輸安全保障方面的價值，并對目前VPN技術在固定、移動網絡環境下存在的不足進行了分析并提出改進方案。

VPN網絡；網絡安全；網絡通信

【DOI】10.13616/j.cnki.gcjsysj.2016.09.073

1 VPN技術淺析與研究意義

虛擬專用網絡VPN(Virtual Private Network)，是指在專用或者萬維網中建立與其他網絡用戶隔離的用戶群，這些用戶之間可以像在專用網絡上那樣相互通信并定義訪問資源級別[1]。它是在多個局域網之間通過隧道技術建立一個虛擬的網絡專用通道，可以簡單地理解為VNP技術是一根保證數據傳輸過程安全性和靈活性的虛擬專用網線。

1.1 VPN技術的常規類型

據實施VPN網絡過程中采用的設備類型進行分類：軟件VPN、硬件VPN、軟硬件綜合VPN。據VPN網絡部署方式進行分類：遠程訪問VPN、站點到站點VPN。VPN技術通信過程中應用的協議進行分類：PPTP、L2TP、SSTP等。專用網絡隧道技術是VPN網絡的技術核心部分，原理是將VPN網絡中用戶的數據信息封裝到PDU（協議數據單元）中，接著通過其他傳輸協議方式傳輸到外部的對等實體，然后傳輸給其他用戶。隧道技術可以實現網絡和網絡、主機和主機、網絡和主機之間的安全通信，其過程為數據封裝、加密、傳輸、拆分、解密過程。

1.2 VPN技術研究的意義

（1）VPN技術提高數據在傳輸過程中的安全性，進而提高了數據傳輸過程的價值；（2）逐步推進IPv4網絡向IPv6網絡的過渡；（3）使得網絡操作系統得以普及，加快網絡化進程，增加網絡聚合程度。VPN思想及其技術的出現，必將在網絡進化過程乃至完成其最終形態過程中起到至關重要的作用。

2 VPN技術的不足與優化措施

2.1 VPN網絡通信的缺陷和改進思路

當今網絡下，大部分網絡仍是IPv4網絡，IPv6網絡仍然屬于孤島狀態，未來是信息時代，而美國有著絕對的網絡信息控制權，這使得IPv4向IPv6過渡勢在必行而且是迫在眉睫的。對此，我國應該建立國內自己的緩存域名服務器，即使是美國將中國國家域名刪除，也不能完全限制國家網絡通信。且我國積極參與IPv6制定標準和應用推廣，使得各國分享了IPv6的技術和控制權，才能將互聯網從一個國家絕對控制的形式中解脫出來。過渡過程中可能存在2種情況：通過IPv4網絡實現IPv6網絡之間的通信；論文提出在IPv6通信網絡前增加相對應的網關設備，該設備主要用于相應的網絡協議翻譯。雖然增加了網絡投資，但是使得傳輸的數據經過VPN網絡隧道技術和協議網關的包裝，增強了數據傳輸的安全性。

2.2 VPN技術在移動網絡環境中的安全性分析和解決措施

移動通信技術憑借著4G網絡的興起，已經和互聯網技術成為我國信息產業的兩大支柱。伴隨著移動通信技術的發展，相應的移動VPN技術需求也得以提出，移動VPN技術是網絡VPN技術在移動網絡上的拓展，其發展時間較短，仍然處于萌芽階段，需要在安全性方面得到更多的技術支持。隨著移動網絡和IPv6技術的推廣和普及。VPN技術在移動網絡上一定給信息產業帶來巨大的改變。移動網絡VPN與固定網絡VPN連接在結構上的不同之處在于，首先要求移動網絡和固定網絡直接先進性連接，然后才能將移動VPN客戶端與互聯網進行連接。無線信號從基站發出傳輸到移動通信設備過程中很容易被第三方截獲，造成VPN安全通信技術的漏洞。論文采用數字認證證書和對應的數字證書標識值一一綁定的方法解決該問題，并通過將數字證書所持有的特征值鑲嵌入智能卡磁條中的方式進行解決傳輸數據給終端設備帶來的壓力及傳輸過程中速度慢且費用高的缺點，通過證書的標識值可以在CA服務器上獲取相關的數字證書，同時將證書的處理部分移交到CA服務器上，進而解放移動客戶端的運算資源。通過哈希運算在共享密鑰不變原理的基礎上進行身份雙向認證等一系列的改進，從而阻止破解攻擊的生效[2]。

2.3 在C/S層面對VPN網絡的優化設計

不論是RASVPN還是STSVPN網絡服務，都是單向提供服務的結構，可以理解為客戶端都連接著VPN服務器，雖然這有利于網絡的集中管理，但是不利于多個VPN客戶端或者各個VPN網絡相互間的通信[3]，因為實現該通信過程中數據轉發必須通過一個VPN網絡服務器，增加了該服務器的負載量，降低VPN客戶端的通信速度。且這種單向服務連接結構對單一的VPN服務器的依賴性很大，一旦該VPN服務器出現故障，整個VPN網絡將處于癱瘓狀態。VPN網絡與分布式存儲概念結合后，最大的優勢是網絡中不存在集中式VPN服務器，這種模式下將服務器與客戶端的概念有絕對化變為相對化[4]。

3 結論

從VPN技術在社會需要、VPN技術原理和相對于傳統專線網絡的優勢、移動客戶端VPN技術缺陷和優化方法、VPN技術自動化部署和VPN技術在推進當今網絡影響及對網絡發展展望，論述了VPN技術對當今網絡世界格局改變的作用和存在意義。還完成了以下優化設計：（1）整合了多個VPN工程，模擬出一套能在多種網絡環境下都適應的VPN通信網絡結構模型；（2）提出了在IPv6和IPv4不同協議間的通信思路，既解決了網絡通信對服務器的依賴又解決了IPv4網址短缺問題；（3）提出了一系列針對不穩定網絡中自動化部署VPN網絡客戶端和服務端及其之間連接方式的方法。

【1】王路，袁宏春，萬里冰.基于IP的點對點分布式VPN系統[J].電子科技大學學報，2014(1)：25-27.

【2】劉曉紅，紀越峰.下一代應用層防火墻性能及其測試[J].計算機工程，2012(11)：223-224.

【3】鮮繼清，譚丹，陳輝.局域網中個人防火墻與入侵檢測系統聯動技術研究[J].計算機應用研究，2010(5)：103-105.

【4】李軍.信息泄漏防范何去何從[J].計算機安全，2013(3)：76-78.

Discussion on Communication Security and Optimization of VPN Network

GAO Shan-shan,KANG Yan,AN Ran
(Huhe Communications Segment of Hohhot Railway Administration,Hohhot 010000，China)

With the characteristics of high efficiency,safety,low building cost,convenience,controllability and high flexibility of client deployment,the VPN technology has gradually replaced the traditional line technology,and become the mainstream of today's information technology of secure transmission.Through statistics and analysis of data packets and the related data in practical information network,the value of VPN technology in the security of data transmission is proved,the shortages of VPN technology in fixed and mobile network environment are analyzed and an improved scheme is proposed.

VPN network;network security;network communication

TP393.08

A

1007-9467（2016）09-0176-02

2016-08-17

高山山（1989～），男，山西朔州人，助理工程師，從事鐵路通信研究。