IP VPN安全技術研究

苗壯 新疆公安邊防總隊哈密邊防支隊

IP VPN安全技術研究

苗壯 新疆公安邊防總隊哈密邊防支隊

基于IP VPN技術，進一步分析IP VPN安全技術的技術內容，并對相關技術的安全性進行研究。從本次研究結果來看，IP VPN安全技術的性能穩定、安全性高，能滿足多種條件下的信息安全管理要求，具有良好的應用價值。

IP VPN技術 安全技術 隧道技術

1 IP VPN安全技術簡述

現階段公認的IP VPN安全技術主要包括四方面的內容，分別是隧道技術、密鑰管理技術、加密技術、使用者與身份認證技術，四種技術在技術內容上具有各自的特點，能滿足不同情況下的數據信息安全管理要求。

2 隧道技術

隧道技術是基于VPN基本技術而發展出來的一種安全保密技術，其技術類型與點對點技術類似，能最大程度上保證數據信息傳輸的針對性。在技術應用中，隧道技術通過構建一條數據傳送通道（隧道），通過這條隧道，數據能夠實現點對點的傳輸，保證了信息數據安全。

隧道技術是由隧道協議形成的，可以劃分為第二層、第三層協議，現階段在IP網上可見的隧道協議主要分為兩種，具體資料如表1所示。第二層隧道協議與第三層隧道協議的主要區別主要體現在數據被封裝上，在整個ISO OSI網絡協議棧中，不同用戶數據被封裝的層次不同，就決定了數據在隧道協議上存在差異。但在這個過程中需要注意的是，MPLS隧道是一種特殊的隧道協議類型，不屬于第二層、第三層隧道協議，而是介于兩種隧道協議之間。

表1 隧道協議資料表

3 密鑰管理技術

在整個信息數據傳輸過程中，VPN中的數據加密、數據認證等都需要進行秘密信息管理，在這個過程中密鑰對于信息安全的作用就越來越明顯，因此密鑰管理技術，逐漸得到人們的關注。現階段IP VPN技術中，密鑰管理技術的核心體現在密鑰發布方面，常見的密鑰發布方法主要有兩種：一種是手工配置的密鑰分配方法；另一種，則是依靠密鑰交換協議完成的動態發布。兩者相比，由于手工配置的方法不利于密鑰更新，因此在操作過程中，手工配置的密鑰發布方式往往被應用在簡單網絡結構上；而密鑰交換協議主要通過軟件方式動態生成密鑰，能滿足多種條件下的密鑰更新需要求，不僅操作簡單，還能進一步提高VPN的信息傳輸質量，因此能得到更多人的認可。

在現行技術條件下，密鑰管理技術主要分為SK IP與ISAKMP兩種形式。其中SK IP主要通過Diffe-Hellman演算法則，依靠網絡快速的配置密鑰；而ISAKM管理技術中，信息傳輸的雙方都有兩把密鑰，分別對應私用、公用的密鑰，具有更高的靈活性。

4 加密技術

在IP VPN安全技術中，加密技術主要體現在數據信息加密中，這個數據加密的主要思想，就是通過對數據信息進行改裝，使其以不同的形式完成數據傳輸，并且其中的敏感信息往往會被包裝成普通的數據形式，進而保證了數據信息安全；在數據信息傳輸結束后，非加密的對象都無法順利讀取數據信息。

在應用加密技術過程中，可以在任意層的協議棧完成數據處理，若有特殊要求，也可以進行報文頭數據加密。網絡層中的數據信息加密標準為IPSec，一般在數據加密處理中，最常見的加密方法就是在主機端到另一個主機端進行數據加密。除此之外，另一種加密過程是在路由器中進行的，但是這個處理過程需要注意的是，不能從第一路由到終端之間進行加密，這是因為這種加密方式的安全性差：在數據傳輸過程中，從第一條路由到終端系統可能被截取，進而危機數據信息安全。因此在加密技術中，本文推薦終端到終端的數據傳輸方式，在這種數據加密技術下，VPN安全粒度水平會達到個人終端系統的標準，因此安全性更高。同時，在后一種方案中，VPN的安全粒度只有子網標準。

受技術條件影響，現階段的鏈路層加密沒有統一的標準，因此在加密過程中，為了保證所有鏈路層的加密方案都能符合數據信息安全的標準，廠家通常會自主設計一套需要特別加密的軟件來滿足信息數據加密的要求。

5 使用者與設備身份識別技術

在當前網絡信息傳輸中，網絡上的用戶與設備都需要在確認身份的情況下才能實現傳輸，在這個過程中，如何對信息傳輸雙方進行身份認證，就成為VPN需要重點解決的問題。當前在身份認證中所使用的協議一般為被稱為摘要的技術，其中摘要技術主要采用HASH函數，將特定時長的函數以報文的形式進行轉變，并將其映射成為一段特殊的報文摘要，來滿足信息傳輸過程中的數據安全要求。但是在這個過程中需要注意的是，HASH函數具有一定的特殊性，因此為了保證信息傳輸安全性，還需要盡可能的尋找兩個完全相同的不同報文。在獲取報文之后，信息傳輸方希望驗證對方的愿望能夠得到實現，并且驗證秘密不會通過網絡被泄露，這種措施能在最大程度上保證數據傳輸安全。

從本次研究結果可知，隨著現代社會生產對于信息數據的安全性提出了更高的要求，因此如何做好數據加密安全，已經成為相關人員關注的重點內容。IP VPN安全技術能滿足多種情況下的信息數據安全要求，具有良好的應用價值，應該得到相關人員的重視。

[1]張偉，王鳳英.GRE over IPsec VPN結合NAT的構建方案研究與實現[J].山東理工大學學報(自然科學版)，2017，03:6-10