計(jì)算機(jī)網(wǎng)絡(luò)信息安全中虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用分析

楊志貞

（中國聯(lián)合網(wǎng)絡(luò)通信有限公司 惠州市分公司，廣東 惠州 516003）

0 引 言

虛擬專用網(wǎng)絡(luò)是組成計(jì)算機(jī)網(wǎng)絡(luò)信息安全的重要內(nèi)容，不但決定了存儲(chǔ)信息的安全性，還影響了計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境。目前科技發(fā)展非常迅速，互聯(lián)網(wǎng)體現(xiàn)出較強(qiáng)的共享性和開放性，但終究不能解決安全問題，一旦泄露網(wǎng)絡(luò)信息，容易帶來相關(guān)損失。在應(yīng)用虛擬專用網(wǎng)絡(luò)技術(shù)的前提下，可以保證安全傳輸信息，預(yù)防泄露信息的風(fēng)險(xiǎn)，最大程度確保了計(jì)算機(jī)網(wǎng)絡(luò)安全[1]。

1 虛擬專用網(wǎng)的分類與原理

1.1 分 類

通常虛擬專用網(wǎng)（Virtual Private Network，VPN）有連接分支機(jī)構(gòu)、連接業(yè)務(wù)伙伴或供應(yīng)商以及用戶遠(yuǎn)程訪問3種類型。其中，分支機(jī)構(gòu)連接網(wǎng)絡(luò)指一個(gè)組織內(nèi)部與兩個(gè)彼此信任的內(nèi)部網(wǎng)安全連接，如圖1所示。

圖1 分支機(jī)構(gòu)連接網(wǎng)絡(luò)

連接業(yè)務(wù)合作伙伴或供應(yīng)商網(wǎng)絡(luò)指互相不信任的兩個(gè)網(wǎng)絡(luò)進(jìn)行連接，因?yàn)槭侵鳈C(jī)到主機(jī)的安全連接，所以與連接分支機(jī)構(gòu)的虛擬專用網(wǎng)絡(luò)對(duì)比，該種虛擬專用網(wǎng)絡(luò)需協(xié)商大量的安全關(guān)聯(lián)，進(jìn)而安全分配和刷新密鑰，同時(shí)客戶機(jī)、服務(wù)器以及安全網(wǎng)關(guān)均支持IPSec協(xié)議[2]。

遠(yuǎn)程訪問網(wǎng)絡(luò)指用戶通過Internet安全、低成本地遠(yuǎn)程訪問公司內(nèi)部網(wǎng)，具體如圖2所示。

圖2 遠(yuǎn)程訪問網(wǎng)絡(luò)

1.2 原 理

基于Internet的VPN工作原理如圖3所示，主機(jī)向源VPN安全網(wǎng)關(guān)發(fā)送明文數(shù)據(jù)，網(wǎng)關(guān)依據(jù)安全策略檢查和加密數(shù)據(jù)。安全網(wǎng)關(guān)通過會(huì)話密鑰加密和認(rèn)證數(shù)據(jù)，之后為其安裝新的IP報(bào)頭，從而保護(hù)了源主機(jī)和目的主機(jī)的IP地址。當(dāng)目的VPN安全網(wǎng)關(guān)出現(xiàn)解除封裝的數(shù)據(jù)時(shí)，信息包被認(rèn)證和解密，最后向目的主機(jī)傳輸解密的明文數(shù)據(jù)[3]。

圖3 基于Internet的VPN工作原理

2 虛擬專用網(wǎng)絡(luò)的主要技術(shù)

2.1 隧道技術(shù)

隧道技術(shù)是采取壓縮方式將數(shù)據(jù)信息轉(zhuǎn)化為數(shù)據(jù)包，進(jìn)而實(shí)現(xiàn)傳輸，避免傳輸中發(fā)生丟失零散數(shù)據(jù)的問題。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在應(yīng)用中，選擇公用數(shù)據(jù)網(wǎng)絡(luò)建立隧道進(jìn)而應(yīng)用隧道技術(shù)，隧道技術(shù)需根據(jù)網(wǎng)絡(luò)隧道、承載以及被承擔(dān)協(xié)議等實(shí)現(xiàn)應(yīng)用[4]。

2.2 加密技術(shù)

加密技術(shù)為計(jì)算機(jī)系統(tǒng)數(shù)據(jù)信息提供了保護(hù)，提高了存儲(chǔ)設(shè)備上數(shù)據(jù)信息的安全性，此外也實(shí)現(xiàn)對(duì)VPN技術(shù)和隧道技術(shù)的保護(hù)。如果數(shù)據(jù)源和關(guān)聯(lián)的計(jì)算機(jī)系統(tǒng)未采取硬件加密技術(shù)實(shí)現(xiàn)加密，那么計(jì)算機(jī)系統(tǒng)數(shù)據(jù)容易被竊取或破壞，特別是用戶信息與銀行信息的泄露將會(huì)給用戶造成巨大損失[5]。

2.3 數(shù)據(jù)認(rèn)證技術(shù)

數(shù)據(jù)認(rèn)證技術(shù)以公鑰加密的數(shù)字簽名實(shí)現(xiàn)，主要是指發(fā)送信息對(duì)象利用公鑰算法技術(shù)形成他人無法偽造的簽名值，同時(shí)對(duì)其加密。發(fā)送對(duì)象采取自己的私鑰簽名數(shù)據(jù)產(chǎn)生簽名值，之后采取接收對(duì)象的公鑰加密處置數(shù)據(jù)和簽名值，最終向接收對(duì)象發(fā)送數(shù)據(jù)[6]。接收對(duì)象解密數(shù)據(jù)和簽名值需結(jié)合自己的私鑰，然后用發(fā)送對(duì)象的公鑰檢驗(yàn)簽名值，進(jìn)而鎖定消息出處，驗(yàn)證發(fā)送信息是否真實(shí)，保證加密信息的機(jī)密性。數(shù)字簽名包括真實(shí)數(shù)字簽名與公正數(shù)字簽名。在真實(shí)數(shù)字簽名中，簽名對(duì)象將簽名消息發(fā)送給接收對(duì)象，接收對(duì)象獨(dú)立對(duì)簽名檢驗(yàn)。而在數(shù)字簽名公證過程中，簽名對(duì)象發(fā)送信息的前提是具有可信的第三方，且接收對(duì)象無法對(duì)簽名直接檢驗(yàn)[7]。

3 虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用（以校園網(wǎng)為例）

校園網(wǎng)借VPN技術(shù)保證網(wǎng)絡(luò)安全，對(duì)網(wǎng)絡(luò)靈活管理。在設(shè)置程序中應(yīng)用VPN設(shè)備和相關(guān)軟件，基于不同物理網(wǎng)段安全連接LAN，聯(lián)系現(xiàn)實(shí)要求及時(shí)調(diào)整LAN。

3.1 實(shí)現(xiàn)VPN的基礎(chǔ)平臺(tái)

3.1.1 純軟件平臺(tái)

在部分已知的網(wǎng)絡(luò)環(huán)境內(nèi)，將支持VPN的軟件安裝在普通設(shè)備上，有效提升原有設(shè)備功能。利用軟件公司提供的軟件實(shí)現(xiàn)VPN，這種做法實(shí)施便捷，降低了投資，但基于原有設(shè)備性能只能提供有限的功能，應(yīng)用在連接速率要求偏低和連接比較分散的場(chǎng)合。為了在跨公網(wǎng)部門網(wǎng)絡(luò)間以對(duì)等方式連接VPN，要將VPN引入網(wǎng)絡(luò)通信設(shè)備，在網(wǎng)絡(luò)通信設(shè)備上應(yīng)用VPN專用軟件模塊，提高傳輸效率。需注意的是，一般廠家只能升級(jí)部分系列產(chǎn)品的VPN。

3.1.2 專用硬件平臺(tái)

為了在部分網(wǎng)絡(luò)設(shè)備實(shí)施VPN，一些設(shè)備廠家結(jié)合VPN協(xié)議，專門設(shè)計(jì)了VPN的硬件設(shè)備平臺(tái)，在硬件通信平臺(tái)建立功能服務(wù)器，從而實(shí)現(xiàn)VPN應(yīng)用，使VPN網(wǎng)絡(luò)連接更簡單[8]。

3.2 基于L2TP協(xié)力建立VPN

校園網(wǎng)路由器科學(xué)應(yīng)用L2TP協(xié)議，憑借VPN技術(shù)與不同物理位置分布的相同部門節(jié)點(diǎn)設(shè)備結(jié)合跨越校園網(wǎng)，組建一個(gè)LAN子網(wǎng)，緊密聯(lián)系了校園網(wǎng)絡(luò)內(nèi)行政單位的劃分。基于L2PT協(xié)議的VPN結(jié)構(gòu)如圖4所示。

圖4 基于L2PT協(xié)議的VPN結(jié)構(gòu)

L2TP包括LAC與LNS，其實(shí)現(xiàn)過程如下。用戶將傳輸數(shù)據(jù)請(qǐng)求發(fā)送至異地內(nèi)部網(wǎng)絡(luò)，將使用隧道技術(shù)的請(qǐng)求發(fā)送至本地LAC。本地LAC根據(jù)隧道特征向用戶提供對(duì)應(yīng)服務(wù)，如果已建立隧道，則科學(xué)封裝源網(wǎng)絡(luò)數(shù)據(jù)包，以隧道方法傳輸數(shù)據(jù)，如果未建立隧道，則向LNS發(fā)送內(nèi)部網(wǎng)IP映像的請(qǐng)求，初步構(gòu)建內(nèi)部隧道，再完成對(duì)源網(wǎng)絡(luò)數(shù)據(jù)包的封裝，向目標(biāo)網(wǎng)發(fā)送隧道數(shù)據(jù)包，消除封裝包頭，還原處理網(wǎng)絡(luò)層的數(shù)據(jù)包[9]。

3.3 基于PPTP協(xié)議建立VPN

校園網(wǎng)各院系部門業(yè)務(wù)借機(jī)器達(dá)到聯(lián)系的目的如二級(jí)財(cái)務(wù)的聯(lián)系、教務(wù)管理以及人事管理。具體通過服務(wù)器集中交流數(shù)據(jù)，圍繞客戶端有效整合分散的業(yè)務(wù)，且通過PPTP協(xié)議在服務(wù)器與客戶之間建立VPN隧道。基于PPTP協(xié)議的VPN結(jié)構(gòu)如圖5所示。

圖5 基于PPTP協(xié)議的VPN結(jié)構(gòu)

以PPTP在客戶機(jī)和服務(wù)器間開展加密通信業(yè)務(wù)。PPTP客戶機(jī)是指PC機(jī)引用PPTP協(xié)議，PPTP服務(wù)器是科學(xué)運(yùn)行PPTP協(xié)議。合理設(shè)計(jì)服務(wù)器與客戶機(jī)，從而圍繞PPTP構(gòu)建隧道連接。客戶端安裝了PPTP協(xié)議后產(chǎn)生建立隧道的請(qǐng)求，通過特定端口發(fā)送至服務(wù)器PPTP端口，服務(wù)器端驗(yàn)證身份，向目標(biāo)主機(jī)發(fā)送封裝的數(shù)據(jù)包。PPTP協(xié)議與客戶端采取撥號(hào)方法接入，一些在家辦公或出差辦事的員工可選擇ISP接入，此時(shí)有必要實(shí)行二次撥入，通過普通撥號(hào)方式接入ISP服務(wù)器，建立PPP連接。在這個(gè)基礎(chǔ)上開展二次撥號(hào)，與PPTP服務(wù)器進(jìn)行連接，獲取PPTP隧道，即按IP協(xié)議連接另外一個(gè)PPP，順利封裝部分局域網(wǎng)絡(luò)，達(dá)到跨公網(wǎng)LAN連接[10]。

3.4 社會(huì)拓展校園網(wǎng)業(yè)務(wù)

基于物理連接的不足和主干的寬帶等因素，Cernet主要業(yè)務(wù)是內(nèi)部交流與Internet外聯(lián)。而當(dāng)Cernet主干綜合提速和建立互聯(lián)網(wǎng)交換中心時(shí)，不斷擴(kuò)大和發(fā)展Cernet，與社會(huì)關(guān)鍵業(yè)務(wù)強(qiáng)化合作。當(dāng)前VPN技術(shù)對(duì)不同的網(wǎng)絡(luò)物理進(jìn)行連接，在Cernet校園網(wǎng)子網(wǎng)與連接Cernet的合作企業(yè)采取合理技術(shù)連接VPN，有利于較好開展教育科研工作。另外，在日益復(fù)雜的交流過程中，通過ChinaNet接入環(huán)境，建立內(nèi)部網(wǎng)絡(luò)VPN連接，提高內(nèi)部網(wǎng)絡(luò)通信連接的安全水平。

根據(jù)固化網(wǎng)絡(luò)設(shè)備提供的控制軟件應(yīng)用VPN技術(shù)。VPN的實(shí)施很容易，在設(shè)計(jì)校園網(wǎng)初期綜合考慮VPN功能，注意只有生產(chǎn)設(shè)備支持該類服務(wù)才能升級(jí)設(shè)備。VPN技術(shù)涉及的隧道通信、加密以及解密操作均增大了數(shù)據(jù)量，增加了網(wǎng)絡(luò)硬件負(fù)載，一定程度影響了原來網(wǎng)絡(luò)的功能。因此利用專業(yè)VPN設(shè)備設(shè)計(jì)網(wǎng)絡(luò)，減少使用VPN連接的次數(shù)。

根據(jù)原有網(wǎng)絡(luò)情況實(shí)施VPN，校園網(wǎng)絡(luò)建設(shè)表現(xiàn)出參差不齊的特點(diǎn)，通過各種協(xié)議或并存各種協(xié)議實(shí)現(xiàn)VPN，根據(jù)與網(wǎng)絡(luò)匹配的協(xié)議特點(diǎn)選擇VPN協(xié)議。保證VPN安全的核心是設(shè)計(jì)認(rèn)證策略，結(jié)合擬建的VPN單位設(shè)置安全認(rèn)證策略，科學(xué)選擇VPN密鑰技術(shù)，制定方案明確可授權(quán)與非授權(quán)的部門。

4 結(jié) 論

虛擬專用網(wǎng)絡(luò)技術(shù)的現(xiàn)實(shí)應(yīng)用過程就是在計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)一個(gè)專業(yè)化的信息傳遞平臺(tái)，跨區(qū)域傳遞資源與文件，借技術(shù)保證安全傳輸信息，從而可靠運(yùn)行計(jì)算機(jī)網(wǎng)絡(luò)。虛擬專用網(wǎng)絡(luò)技術(shù)在實(shí)際應(yīng)用中，借網(wǎng)絡(luò)空間提高虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用效率，保證工作質(zhì)量，提升了系統(tǒng)的安全水平。科技的發(fā)展相應(yīng)優(yōu)化了虛擬專用網(wǎng)絡(luò)技術(shù)，為用戶創(chuàng)造了一個(gè)穩(wěn)定的網(wǎng)絡(luò)環(huán)境。