VPN網絡安全技術在云計算中的應用

摘要：隨著云計算業務和技術創新的日益繁榮以及云計算系統的規模宏大，包含了大量用戶的私密數據，加之其前所未有的開放和復雜性，導致其信息安全面臨比傳統信息系統更強大的挑戰。文章對VPN主要網絡技術進行了回顧，并結合其在安全方面的優勢和特性，對構建云計算網絡環境及應用進行了探索，結合在電力系統領域的實踐成效表明，VPN能有效構建安全可信、經濟成本的云計算網絡，有效保障并提升了云計算環境下的網絡安全水平。

關鍵詞：云計算；傳輸安全；VPN虛擬專用網；智能電網

中圖分類號：TM64文獻標識碼：A

ApplicationofVPNNetworkSecurityTechnologyinCloudComputing

HuangHaiLiChaoZhouZhenliangLiZhenxi

BeijingPuhuaInformationTechnologyCo.，Ltd.Beijing100070

Abstract：Withtheincreasingprosperityofcloudcomputingbusinessandtechnologicalinnovation，aswellasthescaleofcloudcomputingsystems，whichcontainalargenumberofusers'privatedata，coupled withtheunprecedentedopennessandcomplexity，theirinformationsecurityfacesmorepowerfulchallengesthantraditionalinformationsystems.ThearticlereviewsthemainnetworktechnologiesofVPN，andexplorestheconstructionofcloudcomputingnetworkenvironmentandapplicationsbasedonitsadvantagesandcharacteristicsinsecurity.Combinedwithpracticalresultsinthefieldofpowersystems，VPNcaneffectivelybuildasecure，trustworthy，andcosteffectivecloudcomputingnetwork，effectivelyensuringandimprovingthelevelofnetworksecurityincloudcomputingenvironments.

Keywords：Cloudcomputing；Transmissionsecurity；VPNVirtualPrivatenetwork；Smartgrid

目前，云計算產業及其技術的發展非常迅速，得到了政府、產業界以及學術界的廣泛關注和大量投入。然而，云計算應用的安全問題也日趨明顯，這使得人們對其安全性的疑慮也在增加。隨著云計算業務和技術革新的快速發展，加上云計算系統的龐大規模，承載的用戶數據眾多，以及前所未見的開放性和復雜性，其所面臨的信息安全威脅遠超過了以往的傳統信息系統［1］。

云計算環境安全管控離不開通信網絡的規劃和設計，VPN（VirtualPrivateNetwork，虛擬專用網絡）采用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術，對公共網絡如互聯網進行規劃設計建立了臨時、安全、可加密、可認證的可信虛擬網絡，能有效地構建云環境的網絡架構［2］。由此，文章研究了VPN的關鍵技術特點，并探索了VPN在云計算環境應用要求，結合在電力系統中的實踐研究，為VPN在云計算網絡環境安全提升提出了建設性思考。

1VPN與云安全

云計算建立了一個數據儲存、管理與傳遞的新模式。因為，它的到來將產生更多的“胖”數據中心和“瘦”終端，將用戶的數據都儲存到了云計算數據中心，也就代表著將有大量的數據通過互聯網進行傳輸，在此背景下，只有讓用戶數據傳輸具有充分的可靠性和保密性，才能讓云計算真正服務于大眾。為了保證云計算環境下數據的傳輸安全，可以充分借鑒或利用VPN這類網絡安全技術的現有研究成果對云計算網絡環境進行規劃設計，以構建起安全可信的云計算網絡［3］。

2VPN工作原理

VPN在公網上建立了一個臨時性安全連接，這個公網通常指的是Internet，而這一技術成就了一個安全且穩定的個人虛擬廣域網，它利用公共的網絡來完成，這里的虛擬指的是它不用專用的、現實的電纜或者電線連接，而是實用公共網絡。所說的“私有”，用戶根據自己的需求，訂制的一條專有的虛擬網絡。VPN的核心是隧道技術。隧道是依靠IPinIP或IPXoverIP等技術完成的就是將一個數據包作為另一個IP包的負載來處理，如圖1所示。網絡隧道協議主要分成兩類，其中二層網絡隧道協議是一種隧道協議，三層網絡隧道協議是用來傳輸三層網絡協議的，并在創建和擴大公司內部的虛擬專用網絡中發揮作用。其中，著名的IPSec協議就是三層隧道協議的一個例子［4］。

隧道包括以下三類：（1）網關之間創建的隧道，傳輸的加密信息由兩個或者多個網關之間進行加密解封；（2）主機與主機之間建立的隧道，隧道終止于兩邊的防火墻等設備；（3）主機與網關之間的隧道，用戶PC終端到企業服務器建立隧道進行保密傳輸，具有更高的安全性。在IPv4環境中，需升級PC的網卡設備支持IPSec，才能實現“端到端”隧道；而在IPv6環境中，由于IPv6內嵌了IPSec協議，所以更容易實現［5］。

VPN網絡中需要配備多臺認證服務器，最核心的服務器就是遠程撥入用戶認證服務器（RADIUS），VPN設備會根據RADIUS內的數據庫信息對用戶訪問權限進行控制，與此同時，RADIUS服務器還會對被訪問的設備發送虛擬專網中用戶的地址、用戶最長接入時長、用戶被允許使用的撥入電話號碼等。VPN設備會依此進行用戶身份認證，如果認證成功，則允許建立隧道通信。

VPN不需要某一方提供專用通信線路或者租用ISP的專線，但是它卻有相似的傳輸數據的功能。總體而言，VPN應具有以下特性：（1）成本低：投資小，只需購買相關的VPN設備，并向本地ISP購買一定帶寬的接入服務；（2）高可用性：通過購買ISP的寬帶接入服務，部分維護責任遷移至ISP。如果公網中的一個VPN節點壞了，可以使用公網的另外一個節點代替；（3）高安全性：通過加密技術使數據包在公網上安全地傳遞，甚至實現端到端的安全性；（4）高可擴展性：可從公網動態申請網絡資源，進行VPN的動態擴展和維護，有利于保護投資，降低網絡投資成本［6］。上述特性中，安全特性為VPN各類產品中最重要的特性。

3VPN關鍵技術

由于VPN是在不安全的Internet中實現，因此必須采取一系列的安全機制來實現VPN的安全通信。VPN的關鍵技術包括：隧道技術、加解密認證技術、密鑰交換和訪問控制技術等。

3.1隧道技術

隧道技術主要包括：IP安全標準、GRE（GenericRoutingEncapsulation，通用路由封裝協議）和PPTP（PointtoPointTunnelingProtocol，點對點隧道協議）。

（1）IP安全標準，簡稱IPSec，早期為ipv4，后期主要指ipv6，主要由密鑰管理和安全協議構成。IPSec為IP層安全提供保障，通過驗證身份、保密性檢驗和完整性校驗等方式為數據源提供保護［7］。安全載荷（ESP）和認證頭（AH）被封裝在安全協議里，以實現安全保護，其數據包格式如圖2、圖3所示。ESP為數據提供完整性及機密性保護，AH為數據提供完整性保護。IPSec使用IKE（Internet密鑰交換）技術完成安全參數的協商。

IPSec在兩個節點之間建立了SA（安全聯盟），并規定了保障數據傳遞過程中應用的協議、策略、有效管理時期的重要因素。在傳輸過程中，一旦數據經過了重新闡述，將會產生新的AH、ESP或附加報發，這個報頭就會被封密，并把已加密后的用戶數據包括到新的原IP數據包內。在傳輸模式中，附加報發的計算只依據原傳輸層（如UDP和TPC等）的數據，在原IP報頭中則計算已加密的原傳輸層數據和附加報發［8］。

IPSec在數據安全傳輸通道的端點實施安全防護，能夠形成多個SA（安全聯盟），并通過訪問控制方案，執行各種差異化的數據保全策略。SA是具有單向性的，在兩個端點進行安全數據傳輸時，每個端點都有兩個SA，一個是接收數據包，一個是發送數據包。IPSec的SA可以手工配置和IKE的自動配置。

（2）GRE是一種網絡之間封裝數據包的協議，它可以把一種網絡協議封裝在另外一種網絡協議里，它可以實現路由和另一個路由之間通信，也可以一端路由到多端路由進行數據傳輸。在VPN的技術結構中，常規主機網絡能夠借助地址和路由建立的物理連接，形成眾多的數據傳輸通道。在GRE的傳輸技術里，主要采用常規主機網絡地址作為起始地址，而VPN和主機網絡的交互節點可作為GRE通道的起點和終點。這種技術可以把VPN的路由數據和網絡主機的路由數據分隔開來，那么多個VPN可以同時用同一個空間地址［9］。

GRE隧道技術有很多優點，但也有不可克服的缺點，它的配置都是由人工手動配置的，每次隧道的終點發生改變，都需要人工配置，隧道的規模數量又大，所以它的管理成本特別高。隨著技術的發展，現在也可以實現自動配置，但是不穩定，它不能考慮路由信息，容易產生回路，路由效率將大幅度下降。

（3）PPTP技術于1996年基于PPP技術誕生。其運行原理包括PPP協議對數據進行封裝，隨后PPTP隧道協議對PPP的信息進行密封，最后將其集成至ATM、幀中繼以及IP消息中［10］。

首先，顧客通過電話撥號方式連接到互聯網，接下來將與網絡接入服務器產生連接以獲得網絡服務。其次，顧客將應用路由器搭建PPTP服務器，并與其產生聯接。顧客會通過一個PPTP的虛擬接口與PPTP服務器形成連接，借此構筑一個PPTP訪問服務的通道。最后，顧客的VPN服務就是借助這個通道獲取的。PPTP可控制數據流量，數據傳輸更加順暢穩定。PPTP加密采用點對點加密，算法采用40位或者128位密鑰。

1996年，L2TP（LayerForwarding）的數據傳遞隧道協議問世，主要應用于撥號訪問服務器和Cisco路由器。到了1997年末，PPTP隧道協議和L2TP隧道協議融合，形成了L2TP（LayerTunnelingProtocol）隧道協議。L2TP可支持更多協議，利用公共局域網對PPP幀進行封裝，以達到與企業內既有的非IP網絡的融合。此外，L2TP也延續了PPTP的流量功能，并支持MultilinkProtocol技術（MP），將幾個物理信道融合為一條邏輯信道。L2TP依托PPP的可靠性來確保數據包的可靠傳送。L2TP隧道在兩VPN服務器間使用CHAP口令握手協議進行身份核實。

L2TP構建過程包含以下步驟：首先，用戶借助Modem與NAS（NetworkAccessServer）建立連接；其次，用戶會在NAS的L2TP接入服務器上進行身份鑒別；再次，基于管理配置文件或者NAS與政策服務器之間的談判，NAS以及L2TP接入服務器有能力動態生成一個L2TP通道；接著，用戶和L2TP接入服務器構造一條點對點協議（PointtoPointProtocol，PPP）的接入服務隧道；最后，用戶可以利用這個隧道實現VPN服務的獲取。

在創建VPN時，PPTP將與NAS連接，并由NAS進行控制。然而，當L2TP被用來連接服務器時，它能夠識別出用戶的地址，使得L2TP在安全性上超越PPTP。因此，對于那些比較穩定并集中的用戶，L2TP更為合適；而對于那些流動性強的個人用戶，PPTP會更適宜［11］。

3.2加解密認證技術

VPN安全傳輸技術中數據在隧道的起點進行加密，在隧道的終點進行解密。這樣可以不被非法用戶入侵，保證數據安全。

一般來說，VPN常常使用DES和3DES算法來執行加密和解密，但是這種方式有許多缺點，如大量密鑰難以管理，傳輸過程有風險等。然而，通過采用混合加密體系（加解密使用單鑰密碼，密鑰傳輸使用雙鑰密碼）可以加快傳輸速度，同時也能很好地保護信息的保密性。

認證技術可以有效地防范惡意攻擊，進行數據交換的雙方在傳輸數據前，先進行認證，雙方的數字證書符合認證后再開始交換數據。口令認證是最常用的身份認證技術方式，而設備認證是通過CA頒發的電子證書。認證方式有很多，如動態令牌、質詢握手驗證協議CHAP和X.509數字證書等［12］。

3.3密鑰交換技術

IKE是由IPSec定義的特定密鑰交換方式，其結合了ISAKMP、OAKLEY及SKEME技術，令其在數據驗證加密生成與協議共享策略商討技術方面擁有獨一無二的特性。IKE協議之所以能提供各類交換模式和相關選項，都歸功于其運用的哈希函數以及對稱和非對稱的加密模型。主要模式和積極模式是它定義的兩個密鑰交換方式，第一層是由主模式及積極模式構成的IKESA；第二層是快速模式構成的IPSECSA［13］。

IKE的規則明確指出，通信對身份驗證、協定加密的算法以及產生共有的會話密鑰的處理方式。不在非安全的網絡中直接傳遞密鑰，而是通過一連串安全的數據交換，以便通信對方能夠最后確定共享密鑰，這就是IKE的主要特色。它的基本技術包含DiffieHellman的交換技術。通過數理證實，破解DiffieHellman交換會面臨極高的計算復雜度，因此，DiffieHellman擁有極高的安全級別。在身份認證方面，IKE還可以采用發送短信驗證碼、非對稱加密技術、電子簽名技術等。

3.4訪問控制技術

VPN的其中一個作用就是執行用戶的訪問控制，每個用戶擁有獨特的訪問權限，這個權限的程度由VPN服務商和網絡數據資源供應商共同協定，從而提供數據資源最優的保護［14］。

文章將訪問控制的策略分為兩類，分別是基于個人或其團隊身份設定的選擇性訪問控制和基于信息敏感性的強制性訪問控制。前者通常直接嵌入操作系統中以實現其功能，而后者則依賴于信息的敏感程度來進行訪問管控。

4VPN在云計算環境應用及實踐

4.1安全要求

在云計算的環境中，IT系統的信任范疇由固定態勢轉變為流動性，并越過企業的操控界限。這種對操作權限的損失，對當前的信任管控和管理模式（包含對雇員和承包方的信任源泉）帶來了嚴重的挑戰。此外，虛擬化技術打破了硬件與軟件之間的聯系，把工作從單機的物理限制中解放出來，而云計算則更進一步地使物理定位模糊化。網絡數據從云端被傳送到用戶端，通過對數據進行加密操作進行保護，而且，在一個物理主機上運行的各個虛擬機之間，它們想要在運行中實現數據的分隔，利用VPN通信就可以實現。

云計算環境下，VPN應支持如點對點、點對多、多對多的應用模式。隨著云計算應用的豐富，網絡的流量逐步增大，除了保證足夠的數據保密性，在有限的網絡帶寬資源下實現VPN，還應有一定的業務質量保證（QoS）。通過VPN與IAM技術相結合，云計算提供商可以設置靈活的訪問控制策略，實現用戶數據隔離和較高安全級別的安全保護［15］。

4.2案例實踐

以智能電網運用為背景，智能電網是指利用先進的信息技術進行現代化和智能化的電網。在智能電網運行中，可以采用云計算技術來進行數據的存儲、計算和管理，提高電網的智能化水平。通過云計算技術，可以對電網中的數據進行智能化處理和管理，為設備運維、能源計量、電網分析等業務提供數據支撐，提高智能電網的效率和安全性。那么在復雜的數據傳輸中，數據的安全是至關重要的，因此在數據傳輸中我們就運用到了VPN技術。

某水利發電站在正常運行中發電站需要實時監測各個機組運轉數據，匯總各個配電站供配電情況，各種數據經過中央處理系統的處理后對各個節點進行命令輸出。整個的運行都需要大量數據的傳輸，通常在電力系統中都是設置專線進行數據傳輸的，這樣可以確保安全性。但是設置這種專線的費用非常高，通過使用VPN技術后，可以節省這筆費用，而且數據的安全通過建立安全隧道加密的方式也會得到保證。

總結

隨著科技的不斷發展，越來越多的可靠技術被使用，云計算已經廣泛地應用到我們的業務開展和生產生活中，VPN技術在云計算中為我們提供了安全便捷的網絡環境搭建方法。文章介紹了VPN的關鍵技術，探索了其在云計算網絡環境中的安全要求和應用實踐，相對于物理專線等其他方法，它更具有數據安全、隱私保護、經濟成本低等優勢。

參考文獻：

［1］朱源，聞劍峰.云計算安全淺析［J］.電信科學，2010，26（6）：5357.

［2］謝小峰.VPN技術在局域網中的組網的應用探討［J］.自動化應用，2022（05）：6870.

［3］高淑光.VPN技術在校園網絡安全體系中的應用研究［J］.電腦知識與技術，2022，18（28）：6365.

［4］李超凡，馬凱.IPSecVPN應用場景分析與實驗仿真［J］.新疆師范大學學報（自然科學版），2022，41（01）：3439.

［5］李春平，張淑榮，王東，等.基于IPsec的站點間VPN部署方法［J］.電腦與電信，2022（04）：7377.

［6］王文飛.VPN技術在高職院校校園網應用案例淺析［J］.科技風，2023（18）：6466.

［7］王衛國，馬超，李超凡.端對端IPSecVPN工程實驗設計與仿真［J］.電腦知識與技術，2022，18（1）：5354.

［8］陳敏，許芮/C8wIqxhRtvlaEISs87Vhxy1kshd+GcAELOMTDkIVjM=銘.一種復雜IPSec處理模型與分片重組的研究［J］.信息與電腦，2022，34（21）：206209.

［9］張韜，柳亞婷.GREoverIPsec與IPsecoverGRE在網絡安全中的區別與實現［J］.電腦與信息技術，2018，26（1）：5659.

［10］曾鐵亮.RouterOS搭建PPTP協議的VPN服務器［J］.電腦編程技巧與維護，2019（8）：165167.

［11］倪潔，徐志偉，李鴻志.PPTPVPN與L2TP/IPSecVPN的實現與安全測試［J］.電子技術與軟件工程，2019（12）：192.

［12］郭贊宇，劉俊紅，張強，等.基于BYOD安全的身份認證技術探究［J］.網絡安全和信息化，2022（5）：126129.

［13］張銘.基于防火墻技術的網絡認證協議密鑰交換算法［J］.互聯網周刊，2023（2）：9295.

［14］康秀蘭.校園網絡安全體系中VPN技術的應用研究［J］.信息與電腦，2023，35（1）：219221.

［15］俞富榮.VPN技術在局域網中的組網的應用探討［J］.網絡安全技術與應用，2021（8）：67.

項目基金：國網重慶信通公司基金項目（2022年測試驗證環境功能完善“B368B122041000ZR000000”）

作者簡介：黃海（1985—），男，漢族，重慶人，本科，中級工程師，研究方向為電力信息通信領域技術研發和建設運行管理；李超（1988—），男，漢族，湖北大悟縣人，碩士，中級工程師，研究方向為從事云計算、移動互聯、人工智能等領域的研究；周振亮（1987—），男，漢族，山東菏澤人，本科，中級工程師，研究方向為從事云計算、移動互聯等領域的研究；李振西（1990—），男，漢族，河南鹿邑縣人，本科，中級工程師，研究方向為長期從事移動互聯等領域的研究。