趙統(tǒng)一

摘 要：本文對影響網(wǎng)絡(luò)安全VPN關(guān)鍵技術(shù)的一些因素進行了分析，分析了網(wǎng)絡(luò)安全VPN 關(guān)鍵技術(shù)工作原理，并對VPN 技術(shù)利弊進行了剖析，討論了VPN 技術(shù)在實際工作中的運用。

關(guān)鍵詞：網(wǎng)絡(luò)安全 VPN 應(yīng)用

1 影響VPN技術(shù)的安全性因素

（1）竊聽攻擊。一般情況下，絕大多數(shù)網(wǎng)絡(luò)通信是利用公共網(wǎng)絡(luò)資源進行信息交互存在不安全隱患，攻擊者通過獲取數(shù)據(jù)通信路徑，就可以“竊聽”或者“解讀”數(shù)據(jù)流，引起通信信息外泄、危及敏感數(shù)據(jù)安全

（2）中間者攻擊。中間者攻擊主要對通信對象的通信過程以及通信數(shù)據(jù)進行監(jiān)視、截取和控制，對數(shù)據(jù)交換進行重定向，使用網(wǎng)絡(luò)低層協(xié)議的通信兩端的主機是很難區(qū)分出不同的通信對象。

（3）流量數(shù)據(jù)分析攻擊?！傲髁繑?shù)據(jù)分析”攻擊是通過檢查IP 包中的網(wǎng)絡(luò)流量，分析誰正在參與交互通信、使用何種服務(wù)、推測出信息交互者之間的關(guān)系等方式，通過檢查包的未加密字段或未加保護包的屬性進行攻擊。

2 VPN 的安全關(guān)鍵技術(shù)

目前，VPN 主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。

（1）隧道技術(shù)。網(wǎng)絡(luò)隧道技術(shù)在不改變網(wǎng)絡(luò)標(biāo)準(zhǔn)的條件下，利用公共網(wǎng)絡(luò)來實現(xiàn)某些使用特別通信協(xié)議的網(wǎng)絡(luò)或用戶之間的連接和通信，是一種利用可路由協(xié)議（如IP 協(xié)議）在網(wǎng)絡(luò)中傳送其他協(xié)議數(shù)據(jù)包到目標(biāo)網(wǎng)絡(luò)的技術(shù)。目前，通常采用封裝普通組播數(shù)據(jù)報的辦法，將報頭、校驗和以及有效負(fù)載組成的組播數(shù)據(jù)報轉(zhuǎn)換（封裝）成源路由IP 數(shù)據(jù)報。源路由IP 數(shù)據(jù)報有不同的報頭結(jié)構(gòu)，并可以容納完全的組播數(shù)據(jù)報，在封裝時，最終目標(biāo)和源路由器的IP 地址被插入到數(shù)據(jù)報的報頭中。然后使用IP 協(xié)議可用的算法對數(shù)據(jù)報進行傳輸，并且通過路由器發(fā)送，直到到達(dá)最終的目標(biāo)路由器。當(dāng)數(shù)據(jù)包到達(dá)最終目標(biāo)路由器時，它進行解包，源路由報頭被刪除，IP 地址由原來的組播IP 地址代替，然后將數(shù)據(jù)報提交給目標(biāo)網(wǎng)絡(luò)中的相應(yīng)主機。

（2）加密技術(shù)。目前VPN 中均采用對稱加密體制和公鑰加密體制相結(jié)合的方法。對稱加密體制的通信雙方共享一個密鑰，發(fā)送方使用該密鑰將明文加密成密文，接受方使用相同的密鑰將密文還原成明文。公鑰加密體制，也稱非對稱加密體制。在通信過程中，發(fā)送方用接收方的公開密鑰加密消息，并且可以用發(fā)送方的秘密密鑰對信息加密，進行數(shù)字簽名。接收方收到消息后，用自己的秘密密鑰解密消息，并使用發(fā)送方的公開密鑰解密數(shù)字簽名，驗證發(fā)送方身份。數(shù)據(jù)加密技術(shù)按照不同的形式有不同的分類方法，貫穿于整個信息存儲、傳輸、鑒別和管理的全過程。

（3）密鑰管理技術(shù)。密鑰管理技術(shù)的主要任務(wù)是保障公用數(shù)據(jù)網(wǎng)上傳遞密鑰的安全。1）對稱密鑰管理。數(shù)據(jù)發(fā)送方可以為每次交換的信息生成唯一一把對稱密鑰并用公開密鑰對該密鑰進行加密，然后再將加密后的密鑰和用該密鑰加密的信息一起發(fā)送給相應(yīng)的數(shù)據(jù)接收方。2）公開密鑰管理/數(shù)字證書。目前電了商務(wù)廣泛采用數(shù)字證書技術(shù)，通信雙方之間可以使用數(shù)字證書（公開密鑰證書）來交換公開密鑰，標(biāo)識通信雙方。

（4）身份認(rèn)證技術(shù)。身份認(rèn)證技術(shù)是網(wǎng)絡(luò)安全中最直接、最前沿的一道防線，是鑒別合法用戶與非法用戶重要手段，用戶在使用網(wǎng)絡(luò)安全系統(tǒng)，首先必須向身份認(rèn)證系統(tǒng)表明自己的身份，經(jīng)過身份認(rèn)證系統(tǒng)識別確認(rèn)身份后，根據(jù)用戶身份、權(quán)限級別決定能否訪問某個資源或者進行某項操作，在允許并監(jiān)督經(jīng)過授權(quán)的操作同時防止非法操作，是防止黑客入侵和計算機病毒破壞的重要手段，在信息安全中占有非常重要的地位。目前，身份確認(rèn)技術(shù)的發(fā)展越來越受到人們的重視，根據(jù)層次和先后出現(xiàn)的順序，主要包括一般常用的靜態(tài)口令、一次性口令、數(shù)字證書和生物特征技術(shù)等等。

3 VPN 技術(shù)的優(yōu)點

（1）降低成本，VPN 利用了現(xiàn)有的Internet 組建虛擬專網(wǎng)，不需要使用重新敷設(shè)專用的線路就能實現(xiàn)數(shù)據(jù)安全的傳輸，實現(xiàn)了資源共享，降低了通信成本。

（2）易于擴展，采用VPN 只需在結(jié)點處架設(shè)VPN 設(shè)備，就可利用Internet 建立安全連接，這樣在分部增多，內(nèi)部網(wǎng)絡(luò)結(jié)點趨于復(fù)雜，只需添加一臺VPN 設(shè)備，改變相關(guān)配置，就可以實現(xiàn)新的內(nèi)部網(wǎng)絡(luò)安全連接。

（3）保證安全，VPN 技術(shù)利用可靠的加密認(rèn)證技術(shù)，在內(nèi)部網(wǎng)絡(luò)建立隧道，增加了信息安全性，可以有效防止信息被泄露、篡改和復(fù)制。

4 VPN 技術(shù)的實際運用用

（1）VPN 技術(shù)在遠(yuǎn)程辦公系統(tǒng)中的應(yīng)用。網(wǎng)絡(luò)時代，企業(yè)規(guī)模不斷擴大，分支機構(gòu)分布廣泛，企業(yè)內(nèi)部及合作伙伴之間的信息交互非常頻繁。由于公網(wǎng)以非加密的明文進行傳輸，保密性和安全性很差，而防火墻、加密傳輸、入侵檢測或基于專線連接的方式不僅成本高，而且多數(shù)是被動防御，難以適應(yīng)現(xiàn)代企業(yè)的需求。虛擬專用網(wǎng)（VPN）以其公網(wǎng)連接、加密傳輸?shù)膬?yōu)勢，贏得了越來越多企業(yè)的青睞。企業(yè)總部一般是企業(yè)信息存放、處理的中心，內(nèi)部主機數(shù)量多，數(shù)據(jù)流量大，安全性和實時性要求高；分支機構(gòu)內(nèi)部建有一定規(guī)模的局域網(wǎng)，同時通過當(dāng)?shù)豂SP 接Internet 網(wǎng)，VPN 網(wǎng)關(guān)部署在機構(gòu)內(nèi)部網(wǎng)與Internet 網(wǎng)的接口處；移動辦公人員訪問內(nèi)部網(wǎng)絡(luò)時，不需使用VPN 網(wǎng)關(guān)設(shè)備，只需要移動用戶的主機上安裝啟動VPN 安全包即可。

（2）VPN 在電子商務(wù)安全中的應(yīng)用。隨著互聯(lián)網(wǎng)的發(fā)展，電子商務(wù)己經(jīng)逐漸成為人們進行商務(wù)活動的新模式。越來越多的企業(yè)通過Internet 進行商務(wù)活動，但電子商務(wù)的安全問題是制約電子商務(wù)發(fā)展的主要瓶頸，如何建立一個安全、便捷的電子商務(wù)環(huán)境，對信息提供足夠的保護，商家和用戶都十分關(guān)心。VPN 能夠利用Internet 或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與令用網(wǎng)絡(luò)一樣的安全和功能保障，采用VPN 技術(shù)組網(wǎng)，降低組網(wǎng)費用和通訊費用，增加靈活性，能為需要跨地域開展電子商務(wù)活動的企業(yè)提供安全暢通的網(wǎng)絡(luò)，解決電子商務(wù)安全的基礎(chǔ)網(wǎng)絡(luò)安全問題。

（3）VPN 技術(shù)在金融行業(yè)的應(yīng)用。解決方案金融系統(tǒng)已經(jīng)建立了覆蓋全國的網(wǎng)絡(luò)，包括廣泛的企業(yè)內(nèi)部網(wǎng)、辦公網(wǎng)和開放Web 站點。隨著業(yè)務(wù)的合并、應(yīng)用的整合，事實上所有這些網(wǎng)絡(luò)就構(gòu)成了LAN+WAN+Internet 的一個復(fù)雜的而又不可分割的有機體。這樣一個有著多層次、廣用戶的業(yè)務(wù)應(yīng)用，存在縱橫交錯的邏輯合并和物理連接的網(wǎng)絡(luò)，不可避免地存在眾多安全隱患。為了解決端到端的數(shù)據(jù)安全，許多VPN 方案被提出：比如IIPPTP，L2TP，L2F VPN 以及MPLS VPN。東軟推出的NetEye VPN 采用了先進的工PSec 協(xié)議，NetEye VPN 提供了完善的產(chǎn)品線，精簡的NetEye Firewall withVPN，為用戶提供便捷的接入，靈活的安全策略控制。

5 結(jié)語

網(wǎng)絡(luò)在無形中改變了各行各業(yè)的運作方式，信息運營也基本實現(xiàn)了業(yè)務(wù)的互聯(lián)、資源的共享。與此同時，網(wǎng)絡(luò)安全性也越來越得到廣泛關(guān)注，VPN 技術(shù)提供了一種簡潔有效、安全可靠的解決方案被廣泛應(yīng)用。

參考文獻(xiàn)

[1]王永生. VPN技術(shù)在企業(yè)中的應(yīng)用[J].大眾科技. 2008（08）.

[2]范青. 淺談虛擬專用網(wǎng)（VPN）的技術(shù)研究與應(yīng)用[J].科技信息（科學(xué)教研）. 2007（33）.

[3]金武功. 關(guān)于VPN技術(shù)和應(yīng)用[J].電腦知識與技術(shù)（學(xué)術(shù)交流）. 2007（17）.