劉永輝

關(guān)鍵詞： 虛擬專用網(wǎng)絡(luò) 身份認證 隧道技術(shù) 遠程訪問 IPSec 協(xié)議

中圖分類號： TP393.01 文獻標識碼： A 文章編號： 1672-3791（2023）15-0020-04

虛擬專用網(wǎng)絡(luò)技術(shù)則通過建立專用網(wǎng)絡(luò)的方式，將專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)隔離開來，避免了來自互聯(lián)網(wǎng)上的惡意訪問；同時，還能通過加密通信的方式，讓虛擬專用網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)被加密，從而進一步提升了網(wǎng)絡(luò)信息的安全性和私密性。截至2022 年6 月，我國網(wǎng)絡(luò)用戶數(shù)規(guī)模已經(jīng)達到10.4 億，網(wǎng)絡(luò)信息泄露已經(jīng)成為不容忽視的問題，在這一背景下探究虛擬專用網(wǎng)絡(luò)技術(shù)在保護網(wǎng)絡(luò)信息安全方面的具體運用策略成為一項熱門研究課題。

1 虛擬專用網(wǎng)絡(luò)技術(shù)的應用優(yōu)勢

虛擬專用網(wǎng)絡(luò)是一種基于物理網(wǎng)絡(luò)建立的功能性網(wǎng)絡(luò)，由于不需要布設(shè)硬件通信設(shè)備，可以大幅度降低網(wǎng)絡(luò)使用成本。同時，虛擬專用網(wǎng)絡(luò)傳輸?shù)男畔⒍际墙?jīng)過加密處理的，擁有更好的私有性，顯著提高了對非法訪問的抵御能力，因此在信息安全性方面也優(yōu)于完全開放的互聯(lián)網(wǎng)。從用戶角度來說，虛擬專用網(wǎng)絡(luò)的運行模式和工作方式是完全透明的，使用虛擬專用網(wǎng)絡(luò)技術(shù)可以幫助不同用戶打破地域空間的壁壘，建立起通信聯(lián)系，以局域網(wǎng)的形式實現(xiàn)可靠連接、安全通信。用戶可以根據(jù)信息的重要程度，或者信息的具體類型，選擇不同的虛擬專用網(wǎng)絡(luò)技術(shù)（如加密技術(shù)、隧道技術(shù)等），保證數(shù)據(jù)在網(wǎng)絡(luò)間傳輸時不會被第三方竊取。另外，常規(guī)的計算機網(wǎng)絡(luò)通信在傳輸信息時，即便是沒有受到黑客的攻擊，也有可能因為電磁干擾等原因?qū)е滦畔G失。相比之下，虛擬專用網(wǎng)絡(luò)則具有更強的抗干擾能力，對解決信息失真問題、信息丟失問題也有顯著效果。

2 網(wǎng)絡(luò)信息安全中常用的虛擬專用網(wǎng)絡(luò)技術(shù)

2.1 加密技術(shù)

計算機網(wǎng)絡(luò)信息的泄露或破壞多見于兩種情況：一種是在信息的存儲期間，因為存儲介質(zhì)（如磁盤、硬盤）損壞導致信息丟失；另一種是在信息的傳輸期間，因為遭到黑客供給導致信息泄露?；谔摂M專用網(wǎng)絡(luò)的加密技術(shù)就是針對上述第二種情況，提前將需要在網(wǎng)絡(luò)中進行傳輸?shù)男畔⑦M行加密處理，然后再將其從發(fā)送端傳輸至接收端。在網(wǎng)絡(luò)傳輸期間，即便是該信息被第三方攔截，只要沒有獲得用于解密的密鑰，就可以保證信息的隱私與安全[1]。根據(jù)加密方式的不同，該技術(shù)又可分為主動加密、被動加密兩種。所謂主動加密，是信息的發(fā)布者出于安全方面的考慮，使用加密軟件或加密工具對待傳輸?shù)奈募畔⒆黾用芴幚?；而被動加密則是計算機系統(tǒng)按照設(shè)定的程序自動對文件信息進行加密，如磁盤加密。在計算機網(wǎng)絡(luò)信息傳輸中加密技術(shù)的應用流程如下：信息的發(fā)送者首先使用公鑰將準備發(fā)送的文件加密，使其轉(zhuǎn)換成密文，然后通過網(wǎng)絡(luò)發(fā)送給接收者。在網(wǎng)絡(luò)傳輸過程中，如果該文件被非相關(guān)的第三方截取，打開文件后只能看到一串亂碼，而無法從文件中獲取任何有價值的信息，間接的保護了信息安全。當該文件正常被接收者接收后，再使用配套的密鑰對文件進行解密，成功解密后即可得到原文件，順利讀取文件信息。在虛擬專用網(wǎng)絡(luò)中，加密技術(shù)通常與隧道技術(shù)配合使用，起到保護保護隧道的作用。當用戶使用隧道傳輸信息時，可以避免正處于隧道內(nèi)的信息遭受黑客攻擊，從而解決了信息泄露、盜用、篡改等一系列問題的發(fā)生，切實保護了數(shù)據(jù)信息的安全。

2.2 身份認證技術(shù)

不明身份的、未獲得授權(quán)的用戶惡意訪問網(wǎng)絡(luò)，是導致計算機網(wǎng)絡(luò)信息安全問題的一種常見因素。另外，黑客也經(jīng)常會選擇冒用用戶身份的方式登錄計算機、訪問服務(wù)器。應用虛擬專用網(wǎng)絡(luò)中的身份認證技術(shù)能夠最大程度上避免此類問題的發(fā)生，也是一種保障網(wǎng)絡(luò)信息安全的常用技術(shù)手段。身份認證技術(shù)可以應用到不同方面，如在計算機登錄過程中應用身份認證技術(shù)，可以拒絕無訪問權(quán)限的用戶登錄計算機進行越權(quán)操作；或者是在打開加密文件時應用身份認證技術(shù)，未通過認證的用戶無法獲得打開文件的權(quán)限，從而避免文件信息的泄露。從功能上來看，身份認證除了可直接用于數(shù)據(jù)信息的保護外，還能作為提供數(shù)據(jù)源認證的一種方法。

身份認證的實現(xiàn)途徑主要有以下4 種。

一是基于已知的口令、密碼等進行身份認證。例如：用戶在接收來自網(wǎng)絡(luò)的傳輸文件后，想要對已經(jīng)加密的文件進行解密，必須要提供相應的密碼、密鑰進行身份驗證；如果能夠驗證通過，即可完成解密，順利獲取文件信息。

二是基于令牌、智能卡等進行身份認證，比較常用的是動態(tài)口令。用戶持有的動態(tài)令牌每隔一段時間刷新一次口令，用戶需要在規(guī)定時間內(nèi)輸入匹配的口令進行身份認證。

三是基于用戶的一些個人特征，如指紋、聲音、虹膜、臉型等進行身份認證，是目前比較成熟并且安全性較好的認證技術(shù)。

四是雙因素或多因素認證，即采用上述兩種或多種認證技術(shù)的組合，在保護重要涉密信息等方面有著廣泛應用。

2.3 隧道技術(shù)

隧道技術(shù)是虛擬專用網(wǎng)絡(luò)技術(shù)的基礎(chǔ)，使用隧道協(xié)議封裝的數(shù)據(jù)幀或數(shù)據(jù)包，在互聯(lián)網(wǎng)上傳遞所經(jīng)過的路徑，稱之為隧道。根據(jù)配置的不同，隧道有自愿隧道與強制隧道兩種類型。自愿隧道就是從客戶端發(fā)送VPN 請求，在網(wǎng)絡(luò)服務(wù)器接收到該請求后，自動配置并創(chuàng)建的一條隧道?？蛻舳擞嬎銠C與網(wǎng)絡(luò)服務(wù)器在遵循隧道協(xié)議的基礎(chǔ)上，使用一條IP連接，然后雙方就能進行信息傳遞。而強制隧道則是由VPN撥號接入服務(wù)器后，再配置和創(chuàng)建的一條隧道。這種模式下客戶端不再是隧道的端點，而是由位于客戶端和隧道服務(wù)器之間的遠程接入服務(wù)器作為新的客戶端[2]。

在隧道技術(shù)中，隧道協(xié)議是客戶端和服務(wù)器雙方之間創(chuàng)建隧道的關(guān)鍵?，F(xiàn)階段應用比較廣泛的隧道技術(shù)執(zhí)行的隧道協(xié)議主要有雙層協(xié)議和多層協(xié)議2 種，雙層隧道協(xié)議是以“幀”作為信息交換載體，像PPTP、L2TP 等都是雙層協(xié)議的常見類型，其特點是將需要傳輸?shù)男畔⒎庋b在點對點協(xié)議幀中，然后再通過互聯(lián)網(wǎng)進行發(fā)送。多層隧道協(xié)議則是以“包”作為信息交換載體，像IPSec 和IPover 等都是多層協(xié)議的常見類型，其特點時間IP 包封裝在附加的IP 包頭中，然后借助于IP網(wǎng)絡(luò)進行傳送。

作為PPP（點對點）協(xié)議的擴展，PPTP 協(xié)議（點對點隧道協(xié)議）可用于身份驗證、數(shù)據(jù)加密，保證信息在公共網(wǎng)絡(luò)傳輸時不被泄露。使用PPTP 建立連接的VPN 服務(wù)器和遠程計算機之間相互傳遞數(shù)據(jù)時，首先將待傳輸?shù)男畔⒎庋b到一個執(zhí)行PPTP 協(xié)議的數(shù)據(jù)包中，然后在互聯(lián)網(wǎng)中傳輸。等到該數(shù)據(jù)包到達目的地后，再將其還原成TCP/IP 或IPX 數(shù)據(jù)包，解密后即可重新獲得原始信息，這樣就確保了網(wǎng)絡(luò)信息在傳輸期間不容易被截取，即便是被截取也會因為無法正常解析數(shù)據(jù)包從而保證了信息的私密性與安全性。

2.4 密鑰管理技術(shù)

密鑰管理與密鑰算法、密碼協(xié)議是構(gòu)成密碼系統(tǒng)安全的3 個核心部分，目前在計算機網(wǎng)絡(luò)安全領(lǐng)域常用的密鑰管理技術(shù)有兩種，即對稱密鑰管理和公開密鑰管理。

使用對稱密鑰管理時，要求網(wǎng)絡(luò)信息的發(fā)送方和接收方要使用一套完全一致的密鑰，并且保證密鑰在交換過程中絕對可靠。如有必要，還可以設(shè)定防止密鑰泄露或篡改的程序。只要保證了密鑰的安全，經(jīng)過密鑰加密處理后的網(wǎng)絡(luò)信息，就無法被第三方破譯，從而保證了網(wǎng)絡(luò)信息的隱私性。由此可見，在應用對稱密鑰技術(shù)時，做好對稱密鑰的管理顯得至關(guān)重要。一種常用的、相對簡單的對稱密鑰管理方法為：發(fā)送方為每次發(fā)送的信息生成唯一一把對稱密鑰，同時用公開密鑰對對稱密鑰進行二次加密；然后將加密后的密鑰和使用對稱密鑰加密后的信息，同時發(fā)送給網(wǎng)絡(luò)信息的接收方。這樣一來，每次信息發(fā)送都會產(chǎn)生唯一的密鑰，并且當接收方使用密鑰進行信息解密后，該密鑰立即失效。信息傳遞的雙方不必擔心密鑰泄露或過期，從而保護了網(wǎng)絡(luò)信息的安全性。

使用公開密鑰管理時，網(wǎng)絡(luò)信息的發(fā)送方和接收方可使用公開密鑰證書進行公開密鑰的交換。目前國際上關(guān)于公開密鑰證書的執(zhí)行標準已經(jīng)較為成熟，除了國際電信聯(lián)盟（ITU）制定的X509 標準，還有國際標準化組織（ISO）與國際電工委員會（IEC）聯(lián)合制定的ISO/IEC 9594-8：195 標準[3]。符合上述標準的公開密鑰證書包含證書發(fā)布者名稱、證書序列號、證書所有者名稱等相關(guān)信息。利用公開密鑰證書可以識別對方身份，如果對方不是網(wǎng)絡(luò)信息發(fā)送者設(shè)定的信息接受者，則不允許查看信息內(nèi)容，達到了保護網(wǎng)絡(luò)信息安全的效果。

2.5 IPSec協(xié)議

IPSec（IP Security）作為一種適用于IPv4 和IPv6 的協(xié)議，可有效保障數(shù)據(jù)在存儲、讀取、傳輸?shù)冗^程中的機密性和安全性。從功能實現(xiàn)方式上來看，IPSec 的原理與包過濾防火墻有一定的相似性，它能通過查詢SPD（安全策略數(shù)據(jù)庫）選擇相應的方案妥善處理接收到的IP 數(shù)據(jù)包。在具體的處理方式上，有丟棄、轉(zhuǎn)發(fā)和IPSec 處理3 種。包過濾防火墻可以拒絕存在威脅的IP 數(shù)據(jù)包訪問計算機網(wǎng)絡(luò)，也可以拒絕計算機網(wǎng)絡(luò)訪問某個存在已知風險的外部網(wǎng)站，但是無法保證從計算機網(wǎng)絡(luò)發(fā)送出去的數(shù)據(jù)不被攔截。相比之下，IPSec 處理則能夠?qū)P 數(shù)據(jù)包進行加密和認證，這樣就保證了在主機上完成加密和認證的數(shù)據(jù)包，即便是在外網(wǎng)傳輸?shù)倪^程中被第三方攔截，也無法順利解密，從而保證了數(shù)據(jù)包的完整性、機密性。

在使用IPSec 協(xié)議對IP 數(shù)據(jù)包做加密、認證處理時，有2 種可供選擇的工作模式，分別是隧道模式、傳輸模式。隧道模式就是將IP 數(shù)據(jù)包看作是一個整體，首先對數(shù)據(jù)包進行加密或認證，然后生成一個新的IPSec 頭部，并將其放置于IP 頭部和IP 數(shù)據(jù)包之間，相當于提供了雙重保護，讓IP 數(shù)據(jù)包在傳輸過程中的安全性得到了極大的提升。傳輸模式則是選擇IP 數(shù)據(jù)包的有效負載做加密或認證處理，處理方法是將IPSec協(xié)議的頭部插入傳輸層中。

3 虛擬專用網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)信息安全中的應用

3.1 在遠程訪問中的應用

由于互聯(lián)網(wǎng)具有完全開放的特性，這就意味著用戶在使用互聯(lián)網(wǎng)進行遠程訪問時，發(fā)送和接收的信息都有可能被第三方竊取、攔截或篡改。為了保證遠程訪問的安全性，需要應用到虛擬專用網(wǎng)絡(luò)技術(shù)。如果用戶的訪問模式是“點對點”訪問，那么可以在物理網(wǎng)絡(luò)的基礎(chǔ)上搭建私有網(wǎng)絡(luò)，并使用虛擬專用網(wǎng)絡(luò)技術(shù)對私有網(wǎng)絡(luò)進行加密保護。一方面，由于實現(xiàn)了專網(wǎng)專用，因此在異地辦公、遠程訪問中信息傳輸效率會得到顯著提升；另一方面，私有網(wǎng)絡(luò)本身具有私密性，再加上VPN 技術(shù)提供的安全保護，可以最大程度上保證網(wǎng)絡(luò)信息的完整性和安全性[4]。

3.2 在企業(yè)內(nèi)部中的應用

在“互聯(lián)網(wǎng)+”時代，企業(yè)內(nèi)部ERP 系統(tǒng)、OA 系統(tǒng)的應用，讓各個部門之間的信息交流和資源共享變得更加頻繁。雖然企業(yè)各個部門之間的信息傳遞是基于局域網(wǎng)（內(nèi)網(wǎng)）進行的，但是由于企業(yè)信息具有較高的商業(yè)價值，容易成為不法分子覬覦的對象，因此也有一定的泄露風險。將虛擬專用網(wǎng)絡(luò)技術(shù)應用到企業(yè)內(nèi)網(wǎng)信息安全中，一方面，能夠打破部門之間的信息壁壘，讓業(yè)務(wù)信息、財務(wù)信息能夠?qū)崿F(xiàn)共享，方便了企業(yè)業(yè)務(wù)、財務(wù)等工作的開展；另一方面，在虛擬專用網(wǎng)絡(luò)技術(shù)的加持下，可以實現(xiàn)對企業(yè)內(nèi)網(wǎng)的全面監(jiān)控和動態(tài)保護。例如：使用虛擬專用網(wǎng)絡(luò)身份認證技術(shù)，通過認證用戶身份，不僅可以篩選出訪問者是否為企業(yè)職工，避免了非企業(yè)職工的非法訪問；而且還能進一步判斷訪問者的權(quán)限，然后根據(jù)其權(quán)限提供相應的服務(wù)，避免企業(yè)職工越權(quán)訪問、越權(quán)操作，對防止企業(yè)涉密信息的泄露、保護企業(yè)重要信息的安全也有積極幫助[5]。虛擬專用網(wǎng)絡(luò)技術(shù)已經(jīng)成為現(xiàn)代企業(yè)保障網(wǎng)絡(luò)信息安全不可或缺的技術(shù)之一。

3.3 在高校管理中的應用

在“互聯(lián)網(wǎng)+教育”深度融合過程中，校園網(wǎng)絡(luò)已經(jīng)滲透到學習、生活、娛樂等方面，加強高校網(wǎng)絡(luò)信息安全管理顯得變得尤為重要。虛擬專用網(wǎng)絡(luò)技術(shù)在高校計算機網(wǎng)絡(luò)信息安全管理方面的應用主要體現(xiàn)在以下幾個方面。

3.3.1 在高校財務(wù)管理中的應用

高校可使用虛擬專用網(wǎng)絡(luò)搭建校園財務(wù)信息系統(tǒng)，防止財務(wù)信息、會計數(shù)據(jù)泄露、篡改等問題，為財務(wù)管理的高質(zhì)量開展提供良好的網(wǎng)絡(luò)環(huán)境。尤其是對于有多個校區(qū)的高校，在搭建校園財務(wù)系統(tǒng)后建立覆蓋各個校區(qū)的VPN 網(wǎng)絡(luò)，將不同校區(qū)的財務(wù)數(shù)據(jù)實時傳遞到中心財務(wù)數(shù)據(jù)庫，既滿足了校園財務(wù)管理的即時性要求，同時也切實保障了財務(wù)數(shù)據(jù)的傳輸安全和存儲安全。在虛擬專用網(wǎng)絡(luò)技術(shù)的加持下，像學費收繳、工資管理、個稅代扣代繳等財務(wù)管理內(nèi)容，都可以基于校園財務(wù)系統(tǒng)高效、安全的辦理。

3.3.2 在高校網(wǎng)絡(luò)安全維護中的應用

高校網(wǎng)絡(luò)系統(tǒng)中保存了海量學籍信息，為保護學生信息隱私，需要應用虛擬專用網(wǎng)絡(luò)保障數(shù)據(jù)的存儲和傳輸安全。利用二層協(xié)議網(wǎng)絡(luò)與校內(nèi)局域網(wǎng)連接，再配合核心交換機技術(shù)保障學生在登錄校園網(wǎng)絡(luò)系統(tǒng)時不會泄露個人賬號和密碼，保護個人信息的安全。如果條件允許，高校還可單獨配置VPN 服務(wù)器，發(fā)揮類似防火墻的功能，當校園網(wǎng)與互聯(lián)網(wǎng)建立連接并且接受來自互聯(lián)網(wǎng)的信息請求后，能夠利用VPN 服務(wù)器對所有請求進行過濾，對內(nèi)外網(wǎng)之間的傳輸信息進行加密，切實保障校園網(wǎng)絡(luò)的安全性[6]。

3.3.3 在高校數(shù)字圖書館資源訪問控制中的應用

高校數(shù)字圖書館通過整合、共享優(yōu)質(zhì)圖書資源，滿足了高校學生獲取課外知識的需求。但是數(shù)字圖書館在使用過程中也面臨著信息資源濫用的問題，一些不法分子通過冒用學生賬戶惡意批量下載文獻。應用虛擬專用網(wǎng)絡(luò)技術(shù)后，高校利用VPN 網(wǎng)關(guān)的審計、日志、報告等功能，可以對每一名訪問數(shù)字圖書館的用戶進行流量監(jiān)控，如果出現(xiàn)下載流量異常增加的情況，VPN網(wǎng)關(guān)設(shè)備可以撤銷該IP 的下載權(quán)限，從而達到資源訪問控制、保護數(shù)字圖書資源安全的效果。

4 結(jié)語

計算機網(wǎng)絡(luò)通信中因為遭到黑客攻擊等原因，經(jīng)常會出現(xiàn)數(shù)據(jù)信息丟失、損壞的情況，對用戶的個人隱私和財產(chǎn)安全均構(gòu)成了威脅。為切實保障網(wǎng)絡(luò)用戶的合法權(quán)益，在計算機網(wǎng)絡(luò)通信中必須要采取技術(shù)手段保障信息安全。虛擬專用網(wǎng)絡(luò)技術(shù)具有通信效率高、安全性好、操作便捷等一系列特點，可以提高遠程網(wǎng)絡(luò)通信安全?，F(xiàn)階段，虛擬專用網(wǎng)絡(luò)技術(shù)中的加密技術(shù)、隧道技術(shù)、身份認證技術(shù)等，能夠分別從數(shù)據(jù)存儲、數(shù)據(jù)傳輸、外部訪問等方面采取保護措施，打造了一個安全、高效的通信網(wǎng)絡(luò)。下一步，虛擬專用網(wǎng)絡(luò)技術(shù)還將與人工智能、區(qū)塊鏈等前沿技術(shù)進行深度融合，從而在智能識別非法入侵、防止網(wǎng)絡(luò)信息篡改等方面進一步提高對計算機網(wǎng)絡(luò)信息安全的保護能力。