高山山,康燕,安然
(呼和浩特鐵路局呼和通信段,呼和浩特010000)
芻議VPN網絡的通信安全與優(yōu)化實現(xiàn)
高山山,康燕,安然
(呼和浩特鐵路局呼和通信段,呼和浩特010000)
VPN技術憑借著高效、安全、搭建成本低、便捷、可控、客戶端部署靈活性高等特點,逐步替代了傳統(tǒng)的專線技術,成為當今安全傳輸信息技術的主流。通過現(xiàn)實信息網絡中數(shù)據(jù)包和相關數(shù)據(jù)的統(tǒng)計和分析,證明了VPN技術在數(shù)據(jù)傳輸安全保障方面的價值,并對目前VPN技術在固定、移動網絡環(huán)境下存在的不足進行了分析并提出改進方案。
VPN網絡;網絡安全;網絡通信
【DOI】10.13616/j.cnki.gcjsysj.2016.09.073
虛擬專用網絡VPN(Virtual Private Network),是指在專用或者萬維網中建立與其他網絡用戶隔離的用戶群,這些用戶之間可以像在專用網絡上那樣相互通信并定義訪問資源級別[1]。它是在多個局域網之間通過隧道技術建立一個虛擬的網絡專用通道,可以簡單地理解為VNP技術是一根保證數(shù)據(jù)傳輸過程安全性和靈活性的虛擬專用網線。
1.1 VPN技術的常規(guī)類型
據(jù)實施VPN網絡過程中采用的設備類型進行分類:軟件VPN、硬件VPN、軟硬件綜合VPN。據(jù)VPN網絡部署方式進行分類:遠程訪問VPN、站點到站點VPN。VPN技術通信過程中應用的協(xié)議進行分類:PPTP、L2TP、SSTP等。專用網絡隧道技術是VPN網絡的技術核心部分,原理是將VPN網絡中用戶的數(shù)據(jù)信息封裝到PDU(協(xié)議數(shù)據(jù)單元)中,接著通過其他傳輸協(xié)議方式傳輸?shù)酵獠康膶Φ葘嶓w,然后傳輸給其他用戶。隧道技術可以實現(xiàn)網絡和網絡、主機和主機、網絡和主機之間的安全通信,其過程為數(shù)據(jù)封裝、加密、傳輸、拆分、解密過程。
1.2 VPN技術研究的意義
(1)VPN技術提高數(shù)據(jù)在傳輸過程中的安全性,進而提高了數(shù)據(jù)傳輸過程的價值;(2)逐步推進IPv4網絡向IPv6網絡的過渡;(3)使得網絡操作系統(tǒng)得以普及,加快網絡化進程,增加網絡聚合程度。VPN思想及其技術的出現(xiàn),必將在網絡進化過程乃至完成其最終形態(tài)過程中起到至關重要的作用。
2.1 VPN網絡通信的缺陷和改進思路
當今網絡下,大部分網絡仍是IPv4網絡,IPv6網絡仍然屬于孤島狀態(tài),未來是信息時代,而美國有著絕對的網絡信息控制權,這使得IPv4向IPv6過渡勢在必行而且是迫在眉睫的。對此,我國應該建立國內自己的緩存域名服務器,即使是美國將中國國家域名刪除,也不能完全限制國家網絡通信。且我國積極參與IPv6制定標準和應用推廣,使得各國分享了IPv6的技術和控制權,才能將互聯(lián)網從一個國家絕對控制的形式中解脫出來。過渡過程中可能存在2種情況:通過IPv4網絡實現(xiàn)IPv6網絡之間的通信;論文提出在IPv6通信網絡前增加相對應的網關設備,該設備主要用于相應的網絡協(xié)議翻譯。雖然增加了網絡投資,但是使得傳輸?shù)臄?shù)據(jù)經過VPN網絡隧道技術和協(xié)議網關的包裝,增強了數(shù)據(jù)傳輸?shù)陌踩浴?/p>
2.2 VPN技術在移動網絡環(huán)境中的安全性分析和解決措施
移動通信技術憑借著4G網絡的興起,已經和互聯(lián)網技術成為我國信息產業(yè)的兩大支柱。伴隨著移動通信技術的發(fā)展,相應的移動VPN技術需求也得以提出,移動VPN技術是網絡VPN技術在移動網絡上的拓展,其發(fā)展時間較短,仍然處于萌芽階段,需要在安全性方面得到更多的技術支持。隨著移動網絡和IPv6技術的推廣和普及。VPN技術在移動網絡上一定給信息產業(yè)帶來巨大的改變。移動網絡VPN與固定網絡VPN連接在結構上的不同之處在于,首先要求移動網絡和固定網絡直接先進性連接,然后才能將移動VPN客戶端與互聯(lián)網進行連接。無線信號從基站發(fā)出傳輸?shù)揭苿油ㄐ旁O備過程中很容易被第三方截獲,造成VPN安全通信技術的漏洞。論文采用數(shù)字認證證書和對應的數(shù)字證書標識值一一綁定的方法解決該問題,并通過將數(shù)字證書所持有的特征值鑲嵌入智能卡磁條中的方式進行解決傳輸數(shù)據(jù)給終端設備帶來的壓力及傳輸過程中速度慢且費用高的缺點,通過證書的標識值可以在CA服務器上獲取相關的數(shù)字證書,同時將證書的處理部分移交到CA服務器上,進而解放移動客戶端的運算資源。通過哈希運算在共享密鑰不變原理的基礎上進行身份雙向認證等一系列的改進,從而阻止破解攻擊的生效[2]。
2.3 在C/S層面對VPN網絡的優(yōu)化設計
不論是RASVPN還是STSVPN網絡服務,都是單向提供服務的結構,可以理解為客戶端都連接著VPN服務器,雖然這有利于網絡的集中管理,但是不利于多個VPN客戶端或者各個VPN網絡相互間的通信[3],因為實現(xiàn)該通信過程中數(shù)據(jù)轉發(fā)必須通過一個VPN網絡服務器,增加了該服務器的負載量,降低VPN客戶端的通信速度。且這種單向服務連接結構對單一的VPN服務器的依賴性很大,一旦該VPN服務器出現(xiàn)故障,整個VPN網絡將處于癱瘓狀態(tài)。VPN網絡與分布式存儲概念結合后,最大的優(yōu)勢是網絡中不存在集中式VPN服務器,這種模式下將服務器與客戶端的概念有絕對化變?yōu)橄鄬痆4]。
從VPN技術在社會需要、VPN技術原理和相對于傳統(tǒng)專線網絡的優(yōu)勢、移動客戶端VPN技術缺陷和優(yōu)化方法、VPN技術自動化部署和VPN技術在推進當今網絡影響及對網絡發(fā)展展望,論述了VPN技術對當今網絡世界格局改變的作用和存在意義。還完成了以下優(yōu)化設計:(1)整合了多個VPN工程,模擬出一套能在多種網絡環(huán)境下都適應的VPN通信網絡結構模型;(2)提出了在IPv6和IPv4不同協(xié)議間的通信思路,既解決了網絡通信對服務器的依賴又解決了IPv4網址短缺問題;(3)提出了一系列針對不穩(wěn)定網絡中自動化部署VPN網絡客戶端和服務端及其之間連接方式的方法。
【1】王路,袁宏春,萬里冰.基于IP的點對點分布式VPN系統(tǒng)[J].電子科技大學學報,2014(1):25-27.
【2】劉曉紅,紀越峰.下一代應用層防火墻性能及其測試[J].計算機工程,2012(11):223-224.
【3】鮮繼清,譚丹,陳輝.局域網中個人防火墻與入侵檢測系統(tǒng)聯(lián)動技術研究[J].計算機應用研究,2010(5):103-105.
【4】李軍.信息泄漏防范何去何從[J].計算機安全,2013(3):76-78.
Discussion on Communication Security and Optimization of VPN Network
GAO Shan-shan,KANG Yan,AN Ran
(Huhe Communications Segment of Hohhot Railway Administration,Hohhot 010000,China)
With the characteristics of high efficiency,safety,low building cost,convenience,controllability and high flexibility of client deployment,the VPN technology has gradually replaced the traditional line technology,and become the mainstream of today's information technology of secure transmission.Through statistics and analysis of data packets and the related data in practical information network,the value of VPN technology in the security of data transmission is proved,the shortages of VPN technology in fixed and mobile network environment are analyzed and an improved scheme is proposed.
VPN network;network security;network communication
TP393.08
A
1007-9467(2016)09-0176-02
2016-08-17
高山山(1989~),男,山西朔州人,助理工程師,從事鐵路通信研究。