摘 要：計算機網(wǎng)絡中的VPN技術令人們辦公跨越地區(qū)與時間的限制，使企業(yè)遠程用戶、公司分支機構以及合作伙伴等與公司內(nèi)部網(wǎng)絡建立可靠的連接成為可能，然而VPN技術在網(wǎng)絡安全方面仍存在一些亟待解決的問題，本文對如何增強VPN的通信安全進行了探討，期望為相關人員提供一定借鑒。

關鍵詞：VPN 通信安全 應對措施

0引言

隨著互聯(lián)網(wǎng)技術的發(fā)展及廣泛應用，一種嶄新的數(shù)據(jù)傳輸技術VPN逐漸得到社會越來越廣泛的重視。作為一種依托公共網(wǎng)絡資源傳輸專用數(shù)據(jù)的信息通道，VPN憑借其操作的簡單便捷性、應用的靈活性等優(yōu)勢得到了廣泛應用，然而該技術在為人們的工作和生活帶來諸多便利的同時也存在不容忽視的安全問題。由于VPN直接在公用網(wǎng)絡上構建，傳輸數(shù)據(jù)時很容易受到網(wǎng)絡不法分子的攻擊，此外VPN還需要對未經(jīng)過授權的非法用戶訪問網(wǎng)絡資源進行阻止。目前隨著企業(yè)擴展VPN的廣泛應用，企業(yè)在與外界其他用戶進行聯(lián)系的過程中需要更高的安全保障。對VPN通信網(wǎng)絡的安全性進行研究具有極為重要的現(xiàn)實意義。

1 VPN概述

VPN是一種基于公共網(wǎng)絡的專用信息傳輸通道，該通道利用信息加密技術、認證技術等一系列信息保密手段盡可能保證信息傳輸?shù)陌踩?。根?jù)應用范圍的不同VPN可以劃分為如下種類，分別是遠程訪問虛擬網(wǎng)、企業(yè)內(nèi)部以及企業(yè)擴展虛擬網(wǎng)，其中遠程接入VPN技術可以實現(xiàn)遠程辦公室或其他移動用戶對企業(yè)網(wǎng)絡的訪問，企業(yè)內(nèi)部VPN技術負責跨地區(qū)的企業(yè)內(nèi)部進行辦公網(wǎng)絡的互聯(lián)，企業(yè)擴展VPN便于企業(yè)與外部群體如客戶、合作伙伴等建立聯(lián)系。VPN的實質是借助互聯(lián)網(wǎng)建立的一個安全性的臨時連接，使用戶能經(jīng)濟而有效的與目標網(wǎng)絡建立連接并獲取所需信息。

2 VPN涉及的關鍵技術

VPN安全傳輸信息的實現(xiàn)離不開以下各項網(wǎng)絡安全技術：隧道技術、密鑰管理技術、加密與解密技術以及身份認證技術等。這些安全技術的實施對于確保資料在傳輸中不被竊取具有重要作用，即使信息被竊取，由于信息是以密文形式在互聯(lián)網(wǎng)中傳輸，因而此類網(wǎng)絡安全技術可以保證網(wǎng)絡惡意行為者無法讀取資料內(nèi)容。

2.1隧道技術。該技術的原理是借助公共網(wǎng)絡的基礎設施在互聯(lián)網(wǎng)中傳輸信息，隧道技術可以令數(shù)據(jù)包有效傳輸，數(shù)據(jù)包通常按照不同的協(xié)議封裝，在傳輸之前首先經(jīng)過隧道協(xié)議的處理，使之被重新加密，加密后的數(shù)據(jù)包被封裝進新的包頭并得以傳送。新的包頭中涵蓋了路由信息，確保被重新封裝的數(shù)據(jù)包得以在隧道的兩端之間利用公共網(wǎng)絡安全傳輸。當新封裝的數(shù)據(jù)包進入公共網(wǎng)絡的傳遞路線時，其所經(jīng)過的邏輯路徑即通常意義上的隧道。當?shù)竭_網(wǎng)絡終點后，數(shù)據(jù)包便經(jīng)過解封操作并繼而轉發(fā)到接收端。

2.2加密技術。對數(shù)據(jù)進行加密所依據(jù)的原理即改變數(shù)據(jù)的表示形式從而對其進行偽裝，未經(jīng)過授權的接收方無法獲取信息內(nèi)容，只有經(jīng)過授權的用戶才可以對信息進行解密使之還原為所需信息。在協(xié)議棧的任何層面都可以實行加密技術，加密技術的應用對象涵蓋數(shù)據(jù)以及報文頭等。VPN技術在網(wǎng)絡層中依據(jù)的加密準則是IPSec，對網(wǎng)絡層最為安全的加密手段是對主機的端到端進行加密，此外也可以利用隧道模式。VPN技術所采用的密鑰加密系統(tǒng)分為對稱性與非對稱性兩種，常用的VPN加密算法包括數(shù)據(jù)加密標準算法、三重數(shù)據(jù)加密標準算法以及高級加密標準等。

2.3密鑰管理技術。為了使密鑰安全的在公用網(wǎng)絡上進行傳遞而不被竊取，有必要對密鑰進行保護和科學管理。對密鑰管理依據(jù)的是既定的演算法則如Difie Hellman法則等，此外也可以設置公用密鑰以及私用密鑰兩種密鑰類型，分別為信息發(fā)送方和接收方所擁有。

2.4身份認證技術。當VPN客戶端發(fā)出通信請求時，位于隧道另一端的設備必須對用戶進行身份驗證從而確保通信路徑的安全性。對身份進行認證通常有兩種方法：預共享密鑰以及RSA特征碼。其中預共享密鑰指的是安全通道的雙方在使用VPN通道之前共享的密鑰，利用對稱加密原理，該方式可以手動輸入到每個對等的雙方中從而確認雙方身份。RSA特征碼方式對用戶身份的驗證采用的是數(shù)字證書方式。

3 VPN技術在通信網(wǎng)絡應用中的常見安全問題

3.1VPN安全網(wǎng)關。VPN網(wǎng)絡中的一個關鍵組成部分便是網(wǎng)關，VPN網(wǎng)關位于內(nèi)部網(wǎng)絡與互聯(lián)網(wǎng)進行連接的位置，很容易受到開放性極強的互聯(lián)網(wǎng)的安全威脅，為了取保其安全性，VPN網(wǎng)關中必須集成防火墻功能。而目前VPN網(wǎng)關無法充分與防火墻協(xié)調(diào)，二者協(xié)調(diào)水平的高低直接決定了VPN安全網(wǎng)關能否發(fā)揮防護功能。為提高網(wǎng)關的安全性，并使之更加實用，有必要引進專用的安全網(wǎng)關系統(tǒng)，可以將Linux系統(tǒng)進行優(yōu)化或是重新編譯，使之專門承擔VPN安全網(wǎng)關功能。此外，VPN網(wǎng)關需要支持VPN隧道的建立，并可以實現(xiàn)VPN的加密。另外，網(wǎng)關應具備管理服務質量的功能，使之可以對QoS策略進行優(yōu)化。對安全漏洞的檢測與處理也是網(wǎng)關的一項重要職能，VPN網(wǎng)關必須保證有足夠的防范能力應對黑客攻擊。

3.2VPN的服務水平。對VPN服務水平進行衡量需要依靠誤差率、丟失率、傳輸時延和抖動等參數(shù)，VPN網(wǎng)絡的最主要目標就是將數(shù)據(jù)根據(jù)要求傳輸?shù)侥康牡?，一旦?shù)據(jù)傳輸出現(xiàn)問題，網(wǎng)絡應用會受到不可逆的破壞，尤其對于網(wǎng)絡應用的關鍵領域如電子商務、ERP等，數(shù)據(jù)無法安全傳輸會對企業(yè)、用戶乃至社會造成重大損失。服務質量的提升需要從以下幾方面入手：首先借助ATM技術，使路由的確定功能從轉發(fā)中剝離出來從而單獨存在，當旁路掉網(wǎng)導致網(wǎng)速緩慢時可以提供旁路路由器功能。此外，可以利用IPV6技術，相比傳統(tǒng)的IPV4技術，該技術可以令VPN網(wǎng)絡的安全性大大提升，并且服務質量也遠勝于IPV4，該技術的Traffic Class字段可以根據(jù)服務需求的不同分別采取各自對應的分級和標識，并借助路由器對處于同一級別的數(shù)據(jù)包進行辨識及處理。

4 提升VPN網(wǎng)絡通信安全性的措施

為了確保VPN網(wǎng)絡的安全性，相關部門首先要樹立高度的安全意識，絕不能掉以輕心。盡管公司防火墻可以對外來攻擊起到一定的防護作用，但即使存在防火墻，入侵者也可以利用一個經(jīng)過授權的用戶私自進入網(wǎng)絡，從而危及VPN網(wǎng)絡安全。為此，VPN的安全漏洞必須得到高度重視，研發(fā)人員要采取相關措施完善遠程訪問的安全機制。除了個人計算機中必備的防火墻之外，所有遠程工作人員應在使用VPN網(wǎng)絡前進行全面的身份認證，敏感文件應進行加密，此外應選取具有安全防護功能的DSL供應商。

結 語

VPN通信網(wǎng)絡的安全問題關乎互聯(lián)網(wǎng)的穩(wěn)定運作、企業(yè)的信息安全乃至全社會的利益，相關部門應重視對VPN通信網(wǎng)絡安全的技術研發(fā)工作，使信息傳輸?shù)陌踩猿浞值玫奖Ｕ希ＷC網(wǎng)絡資源的充分利用，從而使VPN技術發(fā)揮更大的價值。

參考文獻：

[1] 蔣新. 論VPN技術的安全問題[J]. 鐵路通信信號工程技術， 2002（3）：39-40.

[2] 楊瑞霞. 基于IPSec的VPN的安全性分析[D]. 山東師范大學， 2003.

[3] 咸廷偉. 基于安全通信的VPN技術的研究與設計[D]. 西南石油學院， 2003.

作者簡介：王軒，19810914，性別：男，籍貫：天津寶坻，現(xiàn)有職稱：工程師，學歷：大學本科，研究方向：工程類。