VPN的安全性評估與檢測

陳斌

摘要 隨著計算機技術的廣泛普及，VPN這一網絡安全保障技術得到了大范圍的應用和發展。基于此，本文首先從用戶端接入、數據信息傳輸、專網資源訪問三個角度入手，闡述了VPN安全性的評估層面：其后，圍繞檢測工具結構、檢測模塊功能兩個方面，重點分析了VPN的安全檢測方案設計。意在通過本文的研究，為VPN設備日后的安全穩定發展提供理論貢獻。

【關鍵詞】VPN設備 數據傳輸 安全閾值

21世紀是信息與網絡的時代，無論是企業、政府還是個人，都逐漸呈現出了電子化的行為發展趨勢。隨之而來的，網絡信息的安全問題也越來越突出，對人們的生產生活構成了較大威脅。此時，應用了密鑰技術、訪問控制技術、安全信道技術等多種保護措施的VPN被開發出來，在很大程度上為人們的網絡應用需求提供了安全保障。所以，我們有必要對VPN安全性的評估與檢測進行分析研究。

1 VPN安全性的評估層面

1.1 用戶端接入的安全層面

基于VPN工作的特殊性，檢測人員必須要對其用戶端口的接入安全提起重視。一旦有非權限用戶通過密碼破譯等方式進入到VPN所連接的專用網絡當中，將會導致內網中的大量數據暴露到不法分子視野內，繼而造成嚴重的信息泄露問題。但與之不相符的是，當前中低端的VPN設備受到技術類型、構建成本的限制，同時也為了適應專業操作能力不強的用戶群體，大多只設計出“ID-密碼”這一簡單的權限驗證方式，為數據信息從接入端泄露埋下了隱患。

1.2 數據信息傳輸的安全層面

市面上絕大部分的VPN都配備有數據加密功能，以保障用戶數據在通信傳輸過程中的安全穩定。但由于應用加密方式的技術等級和加密效率各不相同，應用DES、3DES、AES等不同加密算法的VPN會呈現出參差不齊的安全性能，故相關檢測人員也應將數據傳輸的品質納入到評估標準當中。

1.3 專用網絡資源的訪問安全層面

當前大多數的VPN產品只對用戶端的初步接入權限進行評估處理，而缺乏對用戶網絡資源訪問當中的二次限制。這就使得供應商、合作方等非企業人員通過VPN進入企業內網時，可享受到與企業內部人員相同的資源服務待遇，繼而為企業信息資源的流出造成了一定風險。據此，在實際的檢測管理工作中，相關人員也應將VPN的權限分配納入到安全性評估標準當中。

2 VPN安全性的檢測方案設計

2.1 檢測工具的結構設計

通常來說，VPN安全性的檢測工具主要由多核測試程序和上位機控制程序兩個環節構成。其中，多核測試程序的作用在于接收和響應上位機控制程序發出的安全檢測指令，并將響應的測試內容“打包”發送到VPN端上;上位機控制程序的作用在于通過Windows系統界面與VPN用戶實現信息交互，并將用戶的要求轉換為具體指令發送到下位各檢測環節當中。

具體來講，VPN安全性的檢測流程應經歷以下幾個步驟：

（1）上位機控制程序收到來自用戶的檢測任務，并將任務要求封裝制成指令數據，通信到多核測試程序的網絡端口當中;

（2）多核測試程序在接到任務指令后，對其內容進行解構，將解析出的字段信息轉送到系統的采集節點當中;

（3）指令信息經過節點的進一步處理，傳送到被檢測VPN端上;

（4）數據包對VPN設備實施安全檢測處理，并將處理結果由采集節點反饋給上位機控制程序，最終將其直觀地呈現到用戶面前的計算機系統界面當中。

2.2 檢測模塊的功能設計

2.2.1 密碼算法檢測模塊

VPN系統的實際執行能力是否與其內置密碼計算方案相符，是VPN設備開發者和使用者共同關注的話題。對于這一問題因素的檢測，最簡單的方式是使用相關軟件模擬出設備的算法方案和運行條件，繼而將軟件模擬結果與VPN設備的實際情況進行對比，即可發現其執行能力與密碼方案之間的出入情況。所以，可將設備模擬軟件應用到檢測體系的功能模塊當中，從而實現對VPN密碼安全性的快速檢測。

2.2.2 密鑰變更檢測模塊

在密碼算法的基礎上，VPN設備會根據一定的周期，對網絡端口的準入密鑰進行變更，以防止外部人員端口的入侵。對于這一模塊的功能設計，可從密鑰變更的時間間隔入手，通過持續向VPN設備發送相同的數據樣本，并通過技術手段截取VPN密鑰處理后的數據包信息。通過對比不同時間下數據包中的密文變更情況，即可推算出VPN密鑰變更行為的有效性，并分析出其具體的變更周期。具體來講：

首先，要設定出安全檢測所使用的數據樣本，其代碼長度應與VPN內置加密算法的分組長度相似。設定之后，便可將數據包發送給VPN設備，并保存數據樣本的原文件;其后，截取到VPN密鑰處理后的數據包，并將其與原數據包文件相互比較，若二者一致，則說明VPN的密鑰尚未發生更改;若二者不一致，則視為VPN密鑰已經更改。此時，結合原文件的發送時間以及截取數據包的生成時間，就可判斷出VPN密鑰變更的間隔時間;最后，如果處理后的文件并未發生改變，檢測模塊則應繼續對VPN設備進行數據包發送，直至反饋數據發生變化，并記錄出準確時間。

2.2.3 滲透測試模塊

滲透測試模塊主要檢測的是VPN在面臨黑客入侵、病毒攻擊等突發情況時，其安全性的穩定能力。所以，檢測者在設計這一功能模塊時，應站在黑客的角度上，假想出VPN設備可能被攻擊的MAC地址、TCP協議端口號、IP地址等任何一個方向，并據此模擬出由淺入深、多種強度的黑客攻擊行為。當滲透成功時，檢測行為應立即停止，并記錄下此時VPN的整體狀態，即VPN應對外部攻擊的安全閾值。

3 總結

總而言之，VPN技術在當前仍處于完善階段，此時進行有效的安全性評估和檢測手段，有利于促進VPN整體性能的快速、穩定發展。由本文分析可知，通過合理的安全程序設計，加之有效的密碼算法和密鑰技術檢測手段，能有效獲取到VPN設備的密鑰變更間隔，明確VPN防御能力的安全閾值，實現檢測體系的不斷完善，為VPN后續的調整和優化工作夯實基礎。

參考文獻

[1]史漢嶂.VPN設備若干安全性及性能的測試工具設計與實現[D].西安電子科技大學，2012.

[2]從三個層面評估VPN方案的安全性[N].計算機世界，2004-06-14 （C14）.