淺析VPN網絡的通信安全問題

摘 要：計算機網絡中的VPN技術令人們辦公跨越地區與時間的限制，使企業遠程用戶、公司分支機構以及合作伙伴等與公司內部網絡建立可靠的連接成為可能，然而VPN技術在網絡安全方面仍存在一些亟待解決的問題，本文對如何增強VPN的通信安全進行了探討，期望為相關人員提供一定借鑒。

關鍵詞：VPN 通信安全 應對措施

0引言

隨著互聯網技術的發展及廣泛應用，一種嶄新的數據傳輸技術VPN逐漸得到社會越來越廣泛的重視。作為一種依托公共網絡資源傳輸專用數據的信息通道，VPN憑借其操作的簡單便捷性、應用的靈活性等優勢得到了廣泛應用，然而該技術在為人們的工作和生活帶來諸多便利的同時也存在不容忽視的安全問題。由于VPN直接在公用網絡上構建，傳輸數據時很容易受到網絡不法分子的攻擊，此外VPN還需要對未經過授權的非法用戶訪問網絡資源進行阻止。目前隨著企業擴展VPN的廣泛應用，企業在與外界其他用戶進行聯系的過程中需要更高的安全保障。對VPN通信網絡的安全性進行研究具有極為重要的現實意義。

1 VPN概述

VPN是一種基于公共網絡的專用信息傳輸通道，該通道利用信息加密技術、認證技術等一系列信息保密手段盡可能保證信息傳輸的安全性。根據應用范圍的不同VPN可以劃分為如下種類，分別是遠程訪問虛擬網、企業內部以及企業擴展虛擬網，其中遠程接入VPN技術可以實現遠程辦公室或其他移動用戶對企業網絡的訪問，企業內部VPN技術負責跨地區的企業內部進行辦公網絡的互聯，企業擴展VPN便于企業與外部群體如客戶、合作伙伴等建立聯系。VPN的實質是借助互聯網建立的一個安全性的臨時連接，使用戶能經濟而有效的與目標網絡建立連接并獲取所需信息。

2 VPN涉及的關鍵技術

VPN安全傳輸信息的實現離不開以下各項網絡安全技術：隧道技術、密鑰管理技術、加密與解密技術以及身份認證技術等。這些安全技術的實施對于確保資料在傳輸中不被竊取具有重要作用，即使信息被竊取，由于信息是以密文形式在互聯網中傳輸，因而此類網絡安全技術可以保證網絡惡意行為者無法讀取資料內容。

2.1隧道技術。該技術的原理是借助公共網絡的基礎設施在互聯網中傳輸信息，隧道技術可以令數據包有效傳輸，數據包通常按照不同的協議封裝，在傳輸之前首先經過隧道協議的處理，使之被重新加密，加密后的數據包被封裝進新的包頭并得以傳送。新的包頭中涵蓋了路由信息，確保被重新封裝的數據包得以在隧道的兩端之間利用公共網絡安全傳輸。當新封裝的數據包進入公共網絡的傳遞路線時，其所經過的邏輯路徑即通常意義上的隧道。當到達網絡終點后，數據包便經過解封操作并繼而轉發到接收端。

2.2加密技術。對數據進行加密所依據的原理即改變數據的表示形式從而對其進行偽裝，未經過授權的接收方無法獲取信息內容，只有經過授權的用戶才可以對信息進行解密使之還原為所需信息。在協議棧的任何層面都可以實行加密技術，加密技術的應用對象涵蓋數據以及報文頭等。VPN技術在網絡層中依據的加密準則是IPSec，對網絡層最為安全的加密手段是對主機的端到端進行加密，此外也可以利用隧道模式。VPN技術所采用的密鑰加密系統分為對稱性與非對稱性兩種，常用的VPN加密算法包括數據加密標準算法、三重數據加密標準算法以及高級加密標準等。

2.3密鑰管理技術。為了使密鑰安全的在公用網絡上進行傳遞而不被竊取，有必要對密鑰進行保護和科學管理。對密鑰管理依據的是既定的演算法則如Difie Hellman法則等，此外也可以設置公用密鑰以及私用密鑰兩種密鑰類型，分別為信息發送方和接收方所擁有。

2.4身份認證技術。當VPN客戶端發出通信請求時，位于隧道另一端的設備必須對用戶進行身份驗證從而確保通信路徑的安全性。對身份進行認證通常有兩種方法：預共享密鑰以及RSA特征碼。其中預共享密鑰指的是安全通道的雙方在使用VPN通道之前共享的密鑰，利用對稱加密原理，該方式可以手動輸入到每個對等的雙方中從而確認雙方身份。RSA特征碼方式對用戶身份的驗證采用的是數字證書方式。

3 VPN技術在通信網絡應用中的常見安全問題

3.1VPN安全網關。VPN網絡中的一個關鍵組成部分便是網關，VPN網關位于內部網絡與互聯網進行連接的位置，很容易受到開放性極強的互聯網的安全威脅，為了取保其安全性，VPN網關中必須集成防火墻功能。而目前VPN網關無法充分與防火墻協調，二者協調水平的高低直接決定了VPN安全網關能否發揮防護功能。為提高網關的安全性，并使之更加實用，有必要引進專用的安全網關系統，可以將Linux系統進行優化或是重新編譯，使之專門承擔VPN安全網關功能。此外，VPN網關需要支持VPN隧道的建立，并可以實現VPN的加密。另外，網關應具備管理服務質量的功能，使之可以對QoS策略進行優化。對安全漏洞的檢測與處理也是網關的一項重要職能，VPN網關必須保證有足夠的防范能力應對黑客攻擊。

3.2VPN的服務水平。對VPN服務水平進行衡量需要依靠誤差率、丟失率、傳輸時延和抖動等參數，VPN網絡的最主要目標就是將數據根據要求傳輸到目的地，一旦數據傳輸出現問題，網絡應用會受到不可逆的破壞，尤其對于網絡應用的關鍵領域如電子商務、ERP等，數據無法安全傳輸會對企業、用戶乃至社會造成重大損失。服務質量的提升需要從以下幾方面入手：首先借助ATM技術，使路由的確定功能從轉發中剝離出來從而單獨存在，當旁路掉網導致網速緩慢時可以提供旁路路由器功能。此外，可以利用IPV6技術，相比傳統的IPV4技術，該技術可以令VPN網絡的安全性大大提升，并且服務質量也遠勝于IPV4，該技術的Traffic Class字段可以根據服務需求的不同分別采取各自對應的分級和標識，并借助路由器對處于同一級別的數據包進行辨識及處理。

4 提升VPN網絡通信安全性的措施

為了確保VPN網絡的安全性，相關部門首先要樹立高度的安全意識，絕不能掉以輕心。盡管公司防火墻可以對外來攻擊起到一定的防護作用，但即使存在防火墻，入侵者也可以利用一個經過授權的用戶私自進入網絡，從而危及VPN網絡安全。為此，VPN的安全漏洞必須得到高度重視，研發人員要采取相關措施完善遠程訪問的安全機制。除了個人計算機中必備的防火墻之外，所有遠程工作人員應在使用VPN網絡前進行全面的身份認證，敏感文件應進行加密，此外應選取具有安全防護功能的DSL供應商。

結 語

VPN通信網絡的安全問題關乎互聯網的穩定運作、企業的信息安全乃至全社會的利益，相關部門應重視對VPN通信網絡安全的技術研發工作，使信息傳輸的安全性充分得到保障，保證網絡資源的充分利用，從而使VPN技術發揮更大的價值。

參考文獻：

[1] 蔣新. 論VPN技術的安全問題[J]. 鐵路通信信號工程技術， 2002（3）：39-40.

[2] 楊瑞霞. 基于IPSec的VPN的安全性分析[D]. 山東師范大學， 2003.

[3] 咸廷偉. 基于安全通信的VPN技術的研究與設計[D]. 西南石油學院， 2003.

作者簡介：王軒，19810914，性別：男，籍貫：天津寶坻，現有職稱：工程師，學歷：大學本科，研究方向：工程類。