虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用分析

張煥琪

（濟(jì)南職業(yè)學(xué)院 計(jì)算機(jī)學(xué)院，山東 濟(jì)南 250031）

0 引 言

近年來(lái)，雖然信息通信技術(shù)領(lǐng)域取得了長(zhǎng)足的進(jìn)步，但仍存在一些嚴(yán)重?fù)p害經(jīng)濟(jì)效益的信息安全事件。信息安全是信息通信技術(shù)可持續(xù)發(fā)展的關(guān)鍵，虛擬專用網(wǎng)技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)信息安全領(lǐng)域最常用的技術(shù)之一，它可以對(duì)初始的安全風(fēng)險(xiǎn)信息進(jìn)行防范和修改，在信息安全中起著重要的作用，被廣泛應(yīng)用于企業(yè)管理等領(lǐng)域。

1 虛擬專用網(wǎng)絡(luò)技術(shù)

虛擬專用網(wǎng)絡(luò)技術(shù)是一種用于遠(yuǎn)程訪問(wèn)信息和數(shù)據(jù)的公共網(wǎng)絡(luò)。對(duì)于企業(yè)來(lái)說(shuō)，當(dāng)企業(yè)的員工在其他地方工作時(shí)，要定位公司的內(nèi)部網(wǎng)絡(luò)就需要遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)絡(luò)。在傳統(tǒng)的網(wǎng)絡(luò)技術(shù)模式下，大多數(shù)組織租用數(shù)字?jǐn)?shù)據(jù)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)，這種方法不僅會(huì)大大增加遠(yuǎn)程訪問(wèn)的成本，而且在訪問(wèn)過(guò)程中會(huì)造成風(fēng)險(xiǎn)，從而嚴(yán)重?fù)p害企業(yè)的發(fā)展。VPN的解決方案是在內(nèi)部網(wǎng)上建立VPN服務(wù)器，本地員工接入網(wǎng)絡(luò)后可以通過(guò)網(wǎng)絡(luò)安全密鑰訪問(wèn)虛擬專用網(wǎng)絡(luò)，然后通過(guò)專用Web服務(wù)器訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)[1]。

為了最大限度地保證信息數(shù)據(jù)在連接過(guò)程中的安全性，虛擬專用網(wǎng)絡(luò)會(huì)對(duì)服務(wù)器與客戶端之間的信息數(shù)據(jù)進(jìn)行一定程度的加密。在加密應(yīng)用中企業(yè)員工（無(wú)論是出差還是在家）只要滿足網(wǎng)絡(luò)連接的要求就可以通過(guò)VPN訪問(wèn)內(nèi)部網(wǎng)，密匙管理由ISAKMP和SKIP構(gòu)成，屬于保證數(shù)據(jù)安全傳輸?shù)闹匾夹g(shù)，可達(dá)到保護(hù)信息的作用（見(jiàn)圖1）。同樣，這也是VPN被企業(yè)廣泛使用的主要原因。

圖1 用戶密匙管理應(yīng)用流程

2 VPN技術(shù)的特點(diǎn)

2.1 安 全

VPN可以通過(guò)動(dòng)態(tài)的網(wǎng)絡(luò)配置優(yōu)化數(shù)據(jù)傳輸?shù)陌踩院蛯I(yè)性，從而保證高質(zhì)量的數(shù)據(jù)傳輸。公共網(wǎng)絡(luò)中，建立邏輯關(guān)系、點(diǎn)對(duì)點(diǎn)連接以及連接通道的端口，在此基礎(chǔ)上采用隧道加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密，從而更好地保證數(shù)據(jù)的安全性。

2.2 可擴(kuò)展性和靈活性

在虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用中可以有效支持內(nèi)部網(wǎng)的數(shù)據(jù)流，保證節(jié)點(diǎn)操作簡(jiǎn)單。特別是對(duì)于各種傳輸介質(zhì)，數(shù)據(jù)傳輸?shù)陌踩钥梢缘玫接行ПＷC。

2.3 控 制

隨著虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用,用戶的網(wǎng)絡(luò)控制已經(jīng)擴(kuò)展到各個(gè)平臺(tái)，它可以為服務(wù)商提供公共網(wǎng)絡(luò)平臺(tái)和一些網(wǎng)絡(luò)管理服務(wù)，在一定程度上優(yōu)化網(wǎng)絡(luò)管理效率，打下了良好的基礎(chǔ)，提高了安全系數(shù)。

2.4 連接專業(yè)性

在信息技術(shù)領(lǐng)域，特別是虛擬專用網(wǎng)中，不同的節(jié)點(diǎn)是不同的。虛擬專用網(wǎng)（Virtual Private Network，VPN）主要依靠公共網(wǎng)絡(luò)資源，在傳統(tǒng)模式下采用動(dòng)態(tài)組合而不是物理鏈接。

3 虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用

3.1 分支機(jī)構(gòu)和部門的應(yīng)用

有些企業(yè)可能在不同的區(qū)域設(shè)有辦公室，通過(guò)連接到局域網(wǎng)進(jìn)行工作，如擁有多個(gè)子公司的企業(yè)可以將跨集團(tuán)的銷售統(tǒng)計(jì)數(shù)據(jù)和分析連接到不同的部門，總銷售團(tuán)隊(duì)和銷售分公司制定銷售計(jì)劃和銷售結(jié)果，以類似的方式與其他組織合作。這不僅降低了通信成本，而且提高了效率，同時(shí)企業(yè)集團(tuán)可以建立內(nèi)部治理平臺(tái)，利用VPN技術(shù)改善企業(yè)內(nèi)部的信息交換，保護(hù)企業(yè)內(nèi)部的信息。例如，如果企業(yè)要舉行會(huì)議，有人不能直接參加，那么可以使用遠(yuǎn)程視頻來(lái)確保會(huì)議順利進(jìn)行。遠(yuǎn)程采集部署在公司的局域網(wǎng)上，密鑰可以對(duì)采集到的內(nèi)容進(jìn)行處理，防止泄漏。

3.2 企業(yè)與員工遠(yuǎn)程應(yīng)用

在我國(guó)，虛擬專用網(wǎng)絡(luò)技術(shù)已經(jīng)廣泛應(yīng)用于企業(yè)發(fā)展中，具體對(duì)于分銷企業(yè)來(lái)說(shuō)，應(yīng)用虛擬專用網(wǎng)絡(luò)技術(shù)是提高企業(yè)競(jìng)爭(zhēng)力和競(jìng)爭(zhēng)優(yōu)勢(shì)的重要選擇。實(shí)際上，虛擬專用網(wǎng)絡(luò)技術(shù)的應(yīng)用使企業(yè)內(nèi)部網(wǎng)與本地員工之間的信息交換成為可能，從而減少和節(jié)省時(shí)間。其主要應(yīng)用包括以公司總部為核心服務(wù)器，建立專業(yè)的網(wǎng)絡(luò)，通過(guò)網(wǎng)絡(luò)可傳遞重要文件，或是隨時(shí)討論問(wèn)題，實(shí)現(xiàn)動(dòng)態(tài)化管理監(jiān)督，效率較高。同時(shí)，建立相應(yīng)的防火墻，對(duì)節(jié)點(diǎn)和連接級(jí)別進(jìn)行排序，遠(yuǎn)程工作者和其他辦公室職員可以通過(guò)訪問(wèn)公司的內(nèi)部網(wǎng)進(jìn)行工作[2]。

在遠(yuǎn)程用戶IP地址設(shè)置中，需保證虛擬專用網(wǎng)用戶能夠借助所設(shè)IP地址完全訪問(wèn)服務(wù)器企業(yè)網(wǎng)絡(luò)[3-5]。企業(yè)內(nèi)部DHCP服務(wù)器網(wǎng)絡(luò)中進(jìn)行IP地址分配，需在相應(yīng)范圍中直接進(jìn)行靜態(tài)地址分配，啟用IP路由器保證用戶能夠成功完成遠(yuǎn)程訪問(wèn)，且此過(guò)程中相應(yīng)設(shè)備保證訪問(wèn)者與被訪問(wèn)者存在硬件與端口軟件的聯(lián)系，支持單點(diǎn)之間通道，選擇遠(yuǎn)程服務(wù)器與路由器訪問(wèn)控制臺(tái)。企業(yè)此時(shí)通過(guò)管理和監(jiān)管不同端口，即可合理設(shè)置，根據(jù)需求進(jìn)行端口配制更改。實(shí)際應(yīng)用中，完成遠(yuǎn)程服務(wù)器設(shè)置后，訪問(wèn)端口需要配制用戶撥入，強(qiáng)化監(jiān)督管理工作，只要有正確賬戶即可與企業(yè)網(wǎng)絡(luò)建立連接，節(jié)省費(fèi)用，保證企業(yè)實(shí)現(xiàn)全面發(fā)展，為企業(yè)信息數(shù)據(jù)可靠性提供保障[6,7]。

3.3 企業(yè)、合作伙伴和客戶之間的科學(xué)應(yīng)用

公司信息可以分為可以公開(kāi)的信息和不能公開(kāi)的機(jī)密信息兩部分。作為與供應(yīng)商和合作伙伴交換信息和數(shù)據(jù)的一部分，企業(yè)不僅要提供可以向供應(yīng)商和合作伙伴披露的信息，還要保證保密信息的安全[8-10]。為了提高信息交換的效率，企業(yè)可以利用識(shí)別技術(shù)來(lái)限制供應(yīng)商和合作伙伴獲取信息，通過(guò)識(shí)別，供應(yīng)商和合作伙伴可以獨(dú)立訪問(wèn)與使用公司可能披露的某些信息。對(duì)于機(jī)密信息，公司需要建立只有經(jīng)過(guò)授權(quán)的員工才能訪問(wèn)的多重身份。此外，企業(yè)還可以利用VPN技術(shù)進(jìn)行遠(yuǎn)程會(huì)議，與供應(yīng)商、合作伙伴進(jìn)行溝通。

不同企業(yè)中VPN的應(yīng)用示例不同。對(duì)于小型企業(yè)而言，其信息需求為見(jiàn)效快、維護(hù)使用產(chǎn)品便捷以及投入資金有限，要求遠(yuǎn)程通信簡(jiǎn)單易用、維護(hù)便捷、性能穩(wěn)定且價(jià)格便宜。由于對(duì)傳輸數(shù)據(jù)速率無(wú)較高需求，連接用戶少且安全性能低，因此可基于公網(wǎng)撥號(hào)VNP方式應(yīng)用軟件平臺(tái)，服務(wù)商可提供VPN設(shè)施，無(wú)需做任何VPN實(shí)現(xiàn)工作。中型企業(yè)信息需求迫切，VPN產(chǎn)品性能要求穩(wěn)定可靠，便于維護(hù)，使用簡(jiǎn)單，可投入一定量資金，卻無(wú)法承受建設(shè)專線資金。由于中型企業(yè)對(duì)傳輸數(shù)據(jù)及安全性存在要求，用戶連接不多，因此可在分部與總部間租用虛擬專線，無(wú)需客戶購(gòu)買專用軟件和隧道設(shè)備，供應(yīng)商即可提供設(shè)備構(gòu)建通道，利用加密技術(shù)保證信息安全性。常用隧道協(xié)議包括PPTP、L2T以及L2TP。大型企業(yè)要求產(chǎn)品性能穩(wěn)定可靠，傳輸率與安全性高，可投入專項(xiàng)資金，擁有充足人員負(fù)責(zé)管理維護(hù)網(wǎng)絡(luò)。現(xiàn)對(duì)而言，其對(duì)信息化具有較要求，連接用戶較多，所以可購(gòu)買成套VPN設(shè)備及防火墻，使用專業(yè)硬件平臺(tái)，在加密隧道中完成網(wǎng)絡(luò)通信，以提高信息安全性。為完全應(yīng)用VPN網(wǎng)絡(luò)，要求企業(yè)擁有充足人才和資金實(shí)力。

3.4 虛擬專用網(wǎng)絡(luò)結(jié)合防火墻應(yīng)用

應(yīng)用計(jì)算網(wǎng)絡(luò)信息安全可采取防火墻技術(shù)，隔離內(nèi)外部網(wǎng)絡(luò)，通過(guò)軟硬件共同構(gòu)成防火墻。防火墻作為基礎(chǔ)信息安全手段，防護(hù)功能較強(qiáng)，如同濾網(wǎng)一樣篩選和檢查信息，基于安全政策，阻攔或放行網(wǎng)絡(luò)信息，還可將其用作分離器、分析器與限制器，分析數(shù)據(jù)后篩選信息，禁止不安全信息進(jìn)入網(wǎng)絡(luò)，信息處理準(zhǔn)確性及效率較高。并且，防火墻還具備預(yù)警功能，網(wǎng)絡(luò)存在風(fēng)險(xiǎn)后可發(fā)出警報(bào)，為用戶提示，保護(hù)計(jì)算機(jī)[11-13]。

4 VPN加密技術(shù)在網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用

密碼是保護(hù)網(wǎng)絡(luò)安全最有效的技術(shù)之一，加密網(wǎng)絡(luò)可以防止未經(jīng)授權(quán)的用戶竊聽(tīng)和進(jìn)入網(wǎng)絡(luò)。目前網(wǎng)絡(luò)安全解決方案VPN技術(shù)基于加密技術(shù)。

4.1 對(duì)稱密鑰算法

此算法中的加密密鑰可以從解密密鑰中推斷出來(lái)，反之亦然，要求發(fā)送方和接收方在安全通信之前就密鑰達(dá)成一致。由于其算法是公開(kāi)的，因此網(wǎng)絡(luò)安全依賴于密鑰的安全性。DES算法是最有影響的對(duì)稱密鑰算法之一。

對(duì)稱密鑰算法的加解密可以表示為：

式（1）為加密算法，式（2）為解密算法。對(duì)稱密鑰算法具有保密性強(qiáng)和能經(jīng)受時(shí)間與攻擊的考驗(yàn)等優(yōu)點(diǎn)，但其密鑰必須以安全的方式傳輸。因此，其密鑰管理成為影響系統(tǒng)安全的重要因素。

4.2 公鑰算法

在該算法中，用于加密的密鑰與用于記錄的密鑰不同，并且不能從加密密鑰推斷解密密鑰（至少在合理假設(shè)的時(shí)間內(nèi)）。加密密鑰可以公開(kāi)，稱為公鑰，而解密密鑰必須保密，稱為私鑰。陌生人可以用公鑰加密消息，只有持有與該公鑰對(duì)應(yīng)的私鑰的人才能解密。對(duì)稱密鑰算法的加解密算法是公開(kāi)的，而私鑰不能公開(kāi)。最具影響力的是RSA算法，其具有抵抗迄今為止已知所有密碼攻擊的能力。

公鑰算法的加密和解密可以表示為：

式（3）為公鑰算法中的加密算法，式（4）為公鑰算法中的解密算法。公鑰算法的優(yōu)點(diǎn)是能夠適應(yīng)網(wǎng)絡(luò)的開(kāi)放性要求，密鑰管理問(wèn)題相對(duì)簡(jiǎn)單，特別是數(shù)字簽名和驗(yàn)證更容易實(shí)現(xiàn)。但其算法復(fù)雜，數(shù)據(jù)加密率低，然而隨著現(xiàn)代電子技術(shù)和密碼學(xué)的發(fā)展，公鑰算法將成為一種很有前途的網(wǎng)絡(luò)安全加密系統(tǒng)[14,15]。

5 虛擬專用網(wǎng)技術(shù)的未來(lái)發(fā)展

VPN技術(shù)可以通過(guò)多種方式提高私有網(wǎng)絡(luò)的安全性，在企業(yè)信息化、高校數(shù)字圖書館以及企業(yè)財(cái)務(wù)管理等方面發(fā)揮著非常重要的作用。此外，VPN技術(shù)提供了強(qiáng)大的簡(jiǎn)化功能，使傳統(tǒng)方法能夠減少投資并解決復(fù)雜的業(yè)務(wù)問(wèn)題。利用VPN技術(shù)創(chuàng)建數(shù)據(jù)通道可以降低成本和數(shù)據(jù)提供商組織的成本，同時(shí)VPN技術(shù)具有簡(jiǎn)單和可擴(kuò)展性高等優(yōu)點(diǎn)，可以讓用戶更好地了解管理權(quán)限，實(shí)現(xiàn)用戶的權(quán)利和安全目標(biāo)。

6 結(jié) 論

VPN技術(shù)的應(yīng)用對(duì)于信息安全是非常重要和必要的，作為其實(shí)際應(yīng)用的一部分，相關(guān)個(gè)人和服務(wù)部門應(yīng)了解虛擬專網(wǎng)絡(luò)技術(shù)的含義和基本特征，確保網(wǎng)絡(luò)信息的安全，探索具體的實(shí)施手段和解決方案。最常見(jiàn)的計(jì)算機(jī)認(rèn)證和網(wǎng)絡(luò)認(rèn)證技術(shù)包括有數(shù)據(jù)認(rèn)證技術(shù)和網(wǎng)絡(luò)加密技術(shù)。利用虛擬網(wǎng)絡(luò)技術(shù)來(lái)保護(hù)IT網(wǎng)絡(luò)中的信息，可以建立分支機(jī)構(gòu)與業(yè)務(wù)部門之間的關(guān)系，從而增強(qiáng)用戶之間的信任，保證員工與部門之間的遠(yuǎn)程溝通，使公司更容易維護(hù)。