計算機網絡信息安全中虛擬專用網絡技術的應用分析

楊志貞

（中國聯合網絡通信有限公司 惠州市分公司，廣東 惠州 516003）

0 引 言

虛擬專用網絡是組成計算機網絡信息安全的重要內容，不但決定了存儲信息的安全性，還影響了計算機網絡環境。目前科技發展非常迅速，互聯網體現出較強的共享性和開放性，但終究不能解決安全問題，一旦泄露網絡信息，容易帶來相關損失。在應用虛擬專用網絡技術的前提下，可以保證安全傳輸信息，預防泄露信息的風險，最大程度確保了計算機網絡安全[1]。

1 虛擬專用網的分類與原理

1.1 分 類

通常虛擬專用網（Virtual Private Network，VPN）有連接分支機構、連接業務伙伴或供應商以及用戶遠程訪問3種類型。其中，分支機構連接網絡指一個組織內部與兩個彼此信任的內部網安全連接，如圖1所示。

圖1 分支機構連接網絡

連接業務合作伙伴或供應商網絡指互相不信任的兩個網絡進行連接，因為是主機到主機的安全連接，所以與連接分支機構的虛擬專用網絡對比，該種虛擬專用網絡需協商大量的安全關聯，進而安全分配和刷新密鑰，同時客戶機、服務器以及安全網關均支持IPSec協議[2]。

遠程訪問網絡指用戶通過Internet安全、低成本地遠程訪問公司內部網，具體如圖2所示。

圖2 遠程訪問網絡

1.2 原 理

基于Internet的VPN工作原理如圖3所示，主機向源VPN安全網關發送明文數據，網關依據安全策略檢查和加密數據。安全網關通過會話密鑰加密和認證數據，之后為其安裝新的IP報頭，從而保護了源主機和目的主機的IP地址。當目的VPN安全網關出現解除封裝的數據時，信息包被認證和解密，最后向目的主機傳輸解密的明文數據[3]。

圖3 基于Internet的VPN工作原理

2 虛擬專用網絡的主要技術

2.1 隧道技術

隧道技術是采取壓縮方式將數據信息轉化為數據包，進而實現傳輸，避免傳輸中發生丟失零散數據的問題。計算機網絡技術在應用中，選擇公用數據網絡建立隧道進而應用隧道技術，隧道技術需根據網絡隧道、承載以及被承擔協議等實現應用[4]。

2.2 加密技術

加密技術為計算機系統數據信息提供了保護，提高了存儲設備上數據信息的安全性，此外也實現對VPN技術和隧道技術的保護。如果數據源和關聯的計算機系統未采取硬件加密技術實現加密，那么計算機系統數據容易被竊取或破壞，特別是用戶信息與銀行信息的泄露將會給用戶造成巨大損失[5]。

2.3 數據認證技術

數據認證技術以公鑰加密的數字簽名實現，主要是指發送信息對象利用公鑰算法技術形成他人無法偽造的簽名值，同時對其加密。發送對象采取自己的私鑰簽名數據產生簽名值，之后采取接收對象的公鑰加密處置數據和簽名值，最終向接收對象發送數據[6]。接收對象解密數據和簽名值需結合自己的私鑰，然后用發送對象的公鑰檢驗簽名值，進而鎖定消息出處，驗證發送信息是否真實，保證加密信息的機密性。數字簽名包括真實數字簽名與公正數字簽名。在真實數字簽名中，簽名對象將簽名消息發送給接收對象，接收對象獨立對簽名檢驗。而在數字簽名公證過程中，簽名對象發送信息的前提是具有可信的第三方，且接收對象無法對簽名直接檢驗[7]。

3 虛擬專用網絡技術的應用（以校園網為例）

校園網借VPN技術保證網絡安全，對網絡靈活管理。在設置程序中應用VPN設備和相關軟件，基于不同物理網段安全連接LAN，聯系現實要求及時調整LAN。

3.1 實現VPN的基礎平臺

3.1.1 純軟件平臺

在部分已知的網絡環境內，將支持VPN的軟件安裝在普通設備上，有效提升原有設備功能。利用軟件公司提供的軟件實現VPN，這種做法實施便捷，降低了投資，但基于原有設備性能只能提供有限的功能，應用在連接速率要求偏低和連接比較分散的場合。為了在跨公網部門網絡間以對等方式連接VPN，要將VPN引入網絡通信設備，在網絡通信設備上應用VPN專用軟件模塊，提高傳輸效率。需注意的是，一般廠家只能升級部分系列產品的VPN。

3.1.2 專用硬件平臺

為了在部分網絡設備實施VPN，一些設備廠家結合VPN協議，專門設計了VPN的硬件設備平臺，在硬件通信平臺建立功能服務器，從而實現VPN應用，使VPN網絡連接更簡單[8]。

3.2 基于L2TP協力建立VPN

校園網路由器科學應用L2TP協議，憑借VPN技術與不同物理位置分布的相同部門節點設備結合跨越校園網，組建一個LAN子網，緊密聯系了校園網絡內行政單位的劃分。基于L2PT協議的VPN結構如圖4所示。

圖4 基于L2PT協議的VPN結構

L2TP包括LAC與LNS，其實現過程如下。用戶將傳輸數據請求發送至異地內部網絡，將使用隧道技術的請求發送至本地LAC。本地LAC根據隧道特征向用戶提供對應服務，如果已建立隧道，則科學封裝源網絡數據包，以隧道方法傳輸數據，如果未建立隧道，則向LNS發送內部網IP映像的請求，初步構建內部隧道，再完成對源網絡數據包的封裝，向目標網發送隧道數據包，消除封裝包頭，還原處理網絡層的數據包[9]。

3.3 基于PPTP協議建立VPN

校園網各院系部門業務借機器達到聯系的目的如二級財務的聯系、教務管理以及人事管理。具體通過服務器集中交流數據，圍繞客戶端有效整合分散的業務，且通過PPTP協議在服務器與客戶之間建立VPN隧道。基于PPTP協議的VPN結構如圖5所示。

圖5 基于PPTP協議的VPN結構

以PPTP在客戶機和服務器間開展加密通信業務。PPTP客戶機是指PC機引用PPTP協議，PPTP服務器是科學運行PPTP協議。合理設計服務器與客戶機，從而圍繞PPTP構建隧道連接。客戶端安裝了PPTP協議后產生建立隧道的請求，通過特定端口發送至服務器PPTP端口，服務器端驗證身份，向目標主機發送封裝的數據包。PPTP協議與客戶端采取撥號方法接入，一些在家辦公或出差辦事的員工可選擇ISP接入，此時有必要實行二次撥入，通過普通撥號方式接入ISP服務器，建立PPP連接。在這個基礎上開展二次撥號，與PPTP服務器進行連接，獲取PPTP隧道，即按IP協議連接另外一個PPP，順利封裝部分局域網絡，達到跨公網LAN連接[10]。

3.4 社會拓展校園網業務

基于物理連接的不足和主干的寬帶等因素，Cernet主要業務是內部交流與Internet外聯。而當Cernet主干綜合提速和建立互聯網交換中心時，不斷擴大和發展Cernet，與社會關鍵業務強化合作。當前VPN技術對不同的網絡物理進行連接，在Cernet校園網子網與連接Cernet的合作企業采取合理技術連接VPN，有利于較好開展教育科研工作。另外，在日益復雜的交流過程中，通過ChinaNet接入環境，建立內部網絡VPN連接，提高內部網絡通信連接的安全水平。

根據固化網絡設備提供的控制軟件應用VPN技術。VPN的實施很容易，在設計校園網初期綜合考慮VPN功能，注意只有生產設備支持該類服務才能升級設備。VPN技術涉及的隧道通信、加密以及解密操作均增大了數據量，增加了網絡硬件負載，一定程度影響了原來網絡的功能。因此利用專業VPN設備設計網絡，減少使用VPN連接的次數。

根據原有網絡情況實施VPN，校園網絡建設表現出參差不齊的特點，通過各種協議或并存各種協議實現VPN，根據與網絡匹配的協議特點選擇VPN協議。保證VPN安全的核心是設計認證策略，結合擬建的VPN單位設置安全認證策略，科學選擇VPN密鑰技術，制定方案明確可授權與非授權的部門。

4 結 論

虛擬專用網絡技術的現實應用過程就是在計算機網絡建設一個專業化的信息傳遞平臺，跨區域傳遞資源與文件，借技術保證安全傳輸信息，從而可靠運行計算機網絡。虛擬專用網絡技術在實際應用中，借網絡空間提高虛擬專用網絡技術的應用效率，保證工作質量，提升了系統的安全水平。科技的發展相應優化了虛擬專用網絡技術，為用戶創造了一個穩定的網絡環境。