王飛

摘要：在目前的IT發(fā)展環(huán)境下，信息化是現(xiàn)代企事業(yè)單位的必然選擇。隨著應(yīng)用的深入，信息安全尤為重要，中小型企事業(yè)單位結(jié)合自身特點(diǎn)對(duì)信息安全的需求也越來(lái)越迫切，VPN技術(shù)的引入不僅可以保證單位信息的安全，而且使得應(yīng)用更加方便。重點(diǎn)就網(wǎng)絡(luò)安全需求背景、VPN原理、VPN構(gòu)建方法進(jìn)行了分析和梳理，結(jié)合中小型企事業(yè)的特點(diǎn)提出了可供選擇的VPN應(yīng)用方案。

關(guān)鍵詞：VPN；隧道；網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP309.2 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）07-1394-03

1 概述

在目前基于網(wǎng)絡(luò)的應(yīng)用環(huán)境下，網(wǎng)絡(luò)安全問(wèn)題越來(lái)越顯得突出。隨著法律、管理制度日益健全完善，使得制度保障明顯改善，但網(wǎng)絡(luò)與生俱來(lái)的缺陷和不足還需要技術(shù)來(lái)加以解決，如防火墻、電子證書(shū)、授權(quán)認(rèn)證、加密等方法可以彌補(bǔ)一定的不足，但仍有一定的局限性。虛擬專(zhuān)用網(wǎng)（virtual private network：VPN）結(jié)合了因特網(wǎng)和專(zhuān)用網(wǎng)的優(yōu)點(diǎn)，同時(shí)克服了二者的缺點(diǎn)，為一定的用戶(hù)的網(wǎng)絡(luò)安全問(wèn)題的解決提供了一種可能。

2 VPN的原理及應(yīng)用特點(diǎn)

2.1 VPN的原理

VPN，顧名思義，virtual private network，虛擬專(zhuān)用網(wǎng)。通過(guò)一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接，形成一條通過(guò)公用網(wǎng)絡(luò)的安全的、穩(wěn)定的隧道。能夠提供給用戶(hù)一種全新的連接方式，是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶(hù)一種直接連接到私人局域網(wǎng)感覺(jué)的服務(wù)”。在VPN中的兩個(gè)節(jié)點(diǎn)之間不是端到端的專(zhuān)用物理鏈路，而是利用公共網(wǎng)絡(luò)資源動(dòng)態(tài)形成的一種通道。所謂虛擬是指用戶(hù)不需要擁有成本高昂的數(shù)據(jù)專(zhuān)線(xiàn)，而是利用公網(wǎng)來(lái)實(shí)現(xiàn)，所謂專(zhuān)用網(wǎng)絡(luò)是指用戶(hù)可以自己定制符合自己應(yīng)用需求的網(wǎng)絡(luò)。

2.2 VPN的應(yīng)用前提及組成部分

VPN在目前網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)是可能的，如果沒(méi)有發(fā)達(dá)的公共網(wǎng)絡(luò)就不可能有VPN的誕生與應(yīng)用發(fā)展。在一個(gè)網(wǎng)絡(luò)應(yīng)用連接中一般包括三部分，即客戶(hù)機(jī)、傳輸介質(zhì)和服務(wù)器，VPN同樣由三部分組成，但是VPN連接是以隧道做為傳輸通道的，一般網(wǎng)絡(luò)應(yīng)用是以實(shí)際的物理介質(zhì)做為傳輸通道的。

2.3 VPN關(guān)鍵技術(shù)

由于基于VPN傳輸?shù)氖撬接行畔?，使得?shù)據(jù)安全是使用VPN時(shí)最為關(guān)心的問(wèn)題。目前VPN使用中主要采用四種技術(shù)來(lái)加以保證數(shù)據(jù)安全，這四種技術(shù)主要是隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)等。

“隧道”是指在信源和信宿交換數(shù)據(jù)經(jīng)過(guò)公用網(wǎng)傳輸部分的一種邏輯通道，在信源所在局域網(wǎng)和公網(wǎng)的接口處將數(shù)據(jù)做為負(fù)載封裝成一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式，在信宿所在的局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)進(jìn)行解封裝，取出負(fù)載數(shù)據(jù)。

因?yàn)閂PN選用的公共網(wǎng)絡(luò)，傳輸?shù)臄?shù)據(jù)是加密的，即使從中截取了數(shù)據(jù)，也不會(huì)對(duì)數(shù)據(jù)造成不安全。目前加密分為對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密。其中對(duì)稱(chēng)加密是指加密方和解密方的密鑰是相同的，具有加密速度快的優(yōu)勢(shì)，根據(jù)加密算法不同，分為DES、3DES、AES等。非對(duì)稱(chēng)加密方密鑰與解密方密鑰不同，用公鑰加密，用私鑰解密，加密速度慢，但相對(duì)安全，根據(jù)算法不同，典型的算法有RSA、Elgamal、背包算法、Rabin、D-H、ECC等。

VPN系統(tǒng)的客戶(hù)端采用基于PKI的數(shù)字證書(shū)技術(shù)，來(lái)完成VPN網(wǎng)關(guān)服務(wù)器和用戶(hù)身份的雙向驗(yàn)證。當(dāng)用戶(hù)通過(guò)VPN客戶(hù)端訪問(wèn)VPN網(wǎng)關(guān)時(shí)，客戶(hù)端首先驗(yàn)證用戶(hù)的數(shù)字證書(shū)和相應(yīng)的口令，即雙因子驗(yàn)證，如果驗(yàn)證通過(guò)，VPN網(wǎng)關(guān)服務(wù)器則產(chǎn)生對(duì)稱(chēng)會(huì)話(huà)密鑰，并分發(fā)給用戶(hù)。同時(shí)采用訪問(wèn)控制列表模式（ACL），管理員可以方便為VPN用戶(hù)分配相應(yīng)權(quán)限，這種方式不僅便于管理，又可防止內(nèi)部失密。

3 構(gòu)建VPN的方法

3.1 VPN種類(lèi)

3.2 VPN構(gòu)建方法

1）基于IPSec的VPN

IPSec（IP Security）是IP層提供通信安全而制定的一套協(xié)議族，包括安全協(xié)議和密鑰協(xié)商部分，其中安全協(xié)議定義了對(duì)通信的安全保護(hù)機(jī)制，密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)以及對(duì)通信實(shí)體的身份鑒別。IPSec主要由認(rèn)證頭協(xié)議（AH）、封裝安全荷載協(xié)議（ESP）和因特網(wǎng)密鑰交換協(xié)議（IKE）組成。AH為IP數(shù)據(jù)包提供無(wú)連接的數(shù)據(jù)完整性、數(shù)據(jù)源身份認(rèn)證及防重放攻擊。ESP可以為IP數(shù)據(jù)包提供保密性、完整性、身份認(rèn)證和防重放攻擊保護(hù)等。IKE負(fù)責(zé)密鑰協(xié)商，使得密鑰管理與通信系統(tǒng)之間建立安全關(guān)聯(lián)（SA），產(chǎn)生密鑰材料并協(xié)商IPSec參數(shù)框架，將密鑰協(xié)商結(jié)果保留在SA條目中，供AH和ESP通信使用。

對(duì)于IP數(shù)據(jù)包有兩種工作模式：傳輸模式和隧道模式。采用AH分別對(duì)傳輸模式和隧道模式數(shù)據(jù)包封裝過(guò)程如下：其中傳輸模式使用原有的IP報(bào)頭，把AH頭插在IP頭的后面，其認(rèn)證和保護(hù)開(kāi)銷(xiāo)小但對(duì)IP頭部的可變字段保護(hù)缺乏。對(duì)于隧道模式把IP報(bào)文封裝在新的IP數(shù)據(jù)包中作為新報(bào)文的荷載，然后對(duì)新報(bào)文使用傳輸格式的AH格式封裝，這中模式能夠?qū)Ρ环庋b的報(bào)文提供完全保護(hù)，而且可以使用私有地址但是會(huì)產(chǎn)生額外開(kāi)銷(xiāo)。以AH分別對(duì)兩種模式的數(shù)據(jù)包封裝格式，如圖1所示。

同樣ESP也有兩種對(duì)應(yīng)模式。采用ESP分別對(duì)傳輸模式和隧道模式數(shù)據(jù)包封裝過(guò)程如下：對(duì)于傳輸模式仍然使用原有IP報(bào)頭，其中加密范圍自上層報(bào)文至ESP尾，認(rèn)證范圍ESP頭至ESP尾。采用隧道模式時(shí)，原IP數(shù)據(jù)包被整個(gè)加密，認(rèn)證范圍不僅包括原IP數(shù)據(jù)包還擴(kuò)展至ESP頭尾。以ESP分別對(duì)傳輸模式和隧道模式數(shù)據(jù)包封裝格式，如圖2所示。

4 中小型企事業(yè)單位可選方案

4.1 中小型企事業(yè)單位對(duì)VPN的需求

綜合中小型企事業(yè)單位特點(diǎn)及實(shí)際發(fā)展情況，這類(lèi)單位對(duì)信息安全的需求非常重視，但要求VPN的建設(shè)投入要小，能滿(mǎn)足企事業(yè)單位員工在家辦公或出差的需要，見(jiàn)效要快，性能穩(wěn)定，使用靈活，維護(hù)要方便。

4.2 解決方案

從上面的需求分析，中小型企事業(yè)單位對(duì)數(shù)據(jù)傳輸速率及安全性雖有一定的要求，但連接的用戶(hù)不會(huì)太多，可以采用下面的備選方案：

1）采用基于現(xiàn)有公共網(wǎng)絡(luò)的VPN撥號(hào)的方式，使用軟件平臺(tái)，VPN服務(wù)提供商提供并控制著VPN設(shè)施，用戶(hù)不需要增加任何設(shè)備或軟件投資，整個(gè)網(wǎng)絡(luò)都由VPN服務(wù)提供商維護(hù)。

2）租用VPN服務(wù)提供商的虛擬專(zhuān)線(xiàn)，用戶(hù)不需要購(gòu)買(mǎi)專(zhuān)用的設(shè)備、軟件，由VPN服務(wù)提供商建立通道并驗(yàn)證。

3）購(gòu)置具有VPN功能的防火墻、路由器并在具體的配置過(guò)程中啟動(dòng)VPN服務(wù)，一般相應(yīng)的公司產(chǎn)品都有對(duì)應(yīng)的配置手冊(cè)供參考，設(shè)置比較簡(jiǎn)單。

4）在網(wǎng)絡(luò)邊界配置VPN服務(wù)器，將內(nèi)部網(wǎng)與公共網(wǎng)通過(guò)VPN服務(wù)器分割開(kāi)來(lái)，需要整體考慮單位內(nèi)部網(wǎng)絡(luò)的規(guī)劃與實(shí)施，配置與維護(hù)相對(duì)有一定的難度。

5 結(jié)論

采用合適的VPN技術(shù)構(gòu)建單位的VPN應(yīng)用方案，實(shí)現(xiàn)單位的內(nèi)部各種應(yīng)用，如辦公系統(tǒng)、MIS系統(tǒng)、郵件系統(tǒng)及財(cái)務(wù)系統(tǒng)等，方便臨時(shí)在家或出差員工的安全移動(dòng)辦公，加快單位的信息化進(jìn)程，提高單位的管理水平，增強(qiáng)單位的生產(chǎn)效率和競(jìng)爭(zhēng)力。

參考文獻(xiàn)：

[1] 戴剛.VPN在企業(yè)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（4）：65-67.

[2] 張文艷.用虛擬專(zhuān)用網(wǎng)（VPN）搭建遠(yuǎn)程應(yīng)用系統(tǒng)[J].東北電力技術(shù)，2005（11）：50-52.

[3] 周世杰.中小企業(yè)網(wǎng)絡(luò)中VPN的實(shí)現(xiàn)[J].計(jì)算機(jī)工程用用技術(shù)，2008（4）：2891-2892.

[4] 唐俊勇.路由與交換型網(wǎng)絡(luò)基礎(chǔ)與實(shí)踐教程[M].北京：清華大學(xué)出版社，2011.