付強 劉青華

摘 要： 隨著我國綜合國力的迅猛發(fā)展，不斷的對前沿科技進行探索，我國所掌握的前沿科技已經(jīng)越來越多，越來越廣泛，同時保護國有信息資料的安全工作也受到足夠的重視。但是在當(dāng)前階段，計算機系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)中的漏洞層出不窮，非法盜取信息事件頻發(fā)，安全技術(shù)犯罪手段越來越多，因此保衛(wèi)計算機的網(wǎng)絡(luò)和信息安全已是一項刻不容緩的任務(wù)。在計算機網(wǎng)絡(luò)信息安全領(lǐng)域中，虛擬專用網(wǎng)技術(shù)是一項必不可少的手段。文章主要分析了當(dāng)前的虛擬專用網(wǎng)（VPN）技術(shù)的特點，以及它在計算機網(wǎng)絡(luò)與信息安全領(lǐng)域的應(yīng)用于市場前景，希望對計算機網(wǎng)絡(luò)安全研究的理論探索方面能提供一些幫助。

關(guān)鍵詞：計算機科學(xué)技術(shù)；網(wǎng)絡(luò)信息安全；虛擬專用網(wǎng)絡(luò)技術(shù)

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1006-8937（2016）24-0090-02

VPN技術(shù)即虛擬專用網(wǎng)絡(luò)技術(shù)，簡單來說就是在公共的萬維網(wǎng)上建立VPN服務(wù)器，我們通過客戶端就連接這個VPN服務(wù)器，建立一條VPN隧道，這個VPN隧道是一個加密鏈路，我們所有的信息傳遞都是在加密鏈路內(nèi)進行傳輸[1]。即使有人使用非法手段監(jiān)聽互聯(lián)網(wǎng)進行信息嗅探，也不能獲取到加密鏈路中的私密信息。這樣，既不影響萬維網(wǎng)信息傳遞的便利性，還能保證私密信息和私有數(shù)據(jù)的安全傳遞，有效的避免了由于網(wǎng)絡(luò)信息泄露導(dǎo)致經(jīng)濟損失等嚴(yán)重的影響，所以，虛擬的專用網(wǎng)技術(shù)在計算機網(wǎng)絡(luò)的安全領(lǐng)域起著至關(guān)重要的作用。

1 虛擬網(wǎng)絡(luò)技術(shù)的專用特點

VPN即虛擬專用網(wǎng)絡(luò)（Virtual Private Network），是一條穿過公共網(wǎng)絡(luò)中的私有網(wǎng)絡(luò)，是一條安全穩(wěn)定的隧道。通過對網(wǎng)絡(luò)數(shù)據(jù)封包的加密傳輸，在一個公用的網(wǎng)絡(luò)上（一般指Internet）建立一個臨時的連接，從而實現(xiàn)在公有網(wǎng)絡(luò)上傳輸私密數(shù)據(jù)，達到私有網(wǎng)絡(luò)的安全級別[2]。最常使用的場景就是對企業(yè)組織內(nèi)部網(wǎng)絡(luò)的拓展工作上的應(yīng)用，利用VPN來解決一些其他地區(qū)的客戶、公司積極一些分支機構(gòu)的隨時隨地進行溝通等問題。建立良好的可信度與安全性并存的連接模式，確保安全的將信息傳遞出去。VPN是一個企業(yè)之間創(chuàng)建的虛擬安全線路，以實現(xiàn)安全連接，避免了重新鋪設(shè)專用線路的難題，降低了網(wǎng)絡(luò)組建的成本，降低了工作難度。

同時，虛擬專用網(wǎng)絡(luò)技術(shù)還具有簡單易操作、設(shè)備簡便等特點，搭建以及使用方便，所以虛擬網(wǎng)絡(luò)技術(shù)以其獨有的優(yōu)勢在如今的信息化時代的市場競爭中保持著絕對的優(yōu)勢，發(fā)展前景是非常廣闊的，已經(jīng)成為各大公司和企業(yè)必要的技術(shù)組成部分。

2 虛擬專用網(wǎng)絡(luò)的主要技術(shù)

2.1 加解密技術(shù)（Encryption&Decryption）

加解密技術(shù)是虛擬專用網(wǎng)絡(luò)技術(shù)中最為核心的技術(shù)，私密信息的安全主要依賴于加解密技術(shù)，同時，加解密技術(shù)也是對隧道技術(shù)的一種保護。密，是一個隱藏性高的關(guān)鍵，將接收到的信息進行加密處理，并將信息做編碼的處理，一次性完成所有的加密的工作，確保其他的一些非法的用戶侵入，保證信息傳遞過程的安全保障。信息屬于明文的格式，將信息的明隱藏起來的過程就把明文改成了密文，然后再把密文還原為最初的信息內(nèi)容就叫做解密。

CBC算法（Cipher Block Chain）是一種常見的加解密模式，是將密碼進行分組，每一個分組都將被用到下一個分組加密的密碼修改的工作中，采用這種連接的方式將分組連接在一起。加密公式為：

Ci=Ek（MI⊙Ci-1）

解密的公式是：

Mi=Ci-1Dk（Ci）。

DES算法是美國國家標(biāo)準(zhǔn)局來發(fā)的一種對稱密鑰的算法。是一種很好的數(shù)據(jù)加密標(biāo)準(zhǔn)。有40到56數(shù)位長加密密鑰。還有一種叫做3DES的一個加密密鑰，他的加密策略與DES 的加密策略是一樣的算法，但是，他不是一次性的完成加密的工作，需要做三次的加密工作，而且每一次的機密密鑰都是截然不同的，反復(fù)的加密，也造成了揭開數(shù)據(jù)密碼的難度系數(shù)，是工作變得更加繁瑣和麻煩。

AES算法（Advanced Encryption Standard）是采用高級的加密標(biāo)準(zhǔn)模式進行信息密鑰的方法，是美國國家技術(shù)標(biāo)準(zhǔn)委員會采用經(jīng)過三年的方案挑選出的五種方案中最終挑選出來的比利時的研究成果”Rijndael"作為AES算法的基礎(chǔ)。經(jīng)過漫長時間等待和研究，將AES發(fā)展成最高級別的一個加密方法。AES算法只需要加密一次數(shù)據(jù)即可，這也是與其他的機密密鑰的區(qū)別之處，簡單明了的精確算法，安全性能高的優(yōu)點，提高了其使用的范圍。

AES和DES的性能比較：

密鑰的長短：DES算法支持40 bit到56 bit的密鑰長度；AES支持128 bit的密鑰長度，AES算法是DES算法支持的密鑰強度的大約一千多倍。

安全性能：DES算法加密密鑰的過程比較復(fù)雜，經(jīng)過反復(fù)加密三次，安全性能比較差；AES算法只需要一次性將信息加密密鑰，安全性較高。

利用的范圍：DES算法設(shè)計上相對較復(fù)雜，需要的內(nèi)存的空間較大，是它的利用范圍有限；AES算法在設(shè)計上比較簡潔明了，密鑰安裝上較快，需要的內(nèi)存空間較小，使用范圍比較寬泛。

所以，相對而言，AES高效率和更高的安全保障，簡單技術(shù)寫操作，AES算法比DES算法會有更好的發(fā)展空間，未來有可能取代DES算法的在國際上的地位。

2.2 隧道技術(shù)（Tunneling）

隧道技術(shù)就是原始的數(shù)據(jù)在一個機器進行封裝，在另一個機器那里把封裝去掉后，還原成最初的數(shù)據(jù)，從一個機器到另一個機器的信息整理就是一個信息的通信隧道。就目前的隧道技術(shù)的發(fā)展?fàn)顩r來看，有以下幾種類型：一般路由封裝（GRE）、L2TP和PPTP。

GRE隧道的技術(shù)就是最初的路由源頭和目的路由之間形成的隧道，簡單的說就是一個點到另一個點的過程。比如說，將一個GRE的報文頭進行了重新改編，并進行封裝，加上目的地的地址放到隧道里。

在GRE報文頭抵達隧道的目的地的時候，封裝就會被拿掉，并按照最初報文中的目的地的地址尋找?？梢钥闯鯣RE隧道技術(shù)之存在一個最開始的一個地址和一個目的地的地址。但是有些時候也會有一點到多個點的情況，就是一個源地址與多個目的地的地址并存。

這種情況下就要與下一跳路由協(xié)（Next-Hop Routing Protocol， NHRP）結(jié)合使用，利用NHRP在路由之間建立捷徑。

L2TP技術(shù)是L2F（Layer 2 Forwarding）和PPTP的結(jié)合。當(dāng)前的發(fā)展來看，PPTP仍存在PC機的桌面的操作系統(tǒng)里，使用也很廣泛。

隧道有兩種建立的方式：用戶初始化隧道和NAS（Network Access Server）初始化隧道。用戶初始化隧道通常指“主動”型隧道，NAS是“強制”型隧道?！爸鲃印彼淼阑谟脩艋A(chǔ)上的，用戶從自己的利益出發(fā)所提出的請求，“強制”隧道與用戶沒有具體溝通，不需要用戶做任何事情，在用戶不知情的情況下建立的隧道模式。L2TP屬于“強制”隧道的范圍，如何將L2TP“強制”隧道建立連接，以下幾點介紹：

①用戶利用NAS的L2TP接入到服務(wù)器中，進行身份驗證；

②利用Modem與NAS建立連接；

③用戶可通過L2TP“強制”隧道獲取VPN的服務(wù)

④用戶與L2TP接入服務(wù)器應(yīng)建立點到點的協(xié)議訪問隧道

⑤對于NAS與政策服務(wù)器或者是在政策配置文件進行協(xié)商的時候，NAS和L2TP接入服務(wù)器建立一條L2TP隧道。

與L2TP隧道不同的是，PPTP屬于“主動”型的隧道模式，它是允許終端的系統(tǒng)進行配置的，無論PPTP處在一個什么位置，都會與PPTP服務(wù)器建立一個沒有連續(xù)性的點到點的一個隧道模式。

同時，在PPTP協(xié)商和隧道建立過程中，NAS是不參與其中，他的作用只是為網(wǎng)絡(luò)服務(wù)提供幫助。那么，PPTP建立的過程有以下幾點：

①用戶通過PPTP隧道獲取VPN的服務(wù)；

②用戶與PPTP的服務(wù)器的接入應(yīng)通過路由的相關(guān)信息進行定位；

③定位之后，用戶就會與PPTP建立一個虛擬的對接口；

④用戶利用這個接口，與PPTP服務(wù)器進行協(xié)商和認(rèn)證并建立一條可以訪問兼服務(wù)的隧道；

⑤用戶與NAS建立連接并獲取網(wǎng)絡(luò)服務(wù)，需要利用串口來撥號IP訪問的方式進行。

L2TP技術(shù)的應(yīng)用中，看似是與PPTP的接入器直接建立的連接，也感覺不到NAS起到的作用。但是在PPTP隧道技術(shù)的應(yīng)用中，NAS的作用是讓可以看得到的。NAS把PPTP的流量只是看做簡單的IP流量進行處理，不需要了解PPTP接入服務(wù)器的具體的存在方式。

控制權(quán)是在NAS還是用戶的手中是采用L2TP或是PPTP實現(xiàn)VPN的關(guān)鍵所在。相比較而言，L2TP會比 PPTP的安全性高，并且L2TP接入器的用戶是可以確定的。在應(yīng)用上看，L2PT技術(shù)適合大多數(shù)是集中的、比較固定的VPN的用戶，比較分散的、移動的用戶適合PPTP技術(shù)。

2.3 用戶身份認(rèn)證技術(shù)（Authentication）

身份認(rèn)證通常又稱為實體認(rèn)證、身份鑒別等。在信息VPN信息安全中，身份認(rèn)證是最基本的環(huán)境，也是最重要的環(huán)節(jié)。若沒有身份認(rèn)證，安全無從談起。身份認(rèn)證的實質(zhì)是需要被認(rèn)證的一方有一些別人所不知道的信息（如口令、私鑰、證書、指紋等生物學(xué)特征），除了被認(rèn)證人以為，別人都不可以偽造的，并且被認(rèn)證人能使認(rèn)證方信任他確實有那些信息，那么被認(rèn)證人的身份就得到認(rèn)證了。

2.3.1 基于用戶名/口令的身份認(rèn)證方式

用戶名和密碼是最常用的認(rèn)證方式，在系統(tǒng)創(chuàng)建的時候附加上注冊用戶名與密碼，在每次進行系統(tǒng)登錄的時候需要提供用戶名與密碼，若信息正確則認(rèn)證成功。這種方式簡便容易實現(xiàn)，不需要負(fù)責(zé)其他成本，但是存在安全風(fēng)險，如網(wǎng)絡(luò)竊聽、重放攻擊、字典攻擊、暴力攻擊、嗅探等非法手段容易泄露認(rèn)證信息。

2.3.2 數(shù)字證書認(rèn)證

數(shù)字證書是基于公鑰的一種認(rèn)證技術(shù)，只有利用數(shù)字證書驗證了對方的身份信息后才可以進行數(shù)據(jù)傳輸。數(shù)字證書采用公鑰密碼體制，使用證書擁有者的私鑰來驗證其身份。數(shù)字證書認(rèn)證的基本思路是通信雙方首先獲得對方的證書，并用CA的公鑰來驗證數(shù)字證書是否正確，同時檢查證書的主體證書的有效期等信息，最后獲取證書的公鑰將需要的發(fā)送的信息進行加密處理。

2.3.3 一次性口令認(rèn)證

用戶每次登陸的密碼都是不同的，使用一次后即失效。一次性口令認(rèn)證也可稱為動態(tài)口令。

2.3.4 生物特征技術(shù)認(rèn)證

人體的生物特征是天生的，每個人都是不一樣的，在生物特征認(rèn)證中首先提取出個人的生物特征，經(jīng)過處理后保存于計算機內(nèi)，作為登錄的依據(jù)，生物特征技術(shù)認(rèn)證偽造困難，不易丟失。隨著密碼學(xué)、網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，生物特征技術(shù)將受到廣泛的歡迎。

2.4 密鑰管理技術(shù)（Key Management）

密鑰管理技術(shù)是由SKIP協(xié)議與ISAKMP協(xié)議組成，如何在共用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取是密鑰管理技術(shù)的主要任務(wù)，對用戶需要傳輸?shù)拿荑€信息安全起著決定性作用。SKIP主要是利用Diffie-Hellman的演算法則，使得密鑰在互聯(lián)網(wǎng)之問進行不公開的傳播，隱秘性較好[4]。在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。在ISAKMP中，密鑰的傳輸是公開的，人人都可以獲取，因此需要小心謹(jǐn)慎的使用。

3 虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的

應(yīng)用

3.1 企業(yè)總部與遠程分支之間的應(yīng)用

企業(yè)內(nèi)部搭建有自己的工作局域網(wǎng)，企業(yè)各個分支部分分散在全國各地，再分支部門需要連接到局域網(wǎng)內(nèi)部時就可以接入VPN進行工作，實現(xiàn)資源全局安全共享。例如某大型企業(yè)總部在北京，局域網(wǎng)機房在北京，身在上海的分部需要召開一次網(wǎng)絡(luò)會議，會議信息涉密，這種情況即可使用VPN連接北京會議系統(tǒng)的，不僅省時省力，方便輕松，還有利于企業(yè)各分部之間的溝通和發(fā)展，增強企業(yè)的凝聚力與影響力，企業(yè)的網(wǎng)絡(luò)信息也得以優(yōu)化和提升。

3.2 企業(yè)網(wǎng)與遠程員工間的應(yīng)用

企業(yè)員工可以通過VPN遠程接入到公司內(nèi)部網(wǎng)絡(luò)進行辦公，可以進行移動辦公，增加了工作的便利性。例如，某IT企業(yè)在內(nèi)網(wǎng)搭建有一套管理系統(tǒng)，該系統(tǒng)有一位骨干員工負(fù)責(zé)，由于工作指派等事由，該員工出差外地幾日，恰逢該管理系統(tǒng)出現(xiàn)故障，無人可以解決問題，這時該員工即可通過遠程VPN接入到內(nèi)網(wǎng)進行調(diào)試與解決問題。通過這種技術(shù)即可以快速解決公司內(nèi)部問題，也不影響遠方的業(yè)務(wù)。

3.3 企業(yè)、供應(yīng)商、合作伙伴間的應(yīng)用

大部分企業(yè)或者組織與供應(yīng)商或是合作伙伴不可能都在同一個地區(qū)，如果需要時常見面洽談商務(wù)會耗費大量時間成本和財力物力，因此，通過虛擬專用網(wǎng)絡(luò)進行遠程洽談是一個非常優(yōu)秀的解決方案，所以虛擬網(wǎng)絡(luò)專用技術(shù)極大的提高了企業(yè)工作效率，減少了成本的支出。

4 結(jié) 語

綜上所述，本文主要討論了虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全領(lǐng)域中的案例與簡單應(yīng)用，闡述目前與虛擬專用網(wǎng)相關(guān)聯(lián)的技術(shù)理論，討論虛擬專用網(wǎng)在企業(yè)中的簡單應(yīng)用案例。在當(dāng)前網(wǎng)絡(luò)信息時代，保護網(wǎng)絡(luò)信息安全是重中之重，希望本文的一些信息可以給相關(guān)方面的研究提供支持與幫助。

參考文獻：

[1] 楊敏.虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用探討[J].科 技創(chuàng)新與應(yīng)用，2014，（23）：72-72.

[2] 張偉杰.虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用[J].電子 世界，2014，（17）：171-171.

[3] 王永剛.虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用[J].電子 測試，2015，（10）：73-74.

[4] 宋巖.虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用分析[J].硅 谷，2013，（23）：35-36.