苗壯 新疆公安邊防總隊哈密邊防支隊

IP VPN安全技術(shù)研究

苗壯 新疆公安邊防總隊哈密邊防支隊

基于IP VPN技術(shù)，進(jìn)一步分析IP VPN安全技術(shù)的技術(shù)內(nèi)容，并對相關(guān)技術(shù)的安全性進(jìn)行研究。從本次研究結(jié)果來看，IP VPN安全技術(shù)的性能穩(wěn)定、安全性高，能滿足多種條件下的信息安全管理要求，具有良好的應(yīng)用價值。

IP VPN技術(shù) 安全技術(shù) 隧道技術(shù)

1 IP VPN安全技術(shù)簡述

現(xiàn)階段公認(rèn)的IP VPN安全技術(shù)主要包括四方面的內(nèi)容，分別是隧道技術(shù)、密鑰管理技術(shù)、加密技術(shù)、使用者與身份認(rèn)證技術(shù)，四種技術(shù)在技術(shù)內(nèi)容上具有各自的特點，能滿足不同情況下的數(shù)據(jù)信息安全管理要求。

2 隧道技術(shù)

隧道技術(shù)是基于VPN基本技術(shù)而發(fā)展出來的一種安全保密技術(shù)，其技術(shù)類型與點對點技術(shù)類似，能最大程度上保證數(shù)據(jù)信息傳輸?shù)尼槍π?。在技術(shù)應(yīng)用中，隧道技術(shù)通過構(gòu)建一條數(shù)據(jù)傳送通道（隧道），通過這條隧道，數(shù)據(jù)能夠?qū)崿F(xiàn)點對點的傳輸，保證了信息數(shù)據(jù)安全。

隧道技術(shù)是由隧道協(xié)議形成的，可以劃分為第二層、第三層協(xié)議，現(xiàn)階段在IP網(wǎng)上可見的隧道協(xié)議主要分為兩種，具體資料如表1所示。第二層隧道協(xié)議與第三層隧道協(xié)議的主要區(qū)別主要體現(xiàn)在數(shù)據(jù)被封裝上，在整個ISO OSI網(wǎng)絡(luò)協(xié)議棧中，不同用戶數(shù)據(jù)被封裝的層次不同，就決定了數(shù)據(jù)在隧道協(xié)議上存在差異。但在這個過程中需要注意的是，MPLS隧道是一種特殊的隧道協(xié)議類型，不屬于第二層、第三層隧道協(xié)議，而是介于兩種隧道協(xié)議之間。

表1 隧道協(xié)議資料表

3 密鑰管理技術(shù)

在整個信息數(shù)據(jù)傳輸過程中，VPN中的數(shù)據(jù)加密、數(shù)據(jù)認(rèn)證等都需要進(jìn)行秘密信息管理，在這個過程中密鑰對于信息安全的作用就越來越明顯，因此密鑰管理技術(shù)，逐漸得到人們的關(guān)注?，F(xiàn)階段IP VPN技術(shù)中，密鑰管理技術(shù)的核心體現(xiàn)在密鑰發(fā)布方面，常見的密鑰發(fā)布方法主要有兩種：一種是手工配置的密鑰分配方法；另一種，則是依靠密鑰交換協(xié)議完成的動態(tài)發(fā)布。兩者相比，由于手工配置的方法不利于密鑰更新，因此在操作過程中，手工配置的密鑰發(fā)布方式往往被應(yīng)用在簡單網(wǎng)絡(luò)結(jié)構(gòu)上；而密鑰交換協(xié)議主要通過軟件方式動態(tài)生成密鑰，能滿足多種條件下的密鑰更新需要求，不僅操作簡單，還能進(jìn)一步提高VPN的信息傳輸質(zhì)量，因此能得到更多人的認(rèn)可。

在現(xiàn)行技術(shù)條件下，密鑰管理技術(shù)主要分為SK IP與ISAKMP兩種形式。其中SK IP主要通過Diffe-Hellman演算法則，依靠網(wǎng)絡(luò)快速的配置密鑰；而ISAKM管理技術(shù)中，信息傳輸?shù)碾p方都有兩把密鑰，分別對應(yīng)私用、公用的密鑰，具有更高的靈活性。

4 加密技術(shù)

在IP VPN安全技術(shù)中，加密技術(shù)主要體現(xiàn)在數(shù)據(jù)信息加密中，這個數(shù)據(jù)加密的主要思想，就是通過對數(shù)據(jù)信息進(jìn)行改裝，使其以不同的形式完成數(shù)據(jù)傳輸，并且其中的敏感信息往往會被包裝成普通的數(shù)據(jù)形式，進(jìn)而保證了數(shù)據(jù)信息安全；在數(shù)據(jù)信息傳輸結(jié)束后，非加密的對象都無法順利讀取數(shù)據(jù)信息。

在應(yīng)用加密技術(shù)過程中，可以在任意層的協(xié)議棧完成數(shù)據(jù)處理，若有特殊要求，也可以進(jìn)行報文頭數(shù)據(jù)加密。網(wǎng)絡(luò)層中的數(shù)據(jù)信息加密標(biāo)準(zhǔn)為IPSec，一般在數(shù)據(jù)加密處理中，最常見的加密方法就是在主機(jī)端到另一個主機(jī)端進(jìn)行數(shù)據(jù)加密。除此之外，另一種加密過程是在路由器中進(jìn)行的，但是這個處理過程需要注意的是，不能從第一路由到終端之間進(jìn)行加密，這是因為這種加密方式的安全性差：在數(shù)據(jù)傳輸過程中，從第一條路由到終端系統(tǒng)可能被截取，進(jìn)而危機(jī)數(shù)據(jù)信息安全。因此在加密技術(shù)中，本文推薦終端到終端的數(shù)據(jù)傳輸方式，在這種數(shù)據(jù)加密技術(shù)下，VPN安全粒度水平會達(dá)到個人終端系統(tǒng)的標(biāo)準(zhǔn)，因此安全性更高。同時，在后一種方案中，VPN的安全粒度只有子網(wǎng)標(biāo)準(zhǔn)。

受技術(shù)條件影響，現(xiàn)階段的鏈路層加密沒有統(tǒng)一的標(biāo)準(zhǔn)，因此在加密過程中，為了保證所有鏈路層的加密方案都能符合數(shù)據(jù)信息安全的標(biāo)準(zhǔn)，廠家通常會自主設(shè)計一套需要特別加密的軟件來滿足信息數(shù)據(jù)加密的要求。

5 使用者與設(shè)備身份識別技術(shù)

在當(dāng)前網(wǎng)絡(luò)信息傳輸中，網(wǎng)絡(luò)上的用戶與設(shè)備都需要在確認(rèn)身份的情況下才能實現(xiàn)傳輸，在這個過程中，如何對信息傳輸雙方進(jìn)行身份認(rèn)證，就成為VPN需要重點解決的問題。當(dāng)前在身份認(rèn)證中所使用的協(xié)議一般為被稱為摘要的技術(shù)，其中摘要技術(shù)主要采用HASH函數(shù)，將特定時長的函數(shù)以報文的形式進(jìn)行轉(zhuǎn)變，并將其映射成為一段特殊的報文摘要，來滿足信息傳輸過程中的數(shù)據(jù)安全要求。但是在這個過程中需要注意的是，HASH函數(shù)具有一定的特殊性，因此為了保證信息傳輸安全性，還需要盡可能的尋找兩個完全相同的不同報文。在獲取報文之后，信息傳輸方希望驗證對方的愿望能夠得到實現(xiàn)，并且驗證秘密不會通過網(wǎng)絡(luò)被泄露，這種措施能在最大程度上保證數(shù)據(jù)傳輸安全。

從本次研究結(jié)果可知，隨著現(xiàn)代社會生產(chǎn)對于信息數(shù)據(jù)的安全性提出了更高的要求，因此如何做好數(shù)據(jù)加密安全，已經(jīng)成為相關(guān)人員關(guān)注的重點內(nèi)容。IP VPN安全技術(shù)能滿足多種情況下的信息數(shù)據(jù)安全要求，具有良好的應(yīng)用價值，應(yīng)該得到相關(guān)人員的重視。

[1]張偉，王鳳英.GRE over IPsec VPN結(jié)合NAT的構(gòu)建方案研究與實現(xiàn)[J].山東理工大學(xué)學(xué)報(自然科學(xué)版)，2017，03:6-10