基于VPN技术的网络安全研究

基于VPN技术的网络安全研究摘要：VPN技术通过数据加密和认证，对在Internet上实现数据信息安全具有关键作用。本文基于此，首先分析了VPN技术的概念和优点，其次重点分析了VPN技术对网络安全的保护，主要包括身份认证、加解密、隧道、密钥管理等技术，以期对用户保护网络信息安全有所帮助。关键词：VPN技术；网络安全；隧道技术1、前言网络安全是每个商务企业或用户都将考虑的问题，直接关系到其自身的日常运营和发展，甚至影响一个企业的兴衰。而日趋成熟的VPN（VirtualPrivateNetwork，虚拟专用网）技术则恰可以解决这个问题，其具有其他技术所无法具有的优势。目前，国内铁通、移动、网通等大型电信运营商均已推出此项业务。在此背景下，本文将深入研究VPN技术在网络安全中的应用，以期可以对公众网络信息安全保护提供一点意见和建议。2、VPN概念与优点（1）概念VPN（VirtualPrivateNetwork，虚拟专用网）是企业网在英特网上的延伸与扩展，其通过一条专用通过来建立一条安全的连接，将业务伙伴、分支机构、远程用户等与企业网连接起来，形成一个延伸的网络，通过在公共网络中建立专用网络，对数据经过加密和认证技术后在公共网络中传递。（2）优点首要优点在于实现网络安全，因为其数据是通过加密后传递，且需要对用户进行权限设置和认证。其次，可与合作单位联网，具有可扩展性。最后，可以简化网络设计和管理，降低了企业通信成本。3、VPN技术对网络安全的保护VPN技术对网络安全的保护主要有四项技术，具体是身份认证技术、加解密技术、隧道技术以及密钥管理技术。以下本文将逐个进行论述。3.1身份认证技术（Authentication）加入VPN的用户均需通过身份认证，一般采用用户名和密码，或通过智能卡来实现。当前使用最广的身份认证协议是RADIUS，即远程认证拨号用户服务，其是一种IP标准协议，可以为分布式拨号网络的用户提供集中的IP服务管理、认证以及计费。RADIUS包括服务器与客户两部分，简单地说，是RADIUS客户通过网络与主机上的RADIUS服务器进行通信，即RADIUS是基于客户/服务器模式工作的，改模式的优点在于其允许将所有的安全信息都集中保存在一个中央数据库中，可以避免数据的分散性，以提高数据传递的安全。3.2加解密技术（Encryption&Decryption）VPN利用已有的比较成熟的加解密技术，实现保密通信已不是什么难题，问题的关键在于如何经济合理地利用加解密技术，以提供足够的网络安全保障。3.3隧道技术（Tunneling）隧道技术是VPN能够在因特网上实现安全传递数据的核心，其建立在互联网基础设施之上。隧道技术主要是通过隧道协议来实现，隧道协议将其它协议的数据包再次重新封装后通过隧道发送，其包括二层隧道协议、三层隧道协议。1）二层隧道协议二层隧道协议用于传输二层网络协议，其主要用于构建拨号VPN。具体是先将各种网络协议封装到Point-to-PointProtocol（PPP）中，再将整个数据包装入隧道协议中，由此形成的数据包通过二层隧道协议进行传递。一般地，常用的二层隧道协议有Point-to-PointTunnelingProtocol(PPTP)、Layer2Forwarding(L2F)、和Layer2TunnelingProtocol（L2TP）。(1)L2TPL2TP是由Cisco公司二层转发协议(L2F)以及Microsoft公司隧道协议（PPTP）发展而来，当前已成为工业标准的隧道协议。L2TP是将PPTP与L2F的特点结合起来，具体而言，是其认证过程采用L2F协议，而隧道控制则采用PPTP协议，至于模块化则采用其自身独立的L2TP报头。(2)PPTPAscend、Microsoft等公司在PPP协议基础上共同制定了PPTP，其对于PPP协议未作任何修改，只是在其基础之上增加了一道安全等级，且在PPTP服务器与PPTP客户机之间提供加密通信。总体而言，尽管PPTP可以为用户在一定程度上提供VPN解决方案，但是其在实现过程中具有安全隐患，对安全要求级别高的用户的通信则不适用。2）三层隧道协议三层隧道协议主要是用于构建外联网和内部网。相比较而言，虽然二层隧道协议相对简单易行，但缺乏内在的安全机制，对于此点，三层隧道协议则具有更高的可靠性和安全性。通常使用的三层隧道协议是IPSec与GRE。（1）IPSecIPSec在IP层工作，其为IP层及其以上协议提供的安全服务包括数据来源验证、保密性、防重放保护、自动密钥管理、完整性、访问控制等。具有而言，IPSec由以下部分构成：①封装安全载荷ESP主要是为IP数据包提供数据源身份认证、无连接的数据完整性、防重放攻击保护及数据的保密性等。其中，安全关联(SA)是IPSec中一个重要的关键概念，其本质上是一个单向逻辑关系，由IPSec提供安全服务及由数据流的发送者到接收者。由此来表示对于SA所承载的数据通信，IPSec是如何提供安全服务的，具体包括用来保护数据的加密算法、IPSec协议类型、加密和认证密钥以及认证方式等。任何一个SA均是由三个参数（安全协议标识符、目的IP地址以及安全参数索引等）来唯一标识。②鉴别首部AHAH具有防重放攻击的能力，同时其可以为IP数据包提供数据源身份以及数据完整性认证。其中，数据源身份认证是通过在待认证的数据中加入一个共享密钥而实现，而校验则通过消息认证码产生的校验值来保证。至于防止重放攻击则是通过AH报头中的序列号来达到。③密钥管理服务IPSec提供的自动密钥管理协议具体是以下两部分：IKE，其是对安全服务进行协商的手段，主要是利用ISAKMP来定义密钥交换；ISAKMP，其为安全属性的协商提供了特定的协议支持，并提供了一个Internet密钥管理框架。（2）GRE协议GRE协议只是对数据包进行封装，其自身并不具有加密功能，以防止网络攻击和监听。故在实践应用中，其并非单独使用，而是往往与IPSec一并使用。具体地说，GRE协议只是规定如何用一种网络层协议去封装另一种网络层协议。通过GRE，用户可以对公网隐藏企业网的IP地址、或使用私网地址进行网络互联，以及可以利用公共IP网络连接IPX等网络。3.4密钥管理技术（KeyManagement）当前，常用的密钥管理技术主要是IPSec中的ISAKMP/Oakley以及SKIP两种。其中，SKIP主要使用Diffe-Hellmain算法，是由SUN公司开发的一种技术。密钥管理技术是建立保密通信与隧道的支撑，其主要任务是保证在公共网络中如何安全地传递密钥而不被窃取；其功能主要是负责验证密钥的真实性，以及密钥的生成、分发、控制和跟踪等。对于密钥的分发，有2种方法：利用密钥交换协议动态分发；通过手工配置的方式。4、结束语VPN作为一种新型的网络技术，建立在传统数据网络服务和安全质量的基础之上，其发展象征着Internet未来发展的趋势。通过在公共网络中应用VPN，可以建立虚拟的链接，并通过加密、认证来传递专用数据，以保证数据传递过程中的安全性，另外可以有效降低用户网络建设的成本，简而言之，具有安全性和经济性双重属性。在本文中，笔者主要论述了VPN技术在网络安全中的应用，随着VPN技术的不断发展以及应用范围的扩大，必将出现更多的问题以及需要改进和完善的地方，如加密算法的先进性和安全性、不同产品之间的互操作性等问题都将进一步有待研究。参考文献：[1]谭秀华.浅谈网络安全面临的主要原因，威胁与对策[M].北京:法制与社会，2007.[2]赵军科.虚拟专用网的技术及其应用[J].微型电脑应用，2002[3]林志臣.计算机网络安全及防范技术[J].科技咨询导报，2007，(11)[4]阙喜戎，孙悦等.信息安全原理及应用[M].北京:清华大学出版社，2003