如何加强虚拟专用网络安全

如何加强虚拟专用网络安全

毕莹

毕莹

（江苏省张家港职业教育中心校，江苏张家港215600）

摘要：虚拟专用网络的优点非常多，在公司和学校中使用日益增多，但在黑客肆虐的情况下，如何加强虚拟专用网络的安全，保证数据的安全传输就成了重中之重。本文就四个方面阐述了如何加强虚拟专用网络的安全性。

关键词：虚拟专用网络；安全；加密；技术

中图分类号：TP393；G712文献标识码：A文章编号：1671-6035（2013）09-0000-01

虚拟专用网络（简称VPN)指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用公用网络服务商所提供的网络平台，如Internet、综合业务数字网（ISDN）、数字用户线路、帧中继/ATM链路等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。

VPN技术的一大特点是它的可伸缩性。随着网络供应商不断增加其骨干网的带宽，VPN也可以成比例扩展，从而充分利用新增的带宽。由于VPN是独立于平台的且不依赖于特定的操作系统，因而几乎所有的设备都可以作为VPN客户或VPN服务器。

越来越多的用户认识到，随着Internet和电子商务的蓬勃发展，经济全球化的最佳途径是发展基于Internet的商务应用。随着商务活动的日益频繁，各企业开始允许其生意伙伴、供应商也能够访问本企业的局域网，从而大大简化信息交流的途径，增加信息交换速度。这些合作和联系是动态的，并依靠网络来维持和加强，于是各企业发现，这样的信息交流不但带来了网络的复杂性，还带来了管理和安全性的问题，因为Internet是一个全球性和开放性的、基于TCP/IP技术的、不可管理的国际互联网络，因此，基于Internet的商务活动就面临非善意的信息威胁和安全隐患。

目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption&Decryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）。

隧道技术（Tunneling）是一种通过使用互联网络的基础设施在网络之间传递数据的方式。是指把IPX、SNA、和非IP分组进行封装或打包后，装进IP分组数据段的封装模式。在VPN中，隧道是指IPX或IP分组进行加密后在Internet上进行传输的过程。无论选择哪一种定义，都要保证有可用的软件来执行这些转换功能。由于安全性原因，整个分组都放在另一个IP分组中。在因特网上经过传输后，在终端设备上把IP分组的头部去掉，再转发到桌面，这种类型的封装被称为IP-in-IP隧道。在大型机上，如果使用IP路由内部网络，首先要把SNA的通信量转换成IP分组，通常都有专门运行于大型机上的软件。SNA通信量被封装在一个IP分组中，然后被发送到远程的终端桌面，VPN设备收到IP分组，加上特殊的分组头，再以同样的方式发送出去，远程终端剥掉头部，再把它转发到SNA的终端桌面，接收的终端再把IP分组的头部去掉，把SNA数据传送到在终端上运行的应用程序。

加密以某种特殊的算法改变原有的信息数据，是简单地把一些易读的文本转换为不易读的文本，使得未授权的用户即使获得了已加密的信息，但因不知解密的方法，仍然无法了解信息的内容。加密之所以安全，绝非因不知道加密解密算法方法，而是加密的密钥是绝对的隐藏。一方取得已加密的数据，就算知到加密算法也好，若没有加密的密钥，也不能打开被加密保护的信息。

密钥管理针对的是保密、产生、分配和存储密钥的过程。密钥是VPN技术中安全机制的基础，因此需要一个非常安全的方法来保证密钥的安全性，虽然私钥系统更安全一些，但是它也缺乏灵活性，公钥系统的灵活性就比较高，但是需要安全性保护。在公钥系统中，VPN设备从另外一个设备处获得公共密钥，公共密钥就代表那个设备，这里就需要证书授权，证书授权能鉴别这个密钥，就像你的签名公证人一样。证书是一个证明公钥身份和用户身份的数字文档，证书可以证实数字签名的有效性，且确定用户不是别人冒充的。

在加密中使用的密钥的安全性依赖于对密钥增加安全性的随机数产生器。黑客要找到一个密文模式，这样他们才能猜出密钥，如果直接用口令生成密钥，这种密钥很容易被猜出，而随机数产生器就是用来打乱模式的。最好的随机数产生器是模仿自然界、动物的嗡嗡声或电信号的统计干扰，这些对象在自然界中都是完全随机的，武力运动也被认为是产生随机数较好的方法。如果在计算机上创建一个PGP密钥，你会被要求移动鼠标或击键，这个动作就被认为是产生一个随机运动，密钥就是基于这个随机运动而产生的，为了保证随机性，这个运动还要经过一个杂凑产生器，虽然这个步骤也被猜测是为了产生随机性，但的确不是，在这些例子中，使用的是一个伪随机数集，用产生的真实值作为种子值判决一个数，再把这个数经过杂凑函数的运算，以产生一个随机样本。

在很多通信网络基础设施中，都需要一个认证过程来控制个人用户对网络业务的访问，这样可以避免未授权用户擅自访问，但这需要一个双向信任的环境：系统信任用户，用户也要信任系统中的其他用户（如使用某位用户的公共密钥）。在系统承认用户之前，用户必须证明自己就是系统所证明的用户，因此就需要某种类型的认证过程来完成这个功能。

进行这种通信的基础就是使用认证协议，而且现在有很多种，在登录到计算机上、登录到网络中都会碰到这些协议。这些协议有各种各样的类型，但是大多数都使用一种由来已久的方法——用一个口令或多个口令进行验证，中间的区别就是谁使用这个口令，信息怎样从客户机传到服务器上。在普通的口令系统中，用户和系统都知道这个口令，通常计算机系统把用户的口令存储在一个数据库中，同时还存有用户的身份信息，当用户想登录到计算机系统中时，用户提供自己的口令，如果计算机系统发现能与数据库中的信息匹配，用户就能进入系统。

VPN为用户带来了好处，组网容易，节省了大量的资金，而且安全性也比较好。但是现在VPN还不是十分完美的，在它在安全性方面还存在不足。但也要相信VPN的明天会更好。