高山山，康燕，安然

（呼和浩特铁路局呼和通信段，呼和浩特010000）

刍议VPN网络的通信安全与优化实现

高山山，康燕，安然

（呼和浩特铁路局呼和通信段，呼和浩特010000）

VPN技术凭借着高效、安全、搭建成本低、便捷、可控、客户端部署灵活性高等特点，逐步替代了传统的专线技术，成为当今安全传输信息技术的主流。通过现实信息网络中数据包和相关数据的统计和分析，证明了VPN技术在数据传输安全保障方面的价值，并对目前VPN技术在固定、移动网络环境下存在的不足进行了分析并提出改进方案。

VPN网络；网络安全；网络通信

【DOI】10.13616/j.cnki.gcjsysj.2016.09.073

1 VPN技术浅析与研究意义

虚拟专用网络VPN(Virtual Private Network)，是指在专用或者万维网中建立与其他网络用户隔离的用户群，这些用户之间可以像在专用网络上那样相互通信并定义访问资源级别[1]。它是在多个局域网之间通过隧道技术建立一个虚拟的网络专用通道，可以简单地理解为VNP技术是一根保证数据传输过程安全性和灵活性的虚拟专用网线。

1.1 VPN技术的常规类型

据实施VPN网络过程中采用的设备类型进行分类：软件VPN、硬件VPN、软硬件综合VPN。据VPN网络部署方式进行分类：远程访问VPN、站点到站点VPN。VPN技术通信过程中应用的协议进行分类：PPTP、L2TP、SSTP等。专用网络隧道技术是VPN网络的技术核心部分，原理是将VPN网络中用户的数据信息封装到PDU（协议数据单元）中，接着通过其他传输协议方式传输到外部的对等实体，然后传输给其他用户。隧道技术可以实现网络和网络、主机和主机、网络和主机之间的安全通信，其过程为数据封装、加密、传输、拆分、解密过程。

1.2 VPN技术研究的意义

（1）VPN技术提高数据在传输过程中的安全性，进而提高了数据传输过程的价值；（2）逐步推进IPv4网络向IPv6网络的过渡；（3）使得网络操作系统得以普及，加快网络化进程，增加网络聚合程度。VPN思想及其技术的出现，必将在网络进化过程乃至完成其最终形态过程中起到至关重要的作用。

2 VPN技术的不足与优化措施

2.1 VPN网络通信的缺陷和改进思路

当今网络下，大部分网络仍是IPv4网络，IPv6网络仍然属于孤岛状态，未来是信息时代，而美国有着绝对的网络信息控制权，这使得IPv4向IPv6过渡势在必行而且是迫在眉睫的。对此，我国应该建立国内自己的缓存域名服务器，即使是美国将中国国家域名删除，也不能完全限制国家网络通信。且我国积极参与IPv6制定标准和应用推广，使得各国分享了IPv6的技术和控制权，才能将互联网从一个国家绝对控制的形式中解脱出来。过渡过程中可能存在2种情况：通过IPv4网络实现IPv6网络之间的通信；论文提出在IPv6通信网络前增加相对应的网关设备，该设备主要用于相应的网络协议翻译。虽然增加了网络投资，但是使得传输的数据经过VPN网络隧道技术和协议网关的包装，增强了数据传输的安全性。

2.2 VPN技术在移动网络环境中的安全性分析和解决措施

移动通信技术凭借着4G网络的兴起，已经和互联网技术成为我国信息产业的两大支柱。伴随着移动通信技术的发展，相应的移动VPN技术需求也得以提出，移动VPN技术是网络VPN技术在移动网络上的拓展，其发展时间较短，仍然处于萌芽阶段，需要在安全性方面得到更多的技术支持。随着移动网络和IPv6技术的推广和普及。VPN技术在移动网络上一定给信息产业带来巨大的改变。移动网络VPN与固定网络VPN连接在结构上的不同之处在于，首先要求移动网络和固定网络直接先进性连接，然后才能将移动VPN客户端与互联网进行连接。无线信号从基站发出传输到移动通信设备过程中很容易被第三方截获，造成VPN安全通信技术的漏洞。论文采用数字认证证书和对应的数字证书标识值一一绑定的方法解决该问题，并通过将数字证书所持有的特征值镶嵌入智能卡磁条中的方式进行解决传输数据给终端设备带来的压力及传输过程中速度慢且费用高的缺点，通过证书的标识值可以在CA服务器上获取相关的数字证书，同时将证书的处理部分移交到CA服务器上，进而解放移动客户端的运算资源。通过哈希运算在共享密钥不变原理的基础上进行身份双向认证等一系列的改进，从而阻止破解攻击的生效[2]。

2.3 在C/S层面对VPN网络的优化设计

不论是RASVPN还是STSVPN网络服务，都是单向提供服务的结构，可以理解为客户端都连接着VPN服务器，虽然这有利于网络的集中管理，但是不利于多个VPN客户端或者各个VPN网络相互间的通信[3]，因为实现该通信过程中数据转发必须通过一个VPN网络服务器，增加了该服务器的负载量，降低VPN客户端的通信速度。且这种单向服务连接结构对单一的VPN服务器的依赖性很大，一旦该VPN服务器出现故障，整个VPN网络将处于瘫痪状态。VPN网络与分布式存储概念结合后，最大的优势是网络中不存在集中式VPN服务器，这种模式下将服务器与客户端的概念有绝对化变为相对化[4]。

3 结论

从VPN技术在社会需要、VPN技术原理和相对于传统专线网络的优势、移动客户端VPN技术缺陷和优化方法、VPN技术自动化部署和VPN技术在推进当今网络影响及对网络发展展望，论述了VPN技术对当今网络世界格局改变的作用和存在意义。还完成了以下优化设计：（1）整合了多个VPN工程，模拟出一套能在多种网络环境下都适应的VPN通信网络结构模型；（2）提出了在IPv6和IPv4不同协议间的通信思路，既解决了网络通信对服务器的依赖又解决了IPv4网址短缺问题；（3）提出了一系列针对不稳定网络中自动化部署VPN网络客户端和服务端及其之间连接方式的方法。

【1】王路，袁宏春，万里冰.基于IP的点对点分布式VPN系统[J].电子科技大学学报，2014(1)：25-27.

【2】刘晓红，纪越峰.下一代应用层防火墙性能及其测试[J].计算机工程，2012(11)：223-224.

【3】鲜继清，谭丹，陈辉.局域网中个人防火墙与入侵检测系统联动技术研究[J].计算机应用研究，2010(5)：103-105.

【4】李军.信息泄漏防范何去何从[J].计算机安全，2013(3)：76-78.

Discussion on Communication Security and Optimization of VPN Network

GAO Shan-shan,KANG Yan,AN Ran
(Huhe Communications Segment of Hohhot Railway Administration,Hohhot 010000，China)

With the characteristics of high efficiency,safety,low building cost,convenience,controllability and high flexibility of client deployment,the VPN technology has gradually replaced the traditional line technology,and become the mainstream of today's information technology of secure transmission.Through statistics and analysis of data packets and the related data in practical information network,the value of VPN technology in the security of data transmission is proved,the shortages of VPN technology in fixed and mobile network environment are analyzed and an improved scheme is proposed.

VPN network;network security;network communication

TP393.08

A

1007-9467（2016）09-0176-02

2016-08-17

高山山（1989～），男，山西朔州人，助理工程师，从事铁路通信研究。