岳阳 伏海斌

（海军计算技术研究所 100841）

VPN技术在安全接入中的应用研究

岳阳 伏海斌

（海军计算技术研究所 100841）

本文以远程接入安全需求为牵引，通过对VPN接入技术的研究，提出了VPN安全接入实现框架。

VPN；安全接入；应用区域；边界

1 远程接入安全需求

计算节点接入应用区域面临以下几方面的安全威胁[1]。

1.1 数据传输过程的安全威胁

攻击者截获、读取、破解通信线路中的信息；攻击者利用通信干扰工具，故意导致通信数据错误；攻击者利用通用安全协议/算法/软件等缺陷，获取信息、解密密钥或破坏通信完整性。

1.2 计算节点的安全威胁

设备的遗失或被盗，设备的非授权使用，授权用户不合理使用和恶意行为，来自专网的攻击和入侵等。

1.3 接入网络的安全威胁

攻击者利用网络协议的漏洞攻击；利用网络结构设计缺陷旁路安全策略，非授权访问网络；攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具，恶意消耗各类系统资源，导致拒绝服务；攻击者利用伪造客户端进入系统，进行非法访问；攻击者盗用授权会话连接等威胁。

安全接入保证计算节点安全可控地接入应用区域。

2 VPN技术实现分析

在信息系统中可利用VPN在专用网络上建立层叠网络，常见的做法是在每个办公节点建立一个网关，并且通过网络在这些节点间建立隧道。充分利用VPN相关协议的安全特性来建立隧道，能够将任何两个节点之间的所有流量聚集到一个支持认证加密的安全关联上，安全关联是单向的，在两个对等端存在两个安全关联，从而保证了完整性和保密性。VPN的优势在于扩展连接的地域范围，促进没有加密数据传输的安全性，减少远程用户数据传输时间和传输费用，在一定范围内简化网络拓扑结构，为网络提供良好的伸缩性。

VPN的实现结构有LAN到LAN、LAN到PC、PC到PC几种。LAN代表局域网或局域网的网关，PC表示主机或终端。VPN可在TCP/IP协议族的链路层实现（如L2F、PPTP等安全协议），也可在网络层（IPSec）、应用层（SSL）实现，更多情况在网络层实现。

2.1 基于PPTP/L2TP的VPN

点对点隧道协议PPTP[2]是微软公司提出的。PPTP用IP包来封装PPP协议。L2TP协议为使用PPP协议的客户端建立拨号方式的虚拟专用网连接。L2TP也可用于传输多种协议数据。

优点是支持多种网络协议和流量控制，缺点是它们用IP帧在两台计算机间创建和打开数据通道，一旦通道打开，源和目的用户身份就不再需要。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。

基于PPTP/L2TP的VPN适合用于LAN到PC的虚拟专用网。

2.2 基于IPSec的VPN

针对TCP/IP协议没有充分考虑到安全问题而存在的严重安全漏洞。IPSec协议已成为支撑VPN的基础协议之一，该协议为IP层传输提供多种安全服务。IPSec工作在网络层，在参加IPSec的设备之间为数据的传输提供保护，主要是对数据的加密和数据收发方的身份认证。

IPSec协议[3]分为隧道模式和传输模式。在隧道模式下，ESP将整个IP分组封装到ESP载荷中，AH将AH头插入原IP分组和IP头之前，并在AH头之前插入新的IP头。在传输模式下，ESP将上层协议部分封装到ESP载荷中，AH将AH头插入IP头和路由扩展头之后，上层协议（如TCP、UDP等）和端到端扩展头之前。IPSec把数据包封装在安全的IP帧中。

基于IPSec的VPN适合LAN到LAN的虚拟专用网。

2.3 基于SSL的VPN

SSL协议[4]是在Internet基础上提供的一种保证私密性的安全协议，SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议（如HTTP、FTP、Telnet等）能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已完成安全等级、加密算法、通信密钥的协商，以及执行对连接端身份的验证工作。在此之后，在SSL连接上的应用层协议所传送的数据都会被加密，从而保证通信的私密性。SSL可以用于任何面向连接的安全通信，但通常用于安全Web应用的HTTP协议。

可以将SSL VPN看作是建立在应用层之上为Web定制的数据安全访问技术。SSL VPN部署时只需在服务器端安装SSL VPN网关，在客户端只需支持SSL的浏览器就可。

3 VPN安全接入实现框架

VPN安全接入实现框架如图1所示。接入网络层是接入的网络基础设施，包括接入设备和专用/公用网络，该层具有多种接入方式包括局域网、无线局域网、卫星等。虚拟网络层通过安全协议栈实现接入控制、数据加密和完整性校验，提供接入过程的安全性保证，建立连接应用区域的虚拟网络。

图1 VPN安全接入实现框架

4 结束语

VPN由于能够提供远程网络安全接入并能够节约成本，已成为传统接入方案的替代技术，成为应用区域边界安全的重要组成部分。VPN技术不适合在内部应用区域与外部应用区域间使用，只适用于同一应用区域内部使用。

[1]Delivering Complete Network Protection Using Advanced Content Processing Technology，Fortinet White Paper，2002：5～6.

[2]Stallings，W.，Data and Computer Communications，6th Ed.，Prentice-Hall，2000：12～15.

[3]谢希任.计算机网络（第 4 版）.电子工业出版社，2003：124～128.

[4]William Stallings，Network Security Essentials：Applications and Standards，Prentice-Hall，Inc.，2002：223～234.

TP393.1

A

1004-7344（2016）17-0250-01

2016-5-17