付强 刘青华

摘 要： 随着我国综合国力的迅猛发展，不断的对前沿科技进行探索，我国所掌握的前沿科技已经越来越多，越来越广泛，同时保护国有信息资料的安全工作也受到足够的重视。但是在当前阶段，计算机系统、网络管理系统中的漏洞层出不穷，非法盗取信息事件频发，安全技术犯罪手段越来越多，因此保卫计算机的网络和信息安全已是一项刻不容缓的任务。在计算机网络信息安全领域中，虚拟专用网技术是一项必不可少的手段。文章主要分析了当前的虚拟专用网（VPN）技术的特点，以及它在计算机网络与信息安全领域的应用于市场前景，希望对计算机网络安全研究的理论探索方面能提供一些帮助。

关键词：计算机科学技术；网络信息安全；虚拟专用网络技术

中图分类号：TP393 文献标识码：A 文章编号：1006-8937（2016）24-0090-02

VPN技术即虚拟专用网络技术，简单来说就是在公共的万维网上建立VPN服务器，我们通过客户端就连接这个VPN服务器，建立一条VPN隧道，这个VPN隧道是一个加密链路，我们所有的信息传递都是在加密链路内进行传输[1]。即使有人使用非法手段监听互联网进行信息嗅探，也不能获取到加密链路中的私密信息。这样，既不影响万维网信息传递的便利性，还能保证私密信息和私有数据的安全传递，有效的避免了由于网络信息泄露导致经济损失等严重的影响，所以，虚拟的专用网技术在计算机网络的安全领域起着至关重要的作用。

1 虚拟网络技术的专用特点

VPN即虚拟专用网络（Virtual Private Network），是一条穿过公共网络中的私有网络，是一条安全稳定的隧道。通过对网络数据封包的加密传输，在一个公用的网络上（一般指Internet）建立一个临时的连接，从而实现在公有网络上传输私密数据，达到私有网络的安全级别[2]。最常使用的场景就是对企业组织内部网络的拓展工作上的应用，利用VPN来解决一些其他地区的客户、公司积极一些分支机构的随时随地进行沟通等问题。建立良好的可信度与安全性并存的连接模式，确保安全的将信息传递出去。VPN是一个企业之间创建的虚拟安全线路，以实现安全连接，避免了重新铺设专用线路的难题，降低了网络组建的成本，降低了工作难度。

同时，虚拟专用网络技术还具有简单易操作、设备简便等特点，搭建以及使用方便，所以虚拟网络技术以其独有的优势在如今的信息化时代的市场竞争中保持着绝对的优势，发展前景是非常广阔的，已经成为各大公司和企业必要的技术组成部分。

2 虚拟专用网络的主要技术

2.1 加解密技术（Encryption&Decryption）

加解密技术是虚拟专用网络技术中最为核心的技术，私密信息的安全主要依赖于加解密技术，同时，加解密技术也是对隧道技术的一种保护。密，是一个隐藏性高的关键，将接收到的信息进行加密处理，并将信息做编码的处理，一次性完成所有的加密的工作，确保其他的一些非法的用户侵入，保证信息传递过程的安全保障。信息属于明文的格式，将信息的明隐藏起来的过程就把明文改成了密文，然后再把密文还原为最初的信息内容就叫做解密。

CBC算法（Cipher Block Chain）是一种常见的加解密模式，是将密码进行分组，每一个分组都将被用到下一个分组加密的密码修改的工作中，采用这种连接的方式将分组连接在一起。加密公式为：

Ci=Ek（MI⊙Ci-1）

解密的公式是：

Mi=Ci-1Dk（Ci）。

DES算法是美国国家标准局来发的一种对称密钥的算法。是一种很好的数据加密标准。有40到56数位长加密密钥。还有一种叫做3DES的一个加密密钥，他的加密策略与DES 的加密策略是一样的算法，但是，他不是一次性的完成加密的工作，需要做三次的加密工作，而且每一次的机密密钥都是截然不同的，反复的加密，也造成了揭开数据密码的难度系数，是工作变得更加繁琐和麻烦。

AES算法（Advanced Encryption Standard）是采用高级的加密标准模式进行信息密钥的方法，是美国国家技术标准委员会采用经过三年的方案挑选出的五种方案中最终挑选出来的比利时的研究成果”Rijndael"作为AES算法的基础。经过漫长时间等待和研究，将AES发展成最高级别的一个加密方法。AES算法只需要加密一次数据即可，这也是与其他的机密密钥的区别之处，简单明了的精确算法，安全性能高的优点，提高了其使用的范围。

AES和DES的性能比较：

密钥的长短：DES算法支持40 bit到56 bit的密钥长度；AES支持128 bit的密钥长度，AES算法是DES算法支持的密钥强度的大约一千多倍。

安全性能：DES算法加密密钥的过程比较复杂，经过反复加密三次，安全性能比较差；AES算法只需要一次性将信息加密密钥，安全性较高。

利用的范围：DES算法设计上相對较复杂，需要的内存的空间较大，是它的利用范围有限；AES算法在设计上比较简洁明了，密钥安装上较快，需要的内存空间较小，使用范围比较宽泛。

所以，相对而言，AES高效率和更高的安全保障，简单技术写操作，AES算法比DES算法会有更好的发展空间，未来有可能取代DES算法的在国际上的地位。

2.2 隧道技术（Tunneling）

隧道技术就是原始的数据在一个机器进行封装，在另一个机器那里把封装去掉后，还原成最初的数据，从一个机器到另一个机器的信息整理就是一个信息的通信隧道。就目前的隧道技术的发展状况来看，有以下几种类型：一般路由封装（GRE）、L2TP和PPTP。

GRE隧道的技术就是最初的路由源头和目的路由之间形成的隧道，简单的说就是一个点到另一个点的过程。比如说，将一个GRE的报文头进行了重新改编，并进行封装，加上目的地的地址放到隧道里。

在GRE报文头抵达隧道的目的地的时候，封装就会被拿掉，并按照最初报文中的目的地的地址寻找。可以看出GRE隧道技术之存在一个最开始的一个地址和一个目的地的地址。但是有些时候也会有一点到多个点的情况，就是一个源地址与多个目的地的地址并存。

这种情况下就要与下一跳路由协（Next-Hop Routing Protocol， NHRP）结合使用，利用NHRP在路由之间建立捷径。

L2TP技术是L2F（Layer 2 Forwarding）和PPTP的结合。当前的发展来看，PPTP仍存在PC机的桌面的操作系统里，使用也很广泛。

隧道有两种建立的方式：用户初始化隧道和NAS（Network Access Server）初始化隧道。用户初始化隧道通常指“主动”型隧道，NAS是“强制”型隧道。“主动”隧道基于用户基础上的，用户从自己的利益出发所提出的请求，“强制”隧道与用户没有具体沟通，不需要用户做任何事情，在用户不知情的情况下建立的隧道模式。L2TP属于“强制”隧道的范围，如何将L2TP“强制”隧道建立连接，以下几点介绍：

①用户利用NAS的L2TP接入到服务器中，进行身份验证；

②利用Modem与NAS建立连接；

③用户可通过L2TP“强制”隧道获取VPN的服务

④用户与L2TP接入服务器应建立点到点的协议访问隧道

⑤对于NAS与政策服务器或者是在政策配置文件进行协商的时候，NAS和L2TP接入服务器建立一条L2TP隧道。

与L2TP隧道不同的是，PPTP属于“主动”型的隧道模式，它是允许终端的系统进行配置的，无论PPTP处在一个什么位置，都会与PPTP服务器建立一个没有连续性的点到点的一个隧道模式。

同时，在PPTP协商和隧道建立过程中，NAS是不参与其中，他的作用只是为网络服务提供帮助。那么，PPTP建立的过程有以下几点：

①用户通过PPTP隧道获取VPN的服务；

②用户与PPTP的服务器的接入应通过路由的相关信息进行定位；

③定位之后，用户就会与PPTP建立一个虚拟的对接口；

④用户利用这个接口，与PPTP服务器进行协商和认证并建立一条可以访问兼服务的隧道；

⑤用户与NAS建立连接并获取网络服务，需要利用串口来拨号IP访问的方式进行。

L2TP技术的应用中，看似是与PPTP的接入器直接建立的连接，也感觉不到NAS起到的作用。但是在PPTP隧道技术的应用中，NAS的作用是让可以看得到的。NAS把PPTP的流量只是看做简单的IP流量进行处理，不需要了解PPTP接入服务器的具体的存在方式。

控制权是在NAS还是用户的手中是采用L2TP或是PPTP实现VPN的关键所在。相比较而言，L2TP会比 PPTP的安全性高，并且L2TP接入器的用户是可以确定的。在应用上看，L2PT技术适合大多数是集中的、比较固定的VPN的用户，比较分散的、移动的用户适合PPTP技术。

2.3 用户身份认证技术（Authentication）

身份认证通常又称为实体认证、身份鉴别等。在信息VPN信息安全中，身份认证是最基本的环境，也是最重要的环节。若没有身份认证，安全无从谈起。身份认证的实质是需要被认证的一方有一些别人所不知道的信息（如口令、私钥、证书、指纹等生物学特征），除了被认证人以为，别人都不可以伪造的，并且被认证人能使认证方信任他确实有那些信息，那么被认证人的身份就得到认证了。

2.3.1 基于用户名/口令的身份认证方式

用户名和密码是最常用的认证方式，在系统创建的时候附加上注册用户名与密码，在每次进行系统登录的时候需要提供用户名与密码，若信息正确则认证成功。这种方式简便容易实现，不需要负责其他成本，但是存在安全风险，如网络窃听、重放攻击、字典攻击、暴力攻击、嗅探等非法手段容易泄露认证信息。

2.3.2 数字证书认证

数字证书是基于公钥的一种认证技术，只有利用数字证书验证了对方的身份信息后才可以进行数据传输。数字证书采用公钥密码体制，使用证书拥有者的私钥来验证其身份。数字证书认证的基本思路是通信双方首先获得对方的证书，并用CA的公钥来验证数字证书是否正确，同时检查证书的主体证书的有效期等信息，最后获取证书的公钥将需要的发送的信息进行加密处理。

2.3.3 一次性口令认证

用户每次登陆的密码都是不同的，使用一次后即失效。一次性口令认证也可称为动态口令。

2.3.4 生物特征技术认证

人体的生物特征是天生的，每个人都是不一样的，在生物特征认证中首先提取出个人的生物特征，经过处理后保存于计算机内，作为登录的依据，生物特征技术认证伪造困难，不易丢失。随着密码学、网络技术的不断发展，生物特征技术将受到广泛的欢迎。

2.4 密钥管理技术（Key Management）

密钥管理技术是由SKIP协议与ISAKMP协议组成，如何在共用数据网上安全地传递密钥而不被窃取是密钥管理技术的主要任务，对用户需要传输的密钥信息安全起着决定性作用。SKIP主要是利用Diffie-Hellman的演算法则，使得密钥在互联网之问进行不公开的传播，隐秘性较好[4]。在ISAKMP中，双方都有两把密钥，分别用于公用、私用。在ISAKMP中，密鑰的传输是公开的，人人都可以获取，因此需要小心谨慎的使用。

3 虚拟专用网络技术在计算机网络信息安全中的

应用

3.1 企业总部与远程分支之间的应用

企业内部搭建有自己的工作局域网，企业各个分支部分分散在全国各地，再分支部门需要连接到局域网内部时就可以接入VPN进行工作，实现资源全局安全共享。例如某大型企业总部在北京，局域网机房在北京，身在上海的分部需要召开一次网络会议，会议信息涉密，这种情况即可使用VPN连接北京会议系统的，不仅省时省力，方便轻松，还有利于企业各分部之间的沟通和发展，增强企业的凝聚力与影响力，企业的网络信息也得以优化和提升。

3.2 企业网与远程员工间的应用

企业员工可以通过VPN远程接入到公司内部网络进行办公，可以进行移动办公，增加了工作的便利性。例如，某IT企业在内网搭建有一套管理系统，该系统有一位骨干员工负责，由于工作指派等事由，该员工出差外地几日，恰逢该管理系统出现故障，无人可以解决问题，这时该员工即可通过远程VPN接入到内网进行调试与解决问题。通过这种技术即可以快速解决公司内部问题，也不影响远方的业务。

3.3 企业、供应商、合作伙伴间的应用

大部分企业或者组织与供应商或是合作伙伴不可能都在同一个地区，如果需要时常见面洽谈商务会耗费大量时间成本和财力物力，因此，通过虚拟专用网络进行远程洽谈是一个非常优秀的解决方案，所以虚拟网络专用技术极大的提高了企业工作效率，减少了成本的支出。

4 结 语

综上所述，本文主要讨论了虚拟专用网络技术在计算机网络信息安全领域中的案例与简单应用，阐述目前与虚拟专用网相关联的技术理论，讨论虚拟专用网在企业中的简单应用案例。在当前网络信息时代，保护网络信息安全是重中之重，希望本文的一些信息可以给相关方面的研究提供支持与帮助。

参考文献：

[1] 杨敏.虚拟专用网络技术在计算机网络信息安全中的应用探讨[J].科 技创新与应用，2014，（23）：72-72.

[2] 张伟杰.虚拟专用网络技术在计算机网络信息安全中的应用[J].电子 世界，2014，（17）：171-171.

[3] 王永刚.虚拟专用网络技术在计算机网络信息安全中的应用[J].电子 测试，2015，（10）：73-74.

[4] 宋岩.虚拟专用网络技术在计算机网络信息安全中的应用分析[J].硅 谷，2013，（23）：35-36.