苗壮 新疆公安边防总队哈密边防支队

IP VPN安全技术研究

苗壮 新疆公安边防总队哈密边防支队

基于IP VPN技术，进一步分析IP VPN安全技术的技术内容，并对相关技术的安全性进行研究。从本次研究结果来看，IP VPN安全技术的性能稳定、安全性高，能满足多种条件下的信息安全管理要求，具有良好的应用价值。

IP VPN技术 安全技术 隧道技术

1 IP VPN安全技术简述

现阶段公认的IP VPN安全技术主要包括四方面的内容，分别是隧道技术、密钥管理技术、加密技术、使用者与身份认证技术，四种技术在技术内容上具有各自的特点，能满足不同情况下的数据信息安全管理要求。

2 隧道技术

隧道技术是基于VPN基本技术而发展出来的一种安全保密技术，其技术类型与点对点技术类似，能最大程度上保证数据信息传输的针对性。在技术应用中，隧道技术通过构建一条数据传送通道（隧道），通过这条隧道，数据能够实现点对点的传输，保证了信息数据安全。

隧道技术是由隧道协议形成的，可以划分为第二层、第三层协议，现阶段在IP网上可见的隧道协议主要分为两种，具体资料如表1所示。第二层隧道协议与第三层隧道协议的主要区别主要体现在数据被封装上，在整个ISO OSI网络协议栈中，不同用户数据被封装的层次不同，就决定了数据在隧道协议上存在差异。但在这个过程中需要注意的是，MPLS隧道是一种特殊的隧道协议类型，不属于第二层、第三层隧道协议，而是介于两种隧道协议之间。

表1 隧道协议资料表

3 密钥管理技术

在整个信息数据传输过程中，VPN中的数据加密、数据认证等都需要进行秘密信息管理，在这个过程中密钥对于信息安全的作用就越来越明显，因此密钥管理技术，逐渐得到人们的关注。现阶段IP VPN技术中，密钥管理技术的核心体现在密钥发布方面，常见的密钥发布方法主要有两种：一种是手工配置的密钥分配方法；另一种，则是依靠密钥交换协议完成的动态发布。两者相比，由于手工配置的方法不利于密钥更新，因此在操作过程中，手工配置的密钥发布方式往往被应用在简单网络结构上；而密钥交换协议主要通过软件方式动态生成密钥，能满足多种条件下的密钥更新需要求，不仅操作简单，还能进一步提高VPN的信息传输质量，因此能得到更多人的认可。

在现行技术条件下，密钥管理技术主要分为SK IP与ISAKMP两种形式。其中SK IP主要通过Diffe-Hellman演算法则，依靠网络快速的配置密钥；而ISAKM管理技术中，信息传输的双方都有两把密钥，分别对应私用、公用的密钥，具有更高的灵活性。

4 加密技术

在IP VPN安全技术中，加密技术主要体现在数据信息加密中，这个数据加密的主要思想，就是通过对数据信息进行改装，使其以不同的形式完成数据传输，并且其中的敏感信息往往会被包装成普通的数据形式，进而保证了数据信息安全；在数据信息传输结束后，非加密的对象都无法顺利读取数据信息。

在应用加密技术过程中，可以在任意层的协议栈完成数据处理，若有特殊要求，也可以进行报文头数据加密。网络层中的数据信息加密标准为IPSec，一般在数据加密处理中，最常见的加密方法就是在主机端到另一个主机端进行数据加密。除此之外，另一种加密过程是在路由器中进行的，但是这个处理过程需要注意的是，不能从第一路由到终端之间进行加密，这是因为这种加密方式的安全性差：在数据传输过程中，从第一条路由到终端系统可能被截取，进而危机数据信息安全。因此在加密技术中，本文推荐终端到终端的数据传输方式，在这种数据加密技术下，VPN安全粒度水平会达到个人终端系统的标准，因此安全性更高。同时，在后一种方案中，VPN的安全粒度只有子网标准。

受技术条件影响，现阶段的链路层加密没有统一的标准，因此在加密过程中，为了保证所有链路层的加密方案都能符合数据信息安全的标准，厂家通常会自主设计一套需要特别加密的软件来满足信息数据加密的要求。

5 使用者与设备身份识别技术

在当前网络信息传输中，网络上的用户与设备都需要在确认身份的情况下才能实现传输，在这个过程中，如何对信息传输双方进行身份认证，就成为VPN需要重点解决的问题。当前在身份认证中所使用的协议一般为被称为摘要的技术，其中摘要技术主要采用HASH函数，将特定时长的函数以报文的形式进行转变，并将其映射成为一段特殊的报文摘要，来满足信息传输过程中的数据安全要求。但是在这个过程中需要注意的是，HASH函数具有一定的特殊性，因此为了保证信息传输安全性，还需要尽可能的寻找两个完全相同的不同报文。在获取报文之后，信息传输方希望验证对方的愿望能够得到实现，并且验证秘密不会通过网络被泄露，这种措施能在最大程度上保证数据传输安全。

从本次研究结果可知，随着现代社会生产对于信息数据的安全性提出了更高的要求，因此如何做好数据加密安全，已经成为相关人员关注的重点内容。IP VPN安全技术能满足多种情况下的信息数据安全要求，具有良好的应用价值，应该得到相关人员的重视。

[1]张伟，王凤英.GRE over IPsec VPN结合NAT的构建方案研究与实现[J].山东理工大学学报(自然科学版)，2017，03:6-10