计算机网络信息安全中虚拟专用网络技术的运用

刘永辉

关键词： 虚拟专用网络 身份认证 隧道技术 远程访问 IPSec 协议

中图分类号： TP393.01 文献标识码： A 文章编号： 1672-3791（2023）15-0020-04

虚拟专用网络技术则通过建立专用网络的方式，将专用网络与公用网络隔离开来，避免了来自互联网上的恶意访问；同时，还能通过加密通信的方式，让虚拟专用网络上传输的数据被加密，从而进一步提升了网络信息的安全性和私密性。截至2022 年6 月，我国网络用户数规模已经达到10.4 亿，网络信息泄露已经成为不容忽视的问题，在这一背景下探究虚拟专用网络技术在保护网络信息安全方面的具体运用策略成为一项热门研究课题。

1 虚拟专用网络技术的应用优势

虚拟专用网络是一种基于物理网络建立的功能性网络，由于不需要布设硬件通信设备，可以大幅度降低网络使用成本。同时，虚拟专用网络传输的信息都是经过加密处理的，拥有更好的私有性，显著提高了对非法访问的抵御能力，因此在信息安全性方面也优于完全开放的互联网。从用户角度来说，虚拟专用网络的运行模式和工作方式是完全透明的，使用虚拟专用网络技术可以帮助不同用户打破地域空间的壁垒，建立起通信联系，以局域网的形式实现可靠连接、安全通信。用户可以根据信息的重要程度，或者信息的具体类型，选择不同的虚拟专用网络技术（如加密技术、隧道技术等），保证数据在网络间传输时不会被第三方窃取。另外，常规的计算机网络通信在传输信息时，即便是没有受到黑客的攻击，也有可能因为电磁干扰等原因导致信息丢失。相比之下，虚拟专用网络则具有更强的抗干扰能力，对解决信息失真问题、信息丢失问题也有显著效果。

2 网络信息安全中常用的虚拟专用网络技术

2.1 加密技术

计算机网络信息的泄露或破坏多见于两种情况：一种是在信息的存储期间，因为存储介质（如磁盘、硬盘）损坏导致信息丢失；另一种是在信息的传输期间，因为遭到黑客供给导致信息泄露。基于虚拟专用网络的加密技术就是针对上述第二種情况，提前将需要在网络中进行传输的信息进行加密处理，然后再将其从发送端传输至接收端。在网络传输期间，即便是该信息被第三方拦截，只要没有获得用于解密的密钥，就可以保证信息的隐私与安全[1]。根据加密方式的不同，该技术又可分为主动加密、被动加密两种。所谓主动加密，是信息的发布者出于安全方面的考虑，使用加密软件或加密工具对待传输的文件信息做加密处理；而被动加密则是计算机系统按照设定的程序自动对文件信息进行加密，如磁盘加密。在计算机网络信息传输中加密技术的应用流程如下：信息的发送者首先使用公钥将准备发送的文件加密，使其转换成密文，然后通过网络发送给接收者。在网络传输过程中，如果该文件被非相关的第三方截取，打开文件后只能看到一串乱码，而无法从文件中获取任何有价值的信息，间接的保护了信息安全。当该文件正常被接收者接收后，再使用配套的密钥对文件进行解密，成功解密后即可得到原文件，顺利读取文件信息。在虚拟专用网络中，加密技术通常与隧道技术配合使用，起到保护保护隧道的作用。当用户使用隧道传输信息时，可以避免正处于隧道内的信息遭受黑客攻击，从而解决了信息泄露、盗用、篡改等一系列问题的发生，切实保护了数据信息的安全。

2.2 身份认证技术

不明身份的、未获得授权的用户恶意访问网络，是导致计算机网络信息安全问题的一种常见因素。另外，黑客也经常会选择冒用用户身份的方式登录计算机、访问服务器。应用虚拟专用网络中的身份认证技术能够最大程度上避免此类问题的发生，也是一种保障网络信息安全的常用技术手段。身份认证技术可以应用到不同方面，如在计算机登录过程中应用身份认证技术，可以拒绝无访问权限的用户登录计算机进行越权操作；或者是在打开加密文件时应用身份认证技术，未通过认证的用户无法获得打开文件的权限，从而避免文件信息的泄露。从功能上来看，身份认证除了可直接用于数据信息的保护外，还能作为提供数据源认证的一种方法。

身份认证的实现途径主要有以下4 种。

一是基于已知的口令、密码等进行身份认证。例如：用户在接收来自网络的传输文件后，想要对已经加密的文件进行解密，必须要提供相应的密码、密钥进行身份验证；如果能够验证通过，即可完成解密，顺利获取文件信息。

二是基于令牌、智能卡等进行身份认证，比较常用的是动态口令。用户持有的动态令牌每隔一段时间刷新一次口令，用户需要在规定时间内输入匹配的口令进行身份认证。

三是基于用户的一些个人特征，如指纹、声音、虹膜、脸型等进行身份认证，是目前比较成熟并且安全性较好的认证技术。

四是双因素或多因素认证，即采用上述两种或多种认证技术的组合，在保护重要涉密信息等方面有着广泛应用。

2.3 隧道技术

隧道技术是虚拟专用网络技术的基础，使用隧道协议封装的数据帧或数据包，在互联网上传递所经过的路径，称之为隧道。根据配置的不同，隧道有自愿隧道与强制隧道两种类型。自愿隧道就是从客户端发送VPN 请求，在网络服务器接收到该请求后，自动配置并创建的一条隧道。客户端计算机与网络服务器在遵循隧道协议的基础上，使用一条IP连接，然后双方就能进行信息传递。而强制隧道则是由VPN拨号接入服务器后，再配置和创建的一条隧道。这种模式下客户端不再是隧道的端点，而是由位于客户端和隧道服务器之间的远程接入服务器作为新的客户端[2]。

在隧道技术中，隧道协议是客户端和服务器双方之间创建隧道的关键。现阶段应用比较广泛的隧道技术执行的隧道协议主要有双层协议和多层协议2 种，双层隧道协议是以“帧”作为信息交换载体，像PPTP、L2TP 等都是双层协议的常见类型，其特点是将需要传输的信息封装在点对点协议帧中，然后再通过互联网进行发送。多层隧道协议则是以“包”作为信息交换载体，像IPSec 和IPover 等都是多层协议的常见类型，其特点时间IP 包封装在附加的IP 包头中，然后借助于IP网络进行传送。

作为PPP（点对点）协议的扩展，PPTP 协议（点对点隧道协议）可用于身份验证、数据加密，保证信息在公共网络传输时不被泄露。使用PPTP 建立连接的VPN 服务器和远程计算机之间相互传递数据时，首先将待传输的信息封装到一个执行PPTP 协议的数据包中，然后在互联网中传输。等到该数据包到达目的地后，再将其还原成TCP/IP 或IPX 数据包，解密后即可重新获得原始信息，这样就确保了网络信息在传输期间不容易被截取，即便是被截取也会因为无法正常解析数据包从而保证了信息的私密性与安全性。

2.4 密钥管理技术

密钥管理与密钥算法、密码协议是构成密码系统安全的3 个核心部分，目前在计算机网络安全领域常用的密钥管理技术有两种，即对称密钥管理和公开密钥管理。

使用对称密钥管理时，要求网络信息的发送方和接收方要使用一套完全一致的密钥，并且保证密钥在交换过程中绝对可靠。如有必要，还可以设定防止密钥泄露或篡改的程序。只要保证了密钥的安全，经过密钥加密处理后的网络信息，就无法被第三方破译，从而保证了网络信息的隐私性。由此可见，在应用对称密钥技术时，做好对称密钥的管理显得至关重要。一种常用的、相对简单的对称密钥管理方法为：发送方为每次发送的信息生成唯一一把对称密钥，同时用公开密钥对对称密钥进行二次加密；然后将加密后的密钥和使用对称密钥加密后的信息，同时发送给网络信息的接收方。这样一来，每次信息发送都会产生唯一的密钥，并且当接收方使用密钥进行信息解密后，该密钥立即失效。信息传递的双方不必担心密钥泄露或过期，从而保护了网络信息的安全性。

使用公开密钥管理时，网络信息的发送方和接收方可使用公开密钥证书进行公开密钥的交换。目前国际上关于公开密钥证书的执行标准已经较为成熟，除了国际电信联盟（ITU）制定的X509 标准，还有国际标准化组织（ISO）与国际电工委员会（IEC）联合制定的ISO/IEC 9594-8：195 标准[3]。符合上述标准的公开密钥证书包含证书发布者名称、证书序列号、证书所有者名称等相关信息。利用公开密钥证书可以识别对方身份，如果对方不是网络信息发送者设定的信息接受者，则不允许查看信息内容，达到了保护网络信息安全的效果。

2.5 IPSec协议

IPSec（IP Security）作为一种适用于IPv4 和IPv6 的协议，可有效保障数据在存储、读取、传输等过程中的机密性和安全性。从功能实现方式上来看，IPSec 的原理与包过滤防火墙有一定的相似性，它能通过查询SPD（安全策略数据库）选择相应的方案妥善处理接收到的IP 数据包。在具体的处理方式上，有丢弃、转发和IPSec 处理3 种。包过滤防火墙可以拒绝存在威胁的IP 数据包访问计算机网络，也可以拒绝计算机网络访问某个存在已知风险的外部网站，但是无法保证从计算机网络发送出去的数据不被拦截。相比之下，IPSec 处理则能够对IP 数据包进行加密和认证，这样就保证了在主机上完成加密和认证的数据包，即便是在外网传输的过程中被第三方拦截，也无法顺利解密，从而保证了数据包的完整性、机密性。

在使用IPSec 协议对IP 数据包做加密、认证处理时，有2 种可供选择的工作模式，分别是隧道模式、传输模式。隧道模式就是将IP 数据包看作是一个整体，首先对数据包进行加密或认证，然后生成一个新的IPSec 头部，并将其放置于IP 头部和IP 数据包之间，相当于提供了双重保护，让IP 数据包在传输过程中的安全性得到了极大的提升。传输模式则是选择IP 数据包的有效负载做加密或认证处理，处理方法是将IPSec协议的头部插入传输层中。

3 虚拟专用网络技术在网络信息安全中的应用

3.1 在远程访问中的应用

由于互联网具有完全开放的特性，这就意味着用户在使用互联网进行远程访问时，发送和接收的信息都有可能被第三方窃取、拦截或篡改。为了保证远程访问的安全性，需要应用到虚拟专用网络技术。如果用户的访问模式是“点对点”访问，那么可以在物理网络的基础上搭建私有网络，并使用虚拟专用网络技术对私有网络进行加密保护。一方面，由于实现了专网专用，因此在异地办公、远程访问中信息传输效率会得到显著提升；另一方面，私有网络本身具有私密性，再加上VPN 技术提供的安全保护，可以最大程度上保证网络信息的完整性和安全性[4]。

3.2 在企业内部中的应用

在“互联网+”时代，企业内部ERP 系统、OA 系统的应用，让各个部门之间的信息交流和资源共享变得更加频繁。虽然企业各个部门之间的信息传递是基于局域网（内网）进行的，但是由于企业信息具有较高的商业价值，容易成为不法分子觊觎的对象，因此也有一定的泄露风险。将虚拟专用网络技术应用到企业内网信息安全中，一方面，能够打破部门之间的信息壁垒，让业务信息、财务信息能够实现共享，方便了企业业务、财务等工作的开展；另一方面，在虚拟专用网络技术的加持下，可以实现对企业内网的全面监控和动态保护。例如：使用虚拟专用网络身份认证技术，通过认证用户身份，不仅可以筛选出访问者是否为企业职工，避免了非企业职工的非法访问；而且还能进一步判断访问者的权限，然后根据其权限提供相应的服务，避免企业职工越权访问、越权操作，对防止企业涉密信息的泄露、保护企业重要信息的安全也有积极帮助[5]。虚拟专用网络技术已经成为现代企业保障网络信息安全不可或缺的技术之一。

3.3 在高校管理中的应用

在“互联网+教育”深度融合过程中，校园网络已经渗透到学习、生活、娱乐等方面，加强高校网络信息安全管理显得变得尤为重要。虚拟专用网络技术在高校计算机网络信息安全管理方面的应用主要体现在以下几个方面。

3.3.1 在高校财务管理中的应用

高校可使用虚拟专用网络搭建校园财务信息系统，防止财务信息、会计数据泄露、篡改等问题，为财务管理的高质量开展提供良好的网络环境。尤其是对于有多个校区的高校，在搭建校园财务系统后建立覆盖各个校区的VPN 网络，将不同校区的财务数据实时传递到中心财务数据库，既满足了校园财务管理的即时性要求，同时也切实保障了财务数据的传输安全和存储安全。在虚拟专用网络技术的加持下，像学费收缴、工资管理、个税代扣代缴等财务管理内容，都可以基于校园财务系统高效、安全的办理。

3.3.2 在高校网络安全维护中的应用

高校网络系统中保存了海量学籍信息，为保护学生信息隐私，需要应用虚拟专用网络保障数据的存储和传输安全。利用二层协议网络与校内局域网连接，再配合核心交换机技术保障学生在登录校园网络系统时不会泄露个人账号和密码，保护个人信息的安全。如果条件允许，高校还可单独配置VPN 服务器，发挥类似防火墙的功能，当校园网与互联网建立连接并且接受来自互联网的信息请求后，能够利用VPN 服务器对所有请求进行过滤，对内外网之间的传输信息进行加密，切实保障校园网络的安全性[6]。

3.3.3 在高校数字图书馆资源访问控制中的应用

高校数字图书馆通过整合、共享优质图书资源，满足了高校学生获取课外知识的需求。但是数字图书馆在使用过程中也面临着信息资源滥用的问题，一些不法分子通过冒用学生账户恶意批量下载文献。应用虚拟专用网络技术后，高校利用VPN 网关的审计、日志、报告等功能，可以对每一名访问数字图书馆的用户进行流量监控，如果出现下载流量异常增加的情况，VPN网关设备可以撤销该IP 的下载权限，从而达到资源访问控制、保护数字图书资源安全的效果。

4 结语

计算机网络通信中因为遭到黑客攻击等原因，经常会出现数据信息丢失、损坏的情况，对用户的个人隐私和财产安全均构成了威胁。为切实保障网络用户的合法权益，在计算机网络通信中必须要采取技术手段保障信息安全。虚拟专用网络技术具有通信效率高、安全性好、操作便捷等一系列特点，可以提高远程网络通信安全。现阶段，虚拟专用网络技术中的加密技术、隧道技术、身份认证技术等，能够分别从数据存储、数据传输、外部访问等方面采取保护措施，打造了一个安全、高效的通信网络。下一步，虚拟专用网络技术还将与人工智能、区块链等前沿技术进行深度融合，從而在智能识别非法入侵、防止网络信息篡改等方面进一步提高对计算机网络信息安全的保护能力。