1 VPN技術簡介
1.1 VPN的概念
VPN (Virtual Private Network虛擬專用網絡) 是利用隧道封裝、認證、加密、訪問控制等多種網絡安全手段, 在公用網絡上建立起專用鏈路的網絡安全技術。虛擬專用網絡可以實現不同網絡的組件和資源之間的相互連接。虛擬專用網絡能夠利用互聯網或其它公共互聯網絡等基礎網絡資源為用戶創建專用的安全隧道[1]。
1.2 VPN的分類
按業務分類V P N共有三種類型, 它們分別是遠程訪問虛擬專網 (Access VPN) 、內部虛擬專網 (Intranet VPN) 和擴展的內部虛擬專網 (Extranet VPN) 。按實現技術分類, 工作在鏈路層的隧道協議:點到點隧道協議 (PPTP) 、第二層轉發協議 (L2F) 、第二層隧道協議 (L2TP) 。工作在網絡層的三層隧道協議:如通用路由封裝協議 (GRE) 、IP安全協議 (IPSec) 。介于二層和三層之間的隧道協議:如MPLS隧道協議。工作在應用層的安全協議:如SSL協議。
2 VPN技術在軍用網絡中的應用研究
依據虛擬專網的實現方式, 結合部隊的實際需要, V P N技術在軍用網絡中的運用可有以下幾種方式。
2.1 構建點到點的安全通信鏈路
軍網通信過程中, 用戶間往往要構建端到端的安全傳輸通道。在構建端到端的安全鏈路中可選取應用于網絡層的IPSec協議。構建對端安全鏈路過程中, 可將IPSec協議嵌入到安全鏈路兩端的接口設備中, 通過該接口設備將計算機與軍用網絡連接, 通過AH和ESP等協議, 實現數據的身份認證、加密處理、解密處理。
保密設備由網卡芯片與IPSec芯片構成, 包含網絡協議解析、身份認證、密鑰隨即生成、加解密編碼四部分模塊組成。在進行通信時, 首先要對雙方進行身份認證, 若為非法用戶則斷開邏輯鏈接, 對于合法用戶則為雙方同步生成隨機的工作密鑰, 此后發送方用此密鑰對通信數據進行加密, 而接收方亦用相同的密鑰進行解密。
2.2 構建單用戶到內部局域網的安全訪問通道
當軍網用戶想要訪問某軍事單位內部資源時, 需要構建一條單用戶到內部網絡的安全訪問通道。安全訪問鏈路構建可用L2TP、IPSec雙重安全協議[3]?;贗PSec的L2TP具有兩種隧道類型, 自發型隧道和強制型隧道。強制隧道需要有服務提供商ISP提供認真服務器, 在這種環境下, 存在二個認證服務器, 即ISP內的認證服務器LAC和內部網內的認證服務器LNS。自愿隧道模式用戶主機充當了LAC, 用戶自主對L2TP進行配置和管理[4]。
軍用網絡中構建訪問型V P N時, 在具有信息資源優勢的軍事單位內部網絡中建立認真服務器L N S??紤]軍用網絡中操作的可行性, 將L2TP和IPSec均安裝于遠程用戶主機上, 由遠程訪問用戶充當LAC, 遠程用戶發送訪問請求到LNS, 經驗證后, 搭建立L2TP鏈路。
2.3 構建局域網間的安全通信鏈路
由于軍事單位所處地域分散, 各機要單位或密級較高的軍事單位內部局域網與局域網之間的安全通信, 依托軍用網絡構建一個安全、便捷、低成本的專用線路, 連接各單位內部局域網, 是解決這一問題的有效途徑。
以IP安全協議體系IPSec為基礎, 面向網關到網關的V P N應用環境, 設計了一種基于IPSec協議的VPN網關。安全網關的設計原理為, 將IPSec協議與IP層相結合, 形成IPSec+IP協議, 對流入網關的數據包, 進行身份驗證和解密處理等處理。
3 結語
將V P N技術運用到軍用網絡中, 在軍用網絡與互聯網物理隔離的基礎上, 又增添了一道防御措施, 有效地保證軍事信息的安全傳輸。但隨著各類VPN技術的運用, 存在著需構建與軍用網絡相適應的管理機制和服務提供單位制的問題, 相信隨著研究的繼續深入, 將會得到解決, 進一步提升部隊信息化建設程度。
摘要:隨著軍隊信息化建設的深入開展, 軍用網絡在部隊建設中發揮的作用也越來越明顯, 因此保障軍用網絡的安全對于提高部隊信息化建設水平、保障軍事信息的安全傳輸具有十分重要的意義。本文通過研究不同種類的VPN并分析軍用網絡的安全需求, 將虛擬專網技術運用到軍用網絡的安全保障中去。
關鍵詞:軍用網絡,VPN,網絡安全
參考文獻
[1] 戴宗坤, 唐三平.VPN與網絡安全[M].北京:電子工業出版社, 2002.
[2] 焦秋光.軍事裝備管理學[M].北京:軍事科學出版社, 2003.
[3] 王達.網絡安全[M].北京:電子工業出版社, 2006.
[4] 姜穎.基于IPSec和L2TP的訪問型解決方案研究[J].電腦知識與技術, 2009.