VPN的安全性评估与检测

陈斌

摘要 随着计算机技术的广泛普及，VPN这一网络安全保障技术得到了大范围的应用和发展。基于此，本文首先从用户端接入、数据信息传输、专网资源访问三个角度入手，阐述了VPN安全性的评估层面：其后，围绕检测工具结构、检测模块功能两个方面，重点分析了VPN的安全检测方案设计。意在通过本文的研究，为VPN设备日后的安全稳定发展提供理论贡献。

【关键词】VPN设备 数据传输 安全阈值

21世纪是信息与网络的时代，无论是企业、政府还是个人，都逐渐呈现出了电子化的行为发展趋势。随之而来的，网络信息的安全问题也越来越突出，对人们的生产生活构成了较大威胁。此时，应用了密钥技术、访问控制技术、安全信道技术等多种保护措施的VPN被开发出来，在很大程度上为人们的网络应用需求提供了安全保障。所以，我们有必要对VPN安全性的评估与检测进行分析研究。

1 VPN安全性的评估层面

1.1 用户端接入的安全层面

基于VPN工作的特殊性，检测人员必须要对其用户端口的接入安全提起重视。一旦有非权限用户通过密码破译等方式进入到VPN所连接的专用网络当中，将会导致内网中的大量数据暴露到不法分子视野内，继而造成严重的信息泄露问题。但与之不相符的是，当前中低端的VPN设备受到技术类型、构建成本的限制，同时也为了适应专业操作能力不强的用户群体，大多只设计出“ID-密码”这一简单的权限验证方式，为数据信息从接入端泄露埋下了隐患。

1.2 数据信息传输的安全层面

市面上绝大部分的VPN都配备有数据加密功能，以保障用户数据在通信传输过程中的安全稳定。但由于应用加密方式的技术等级和加密效率各不相同，应用DES、3DES、AES等不同加密算法的VPN会呈现出参差不齐的安全性能，故相关检测人员也应将数据传输的品质纳入到评估标准当中。

1.3 专用网络资源的访问安全层面

当前大多数的VPN产品只对用户端的初步接入权限进行评估处理，而缺乏对用户网络资源访问当中的二次限制。这就使得供应商、合作方等非企业人员通过VPN进入企业内网时，可享受到与企业内部人员相同的资源服务待遇，继而为企业信息资源的流出造成了一定风险。据此，在实际的检测管理工作中，相关人员也应将VPN的权限分配纳入到安全性评估标准当中。

2 VPN安全性的检测方案设计

2.1 检测工具的结构设计

通常来说，VPN安全性的检测工具主要由多核测试程序和上位机控制程序两个环节构成。其中，多核测试程序的作用在于接收和响应上位机控制程序发出的安全检测指令，并将响应的测试内容“打包”发送到VPN端上;上位机控制程序的作用在于通过Windows系统界面与VPN用户实现信息交互，并将用户的要求转换为具体指令发送到下位各检测环节当中。

具体来讲，VPN安全性的检测流程应经历以下几个步骤：

（1）上位机控制程序收到来自用户的检测任务，并将任务要求封装制成指令数据，通信到多核测试程序的网络端口当中;

（2）多核测试程序在接到任务指令后，对其内容进行解构，将解析出的字段信息转送到系统的采集节点当中;

（3）指令信息经过节点的进一步处理，传送到被检测VPN端上;

（4）数据包对VPN设备实施安全检测处理，并将处理结果由采集节点反馈给上位机控制程序，最终将其直观地呈现到用户面前的计算机系统界面当中。

2.2 检测模块的功能设计

2.2.1 密码算法检测模块

VPN系统的实际执行能力是否与其内置密码计算方案相符，是VPN设备开发者和使用者共同关注的话题。对于这一问题因素的检测，最简单的方式是使用相关软件模拟出设备的算法方案和运行条件，继而将软件模拟结果与VPN设备的实际情况进行对比，即可发现其执行能力与密码方案之间的出入情况。所以，可将设备模拟软件应用到检测体系的功能模块当中，从而实现对VPN密码安全性的快速检测。

2.2.2 密钥变更检测模块

在密码算法的基础上，VPN设备会根据一定的周期，对网络端口的准入密钥进行变更，以防止外部人员端口的入侵。對于这一模块的功能设计，可从密钥变更的时间间隔入手，通过持续向VPN设备发送相同的数据样本，并通过技术手段截取VPN密钥处理后的数据包信息。通过对比不同时间下数据包中的密文变更情况，即可推算出VPN密钥变更行为的有效性，并分析出其具体的变更周期。具体来讲：

首先，要设定出安全检测所使用的数据样本，其代码长度应与VPN内置加密算法的分组长度相似。设定之后，便可将数据包发送给VPN设备，并保存数据样本的原文件;其后，截取到VPN密钥处理后的数据包，并将其与原数据包文件相互比较，若二者一致，则说明VPN的密钥尚未发生更改;若二者不一致，则视为VPN密钥已经更改。此时，结合原文件的发送时间以及截取数据包的生成时间，就可判断出VPN密钥变更的间隔时间;最后，如果处理后的文件并未发生改变，检测模块则应继续对VPN设备进行数据包发送，直至反馈数据发生变化，并记录出准确时间。

2.2.3 渗透测试模块

渗透测试模块主要检测的是VPN在面临黑客入侵、病毒攻击等突发情况时，其安全性的稳定能力。所以，检测者在设计这一功能模块时，应站在黑客的角度上，假想出VPN设备可能被攻击的MAC地址、TCP协议端口号、IP地址等任何一个方向，并据此模拟出由浅入深、多种强度的黑客攻击行为。当渗透成功时，检测行为应立即停止，并记录下此时VPN的整体状态，即VPN应对外部攻击的安全阈值。

3 总结

总而言之，VPN技术在当前仍处于完善阶段，此时进行有效的安全性评估和检测手段，有利于促进VPN整体性能的快速、稳定发展。由本文分析可知，通过合理的安全程序设计，加之有效的密码算法和密钥技术检测手段，能有效获取到VPN设备的密钥变更间隔，明确VPN防御能力的安全阈值，实现检测体系的不断完善，为VPN后续的调整和优化工作夯实基础。

参考文献

[1]史汉嶂.VPN设备若干安全性及性能的测试工具设计与实现[D].西安电子科技大学，2012.

[2]从三个层面评估VPN方案的安全性[N].计算机世界，2004-06-14 （C14）.