得安虚拟专用网系列产品 (SJW60,SQY21) 技术白皮书

2.4 VPN的安全最大化

在当前的计算机世界里，计算机和网络已经密不可分。如何在复杂的计算机环境中达到安全性目的，并不能通过实施VPN来获得。计算机环境的安全性是整体的安全性，计算机环境的安全必须从整体的层次考虑。

VPN技术能够做到网络数据传输过程中数据的机密性和完整性，但如何保证VPN网络不被恶意攻击和侵入，保护VPN网络中的数据免遭破坏，是VPN网络成功实施前最需要考虑的问题。

2.4.1 VPN身份验证时的安全性考虑

VPN设备或软件在建立VPN之前有一个身份验证的过程，VPN通讯双方首先确定对方是自己可以信赖的连接对象。目前这种身份认证过程主要通过两种手段来实现：

预共享密钥（pre-shared key）方式：预共享密钥方式是当前采用比较多

也是最不安全的一种方式。它预先为VPN连接双方设定同样的密钥，以此作

为VPN连接双方建立VPN前相互信任的凭据。譬如说，A和B要建立VPN通信，

如果使用预共享密钥的方式，可以在A中设定密钥为“1234”，B中设定密

钥为“1234”，此密钥“1234”就是预共享密钥。A和B在建立VPN通信之前

互相出示自己的预共享密钥，如果双方的预共享密钥相同，则两者可以达

成互相信任的关系，在此基础上可以建立VPN通道。

数字证书方式：数字证书方式是当前用的比较少也是最有应用前景的一种

方式。目前公钥基础设施（PKI）在世界范围内迅速兴起，通过数字证书体

制能够很好的解决VPN建立之前的身份验证问题。每一个要进行VPN连接的

设备或者软件持有一个数字证书和与此对应的私钥，在进行身份验证的过

程中，双方都要验证对方的证书和私钥，以确定是同一个信任机构签发的

证书，如果是同一个信任机构签发的，那么双方即存在信任关系。在确定

信任关系后双方即建立VPN通道。

在上面所讲述的预共享密钥的方式中，存在一个很大的安全隐患，在于预共享密钥的方式安全性非常低。以预共享密钥中的例子为例，假如存在一个怀有恶意的C，它通过穷举的方式猜到了预共享的密钥“1234”。那么C将完全有能力和A或者B建立信任关系从而建立VPN通道，这样C便能够如同在一个局域网内一样方便的访问到A地址：济南市高新开发区舜华路得安科技大厦 邮编：250101 电话：0531-8873355 传真：0531-8873355 7 网址：