VPN网络安全技术在云计算中的应用

摘要：随着云计算业务和技术创新的日益繁荣以及云计算系统的规模宏大，包含了大量用户的私密数据，加之其前所未有的开放和复杂性，导致其信息安全面临比传统信息系统更强大的挑战。文章对VPN主要网络技术进行了回顾，并结合其在安全方面的优势和特性，对构建云计算网络环境及应用进行了探索，结合在电力系统领域的实践成效表明，VPN能有效构建安全可信、经济成本的云计算网络，有效保障并提升了云计算环境下的网络安全水平。

关键词：云计算；传输安全；VPN虚拟专用网；智能电网

中图分类号：TM64文献标识码：A

ApplicationofVPNNetworkSecurityTechnologyinCloudComputing

HuangHaiLiChaoZhouZhenliangLiZhenxi

BeijingPuhuaInformationTechnologyCo.，Ltd.Beijing100070

Abstract：Withtheincreasingprosperityofcloudcomputingbusinessandtechnologicalinnovation，aswellasthescaleofcloudcomputingsystems，whichcontainalargenumberofusers'privatedata，coupled withtheunprecedentedopennessandcomplexity，theirinformationsecurityfacesmorepowerfulchallengesthantraditionalinformationsystems.ThearticlereviewsthemainnetworktechnologiesofVPN，andexplorestheconstructionofcloudcomputingnetworkenvironmentandapplicationsbasedonitsadvantagesandcharacteristicsinsecurity.Combinedwithpracticalresultsinthefieldofpowersystems，VPNcaneffectivelybuildasecure，trustworthy，andcosteffectivecloudcomputingnetwork，effectivelyensuringandimprovingthelevelofnetworksecurityincloudcomputingenvironments.

Keywords：Cloudcomputing；Transmissionsecurity；VPNVirtualPrivatenetwork；Smartgrid

目前，云计算产业及其技术的发展非常迅速，得到了政府、产业界以及学术界的广泛关注和大量投入。然而，云计算应用的安全问题也日趋明显，这使得人们对其安全性的疑虑也在增加。随着云计算业务和技术革新的快速发展，加上云计算系统的庞大规模，承载的用户数据众多，以及前所未见的开放性和复杂性，其所面临的信息安全威胁远超过了以往的传统信息系统［1］。

云计算环境安全管控离不开通信网络的规划和设计，VPN（VirtualPrivateNetwork，虚拟专用网络）采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术，对公共网络如互联网进行规划设计建立了临时、安全、可加密、可认证的可信虚拟网络，能有效地构建云环境的网络架构［2］。由此，文章研究了VPN的关键技术特点，并探索了VPN在云计算环境应用要求，结合在电力系统中的实践研究，为VPN在云计算网络环境安全提升提出了建设性思考。

1VPN与云安全

云计算建立了一个数据储存、管理与传递的新模式。因为，它的到来将产生更多的“胖”数据中心和“瘦”终端，将用户的数据都储存到了云计算数据中心，也就代表着将有大量的数据通过互联网进行传输，在此背景下，只有让用户数据传输具有充分的可靠性和保密性，才能让云计算真正服务于大众。为了保证云计算环境下数据的传输安全，可以充分借鉴或利用VPN这类网络安全技术的现有研究成果对云计算网络环境进行规划设计，以构建起安全可信的云计算网络［3］。

2VPN工作原理

VPN在公网上建立了一个临时性安全连接，这个公网通常指的是Internet，而这一技术成就了一个安全且稳定的个人虚拟广域网，它利用公共的网络来完成，这里的虚拟指的是它不用专用的、现实的电缆或者电线连接，而是实用公共网络。所说的“私有”，用户根据自己的需求，订制的一条专有的虚拟网络。VPN的核心是隧道技术。隧道是依靠IPinIP或IPXoverIP等技术完成的就是将一个数据包作为另一个IP包的负载来处理，如图1所示。网络隧道协议主要分成两类，其中二层网络隧道协议是一种隧道协议，三层网络隧道协议是用来传输三层网络协议的，并在创建和扩大公司内部的虚拟专用网络中发挥作用。其中，著名的IPSec协议就是三层隧道协议的一个例子［4］。

隧道包括以下三类：（1）网关之间创建的隧道，传输的加密信息由两个或者多个网关之间进行加密解封；（2）主机与主机之间建立的隧道，隧道终止于两边的防火墙等设备；（3）主机与网关之间的隧道，用户PC终端到企业服务器建立隧道进行保密传输，具有更高的安全性。在IPv4环境中，需升级PC的网卡设备支持IPSec，才能实现“端到端”隧道；而在IPv6环境中，由于IPv6内嵌了IPSec协议，所以更容易实现［5］。

VPN网络中需要配备多台认证服务器，最核心的服务器就是远程拨入用户认证服务器（RADIUS），VPN设备会根据RADIUS内的数据库信息对用户访问权限进行控制，与此同时，RADIUS服务器还会对被访问的设备发送虚拟专网中用户的地址、用户最长接入时长、用户被允许使用的拨入电话号码等。VPN设备会依此进行用户身份认证，如果认证成功，则允许建立隧道通信。

VPN不需要某一方提供专用通信线路或者租用ISP的专线，但是它却有相似的传输数据的功能。总体而言，VPN应具有以下特性：（1）成本低：投资小，只需购买相关的VPN设备，并向本地ISP购买一定带宽的接入服务；（2）高可用性：通过购买ISP的宽带接入服务，部分维护责任迁移至ISP。如果公网中的一个VPN节点坏了，可以使用公网的另外一个节点代替；（3）高安全性：通过加密技术使数据包在公网上安全地传递，甚至实现端到端的安全性；（4）高可扩展性：可从公网动态申请网络资源，进行VPN的动态扩展和维护，有利于保护投资，降低网络投资成本［6］。上述特性中，安全特性为VPN各类产品中最重要的特性。

3VPN关键技术

由于VPN是在不安全的Internet中实现，因此必须采取一系列的安全机制来实现VPN的安全通信。VPN的关键技术包括：隧道技术、加解密认证技术、密钥交换和访问控制技术等。

3.1隧道技术

隧道技术主要包括：IP安全标准、GRE（GenericRoutingEncapsulation，通用路由封装协议）和PPTP（PointtoPointTunnelingProtocol，点对点隧道协议）。

（1）IP安全标准，简称IPSec，早期为ipv4，后期主要指ipv6，主要由密钥管理和安全协议构成。IPSec为IP层安全提供保障，通过验证身份、保密性检验和完整性校验等方式为数据源提供保护［7］。安全载荷（ESP）和认证头（AH）被封装在安全协议里，以实现安全保护，其数据包格式如图2、图3所示。ESP为数据提供完整性及机密性保护，AH为数据提供完整性保护。IPSec使用IKE（Internet密钥交换）技术完成安全参数的协商。

IPSec在两个节点之间建立了SA（安全联盟），并规定了保障数据传递过程中应用的协议、策略、有效管理时期的重要因素。在传输过程中，一旦数据经过了重新阐述，将会产生新的AH、ESP或附加报发，这个报头就会被封密，并把已加密后的用户数据包括到新的原IP数据包内。在传输模式中，附加报发的计算只依据原传输层（如UDP和TPC等）的数据，在原IP报头中则计算已加密的原传输层数据和附加报发［8］。

IPSec在数据安全传输通道的端点实施安全防护，能够形成多个SA（安全联盟），并通过访问控制方案，执行各种差异化的数据保全策略。SA是具有单向性的，在两个端点进行安全数据传输时，每个端点都有两个SA，一个是接收数据包，一个是发送数据包。IPSec的SA可以手工配置和IKE的自动配置。

（2）GRE是一种网络之间封装数据包的协议，它可以把一种网络协议封装在另外一种网络协议里，它可以实现路由和另一个路由之间通信，也可以一端路由到多端路由进行数据传输。在VPN的技术结构中，常规主机网络能够借助地址和路由建立的物理连接，形成众多的数据传输通道。在GRE的传输技术里，主要采用常规主机网络地址作为起始地址，而VPN和主机网络的交互节点可作为GRE通道的起点和终点。这种技术可以把VPN的路由数据和网络主机的路由数据分隔开来，那么多个VPN可以同时用同一个空间地址［9］。

GRE隧道技术有很多优点，但也有不可克服的缺点，它的配置都是由人工手动配置的，每次隧道的终点发生改变，都需要人工配置，隧道的规模数量又大，所以它的管理成本特别高。随着技术的发展，现在也可以实现自动配置，但是不稳定，它不能考虑路由信息，容易产生回路，路由效率将大幅度下降。

（3）PPTP技术于1996年基于PPP技术诞生。其运行原理包括PPP协议对数据进行封装，随后PPTP隧道协议对PPP的信息进行密封，最后将其集成至ATM、帧中继以及IP消息中［10］。

首先，顾客通过电话拨号方式连接到互联网，接下来将与网络接入服务器产生连接以获得网络服务。其次，顾客将应用路由器搭建PPTP服务器，并与其产生联接。顾客会通过一个PPTP的虚拟接口与PPTP服务器形成连接，借此构筑一个PPTP访问服务的通道。最后，顾客的VPN服务就是借助这个通道获取的。PPTP可控制数据流量，数据传输更加顺畅稳定。PPTP加密采用点对点加密，算法采用40位或者128位密钥。

1996年，L2TP（LayerForwarding）的数据传递隧道协议问世，主要应用于拨号访问服务器和Cisco路由器。到了1997年末，PPTP隧道协议和L2TP隧道协议融合，形成了L2TP（LayerTunnelingProtocol）隧道协议。L2TP可支持更多协议，利用公共局域网对PPP帧进行封装，以达到与企业内既有的非IP网络的融合。此外，L2TP也延续了PPTP的流量功能，并支持MultilinkProtocol技术（MP），将几个物理信道融合为一条逻辑信道。L2TP依托PPP的可靠性来确保数据包的可靠传送。L2TP隧道在两VPN服务器间使用CHAP口令握手协议进行身份核实。

L2TP构建过程包含以下步骤：首先，用户借助Modem与NAS（NetworkAccessServer）建立连接；其次，用户会在NAS的L2TP接入服务器上进行身份鉴别；再次，基于管理配置文件或者NAS与政策服务器之间的谈判，NAS以及L2TP接入服务器有能力动态生成一个L2TP通道；接着，用户和L2TP接入服务器构造一条点对点协议（PointtoPointProtocol，PPP）的接入服务隧道；最后，用户可以利用这个隧道实现VPN服务的获取。

在创建VPN时，PPTP将与NAS连接，并由NAS进行控制。然而，当L2TP被用来连接服务器时，它能够识别出用户的地址，使得L2TP在安全性上超越PPTP。因此，对于那些比较稳定并集中的用户，L2TP更为合适；而对于那些流动性强的个人用户，PPTP会更适宜［11］。

3.2加解密认证技术

VPN安全传输技术中数据在隧道的起点进行加密，在隧道的终点进行解密。这样可以不被非法用户入侵，保证数据安全。

一般来说，VPN常常使用DES和3DES算法来执行加密和解密，但是这种方式有许多缺点，如大量密钥难以管理，传输过程有风险等。然而，通过采用混合加密体系（加解密使用单钥密码，密钥传输使用双钥密码）可以加快传输速度，同时也能很好地保护信息的保密性。

认证技术可以有效地防范恶意攻击，进行数据交换的双方在传输数据前，先进行认证，双方的数字证书符合认证后再开始交换数据。口令认证是最常用的身份认证技术方式，而设备认证是通过CA颁发的电子证书。认证方式有很多，如动态令牌、质询握手验证协议CHAP和X.509数字证书等［12］。

3.3密钥交换技术

IKE是由IPSec定义的特定密钥交换方式，其结合了ISAKMP、OAKLEY及SKEME技术，令其在数据验证加密生成与协议共享策略商讨技术方面拥有独一无二的特性。IKE协议之所以能提供各类交换模式和相关选项，都归功于其运用的哈希函数以及对称和非对称的加密模型。主要模式和积极模式是它定义的两个密钥交换方式，第一层是由主模式及积极模式构成的IKESA；第二层是快速模式构成的IPSECSA［13］。

IKE的规则明确指出，通信对身份验证、协定加密的算法以及产生共有的会话密钥的处理方式。不在非安全的网络中直接传递密钥，而是通过一连串安全的数据交换，以便通信对方能够最后确定共享密钥，这就是IKE的主要特色。它的基本技术包含DiffieHellman的交换技术。通过数理证实，破解DiffieHellman交换会面临极高的计算复杂度，因此，DiffieHellman拥有极高的安全级别。在身份认证方面，IKE还可以采用发送短信验证码、非对称加密技术、电子签名技术等。

3.4访问控制技术

VPN的其中一个作用就是执行用户的访问控制，每个用户拥有独特的访问权限，这个权限的程度由VPN服务商和网络数据资源供应商共同协定，从而提供数据资源最优的保护［14］。

文章将访问控制的策略分为两类，分别是基于个人或其团队身份设定的选择性访问控制和基于信息敏感性的强制性访问控制。前者通常直接嵌入操作系统中以实现其功能，而后者则依赖于信息的敏感程度来进行访问管控。

4VPN在云计算环境应用及实践

4.1安全要求

在云计算的环境中，IT系统的信任范畴由固定态势转变为流动性，并越过企业的操控界限。这种对操作权限的损失，对当前的信任管控和管理模式（包含对雇员和承包方的信任源泉）带来了严重的挑战。此外，虚拟化技术打破了硬件与软件之间的联系，把工作从单机的物理限制中解放出来，而云计算则更进一步地使物理定位模糊化。网络数据从云端被传送到用户端，通过对数据进行加密操作进行保护，而且，在一个物理主机上运行的各个虚拟机之间，它们想要在运行中实现数据的分隔，利用VPN通信就可以实现。

云计算环境下，VPN应支持如点对点、点对多、多对多的应用模式。随着云计算应用的丰富，网络的流量逐步增大，除了保证足够的数据保密性，在有限的网络带宽资源下实现VPN，还应有一定的业务质量保证（QoS）。通过VPN与IAM技术相结合，云计算提供商可以设置灵活的访问控制策略，实现用户数据隔离和较高安全级别的安全保护［15］。

4.2案例实践

以智能电网运用为背景，智能电网是指利用先进的信息技术进行现代化和智能化的电网。在智能电网运行中，可以采用云计算技术来进行数据的存储、计算和管理，提高电网的智能化水平。通过云计算技术，可以对电网中的数据进行智能化处理和管理，为设备运维、能源计量、电网分析等业务提供数据支撑，提高智能电网的效率和安全性。那么在复杂的数据传输中，数据的安全是至关重要的，因此在数据传输中我们就运用到了VPN技术。

某水利发电站在正常运行中发电站需要实时监测各个机组运转数据，汇总各个配电站供配电情况，各种数据经过中央处理系统的处理后对各个节点进行命令输出。整个的运行都需要大量数据的传输，通常在电力系统中都是设置专线进行数据传输的，这样可以确保安全性。但是设置这种专线的费用非常高，通过使用VPN技术后，可以节省这笔费用，而且数据的安全通过建立安全隧道加密的方式也会得到保证。

总结

随着科技的不断发展，越来越多的可靠技术被使用，云计算已经广泛地应用到我们的业务开展和生产生活中，VPN技术在云计算中为我们提供了安全便捷的网络环境搭建方法。文章介绍了VPN的关键技术，探索了其在云计算网络环境中的安全要求和应用实践，相对于物理专线等其他方法，它更具有数据安全、隐私保护、经济成本低等优势。

参考文献：

［1］朱源，闻剑峰.云计算安全浅析［J］.电信科学，2010，26（6）：5357.

［2］谢小峰.VPN技术在局域网中的组网的应用探讨［J］.自动化应用，2022（05）：6870.

［3］高淑光.VPN技术在校园网络安全体系中的应用研究［J］.电脑知识与技术，2022，18（28）：6365.

［4］李超凡，马凯.IPSecVPN应用场景分析与实验仿真［J］.新疆师范大学学报（自然科学版），2022，41（01）：3439.

［5］李春平，张淑荣，王东，等.基于IPsec的站点间VPN部署方法［J］.电脑与电信，2022（04）：7377.

［6］王文飞.VPN技术在高职院校校园网应用案例浅析［J］.科技风，2023（18）：6466.

［7］王卫国，马超，李超凡.端对端IPSecVPN工程实验设计与仿真［J］.电脑知识与技术，2022，18（1）：5354.

［8］陈敏，许芮/C8wIqxhRtvlaEISs87Vhxy1kshd+GcAELOMTDkIVjM=铭.一种复杂IPSec处理模型与分片重组的研究［J］.信息与电脑，2022，34（21）：206209.

［9］张韬，柳亚婷.GREoverIPsec与IPsecoverGRE在网络安全中的区别与实现［J］.电脑与信息技术，2018，26（1）：5659.

［10］曾铁亮.RouterOS搭建PPTP协议的VPN服务器［J］.电脑编程技巧与维护，2019（8）：165167.

［11］倪洁，徐志伟，李鸿志.PPTPVPN与L2TP/IPSecVPN的实现与安全测试［J］.电子技术与软件工程，2019（12）：192.

［12］郭赞宇，刘俊红，张强，等.基于BYOD安全的身份认证技术探究［J］.网络安全和信息化，2022（5）：126129.

［13］张铭.基于防火墙技术的网络认证协议密钥交换算法［J］.互联网周刊，2023（2）：9295.

［14］康秀兰.校园网络安全体系中VPN技术的应用研究［J］.信息与电脑，2023，35（1）：219221.

［15］俞富荣.VPN技术在局域网中的组网的应用探讨［J］.网络安全技术与应用，2021（8）：67.

项目基金：国网重庆信通公司基金项目（2022年测试验证环境功能完善“B368B122041000ZR000000”）

作者简介：黄海（1985—），男，汉族，重庆人，本科，中级工程师，研究方向为电力信息通信领域技术研发和建设运行管理；李超（1988—），男，汉族，湖北大悟县人，硕士，中级工程师，研究方向为从事云计算、移动互联、人工智能等领域的研究；周振亮（1987—），男，汉族，山东菏泽人，本科，中级工程师，研究方向为从事云计算、移动互联等领域的研究；李振西（1990—），男，汉族，河南鹿邑县人，本科，中级工程师，研究方向为长期从事移动互联等领域的研究。