電子技術論文軍隊院校校園網VPN技術的應用

　　VPN是一項迅速發展起來的新技術，其在電子商務、公司各部門信息傳送方面已經顯現出了很大的發展潛力。相信將來其在軍隊院校信息化建設和信息安全傳輸上也能發揮應有的作用。

　　《個人電腦》(月刊)創刊于1994年，由南開大學主辦，是中國第一本專業IT評測媒體，首先將“產品評測”的概念帶到中國，使“評測”的科學意識和體系在神州大陸上落地生根，并且憑借著國際化的實力成為中國IT評測市場的“教科書”。雜志始終致力于讓每個消費者都能夠自主地掌握IT知識并且自主地應用到實際產品采購的行動中。依托全球一體的IT實驗室機構。

　　1 引言

　　VPN(Virtual Private Network)即虛擬專用網，是一項迅速發展起來的新技術，主要用于在公用網絡中建立專用的數據通信網絡。由于它只是使用因特網而不是專線來連接分散在各地的本地網絡，僅在效果上和真正的專用網一樣，故稱之為虛擬專用網。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。一個網絡連接通常由客戶機、傳輸介質和服務器三個部分組成。VPN同樣也由這三部分組成，不同的是VPN連接使用了隧道技術。所謂隧道技術就是在內部數據報的發送接受過程中使用了加密解密技術，使得傳送數據報的路由器均不知道數據報的內容，就好像建立了一條可信賴的隧道。該技術也是基于TCP/IP協議的。

　　2 隧道技術的實現

　　假設某公司在相距很遠的兩地的部門A和B建立了虛擬專用網，其內部網絡地址分別為專用地址20.1.0.0和20.2.0.0。顯然，這兩個部門若利用因特網進行通信，則需要分別擁有具有合法的全球IP的路由器。這里假設部門A、B的路由器分別為R1、R2，且其全球IP地址分別為125.1.2.3和192.168.5.27，如圖1所示。

　　圖1

　　現在設部門A的主機X向部門B的主機Y發送數據報，源地址是20.1.0.1而目的地址是20.2.0.3。該數據報從主機X發送給路由器R1。路由器R1收到這個內部數據報后進行加密，然后重新封裝成在因特網上發送的外部數據報，這個外部數據報的源地址是R1在因特網上的IP地址125.1.2.3，而目的地址是路由器R2在因特網上的IP地址192.168.5.27。路由器R2收到R1發送的數據報后，對其進行解密，恢復出原來的內部數據報，并轉發給主機Y。這樣便實現了虛擬專用網的數據傳輸。

　　3 軍隊院校校園網建設VPN技術應用設想

　　隨著我軍三期網的建設，VPN技術也可廣泛應用于軍隊院校的校園網建設之中。這是由軍隊院校的實際需求所決定的。首先，軍隊的特殊性要求一些信息的傳達要做到安全可靠，采用VPN技術會大大提高網絡傳輸的可靠性;第二，軍隊院校不但有各教研室和學員隊，還包括保障部隊、管理機構等，下屬部門較多，有些部門相距甚至不在一個地方，采用VPN技術可簡化網絡的設計和管理;第三，采用了VPN技術后將為外出調研的教員、學員們以及其它軍隊院校的用戶通過軍隊網訪問本校圖書館查閱資料提供便利。

　　而VPN技術的特點正好能夠滿足以上幾點需求。首先是安全性，VPN通過使用點到點協議(PPP)用戶級身份驗證的方法進行驗證，這些驗證方法包括：密碼身份驗證協議(PAP)、質詢握手身份驗證協議(CHAP)、Shiva密碼身份驗證協議(SPAP)、Microsoft質詢握手身份驗證協議(MS-CHAP)和可選的可擴展身份驗證協議(EAP)，并且采用微軟點對點加密算法(MPPE)和網際協議安全(IPSec)機制對數據包進行加密。對于敏感的數據，還可以使用VPN連接通過VPN服務器將高度敏感的數據服務器物理地進行分隔，只有擁有適當權限的用戶才能通過遠程訪問建立與VPN服務器的VPN連接，并且可以訪問敏感部門網絡中受到保護的資源。第二，在解決異地訪問本地電子資源問題上，這正是VPN技術的主要特點之一，可以讓外地的授權用戶方便地訪問本地的資源。