王星昌 盛奔宇

摘 要：移動辦公安全是VPN技術的一個新的應用領域。通過對傳統(tǒng)虛擬專用網(wǎng)的研究，建立了一個可以在智能手機終端上實現(xiàn)的虛擬專用網(wǎng)模型。模型包括三個模塊：虛擬專用網(wǎng)客戶端，安全服務器，虛擬網(wǎng)關。本文的虛擬專用網(wǎng)系統(tǒng)實現(xiàn)了從智能手機終端由公網(wǎng)到服務器的通信安全，實現(xiàn)了跨越公網(wǎng)進行局域網(wǎng)內數(shù)據(jù)交互。

關鍵詞：智能手機；虛擬網(wǎng)卡；虛擬專用網(wǎng)

1 引言

基于智能手機的網(wǎng)絡發(fā)展為用戶帶來極大的便利，但是隨之而來的安全性問題越來越嚴重。為了解決手機智能終端的無線安全通信問題，開發(fā)一種用于手持智能終端的數(shù)據(jù)傳輸保護方案越來越重要。為此提出了一種基于IPSec隧道傳輸技術的手持智能終端的接入虛擬移動專網(wǎng)的解決方案，在運行 Windows Mobile操作系統(tǒng)的智能手持終端上，通過客戶端軟件對用戶身份進行認證，并對收到和發(fā)出的報文進行解密和加密，從而實現(xiàn)了虛擬專用網(wǎng)技術在手持智能終端上的應用。

2 相關工作

VPN是利用不可靠的共享網(wǎng)絡作為傳輸媒介，通過隧道技術構建的私有專用網(wǎng)絡，依靠數(shù)據(jù)加密、身份認證及訪問控制確保數(shù)據(jù)的通信安全[1]。它可以對企業(yè)內部網(wǎng)的擴展，可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸[2]。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Internet VPN中，要有高強度的加密技術來保護敏感信息；在遠程訪問VPN中要有對遠程用戶可靠的認證機制[3]。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的[4]。虛擬專用網(wǎng)技術主要使用IPSec協(xié)議或者SSL協(xié)議，在容易受到攻擊的互聯(lián)網(wǎng)中傳送受到保護的認證和加密的數(shù)據(jù)[5]。

3 智能手機虛擬專用網(wǎng)架構

本文主要解決的問題是如何建立智能手機終端的虛擬專用網(wǎng)，也就是要在手機終端和VPN服務器之間建立一個隧道。本文提出的基于智能手機虛擬專用網(wǎng)模型分為手機客戶端和服務器兩大部分。

3.1 智能手機虛擬專用網(wǎng)總體架構

基于Windows Mobile操作系統(tǒng)的手持智能終端，提出了一個在其平臺上實現(xiàn)虛擬移動專網(wǎng)的架構。其主要功能有基于IPSec隧道的安全數(shù)據(jù)傳輸、訪問控制、終端安全環(huán)境實時監(jiān)控等?；谑殖种悄芙K端的虛擬移動專網(wǎng)系統(tǒng)由三個部分組成：運行于手持智能終端設備上的客戶端，虛擬移動專網(wǎng)網(wǎng)關以及安全策略配置服務端。具體結構如圖1所示。

整個體系運行的流程如下：客戶端接到安全連接請求，其認證模塊發(fā)送認證數(shù)據(jù)與安全策略配置服務端的認證模塊進行通信，一旦驗證成功后，安全策略配置服務端將從策略數(shù)據(jù)庫中查詢與請求用戶相對應的策略記錄，這些記錄被傳送給客戶端，根據(jù)對應的安全策略，終端系統(tǒng)的客戶端通過安全保障模塊與遠程的虛擬專網(wǎng)網(wǎng)關進行隧道的建立，隧道建立成功后雙方就能夠進行安全通信，虛擬專網(wǎng)網(wǎng)關再把解除安全保護的原始報文傳送給被保護局域網(wǎng)內的主機。

3.2 客戶端終端系統(tǒng)

客戶端模塊的設計圖如圖2所示。在虛擬移動專網(wǎng)系統(tǒng)客戶端模塊中，身份認證模塊的主要功能是客戶端通過可選的認證機制與安全策略配置服務端進行認證通信，經(jīng)過雙方的確認后，身份認證模塊作為一個中轉站，收到安全策略服務端反饋的策略后，直接傳遞給安全策略解析模塊。身份認證模塊還將從安全策略服務端收到管理員給用戶指定的綁定身份及權限的虛擬網(wǎng)卡的IP地址。虛擬網(wǎng)卡模塊是在手持設備上實現(xiàn)虛擬專網(wǎng)的創(chuàng)新部分，利用虛擬網(wǎng)卡能夠把需要進行安全處理的報文截獲，對其進行分析后將其轉交給后續(xù)處理模塊。

安全策略解析模塊把解析后有關接入控制的策略和 IPSec隧道協(xié)商策略下發(fā)到接入控制模塊。接入控制模塊根據(jù)相應的策略對終端當前的系統(tǒng)安全狀況進行檢查，一旦有發(fā)現(xiàn)不安全因素則給出提示并且終止此次虛擬移動專網(wǎng)的接入。如果系統(tǒng)經(jīng)檢測符合相應的接入控制策略，首先啟動系統(tǒng)實時監(jiān)控進程繼續(xù)監(jiān)視系統(tǒng)的安全，這個進程將一直運行直到本次虛擬專網(wǎng)使用結束。與此同時，接入控制模塊把收到的IPSec隧道協(xié)商策略轉發(fā)給隧道協(xié)商IKE模塊。

隧道協(xié)商模塊的主要功能是根據(jù)收到的隧道協(xié)商策略與虛擬專網(wǎng)網(wǎng)關進行建立隧道所需的相關參數(shù)的協(xié)商，并且建立起邏輯隧道連接。它為IPSec處理模塊提供建立隧道的必要參數(shù)以及對報文進行加密的算法、認證的方式等等。

IPSec處理模塊的功能是根據(jù)相應的認證和加密參數(shù)對原始報文進行認證和加密，再利用隧道參數(shù)對發(fā)出的報文進行隧道封裝，對接收到的加密報文進行解密。

訪問控制模塊會收到安全策略解析模塊下發(fā)的關于訪問控制相關的安全策略，執(zhí)行策略對這些報文進行相關的安全檢測，只有通過才能繼續(xù)進行IPSec安全處理[6]。

3.3 安全策略配置服務端

在安全策略配置服務模塊中，除了對安全策略查詢和傳輸?shù)墓δ芡?，還能夠提供對策略進行添加、修改、刪除等功能。

安全策略服務器的認證模塊收到客戶端發(fā)出的認證請求數(shù)據(jù)后，經(jīng)過在數(shù)據(jù)庫中對用戶身份進行核實，將終端系統(tǒng)接入控制策略、訪問控制策略以及IPSec隧道協(xié)商策略一起反饋給客戶端，客戶端先根據(jù)接入控制策略對系統(tǒng)安全環(huán)境進行檢測，通過后將利用IPSec隧道協(xié)商策略與遠程虛擬移動專網(wǎng)網(wǎng)關建立隧道，同時將隧道參數(shù)應用于客戶端上的IPSec模塊，IPSec模塊利用訪問控制策略對報文進行選擇過濾，將需要進行隧道傳輸?shù)膱笪倪M行IPSec封裝，發(fā)向遠程虛擬移動專網(wǎng)網(wǎng)關。

4 系統(tǒng)應用測試

為了對設計的Windows Mobile虛擬移動專網(wǎng)系統(tǒng)的應用進行測試，分別使用了兩部智能手機來進行操作。硬件測試平臺的具體參數(shù)如表1所示。

表1 應用測試表

終端型號 操作系統(tǒng)版本 處理器 ROM容量 RAM容量

多普達D700 Windows mobile5.0 Intel PXA 263 400Mhz 96 MB 128MB

夏新E850 Windows mobile5.0 Intel X Scale 312Mhz 64MB 64MB

在測試方式上，選擇Windows Mobile操作系統(tǒng)中的FTP客戶端軟件OrnetaFTP Explorer Mobile V2.1.0，分別針對使用虛擬專網(wǎng)接入情況和不使用虛擬專網(wǎng)接入的情況，對于下載大小為386KB的“test.rar”文件的過程進行統(tǒng)計。主要記錄的指標有處理器的占用率，F(xiàn)TP下載所用時間及其平均速度。本次測試采用的網(wǎng)絡接入方式均為中國移動提供的GPRS服務。圖3與圖4是測試結果。

由上述測試結果可以看出，使用智能手機終端虛擬專網(wǎng)接入系統(tǒng)后，進行FTP下載時處理器的資源占用率會有10%左右的上升，但這個占用率是可以接受的，對于用戶的使用來說沒有太大的影響。由此可見，采用改進的IPSec模型的設計是可行的，能夠在手持終端的硬件環(huán)境中應用，具有實際價值。

5 總結

本文提出了提出了基于智能手機終端的虛擬專用網(wǎng)模型，根據(jù)手持智能移動終端的特點，利用基于虛擬網(wǎng)卡的處理模式，減少對系統(tǒng)資源的消耗。通過虛擬網(wǎng)卡，能夠把需要在系統(tǒng)底層才能完成的IPSec封裝與解封裝、隧道封裝與解封裝等操作轉移到系統(tǒng)應用層，使得處理過程對系統(tǒng)資源的消耗大大降低。

[參考文獻]

[1]石露.VPN技術的應用及發(fā)展[J].信息安全與通信保密.2010（02）.

[2]Peter Adey.Anticipating emergencies：Technologies of preparedness and the matter of security.[J].Security Dialogue，2012，43（2）.

[3]李芳.對VPN技術的研究及應用[J].硅谷.2010（03）.

[4]程思，程家興.VPN中的隧道技術研究[J].計算機技術與發(fā)展. 2010（02）.

[5]W.Richard Stevens.TCP/IP詳解卷1：協(xié)議.范建華，光輝，張濤，譯. [M]北京：機械工業(yè)出版社，2000.111-116.

[6]杜家嚴，盧朝暉.IPSec VPN及其在校園網(wǎng)中的應用[J].電腦知識與技術.2012（01）.