摘要：5G技術(shù)提升了物聯(lián)網(wǎng)（Internet of Things，IoT）的帶寬容量并降低了延遲，實(shí)現(xiàn)了物聯(lián)網(wǎng)設(shè)備間的無縫連接和協(xié)同作業(yè)。然而，現(xiàn)有的網(wǎng)絡(luò)架構(gòu)中，將用戶數(shù)據(jù)集中接入云存儲(chǔ)平臺(tái)的方式提高了物聯(lián)網(wǎng)環(huán)境的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，如易受攻擊和引發(fā)單點(diǎn)故障問題。隨著邊緣計(jì)算和區(qū)塊鏈技術(shù)的發(fā)展及應(yīng)用，去中心化的身份驗(yàn)證、授權(quán)機(jī)制以及增強(qiáng)的通信數(shù)據(jù)加密策略，共同構(gòu)成了物聯(lián)網(wǎng)安全的核心要素。文章提出了一種基于L2TP（第二層隧道協(xié)議）和IPSEC VPN（虛擬專用網(wǎng)絡(luò)）混合結(jié)構(gòu)的物聯(lián)網(wǎng)通信架構(gòu)方案，并進(jìn)行了模擬測試。通過對比分析，該架構(gòu)在網(wǎng)絡(luò)吞吐量、延時(shí)控制及帶寬消耗方面，相較于單獨(dú)采用L2TP或IPSEC架構(gòu)具有明顯優(yōu)勢，特別是在網(wǎng)絡(luò)速度不再是限制因素的環(huán)境下，該架構(gòu)在平衡網(wǎng)絡(luò)安全性與網(wǎng)絡(luò)性能方面表現(xiàn)更優(yōu)，具有較高的實(shí)際應(yīng)用價(jià)值。

關(guān)鍵詞：物聯(lián)網(wǎng)；云存儲(chǔ)平臺(tái)；邊緣計(jì)算；區(qū)塊鏈；吞吐量

中圖分類號：TP393" " " "文獻(xiàn)標(biāo)識(shí)碼：A" " " 文章編號：1674-0688（2024）07-0082-06

0 引言

物聯(lián)網(wǎng)已成為第四次工業(yè)革命的核心驅(qū)動(dòng)力。從智能家居到工業(yè)自動(dòng)化，物聯(lián)網(wǎng)技術(shù)正深刻改變著人們的生活方式。然而，隨著IoT設(shè)備在日常及工作場景中的廣泛應(yīng)用，其通信安全問題日益嚴(yán)峻。IoT設(shè)備的互聯(lián)互通特性雖然促進(jìn)了實(shí)時(shí)數(shù)據(jù)的收集、傳輸和處理，但是也為潛在的網(wǎng)絡(luò)攻擊者提供了可乘之機(jī)。從家用攝像頭到工業(yè)控制系統(tǒng)，IoT設(shè)備的安全漏洞一旦被利用，將可能造成個(gè)人隱私泄露、重大經(jīng)濟(jì)損失甚至導(dǎo)致國家安全層面產(chǎn)生風(fēng)險(xiǎn)。因此，加強(qiáng)物聯(lián)網(wǎng)通信安全成為學(xué)術(shù)界和產(chǎn)業(yè)界共同面臨的緊迫課題。

虛擬專用網(wǎng)技術(shù)（Virtual Private Network，VPN）以其強(qiáng)大的身份認(rèn)證機(jī)制、數(shù)據(jù)加密能力和安全傳輸功能，為IoT設(shè)備提供了一個(gè)可靠和安全的通信環(huán)境［1］。鑒于物聯(lián)網(wǎng)終端功能受限，當(dāng)前研究多聚焦于開發(fā)輕量級或創(chuàng)新型VPN解決方案。倪潔等［2］ 探索了VPN在物聯(lián)網(wǎng)通信中的應(yīng)用，提出了基于GRE（通用路由封裝協(xié)議）和IPSEC（互聯(lián)網(wǎng)安全協(xié)議）的兩種傳輸方案，分析了它們在物聯(lián)網(wǎng)傳輸中的安全性。然而，GRE方案缺乏對通信數(shù)據(jù)加密的服務(wù)，而IPSEC對終端性能要求較高，部署難度大，難以保障物聯(lián)網(wǎng)通信數(shù)據(jù)的安全。曾喜娟［3］針對輕量級VPN需求，對IPSEC協(xié)議進(jìn)行了精簡優(yōu)化，特別是在密鑰協(xié)商及SA（安全關(guān)聯(lián)）生成機(jī)制上進(jìn)行了改進(jìn)，實(shí)現(xiàn)了輕量化的部署。盡管如此，IPSEC因涉及頻繁的數(shù)據(jù)加密與解密操作，若直接部署于終端，則可能會(huì)嚴(yán)重影響通信效率。鄔群輝等［4］ 基于IPv6協(xié)議的安全特性設(shè)計(jì)了一種IPv6-VPN方案，利用IPv6協(xié)議的內(nèi)置安全功能保護(hù)數(shù)據(jù)傳輸安全，但目前及未來較長時(shí)間內(nèi)IPv4網(wǎng)絡(luò)仍占據(jù)主導(dǎo)地位，該方案的應(yīng)用范圍受到一定限制。因此，結(jié)合各種VPN的不同特性，設(shè)計(jì)一種實(shí)用而有效的VPN組合方案，將會(huì)大大提升數(shù)據(jù)安全性和方案的適用性。本文在全面分析IoT通信安全面臨的挑戰(zhàn)及現(xiàn)有解決方案的基礎(chǔ)上，探討如何通過混合VPN技術(shù)增強(qiáng)IoT通信安全，旨在為IoT領(lǐng)域的安全實(shí)踐提供有價(jià)值的理論與實(shí)踐指導(dǎo)。

1 IoT與VPN融合分析

1.1 IoT的基本結(jié)構(gòu)

IoT系統(tǒng)分為接入層、通信層和應(yīng)用層（見圖1）。接入層是IoT系統(tǒng)與物理世界的接口［5］，包含傳感器和執(zhí)行器。傳感器用于感知和收集環(huán)境信息，如溫度、濕度、光線等，將物理量轉(zhuǎn)換為電信號，實(shí)現(xiàn)環(huán)境信息的感知與采集。通信層是信息傳輸通道，連接感知層和應(yīng)用層，包括多種通信技術(shù)，負(fù)責(zé)數(shù)據(jù)處理、數(shù)據(jù)安全及設(shè)備管理。應(yīng)用層作為IoT系統(tǒng)的最終用戶接口，負(fù)責(zé)將底層數(shù)據(jù)轉(zhuǎn)化為實(shí)際應(yīng)用價(jià)值，提供數(shù)據(jù)分析和決策支持服務(wù)，幫助用戶或企業(yè)優(yōu)化操作，提升效率。這3層協(xié)同工作，共同實(shí)現(xiàn)從物理世界信息感知到具備價(jià)值應(yīng)用和服務(wù)的智能轉(zhuǎn)化與控制。

1.2 VPN協(xié)議

VPN技術(shù)是一種利用公共網(wǎng)絡(luò)構(gòu)建與專用網(wǎng)絡(luò)具有相同通信功能的安全數(shù)據(jù)通道技術(shù)［6］。它通過隧道技術(shù)實(shí)現(xiàn)，無需物理專線，而是利用公共網(wǎng)絡(luò)資源和設(shè)備建立一條邏輯上的專用數(shù)據(jù)通道。這條通道不僅具有與專用數(shù)據(jù)通道相同的通信功能，而且通過加密和認(rèn)證機(jī)制確保了傳輸數(shù)據(jù)的完整性和機(jī)密性。實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)主要有隧道技術(shù)、加密/解密技術(shù)、密鑰管理技術(shù)及身份認(rèn)證技術(shù)［7］。VPN協(xié)議是實(shí)現(xiàn)VPN技術(shù)的具體通信協(xié)議，它規(guī)定了數(shù)據(jù)在VPN網(wǎng)絡(luò)中的傳輸方式、加密方式、認(rèn)證方式等。常見的VPN協(xié)議包括以下幾種：①PPTP（點(diǎn)對點(diǎn)隧道協(xié)議）。該協(xié)議簡單易用，但加密標(biāo)準(zhǔn)較弱，通常不推薦用于傳輸敏感數(shù)據(jù)。②IPSEC。該協(xié)議提供高級加密功能和復(fù)雜的認(rèn)證機(jī)制，能提供高度安全的通信環(huán)境。③L2TP。該協(xié)議本身不提供數(shù)據(jù)加密，常與IPSEC協(xié)議結(jié)合使用，但可能因加密處理而略微影響傳輸速度。④GRE。該協(xié)議主要用于封裝多種協(xié)議，靈活性強(qiáng)，但缺乏數(shù)據(jù)加密功能，因此常與IPSEC等安全協(xié)議結(jié)合使用。⑤SSL（安全套接字層）。該協(xié)議易于配置和使用，特別適用于無需安裝專門客戶端軟件的臨時(shí)用戶或客戶端環(huán)境多樣化的場景。⑥WireGuard。該協(xié)議是一種新興的開源VPN協(xié)議，具有輕量級且易于配置的優(yōu)點(diǎn)，可用于構(gòu)建快速和安全的VPN連接。

1.3 IoT存在的問題

加強(qiáng)設(shè)備安全性、數(shù)據(jù)加密和訪問控制是IoT安全的關(guān)鍵點(diǎn)，IoT安全問題可以概括為保障數(shù)據(jù)的機(jī)密性、完整性和可靠性。在接入層，攻擊者可能通過感知設(shè)備實(shí)施竊取、破壞或篡改行為，以非法獲取敏感信息或破壞IoT系統(tǒng)的正常運(yùn)行。因此，網(wǎng)絡(luò)層安全面臨多重威脅。例如：通過發(fā)送大量流量或惡意請求占用網(wǎng)絡(luò)資源，導(dǎo)致IoT設(shè)備無法正常運(yùn)行；改變IoT設(shè)備之間的通信路徑，將數(shù)據(jù)流量重新定向至不安全地點(diǎn)進(jìn)行竊聽。若數(shù)據(jù)傳輸未經(jīng)加密或保護(hù)不足，則存在數(shù)據(jù)泄露或被竊取的風(fēng)險(xiǎn)。在應(yīng)用層，不安全的身份認(rèn)證機(jī)制易引發(fā)未授權(quán)訪問、身份偽造、憑據(jù)盜用及執(zhí)行釣魚攻擊等問題。若缺乏適當(dāng)?shù)脑L問控制策略，則可能會(huì)導(dǎo)致敏感數(shù)據(jù)泄露或IoT設(shè)備功能被惡意利用。

1.4 IoT通信模型分析

互聯(lián)網(wǎng)通信使用的模型為TCP/IP（傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議）參考模型，該模型是對OSI（開放式系統(tǒng)互聯(lián)通信）參考模型的一種簡化實(shí)現(xiàn)，IoT技術(shù)的應(yīng)用會(huì)結(jié)合不同場合、不同終端使用Wi-Fi、Zigbee、Bluetooth等近距離通信技術(shù)，但最終這些信息都會(huì)通過IP協(xié)議統(tǒng)一封裝并轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)中。TCP/IP主機(jī)的網(wǎng)絡(luò)層承擔(dān)著將各種不同協(xié)議數(shù)據(jù)封裝成統(tǒng)一格式的功能。而VPN技術(shù)則在主機(jī)網(wǎng)絡(luò)層之上工作，通過跨越不同層次的架構(gòu)為IoT通信提供必要的安全保障服務(wù)。IoT與網(wǎng)絡(luò)參考模型見圖2。

1.5 VPN在IoT中的作用

VPN技術(shù)通過公共網(wǎng)絡(luò)為IoT設(shè)備提供安全通信服務(wù)，增設(shè)身份驗(yàn)證層級，確保僅授權(quán)設(shè)備能建立加密連接。此技術(shù)優(yōu)化了IoT的網(wǎng)絡(luò)架構(gòu)，便于集中管理和控制分散設(shè)備的訪問權(quán)限。VPN對傳輸數(shù)據(jù)進(jìn)行加密，確保端到端的安全性，尤其適用于缺乏本地加密功能的IoT設(shè)備。它在互聯(lián)網(wǎng)或其他不受信任的網(wǎng)絡(luò)上創(chuàng)建安全隧道，保護(hù)IoT設(shè)備免受各種網(wǎng)絡(luò)攻擊，同時(shí)將IoT流量與其他網(wǎng)絡(luò)流量進(jìn)行分割，從而減少攻擊面。此外，VPN為IoT設(shè)備及軟件更新提供安全通道，防止設(shè)備管理數(shù)據(jù)被攔截或篡改［8］。集中式VPN管理系統(tǒng)能高效部署并維護(hù)各類IoT設(shè)備上的VPN連接。輕量級VPN協(xié)議還解決了跨制造商設(shè)備的互操作性難題，提供了統(tǒng)一的安全防護(hù)層。

2 設(shè)計(jì)架構(gòu)分析

2.1 設(shè)計(jì)原則

在安全性和認(rèn)證方面，應(yīng)優(yōu)先選用支持最強(qiáng)加密標(biāo)準(zhǔn)的VPN協(xié)議（如IPSEC或SSL），以保障數(shù)據(jù)傳輸?shù)陌踩浴Ｓ捎贗oT設(shè)備存在資源差異，因此需定制加密機(jī)制，如采用輕量級加密算法，以適配資源受限設(shè)備。同時(shí)，實(shí)施強(qiáng)有力的身份驗(yàn)證機(jī)制，如雙因素認(rèn)證或數(shù)字證書，確保只有授權(quán)設(shè)備能夠訪問網(wǎng)絡(luò)。設(shè)置詳細(xì)的訪問控制策略，控制設(shè)備和用戶的網(wǎng)絡(luò)資源訪問權(quán)限［9］。

在可擴(kuò)展性和管理方面，應(yīng)考慮未來設(shè)備數(shù)量的增長，確保IoT系統(tǒng)可以輕松擴(kuò)展以支持更多的設(shè)備。實(shí)施集中化設(shè)備管理和配置更新系統(tǒng)，以高效管理IoT設(shè)備。鑒于IoT設(shè)備的性能限制，VPN解決方案應(yīng)盡量減少對CPU、內(nèi)存和電池資源的消耗，并優(yōu)化數(shù)據(jù)傳輸機(jī)制，以減輕傳輸能耗對設(shè)備性能的影響。此外，還需強(qiáng)化網(wǎng)絡(luò)穩(wěn)定性和故障恢復(fù)能力，引入負(fù)載均衡和冗余機(jī)制，提高系統(tǒng)的可靠性。同時(shí)，集成實(shí)時(shí)監(jiān)控和日志記錄功能，以及時(shí)響應(yīng)安全事件，并且定期進(jìn)行安全審計(jì)和性能評估，確保系統(tǒng)持續(xù)符合安全標(biāo)準(zhǔn)。

在網(wǎng)絡(luò)架構(gòu)和兼容性方面，VPN應(yīng)能滿足在不同網(wǎng)絡(luò)層級高效運(yùn)作，特別是在邊緣網(wǎng)絡(luò)環(huán)境中。設(shè)計(jì)時(shí)需充分考慮多制造商設(shè)備的兼容性及異種通信協(xié)議的支持，提供跨操作系統(tǒng)與平臺(tái)的定制化解決方案，以滿足多樣化應(yīng)用場景的特定需求。

2.2 場景分析

在設(shè)計(jì)IoT的VPN架構(gòu)時(shí)，需全面考慮傳感端、云端和客戶應(yīng)用端3個(gè)核心環(huán)節(jié)［10］。VPN在IoT中的應(yīng)用模式有以下兩種：一是實(shí)現(xiàn)VPN嵌套，融合各自優(yōu)勢，如L2TP/IPSEC組合和GRE/IPSEC組合；二是結(jié)合云計(jì)算、邊緣計(jì)算及生物識(shí)別等技術(shù)，開發(fā)新型VPN技術(shù)，為智能IoT設(shè)備開發(fā)輕量級VPN解決方案，并改進(jìn)當(dāng)前輕量級VPN的功能缺陷。

鑒于目前L2TP和IPSEC在智能IoT中的應(yīng)用仍屬新興領(lǐng)域，本文采用第一種模式設(shè)計(jì)了一種混合多種VPN技術(shù)的通信架構(gòu)。此架構(gòu)旨在構(gòu)建端到端的VPN安全體系，支持公共可路由連接中的任何加密IoT會(huì)話，確保不同IoT環(huán)境下統(tǒng)一解決方案的部署。具體實(shí)現(xiàn)上，通過IPSEC VPN對L2TP封裝的通信流量進(jìn)行加密，既解決了L2TP和IPSEC/IPv4安全協(xié)議之間的切換難題，又實(shí)現(xiàn)了終端設(shè)備通信流量的自動(dòng)隧道觸發(fā)機(jī)制，解決了大量低能耗設(shè)備在待機(jī)狀態(tài)下難以啟動(dòng)隧道的問題。

2.3 實(shí)驗(yàn)架構(gòu)

通過嵌套L2TP和IPSEC VPN技術(shù)，為IoT設(shè)備提供一個(gè)安全的數(shù)據(jù)傳輸通道。L2TP用于創(chuàng)建虛擬隧道，IPSEC提供隧道內(nèi)通信數(shù)據(jù)的加密。IoT安全架構(gòu)見圖3。

（1）設(shè)備認(rèn)證。在接入層，IoT終端（支持Wi-Fi、藍(lán)牙、NFC等）通過邊緣網(wǎng)關(guān)接入網(wǎng)絡(luò)。此過程采用電子證書作為首道安全防線，確保僅授權(quán)設(shè)備能接入。每個(gè)設(shè)備必須擁有由信任證書頒發(fā)機(jī)構(gòu)（Certificate Authority，CA）頒發(fā)的唯一電子證書及相應(yīng)私鑰。VPN連接發(fā)起時(shí)，IoT設(shè)備使用其電子證書對LAC（L2TP訪問集中器）進(jìn)行身份認(rèn)證，同時(shí)支持LAC對設(shè)備的雙向認(rèn)證。此外，可配置RADIUS服務(wù)器以增強(qiáng)認(rèn)證流程。

（2）隧道建立。IoT設(shè)備向VPN網(wǎng)關(guān)發(fā)起L2TP隧道建立請求。首先，建立L2TP隧道，為數(shù)據(jù)傳輸提供邏輯通道，此時(shí)的數(shù)據(jù)未加密。L2TP隧道通過LNS（L2TP網(wǎng)絡(luò)服務(wù)器）與LAC的交互建立，支持多會(huì)話并發(fā)，滿足同一設(shè)備多種數(shù)據(jù)類型的同時(shí)傳輸需求。其次，應(yīng)用IPSEC對L2TP隧道進(jìn)行加密，通過IKE（Internet密鑰交換）協(xié)議協(xié)商加密、認(rèn)證算法及密鑰信息，建立安全關(guān)聯(lián)（Security Association，SA），確保隧道內(nèi)數(shù)據(jù)傳輸?shù)陌踩浴?/p>

（3）數(shù)據(jù)加密傳輸。所有L2TP隧道中的數(shù)據(jù)包都經(jīng)IPSEC加密處理，利用強(qiáng)大的加密算法確保數(shù)據(jù)的機(jī)密性，并通過哈希算法驗(yàn)證數(shù)據(jù)的完整性，防止數(shù)據(jù)被篡改。加密后的數(shù)據(jù)包通過已建立的L2TP隧道安全傳輸，即使在公共網(wǎng)絡(luò)中也能防止數(shù)據(jù)泄露和中間人攻擊。該架構(gòu)方案在L2TP隧道建立和IPSEC加密階段均實(shí)施雙重認(rèn)證機(jī)制，提升了IoT數(shù)據(jù)傳輸?shù)陌踩浴?/p>

2.4 數(shù)據(jù)保護(hù)流程

IoT數(shù)據(jù)保護(hù)流程見圖4，流程具體步驟如下。

（1）IoT設(shè)備流量通過接入點(diǎn)進(jìn)入網(wǎng)絡(luò)，經(jīng)過安全策略數(shù)據(jù)庫（SPD）篩選，決定其是否加密、丟棄或直接放行。對于需要安全服務(wù)的數(shù)據(jù)，IoT節(jié)點(diǎn)與VPN服務(wù)器避啟動(dòng)L2TP會(huì)話建立隧道，包括PPP（Point-to-Point Protocol）認(rèn)證與協(xié)商，以管理L2TP隧道的建立、維護(hù)及拆除。

（2）創(chuàng)建L2TP數(shù)據(jù)隧道，傳輸PPP封裝幀，此時(shí)數(shù)據(jù)在隧道內(nèi)未加密，但已提升至L2TP會(huì)話層。

（3）隨著L2TP隧道的建立，IoT節(jié)點(diǎn)開始準(zhǔn)備IPSEC SA（安全聯(lián)盟）協(xié)商，標(biāo)記L2TP隧道數(shù)據(jù)以便后續(xù)IPSEC進(jìn)行處理。通過IKE（因特網(wǎng)密鑰交換協(xié)議）與VPN服務(wù)器建立IKE SA作為IPSEC SA協(xié)商的安全通道，該步驟涉及密鑰交換、身份驗(yàn)證及協(xié)議協(xié)商。在IKE SA的基礎(chǔ)上，詳細(xì)協(xié)商IPSEC SA，定義數(shù)據(jù)加密、認(rèn)證算法、參數(shù)、密鑰材料及封裝模式。

（4）L2TP封裝的PPP數(shù)據(jù)依據(jù)IPSEC SA進(jìn)行加密和認(rèn)證封裝，通常采用ESP協(xié)議進(jìn)行處理，加密后的數(shù)據(jù)流被重新封裝回L2TP隧道中傳輸。加密PPP幀作為L2TP數(shù)據(jù)報(bào)負(fù)載，通過互聯(lián)網(wǎng)安全傳輸至VPN服務(wù)器。

（5）VPN服務(wù)器接收L2TP封裝的數(shù)據(jù)流后進(jìn)行解封裝，提取IPSEC處理的數(shù)據(jù)包，再根據(jù)IPSEC SA解密和驗(yàn)證，恢復(fù)原始數(shù)據(jù)包，最終轉(zhuǎn)發(fā)至內(nèi)網(wǎng)目標(biāo)網(wǎng)絡(luò)。此過程確保了IoT數(shù)據(jù)在傳輸中的鏈路層封裝與網(wǎng)絡(luò)層加密，增強(qiáng)了數(shù)據(jù)在開放網(wǎng)絡(luò)中的機(jī)密性、完整性與安全性。

3 模擬實(shí)驗(yàn)與評估

3.1 模擬實(shí)驗(yàn)

模擬實(shí)驗(yàn)所用軟件見表1，利用這些軟件模擬IoT設(shè)備之間大小介于1 kB至1 MB的特定文件的交換過程。該過程由外部腳本負(fù)責(zé)啟動(dòng)和管理，該腳本還負(fù)責(zé)定期執(zhí)行緩存清理操作。為了確保實(shí)驗(yàn)結(jié)果的準(zhǔn)確性，在IoT環(huán)境中多次重復(fù)執(zhí)行了模擬過程。在模擬中，分別設(shè)置了單獨(dú)L2TP VPN和IPSEC VPN模擬場景，通過VPN網(wǎng)絡(luò)設(shè)備靈活切換不同的安全協(xié)議，以評估并比較它們在處理IoT設(shè)備之間安全通信時(shí)的表現(xiàn)。

3.2 評估

通過網(wǎng)絡(luò)性能評估指標(biāo)，對提出的方案進(jìn)行測試，比較獨(dú)立L2TP VPN、IPSEC VPN與方案中混合端到端VPN的測試結(jié)果。

3.2.1 吞吐量

吞吐量是指在綜合考慮加密和解密過程帶來的額外開銷后，VPN隧道在單位時(shí)間內(nèi)成功傳輸?shù)臄?shù)據(jù)數(shù)量，是衡量網(wǎng)絡(luò)傳輸效率的關(guān)鍵指標(biāo)［11］。其單位通常表示為比特每秒（bps）、千比特每秒（kbps）或兆比特每秒（Mbps），直接反映了網(wǎng)絡(luò)的負(fù)載能力。雖然采用更強(qiáng)的加密算法能夠提升VPN協(xié)議的安全性，但是同時(shí)也可能因處理開銷的增加而降低吞吐量。

網(wǎng)絡(luò)吞吐量計(jì)算公式通常表述為

[I=φT，]" " " " " " " " " " " " " " " " （1）

其中：[I]表示網(wǎng)絡(luò)吞吐量，[φ]表示傳輸數(shù)據(jù)量，[T]表示傳輸時(shí)間。

表2為不同文件大小情況下IoT通信吞吐量，詳細(xì)對比了L2TP VPN、IPSEC VPN及其組合方案（L2TP/IPSEC）在處理不同大小數(shù)據(jù)包時(shí)的性能。在1 kB數(shù)據(jù)包的情況下，L2TP VPN表現(xiàn)出最高吞吐量（8.32 Mbps），而組合方案L2TP/IPSEC則因額外IPSEC加密開銷導(dǎo)致性能最低（7.17 Mbps），表明小數(shù)據(jù)包場景下L2TP的低處理需求更具優(yōu)勢。隨著數(shù)據(jù)包增至10 kB，兩者的性能逐漸趨近，L2TP仍略有優(yōu)勢，表明加密開銷對整體性能的影響隨數(shù)據(jù)包增大而減弱。至100 kB數(shù)據(jù)包時(shí)，IPSEC的性能（7.69 Mbps）已接近L2TP（8.21" Mbps），表明大數(shù)據(jù)包下IPSEC的安全性優(yōu)勢顯現(xiàn)，原因是加密開銷占比降低。對于更大的數(shù)據(jù)包（500 kB和1 MB），所有配置吞吐量均有所下降，L2TP單獨(dú)配置性能下降較小，組合架構(gòu)配置性能則顯得更為穩(wěn)定，表明大數(shù)據(jù)包處理時(shí)加密/解密影響凸顯。

從安全性和性能綜合考量，L2TP單獨(dú)配置在小數(shù)據(jù)包場景中表現(xiàn)最佳，但從長遠(yuǎn)來看，L2TP/IPSEC組合方案在安全性需求高的環(huán)境中提供了更平衡的解決策略，尤其是在大數(shù)據(jù)包傳輸時(shí)顯示出更好的穩(wěn)定性和可靠性。

3.2.2 延時(shí)

網(wǎng)絡(luò)延時(shí)在VPN環(huán)境中是另一個(gè)重要的通信性能評估指標(biāo)，通常指數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸所需的時(shí)間，涉及傳播、處理、排隊(duì)、傳輸和加密/解密等過程，計(jì)算公式可表示為

[?=ψυ?γ，]" " " " " " " " " " " " （2）

其中：[?]表示流量數(shù)據(jù)往返延時(shí)，[ψ]表示延時(shí)系數(shù)，[υ]表示流量接收響應(yīng)時(shí)間，[γ]表示發(fā)送流量數(shù)據(jù)的時(shí)間。

表3為不同方案在高和低UDP流量時(shí)的平均延時(shí)，對比了L2TP、IPSEC和L2TP/IPSEC在1 ms和5 ms包間生成間隙條件下，傳輸不同UDP有效載荷大小的延時(shí)數(shù)據(jù)。每個(gè)數(shù)據(jù)點(diǎn)代表10 000個(gè)UDP包的平均延時(shí)，其中包間生成間隙代表數(shù)據(jù)包的發(fā)送頻率，UDP有效載荷大小代表每個(gè)數(shù)據(jù)包的大小。在1 ms高流量場景下，L2TP延時(shí)隨著UDP負(fù)載的增加而穩(wěn)步上升（由271.3 ms升至457.8 ms），表明數(shù)據(jù)包處理時(shí)間隨載荷增大而增長。相比之下，5 ms低流量場景下延時(shí)增幅較?。ㄓ?3.01 ms升至75.63 ms），表明網(wǎng)絡(luò)和設(shè)備在此條件下處理效率更高。IPSEC在1 ms條件下延時(shí)同樣隨負(fù)載增大而上升（由332.1 ms升至432.1ms），顯示其處理大數(shù)據(jù)包能力強(qiáng)于L2TP。在5 ms條件下，IPSEC延時(shí)也呈逐漸增加趨勢（由52.18 ms 升至90.72 ms），但增幅保持在合理范圍?；旌蟅PN（L2TP/IPSEC）在1 ms條件下延時(shí)顯著增加（由383.7 ms升至528.2 ms），反映了雙重協(xié)議開銷的影響。在5 ms場景下，其延時(shí)也較高（由68.21 ms升至107.33 ms），表明即使在較低流量下，混合VPN的處理延時(shí)仍較大。

對比1 ms和5 ms包間生成間隙，所有VPN在1 ms間隙下的延時(shí)均高于5 ms間隙，反映了高速流量對VPN處理能力的壓力。UDP負(fù)載增加時(shí)，各VPN延時(shí)均呈現(xiàn)上升趨勢，但幅度因技術(shù)和負(fù)載條件而異?？傮w而言，L2TP/IPSEC因加密和封裝雙重開銷而表現(xiàn)出高延時(shí)。IPSEC VPN在高負(fù)載條件下表現(xiàn)出更強(qiáng)的處理能力，而L2TP VPN則在低負(fù)載下延時(shí)增長較小。

3.2.3 帶寬消耗

在IoT通信中，VPN的運(yùn)作過程大致分為空閑階段、初始化階段、協(xié)商階段和數(shù)據(jù)傳輸階段?？臻e階段包括啟動(dòng)IoT設(shè)備之間的隧道接口、選擇安全參數(shù)，以及驗(yàn)證并提交IP地址和可用端口的配置等先決條件。初始化階段標(biāo)志著通過VPN通信開始設(shè)置啟動(dòng)數(shù)據(jù)。

VPN運(yùn)作過程各階段的帶寬消耗對比見表4。在VPN的空閑階段，盡管不進(jìn)行數(shù)據(jù)傳輸，但是仍需消耗一定帶寬以維持連接。其中：L2TP消耗最低（10.3%），說明心跳和狀態(tài)檢查機(jī)制相對節(jié)省帶寬；IPSEC消耗稍高（10.7%），這是因?yàn)槠錉顟B(tài)保持機(jī)制更為復(fù)雜；L2TP/IPSEC VPN消耗最高（11.2%），這是因?yàn)樾柰瑫r(shí)維持兩個(gè)協(xié)議的連接。在初始化階段，帶寬消耗增加，主要用于身份驗(yàn)證和協(xié)議協(xié)商。L2TP消耗為22.5%，其初始化過程較簡單；IPSEC為25.2%，這是因?yàn)樯婕案鼜?fù)雜的安全協(xié)議協(xié)商和身份驗(yàn)證；L2TP/IPSEC為 27.8%，表明組合協(xié)議在初始化時(shí)需要交換更多的信息。在協(xié)商階段，帶寬消耗進(jìn)一步上升，主要源于密鑰交換和協(xié)議參數(shù)設(shè)置。L2TP 消耗46.3%，IPSEC稍高，達(dá) 58.4%，這是因?yàn)槠浼用茉O(shè)置更為復(fù)雜；L2TP/IPSEC消耗86.7%，顯示兩種協(xié)議的帶寬消耗顯著增加。在數(shù)據(jù)傳輸階段，實(shí)際數(shù)據(jù)加密和傳輸成為關(guān)鍵。L2TP帶寬消耗（10.9%）與空閑階段相近，這是因?yàn)長2TP主要負(fù)責(zé)封裝而非加密，其帶寬消耗主要來自封裝開銷；IPSEC消耗略高12.7%，反映加密操作的額外帶寬需求；L2TP/IPSEC消耗最高（16.8%），這是因?yàn)殡p重協(xié)議增加了加密和封裝操作。

4 結(jié)語

在IoT環(huán)境中，如果帶寬資源受限，L2TP VPN可能是一個(gè)合適的選擇，因?yàn)樗诟麟A段帶寬消耗都相對較低。反之，當(dāng)安全性成為首要考慮因素且?guī)挷辉偈窍拗埔蛩貢r(shí)，L2TP/IPSEC VPN則因提供更高的安全性而更為合適。在具體應(yīng)用中，需權(quán)衡成本和安全性。鑒于目前IPv4和IPv6協(xié)議混合使用的普遍性及協(xié)議孤島現(xiàn)象，將6to4或4to6協(xié)議融入IPSEC VPN中也許獲得更廣的應(yīng)用面。隨著人工智能技術(shù)在IoT的深入應(yīng)用，運(yùn)用深度學(xué)習(xí)算法對通信數(shù)據(jù)進(jìn)行自適應(yīng)分類，進(jìn)而由網(wǎng)關(guān)設(shè)備自動(dòng)生成VPN策略以實(shí)現(xiàn)IoT設(shè)備的分類保護(hù)，將成為提升安全性的重要研究方向及挑戰(zhàn)，也是后續(xù)研究的熱點(diǎn)和難點(diǎn)。

5 參考文獻(xiàn)

［1］周喆.內(nèi)核態(tài)對等型VPN的研究與實(shí)現(xiàn)［D］.武漢：華中科技大學(xué)，2021.

［2］倪潔，徐志，李鴻志.基于VPN技術(shù)的物聯(lián)網(wǎng)傳輸層安全測試［J］.電子測試，2019（13）：90-91.

［3］曾喜娟.物聯(lián)網(wǎng)云連接中輕量級IPSec VPN的部署［J］.綿陽師范學(xué)院學(xué)報(bào)，2020，39（8）：94-97，102.

［4］鄔群輝，甘勇，王凱莉.基于IPv6-VPN的物聯(lián)網(wǎng)本質(zhì)安全方法構(gòu)想［J］.現(xiàn)代信息科技，2018，2（8）：191-192.

［5］張樹紅.基于物聯(lián)網(wǎng)安全的研究［J］.山西電子技術(shù)，2022（4）：91-93.

［6］魏潔玲，馬秀麗，金彥亮，等.基于VPN通道下的加密流量分類算法［J］.應(yīng)用科學(xué)學(xué)報(bào)，2023，41（4）：646-656.

［7］宋博.基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)安全問題及應(yīng)對策略研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（9）：160-161.

［8］車欣.適用于物聯(lián)網(wǎng)安全的機(jī)器學(xué)習(xí)方法綜述［J］.人工智能，2023（4）：91-97.

［9］舒俊.物聯(lián)網(wǎng)安全模型研究進(jìn)展［J］.中國新通信，2022，24（17）：110-112.

［10］AMMAR，AlMOMANI.Classification of virtual private networks encrypted traffic using ensemble learning algorithms［J］.Egyptian Informatics Journal，2022，23（4）：57-68.

［11］龔萬煒，邢軍.基于模糊邏輯控制器的通信端口流量控制仿真［J］.計(jì)算機(jī)仿真，2023，40（4）：176-179，185.

*2022年廣東開放大學(xué)（廣東理工職業(yè)學(xué)院）雙師工作室項(xiàng)目“網(wǎng)絡(luò)系統(tǒng)集成雙師工作室”（12342127）。

【作者簡介】劉邦桂，男，江西贛州人，碩士，副教授，研究方向：人工智能技術(shù)、網(wǎng)絡(luò)互聯(lián)技術(shù)、網(wǎng)絡(luò)空間安全；金明洙，男，韓國釜山人，博士，教授，研究方向：物聯(lián)網(wǎng)技術(shù)、機(jī)械制造技術(shù)。

【引用本文】劉邦桂，金明洙.一種物聯(lián)網(wǎng)安全通信方案的研究與實(shí)現(xiàn)［J］.企業(yè)科技與發(fā)展，2024（7）：82-87.