基于VPN的遠程用戶連接模型的研究

摘要：VPN業(yè)務(wù)在不少企業(yè)中的應(yīng)用越來越廣泛。在VPN網(wǎng)絡(luò)的部署和維護中，存在著操作過于復(fù)雜，維護升級困難等問題，本文在現(xiàn)有VPN技術(shù)的基礎(chǔ)上進行創(chuàng)新與優(yōu)化，構(gòu)建了一種遠程登錄虛擬專用網(wǎng)絡(luò)構(gòu)架，結(jié)合企業(yè)移動辦公需求，設(shè)計了基于優(yōu)化L2TP和IPSec協(xié)議的用戶連接方案，具有比較好的理論意義和實踐價值。

關(guān)鍵詞：VPN業(yè)務(wù)用戶連接方案遠程登錄

1 概述

隨著企業(yè)信息化發(fā)展的逐步深入，以及電信運營商針對企業(yè)實際需求的產(chǎn)品和服務(wù)的持續(xù)推進，VPN（虛擬專用網(wǎng)絡(luò)）業(yè)務(wù)在不少企業(yè)中的應(yīng)用越來越廣泛。在VPN網(wǎng)絡(luò)的部署和維護中，存在著操作過于復(fù)雜，維護升級困難等問題，此外，如何保證VPN連接的安全性與數(shù)據(jù)的完整性，也是擺在業(yè)界面前的一個亟待解決的問題。本文在現(xiàn)有VPN技術(shù)的基礎(chǔ)上進行創(chuàng)新與優(yōu)化，構(gòu)建了一種遠程登錄虛擬專用網(wǎng)絡(luò)構(gòu)架，該構(gòu)架充分結(jié)合了第三層網(wǎng)絡(luò)層IPSec技術(shù)以及第二層L2TP技術(shù)，通過數(shù)據(jù)的透明傳輸來實現(xiàn)NAT/PAT穿越。從而以相對簡單的VPN結(jié)構(gòu)實現(xiàn)了通訊安全性目標，支持數(shù)據(jù)的完整有效傳送，具有比較好的理論價值和實踐意義。

2 遠程登錄VPN體系結(jié)構(gòu)

遠程接入VPN的體系結(jié)構(gòu)設(shè)計要考慮的因素包括：是否便于管理、是否節(jié)約費用、是否具有可移植性和高可用性、是否有利于ISP進行計費流量控制以及用戶管理等。

結(jié)合以上的需求，本文所設(shè)計的遠程用戶連接模型將實現(xiàn)以下的通信過程（如圖所示）:

①用戶所在的遠程接入終端與企業(yè)intranet中的網(wǎng)關(guān)集中器實現(xiàn)有效連接，在圖中，表現(xiàn)為ISP網(wǎng)關(guān)A與各類企業(yè)異地遠程用戶終端之間的服務(wù)請求應(yīng)答和連接建立過程。②連接建立之后，企業(yè)intranet中的網(wǎng)關(guān)集中器經(jīng)由Internet，實現(xiàn)與遠程目標服務(wù)器的連接，在圖中，表現(xiàn)為目標服務(wù)器與網(wǎng)關(guān)A之間構(gòu)建了一條隧道維護數(shù)據(jù)通路，如果數(shù)據(jù)流超時，則系統(tǒng)將遵循算法自動繞過NAT/PAT，同時穿越防火墻，實現(xiàn)加密數(shù)據(jù)的有效傳送。③目標地址服務(wù)器接受企業(yè)intranet中的網(wǎng)關(guān)集中器的請求之后，作為響應(yīng)，從企業(yè)intranet中尋找目的地址并向客戶提供服務(wù)。

在上圖所示的基于VPN的遠程用戶連接體系結(jié)構(gòu)圖中，總公司服務(wù)器與客戶個人PC就是兩個意欲構(gòu)建安全連接的終端，客戶端的主機系統(tǒng)涵蓋了客戶上網(wǎng)辦公所使用的各類移動設(shè)備，也包括辦公人員的個人PC，還包括企業(yè)的異地遠程分公司。這個VPN構(gòu)架的核心部分是網(wǎng)關(guān)A訪問集中器，此模塊實現(xiàn)了客戶端的連接以及參數(shù)模式安全控制，同時實現(xiàn)了NAT穿越。

3 L2TP部分的設(shè)計

3.1 連接過程設(shè)計

本文所設(shè)計的客戶連接過程為：①由遠程客戶端發(fā)起呼叫，請求連接公司內(nèi)部的登錄服務(wù)器。②公司內(nèi)部的登錄服務(wù)器在受到來自客戶端的請求后，將其轉(zhuǎn)發(fā)給ISP訪問集中器（網(wǎng)關(guān)A）進行進一步的處理。③ISP訪問集中器（網(wǎng)關(guān)A）結(jié)合所受到的代理請求，從中抽取出客戶端和連接服務(wù)器兩者的IP地址。④ISP訪問集中器對終端服務(wù)器的代理請求的合法性經(jīng)檢測，若通過了檢測，則進一步調(diào)用L2TP的驗證用戶進程，對客戶端進行認證。⑤假若用戶通過了認證，則發(fā)起VPN連接，VPN連接包括兩方面，一是網(wǎng)關(guān)A到遠程目標服務(wù)器的IPSec連接，二是客戶端到網(wǎng)關(guān)A的L2TP連接。

3.2對等體間的隧道建立

ISP訪問集中器（網(wǎng)關(guān)A）和客戶端之間構(gòu)成了L2TP對等體。網(wǎng)關(guān)A在確認受到的是來自遠程客戶的合法請求后，便開始發(fā)起客戶端認證進程，這一過程通過調(diào)用鏈路控制協(xié)議LCP來完成。隨后網(wǎng)關(guān)A使用回撥技術(shù)向遠程用戶端發(fā)起連接，主要的模式保證了用戶終端到網(wǎng)關(guān)服務(wù)器的安全性，避免客戶端受到偽裝攻擊，進一步確保了流量可控性。在網(wǎng)關(guān)A的回撥過程中，通過CHAP或PAP來實現(xiàn)客戶端和服務(wù)器間的相互認證，認證成功后，開始建立基于VPN的從ISP訪問集中器到客戶端的連接。

3.3 會話建立維護

通過上一步對等體間的隧道建立，接著還需構(gòu)建一個便于數(shù)據(jù)傳輸?shù)臅?，在會話建立維護中，首先發(fā)送一條ICRQ消息（呼入請求消息）。假若系統(tǒng)目前有可用資源，則新會話被允許建立。此時，客戶端的ICRQ消息便會受到來自網(wǎng)關(guān)A的響應(yīng)，即呼入應(yīng)答(ICRP)消息。客戶端受到響應(yīng)之后，再發(fā)出ICCN（呼入連接）消息。ICCN表明遠程客戶端此時在進行會話建立。在此期間，網(wǎng)關(guān)A和遠程客戶端之間交換如下參數(shù)：代理LCP、指定的服務(wù)以及實際連接速度。

4 隧道連接部分的設(shè)計

4.1 隧道建立過程

在隧道建立階段，主要包括以下的步驟:①ISP訪問集中器向遠端客戶服務(wù)器發(fā)起連接請求。②觸發(fā)IKE協(xié)議“a”階段，ISP訪問集中器向遠端客戶服務(wù)器之間協(xié)商策略，接著調(diào)入策略處理模塊。③建立共享的密鑰機制本文所設(shè)計的系統(tǒng)采用Diffie Hellman協(xié)議。④在以上步驟建立的安全連接上，開始觸發(fā)設(shè)備驗證。⑤觸發(fā)IKE協(xié)議“b”階段，在建立的安全連接上，在ISP訪問集中器向遠端客戶服務(wù)器之間間協(xié)商不同于先前的參數(shù)和密鑰。⑥IKE協(xié)議“b”階段結(jié)束，建立數(shù)據(jù)連接，傳輸數(shù)據(jù)報文。⑦周期性地對Hell消息進行檢驗，長期空閑的或者到期的連接將被結(jié)束。

4.2數(shù)據(jù)報處理流程

結(jié)合安全關(guān)聯(lián)數(shù)據(jù)庫和安全策略數(shù)據(jù)庫信息進行數(shù)據(jù)報處理，具體工作流程為:首先進行數(shù)據(jù)報輸出，通過對安全策略數(shù)據(jù)關(guān)聯(lián)數(shù)據(jù)庫的查詢，確定具體的安全策略，再通過對安全關(guān)聯(lián)數(shù)據(jù)庫查詢，確定是否有效，如果安全聯(lián)盟有效，則將數(shù)據(jù)報封裝，并抽取相應(yīng)參數(shù)。假若安全策略尚未建立，則將以IKE建立連后再查看安全策略數(shù)據(jù)。此外，為了保證報文封裝的完整性，需要引入Hash算法，對不是認證數(shù)據(jù)的包進行哈希計算，以保證ICV值的完整性。

4.3加密/解密過程

通過封裝模塊來調(diào)用加密解密模塊，實現(xiàn)數(shù)據(jù)的加密和解密。加密解密模塊同時結(jié)合密鑰管理模塊的算法函數(shù)庫，進行具體的加/解密操作，共同實現(xiàn)VPN加密與解密處理。此處，將數(shù)據(jù)封裝模塊視為統(tǒng)一的一個系統(tǒng)接口，遠程連接模型的主控制模塊不直接調(diào)用完整性驗證單元和加解密單元。數(shù)據(jù)分組首先被封裝模塊讀取出來，通過加解密算法，把并將需要加解密的內(nèi)容和SA的密鑰傳輸至加解密單元。通過調(diào)用加密算法函數(shù)，得到經(jīng)過加密的信息，再通過數(shù)據(jù)封裝單元封裝成新的數(shù)據(jù)。

5系統(tǒng)安全控制

系統(tǒng)完成身份認證是通過調(diào)用用戶管理模塊實現(xiàn)的，通過調(diào)用API，在需要進行授權(quán)時，從屬性證書目錄服務(wù)器中，通過身份證書和屬性證書的關(guān)聯(lián)，取出屬性證書，對已簽名的屬性證書按照策略進行檢查，從通過檢查的屬性證書中獲取相關(guān)的角色信息，完成以后，結(jié)合角色信息和其權(quán)限之間的對應(yīng)關(guān)系，采用具體策略檢查訪問的目標，允許或拒絕訪問的結(jié)果最終由API向系統(tǒng)返回。訪問控制流程描述如下所示：

①資源訪問請求由用戶客戶端引發(fā)，給應(yīng)用校驗代碼提交請求，用戶PKC證書包含在該請求里。

②安全支撐平臺收到來自校驗代碼的權(quán)限校驗請求。

③用戶PKI證書的有效性提交給安全支撐平臺進行校驗。

④根據(jù)用戶PKC和PMI發(fā)布點，安全支撐平臺獲取用戶屬性證書。

⑤根據(jù)用戶屬性證書，策略實施點生成并發(fā)出決策請求。

⑥根據(jù)策略，策略決策點判斷該請求，返回判斷結(jié)果。

⑦根據(jù)返回的決策結(jié)果，策略實施點決定是否進行訪問，并返回其決定的結(jié)果。

⑧假若用戶未能通過校驗，則返回拒絕頁面；通過校驗則向資源發(fā)送訪問請求。

⑨在用戶所在的客戶端以頁面形式顯示訪問結(jié)果。

6結(jié)束語

支持用戶遠程登錄的VPN是由一系列相互配合的協(xié)議組成的，結(jié)合實際的應(yīng)用需求也有著具有針對性的實際方案，在具體應(yīng)用時，可以結(jié)合實際的客戶需求采取合理的配置方案。本文結(jié)合企業(yè)移動辦公需求，設(shè)計了基于優(yōu)化L2TP和IPSec協(xié)議的用戶連接方案，一方面可以提高了網(wǎng)絡(luò)的安全性，另一方面能夠保證客戶端程序簡單易用，此外還可以支持服務(wù)提供商的流量控制檢測。本文的構(gòu)架模型具有比較好的理論意義和實踐價值。

參考文獻：

[1]釜曉，宇魏鴻等譯.Steven Brown著[M].構(gòu)建虛擬專用網(wǎng).北京人民郵電出版社2011.8.

[2]周永彬等譯，CarltonR Davis著[M].IPSecVPN的安全實施清華大學出版社.2012.1.

[3]王惠芳，徐開勇.網(wǎng)上密鑰分配協(xié)議分析. [J]西安電子科技大學ISDN國家重點實驗室，通信學報，2011.3.