可管可控的移動VPDN方案研究

黃 粵，魏穎琪

(中國電信股份有限公司廣東研究院 廣州510630)

1 引言

2012年，美國電信供應(yīng)商Verizon的官方微博披露的一則新聞引起了廣泛熱議。Verizon受一家基礎(chǔ)建設(shè)建筑公司委托，對其在Verizon設(shè)立的VPN（virtual private network，虛擬專用網(wǎng)絡(luò)）系統(tǒng)中的一個反常VPN登錄情況進行調(diào)查。該VPN系統(tǒng)建設(shè)于2010年，目的是讓員工在一定時期內(nèi)可在公司以外的地方遠程辦公。調(diào)查過程中，對反常VPN連接情況的監(jiān)測結(jié)果顯示，公司的VPN服務(wù)主機經(jīng)常被來自中國沈陽的客戶訪問，幾乎每天登錄，登錄時間偶爾會從上班持續(xù)到下班。而同時使用該登錄賬號的程序員卻坐在美國公司本部的辦公桌邊。一切看起來頗為蹊蹺，但真相卻令人大跌眼鏡，原來正是擁有該VPN賬號的程序員用其1/5的薪水，雇傭了沈陽的一家軟件公司幫助其完成日常工作。這樣，該程序員在工作期間就有充足的時間網(wǎng)上沖浪，同時他因為代碼整潔、質(zhì)量良好、提交及時還成為了公司的明星程序員。

這則新聞雖然令人啼笑皆非，卻也從一個側(cè)面反映出了如下所述的企業(yè)管理與運作信息化發(fā)展現(xiàn)狀。

·“世界”真的是“平的”。身處地球各地的人，無論他在美國某個州還是在中國沈陽，只要信息網(wǎng)絡(luò)觸手可及，都可協(xié)同工作，共同完成一項任務(wù)。

·企業(yè)VPN大行其道。正是VPN，使移動辦公、遠程辦公成為了可能，促成了上面現(xiàn)狀的迅猛發(fā)展。

·不加控制與管理的VPN是對企業(yè)信息安全的一個重大威脅。

因此，在信息網(wǎng)絡(luò)日益發(fā)達的今天，企業(yè)對VPN有何要求以及如何構(gòu)建安全可控的VPN是值得深入探討與研究的課題。

2 構(gòu)建企業(yè)VPN的關(guān)鍵因素

VPN指在公用網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）上建立專用網(wǎng)絡(luò)，之所以稱其為“虛擬”，是因為VPN的任意兩個節(jié)點之間的連接都沒有端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺上。企業(yè)構(gòu)建自己的VPN主要基于以下4個因素的考慮。

（1）組網(wǎng)因素

一般企業(yè)無法自行鋪設(shè)管線，組建一張屬于自身的信息網(wǎng)絡(luò)，最簡單、省事的方法是使用網(wǎng)絡(luò)服務(wù)商提供的公用網(wǎng)絡(luò)，在其上構(gòu)建一張?zhí)摂M專網(wǎng)，連接企業(yè)總部與各分支、各在外員工，以達到企業(yè)員工可遠程訪問企業(yè)ERP、OA等系統(tǒng)，快速存取企業(yè)內(nèi)部數(shù)據(jù)，提升企業(yè)運作效率的目的。

（2）安全因素

由于現(xiàn)有的基于互聯(lián)網(wǎng)的信息交換缺乏相應(yīng)的安全保護機制，各類黑客攻擊、侵入（如系統(tǒng)注入、拒絕服務(wù)、網(wǎng)頁掛馬、釣魚攻擊等）猖獗，各種計算機病毒橫行。企業(yè)需要讓遠程接入點實現(xiàn)其機密數(shù)據(jù)及資源的共享，因此涉及企業(yè)機密的數(shù)據(jù)交換必然面臨嚴重的安全威脅。

（3）移動因素

隨著3G通信技術(shù)的日趨完備、無線網(wǎng)絡(luò)覆蓋的持續(xù)優(yōu)化和移動終端的推陳出新，移動互聯(lián)網(wǎng)得到快速發(fā)展，使得多樣化的移動商務(wù)應(yīng)用成為現(xiàn)實。企業(yè)員工使用的信息終端也從單一的手機、筆記本電腦擴展至各種手持移動終端。由于手持移動終端攜帶方便、使用簡單、開機啟動和聯(lián)網(wǎng)迅速、移動性更強、更為輕便，使得專業(yè)應(yīng)用由臺式或筆記本電腦逐步向手持終端延伸成為一個不可扭轉(zhuǎn)的趨勢。

（4）管理因素

雖然大部分非信息領(lǐng)域的專業(yè)企業(yè)沒有實力自己構(gòu)建VPN，需要依賴于網(wǎng)絡(luò)服務(wù)商提供的VPN服務(wù)，但其希望能對VPN實現(xiàn)自助管理，提升對信息安全的管控能力。如通過定義健全的服務(wù)認證機制建立較高安全級別的身份認證體系、對不同等級的企業(yè)員工或用戶開放不同范圍的企業(yè)內(nèi)網(wǎng)訪問權(quán)限等，這些個性化需求要求企業(yè)VPN實現(xiàn)差異化的服務(wù)。

3 基于MPLS的移動VPDN解決方案

根據(jù)對企業(yè)客戶具體需求的深入了解以及對當(dāng)前信息網(wǎng)絡(luò)寬帶化、移動化趨勢的把握，基于MPLS（multiprotocol label switching，多協(xié)議標簽交換）的移動VPDN（virtual private dial-up network，虛擬專有撥號網(wǎng)絡(luò)）將是企業(yè)構(gòu)建VPN的一個行之有效的解決方案，也是未來企業(yè)VPN發(fā)展的一個重要方向。通過基于MPLS的移動VPDN，能在遠程訪問的無線終端、傳輸通道、企業(yè)內(nèi)網(wǎng)之間建立一條專有的、端到端的、安全快捷的數(shù)據(jù)通道，從而有效地保障企業(yè)機密數(shù)據(jù)在整個傳送與交換過程中的時效性及安全性。

以cdma2000 1x/3G網(wǎng)絡(luò)為例，基于MPLS的移動VPDN架構(gòu)如圖1所示。

基于MPLS的移動VPDN架構(gòu)大致可以分為3部分。

（1）用戶接入無線VPDN

無線VPDN是基于cdma2000 1x/3G高速分組數(shù)據(jù)網(wǎng)絡(luò)，利用L2TP（layer 2 tunneling protocol，二層隧道協(xié)議）技術(shù)為企業(yè)客戶構(gòu)建與公用互聯(lián)網(wǎng)隔離的虛擬專用網(wǎng)絡(luò)。網(wǎng)絡(luò)連接主要包括無線空中通道、無線接入網(wǎng)、核心網(wǎng)。企業(yè)員工或用戶使用的移動終端通過這段網(wǎng)絡(luò)連接，利用L2TP技術(shù)，建立了一條與所屬專網(wǎng)連接的虛擬隧道，隧道源于用戶終端，止于網(wǎng)絡(luò)服務(wù)商的共享LNS（L2TP network server，支持L2TP的網(wǎng)絡(luò)服務(wù)器）。這樣，遠程的移動終端或PC通過無線VPDN安全地撥入訪問企業(yè)網(wǎng)絡(luò)或應(yīng)用系統(tǒng)。

（2）MPLS VPN

企業(yè)采用MPLS VPN連接各分支、業(yè)務(wù)網(wǎng)點及無線VPDN部分的共享LNS，MPLS VPN承載在網(wǎng)絡(luò)服務(wù)商的基礎(chǔ)網(wǎng)絡(luò)（如中國電信的CN2網(wǎng)絡(luò)）上。MPLS VPN是一種基于MPLS技術(shù)的IP VPN，其采用標簽交換的方式，一個標簽對應(yīng)一個用戶數(shù)據(jù)流，非常易于實現(xiàn)企業(yè)VPN與公用網(wǎng)絡(luò)的數(shù)據(jù)隔離、不同企業(yè)VPN之間的數(shù)據(jù)隔離，區(qū)別于在公用網(wǎng)絡(luò)之上依靠封裝與加密技術(shù)的傳統(tǒng)VPN（如IPSec VPN）。同樣，因其不依賴于終端對數(shù)據(jù)的封裝與加密，屬于網(wǎng)絡(luò)側(cè)的VPN，MPLS VPN無需接入的終端運行客戶端程序，加快了接入速度，提高了傳輸效率。而MPLS VPN強大的組網(wǎng)靈活性及擴展性，也易于實現(xiàn)企業(yè)VPN服務(wù)的差異化。

（3）企業(yè)客戶網(wǎng)絡(luò)

企業(yè)總部及各分支機構(gòu)、業(yè)務(wù)網(wǎng)點通過MPLS VPN組成各種拓撲結(jié)構(gòu)的企業(yè)VPN。

建設(shè)好以上基于MPLS的移動VPDN，企業(yè)員工及用戶只需在自己的移動終端上做簡單撥號，即可接入企業(yè)內(nèi)網(wǎng)，獲取數(shù)據(jù)。具體撥入流程如圖2所示。

具體的撥入流程如下所述。

·移動終端進行無線撥號，接入核心網(wǎng)的PDSN（packet data server node，分組數(shù)據(jù)業(yè)務(wù)節(jié)點）。

·PDSN向接入AAA（authentication，authorization and account，認證、授權(quán)、計費）服務(wù)器查詢移動終端賬號的VPDN信息，接入AAA服務(wù)器給出LNS信息及L2TP參數(shù)等。

·PDSN根據(jù)接入AAA服務(wù)器給出的信息，找到相應(yīng)的LNS，在VPDN AAA服務(wù)器進行賬號密碼鑒權(quán)，鑒權(quán)成功后與LNS建立加密的L2TP傳輸數(shù)據(jù)。

·移動終端獲取IP地址后，接入目標網(wǎng)絡(luò)，即成功建立如圖3所示的專網(wǎng)通道，實現(xiàn)撥號接入企業(yè)VPN。

4 可管可控的增強型VPDN

基于MPLS的移動VPDN方案的研發(fā)，成功解決了企業(yè)VPN構(gòu)建時在組網(wǎng)、安全及移動因素等方面的困擾。隨著3G網(wǎng)絡(luò)的發(fā)展與優(yōu)化，移動VPDN以速度快、覆蓋廣、使用方便、安全性高等特點，逐漸在工商、金融、警務(wù)、工業(yè)監(jiān)控等眾多部門及行業(yè)擴展了應(yīng)用，為各行各業(yè)的信息化建設(shè)注入新動力。但隨著遠程辦公、移動辦公應(yīng)用的不斷增加，企業(yè)對移動VPDN提出更多的要求，特別是在VPN的管理、控制及個性化的實現(xiàn)方面提出了更高的要求。

4.1 靈活、嚴格的身份認證新方案

一方面，傳統(tǒng)的VPDN撥號接入，由VPDN AAA服務(wù)器根據(jù)企業(yè)用戶的賬號密碼進行身份識別，如果賬號和密碼被盜，則第三方可通過該賬號和密碼進入企業(yè)內(nèi)網(wǎng)，存在風(fēng)險隱患；另一方面，在互聯(lián)網(wǎng)時代，用戶需要保管大量各類移動互聯(lián)網(wǎng)服務(wù)的賬號和密碼，新增的移動VPDN賬號密碼會增加用戶負擔(dān)，特別是采用定期更換密碼方式實現(xiàn)接入安全的企業(yè)用戶。

移動智能終端不是簡單的計算移動化，它提供了很多PC所不具備的功能和特性，手機作為隨身攜帶的微型通信設(shè)備，提供以下兩種基于硬件的唯一身份標識碼。

·IMSI（international mobile subscriber identification number，國際移動設(shè)備識別碼），存儲在SIM（subscriber identity module，客戶識別模塊）卡中，網(wǎng)絡(luò)服務(wù)商通過IMSI識別用戶的手機號碼。

·設(shè)備硬件識別碼，可以是ESN（electronic serial number，電子序列號），如每臺手機都會被分配一個ESN、MAC（medium access control，媒體介入控制）地址等。

利用兩種基于硬件的唯一身份識別碼，結(jié)合VPDN的賬號和密碼，根據(jù)企業(yè)對身份認證的要求，在移動智能終端上可提供新的、靈活的、更為嚴格的身份認證。

（1）綁定手機號碼的VPDN撥號增強安全綁定模式

網(wǎng)絡(luò)服務(wù)商提供的移動VPDN撥號，除VPDN賬號密碼外，可選增加IMSI綁定，即VPDN AAA服務(wù)器在進行身份驗證的同時，也驗證手機IMSI是否匹配，只有兩者均通過，才允許接入。

（2）用戶免VPDN賬號/密碼輸入的便捷使用模式

用戶需在手機的APN（access point name，接入點名稱）配置中設(shè)置VPDN的賬號和密碼，不但麻煩，且要求用戶具備一定的IT技能，同時也加重企業(yè)對移動VPDN的運維的成本（如需要指導(dǎo)用戶如何進行配置），而用戶通常只在第一次使用時進行輸入，將賬號和密碼保存在手機本地存儲中，在下次撥號時自動接入。

為實現(xiàn)用戶零配置，一鍵撥號的便捷實用，在用戶首次撥號時，利用IMSI綁定，從VPDN AAA服務(wù)器中查找VPDN的賬號和密碼，返回給客戶端，再由客戶端記錄在手機本地存儲，自動進行撥號接入。

這種方式是在不改變現(xiàn)有VPDN接入流程的基礎(chǔ)上，利用IMSI綁定關(guān)系，將用戶的身份認證由VPDN賬號轉(zhuǎn)為手機的IMSI。

（3）綁定手機設(shè)備的VPDN撥號增強安全綁定模式

傳統(tǒng)的VPDN業(yè)務(wù)，即使要求IMSI綁定，企業(yè)用戶仍可通過無線數(shù)據(jù)卡，在PC上接入企業(yè)內(nèi)網(wǎng)，存在病毒入侵等安全問題。某些企業(yè)由于其行業(yè)特殊性，對安全要求特別高，希望用戶只能在指定的設(shè)備上訪問企業(yè)內(nèi)網(wǎng)，即要求VPDN撥號過程中增加設(shè)備綁定。

讀出手機設(shè)備識別碼，如ESN，上報VPDN AAA服務(wù)器進行匹配驗證，就可實現(xiàn)手機設(shè)備的綁定。為了避免在實際操作VPDN AAA服務(wù)器中配置用戶手機設(shè)備識別碼過程的困難，用戶在首次撥號時，訪問VPDN AAA服務(wù)器發(fā)現(xiàn)尚未進行綁定，則根據(jù)上報的設(shè)備識別碼自動完成綁定設(shè)定。

4.2 差異化組網(wǎng)新模型

在信息化不斷普及的新形勢下，企業(yè)VPN不僅僅提供給自身員工使用，同時也可提供給其他與企業(yè)密切相關(guān)的用戶群使用（如一個企業(yè)的用戶群可能是企業(yè)員工、代理商、供貨商、VIP用戶等）。因此，對不同用戶群需設(shè)置不同的企業(yè)VPN內(nèi)的訪問權(quán)限，以降低安全隱患。如一般企業(yè)員工可訪問公司總部與分部，VIP客戶只允許訪問營業(yè)網(wǎng)點，而供貨商只需訪問備貨倉庫。

基于MPLS的移動VPDN以無線接入的VPDN域區(qū)分用戶群，通過MPLS基于網(wǎng)絡(luò)拓撲的訪問控制，對不同用戶群實現(xiàn)了差異化的網(wǎng)絡(luò)訪問范圍限制，如圖4所示。

首先，無線VPDN側(cè)的共享LNS將具有不同訪問權(quán)限的用戶群射到不同的VPDN域中。如上面的例子中，某企業(yè)的VPDN終端用戶有3類，一般企業(yè)員工、VIP客戶、供貨商，這3類用戶的VPDN賬號分別為user@domain1、user@domain2和user@domain3。不同的VPDN域?qū)?yīng)不同的邏輯LNS。不同的邏輯LNS為同一MPLS VPN中不同的網(wǎng)絡(luò)節(jié)點。因此，不同用戶群的路由映射為MPLS VPN中網(wǎng)絡(luò)節(jié)點LNS的路由策略，實現(xiàn)了不同用戶群的識別與隔離。

其次，根據(jù)MPLS VPN精確的路由控制，可控制某用戶群可訪問的企業(yè)VPN中的不同網(wǎng)點。如圖4所示，通過MPLS VPN個性化的路由控制，一般企業(yè)員工可以訪問節(jié)點A與B，即公司總部與分部，VIP客戶只能訪問節(jié)點C——營業(yè)網(wǎng)點，而供貨商只能訪問節(jié)點D——備貨倉庫。

最后，企業(yè)各網(wǎng)點的內(nèi)網(wǎng)側(cè)防火墻也可自定義地址訪問列表，進一步控制具有合法IP地址的終端接入該網(wǎng)點的企業(yè)內(nèi)網(wǎng)。

經(jīng)過用戶群訪問權(quán)限控制機制的實施后，移動終端接入流程延伸了4個步驟。

（1）移動終端無線撥號，建立虛擬IP通道接入至共享LNS，LNS通過用戶撥號域名，完成不同用戶群的區(qū)分。

（2）通過共享LNS與企業(yè)網(wǎng)絡(luò)各網(wǎng)點之間搭建的MPLS VPN，用戶移動終端可直接訪問客戶網(wǎng)絡(luò)。

（3）MPLS VPN采用基于網(wǎng)絡(luò)拓撲（多個星型組網(wǎng)、星型組網(wǎng)與部分網(wǎng)狀組網(wǎng)結(jié)合）的路由訪問控制，限定共享LNS不同用戶群的不同網(wǎng)絡(luò)訪問范圍。

（4）移動終端接入至企業(yè)網(wǎng)絡(luò)側(cè)網(wǎng)絡(luò)，通過企業(yè)網(wǎng)點側(cè)防火墻的訪問列表，進入該網(wǎng)點的企業(yè)內(nèi)網(wǎng)。

通過對移動終端身份認證新方案及基于用戶群的訪問權(quán)限控制的實施，企業(yè)VPN的可管可控性大大增強，做到了只有合法的終端才能接入企業(yè)VPN以及被允許接入的終端只能訪問被允許的企業(yè)內(nèi)網(wǎng)。

5 結(jié)束語

基于MPLS的移動VPDN為企業(yè)客戶提供了基于移動寬帶網(wǎng)絡(luò)之上的VPN數(shù)據(jù)專網(wǎng)，為企業(yè)的移動終端建立了連接到企業(yè)內(nèi)部的私密隧道，實現(xiàn)了企業(yè)內(nèi)部數(shù)據(jù)安全、高速、便捷的傳輸?；贛PLS的移動VPDN還實現(xiàn)了對移動終端身份的嚴格認證及對企業(yè)不同用戶群的訪問權(quán)限控制，增強了企業(yè)VPN的可管可控性。但是，技術(shù)并不是萬能的。企業(yè)VPN的信息安全真正取決于企業(yè)管理制度的完善及員工職業(yè)素質(zhì)的培養(yǎng)，否則，企業(yè)中要是出現(xiàn)了引言中介紹的“明星程序員”，那么就是再先進、再安全可控的VPN也無濟于事。