基于智能手機(jī)的虛擬專用網(wǎng)設(shè)計

王星昌 盛奔宇

摘 要：移動辦公安全是VPN技術(shù)的一個新的應(yīng)用領(lǐng)域。通過對傳統(tǒng)虛擬專用網(wǎng)的研究，建立了一個可以在智能手機(jī)終端上實現(xiàn)的虛擬專用網(wǎng)模型。模型包括三個模塊：虛擬專用網(wǎng)客戶端，安全服務(wù)器，虛擬網(wǎng)關(guān)。本文的虛擬專用網(wǎng)系統(tǒng)實現(xiàn)了從智能手機(jī)終端由公網(wǎng)到服務(wù)器的通信安全，實現(xiàn)了跨越公網(wǎng)進(jìn)行局域網(wǎng)內(nèi)數(shù)據(jù)交互。

關(guān)鍵詞：智能手機(jī)；虛擬網(wǎng)卡；虛擬專用網(wǎng)

1 引言

基于智能手機(jī)的網(wǎng)絡(luò)發(fā)展為用戶帶來極大的便利，但是隨之而來的安全性問題越來越嚴(yán)重。為了解決手機(jī)智能終端的無線安全通信問題，開發(fā)一種用于手持智能終端的數(shù)據(jù)傳輸保護(hù)方案越來越重要。為此提出了一種基于IPSec隧道傳輸技術(shù)的手持智能終端的接入虛擬移動專網(wǎng)的解決方案，在運行 Windows Mobile操作系統(tǒng)的智能手持終端上，通過客戶端軟件對用戶身份進(jìn)行認(rèn)證，并對收到和發(fā)出的報文進(jìn)行解密和加密，從而實現(xiàn)了虛擬專用網(wǎng)技術(shù)在手持智能終端上的應(yīng)用。

2 相關(guān)工作

VPN是利用不可靠的共享網(wǎng)絡(luò)作為傳輸媒介，通過隧道技術(shù)構(gòu)建的私有專用網(wǎng)絡(luò)，依靠數(shù)據(jù)加密、身份認(rèn)證及訪問控制確保數(shù)據(jù)的通信安全[1]。它可以對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸[2]。VPN的安全性可通過隧道技術(shù)、加密和認(rèn)證技術(shù)得到解決。在Internet VPN中，要有高強(qiáng)度的加密技術(shù)來保護(hù)敏感信息；在遠(yuǎn)程訪問VPN中要有對遠(yuǎn)程用戶可靠的認(rèn)證機(jī)制[3]。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的[4]。虛擬專用網(wǎng)技術(shù)主要使用IPSec協(xié)議或者SSL協(xié)議，在容易受到攻擊的互聯(lián)網(wǎng)中傳送受到保護(hù)的認(rèn)證和加密的數(shù)據(jù)[5]。

3 智能手機(jī)虛擬專用網(wǎng)架構(gòu)

本文主要解決的問題是如何建立智能手機(jī)終端的虛擬專用網(wǎng)，也就是要在手機(jī)終端和VPN服務(wù)器之間建立一個隧道。本文提出的基于智能手機(jī)虛擬專用網(wǎng)模型分為手機(jī)客戶端和服務(wù)器兩大部分。

3.1 智能手機(jī)虛擬專用網(wǎng)總體架構(gòu)

基于Windows Mobile操作系統(tǒng)的手持智能終端，提出了一個在其平臺上實現(xiàn)虛擬移動專網(wǎng)的架構(gòu)。其主要功能有基于IPSec隧道的安全數(shù)據(jù)傳輸、訪問控制、終端安全環(huán)境實時監(jiān)控等?；谑殖种悄芙K端的虛擬移動專網(wǎng)系統(tǒng)由三個部分組成：運行于手持智能終端設(shè)備上的客戶端，虛擬移動專網(wǎng)網(wǎng)關(guān)以及安全策略配置服務(wù)端。具體結(jié)構(gòu)如圖1所示。

整個體系運行的流程如下：客戶端接到安全連接請求，其認(rèn)證模塊發(fā)送認(rèn)證數(shù)據(jù)與安全策略配置服務(wù)端的認(rèn)證模塊進(jìn)行通信，一旦驗證成功后，安全策略配置服務(wù)端將從策略數(shù)據(jù)庫中查詢與請求用戶相對應(yīng)的策略記錄，這些記錄被傳送給客戶端，根據(jù)對應(yīng)的安全策略，終端系統(tǒng)的客戶端通過安全保障模塊與遠(yuǎn)程的虛擬專網(wǎng)網(wǎng)關(guān)進(jìn)行隧道的建立，隧道建立成功后雙方就能夠進(jìn)行安全通信，虛擬專網(wǎng)網(wǎng)關(guān)再把解除安全保護(hù)的原始報文傳送給被保護(hù)局域網(wǎng)內(nèi)的主機(jī)。

3.2 客戶端終端系統(tǒng)

客戶端模塊的設(shè)計圖如圖2所示。在虛擬移動專網(wǎng)系統(tǒng)客戶端模塊中，身份認(rèn)證模塊的主要功能是客戶端通過可選的認(rèn)證機(jī)制與安全策略配置服務(wù)端進(jìn)行認(rèn)證通信，經(jīng)過雙方的確認(rèn)后，身份認(rèn)證模塊作為一個中轉(zhuǎn)站，收到安全策略服務(wù)端反饋的策略后，直接傳遞給安全策略解析模塊。身份認(rèn)證模塊還將從安全策略服務(wù)端收到管理員給用戶指定的綁定身份及權(quán)限的虛擬網(wǎng)卡的IP地址。虛擬網(wǎng)卡模塊是在手持設(shè)備上實現(xiàn)虛擬專網(wǎng)的創(chuàng)新部分，利用虛擬網(wǎng)卡能夠把需要進(jìn)行安全處理的報文截獲，對其進(jìn)行分析后將其轉(zhuǎn)交給后續(xù)處理模塊。

安全策略解析模塊把解析后有關(guān)接入控制的策略和 IPSec隧道協(xié)商策略下發(fā)到接入控制模塊。接入控制模塊根據(jù)相應(yīng)的策略對終端當(dāng)前的系統(tǒng)安全狀況進(jìn)行檢查，一旦有發(fā)現(xiàn)不安全因素則給出提示并且終止此次虛擬移動專網(wǎng)的接入。如果系統(tǒng)經(jīng)檢測符合相應(yīng)的接入控制策略，首先啟動系統(tǒng)實時監(jiān)控進(jìn)程繼續(xù)監(jiān)視系統(tǒng)的安全，這個進(jìn)程將一直運行直到本次虛擬專網(wǎng)使用結(jié)束。與此同時，接入控制模塊把收到的IPSec隧道協(xié)商策略轉(zhuǎn)發(fā)給隧道協(xié)商IKE模塊。

隧道協(xié)商模塊的主要功能是根據(jù)收到的隧道協(xié)商策略與虛擬專網(wǎng)網(wǎng)關(guān)進(jìn)行建立隧道所需的相關(guān)參數(shù)的協(xié)商，并且建立起邏輯隧道連接。它為IPSec處理模塊提供建立隧道的必要參數(shù)以及對報文進(jìn)行加密的算法、認(rèn)證的方式等等。

IPSec處理模塊的功能是根據(jù)相應(yīng)的認(rèn)證和加密參數(shù)對原始報文進(jìn)行認(rèn)證和加密，再利用隧道參數(shù)對發(fā)出的報文進(jìn)行隧道封裝，對接收到的加密報文進(jìn)行解密。

訪問控制模塊會收到安全策略解析模塊下發(fā)的關(guān)于訪問控制相關(guān)的安全策略，執(zhí)行策略對這些報文進(jìn)行相關(guān)的安全檢測，只有通過才能繼續(xù)進(jìn)行IPSec安全處理[6]。

3.3 安全策略配置服務(wù)端

在安全策略配置服務(wù)模塊中，除了對安全策略查詢和傳輸?shù)墓δ芡猓€能夠提供對策略進(jìn)行添加、修改、刪除等功能。

安全策略服務(wù)器的認(rèn)證模塊收到客戶端發(fā)出的認(rèn)證請求數(shù)據(jù)后，經(jīng)過在數(shù)據(jù)庫中對用戶身份進(jìn)行核實，將終端系統(tǒng)接入控制策略、訪問控制策略以及IPSec隧道協(xié)商策略一起反饋給客戶端，客戶端先根據(jù)接入控制策略對系統(tǒng)安全環(huán)境進(jìn)行檢測，通過后將利用IPSec隧道協(xié)商策略與遠(yuǎn)程虛擬移動專網(wǎng)網(wǎng)關(guān)建立隧道，同時將隧道參數(shù)應(yīng)用于客戶端上的IPSec模塊，IPSec模塊利用訪問控制策略對報文進(jìn)行選擇過濾，將需要進(jìn)行隧道傳輸?shù)膱笪倪M(jìn)行IPSec封裝，發(fā)向遠(yuǎn)程虛擬移動專網(wǎng)網(wǎng)關(guān)。

4 系統(tǒng)應(yīng)用測試

為了對設(shè)計的Windows Mobile虛擬移動專網(wǎng)系統(tǒng)的應(yīng)用進(jìn)行測試，分別使用了兩部智能手機(jī)來進(jìn)行操作。硬件測試平臺的具體參數(shù)如表1所示。

表1 應(yīng)用測試表

終端型號 操作系統(tǒng)版本 處理器 ROM容量 RAM容量

多普達(dá)D700 Windows mobile5.0 Intel PXA 263 400Mhz 96 MB 128MB

夏新E850 Windows mobile5.0 Intel X Scale 312Mhz 64MB 64MB

在測試方式上，選擇Windows Mobile操作系統(tǒng)中的FTP客戶端軟件OrnetaFTP Explorer Mobile V2.1.0，分別針對使用虛擬專網(wǎng)接入情況和不使用虛擬專網(wǎng)接入的情況，對于下載大小為386KB的“test.rar”文件的過程進(jìn)行統(tǒng)計。主要記錄的指標(biāo)有處理器的占用率，F(xiàn)TP下載所用時間及其平均速度。本次測試采用的網(wǎng)絡(luò)接入方式均為中國移動提供的GPRS服務(wù)。圖3與圖4是測試結(jié)果。

由上述測試結(jié)果可以看出，使用智能手機(jī)終端虛擬專網(wǎng)接入系統(tǒng)后，進(jìn)行FTP下載時處理器的資源占用率會有10%左右的上升，但這個占用率是可以接受的，對于用戶的使用來說沒有太大的影響。由此可見，采用改進(jìn)的IPSec模型的設(shè)計是可行的，能夠在手持終端的硬件環(huán)境中應(yīng)用，具有實際價值。

5 總結(jié)

本文提出了提出了基于智能手機(jī)終端的虛擬專用網(wǎng)模型，根據(jù)手持智能移動終端的特點，利用基于虛擬網(wǎng)卡的處理模式，減少對系統(tǒng)資源的消耗。通過虛擬網(wǎng)卡，能夠把需要在系統(tǒng)底層才能完成的IPSec封裝與解封裝、隧道封裝與解封裝等操作轉(zhuǎn)移到系統(tǒng)應(yīng)用層，使得處理過程對系統(tǒng)資源的消耗大大降低。

[參考文獻(xiàn)]

[1]石露.VPN技術(shù)的應(yīng)用及發(fā)展[J].信息安全與通信保密.2010（02）.

[2]Peter Adey.Anticipating emergencies：Technologies of preparedness and the matter of security.[J].Security Dialogue，2012，43（2）.

[3]李芳.對VPN技術(shù)的研究及應(yīng)用[J].硅谷.2010（03）.

[4]程思，程家興.VPN中的隧道技術(shù)研究[J].計算機(jī)技術(shù)與發(fā)展. 2010（02）.

[5]W.Richard Stevens.TCP/IP詳解卷1：協(xié)議.范建華，光輝，張濤，譯. [M]北京：機(jī)械工業(yè)出版社，2000.111-116.

[6]杜家嚴(yán)，盧朝暉.IPSec VPN及其在校園網(wǎng)中的應(yīng)用[J].電腦知識與技術(shù).2012（01）.