移動代理專用虛擬網安全機制初探

李　凌

[摘要]把移動代理加入到VPN中，完善現有的VPN的安全機制和防火墻的檢測機制，使VPN傳輸中絕密級數據在不需要解密的情況下，通過防火墻的檢測，滿足用戶對VPN更高的安全性要求。依據系統模擬實驗，設計實現VPNAgent系統部分功能，同時對系統的性能和安全進行探討。

[關鍵詞]專用虛擬網移動代理分布式防火墻

中圖分類號：TN92文獻標識碼：A文章編號：1671-7597(2009)0610085-01

一、引言

為了使內部網絡信息免受非授權用戶的攻擊，人們通常采用防火墻技術保護內部網絡的信息不受非授權用戶的攻擊，同時也廣泛采用虛擬專用網絡技術實現了在不安全網絡中安全可靠地傳輸私有信息。但這兩種技術單獨使用在安全性方面都存在不足，盡管FVPN表現出良好的安全特性，但是在FVPN中的加密信息在通過防火墻時與防火墻檢測機制互相沖突，因為防火墻為了檢查流經信息的內容，必須將這些信息翻譯成明文，這就有被攻擊的可能，這使得被傳輸的加密信息的安全性大打折扣。

二、VPNAgent系統

假定在兩個國家的貿易交換，甲國從乙國按一定的進口條令進口貨物，為了保證貨物符合條令，甲國先派一個客戶代理去乙國預先檢測其要輸出的貨物，如果檢驗合格，就給輸出貨物頒發簽證，表示這個貨物符臺輸入條令。這樣，當貨物到達甲國的邊境時海關信任該簽證，就無需對貨物再進行檢測。

(一)客戶代理VPNClientAgent

VPNClienthgent是一個移動代理，能從防火墻(服務器)遷移到指定的客戶處做一定的檢測工作，這個代理包含代碼和數據(特定檢測目的代碼和安全策略數據)，它是和一個靜態通信代理同時工作的。VPNClientAgent作為防火墻的一個檢測代表，是在各客戶端進行檢測的，它利用防火墻嵌入其上的安全規則進行數據包檢測。

1．檢測單元。嚴格講，檢測單元是防火墻的主要代表部分。它和作用在應用級代理防火墻的應用層的檢測過程工作相同，但是，檢測單元雖然是防火墻的代表卻工作在與防火墻不同的位置，其工作在客戶端。這個單元的輸入是明文格式的信息，VPNClientAgent的檢測單元已嵌入特定的防火墻的安全策略，這個檢測過程有兩種結果；(1)通過：意味著信息是合法的，簽名后就準備交給通信代理；(2)失敗：這種情況下信息會被丟棄，以后的工作需要基于安全策略。

2．加密單元。加密和解密過程是和檢測過程相獨立的過程。加密之后就沒有辦法區分數據包，為了防止未檢測的信息混入到檢測過的合法信息中，加密協議必須嵌入到YPNClientAgent封裝中。因此，VPNClientA—gent按安全策略執行檢測后把數據包交給加密協議，加密后再為合法的數據包簽名，在目的機解密前要先除去簽名。

3．簽名單元。這個單元的作用是證明簽名的數據包時已經檢測過的，符合防火墻安全策略的。VPNClientAgent通過簽名告訴StatieAgent某個數據包是被檢測過的，這樣通過防火墻時就無需再檢測。這個過程可以靠一個數字簽名方法實現。這個單元需要兩個組件：(1)一個簽名數據包的算法：(2)一個VPNClientAgent和StaticAgent的共享密鑰(SKVCA)

(二)靜態代理StaticAgent

StaticAgent是一個靜態通信代理，是防火墻的看門人，它的職責是在防火墻上只為特定的合法的數據包打開一個通道，它工作在防火墻上控制通過防火墻的數據包的路由過程。StaricAgent的職責大體上可以被歸納為三點；(1)驗證綁定到數據包上的通信VPNClientAgent的簽名；(2)確保VPNClientAgent起作用；(3)將合法的數據包到目的地。

StatieAgent包括簽名驗證單元、置換單元和路由單元。

1．簽名驗證單元。簽名驗證單元的目的就是驗證過來的數據包的有效性和是否被合法的客戶代理檢測過。簽名驗證單元從通信代理那兒接收數據包。把數據包分成原始數據加密單元和簽名單元兩部分。

2．路由單元。路由單元就是一個簡單的包含路由和地址轉換信息的路由函。

3．置換單元。這個單元的執行要滿足以下兩個條件：(1)目標服務器上需安裝有執行這個使命的VPNClientAgent；(2)數據包需在到達目的服務器的應用程序之前被檢測。

三、VPNAqent系統的工作流程

客戶機如果想向服務器發送文件，先向服務器請求建立連接，服務器驗證其身份，如果是可信任的客戶端，則根據應用程序的類型派遣合適的VPNClientAgent到客戶端，VPNClientAgent在客戶端檢測數據是否合法，如果是合法數據，則給數據加密，并簽名，VPN·ClientAgent帶著簽名的數據包返回服務器，服務器上的VPNAgent系統中的StaticAgent檢測簽名是否有效，如果簽名有效，則接收數據，否則拒絕接收數據，丟棄無效數據。

四、時間評價

為了衡量VPNAgent系統的性啪，我們器蜃分別考慮影響傳輸時間的幾個因素。下面是傳輸時間計算公式：傳輸時間=檢測時間+加密時間+簽名時間+路由時間。我們用WinDumpl具對同一文件在各種傳輸模式下的傳輸時間進行統計，經過多次對于不同大小的文件進行傳輸實驗，我們通過比較傳輸時間戳發現，從客戶機A到服務器B傳輸一個6K大小的文件，如果以明文形式傳輸需要花費0.087S，這是單純的路由時間，以加密模式(SSL)傳輸，需要花費0.2714S，幾乎是路南時間的三倍，以加密簽名模式(即在VPNAgent系統下)傳輸，需要額外花費0.005S的簽名時間，而應用代理防火墻檢測、加密、路由、解密直到整個傳輸完成共需要0.4356S。

通過比較得知，使用VPNAgent系統與應用級代理防火墻相比，是以簽名時間換取了防火墻處的檢測時間和解密時間，從整體上看來時間是節省了。

五、結束語

虛擬專用網絡安全機制涉及廣泛，在此只結合移動代理技術針對其安全問題的一個方面，進行部分改進工作，VPNAgent系統還有諸多需改進和完善的地方，VPNAgent系統自身的安全性和VPNAgenl系統與各種防火墻系統的融合的問題亟待進一步研究。