基于VPN的遠程用戶連接模型的研究

摘要：VPN業(yè)務在不少企業(yè)中的應用越來越廣泛。在VPN網(wǎng)絡的部署和維護中，存在著操作過于復雜，維護升級困難等問題，本文在現(xiàn)有VPN技術的基礎上進行創(chuàng)新與優(yōu)化，構建了一種遠程登錄虛擬專用網(wǎng)絡構架，結合企業(yè)移動辦公需求，設計了基于優(yōu)化L2TP和IPSec協(xié)議的用戶連接方案，具有比較好的理論意義和實踐價值。

關鍵詞：VPN業(yè)務用戶連接方案遠程登錄

1 概述

隨著企業(yè)信息化發(fā)展的逐步深入，以及電信運營商針對企業(yè)實際需求的產(chǎn)品和服務的持續(xù)推進，VPN（虛擬專用網(wǎng)絡）業(yè)務在不少企業(yè)中的應用越來越廣泛。在VPN網(wǎng)絡的部署和維護中，存在著操作過于復雜，維護升級困難等問題，此外，如何保證VPN連接的安全性與數(shù)據(jù)的完整性，也是擺在業(yè)界面前的一個亟待解決的問題。本文在現(xiàn)有VPN技術的基礎上進行創(chuàng)新與優(yōu)化，構建了一種遠程登錄虛擬專用網(wǎng)絡構架，該構架充分結合了第三層網(wǎng)絡層IPSec技術以及第二層L2TP技術，通過數(shù)據(jù)的透明傳輸來實現(xiàn)NAT/PAT穿越。從而以相對簡單的VPN結構實現(xiàn)了通訊安全性目標，支持數(shù)據(jù)的完整有效傳送，具有比較好的理論價值和實踐意義。

2 遠程登錄VPN體系結構

遠程接入VPN的體系結構設計要考慮的因素包括：是否便于管理、是否節(jié)約費用、是否具有可移植性和高可用性、是否有利于ISP進行計費流量控制以及用戶管理等。

結合以上的需求，本文所設計的遠程用戶連接模型將實現(xiàn)以下的通信過程（如圖所示）:

①用戶所在的遠程接入終端與企業(yè)intranet中的網(wǎng)關集中器實現(xiàn)有效連接，在圖中，表現(xiàn)為ISP網(wǎng)關A與各類企業(yè)異地遠程用戶終端之間的服務請求應答和連接建立過程。②連接建立之后，企業(yè)intranet中的網(wǎng)關集中器經(jīng)由Internet，實現(xiàn)與遠程目標服務器的連接，在圖中，表現(xiàn)為目標服務器與網(wǎng)關A之間構建了一條隧道維護數(shù)據(jù)通路，如果數(shù)據(jù)流超時，則系統(tǒng)將遵循算法自動繞過NAT/PAT，同時穿越防火墻，實現(xiàn)加密數(shù)據(jù)的有效傳送。③目標地址服務器接受企業(yè)intranet中的網(wǎng)關集中器的請求之后，作為響應，從企業(yè)intranet中尋找目的地址并向客戶提供服務。

在上圖所示的基于VPN的遠程用戶連接體系結構圖中，總公司服務器與客戶個人PC就是兩個意欲構建安全連接的終端，客戶端的主機系統(tǒng)涵蓋了客戶上網(wǎng)辦公所使用的各類移動設備，也包括辦公人員的個人PC，還包括企業(yè)的異地遠程分公司。這個VPN構架的核心部分是網(wǎng)關A訪問集中器，此模塊實現(xiàn)了客戶端的連接以及參數(shù)模式安全控制，同時實現(xiàn)了NAT穿越。

3 L2TP部分的設計

3.1 連接過程設計

本文所設計的客戶連接過程為：①由遠程客戶端發(fā)起呼叫，請求連接公司內部的登錄服務器。②公司內部的登錄服務器在受到來自客戶端的請求后，將其轉發(fā)給ISP訪問集中器（網(wǎng)關A）進行進一步的處理。③ISP訪問集中器（網(wǎng)關A）結合所受到的代理請求，從中抽取出客戶端和連接服務器兩者的IP地址。④ISP訪問集中器對終端服務器的代理請求的合法性經(jīng)檢測，若通過了檢測，則進一步調用L2TP的驗證用戶進程，對客戶端進行認證。⑤假若用戶通過了認證，則發(fā)起VPN連接，VPN連接包括兩方面，一是網(wǎng)關A到遠程目標服務器的IPSec連接，二是客戶端到網(wǎng)關A的L2TP連接。

3.2對等體間的隧道建立

ISP訪問集中器（網(wǎng)關A）和客戶端之間構成了L2TP對等體。網(wǎng)關A在確認受到的是來自遠程客戶的合法請求后，便開始發(fā)起客戶端認證進程，這一過程通過調用鏈路控制協(xié)議LCP來完成。隨后網(wǎng)關A使用回撥技術向遠程用戶端發(fā)起連接，主要的模式保證了用戶終端到網(wǎng)關服務器的安全性，避免客戶端受到偽裝攻擊，進一步確保了流量可控性。在網(wǎng)關A的回撥過程中，通過CHAP或PAP來實現(xiàn)客戶端和服務器間的相互認證，認證成功后，開始建立基于VPN的從ISP訪問集中器到客戶端的連接。

3.3 會話建立維護

通過上一步對等體間的隧道建立，接著還需構建一個便于數(shù)據(jù)傳輸?shù)臅挘跁捊⒕S護中，首先發(fā)送一條ICRQ消息（呼入請求消息）。假若系統(tǒng)目前有可用資源，則新會話被允許建立。此時，客戶端的ICRQ消息便會受到來自網(wǎng)關A的響應，即呼入應答(ICRP)消息?？蛻舳耸艿巾憫?，再發(fā)出ICCN（呼入連接）消息。ICCN表明遠程客戶端此時在進行會話建立。在此期間，網(wǎng)關A和遠程客戶端之間交換如下參數(shù)：代理LCP、指定的服務以及實際連接速度。

4 隧道連接部分的設計

4.1 隧道建立過程

在隧道建立階段，主要包括以下的步驟:①ISP訪問集中器向遠端客戶服務器發(fā)起連接請求。②觸發(fā)IKE協(xié)議“a”階段，ISP訪問集中器向遠端客戶服務器之間協(xié)商策略，接著調入策略處理模塊。③建立共享的密鑰機制本文所設計的系統(tǒng)采用Diffie Hellman協(xié)議。④在以上步驟建立的安全連接上，開始觸發(fā)設備驗證。⑤觸發(fā)IKE協(xié)議“b”階段，在建立的安全連接上，在ISP訪問集中器向遠端客戶服務器之間間協(xié)商不同于先前的參數(shù)和密鑰。⑥IKE協(xié)議“b”階段結束，建立數(shù)據(jù)連接，傳輸數(shù)據(jù)報文。⑦周期性地對Hell消息進行檢驗，長期空閑的或者到期的連接將被結束。

4.2數(shù)據(jù)報處理流程

結合安全關聯(lián)數(shù)據(jù)庫和安全策略數(shù)據(jù)庫信息進行數(shù)據(jù)報處理，具體工作流程為:首先進行數(shù)據(jù)報輸出，通過對安全策略數(shù)據(jù)關聯(lián)數(shù)據(jù)庫的查詢，確定具體的安全策略，再通過對安全關聯(lián)數(shù)據(jù)庫查詢，確定是否有效，如果安全聯(lián)盟有效，則將數(shù)據(jù)報封裝，并抽取相應參數(shù)。假若安全策略尚未建立，則將以IKE建立連后再查看安全策略數(shù)據(jù)。此外，為了保證報文封裝的完整性，需要引入Hash算法，對不是認證數(shù)據(jù)的包進行哈希計算，以保證ICV值的完整性。

4.3加密/解密過程

通過封裝模塊來調用加密解密模塊，實現(xiàn)數(shù)據(jù)的加密和解密。加密解密模塊同時結合密鑰管理模塊的算法函數(shù)庫，進行具體的加/解密操作，共同實現(xiàn)VPN加密與解密處理。此處，將數(shù)據(jù)封裝模塊視為統(tǒng)一的一個系統(tǒng)接口，遠程連接模型的主控制模塊不直接調用完整性驗證單元和加解密單元。數(shù)據(jù)分組首先被封裝模塊讀取出來，通過加解密算法，把并將需要加解密的內容和SA的密鑰傳輸至加解密單元。通過調用加密算法函數(shù)，得到經(jīng)過加密的信息，再通過數(shù)據(jù)封裝單元封裝成新的數(shù)據(jù)。

5系統(tǒng)安全控制

系統(tǒng)完成身份認證是通過調用用戶管理模塊實現(xiàn)的，通過調用API，在需要進行授權時，從屬性證書目錄服務器中，通過身份證書和屬性證書的關聯(lián)，取出屬性證書，對已簽名的屬性證書按照策略進行檢查，從通過檢查的屬性證書中獲取相關的角色信息，完成以后，結合角色信息和其權限之間的對應關系，采用具體策略檢查訪問的目標，允許或拒絕訪問的結果最終由API向系統(tǒng)返回。訪問控制流程描述如下所示：

①資源訪問請求由用戶客戶端引發(fā)，給應用校驗代碼提交請求，用戶PKC證書包含在該請求里。

②安全支撐平臺收到來自校驗代碼的權限校驗請求。

③用戶PKI證書的有效性提交給安全支撐平臺進行校驗。

④根據(jù)用戶PKC和PMI發(fā)布點，安全支撐平臺獲取用戶屬性證書。

⑤根據(jù)用戶屬性證書，策略實施點生成并發(fā)出決策請求。

⑥根據(jù)策略，策略決策點判斷該請求，返回判斷結果。

⑦根據(jù)返回的決策結果，策略實施點決定是否進行訪問，并返回其決定的結果。

⑧假若用戶未能通過校驗，則返回拒絕頁面；通過校驗則向資源發(fā)送訪問請求。

⑨在用戶所在的客戶端以頁面形式顯示訪問結果。

6結束語

支持用戶遠程登錄的VPN是由一系列相互配合的協(xié)議組成的，結合實際的應用需求也有著具有針對性的實際方案，在具體應用時，可以結合實際的客戶需求采取合理的配置方案。本文結合企業(yè)移動辦公需求，設計了基于優(yōu)化L2TP和IPSec協(xié)議的用戶連接方案，一方面可以提高了網(wǎng)絡的安全性，另一方面能夠保證客戶端程序簡單易用，此外還可以支持服務提供商的流量控制檢測。本文的構架模型具有比較好的理論意義和實踐價值。

參考文獻：

[1]釜曉，宇魏鴻等譯.Steven Brown著[M].構建虛擬專用網(wǎng).北京人民郵電出版社2011.8.

[2]周永彬等譯，CarltonR Davis著[M].IPSecVPN的安全實施清華大學出版社.2012.1.

[3]王惠芳，徐開勇.網(wǎng)上密鑰分配協(xié)議分析. [J]西安電子科技大學ISDN國家重點實驗室，通信學報，2011.3.