基于智能手機的虛擬專用網設計

王星昌 盛奔宇

摘 要：移動辦公安全是VPN技術的一個新的應用領域。通過對傳統虛擬專用網的研究，建立了一個可以在智能手機終端上實現的虛擬專用網模型。模型包括三個模塊：虛擬專用網客戶端，安全服務器，虛擬網關。本文的虛擬專用網系統實現了從智能手機終端由公網到服務器的通信安全，實現了跨越公網進行局域網內數據交互。

關鍵詞：智能手機；虛擬網卡；虛擬專用網

1 引言

基于智能手機的網絡發展為用戶帶來極大的便利，但是隨之而來的安全性問題越來越嚴重。為了解決手機智能終端的無線安全通信問題，開發一種用于手持智能終端的數據傳輸保護方案越來越重要。為此提出了一種基于IPSec隧道傳輸技術的手持智能終端的接入虛擬移動專網的解決方案，在運行 Windows Mobile操作系統的智能手持終端上，通過客戶端軟件對用戶身份進行認證，并對收到和發出的報文進行解密和加密，從而實現了虛擬專用網技術在手持智能終端上的應用。

2 相關工作

VPN是利用不可靠的共享網絡作為傳輸媒介，通過隧道技術構建的私有專用網絡，依靠數據加密、身份認證及訪問控制確保數據的通信安全[1]。它可以對企業內部網的擴展，可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸[2]。VPN的安全性可通過隧道技術、加密和認證技術得到解決。在Internet VPN中，要有高強度的加密技術來保護敏感信息；在遠程訪問VPN中要有對遠程用戶可靠的認證機制[3]。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端物理鏈路，而是利用某種公眾網的資源動態組成的[4]。虛擬專用網技術主要使用IPSec協議或者SSL協議，在容易受到攻擊的互聯網中傳送受到保護的認證和加密的數據[5]。

3 智能手機虛擬專用網架構

本文主要解決的問題是如何建立智能手機終端的虛擬專用網，也就是要在手機終端和VPN服務器之間建立一個隧道。本文提出的基于智能手機虛擬專用網模型分為手機客戶端和服務器兩大部分。

3.1 智能手機虛擬專用網總體架構

基于Windows Mobile操作系統的手持智能終端，提出了一個在其平臺上實現虛擬移動專網的架構。其主要功能有基于IPSec隧道的安全數據傳輸、訪問控制、終端安全環境實時監控等。基于手持智能終端的虛擬移動專網系統由三個部分組成：運行于手持智能終端設備上的客戶端，虛擬移動專網網關以及安全策略配置服務端。具體結構如圖1所示。

整個體系運行的流程如下：客戶端接到安全連接請求，其認證模塊發送認證數據與安全策略配置服務端的認證模塊進行通信，一旦驗證成功后，安全策略配置服務端將從策略數據庫中查詢與請求用戶相對應的策略記錄，這些記錄被傳送給客戶端，根據對應的安全策略，終端系統的客戶端通過安全保障模塊與遠程的虛擬專網網關進行隧道的建立，隧道建立成功后雙方就能夠進行安全通信，虛擬專網網關再把解除安全保護的原始報文傳送給被保護局域網內的主機。

3.2 客戶端終端系統

客戶端模塊的設計圖如圖2所示。在虛擬移動專網系統客戶端模塊中，身份認證模塊的主要功能是客戶端通過可選的認證機制與安全策略配置服務端進行認證通信，經過雙方的確認后，身份認證模塊作為一個中轉站，收到安全策略服務端反饋的策略后，直接傳遞給安全策略解析模塊。身份認證模塊還將從安全策略服務端收到管理員給用戶指定的綁定身份及權限的虛擬網卡的IP地址。虛擬網卡模塊是在手持設備上實現虛擬專網的創新部分，利用虛擬網卡能夠把需要進行安全處理的報文截獲，對其進行分析后將其轉交給后續處理模塊。

安全策略解析模塊把解析后有關接入控制的策略和 IPSec隧道協商策略下發到接入控制模塊。接入控制模塊根據相應的策略對終端當前的系統安全狀況進行檢查，一旦有發現不安全因素則給出提示并且終止此次虛擬移動專網的接入。如果系統經檢測符合相應的接入控制策略，首先啟動系統實時監控進程繼續監視系統的安全，這個進程將一直運行直到本次虛擬專網使用結束。與此同時，接入控制模塊把收到的IPSec隧道協商策略轉發給隧道協商IKE模塊。

隧道協商模塊的主要功能是根據收到的隧道協商策略與虛擬專網網關進行建立隧道所需的相關參數的協商，并且建立起邏輯隧道連接。它為IPSec處理模塊提供建立隧道的必要參數以及對報文進行加密的算法、認證的方式等等。

IPSec處理模塊的功能是根據相應的認證和加密參數對原始報文進行認證和加密，再利用隧道參數對發出的報文進行隧道封裝，對接收到的加密報文進行解密。

訪問控制模塊會收到安全策略解析模塊下發的關于訪問控制相關的安全策略，執行策略對這些報文進行相關的安全檢測，只有通過才能繼續進行IPSec安全處理[6]。

3.3 安全策略配置服務端

在安全策略配置服務模塊中，除了對安全策略查詢和傳輸的功能外，還能夠提供對策略進行添加、修改、刪除等功能。

安全策略服務器的認證模塊收到客戶端發出的認證請求數據后，經過在數據庫中對用戶身份進行核實，將終端系統接入控制策略、訪問控制策略以及IPSec隧道協商策略一起反饋給客戶端，客戶端先根據接入控制策略對系統安全環境進行檢測，通過后將利用IPSec隧道協商策略與遠程虛擬移動專網網關建立隧道，同時將隧道參數應用于客戶端上的IPSec模塊，IPSec模塊利用訪問控制策略對報文進行選擇過濾，將需要進行隧道傳輸的報文進行IPSec封裝，發向遠程虛擬移動專網網關。

4 系統應用測試

為了對設計的Windows Mobile虛擬移動專網系統的應用進行測試，分別使用了兩部智能手機來進行操作。硬件測試平臺的具體參數如表1所示。

表1 應用測試表

終端型號 操作系統版本 處理器 ROM容量 RAM容量

多普達D700 Windows mobile5.0 Intel PXA 263 400Mhz 96 MB 128MB

夏新E850 Windows mobile5.0 Intel X Scale 312Mhz 64MB 64MB

在測試方式上，選擇Windows Mobile操作系統中的FTP客戶端軟件OrnetaFTP Explorer Mobile V2.1.0，分別針對使用虛擬專網接入情況和不使用虛擬專網接入的情況，對于下載大小為386KB的“test.rar”文件的過程進行統計。主要記錄的指標有處理器的占用率，FTP下載所用時間及其平均速度。本次測試采用的網絡接入方式均為中國移動提供的GPRS服務。圖3與圖4是測試結果。

由上述測試結果可以看出，使用智能手機終端虛擬專網接入系統后，進行FTP下載時處理器的資源占用率會有10%左右的上升，但這個占用率是可以接受的，對于用戶的使用來說沒有太大的影響。由此可見，采用改進的IPSec模型的設計是可行的，能夠在手持終端的硬件環境中應用，具有實際價值。

5 總結

本文提出了提出了基于智能手機終端的虛擬專用網模型，根據手持智能移動終端的特點，利用基于虛擬網卡的處理模式，減少對系統資源的消耗。通過虛擬網卡，能夠把需要在系統底層才能完成的IPSec封裝與解封裝、隧道封裝與解封裝等操作轉移到系統應用層，使得處理過程對系統資源的消耗大大降低。

[參考文獻]

[1]石露.VPN技術的應用及發展[J].信息安全與通信保密.2010（02）.

[2]Peter Adey.Anticipating emergencies：Technologies of preparedness and the matter of security.[J].Security Dialogue，2012，43（2）.

[3]李芳.對VPN技術的研究及應用[J].硅谷.2010（03）.

[4]程思，程家興.VPN中的隧道技術研究[J].計算機技術與發展. 2010（02）.

[5]W.Richard Stevens.TCP/IP詳解卷1：協議.范建華，光輝，張濤，譯. [M]北京：機械工業出版社，2000.111-116.

[6]杜家嚴，盧朝暉.IPSec VPN及其在校園網中的應用[J].電腦知識與技術.2012（01）.