基于隧道交換的移動辦公網絡安全接入機制研究

徐鵬

【摘要】隨著互聯網絡的普及，全國電子政務信息化建設的快速發展，各個行業都建立了自己的內部網絡以及移動辦公網絡，為提高工作效率發揮著重要作用，同時對于內部網絡信息的完整性、及時性、機密性要求也日趨強烈。本文基于隧道交換機制，提出了一種高效的安全接入機制，可以有效提高移動辦公網絡的安全性、兼容性和部署的靈活性。

【關鍵詞】移動辦公 安全接入 隧道交換

【中圖分類號】TP393 【文獻標識碼】A 【文章編號】1672-5158（2013）01—0160-01

1 引言

隨著信息化時代的來臨，信息系統已成為日常工作的基礎手段，發揮了越來越重要的作用，而移動辦公能使用戶隨時隨地處理工作，極大地提高工作的便利性和處理效率，與此同時移動辦公網絡的安全性、兼容性也成為一種急迫的需求。

隧道交換技術可以使不同的服務提供商、不同安全域的網絡之間實現安全的隧道聯系，將目的地址相同的隧道聚合，實現隧道復用，減少隧道維護開銷，在保證安全性的同時最大限度的增加移動接人的靈活性。所謂隧道交換就是采用點安全隧道交換模塊一點的通信方式實現傳統的點到點的隧道通信方式，在兩條不同的安全隧道之間交換數據，實現安全隧道的延伸和轉發。本文首先分析移動辦公網絡在安全方面的需求，然后引入隧道交換技術，提出了一種高效的安全接入機制，可以有效提高移動辦公網絡的安全性、兼容性和部署的靈活性。

2 移動辦公網絡的安全需求

移動辦公就是需要使用移動終端設備，通過相對不安全的信道，通常是Internet網絡，接入單位內部網絡，以實現隨時隨地可以辦公的目的，但是近年來來自網絡的安全威脅越來越大，因而移動辦公網絡必須至少滿足如下的一些安全需求：數據交換需求：保證信息公開服務的準確性與實時性。安全性需求：保證外網服務與內部網絡不混雜，杜絕安全性隱患。保密性需求：在數據交換的過程中，必須保證數據傳輸通道的安全，對數據進行加密，以防止數據被竊取導致的嚴重后果。可控性需求：保證數據格式統一，不含任何病毒木馬。可管理性需求：網絡安全設備要能夠統一進行管理，可以及時方便掌控整個網絡的運行情況。

3 基于隧道交換的移動辦公網絡安全接入機制

3.1 隧道交換技術

按照隧道交換完成的功能，也就是隧道交換的目的可以分為兩類：內外網之間交換和外網兩條隧道之間的交換。前者實現內外網之間的隧道交換，類似于隧道中繼，使隧道得以向內網延伸，可以進一步保證內網傳輸數據的安全性和完整性，使得隧道可以終止在網絡的任意位置，使得安全隧道的構建更加方便靈活，極大地提高系統得擴展性，能夠將數據引導到不同的子網，實現數據流調度。后者實現外網的兩條隧道之間進行隧道交換，類似于路由轉發。這種方式可以使沒有直接隧道互聯的實體，借助與雙方都有隧道關系的第三方實體實現互聯，即可以以較小的隧道開銷實現全聯通，使不同服務商、不同的安全域之間建立安全通道。

3.2 隧道交換方式

所謂交換方式是指在隧道交換階段，交換設備采用何種方式處理數據包，實現交換。不管何種處理，交換設備都必須記錄需要交換的兩個實體的一一對應關系及雙方的相關信息，大致可以分為兩種隧道交換方式：加解密方式和IP封裝方式。在加解密模式下，交換實體均要和隧道交換設備建立安全隧道，隧道交換記錄內網地址之間的交換關系以及與保護它們的安全實體之間的安全隧道信息。在IP封裝方式中，隧道協商過程可以是在實際通信雙方之間直接協商，當然也可以認為協商數據是“透明”的通過隧道交換轉發來完成的，也就是說，隧道交換并不解密數據包，進一步確保數據在安全傳輸途中不會出現安全隱含，這種方式可以實現隧道的嵌套，可以有效提高產品部署的靈活性和可擴展性，本文采用后一種方法但也兼容第一種方式。

3.3 基于隧道交換的安全接入

基于隧道交換的移動辦公網絡安全接入機制可以支持所有類型的移動辦公需求，本文以典型的三種應用為例來論述該機制的原理。

（1）移動用戶通過互聯網接入內部網絡

這里移動用戶可以是筆記本、手機等各種移動終端，通過事先安裝的隧道交換模塊，經過必要的認證與密鑰協商之后，與內部網絡或主機建立安全隧道，分配內部網絡地址，之后這個移動用戶就可以像在內部固定地點登陸內部網絡一樣，自由的處理各種工作，而安全隧道的交換對于用戶完全透明，這是由于隧道交換對其進行了必要的封裝，存在外部和內部兩個IP頭部，并對內部地址進行加密、完整性保護，只有到達內部網絡經過解密后才能看到內部地址信息。

（2）分支機構通過互聯網接入內部網絡

分支機構通過互聯網接入內部網絡的情況與移動用戶類似，其不同之處主要在于，分支機構中可能存在多個用戶同時在異地接入位于總部的內部網絡，這時就需要隧道交換模塊建立隧道交換表，分別登記來自同一分支機構的不同用戶，并分別設置安全策略、訪問權限。這里需要明確的是，分支機構接入內部網絡，也只有一個安全隧道，只執行一次加解密和完整性保護運算，并不會增加系統開銷，不同用戶的區分是由隧道交換來完成的。

（3）多個移動用戶通過互聯網以及內部網絡實現互聯

移動辦公不僅需要隨時隨地接入網絡，有時也需要多個移動用戶之間可以隨時隨地安全的溝通，比如同時出差的兩個單位領導之間，這時二者直接通信由于受到移動設備的限制，比如手機，無法安裝復雜的安全模塊（如加解密模塊等），這時就可以通過隧道交換，即每個移動用戶分別與內部網絡建立聯系，由內部網絡執行隧道交換，以實現它們之間的間接連接。這樣做還有一個好處，每個移動用戶僅僅需要掌握一個安全通信方式，而不必要掌握與每一個可能的移動用戶的安全通信方式，大大降低了存儲和計算開銷，尤其適合計算、存儲能力受到限制的移動設備。

4 結束語

本文分析了移動辦公網絡的安全需求，引入了安全隧道交換機制，給出了兩種不同的隧道交換方式，提出了一種高效的安全接入機制，可以有效提高移動辦公網絡的安全性、兼容性和部署的靈活性。

參考文獻

[1]陳娜，李之棠.層次交換式VPN體系結構的設計與研究.華中科技大學碩士學位論文，2004 5

[2]韓儒博，鄔鈞霆，徐孟春.虛擬專用網絡及其隧道實現技術.微計算機信息，2005年14期，6-8頁

[3]杜學繪.一種新的一體化移動安全接入體系結構.計算機工程.2007年13期

[4]李欣吳，旭東.基于CPK認證技術的移動安全接入系統.《武漢理工大學學報（信息與管理工程版）》，2011年3期