基于VR 的網(wǎng)絡(luò)視頻會(huì)議通信安全研究*

劉邦桂

（廣東開(kāi)放大學(xué)人工智能學(xué)院，廣東 廣州 510091）

1 研究背景

隨著虛擬現(xiàn)實(shí)（Virtual Reality，VR）技術(shù)[1]以及網(wǎng)絡(luò)技術(shù)的發(fā)展，基于VR 的網(wǎng)絡(luò)視頻會(huì)議越來(lái)越普及和重要，逐漸成為跨國(guó)、跨省、跨市等企業(yè)線(xiàn)上會(huì)議的一種主要形式。參會(huì)者佩戴專(zhuān)用VR 眼鏡就能參與虛擬現(xiàn)實(shí)會(huì)議，這是與普通線(xiàn)上網(wǎng)絡(luò)語(yǔ)音會(huì)議有較大區(qū)別的一種會(huì)議新形式，這種會(huì)議形式非常接近現(xiàn)實(shí)，既真實(shí)又生動(dòng)。如何通過(guò)研究網(wǎng)絡(luò)中的虛擬專(zhuān)用網(wǎng)技術(shù)來(lái)服務(wù)于VR 視頻會(huì)議，提升視頻會(huì)議的通信質(zhì)量，減少部署成本，是目前網(wǎng)絡(luò)安全領(lǐng)域研究的熱點(diǎn)和難點(diǎn)。

2 VR 網(wǎng)絡(luò)視頻會(huì)議通信的不足

按照公司組織形式來(lái)看，基于VR 的網(wǎng)絡(luò)視頻會(huì)議架構(gòu)至少有3 種情況（見(jiàn)圖1）。一是總公司與分公司連接情況；二是總公司與合作伙伴或者辦事處連接情況；三是總公司與單個(gè)或者少量出差員工連接情況。

圖1 基于VR 的網(wǎng)絡(luò)視頻會(huì)議組織架構(gòu)

如果這些情況都是使用基于公網(wǎng)視頻會(huì)議方式，將會(huì)存在以下不足。成本和工作效率方面，由于是遠(yuǎn)距離跨網(wǎng)絡(luò)部署，很難避免部署成本高、部署時(shí)間長(zhǎng)、靈活性差等問(wèn)題的出現(xiàn)，特別是目前遠(yuǎn)程辦公越來(lái)越普及，經(jīng)常在通過(guò)會(huì)議來(lái)訪(fǎng)問(wèn)內(nèi)網(wǎng)業(yè)務(wù)的時(shí)候發(fā)現(xiàn)，可承載的業(yè)務(wù)種類(lèi)不多；網(wǎng)絡(luò)服務(wù)質(zhì)量方面，經(jīng)常出現(xiàn)延時(shí)、丟失數(shù)據(jù)包、會(huì)議數(shù)據(jù)無(wú)加密或者保護(hù)級(jí)別不夠?qū)е滦姑堋⑦B接方式不靈活等情況。

3 虛擬專(zhuān)用網(wǎng)、視頻會(huì)議、VR 介紹

3.1 虛擬專(zhuān)用網(wǎng)

3.1.1 虛擬專(zhuān)用網(wǎng)技術(shù)的定義

虛擬專(zhuān)用網(wǎng)（Virtual Private Network，VPN）技術(shù)[2]是指在公網(wǎng)上通過(guò)特殊隧道協(xié)議在通信節(jié)點(diǎn)之間建立一個(gè)虛擬安全傳輸連接，隧道技術(shù)能夠穿越復(fù)雜的外部公共網(wǎng)絡(luò)，讓通信節(jié)點(diǎn)透明，與局域網(wǎng)一樣進(jìn)行可靠通信。“虛擬”就是在通信節(jié)點(diǎn)間建立的是虛擬鏈路，而以非物理連接貫通網(wǎng)絡(luò)，數(shù)據(jù)能夠通過(guò)被封裝打包后在互聯(lián)網(wǎng)公共數(shù)據(jù)網(wǎng)進(jìn)行遠(yuǎn)程傳輸；“專(zhuān)用網(wǎng)絡(luò)”是指用戶(hù)能夠按照自身需求，設(shè)計(jì)出最適合自己的網(wǎng)絡(luò)，不受公網(wǎng)其他用戶(hù)干擾，處于私有管理策略之下，具有獨(dú)立地址和路由規(guī)劃。

3.1.2 虛擬專(zhuān)用網(wǎng)的分類(lèi)

用戶(hù)接入網(wǎng)絡(luò)有多種途徑，最常用的一種是非對(duì)稱(chēng)數(shù)字用戶(hù)線(xiàn)路（Asymmetric Digital Subscriber Line，ADSL）。當(dāng)前，5G 技術(shù)迅猛發(fā)展，越來(lái)越多的用戶(hù)通過(guò)5G 技術(shù)訪(fǎng)問(wèn)互聯(lián)網(wǎng)。從訪(fǎng)問(wèn)模式上來(lái)看，可以分為專(zhuān)線(xiàn)和撥號(hào)兩種[3]。專(zhuān)線(xiàn)VPN 是一種VPN 解決方案，針對(duì)那些在專(zhuān)線(xiàn)上訪(fǎng)問(wèn)網(wǎng)絡(luò)業(yè)務(wù)提供商（Internet Service Provider，ISP）邊緣router 的用戶(hù)。它是一個(gè)永久的、虛擬的專(zhuān)用網(wǎng)絡(luò)，節(jié)省了傳統(tǒng)長(zhǎng)距離線(xiàn)路的成本；撥號(hào)VPN 指使用公共交換電話(huà)網(wǎng)絡(luò)（Public Switched Telephone Network，PSTN）或綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)（Integrated Services Digital Network，ISDN）連接到互聯(lián)網(wǎng)運(yùn)營(yíng)商的VPN。不像專(zhuān)線(xiàn)VPN，撥號(hào)VPN 是一種需要主動(dòng)發(fā)起連接的方式，這是一個(gè)沒(méi)有固定連接的VPN，通常用于遠(yuǎn)程漫游。因此，撥號(hào)VPN 通常要進(jìn)行身份驗(yàn)證，例如使用挑戰(zhàn)握手認(rèn)證協(xié)議（Challenge Handshake Authentication Protocol，CHAP）和遠(yuǎn)程用戶(hù)撥號(hào)認(rèn)證服務(wù)（Remote Authentication Dial In User Service，RADIUS）。

根據(jù)開(kāi)放式系統(tǒng)互聯(lián)[4]（Open System Interconnection，OSI）參考模型分層，根據(jù)協(xié)議所處不同層次，將VPN 劃分為數(shù)據(jù)鏈路層VPN、網(wǎng)絡(luò)層VPN、應(yīng)用層VPN，有點(diǎn)對(duì)點(diǎn)隧道協(xié)議（Point to Point Tunneling Protocol，PPTP）、二層隧道協(xié)議[5]（Layer 2 Tunneling Protocol，L2TP）、最傳統(tǒng)的虛擬組網(wǎng)協(xié)議（Generic Routing Encapsulation，GRE）、互聯(lián)網(wǎng)安全協(xié)議[6]（Internet Protocol Security，IPSec）、多協(xié)議標(biāo)簽交換（Multi-Protocol Label Switching，MPLS）、邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BGP）、SSL VPN 等多種。PPTP、L2TP 屬于數(shù)據(jù)鏈路層，GRE、IPSec 屬于網(wǎng)絡(luò)層，SSL 屬于應(yīng)用層。其中，L2TP 與PPTP 一樣使用用戶(hù)數(shù)據(jù)報(bào)協(xié)議（User Datagram Protocol，UDP）來(lái)封裝點(diǎn)對(duì)點(diǎn)協(xié)議（Point to Point Protocol，PPP），默認(rèn)使用端口號(hào)1701，有隧道驗(yàn)證和用戶(hù)身份認(rèn)證功能，能夠給客戶(hù)端分配動(dòng)態(tài)地址，不具備加密功能；GRE[7]是一種使用比較多的數(shù)據(jù)封裝協(xié)議，能夠用任意一種協(xié)議封裝任意一種其他協(xié)議，特別適用于解決互聯(lián)網(wǎng)協(xié)議第4版（Internet Protocol Version 4，IPv4）和互聯(lián)網(wǎng)協(xié)議第6 版（Internet Protocol Version 6，IPv6）技術(shù)孤島問(wèn)題，也沒(méi)有數(shù)據(jù)加密功能；IPSec 有基于點(diǎn)到點(diǎn)隧道模式、基于端到端的傳輸模式兩種工作模式，提供多種加密算法和驗(yàn)證算法，能夠在通信過(guò)程中動(dòng)態(tài)生成用于加密和解密的密碼，可單獨(dú)使用，大部分情況用于結(jié)合GRE、L2TP 等其他VPN來(lái)嵌套使用，以滿(mǎn)足不同情況需求。

3.1.3 虛擬專(zhuān)用網(wǎng)的特點(diǎn)

一是安全有保障，VPN 技術(shù)是一種在公用網(wǎng)絡(luò)中建立虛擬私有鏈路、點(diǎn)對(duì)點(diǎn)連接的網(wǎng)絡(luò)技術(shù)，采用了加密技術(shù)，通過(guò)這種方式傳輸，確保數(shù)據(jù)的完整性和機(jī)密性。二是擴(kuò)展靈活，VPN 能夠?qū)崿F(xiàn)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)各種數(shù)據(jù)的通信，讓接入用戶(hù)不受物理位置和網(wǎng)絡(luò)類(lèi)型的制約。三是易于管理，VPN管理從兩個(gè)方面進(jìn)行，即ISP 和用戶(hù)兩個(gè)層面，在ISP 端預(yù)先建立好管理用戶(hù)、網(wǎng)絡(luò)連接、數(shù)據(jù)通信等規(guī)則應(yīng)用于端設(shè)備，在客戶(hù)端只需要登錄，盡量簡(jiǎn)化配置工作和維護(hù)工作。VPN 的管理目的主要是降低網(wǎng)絡(luò)風(fēng)險(xiǎn)，使網(wǎng)絡(luò)具備以下特征：高可擴(kuò)充性、低成本、高管理、高可靠性。

3.2 視頻會(huì)議

視頻會(huì)議是網(wǎng)絡(luò)技術(shù)發(fā)展的重要產(chǎn)物，由會(huì)議終端、中央控制單元、數(shù)據(jù)傳輸網(wǎng)絡(luò)、會(huì)議平臺(tái)構(gòu)成[8]。會(huì)議終端是用戶(hù)直接使用的設(shè)備，需要具備音頻、視頻碼流處理功能，把采集到的信息通過(guò)數(shù)據(jù)網(wǎng)絡(luò)傳輸?shù)狡渌K端；中央控制單元將會(huì)議終端收到的音頻信息和視頻信息通過(guò)分配算法，分配到各個(gè)具體終端，具有一對(duì)多的信息處理功能；數(shù)據(jù)傳輸網(wǎng)絡(luò)主要負(fù)責(zé)將各個(gè)系統(tǒng)互連起來(lái)實(shí)現(xiàn)數(shù)據(jù)過(guò)濾、加密、存儲(chǔ)和轉(zhuǎn)發(fā)，包括防火墻、路由器、交換機(jī)等通信設(shè)備以及光纖、電纜、雙絞線(xiàn)等有線(xiàn)通信介質(zhì)和無(wú)線(xiàn)通信介質(zhì)；會(huì)議平臺(tái)是會(huì)議具體組織和呈現(xiàn)的平臺(tái)，有軟件、硬件和軟硬件結(jié)合平臺(tái)等幾類(lèi)，目前比較成熟的平臺(tái)有騰訊會(huì)議、Zoom、釘釘?shù)取?/p>

3.3 VR

VR 融合了3D 視覺(jué)、三維聲音重構(gòu)、實(shí)時(shí)繪制等技術(shù)[8]，從現(xiàn)實(shí)環(huán)境中采集三維數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行整合、調(diào)取和網(wǎng)絡(luò)傳輸，最后在終端設(shè)備支持下以模擬仿真的形式呈現(xiàn)出來(lái)。目前有桌面虛擬現(xiàn)實(shí)系統(tǒng)、沉浸式虛擬現(xiàn)實(shí)系統(tǒng)和多圖層虛擬現(xiàn)實(shí)系統(tǒng)幾種。其中，后兩種給用戶(hù)的感官體驗(yàn)趨于真實(shí)，但需要額外穿戴設(shè)備，對(duì)數(shù)據(jù)傳輸網(wǎng)絡(luò)要求較高，成本也更高。在仿真教學(xué)、3D 購(gòu)物體驗(yàn)、游戲、旅游等方面有具體應(yīng)用。

4 VR 視頻會(huì)議與VPN 關(guān)聯(lián)度分析

4.1 VR 視頻會(huì)議與VPN

一是VR 是承載在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)安全技術(shù)上的一個(gè)應(yīng)用，VPN 是網(wǎng)絡(luò)安全技術(shù)的一個(gè)子領(lǐng)域，有助于解決上面VR 會(huì)議的大部分問(wèn)題，VPN 模擬現(xiàn)實(shí)中的專(zhuān)線(xiàn)連接，將VR 通信兩端以透明專(zhuān)線(xiàn)連接起來(lái)，在通信兩端的路由器上進(jìn)行專(zhuān)網(wǎng)配置；二是目前VPN 技術(shù)相當(dāng)成熟，有比較全面的理論支持；三是隨著IPv6 地址不斷推廣，在越來(lái)越多內(nèi)網(wǎng)使用IPv6 的情況下，VPN 技術(shù)能夠利用GRE 構(gòu)建IPv4 to IPv6 和IPv6 to IPv4 協(xié)議轉(zhuǎn)換的數(shù)據(jù)通信通道[9]，展現(xiàn)出與普通互聯(lián)網(wǎng)互聯(lián)所沒(méi)有的優(yōu)越性，解決了因?yàn)榫W(wǎng)絡(luò)協(xié)議不同而導(dǎo)致的視頻會(huì)議無(wú)法連接的問(wèn)題；四是隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，VR 視頻會(huì)議在政治、經(jīng)濟(jì)、文化等領(lǐng)域廣泛應(yīng)用，運(yùn)用VPN 技術(shù)能夠?qū)?shù)據(jù)進(jìn)行安全處理，確保通信安全；五是VR 技術(shù)不斷發(fā)展，VR 眼鏡的功能越來(lái)越全面，能夠完成目前其他終端網(wǎng)絡(luò)的接入工作。

4.2 VR 視頻會(huì)議通信安全分析

基于VR 視頻會(huì)議通信，數(shù)據(jù)安全由三要素來(lái)決定，分別是數(shù)據(jù)的機(jī)密性、完整性和可用性。要對(duì)通信數(shù)據(jù)進(jìn)行驗(yàn)證（Authentication）、授權(quán)（Authorization）、加密（Encryption）、解密（Decryption）等操作，普通路由器所承載的通信協(xié)議在公網(wǎng)中根本無(wú)法完成這些操作，說(shuō)明VPN 技術(shù)具有優(yōu)越性。

4.2.1 機(jī)密性

機(jī)密性是確保通信數(shù)據(jù)保密不被未授權(quán)的人竊取；完整性是確保數(shù)據(jù)不被修改而傳給對(duì)方并被對(duì)方理解。VPN 的優(yōu)勢(shì)就是能夠?qū)?shù)據(jù)進(jìn)行動(dòng)態(tài)加密。目前VPN 中有對(duì)稱(chēng)加密算法和非對(duì)稱(chēng)加密算法兩種算法，足夠滿(mǎn)足數(shù)據(jù)通信的加密要求。數(shù)據(jù)加密可以選用目前流行的RSA 非對(duì)稱(chēng)密鑰體制，對(duì)于會(huì)議保密級(jí)別不高的情況，也可以使用DES、RC5 等對(duì)稱(chēng)密碼算法。加密和解密的密鑰也可以由參會(huì)雙方終端設(shè)備通過(guò)網(wǎng)絡(luò)密鑰交換協(xié)議（Internet Key Exchange，IKE）來(lái)動(dòng)態(tài)生成，能有效避免竊聽(tīng)、數(shù)據(jù)竊取、中間人攻擊等不安全通信行為。

4.2.2 完整性

完整性是指數(shù)據(jù)在不被第三方修改的情況下進(jìn)行安全傳輸，包括數(shù)據(jù)完整性、隧道驗(yàn)證、用戶(hù)身份認(rèn)證等內(nèi)容。通信設(shè)備使用單向散列函數(shù)對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證，比如常用的信息摘要算法（Message Digest Algorithm MD5）、安全散列算法1（Secure Hash Algorithm 1，SHA-1）等。會(huì)議建立過(guò)程中能進(jìn)行基于密碼的端到端隧道驗(yàn)證，同時(shí)通信雙方身份驗(yàn)證可以通過(guò)本地密碼認(rèn)證、專(zhuān)用Radius 服務(wù)器認(rèn)證、電子身份證或來(lái)源于VR 虛擬眼鏡的各種生物認(rèn)證、外置身份卡等途徑來(lái)完成。

4.2.3 可用性

可用性是指構(gòu)建軟件和硬件雙重備份，確保通信數(shù)據(jù)和通信服務(wù)不被中斷，或者即使通信雙方在遇到會(huì)議中斷的情況下也能實(shí)現(xiàn)最快主備份切換。比如，路由備份、鏈路備份、設(shè)備主備切換等。為了會(huì)議能夠連續(xù)、安全地進(jìn)行，VPN 技術(shù)需要對(duì)通信鏈路進(jìn)行安全檢測(cè)，在出現(xiàn)問(wèn)題的情況下進(jìn)行必要的、有針對(duì)性的防御和制止。

5 VR 安全通信方案設(shè)計(jì)與實(shí)現(xiàn)

5.1 場(chǎng)景分析

通過(guò)對(duì)圖1 中基于VR 的網(wǎng)絡(luò)視頻會(huì)議組織架構(gòu)進(jìn)行分析，視頻會(huì)議要在總部、辦事處、出差員工、合作伙伴中構(gòu)建，根據(jù)不同特點(diǎn)需要選擇不同架構(gòu)，必要時(shí)對(duì)通信數(shù)據(jù)進(jìn)行加密保護(hù)。實(shí)際情況中，單個(gè)VPN 未能實(shí)現(xiàn)加密功能，需要VPN 嵌套使用，L2TP 最適合移動(dòng)用戶(hù)VPN 接入；GRE 最適合站點(diǎn)到站點(diǎn)的VPN 接入，支持動(dòng)態(tài)路由協(xié)議；IPSec 提供數(shù)據(jù)加密服務(wù)并確保數(shù)據(jù)的完整性。因此，在實(shí)際運(yùn)用中，各種VPN 技術(shù)嵌套是必要的和可行的。網(wǎng)絡(luò)架構(gòu)總體設(shè)計(jì)見(jiàn)圖2。

圖2 網(wǎng)絡(luò)架構(gòu)總體設(shè)計(jì)圖

5.2 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

場(chǎng)景一，會(huì)議參與者較多的情況。針對(duì)前面所提到的幾種工作情況，可以選擇不同方式來(lái)設(shè)計(jì)。對(duì)于規(guī)模較大的公司，出現(xiàn)多區(qū)域多人參與的情況，可以選擇此種網(wǎng)絡(luò)基本架構(gòu)。在兩個(gè)通信區(qū)域之間的外網(wǎng)處架設(shè)接入設(shè)備，這類(lèi)設(shè)備可以用目前性能較高的路由器或者防火墻實(shí)現(xiàn)兩區(qū)域的連接。這種架構(gòu)對(duì)參會(huì)者終端設(shè)備要求比較低，由各區(qū)域主要接入設(shè)備來(lái)完成登錄、驗(yàn)證、授權(quán)、加密工作，此類(lèi)參會(huì)人員只需要選用目前普通VR 眼鏡即可實(shí)現(xiàn)（見(jiàn)圖3）。

圖3 大量員工會(huì)議拓?fù)鋱D

圖3 中，會(huì)場(chǎng)A 和會(huì)場(chǎng)B 都有大量參與者，可以構(gòu)建點(diǎn)到點(diǎn)隧道，選用GRE VPN，鑒于會(huì)議可能需要加密，因此使用GRE+IPSec 結(jié)合方式，其中GRE 用于構(gòu)建隧道，IPSec 用于加密GRE 隧道數(shù)據(jù)。

場(chǎng)景二，單個(gè)參與者或者少量參與者的情況。對(duì)于個(gè)別員工出差、網(wǎng)絡(luò)服務(wù)參與者較少的情況，可以選擇此種網(wǎng)絡(luò)基本架構(gòu)。這類(lèi)架構(gòu)對(duì)參會(huì)者終端設(shè)備要求比較高，需要佩戴VR 眼鏡才能夠通過(guò)遠(yuǎn)程服務(wù)器進(jìn)行登錄、驗(yàn)證、授權(quán)、加密等工作。特別是目前公網(wǎng)IP 有v4 和v6 版本的情況下，VR眼鏡還需要有協(xié)議轉(zhuǎn)換功能。這類(lèi)場(chǎng)景最大的好處是參會(huì)者不需要在固定場(chǎng)所參與視頻會(huì)議，而是可以隨時(shí)隨地參會(huì)，會(huì)議組建也非常靈活和方便。不足之處就是需要參會(huì)者具備一定的VR 眼鏡操作能力。L2TP 沒(méi)有加密功能，在會(huì)議信息需要加密傳輸時(shí)可以使用與L2TP+IPSec 結(jié)合的方式，其中L2TP 用來(lái)給外出員工通過(guò)媒體服務(wù)器與總部進(jìn)行連接，IPSec 用來(lái)對(duì)通信數(shù)據(jù)進(jìn)行加密（見(jiàn)圖4）。

圖4 少量員工會(huì)議拓?fù)鋱D

5.3 架構(gòu)仿真實(shí)現(xiàn)

場(chǎng)景一，異地參會(huì)者較多的情況，選用GRE OVER IPSec 隧道[10]。

要求在會(huì)場(chǎng)A 出口路由器A 和會(huì)場(chǎng)B 出口路由器B 之間先建立GRE 隧道，然后在路由器A 和路由器B 之間建立IPSec 隧道來(lái)保護(hù)GRE 隧道。在運(yùn)用IPSec 加密會(huì)議數(shù)據(jù)過(guò)程中，加密和解密所需要的密碼具有靜態(tài)和動(dòng)態(tài)、對(duì)稱(chēng)和非對(duì)稱(chēng)等屬性，因?yàn)殪o態(tài)密碼需要人為設(shè)置且容易出現(xiàn)錯(cuò)誤和泄露，所以選用IKE 來(lái)動(dòng)態(tài)生成，其中加密和解密算法在隧道配置過(guò)程中可以按要求來(lái)選用。

配置GRE 隧道。在會(huì)場(chǎng)A 和會(huì)場(chǎng)B 端口路由上新建隧道并指定源和目的，其中分部會(huì)場(chǎng)B 建立隧道，指定源和目的配置與總部會(huì)場(chǎng)A 類(lèi)似。

配置IPSec 保護(hù)GRE 隧道。首先新建會(huì)場(chǎng)之間需要保護(hù)的GRE 隧道會(huì)議數(shù)據(jù)流，以IPSec+IKE為主模式，使用預(yù)共享密鑰方式，對(duì)GRE 隧道封裝后數(shù)據(jù)進(jìn)行128 位的高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）算法加密保護(hù)，在構(gòu)建對(duì)等體時(shí)會(huì)場(chǎng)之間需要運(yùn)用密碼來(lái)相互驗(yàn)證身份，最后將安全策略應(yīng)用在會(huì)場(chǎng)之間出口路由上。會(huì)場(chǎng)B 出口路由器B 上對(duì)等對(duì)應(yīng)配置，特別是端口地址、訪(fǎng)問(wèn)控制列表（Access Control Lists，ACL）地址一定要相互對(duì)應(yīng)。

場(chǎng)景二，異地參會(huì)者較少的情況，選用L2TP over IPsec[3]。

配置L2TP VPN。選擇合適路由協(xié)議，實(shí)現(xiàn)分部會(huì)場(chǎng)與總部會(huì)場(chǎng)之間的公網(wǎng)連通,在分部會(huì)場(chǎng)上首先啟動(dòng)L2TP 功能，配置l2tp 組，同時(shí)啟動(dòng)會(huì)場(chǎng)之間的隧道密碼驗(yàn)證，其中start l2tp 命令指定了總部會(huì)場(chǎng)的地址，并指定公司域名為abc.com，域內(nèi)用戶(hù)為L(zhǎng)2TP 用戶(hù)，這樣abc.com 域內(nèi)用戶(hù)撥入將觸發(fā)L2TP 建立。

總部會(huì)場(chǎng)上首先啟動(dòng)L2TP 功能，然后配置abc.com 域和IP 地址池。此域用于提供對(duì)L2TP VPN 用戶(hù)進(jìn)行身份驗(yàn)證的參數(shù)，地址池用于為L(zhǎng)2TP VPN 客戶(hù)端分配IP 地址，這里與GRE 不同的是因?yàn)樯倭繂T工出差、地點(diǎn)和時(shí)間不固定等原因，L2TP 建立需要分部會(huì)場(chǎng)主動(dòng)撥號(hào)，等總部會(huì)場(chǎng)通過(guò)并分配地址后才能接入，即主會(huì)場(chǎng)不知道出差員工地址，不能主動(dòng)建立隧道。

在撥號(hào)過(guò)程中，分會(huì)場(chǎng)接入需要對(duì)員工進(jìn)行身份驗(yàn)證，驗(yàn)證方式可以為本地驗(yàn)證和選用專(zhuān)門(mén)Radius 服務(wù)器驗(yàn)證，本文仿真選用本地驗(yàn)證方式。新建用戶(hù)并配置其密碼和服務(wù)類(lèi)型，最后配置一個(gè)虛擬模板接口，以便對(duì)撥入的L2TP VPN 用戶(hù)進(jìn)行身份驗(yàn)證，為其分配地址并與其進(jìn)行IP 通信。

最后，在主會(huì)場(chǎng)端配置l2tp 組，設(shè)定隧道本端名稱(chēng)、隧道驗(yàn)證碼等，允許接受來(lái)自公司域名abc.com 內(nèi)且名為L(zhǎng)AC 的分部會(huì)場(chǎng)設(shè)備發(fā)起的控制連接，控制連接建立后隧道內(nèi)就可以進(jìn)行數(shù)據(jù)通信，但目前還沒(méi)有任何加密設(shè)置。

配置IPSec VPN 保護(hù)L2TP VPN 數(shù)據(jù)，在總部會(huì)場(chǎng)上配置IPSec/IKE。這個(gè)過(guò)程主要完成對(duì)已建立會(huì)場(chǎng)之間L2TP 內(nèi)數(shù)據(jù)進(jìn)行加密的工作，由于加密系統(tǒng)包含加密和解密兩個(gè)過(guò)程，分會(huì)場(chǎng)因?yàn)榕c會(huì)人員較少而且位置不固定，可以在VR 眼鏡上預(yù)安裝相應(yīng)撥號(hào)軟件，讓VR 眼鏡開(kāi)機(jī)就可自動(dòng)撥號(hào)。主會(huì)場(chǎng)端需要配置加密會(huì)議數(shù)據(jù)流、設(shè)置數(shù)據(jù)加密算法、驗(yàn)證算法、驗(yàn)證隧道之間密碼等。

6 結(jié)束語(yǔ)

以上架構(gòu)中，對(duì)VR 眼鏡的要求會(huì)越來(lái)越高，虛擬眼鏡目前除了視覺(jué)成像之外，已經(jīng)具備登錄并連接服務(wù)器的功能，越來(lái)越可以替代電腦和手機(jī)功能來(lái)參與虛擬現(xiàn)實(shí)的交互。例如，用戶(hù)登錄、數(shù)據(jù)加密、身份認(rèn)證等功能，且這將是一個(gè)趨勢(shì)，為此項(xiàng)研究在現(xiàn)實(shí)中使用提供了可能性。當(dāng)前，還有新的要求也對(duì)此項(xiàng)研究提出了挑戰(zhàn)。例如，VR 眼鏡是否支持IPv6 協(xié)議或是否支持IPv4 協(xié)議轉(zhuǎn)換等功能，這就需要后臺(tái)的一大批服務(wù)器做計(jì)算支撐，成本也會(huì)隨之增加。