基于智能手机的虚拟专用网设计.docVIP

基于智能手机的虚拟专用网设计 　　摘 要：移动办公安全是VPN技术的一个新的应用领域。通过对传统虚拟专用网的研究，建立了一个可以在智能手机终端上实现的虚拟专用网模型。模型包括三个模块：虚拟专用网客户端，安全服务器，虚拟网关。本文的虚拟专用网系统实现了从智能手机终端由公网到服务器的通信安全，实现了跨越公网进行局域网内数据交互。 　　关键词：智能手机；虚拟网卡；虚拟专用网 　　1 引言 　　基于智能手机的网络发展为用户带来极大的便利，但是随之而来的安全性问题越来越严重。为了解决手机智能终端的无线安全通信问题，开发一种用于手持智能终端的数据传输保护方案越来越重要。为此提出了一种基于IPSec隧道传输技术的手持智能终端的接入虚拟移动专网的解决方案，在运行 Windows Mobile操作系统的智能手持终端上，通过客户端软件对用户身份进行认证，并对收到和发出的报文进行解密和加密，从而实现了虚拟专用网技术在手持智能终端上的应用。 　　2 相关工作 　　VPN是利用不可靠的共享网络作为传输媒介，通过隧道技术构建的私有专用网络，依靠数据加密、身份认证及访问控制确保数据的通信安全[1]。它可以对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输[2]。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Internet VPN中，要有高强度的加密技术来保护敏感信息；在远程访问VPN中要有对远程用户可靠的认证机制[3]。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端物理链路，而是利用某种公众网的资源动态组成的[4]。虚拟专用网技术主要使用IPSec协议或者SSL协议，在容易受到攻击的互联网中传送受到保护的认证和加密的数据[5]。 　　3 智能手机虚拟专用网架构 　　本文主要解决的问题是如何建立智能手机终端的虚拟专用网，也就是要在手机终端和VPN服务器之间建立一个隧道。本文提出的基于智能手机虚拟专用网模型分为手机客户端和服务器两大部分。 　　3.1 智能手机虚拟专用网总体架构 　　基于Windows Mobile操作系统的手持智能终端，提出了一个在其平台上实现虚拟移动专网的架构。其主要功能有基于IPSec隧道的安全数据传输、访问控制、终端安全环境实时监控等。基于手持智能终端的虚拟移动专网系统由三个部分组成：运行于手持智能终端设备上的客户端，虚拟移动专网网关以及安全策略配置服务端。具体结构如图1所示。 　　整个体系运行的流程如下：客户端接到安全连接请求，其认证模块发送认证数据与安全策略配置服务端的认证模块进行通信，一旦验证成功后，安全策略配置服务端将从策略数据库中查询与请求用户相对应的策略记录，这些记录被传送给客户端，根据对应的安全策略，终端系统的客户端通过安全保障模块与远程的虚拟专网网关进行隧道的建立，隧道建立成功后双方就能够进行安全通信，虚拟专网网关再把解除安全保护的原始报文传送给被保护局域网内的主机。 　　3.2 客户端终端系统 　　客户端模块的设计图如图2所示。在虚拟移动专网系统客户端模块中，身份认证模块的主要功能是客户端通过可选的认证机制与安全策略配置服务端进行认证通信，经过双方的确认后，身份认证模块作为一个中转站，收到安全策略服务端反馈的策略后，直接传递给安全策略解析模块。身份认证模块还将从安全策略服务端收到管理员给用户指定的绑定身份及权限的虚拟网卡的IP地址。虚拟网卡模块是在手持设备上实现虚拟专网的创新部分，利用虚拟网卡能够把需要进行安全处理的报文截获，对其进行分析后将其转交给后续处理模块。 　　安全策略解析模块把解析后有关接入控制的策略和 IPSec隧道协商策略下发到接入控制模块。接入控制模块根据相应的策略对终端当前的系统安全状况进行检查，一旦有发现不安全因素则给出提示并且终止此次虚拟移动专网的接入。如果系统经检测符合相应的接入控制策略，首先启动系统实时监控进程继续监视系统的安全，这个进程将一直运行直到本次虚拟专网使用结束。与此同时，接入控制模块把收到的IPSec隧道协商策略转发给隧道协商IKE模块。 　　隧道协商模块的主要功能是根据收到的隧道协商策略与虚拟专网网关进行建立隧道所需的相关参数的协商，并且建立起逻辑隧道连接。它为IPSec处理模块提供建立隧道的必要参数以及对报文进行加密的算法、认证的方式等等。 　　IPSec处理模块的功能是根据相应的认证和加密参数对原始报文进行认证和加密，再利用隧道参数对发出的报文进行隧道封装，对接收到的加密报文进行解密。 　　访问控制模块会收到安全策略解析模块下发的关于访问控制相关的安全策略，执行策略对这些报文进行相关的安全检测，只有通过才能继续进行IPSec安全处理