基于隧道交换的移动办公网络安全接入机制研究

【摘要】随着互联网络的普及，全国电子政务信息化建设的快速发展，各个行业都建立了自己的内部网络以及移动办公网络，为提高工作效率发挥着重要作用，同时对于内部网络信息的完整性、及时性、机密性要求也日趋强烈。本文基于隧道交换机制，提出了一种高效的安全接入机制，可以有效提高移动办公网络的安全性、兼容性和部署的灵活性。

【关键词】移动办公 安全接入 隧道交换

【中图分类号】TP393 【文献标识码】A 【文章编号】1672-5158（2013）01―0160-01

1 引言

随着信息化时代的来临，信息系统已成为日常工作的基础手段，发挥了越来越重要的作用，而移动办公能使用户随时随地处理工作，极大地提高工作的便利性和处理效率，与此同时移动办公网络的安全性、兼容性也成为一种急迫的需求。

隧道交换技术可以使不同的服务提供商、不同安全域的网络之间实现安全的隧道联系，将目的地址相同的隧道聚合，实现隧道复用，减少隧道维护开销，在保证安全性的同时最大限度的增加移动接人的灵活性。所谓隧道交换就是采用点安全隧道交换模块一点的通信方式实现传统的点到点的隧道通信方式，在两条不同的安全隧道之间交换数据，实现安全隧道的延伸和转发。本文首先分析移动办公网络在安全方面的需求，然后引入隧道交换技术，提出了一种高效的安全接入机制，可以有效提高移动办公网络的安全性、兼容性和部署的灵活性。

2 移动办公网络的安全需求

移动办公就是需要使用移动终端设备，通过相对不安全的信道，通常是Internet网络，接入单位内部网络，以实现随时随地可以办公的目的，但是近年来来自网络的安全威胁越来越大，因而移动办公网络必须至少满足如下的一些安全需求：数据交换需求：保证信息公开服务的准确性与实时性。安全性需求：保证外网服务与内部网络不混杂，杜绝安全患。保密性需求：在数据交换的过程中，必须保证数据传输通道的安全，对数据进行加密，以防止数据被窃取导致的严重后果。可控性需求：保证数据格式统一，不含任何病毒木马。可管理性需求：网络安全设备要能够统一进行管理，可以及时方便掌控整个网络的运行情况。

3 基于隧道交换的移动办公网络安全接入机制

3.1 隧道交换技术

按照隧道交换完成的功能，也就是隧道交换的目的可以分为两类：内外网之间交换和外网两条隧道之间的交换。前者实现内外网之间的隧道交换，类似于隧道中继，使隧道得以向内网延伸，可以进一步保证内网传输数据的安全性和完整性，使得隧道可以终止在网络的任意位置，使得安全隧道的构建更加方便灵活，极大地提高系统得扩展性，能够将数据引导到不同的子网，实现数据流调度。后者实现外网的两条隧道之间进行隧道交换，类似于路由转发。这种方式可以使没有直接隧道互联的实体，借助与双方都有隧道关系的第三方实体实现互联，即可以以较小的隧道开销实现全联通，使不同服务商、不同的安全域之间建立安全通道。

3.2 隧道交换方式

所谓交换方式是指在隧道交换阶段，交换设备采用何种方式处理数据包，实现交换。不管何种处理，交换设备都必须记录需要交换的两个实体的一一对应关系及双方的相关信息，大致可以分为两种隧道交换方式：加解密方式和IP封装方式。在加解密模式下，交换实体均要和隧道交换设备建立安全隧道，隧道交换记录内网地址之间的交换关系以及与保护它们的安全实体之间的安全隧道信息。在IP封装方式中，隧道协商过程可以是在实际通信双方之间直接协商，当然也可以认为协商数据是“透明”的通过隧道交换转发来完成的，也就是说，隧道交换并不解密数据包，进一步确保数据在安全传输途中不会出现安全隐含，这种方式可以实现隧道的嵌套，可以有效提高产品部署的灵活性和可扩展性，本文采用后一种方法但也兼容第一种方式。

3.3 基于隧道交换的安全接入

基于隧道交换的移动办公网络安全接入机制可以支持所有类型的移动办公需求，本文以典型的三种应用为例来论述该机制的原理。

（1）移动用户通过互联网接入内部网络

这里移动用户可以是笔记本、手机等各种移动终端，通过事先安装的隧道交换模块，经过必要的认证与密钥协商之后，与内部网络或主机建立安全隧道，分配内部网络地址，之后这个移动用户就可以像在内部固定地点登陆内部网络一样，自由的处理各种工作，而安全隧道的交换对于用户完全透明，这是由于隧道交换对其进行了必要的封装，存在外部和内部两个IP头部，并对内部地址进行加密、完整性保护，只有到达内部网络经过解密后才能看到内部地址信息。

（2）分支机构通过互联网接入内部网络

分支机构通过互联网接入内部网络的情况与移动用户类似，其不同之处主要在于，分支机构中可能存在多个用户同时在异地接入位于总部的内部网络，这时就需要隧道交换模块建立隧道交换表，分别登记来自同一分支机构的不同用户，并分别设置安全策略、访问权限。这里需要明确的是，分支机构接入内部网络，也只有一个安全隧道，只执行一次加解密和完整性保护运算，并不会增加系统开销，不同用户的区分是由隧道交换来完成的。

（3）多个移动用户通过互联网以及内部网络实现互联

移动办公不仅需要随时随地接入网络，有时也需要多个移动用户之间可以随时随地安全的沟通，比如同时出差的两个单位领导之间，这时二者直接通信由于受到移动设备的限制，比如手机，无法安装复杂的安全模块（如加解密模块等），这时就可以通过隧道交换，即每个移动用户分别与内部网络建立联系，由内部网络执行隧道交换，以实现它们之间的间接连接。这样做还有一个好处，每个移动用户仅仅需要掌握一个安全通信方式，而不必要掌握与每一个可能的移动用户的安全通信方式，大大降低了存储和计算开销，尤其适合计算、存储能力受到限制的移动设备。

4 结束语

本文分析了移动办公网络的安全需求，引入了安全隧道交换机制，给出了两种不同的隧道交换方式，提出了一种高效的安全接入机制，可以有效提高移动办公网络的安全性、兼容性和部署的灵活性。

参考文献

[1]陈娜，李之棠.层次交换式VPN体系结构的设计与研究.华中科技大学硕士学位论文，2004 5

[2]韩儒博，邬钧霆，徐孟春.虚拟专用网络及其隧道实现技术.微计算机信息，2005年14期，6-8页

[3]杜学绘.一种新的一体化移动安全接入体系结构.计算机工程.2007年13期

[4]李欣吴，旭东.基于CPK认证技术的移动安全接入系统.《武汉理工大学学报（信息与管理工程版）》，2011年3期