基于智能手机的虚拟专用网设计

摘 要：移动办公安全是VPN技术的一个新的应用领域。通过对传统虚拟专用网的研究，建立了一个可以在智能手机终端上实现的虚拟专用网模型。模型包括三个模块：虚拟专用网客户端，安全服务器，虚拟网关。本文的虚拟专用网系统实现了从智能手机终端由公网到服务器的通信安全，实现了跨越公网进行局域网内数据交互。

关键词：智能手机；虚拟网卡；虚拟专用网

1 引言

基于智能手机的网络发展为用户带来极大的便利，但是随之而来的安全性问题越来越严重。为了解决手机智能终端的无线安全通信问题，开发一种用于手持智能终端的数据传输保护方案越来越重要。为此提出了一种基于IPSec隧道传输技术的手持智能终端的接入虚拟移动专网的解决方案，在运行 Windows Mobile操作系统的智能手持终端上，通过客户端软件对用户身份进行认证，并对收到和发出的报文进行解密和加密，从而实现了虚拟专用网技术在手持智能终端上的应用。

2 相关工作

VPN是利用不可靠的共享网络作为传输媒介，通过隧道技术构建的私有专用网络，依靠数据加密、身份认证及访问控制确保数据的通信安全[1]。它可以对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输[2]。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Internet VPN中，要有高强度的加密技术来保护敏感信息；在远程访问VPN中要有对远程用户可靠的认证机制[3]。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端物理链路，而是利用某种公众网的资源动态组成的[4]。虚拟专用网技术主要使用IPSec协议或者SSL协议，在容易受到攻击的互联网中传送受到保护的认证和加密的数据[5]。

3 智能手机虚拟专用网架构

本文主要解决的问题是如何建立智能手机终端的虚拟专用网，也就是要在手机终端和VPN服务器之间建立一个隧道。本文提出的基于智能手机虚拟专用网模型分为手机客户端和服务器两大部分。

3.1 智能手机虚拟专用网总体架构

基于Windows Mobile操作系统的手持智能终端，提出了一个在其平台上实现虚拟移动专网的架构。其主要功能有基于IPSec隧道的安全数据传输、访问控制、终端安全环境实时监控等。基于手持智能终端的虚拟移动专网系统由三个部分组成：运行于手持智能终端设备上的客户端，虚拟移动专网网关以及安全策略配置服务端。具体结构如图1所示。

整个体系运行的流程如下：客户端接到安全连接请求，其认证模块发送认证数据与安全策略配置服务端的认证模块进行通信，一旦验证成功后，安全策略配置服务端将从策略数据库中查询与请求用户相对应的策略记录，这些记录被传送给客户端，根据对应的安全策略，终端系统的客户端通过安全保障模块与远程的虚拟专网网关进行隧道的建立，隧道建立成功后双方就能够进行安全通信，虚拟专网网关再把解除安全保护的原始报文传送给被保护局域网内的主机。

3.2 客户端终端系统

客户端模块的设计图如图2所示。在虚拟移动专网系统客户端模块中，身份认证模块的主要功能是客户端通过可选的认证机制与安全策略配置服务端进行认证通信，经过双方的确认后，身份认证模块作为一个中转站，收到安全策略服务端反馈的策略后，直接传递给安全策略解析模块。身份认证模块还将从安全策略服务端收到管理员给用户指定的绑定身份及权限的虚拟网卡的IP地址。虚拟网卡模块是在手持设备上实现虚拟专网的创新部分，利用虚拟网卡能够把需要进行安全处理的报文截获，对其进行分析后将其转交给后续处理模块。

安全策略解析模块把解析后有关接入控制的策略和 IPSec隧道协商策略下发到接入控制模块。接入控制模块根据相应的策略对终端当前的系统安全状况进行检查，一旦有发现不安全因素则给出提示并且终止此次虚拟移动专网的接入。如果系统经检测符合相应的接入控制策略，首先启动系统实时监控进程继续监视系统的安全，这个进程将一直运行直到本次虚拟专网使用结束。与此同时，接入控制模块把收到的IPSec隧道协商策略转发给隧道协商IKE模块。

隧道协商模块的主要功能是根据收到的隧道协商策略与虚拟专网网关进行建立隧道所需的相关参数的协商，并且建立起逻辑隧道连接。它为IPSec处理模块提供建立隧道的必要参数以及对报文进行加密的算法、认证的方式等等。

IPSec处理模块的功能是根据相应的认证和加密参数对原始报文进行认证和加密，再利用隧道参数对发出的报文进行隧道封装，对接收到的加密报文进行解密。

访问控制模块会收到安全策略解析模块下发的关于访问控制相关的安全策略，执行策略对这些报文进行相关的安全检测，只有通过才能继续进行IPSec安全处理[6]。

3.3 安全策略配置服务端

在安全策略配置服务模块中，除了对安全策略查询和传输的功能外，还能够提供对策略进行添加、修改、删除等功能。

安全策略服务器的认证模块收到客户端发出的认证请求数据后，经过在数据库中对用户身份进行核实，将终端系统接入控制策略、访问控制策略以及IPSec隧道协商策略一起反馈给客户端，客户端先根据接入控制策略对系统安全环境进行检测，通过后将利用IPSec隧道协商策略与远程虚拟移动专网网关建立隧道，同时将隧道参数应用于客户端上的IPSec模块，IPSec模块利用访问控制策略对报文进行选择过滤，将需要进行隧道传输的报文进行IPSec封装，发向远程虚拟移动专网网关。

4 系统应用测试

为了对设计的Windows Mobile虚拟移动专网系统的应用进行测试，分别使用了两部智能手机来进行操作。硬件测试平台的具体参数如表1所示。

表1 应用测试表

终端型号 操作系统版本 处理器 ROM容量 RAM容量

多普达D700 Windows mobile5.0 Intel PXA 263 400Mhz 96 MB 128MB

夏新E850 Windows mobile5.0 Intel X Scale 312Mhz 64MB 64MB

在测试方式上，选择Windows Mobile操作系统中的FTP客户端软件OrnetaFTP Explorer Mobile V2.1.0，分别针对使用虚拟专网接入情况和不使用虚拟专网接入的情况，对于下载大小为386KB的“test.rar”文件的过程进行统计。主要记录的指标有处理器的占用率，FTP下载所用时间及其平均速度。本次测试采用的网络接入方式均为中国移动提供的GPRS服务。图3与图4是测试结果。

由上述测试结果可以看出，使用智能手机终端虚拟专网接入系统后，进行FTP下载时处理器的资源占用率会有10%左右的上升，但这个占用率是可以接受的，对于用户的使用来说没有太大的影响。由此可见，采用改进的IPSec模型的设计是可行的，能够在手持终端的硬件环境中应用，具有实际价值。

5 总结

本文提出了提出了基于智能手机终端的虚拟专用网模型，根据手持智能移动终端的特点，利用基于虚拟网卡的处理模式，减少对系统资源的消耗。通过虚拟网卡，能够把需要在系统底层才能完成的IPSec封装与解封装、隧道封装与解封装等操作转移到系统应用层，使得处理过程对系统资源的消耗大大降低。

[参考文献]

[1]石露.VPN技术的应用及发展[J].信息安全与通信保密.2010（02）.

[2]Peter Adey.Anticipating emergencies：Technologies of preparedness and the matter of security.[J].Security Dialogue，2012，43（2）.

[3]李芳.对VPN技术的研究及应用[J].硅谷.2010（03）.

[4]程思，程家兴.VPN中的隧道技术研究[J].计算机技术与发展. 2010（02）.

[5]W.Richard Stevens.TCP/IP详解卷1：协议.范建华，光辉，张涛，译. [M]北京：机械工业出版社，2000.111-116.

[6]杜家严，卢朝晖.IPSec VPN及其在校园网中的应用[J].电脑知识与技术.2012（01）.