移動VPN技術綜述

李 輝

(新疆維吾爾自治區(qū)公安廳，新疆 烏魯木齊 830002)

0 引 言

近年來，隨著移動互聯(lián)網快速發(fā)展，互聯(lián)網已經成為日常生活的必需品，對于企業(yè)來說，互聯(lián)網的發(fā)展更是為其帶來無限的商機。對于企業(yè)用戶，僅僅能夠接入互聯(lián)網是不夠的，在互聯(lián)網廣泛應用的同時，網絡安全的重要性日趨顯著它更關心企業(yè)資源的安全性。傳統(tǒng)虛擬專用網(VPN)通過對互聯(lián)網發(fā)送的數(shù)據(jù)包進行加密取代構建真正的專用網絡來建立遠程用戶與家庭網絡之間的安全連接[1]。但是傳統(tǒng)VPN與移動設備不同，其連接適用于固定設備之間，大多數(shù)移動設備在從一個網絡切換到另一個網絡時或者在覆蓋范圍上遇到間隙時易受到間歇性連接丟失的影響，例如，移動電話可能會在WiFi和4G之間切換，或者在不同WiFi之間切換，此類連接丟失或連接更改可能導致VPN連接中斷，導致使用VPN的移動應用程序超時或崩潰。鑒于遠程工作人員和移動設備日益普及，以及無處不在的無線網絡，應該使用移動VPN解決方案提供VPN體驗使得用戶無需在網絡之間切換時重置和重新配置VPN會話。 正是在這種需求的推動下，將VPN技術與支持移動性的移動技術相融合，為用戶提供無縫、 安全接入服務的移動VPN技術應運而生。

在接下來的論文中我們將在第1章提出移動VPN分類標準，第2章列出移動VPN技術實現(xiàn)的關鍵要求和相應解決方案，并在第3章進行對比分析，最后第4章進行總結。

1 VPN分類

基于移動VPN的特點和應用案例，移動VPN技術的分類標準有多種。在本節(jié)中，我們將詳細介紹分類標準。

1.1 分類標準-隧道建設

VPN根據(jù)隧道建立標準可分為以下三類：自愿VPN，強制VPN和鏈接的VPN隧道。

1.1.1自愿VPN

在自愿VPN中，遠程節(jié)點和VPN網關之間的端到端隧道是自愿設置的，也可以根據(jù)遠程用戶的需要進行設置。在這個模型中，不涉及中間節(jié)點或實體。遠程節(jié)點必須具有某些功能，如IPsec，TLS等。例如，當MN建立自愿的VPN連接時，服務供應商(無線運營商)不知道該隧道。遠程用戶在獲得來自服務供應商的互聯(lián)網訪問之后可以建立到任何專用網絡的VPN連接。此模型有以下優(yōu)缺點[5]。

優(yōu)點：

(1)VPN客戶/服務器模型相對簡單。只要客戶端可以訪問Internet等公共IP網絡和VPN客戶端軟件，同時服務器具有VPN服務器軟件，就可以相對容易地建立隧道。

(2)服務供應商和任何中間節(jié)點不一定要求建立VPN。一旦建立隧道，中間節(jié)點就看不到加密業(yè)務。所以他們不需要彼此信任。

(3)由于中間節(jié)點對端到端的流量無可見性，因此不需要服務級別協(xié)議(SLA)或任何其他確保數(shù)據(jù)機密性的法律文件。

缺點：

(1)遠端需要可公開路由的IP地址，公共IPv4尋址的有一定的限制。為了解決這個問題，自愿VPN可以使用NAT或IPv6。NAT解決方案本身和IPsec的一些設計不兼容，故使用NAT解決方案前，需要認真進行網絡設計。

(2)因為服務質量QoS需要數(shù)據(jù)包檢查，所以服務供應商使用QoS進行流量優(yōu)先級劃分和整形是無效的。

(3)由于需要額外的封裝才能建立自由VPN，所以在有損耗的無線信道上建立和維護VPN可能會導致客戶體驗不佳。

1.1.2強制VPN

強制VPN是在服務供應商和專網之間建立VPN。只有當遠端用戶想訪問私網內的資源時才使用，這個VPN被稱為強制VPN，用戶被迫使用運營商和私人網絡之間的隧道。在這種模型中，MN不需要支持任何隧道或安全協(xié)議，例如IPsec或TLS，它完全不知道隧道。這個模型有以下優(yōu)缺點[5]：

優(yōu)點：

(1)MN和服務供應商之間不需要封裝。封裝和加密的開銷將被消除。

(2)在MN中不需要VPN的支持。因此會節(jié)省MN的資源，如電池和CPU。

(3)能夠提供QoS來區(qū)分語音，視頻和數(shù)據(jù)服務的服務水平。

缺點：

(1)缺少端到端的VPN連接意味著部分數(shù)據(jù)通過不安全的數(shù)據(jù)通道傳輸，因此安全系數(shù)大大降低。

(2)由于無線電鏈路連接在服務供應商處終止，服務供應商必須被信任。即使通過無線鏈路使用了一些加密，流量也會在封裝之前被解密，并通過強制VPN隧道轉發(fā)到專用網絡。

(3)因為SLA需要服務供應商參與，所以會導致額外的開銷，因此可能不適合小企業(yè)和學術機構使用。

1.1.3鏈接VPN

鏈接VPN隧道模型使用服務供應商提供的級聯(lián)隧道，將其擴展到基站和遠程用戶。這樣的模型允許QoS和流量整形。但服務供應商仍然需要被信任。然而這種模式消除了強制VPN模型中存在的任意不安全的數(shù)據(jù)通道[5]。

1.2 分類標準-移動層

移動VPN可以基于TCP/IP棧的哪個層被移動性處理進行分類。根據(jù)此標準，移動VPN可以分為：

(1)基于網絡層移動性的移動VPN。這些移動VPN解決了網絡層的移動性問題。其通過網絡層解決了IP地址變化的問題，例如將流量重定向到移動IP中的HA，并支持多宿主MOBIKE。

(2)基于應用層移動性的移動VPN。這些移動VPN通過在IP層之上創(chuàng)建會話綁定來支持移動性，因此不受IP地址更改的影響。例如基于SIP的移動VPN和基于TLS的VPN。

1.3 分類標準-安全協(xié)議

安全性是VPN的重要組成之一。由VPN提供的加密，認證和消息完整性可以大致分為：

(1)基于網絡層安全的協(xié)議，如IPsec。

(2)基于應用層安全的協(xié)議，如SRTP和SSL及其變體TLS，DTLS和WTLS。

IPsec將安全性應用于網絡層的IP數(shù)據(jù)報文，因此在IPsec隧道的兩個端點之間有IP地址綁定。但是，由于應用層安全協(xié)議的安全關聯(lián)沒有考慮IP地址，因此更適合于移動性和NAT[6]。

2 移動VPN技術和解決方案

移動VPN是旨在提供安全IP移動性的協(xié)議[2]。我們在本節(jié)研究了移動VPN的設計要求，以及使VPN適應移動性幾種不同的方法。圖1顯示了本節(jié)中討論的移動VPN技術的分類。

圖1 移動 VPN技術和解決方案分類

2.1 移動VPN設計要求

我們認為移動VPN具有以下要求：

(1)無縫網絡漫游(SNR)：當MN執(zhí)行垂直切換時(MN使用不同的網絡接口，例如從蜂窩接口切換到WiFi)或水平切換(MN使用相同的媒介在網絡間切換，例如在WiFi網絡間切換)，并接收一個新的IP，VPN功能應該無需用戶參與的情況下保持完整。在這兩種情況下，VPN隧道的物理IP地址(外部地址)都會更改。

(2)安全性：移動VPN應該執(zhí)行用戶認證機制，保證提供數(shù)據(jù)流量的加密以及完整性。

(3)應用會話持久性(Application Session Persistence，ASP)：當網絡連接發(fā)生變化或中斷時，或者用戶手動將設備置于睡眠模式時，應用連接保持活動狀態(tài)。

(4)性能：并非加密所有數(shù)據(jù)?？梢允褂梅指钏淼?，通過不加密的信道發(fā)送不敏感的數(shù)據(jù)以增強VPN的性能和減少MN能耗。并且可以根據(jù)用戶需求和設備狀態(tài)來選擇加密算法，使其自適應完成。自適應壓縮技術也可以被應用。此外，可利用移動性成比例的位置更新來節(jié)約系統(tǒng)資源[7]。

移動VPN解決方案的主要目標是為網絡層中斷提供應用層透明性，從而保持端到端應用程序會話與移動性導致的問題的獨立性。

2.2 支持網絡移動性的移動VPN

在本節(jié)中，我們將討論幾種支持網絡層移動性的移動VPN技術。

2.2.1基于移動IPv4的VPN

此類型移動VPN分別依賴于兩個協(xié)議IPsec和MIPv4。首先MN獲得其家庭網絡的IP地址，并將其注冊到HA。當MN漫游并連接到外地網絡時，它獲得新的IP地址并向FA注冊。如圖2所示，F(xiàn)A在自身與HA之間建立IPsec隧道，并通知HA其IP地址為MN1的新CoA。從CN發(fā)往MN1的所有數(shù)據(jù)包首先進入HA，然后通過IPsec隧道發(fā)送給FA。FA有能力知道這些數(shù)據(jù)包發(fā)往哪個MN，因此轉發(fā)給MN1。這是移動VPN的強制方法。也通過使MN作為自身的FA來實現(xiàn)自愿的方法。

圖2 基于MIPv4的VPN

在MN2和HA之間建立IPsec隧道。MN2向HA注冊獲得其新的IP地址。就像強制方式一樣，HA首先路由發(fā)往MN2的數(shù)據(jù)包會導致三角路由異常。

2.2.2基于雙HA移動IPv4的VPN

將MIP結合到基于IPsec的VPN會產生一些技術問題。當MN離開其家庭網絡時，必須利用移動后收到的CoA與VPN網關建立IPsec隧道。由于所有包括MIP消息的數(shù)據(jù)包都是通過IPsec加密的，所以FA不能解密從而使其無法對MIP消息進行中繼[8]。我們可通過建立具有兩個HA的機制來避免此問題，一個用于內部，一個用于外部網絡[9]。如果移動節(jié)點在家庭網絡中，移動節(jié)點將使用內部HA(i-HA)，當移出家庭網絡時，MN使用外部HA(x-HA)。該設備在IPsec下面添加另一層MIP。在接收到新的CoA時，不必破壞IPsec隧道，F(xiàn)A也能夠解密消息。

IET FRFC5265中提出的解決方案有幾個優(yōu)點。首先，MIP和IPsec標準不需要修改。只需要輕微修改MN。然而解決方案會導致問題：(1)放置x-HA的位置的確定，(2)x-HA的可信度，(3)如何保護去往x-HA的流量，4)有三個額外的頭部進行有效載荷的性能影響[10]。

Benenati等人[11]在Feder等人[12]的工作基礎上使用IETF解決方案的變形，以及多個隧道協(xié)議標準，為3G和WLAN提供傳輸層解決方案，為互連的WLAN和3G網絡之間的移動性提供了解決方案。作者認為無線局域網系統(tǒng)與現(xiàn)有的3G網絡的集成既可以作為無線以太網擴展(緊密網間互聯(lián))，也可以作為3G網絡(松散網間互聯(lián))的補充，其本質區(qū)別在于3G網絡和無線供應商。至少這兩種技術之間共享身份驗證，授權和記帳(AAA)服務器。此外，在他們的解決方案中，作者假定MN是足夠智能的，使用最少的認證證書來參與適當?shù)膮f(xié)議，對于各種3G和WLAN技術本質來說是不同的。IETF RFC 5265中的規(guī)范可以適用于除移動IPsec以外的VPN協(xié)議，前提是MN有適合的注冊地址的IPv4連接。如果使用TLS網關或SSH節(jié)點代替IPsec網關，則可以適應移動TLS或移動SSHVPN連接[7]。

Dutta等人[13]提出了一個名為安全通用移動性(SUM)的框架，該框架利用了雙HA概念。他們的框架建議采用先斷后合的方法來減少重建兩個MIP隧道和IPsec隧道時所發(fā)生的延遲?；谛盘枏姸龋琈N從網絡移動到其他網絡之前可以初始化切換過程。這包括激活目標接口，并從目標網絡獲取IP。該方法有效的前提是MN處于當前網絡和未來網絡的范圍內。

2.2.3基于移動IPv6的VPN

從上述分析可知，實施IT基礎事務服務外包后，在同樣的等級保護要求下，管理部門也面臨全新的管理內容和管理措施。因此，水務信息化管理部門在啟動并采購IT服務外包時，對于可能涉及信息安全的環(huán)節(jié)，要始終保持高度的敏感性和責任心，認真設計服務外包的內容、范圍和活動邊界，嚴格審查外包服務單位的資質和派遣人員的從業(yè)條件，簽署具體的安全責任協(xié)議，對于關鍵崗位、敏感信息集中的環(huán)節(jié)給予重點管理，在獲取IT服務的同時牢牢保護技術主權，控制信息安全。

MIPv6代表IPv6和MIP的邏輯組合，從MIP(特別是MIPv4)發(fā)展而來。MIPv6與MIP有許多共同之處，同時對MIP進行了很多改進。處于其本地狀態(tài)的IPv6具有支持移動性的功能，例如MN使用其CoA作為源地址以及在IPv6報頭中攜帶歸屬地址的能力。由于IPv6網絡中的每個節(jié)點都有能力解釋這些信息，因此不再需要部署用于MIP的FA[14]。MIP網絡中的FA需要滿足例如在外部網絡中的發(fā)現(xiàn)和地址配置的功能，而MIPv6不需要滿足，因為MN可以在任何位置操作而不需要任何本地路由器的特殊支持。

2.2.4基于移動IPv4/v6共存的VPN

薛等人[15]研究移動VPN中由移動IP和VPN技術融合帶來的新問題的解決方案,并以此為指導,設計出一套首先在純的IPv6網絡環(huán)境中,利用移動IPv6協(xié)議實現(xiàn)移動VPN的軟件系統(tǒng),并逐步擴展到IPv4 /v6共存的網絡環(huán)境,使得計算機設備通過它能夠在從企業(yè)內部網絡移動到公共網絡時自動的建立VPN隧道,安全的訪問企業(yè)內部資源,并且在企業(yè)內部漫游時,始終保持明文通信,降低企業(yè)內部不必要的網絡開銷。但是解決方案僅支持Linux操作系統(tǒng)，對于廣泛應用的Windows尚不支持。

2.2.5基于BGP/MPLS的移動VPN

在基于BGP / MPLS的移動VPN中，MN使用Diameter服務器進行注冊和認證。MN在移動到訪問網絡時生成MIP注冊請求[16]。為了將注冊請求傳送到家庭網絡中的供應商網絡服務器(PNS)，VPN服務器的地址將MIP注冊請求消息的HA字段中的HA的地址替換。作者假定這個地址在MN中被預配置，增加名為“外地客戶設備”(FCE)地址的新字段，以指定訪問網絡中MN網關的地址，以便PNS可以確定為MN服務的網關。另外，在MIP注冊請求消息的擴展字段中，指定訪問網絡AAA的地址代替家庭網絡。

當FA接收到MIP注冊請求消息時，它向被訪問網絡中的AAA生成消息以進行認證。AAA認證成功后，AAA向PNS發(fā)送消息，獲取MN的HA地址。當PNS收到這個消息時，它在被訪問網絡和供應者之間準備IPsec VPN。PE與被訪網絡的CE之間建立IPsec隧道后，PE將MN與IPsec隧道的地址映射到對應的MPLSVPN的VRF(Virtual Routing and Forwarding，虛擬路由轉發(fā))表中。其他PE根據(jù)更新后的路由信息更新自己的VRF表，轉發(fā)BGP/MPLS協(xié)議確定的信息。

2.2.6基于MOBIKE的VPN

當MN的IP地址改變時，IKEv2移動性和多宿主協(xié)議(MOBIKE)解決了IKEv2和IPsec固有的問題[17]。MOBIKE提供了使MN能夠使用IPsec隧道模式進行VPN連接的機制使得在第3層切換期間保留安全關聯(lián)(SA)。

只有在應用程序會話或底層傳輸層會話超時之前切換發(fā)生得足夠快，MOBIKE才有助于為應用程序提供會話持久性。因此，應用程序可能無法生存在蜂窩和WiFi都不可用的長距離覆蓋范圍內。

2.2.7網絡移動性(NEMO)

Devarapalli等人[18]提出網絡移動性(NEMO)協(xié)議，是處理網絡整體的協(xié)議。假設例如公司公交車的真實的場景。想象公交車上的每個人都想要VPN進入公司網絡。將公司總線上的網絡作為公司內部網的擴展代替幾個單獨的VPN。因為總線上的網絡通過不同的接入網絡，總線上的主機相互之間是靜態(tài)的。該協(xié)議本質上是MIPv6的擴展。

在NEMO中引入了新的網絡設備，稱為移動路由器(MR)。MR在HA上注冊為MIPv6網絡中的MN。但是否注冊IP，MR注冊單個或多個子網。到MR后面的網絡的數(shù)據(jù)包被HA攔截，通過隧道轉發(fā)到MR后面的網絡。雖然NEMO對MIPv6進行了最小限度的擴展，但它卻將HA作為單點故障。但它可以降低開銷并提高少數(shù)應用程序的性能。

2.2.8基于MPLS-VPN的移動平臺

論文[19]研究的基于3G網絡和MPLS-VPN的移動平臺題旨在3G技術背景下，結合MPLS-VPN多協(xié)議標簽交換技術提高移動安全平臺的可靠性和安全性，使其具有強大的管理能力和QoS保證，靈活的控制策略和可擴展性，MPLS-VPN能夠利用公用骨干網絡的廣泛而強大的傳輸能力，降低企事業(yè)單位內部網絡的建設成本和使用成本，并且極大地提高用戶網絡運營和管理的靈活性，同時能夠滿足用戶對信息傳輸安全性、實時性、寬頻帶、方便性的需要。

2.2.9蜂窩網絡-CDMA2000的移動VPN

CDMA2000是蜂窩系統(tǒng)的3G技術。它在亞洲、美洲和東歐的某些地區(qū)廣泛部署[5]。

(1)CDMA2000無線電接入網絡(RAN)。MN通過無線接入連接到RAN。

(2)分組控制功能(PCF)。RAN和PCF通過無線電分組(R-P)接口通信。

(3)國內和國外的AAA服務器。

(4)作為外地代理(FA)的分組數(shù)據(jù)服務節(jié)點(PDSN)。PDSN和PCF通過GRE隧道進行通信。

(5)通過MIP/IPsec隧道與FA進行通信的歸屬代理(HA)。

當MN訪問CDMA2000網絡時，它建立與PDSN(FA)的PPP會話。PPP流量實際上被封裝在R-P流量中。當它到達PCF時，解封裝R-P流量以獲得PPP幀，并將它們進一步封裝在GRE數(shù)據(jù)包中，然后傳送到PSDN。PPP會話在PSDN處終止。PPP幀的有效載荷然后可以通過MIP/IPsec隧道從PSDN轉移到HA。

當MN注冊PDSN時，PDSN將IP分配委托給HA。HA為該MN分配動態(tài)或靜態(tài)IP。當MN漫游時，有三種不同的移動性水平：

(1)MN將RAN的范圍留給其他MN。物理層軟越區(qū)切換對于上述層是透明的。

(2)MN可能移動得遠致加入一個新的PCF范圍。鏈路層移動性從第3層透明。

(3)MN漫游到其他網，IP移動產生，MN將向新的PDSN注冊，并且HA將更新移動性綁定表，導致新的PDSN路由所有后續(xù)業(yè)務。

2.2.10蜂窩網絡-UMTS移動VPN

在蜂窩網絡中，通過由塔臺和基站組成的蜂窩接入網絡來提供VPN移動性，蜂窩網絡中的移動VPN使用GPRS隧道協(xié)議(GTP)和IPsec的組合[20]，如圖3所示.GTP通過IP/UDP傳輸路徑封裝數(shù)據(jù)包，并提供控制消息來設置和修改隧道。

圖3 UMTS蜂窩網絡中的移動VPN

在這種設置中的MN獲得動態(tài)分配的IP并由網關GPRS支持節(jié)點(GGSN)由蜂窩網絡供應商認證[20]。在非GPRS網絡中，具有不同名稱但功能相似的節(jié)點將取代GGSN。在GGSN和ISP之間建立IPsec隧道，將流量傳輸?shù)阶罱K目的地。

2.3 通過應用程序移動性的移動VPN

本節(jié)討論在TCP/IP協(xié)議棧的應用層支持移動性的移動VPN解決方案。

2.3.1基于SIP的移動VPN

黃等人為實時應用提供基于SIP的移動VPN解決方案，為實時應用提供了安全性和移動性保證[10]。

當MN從本地網絡漫游時，位于VPN網關內的SIP代理服務器認證傳入的SIP消息，并將消息路由到指定為SIP注冊器的其他SIP代理服務器。應用層網關(ALG)僅與SIP代理服務器交互，并監(jiān)督所有流量。當ALG收到從家庭網絡到Internet上主機的傳入RTP流時，它將用SRTP頭替換IP/UDP/RTP頭，并將流傳送到目的地。通過驗證SRTP分組的有效性，并用新的RTP報頭替換SRTP報頭來處理反方向的通信。有效載荷在兩個方向上保持不變。每個這樣的雙向通信在ALG中被表示為單會話。

MN進入和離開其家庭網絡時，它在初始會話建立期間向SIP注冊其新位置。黃等人使用Diameter服務進行注冊過程。MN注冊到SIP注冊服務器后，會檢查ALG中是否有活動的會話[21]。如果找到活動會話，則MN需要重新邀請CN，其中RE-INVITE本質上是具有與初始INVITE消息相同的呼叫ID的INVITE消息，以及MN的新的聯(lián)系地址。RE-INVITE被發(fā)送到VPN網關中的SIP代理，該代理又將消息路由到SIP注冊器。如果需要身份驗證，則SIP注冊器利用Diameter服務器。如果允許MN訪問歸屬網絡，則SIP注冊器使用ALG分配足夠的資源來保證會話保護。此時，RE-INVITE消息被路由到CN[21]。

當MN回到家庭網絡時，消息不需要通過VPN網關的SIP代理。因此，在向SIP注冊新地址并發(fā)送RE-INVITE消息后，SIP注冊器將釋放先前分配的所有資源。然后MN無需通過ALG可以直接與CN通信[21]。

所提出的體系結構是基于SIP，因此不需要如IETF移動VPN所要求的那樣隧道傳輸三次分組，因此顯著減少了開銷。此外，由于大多數(shù)基于SIP的應用程序[21]，所提出的體系結構對于實時應用程序特別有用?；赟IP的移動VPN的性能似乎表明它特別適合于實時應用中的實時應用[21]。

我們先前討論的SUM框架也將SIP和MOBIKE一起用作其移動VPN框架中的替代方法[44]。主要目標是實現(xiàn)動態(tài)VPN隧道建立，以便按需使用安全的VPN隧道。例如，當移動客戶端位于內部家庭網絡內或者外部漫游但不發(fā)送敏感數(shù)據(jù)時，不需要安全隧道。

2.3.2基于WTLS的移動VPN

Columbitech是最流行的商業(yè)移動VPN產品之一[22]，使用了應用層解決方案的思想為VPN添加移動性。通過解決應用層的移動性問題，該產品解放了網絡和傳輸層面的連接，解決了移動性問題，并使應用層按照原來的設計工作。解決方案依賴于傳輸層的恢復機制。

Columbitech將客戶端-服務器連接分成三個連接，如圖4所示。第一個連接是應用程序客戶端和移動VPN客戶端之間的MN內的TCP/UDP連接。然后，VPN客戶端使用可靠的UDP與VPN服務器建立會話。與VPN客戶端類似，VPN服務器與應用服務器建立TCP/UDP連接。這個拆分用于欺騙MN中的應用程序，使其相信它們直接連接到應用程序服務器，實際上，應用程序客戶端連接在VPN客戶端連接。

圖4 Columbitech的移動VPN設置

當VPN客戶端收到連接應用服務器的應用請求時，移動VPN將攔截該請求，并要求VPN服務器連接到應用服務器。在得知VPN服務器已經完成對應用服務器的設置之后，移動VPN客戶端將通知應用與服務器的端到端連接已經成功完成。移動VPN服務器和客戶端使用WTLS設置VPN會話。此外，該系統(tǒng)還支持多路復用器的VPN服務器，可以將負載分配給VPN服務器。當VPN服務器出現(xiàn)故障時，所有連接的客戶端都將丟失會話，并且將必須與其他VPN服務器發(fā)起新的連接，因為系統(tǒng)不提供透明的方式，所以將失敗的VPN服務器的會話切換為活動。

2.3.3MUSeS

Ahmat和Magoni[23]提出了類似的應用程序控制移動VPN解決方案。他們的解決方案，稱MUSeS支持移動性和交通安全。MUSeS允許用戶連接在移動性導致的中斷之后仍舊連接。與Columbitech類似，MUSeS通過使用應用層抽象創(chuàng)建安全會話，隱藏了由于用戶移動而導致的網絡中斷。MUSeS在任何IP網絡上使用稱為CLOAK[24]的對等覆蓋網絡。MUSeS不是使用IPsec或TLS進行VPN，而是依靠由CLOAK提供和管理的設備標識符來提供加密和認證。

當MUSeS節(jié)點產生數(shù)據(jù)包發(fā)送到遠程的MUSeS節(jié)點時，這個數(shù)據(jù)包通過環(huán)回TCP連接通過底層的CLOAK節(jié)點。底層CLOAK節(jié)點通過P2P覆蓋網絡將數(shù)據(jù)包路由到目的地。與目的地MUSeS節(jié)點相關聯(lián)的CLOAK節(jié)點截取該分組并且將其本地轉發(fā)給B.P2P覆蓋網絡，因此確保通過網絡正確路由MUSeS安全分組。然而作者并沒有提供這個機制的安全保證的細節(jié)，而是指出因為它使用標準的密碼算法，MUSeS保護用戶通信免受普通流量攻擊。由于MUSeS中間件與機器上的本地應用程序之間的通信并不安全，因此與更傳統(tǒng)的VPN解決方案相比，該系統(tǒng)的安全性似乎是可疑的。

2.3.4FastVPN

Zúquete和Frade[25]提出了解決方案，將跨越WiFi熱點的Open VPN客戶端的快速VPN移動性稱之為Fast VPN。Fast VPN的目標是在VPN客戶端獲得新的IP地址切換到新的網絡后，重新配置Open VPN隧道，而不必終止和重新建立Open VPN隧道。一旦客戶端收到新的IP地址，就可以通過更新VPN服務器上的VPN隧道環(huán)境來實現(xiàn)。通常，Open VPN服務器通過VPN客戶端的物理IP地址和UDP端口查找隧道上下文。當客戶端因加入新網絡而獲得新的物理地址時，Open VPN服務器將無法將該客戶端與其原始隧道語境關聯(lián)。這導致了兩個主要的副作用：(1)客戶端必須重新建立一個新的隧道，導致隧道建立和新的TLS握手產生不必要的開銷，(2)VPN客戶端在前會話中獲得的私有IP地址將可能不被維護，直到之前的隧道語境被收集清除之后才會被釋放，這種收集只發(fā)生在一段時間不活動之后。重新使用原始隧道語境允許保持相同的私有IP地址，并且通過避免重新建立隧道來允許更快的隧道恢復。

快速VPN通過讓客戶端在獲得新的物理IP時將原始會話ID發(fā)送給VPN服務器來重新配置原始的隧道環(huán)境。發(fā)送會話ID有兩種方式：懶惰法和積極法。在懶惰法中，始終在所有數(shù)據(jù)消息中的初始化向量(IV)字段中發(fā)送會話ID(64比特)。這對于CBC密碼模式很好，因為IV的隨機性不會提高CBC的安全性[25]。對于密碼反饋模式(CFB)和輸出反饋模式(OBF)，必須使用128位IV，因為需要IV的隨機性。對于128位IV，只有前64位將是常量(由會話ID占用)，而其他64位是隨機的。

在積極法中，客戶端會對消息有效載荷末尾的明文會話ID填充的服務器發(fā)送?；钕ⅰ．擵PN服務器收到這樣的消息時，它將無法在隧道上下文表中找到具有新IP地址的客戶端條目。因此，它會檢查保持活動消息的大小，如果它長于正常情況，它會檢測到這是包含會話ID的重新配置消息。然后使用會話ID來查找隧道上下文，如果找到，則使用新的IP地址更新與此上下文關聯(lián)的物理IP地址。

Fast VPN最大限度地減少了數(shù)據(jù)包丟失，但并不能避免。此外，當MN在WiFi覆蓋方面出現(xiàn)缺口時，沒有機制維持應用會話。允許VPN客戶端保持相同的私有IP地址是相當有用的，但是這樣的解決方案只有在客戶端從WiFi網絡立即移動到其他WiFi網絡時才有效，而沒有經歷可能觸發(fā)TCP會話超時的覆蓋的長距離。

2.4 基于主機標識協(xié)議(HIP)的移動VPN

HIP試圖改變TCP/IP協(xié)議棧，以提高當今網絡的安全性，移動性和多宿主能力。在包含加密主機標識符的協(xié)議棧的第3層和第4層之間引入了一個新層，如圖5所示。HIP提供IPsec加密，并啟用對訪問網絡和Intranet防火墻的身份驗證。

圖5 HIP協(xié)議

HIP的使用使訪問網絡中的單點登錄(SSO)功能成為可能，其中運營商只需獲得授權使用網絡的主機列表。在HIP握手期間，被訪問網絡可以驗證MN的身份[26]。只要MN能夠通過具有HIP啟用接入點的網絡進行認證，VPN就可以繼續(xù)無縫運行(除了由HIP握手引起的延遲)。與使用IETFRFC5265的解決方案類似，TLS和IPsecVPN解決方案可以配置為在HIP堆棧之上運行，從而確保VPN功能[4]。

3 對比分析

IETF提出的基于MIPv4和IPsec的移動VPN滿足了與移動VPN相關的主要標準：移動VPN可以處理移動性，并被證明可以保持數(shù)據(jù)的機密性并驗證參與VPN的系統(tǒng)的身份。但是，它增加了很多協(xié)議開銷。這可能會導致吞吐量下降并增加配置的復雜性。吞吐量下降在低速無線網絡中尤為關鍵。還有一個問題是此類型的移動VPN不能通過網絡連接丟棄來提供應用持久性。只有像TCP那樣的底層傳輸協(xié)議保持閑置，應用程序持久性才能被保證[27]。它也遭受三角路由或雙交叉問題的困擾，即發(fā)送到MN的流量必須首先到歸屬代理，即使MN和相應的節(jié)點在同一網絡中。最后，移動VPN的類型遭受了由于必須重新建立IPsec的安全關聯(lián)而導致的性能問題。在使用兩個HA的類似移動VPN中解決了這個問題。外部HA和FA之間的IPsec隧道(可以是MN本身)是持久的，因為外部CoA在移動期間不改變。然而，此方法通過添加額外的MIP層來增加隧道開銷。

基于MOBIKE的VPN為多個網絡接口提供本地支持，如果兩個接口都處于活動狀態(tài)，則在接口間切換不會造成延遲。如果切換到的接口處于非活動狀態(tài)，則所發(fā)生的延遲只是獲得第3層IP地址所需的延遲。它還支持在水平切換期間更新IP地址，而不會拆除IKE和IPsec SA。至少有一個網絡可用時，保證應用程序持久性。但是并不能保證應用程序能夠長時間覆蓋差距。

NEMO是針對特定應用的出色的移動VPN解決方案。它不符合真正的移動VPN解決方案的許多要求，但可以與其他移動VPN解決方案結合使用，以減少開銷和提高效率。

雖然基于BGP/MPLS的移動VPN在技術上對移動性做了規(guī)定，并且具有明顯的VPN能力，但是由于其需要專門的設備和部分ISP的配置，所以缺乏其他解決方案。它不僅僅是移動VPN，它應該被認為是固定的VPN，用于移動性有限的節(jié)點。每當節(jié)點從當前位置移動時，VPN就會丟棄，并與之通信。到達新位置后，需要重新設置VPN，導致業(yè)務中斷。

蜂窩網絡中移動VPN配置中的用戶與蜂窩接入點之間的加密無線電通信基于用戶與移動網絡供應商之間的加密[20]。此外，還需要像GGSN這樣的專用網絡設備，它們是由MN正在尋找隧道的實體以外的實體擁有的。多個隧道的建立會增加開銷，這可能會影響低帶寬網絡的性能。

基于SIP的移動VPN[21]，由于SIP協(xié)議的性質而具有集中的客戶端/服務器架構。這本質上帶來了可擴展性問題。此外，這些解決方案適用于實時應用程序，可能不適合其他應用程序轉換。此外，它受到了SIP的安全漏洞的影響，已經被廣泛研究[28]。

基于TLS的移動VPN及其變體(WTLS，DTLS)比基于移動IP的解決方案更具移動性。這源于TLS是應用協(xié)議的事實，因此TLS會話獨立于對網絡層的任何改變，即IP改變。為了支持應用程序持久性，基于TLS的移動VPN依靠建立即使在網絡中斷期間仍保持活動的虛擬接口。虛擬接口維護MN中的應用可以使用的固定虛擬IP(FVIP)作為源地址。真正的應用程序持久性(TAP)不是由基于TLS的移動VPN原生支持的。如果MN遇到很長的覆蓋差距，則底層傳輸協(xié)議可能會超時。

基于HIP的移動VPN有可能演變成通用的移動VPN解決方案，因為HIP支持其原生形式的移動性。然而，這要求在所有訪問的網絡中使用HIP使能的設備，這可能并不總是可行的，尤其是在傳統(tǒng)系統(tǒng)中。但是，HIPVPN解決方案似乎缺乏本文討論的其他解決方案的成熟度。

當MN訪問其他網絡時使MIPv6或其他MIP類型的方法保持VPN隧道活動，這只能部分地解決當前的問題。根據(jù)應用程序的不同，當MN切換網絡時通信中斷可能會使應用程序崩潰。出于這個原因，在網絡中斷期間應用程序會話持久性非常重要，一些更為接受的移動VPN解決方案[22][23]提供了屏蔽來自應用程序的網絡中斷的能力。

具有應用程序會話持久性規(guī)定的移動VPN似乎是所有移動VPN選項中最有希望的，并且在市場上似乎已經很好建立。但是這些解決方案如何適應IPv6仍有待觀察。

4 結 語

移動VPN技術是當今計算環(huán)境下強有力的信息安全工具。由于涉及的問題非常復雜，以及眾多可能的選擇，可以使用結構化方法[3]來設計定制適合實際問題的移動VPN解決方案。

盡管基于IPsec和TLS的客戶端VPN根據(jù)定位進行修改，但并未針對移動環(huán)境進行優(yōu)化，并且無法滿足應用性能，可用性和生產的需求。

基于當前可有協(xié)議的移動VPN解決方案也占有一定比重。MIP及其后續(xù)MIPv6增加了對IP網絡的移動性支持。MIPv6是IPv6功能的重要組成部分，其OSI堆棧的狹窄腰部對移動性很契合。但是IPv6部署仍然落后于廣泛使用的IPv4互聯(lián)網。隨著網絡向IPv6的轉移，將基于會話移動的解決方案結合到MIPv6雖然取得了很大成功，弊端是這方面的研究相對缺少，綜合來看，我們認為基于IPv6兼容會話傳輸?shù)囊苿覸PN解決方案將是移動受限的VPN進入移動時代的契機。

在本研究報告中我們介紹了移動VPN的研究背景，解決方案中的相關理論和技術基礎。然后，我們提供了分類移動VPN的分類標準，并提出了真正的移動VPN的要求，并介紹了典型移動VPN。

移動VPN雖然是一項全新的技術，但是隨著5G和下一代網絡技術的發(fā)展以及用戶對移動性和安全性要求愈來愈高，它將很快成為未來移動通信服務運營商的一項重要業(yè)務和重要的利潤增長點。移動VPN的未來必將是充滿著光明和希望的。