移動(dòng)代理專用虛擬網(wǎng)安全機(jī)制初探

李　凌

[摘要]把移動(dòng)代理加入到VPN中，完善現(xiàn)有的VPN的安全機(jī)制和防火墻的檢測(cè)機(jī)制，使VPN傳輸中絕密級(jí)數(shù)據(jù)在不需要解密的情況下，通過防火墻的檢測(cè)，滿足用戶對(duì)VPN更高的安全性要求。依據(jù)系統(tǒng)模擬實(shí)驗(yàn)，設(shè)計(jì)實(shí)現(xiàn)VPNAgent系統(tǒng)部分功能，同時(shí)對(duì)系統(tǒng)的性能和安全進(jìn)行探討。

[關(guān)鍵詞]專用虛擬網(wǎng)移動(dòng)代理分布式防火墻

中圖分類號(hào)：TN92文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671-7597(2009)0610085-01

一、引言

為了使內(nèi)部網(wǎng)絡(luò)信息免受非授權(quán)用戶的攻擊，人們通常采用防火墻技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受非授權(quán)用戶的攻擊，同時(shí)也廣泛采用虛擬專用網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)了在不安全網(wǎng)絡(luò)中安全可靠地傳輸私有信息。但這兩種技術(shù)單獨(dú)使用在安全性方面都存在不足，盡管FVPN表現(xiàn)出良好的安全特性，但是在FVPN中的加密信息在通過防火墻時(shí)與防火墻檢測(cè)機(jī)制互相沖突，因?yàn)榉阑饓榱藱z查流經(jīng)信息的內(nèi)容，必須將這些信息翻譯成明文，這就有被攻擊的可能，這使得被傳輸?shù)募用苄畔⒌陌踩源蟠蛘劭邸?/p>

二、VPNAgent系統(tǒng)

假定在兩個(gè)國(guó)家的貿(mào)易交換，甲國(guó)從乙國(guó)按一定的進(jìn)口條令進(jìn)口貨物，為了保證貨物符合條令，甲國(guó)先派一個(gè)客戶代理去乙國(guó)預(yù)先檢測(cè)其要輸出的貨物，如果檢驗(yàn)合格，就給輸出貨物頒發(fā)簽證，表示這個(gè)貨物符臺(tái)輸入條令。這樣，當(dāng)貨物到達(dá)甲國(guó)的邊境時(shí)海關(guān)信任該簽證，就無需對(duì)貨物再進(jìn)行檢測(cè)。

(一)客戶代理VPNClientAgent

VPNClienthgent是一個(gè)移動(dòng)代理，能從防火墻(服務(wù)器)遷移到指定的客戶處做一定的檢測(cè)工作，這個(gè)代理包含代碼和數(shù)據(jù)(特定檢測(cè)目的代碼和安全策略數(shù)據(jù))，它是和一個(gè)靜態(tài)通信代理同時(shí)工作的。VPNClientAgent作為防火墻的一個(gè)檢測(cè)代表，是在各客戶端進(jìn)行檢測(cè)的，它利用防火墻嵌入其上的安全規(guī)則進(jìn)行數(shù)據(jù)包檢測(cè)。

1．檢測(cè)單元。嚴(yán)格講，檢測(cè)單元是防火墻的主要代表部分。它和作用在應(yīng)用級(jí)代理防火墻的應(yīng)用層的檢測(cè)過程工作相同，但是，檢測(cè)單元雖然是防火墻的代表卻工作在與防火墻不同的位置，其工作在客戶端。這個(gè)單元的輸入是明文格式的信息，VPNClientAgent的檢測(cè)單元已嵌入特定的防火墻的安全策略，這個(gè)檢測(cè)過程有兩種結(jié)果；(1)通過：意味著信息是合法的，簽名后就準(zhǔn)備交給通信代理；(2)失?。哼@種情況下信息會(huì)被丟棄，以后的工作需要基于安全策略。

2．加密單元。加密和解密過程是和檢測(cè)過程相獨(dú)立的過程。加密之后就沒有辦法區(qū)分?jǐn)?shù)據(jù)包，為了防止未檢測(cè)的信息混入到檢測(cè)過的合法信息中，加密協(xié)議必須嵌入到Y(jié)PNClientAgent封裝中。因此，VPNClientA—gent按安全策略執(zhí)行檢測(cè)后把數(shù)據(jù)包交給加密協(xié)議，加密后再為合法的數(shù)據(jù)包簽名，在目的機(jī)解密前要先除去簽名。

3．簽名單元。這個(gè)單元的作用是證明簽名的數(shù)據(jù)包時(shí)已經(jīng)檢測(cè)過的，符合防火墻安全策略的。VPNClientAgent通過簽名告訴StatieAgent某個(gè)數(shù)據(jù)包是被檢測(cè)過的，這樣通過防火墻時(shí)就無需再檢測(cè)。這個(gè)過程可以靠一個(gè)數(shù)字簽名方法實(shí)現(xiàn)。這個(gè)單元需要兩個(gè)組件：(1)一個(gè)簽名數(shù)據(jù)包的算法：(2)一個(gè)VPNClientAgent和StaticAgent的共享密鑰(SKVCA)

(二)靜態(tài)代理StaticAgent

StaticAgent是一個(gè)靜態(tài)通信代理，是防火墻的看門人，它的職責(zé)是在防火墻上只為特定的合法的數(shù)據(jù)包打開一個(gè)通道，它工作在防火墻上控制通過防火墻的數(shù)據(jù)包的路由過程。StaricAgent的職責(zé)大體上可以被歸納為三點(diǎn)；(1)驗(yàn)證綁定到數(shù)據(jù)包上的通信VPNClientAgent的簽名；(2)確保VPNClientAgent起作用；(3)將合法的數(shù)據(jù)包到目的地。

StatieAgent包括簽名驗(yàn)證單元、置換單元和路由單元。

1．簽名驗(yàn)證單元。簽名驗(yàn)證單元的目的就是驗(yàn)證過來的數(shù)據(jù)包的有效性和是否被合法的客戶代理檢測(cè)過。簽名驗(yàn)證單元從通信代理那兒接收數(shù)據(jù)包。把數(shù)據(jù)包分成原始數(shù)據(jù)加密單元和簽名單元兩部分。

2．路由單元。路由單元就是一個(gè)簡(jiǎn)單的包含路由和地址轉(zhuǎn)換信息的路由函。

3．置換單元。這個(gè)單元的執(zhí)行要滿足以下兩個(gè)條件：(1)目標(biāo)服務(wù)器上需安裝有執(zhí)行這個(gè)使命的VPNClientAgent；(2)數(shù)據(jù)包需在到達(dá)目的服務(wù)器的應(yīng)用程序之前被檢測(cè)。

三、VPNAqent系統(tǒng)的工作流程

客戶機(jī)如果想向服務(wù)器發(fā)送文件，先向服務(wù)器請(qǐng)求建立連接，服務(wù)器驗(yàn)證其身份，如果是可信任的客戶端，則根據(jù)應(yīng)用程序的類型派遣合適的VPNClientAgent到客戶端，VPNClientAgent在客戶端檢測(cè)數(shù)據(jù)是否合法，如果是合法數(shù)據(jù)，則給數(shù)據(jù)加密，并簽名，VPN·ClientAgent帶著簽名的數(shù)據(jù)包返回服務(wù)器，服務(wù)器上的VPNAgent系統(tǒng)中的StaticAgent檢測(cè)簽名是否有效，如果簽名有效，則接收數(shù)據(jù)，否則拒絕接收數(shù)據(jù)，丟棄無效數(shù)據(jù)。

四、時(shí)間評(píng)價(jià)

為了衡量VPNAgent系統(tǒng)的性啪，我們器蜃分別考慮影響傳輸時(shí)間的幾個(gè)因素。下面是傳輸時(shí)間計(jì)算公式：傳輸時(shí)間=檢測(cè)時(shí)間+加密時(shí)間+簽名時(shí)間+路由時(shí)間。我們用WinDumpl具對(duì)同一文件在各種傳輸模式下的傳輸時(shí)間進(jìn)行統(tǒng)計(jì)，經(jīng)過多次對(duì)于不同大小的文件進(jìn)行傳輸實(shí)驗(yàn)，我們通過比較傳輸時(shí)間戳發(fā)現(xiàn)，從客戶機(jī)A到服務(wù)器B傳輸一個(gè)6K大小的文件，如果以明文形式傳輸需要花費(fèi)0.087S，這是單純的路由時(shí)間，以加密模式(SSL)傳輸，需要花費(fèi)0.2714S，幾乎是路南時(shí)間的三倍，以加密簽名模式(即在VPNAgent系統(tǒng)下)傳輸，需要額外花費(fèi)0.005S的簽名時(shí)間，而應(yīng)用代理防火墻檢測(cè)、加密、路由、解密直到整個(gè)傳輸完成共需要0.4356S。

通過比較得知，使用VPNAgent系統(tǒng)與應(yīng)用級(jí)代理防火墻相比，是以簽名時(shí)間換取了防火墻處的檢測(cè)時(shí)間和解密時(shí)間，從整體上看來時(shí)間是節(jié)省了。

五、結(jié)束語

虛擬專用網(wǎng)絡(luò)安全機(jī)制涉及廣泛，在此只結(jié)合移動(dòng)代理技術(shù)針對(duì)其安全問題的一個(gè)方面，進(jìn)行部分改進(jìn)工作，VPNAgent系統(tǒng)還有諸多需改進(jìn)和完善的地方，VPNAgent系統(tǒng)自身的安全性和VPNAgenl系統(tǒng)與各種防火墻系統(tǒng)的融合的問題亟待進(jìn)一步研究。