徐鵬

【摘要】隨著互聯(lián)網(wǎng)絡(luò)的普及，全國電子政務(wù)信息化建設(shè)的快速發(fā)展，各個(gè)行業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)以及移動(dòng)辦公網(wǎng)絡(luò)，為提高工作效率發(fā)揮著重要作用，同時(shí)對于內(nèi)部網(wǎng)絡(luò)信息的完整性、及時(shí)性、機(jī)密性要求也日趨強(qiáng)烈。本文基于隧道交換機(jī)制，提出了一種高效的安全接入機(jī)制，可以有效提高移動(dòng)辦公網(wǎng)絡(luò)的安全性、兼容性和部署的靈活性。

【關(guān)鍵詞】移動(dòng)辦公 安全接入 隧道交換

【中圖分類號】TP393 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1672-5158（2013）01—0160-01

1 引言

隨著信息化時(shí)代的來臨，信息系統(tǒng)已成為日常工作的基礎(chǔ)手段，發(fā)揮了越來越重要的作用，而移動(dòng)辦公能使用戶隨時(shí)隨地處理工作，極大地提高工作的便利性和處理效率，與此同時(shí)移動(dòng)辦公網(wǎng)絡(luò)的安全性、兼容性也成為一種急迫的需求。

隧道交換技術(shù)可以使不同的服務(wù)提供商、不同安全域的網(wǎng)絡(luò)之間實(shí)現(xiàn)安全的隧道聯(lián)系，將目的地址相同的隧道聚合，實(shí)現(xiàn)隧道復(fù)用，減少隧道維護(hù)開銷，在保證安全性的同時(shí)最大限度的增加移動(dòng)接人的靈活性。所謂隧道交換就是采用點(diǎn)安全隧道交換模塊一點(diǎn)的通信方式實(shí)現(xiàn)傳統(tǒng)的點(diǎn)到點(diǎn)的隧道通信方式，在兩條不同的安全隧道之間交換數(shù)據(jù)，實(shí)現(xiàn)安全隧道的延伸和轉(zhuǎn)發(fā)。本文首先分析移動(dòng)辦公網(wǎng)絡(luò)在安全方面的需求，然后引入隧道交換技術(shù)，提出了一種高效的安全接入機(jī)制，可以有效提高移動(dòng)辦公網(wǎng)絡(luò)的安全性、兼容性和部署的靈活性。

2 移動(dòng)辦公網(wǎng)絡(luò)的安全需求

移動(dòng)辦公就是需要使用移動(dòng)終端設(shè)備，通過相對不安全的信道，通常是Internet網(wǎng)絡(luò)，接入單位內(nèi)部網(wǎng)絡(luò)，以實(shí)現(xiàn)隨時(shí)隨地可以辦公的目的，但是近年來來自網(wǎng)絡(luò)的安全威脅越來越大，因而移動(dòng)辦公網(wǎng)絡(luò)必須至少滿足如下的一些安全需求：數(shù)據(jù)交換需求：保證信息公開服務(wù)的準(zhǔn)確性與實(shí)時(shí)性。安全性需求：保證外網(wǎng)服務(wù)與內(nèi)部網(wǎng)絡(luò)不混雜，杜絕安全性隱患。保密性需求：在數(shù)據(jù)交換的過程中，必須保證數(shù)據(jù)傳輸通道的安全，對數(shù)據(jù)進(jìn)行加密，以防止數(shù)據(jù)被竊取導(dǎo)致的嚴(yán)重后果?？煽匦孕枨螅罕ＷC數(shù)據(jù)格式統(tǒng)一，不含任何病毒木馬?？晒芾硇孕枨螅壕W(wǎng)絡(luò)安全設(shè)備要能夠統(tǒng)一進(jìn)行管理，可以及時(shí)方便掌控整個(gè)網(wǎng)絡(luò)的運(yùn)行情況。

3 基于隧道交換的移動(dòng)辦公網(wǎng)絡(luò)安全接入機(jī)制

3.1 隧道交換技術(shù)

按照隧道交換完成的功能，也就是隧道交換的目的可以分為兩類：內(nèi)外網(wǎng)之間交換和外網(wǎng)兩條隧道之間的交換。前者實(shí)現(xiàn)內(nèi)外網(wǎng)之間的隧道交換，類似于隧道中繼，使隧道得以向內(nèi)網(wǎng)延伸，可以進(jìn)一步保證內(nèi)網(wǎng)傳輸數(shù)據(jù)的安全性和完整性，使得隧道可以終止在網(wǎng)絡(luò)的任意位置，使得安全隧道的構(gòu)建更加方便靈活，極大地提高系統(tǒng)得擴(kuò)展性，能夠?qū)?shù)據(jù)引導(dǎo)到不同的子網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)流調(diào)度。后者實(shí)現(xiàn)外網(wǎng)的兩條隧道之間進(jìn)行隧道交換，類似于路由轉(zhuǎn)發(fā)。這種方式可以使沒有直接隧道互聯(lián)的實(shí)體，借助與雙方都有隧道關(guān)系的第三方實(shí)體實(shí)現(xiàn)互聯(lián)，即可以以較小的隧道開銷實(shí)現(xiàn)全聯(lián)通，使不同服務(wù)商、不同的安全域之間建立安全通道。

3.2 隧道交換方式

所謂交換方式是指在隧道交換階段，交換設(shè)備采用何種方式處理數(shù)據(jù)包，實(shí)現(xiàn)交換。不管何種處理，交換設(shè)備都必須記錄需要交換的兩個(gè)實(shí)體的一一對應(yīng)關(guān)系及雙方的相關(guān)信息，大致可以分為兩種隧道交換方式：加解密方式和IP封裝方式。在加解密模式下，交換實(shí)體均要和隧道交換設(shè)備建立安全隧道，隧道交換記錄內(nèi)網(wǎng)地址之間的交換關(guān)系以及與保護(hù)它們的安全實(shí)體之間的安全隧道信息。在IP封裝方式中，隧道協(xié)商過程可以是在實(shí)際通信雙方之間直接協(xié)商，當(dāng)然也可以認(rèn)為協(xié)商數(shù)據(jù)是“透明”的通過隧道交換轉(zhuǎn)發(fā)來完成的，也就是說，隧道交換并不解密數(shù)據(jù)包，進(jìn)一步確保數(shù)據(jù)在安全傳輸途中不會(huì)出現(xiàn)安全隱含，這種方式可以實(shí)現(xiàn)隧道的嵌套，可以有效提高產(chǎn)品部署的靈活性和可擴(kuò)展性，本文采用后一種方法但也兼容第一種方式。

3.3 基于隧道交換的安全接入

基于隧道交換的移動(dòng)辦公網(wǎng)絡(luò)安全接入機(jī)制可以支持所有類型的移動(dòng)辦公需求，本文以典型的三種應(yīng)用為例來論述該機(jī)制的原理。

（1）移動(dòng)用戶通過互聯(lián)網(wǎng)接入內(nèi)部網(wǎng)絡(luò)

這里移動(dòng)用戶可以是筆記本、手機(jī)等各種移動(dòng)終端，通過事先安裝的隧道交換模塊，經(jīng)過必要的認(rèn)證與密鑰協(xié)商之后，與內(nèi)部網(wǎng)絡(luò)或主機(jī)建立安全隧道，分配內(nèi)部網(wǎng)絡(luò)地址，之后這個(gè)移動(dòng)用戶就可以像在內(nèi)部固定地點(diǎn)登陸內(nèi)部網(wǎng)絡(luò)一樣，自由的處理各種工作，而安全隧道的交換對于用戶完全透明，這是由于隧道交換對其進(jìn)行了必要的封裝，存在外部和內(nèi)部兩個(gè)IP頭部，并對內(nèi)部地址進(jìn)行加密、完整性保護(hù)，只有到達(dá)內(nèi)部網(wǎng)絡(luò)經(jīng)過解密后才能看到內(nèi)部地址信息。

（2）分支機(jī)構(gòu)通過互聯(lián)網(wǎng)接入內(nèi)部網(wǎng)絡(luò)

分支機(jī)構(gòu)通過互聯(lián)網(wǎng)接入內(nèi)部網(wǎng)絡(luò)的情況與移動(dòng)用戶類似，其不同之處主要在于，分支機(jī)構(gòu)中可能存在多個(gè)用戶同時(shí)在異地接入位于總部的內(nèi)部網(wǎng)絡(luò)，這時(shí)就需要隧道交換模塊建立隧道交換表，分別登記來自同一分支機(jī)構(gòu)的不同用戶，并分別設(shè)置安全策略、訪問權(quán)限。這里需要明確的是，分支機(jī)構(gòu)接入內(nèi)部網(wǎng)絡(luò)，也只有一個(gè)安全隧道，只執(zhí)行一次加解密和完整性保護(hù)運(yùn)算，并不會(huì)增加系統(tǒng)開銷，不同用戶的區(qū)分是由隧道交換來完成的。

（3）多個(gè)移動(dòng)用戶通過互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)

移動(dòng)辦公不僅需要隨時(shí)隨地接入網(wǎng)絡(luò)，有時(shí)也需要多個(gè)移動(dòng)用戶之間可以隨時(shí)隨地安全的溝通，比如同時(shí)出差的兩個(gè)單位領(lǐng)導(dǎo)之間，這時(shí)二者直接通信由于受到移動(dòng)設(shè)備的限制，比如手機(jī)，無法安裝復(fù)雜的安全模塊（如加解密模塊等），這時(shí)就可以通過隧道交換，即每個(gè)移動(dòng)用戶分別與內(nèi)部網(wǎng)絡(luò)建立聯(lián)系，由內(nèi)部網(wǎng)絡(luò)執(zhí)行隧道交換，以實(shí)現(xiàn)它們之間的間接連接。這樣做還有一個(gè)好處，每個(gè)移動(dòng)用戶僅僅需要掌握一個(gè)安全通信方式，而不必要掌握與每一個(gè)可能的移動(dòng)用戶的安全通信方式，大大降低了存儲(chǔ)和計(jì)算開銷，尤其適合計(jì)算、存儲(chǔ)能力受到限制的移動(dòng)設(shè)備。

4 結(jié)束語

本文分析了移動(dòng)辦公網(wǎng)絡(luò)的安全需求，引入了安全隧道交換機(jī)制，給出了兩種不同的隧道交換方式，提出了一種高效的安全接入機(jī)制，可以有效提高移動(dòng)辦公網(wǎng)絡(luò)的安全性、兼容性和部署的靈活性。

參考文獻(xiàn)

[1]陳娜，李之棠.層次交換式VPN體系結(jié)構(gòu)的設(shè)計(jì)與研究.華中科技大學(xué)碩士學(xué)位論文，2004 5

[2]韓儒博，鄔鈞霆，徐孟春.虛擬專用網(wǎng)絡(luò)及其隧道實(shí)現(xiàn)技術(shù).微計(jì)算機(jī)信息，2005年14期，6-8頁

[3]杜學(xué)繪.一種新的一體化移動(dòng)安全接入體系結(jié)構(gòu).計(jì)算機(jī)工程.2007年13期

[4]李欣吳，旭東.基于CPK認(rèn)證技術(shù)的移動(dòng)安全接入系統(tǒng).《武漢理工大學(xué)學(xué)報(bào)（信息與管理工程版）》，2011年3期