李 輝

(新疆維吾爾自治區(qū)公安廳，新疆 烏魯木齊 830002)

0 引 言

近年來，隨著移動(dòng)互聯(lián)網(wǎng)快速發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為日常生活的必需品，對(duì)于企業(yè)來說，互聯(lián)網(wǎng)的發(fā)展更是為其帶來無限的商機(jī)。對(duì)于企業(yè)用戶，僅僅能夠接入互聯(lián)網(wǎng)是不夠的，在互聯(lián)網(wǎng)廣泛應(yīng)用的同時(shí)，網(wǎng)絡(luò)安全的重要性日趨顯著它更關(guān)心企業(yè)資源的安全性。傳統(tǒng)虛擬專用網(wǎng)(VPN)通過對(duì)互聯(lián)網(wǎng)發(fā)送的數(shù)據(jù)包進(jìn)行加密取代構(gòu)建真正的專用網(wǎng)絡(luò)來建立遠(yuǎn)程用戶與家庭網(wǎng)絡(luò)之間的安全連接[1]。但是傳統(tǒng)VPN與移動(dòng)設(shè)備不同，其連接適用于固定設(shè)備之間，大多數(shù)移動(dòng)設(shè)備在從一個(gè)網(wǎng)絡(luò)切換到另一個(gè)網(wǎng)絡(luò)時(shí)或者在覆蓋范圍上遇到間隙時(shí)易受到間歇性連接丟失的影響，例如，移動(dòng)電話可能會(huì)在WiFi和4G之間切換，或者在不同WiFi之間切換，此類連接丟失或連接更改可能導(dǎo)致VPN連接中斷，導(dǎo)致使用VPN的移動(dòng)應(yīng)用程序超時(shí)或崩潰。鑒于遠(yuǎn)程工作人員和移動(dòng)設(shè)備日益普及，以及無處不在的無線網(wǎng)絡(luò)，應(yīng)該使用移動(dòng)VPN解決方案提供VPN體驗(yàn)使得用戶無需在網(wǎng)絡(luò)之間切換時(shí)重置和重新配置VPN會(huì)話。 正是在這種需求的推動(dòng)下，將VPN技術(shù)與支持移動(dòng)性的移動(dòng)技術(shù)相融合，為用戶提供無縫、 安全接入服務(wù)的移動(dòng)VPN技術(shù)應(yīng)運(yùn)而生。

在接下來的論文中我們將在第1章提出移動(dòng)VPN分類標(biāo)準(zhǔn)，第2章列出移動(dòng)VPN技術(shù)實(shí)現(xiàn)的關(guān)鍵要求和相應(yīng)解決方案，并在第3章進(jìn)行對(duì)比分析，最后第4章進(jìn)行總結(jié)。

1 VPN分類

基于移動(dòng)VPN的特點(diǎn)和應(yīng)用案例，移動(dòng)VPN技術(shù)的分類標(biāo)準(zhǔn)有多種。在本節(jié)中，我們將詳細(xì)介紹分類標(biāo)準(zhǔn)。

1.1 分類標(biāo)準(zhǔn)-隧道建設(shè)

VPN根據(jù)隧道建立標(biāo)準(zhǔn)可分為以下三類：自愿VPN，強(qiáng)制VPN和鏈接的VPN隧道。

1.1.1自愿VPN

在自愿VPN中，遠(yuǎn)程節(jié)點(diǎn)和VPN網(wǎng)關(guān)之間的端到端隧道是自愿設(shè)置的，也可以根據(jù)遠(yuǎn)程用戶的需要進(jìn)行設(shè)置。在這個(gè)模型中，不涉及中間節(jié)點(diǎn)或?qū)嶓w。遠(yuǎn)程節(jié)點(diǎn)必須具有某些功能，如IPsec，TLS等。例如，當(dāng)MN建立自愿的VPN連接時(shí)，服務(wù)供應(yīng)商(無線運(yùn)營(yíng)商)不知道該隧道。遠(yuǎn)程用戶在獲得來自服務(wù)供應(yīng)商的互聯(lián)網(wǎng)訪問之后可以建立到任何專用網(wǎng)絡(luò)的VPN連接。此模型有以下優(yōu)缺點(diǎn)[5]。

優(yōu)點(diǎn)：

(1)VPN客戶/服務(wù)器模型相對(duì)簡(jiǎn)單。只要客戶端可以訪問Internet等公共IP網(wǎng)絡(luò)和VPN客戶端軟件，同時(shí)服務(wù)器具有VPN服務(wù)器軟件，就可以相對(duì)容易地建立隧道。

(2)服務(wù)供應(yīng)商和任何中間節(jié)點(diǎn)不一定要求建立VPN。一旦建立隧道，中間節(jié)點(diǎn)就看不到加密業(yè)務(wù)。所以他們不需要彼此信任。

(3)由于中間節(jié)點(diǎn)對(duì)端到端的流量無可見性，因此不需要服務(wù)級(jí)別協(xié)議(SLA)或任何其他確保數(shù)據(jù)機(jī)密性的法律文件。

缺點(diǎn)：

(1)遠(yuǎn)端需要可公開路由的IP地址，公共IPv4尋址的有一定的限制。為了解決這個(gè)問題，自愿VPN可以使用NAT或IPv6。NAT解決方案本身和IPsec的一些設(shè)計(jì)不兼容，故使用NAT解決方案前，需要認(rèn)真進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)。

(2)因?yàn)榉?wù)質(zhì)量QoS需要數(shù)據(jù)包檢查，所以服務(wù)供應(yīng)商使用QoS進(jìn)行流量?jī)?yōu)先級(jí)劃分和整形是無效的。

(3)由于需要額外的封裝才能建立自由VPN，所以在有損耗的無線信道上建立和維護(hù)VPN可能會(huì)導(dǎo)致客戶體驗(yàn)不佳。

1.1.2強(qiáng)制VPN

強(qiáng)制VPN是在服務(wù)供應(yīng)商和專網(wǎng)之間建立VPN。只有當(dāng)遠(yuǎn)端用戶想訪問私網(wǎng)內(nèi)的資源時(shí)才使用，這個(gè)VPN被稱為強(qiáng)制VPN，用戶被迫使用運(yùn)營(yíng)商和私人網(wǎng)絡(luò)之間的隧道。在這種模型中，MN不需要支持任何隧道或安全協(xié)議，例如IPsec或TLS，它完全不知道隧道。這個(gè)模型有以下優(yōu)缺點(diǎn)[5]：

優(yōu)點(diǎn)：

(1)MN和服務(wù)供應(yīng)商之間不需要封裝。封裝和加密的開銷將被消除。

(2)在MN中不需要VPN的支持。因此會(huì)節(jié)省MN的資源，如電池和CPU。

(3)能夠提供QoS來區(qū)分語音，視頻和數(shù)據(jù)服務(wù)的服務(wù)水平。

缺點(diǎn)：

(1)缺少端到端的VPN連接意味著部分?jǐn)?shù)據(jù)通過不安全的數(shù)據(jù)通道傳輸，因此安全系數(shù)大大降低。

(2)由于無線電鏈路連接在服務(wù)供應(yīng)商處終止，服務(wù)供應(yīng)商必須被信任。即使通過無線鏈路使用了一些加密，流量也會(huì)在封裝之前被解密，并通過強(qiáng)制VPN隧道轉(zhuǎn)發(fā)到專用網(wǎng)絡(luò)。

(3)因?yàn)镾LA需要服務(wù)供應(yīng)商參與，所以會(huì)導(dǎo)致額外的開銷，因此可能不適合小企業(yè)和學(xué)術(shù)機(jī)構(gòu)使用。

1.1.3鏈接VPN

鏈接VPN隧道模型使用服務(wù)供應(yīng)商提供的級(jí)聯(lián)隧道，將其擴(kuò)展到基站和遠(yuǎn)程用戶。這樣的模型允許QoS和流量整形。但服務(wù)供應(yīng)商仍然需要被信任。然而這種模式消除了強(qiáng)制VPN模型中存在的任意不安全的數(shù)據(jù)通道[5]。

1.2 分類標(biāo)準(zhǔn)-移動(dòng)層

移動(dòng)VPN可以基于TCP/IP棧的哪個(gè)層被移動(dòng)性處理進(jìn)行分類。根據(jù)此標(biāo)準(zhǔn)，移動(dòng)VPN可以分為：

(1)基于網(wǎng)絡(luò)層移動(dòng)性的移動(dòng)VPN。這些移動(dòng)VPN解決了網(wǎng)絡(luò)層的移動(dòng)性問題。其通過網(wǎng)絡(luò)層解決了IP地址變化的問題，例如將流量重定向到移動(dòng)IP中的HA，并支持多宿主MOBIKE。

(2)基于應(yīng)用層移動(dòng)性的移動(dòng)VPN。這些移動(dòng)VPN通過在IP層之上創(chuàng)建會(huì)話綁定來支持移動(dòng)性，因此不受IP地址更改的影響。例如基于SIP的移動(dòng)VPN和基于TLS的VPN。

1.3 分類標(biāo)準(zhǔn)-安全協(xié)議

安全性是VPN的重要組成之一。由VPN提供的加密，認(rèn)證和消息完整性可以大致分為：

(1)基于網(wǎng)絡(luò)層安全的協(xié)議，如IPsec。

(2)基于應(yīng)用層安全的協(xié)議，如SRTP和SSL及其變體TLS，DTLS和WTLS。

IPsec將安全性應(yīng)用于網(wǎng)絡(luò)層的IP數(shù)據(jù)報(bào)文，因此在IPsec隧道的兩個(gè)端點(diǎn)之間有IP地址綁定。但是，由于應(yīng)用層安全協(xié)議的安全關(guān)聯(lián)沒有考慮IP地址，因此更適合于移動(dòng)性和NAT[6]。

2 移動(dòng)VPN技術(shù)和解決方案

移動(dòng)VPN是旨在提供安全I(xiàn)P移動(dòng)性的協(xié)議[2]。我們?cè)诒竟?jié)研究了移動(dòng)VPN的設(shè)計(jì)要求，以及使VPN適應(yīng)移動(dòng)性幾種不同的方法。圖1顯示了本節(jié)中討論的移動(dòng)VPN技術(shù)的分類。

圖1 移動(dòng) VPN技術(shù)和解決方案分類

2.1 移動(dòng)VPN設(shè)計(jì)要求

我們認(rèn)為移動(dòng)VPN具有以下要求：

(1)無縫網(wǎng)絡(luò)漫游(SNR)：當(dāng)MN執(zhí)行垂直切換時(shí)(MN使用不同的網(wǎng)絡(luò)接口，例如從蜂窩接口切換到WiFi)或水平切換(MN使用相同的媒介在網(wǎng)絡(luò)間切換，例如在WiFi網(wǎng)絡(luò)間切換)，并接收一個(gè)新的IP，VPN功能應(yīng)該無需用戶參與的情況下保持完整。在這兩種情況下，VPN隧道的物理IP地址(外部地址)都會(huì)更改。

(2)安全性：移動(dòng)VPN應(yīng)該執(zhí)行用戶認(rèn)證機(jī)制，保證提供數(shù)據(jù)流量的加密以及完整性。

(3)應(yīng)用會(huì)話持久性(Application Session Persistence，ASP)：當(dāng)網(wǎng)絡(luò)連接發(fā)生變化或中斷時(shí)，或者用戶手動(dòng)將設(shè)備置于睡眠模式時(shí)，應(yīng)用連接保持活動(dòng)狀態(tài)。

(4)性能：并非加密所有數(shù)據(jù)?？梢允褂梅指钏淼溃ㄟ^不加密的信道發(fā)送不敏感的數(shù)據(jù)以增強(qiáng)VPN的性能和減少M(fèi)N能耗。并且可以根據(jù)用戶需求和設(shè)備狀態(tài)來選擇加密算法，使其自適應(yīng)完成。自適應(yīng)壓縮技術(shù)也可以被應(yīng)用。此外，可利用移動(dòng)性成比例的位置更新來節(jié)約系統(tǒng)資源[7]。

移動(dòng)VPN解決方案的主要目標(biāo)是為網(wǎng)絡(luò)層中斷提供應(yīng)用層透明性，從而保持端到端應(yīng)用程序會(huì)話與移動(dòng)性導(dǎo)致的問題的獨(dú)立性。

2.2 支持網(wǎng)絡(luò)移動(dòng)性的移動(dòng)VPN

在本節(jié)中，我們將討論幾種支持網(wǎng)絡(luò)層移動(dòng)性的移動(dòng)VPN技術(shù)。

2.2.1基于移動(dòng)IPv4的VPN

此類型移動(dòng)VPN分別依賴于兩個(gè)協(xié)議IPsec和MIPv4。首先MN獲得其家庭網(wǎng)絡(luò)的IP地址，并將其注冊(cè)到HA。當(dāng)MN漫游并連接到外地網(wǎng)絡(luò)時(shí)，它獲得新的IP地址并向FA注冊(cè)。如圖2所示，F(xiàn)A在自身與HA之間建立IPsec隧道，并通知HA其IP地址為MN1的新CoA。從CN發(fā)往MN1的所有數(shù)據(jù)包首先進(jìn)入HA，然后通過IPsec隧道發(fā)送給FA。FA有能力知道這些數(shù)據(jù)包發(fā)往哪個(gè)MN，因此轉(zhuǎn)發(fā)給MN1。這是移動(dòng)VPN的強(qiáng)制方法。也通過使MN作為自身的FA來實(shí)現(xiàn)自愿的方法。

圖2 基于MIPv4的VPN

在MN2和HA之間建立IPsec隧道。MN2向HA注冊(cè)獲得其新的IP地址。就像強(qiáng)制方式一樣，HA首先路由發(fā)往MN2的數(shù)據(jù)包會(huì)導(dǎo)致三角路由異常。

2.2.2基于雙HA移動(dòng)IPv4的VPN

將MIP結(jié)合到基于IPsec的VPN會(huì)產(chǎn)生一些技術(shù)問題。當(dāng)MN離開其家庭網(wǎng)絡(luò)時(shí)，必須利用移動(dòng)后收到的CoA與VPN網(wǎng)關(guān)建立IPsec隧道。由于所有包括MIP消息的數(shù)據(jù)包都是通過IPsec加密的，所以FA不能解密從而使其無法對(duì)MIP消息進(jìn)行中繼[8]。我們可通過建立具有兩個(gè)HA的機(jī)制來避免此問題，一個(gè)用于內(nèi)部，一個(gè)用于外部網(wǎng)絡(luò)[9]。如果移動(dòng)節(jié)點(diǎn)在家庭網(wǎng)絡(luò)中，移動(dòng)節(jié)點(diǎn)將使用內(nèi)部HA(i-HA)，當(dāng)移出家庭網(wǎng)絡(luò)時(shí)，MN使用外部HA(x-HA)。該設(shè)備在IPsec下面添加另一層MIP。在接收到新的CoA時(shí)，不必破壞IPsec隧道，F(xiàn)A也能夠解密消息。

IET FRFC5265中提出的解決方案有幾個(gè)優(yōu)點(diǎn)。首先，MIP和IPsec標(biāo)準(zhǔn)不需要修改。只需要輕微修改MN。然而解決方案會(huì)導(dǎo)致問題：(1)放置x-HA的位置的確定，(2)x-HA的可信度，(3)如何保護(hù)去往x-HA的流量，4)有三個(gè)額外的頭部進(jìn)行有效載荷的性能影響[10]。

Benenati等人[11]在Feder等人[12]的工作基礎(chǔ)上使用IETF解決方案的變形，以及多個(gè)隧道協(xié)議標(biāo)準(zhǔn)，為3G和WLAN提供傳輸層解決方案，為互連的WLAN和3G網(wǎng)絡(luò)之間的移動(dòng)性提供了解決方案。作者認(rèn)為無線局域網(wǎng)系統(tǒng)與現(xiàn)有的3G網(wǎng)絡(luò)的集成既可以作為無線以太網(wǎng)擴(kuò)展(緊密網(wǎng)間互聯(lián))，也可以作為3G網(wǎng)絡(luò)(松散網(wǎng)間互聯(lián))的補(bǔ)充，其本質(zhì)區(qū)別在于3G網(wǎng)絡(luò)和無線供應(yīng)商。至少這兩種技術(shù)之間共享身份驗(yàn)證，授權(quán)和記帳(AAA)服務(wù)器。此外，在他們的解決方案中，作者假定MN是足夠智能的，使用最少的認(rèn)證證書來參與適當(dāng)?shù)膮f(xié)議，對(duì)于各種3G和WLAN技術(shù)本質(zhì)來說是不同的。IETF RFC 5265中的規(guī)范可以適用于除移動(dòng)IPsec以外的VPN協(xié)議，前提是MN有適合的注冊(cè)地址的IPv4連接。如果使用TLS網(wǎng)關(guān)或SSH節(jié)點(diǎn)代替IPsec網(wǎng)關(guān)，則可以適應(yīng)移動(dòng)TLS或移動(dòng)SSHVPN連接[7]。

Dutta等人[13]提出了一個(gè)名為安全通用移動(dòng)性(SUM)的框架，該框架利用了雙HA概念。他們的框架建議采用先斷后合的方法來減少重建兩個(gè)MIP隧道和IPsec隧道時(shí)所發(fā)生的延遲?；谛盘?hào)強(qiáng)度，MN從網(wǎng)絡(luò)移動(dòng)到其他網(wǎng)絡(luò)之前可以初始化切換過程。這包括激活目標(biāo)接口，并從目標(biāo)網(wǎng)絡(luò)獲取IP。該方法有效的前提是MN處于當(dāng)前網(wǎng)絡(luò)和未來網(wǎng)絡(luò)的范圍內(nèi)。

2.2.3基于移動(dòng)IPv6的VPN

從上述分析可知，實(shí)施IT基礎(chǔ)事務(wù)服務(wù)外包后，在同樣的等級(jí)保護(hù)要求下，管理部門也面臨全新的管理內(nèi)容和管理措施。因此，水務(wù)信息化管理部門在啟動(dòng)并采購IT服務(wù)外包時(shí)，對(duì)于可能涉及信息安全的環(huán)節(jié)，要始終保持高度的敏感性和責(zé)任心，認(rèn)真設(shè)計(jì)服務(wù)外包的內(nèi)容、范圍和活動(dòng)邊界，嚴(yán)格審查外包服務(wù)單位的資質(zhì)和派遣人員的從業(yè)條件，簽署具體的安全責(zé)任協(xié)議，對(duì)于關(guān)鍵崗位、敏感信息集中的環(huán)節(jié)給予重點(diǎn)管理，在獲取IT服務(wù)的同時(shí)牢牢保護(hù)技術(shù)主權(quán)，控制信息安全。

MIPv6代表IPv6和MIP的邏輯組合，從MIP(特別是MIPv4)發(fā)展而來。MIPv6與MIP有許多共同之處，同時(shí)對(duì)MIP進(jìn)行了很多改進(jìn)。處于其本地狀態(tài)的IPv6具有支持移動(dòng)性的功能，例如MN使用其CoA作為源地址以及在IPv6報(bào)頭中攜帶歸屬地址的能力。由于IPv6網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)都有能力解釋這些信息，因此不再需要部署用于MIP的FA[14]。MIP網(wǎng)絡(luò)中的FA需要滿足例如在外部網(wǎng)絡(luò)中的發(fā)現(xiàn)和地址配置的功能，而MIPv6不需要滿足，因?yàn)镸N可以在任何位置操作而不需要任何本地路由器的特殊支持。

2.2.4基于移動(dòng)IPv4/v6共存的VPN

薛等人[15]研究移動(dòng)VPN中由移動(dòng)IP和VPN技術(shù)融合帶來的新問題的解決方案,并以此為指導(dǎo),設(shè)計(jì)出一套首先在純的IPv6網(wǎng)絡(luò)環(huán)境中,利用移動(dòng)IPv6協(xié)議實(shí)現(xiàn)移動(dòng)VPN的軟件系統(tǒng),并逐步擴(kuò)展到IPv4 /v6共存的網(wǎng)絡(luò)環(huán)境,使得計(jì)算機(jī)設(shè)備通過它能夠在從企業(yè)內(nèi)部網(wǎng)絡(luò)移動(dòng)到公共網(wǎng)絡(luò)時(shí)自動(dòng)的建立VPN隧道,安全的訪問企業(yè)內(nèi)部資源,并且在企業(yè)內(nèi)部漫游時(shí),始終保持明文通信,降低企業(yè)內(nèi)部不必要的網(wǎng)絡(luò)開銷。但是解決方案僅支持Linux操作系統(tǒng)，對(duì)于廣泛應(yīng)用的Windows尚不支持。

2.2.5基于BGP/MPLS的移動(dòng)VPN

在基于BGP / MPLS的移動(dòng)VPN中，MN使用Diameter服務(wù)器進(jìn)行注冊(cè)和認(rèn)證。MN在移動(dòng)到訪問網(wǎng)絡(luò)時(shí)生成MIP注冊(cè)請(qǐng)求[16]。為了將注冊(cè)請(qǐng)求傳送到家庭網(wǎng)絡(luò)中的供應(yīng)商網(wǎng)絡(luò)服務(wù)器(PNS)，VPN服務(wù)器的地址將MIP注冊(cè)請(qǐng)求消息的HA字段中的HA的地址替換。作者假定這個(gè)地址在MN中被預(yù)配置，增加名為“外地客戶設(shè)備”(FCE)地址的新字段，以指定訪問網(wǎng)絡(luò)中MN網(wǎng)關(guān)的地址，以便PNS可以確定為MN服務(wù)的網(wǎng)關(guān)。另外，在MIP注冊(cè)請(qǐng)求消息的擴(kuò)展字段中，指定訪問網(wǎng)絡(luò)AAA的地址代替家庭網(wǎng)絡(luò)。

當(dāng)FA接收到MIP注冊(cè)請(qǐng)求消息時(shí)，它向被訪問網(wǎng)絡(luò)中的AAA生成消息以進(jìn)行認(rèn)證。AAA認(rèn)證成功后，AAA向PNS發(fā)送消息，獲取MN的HA地址。當(dāng)PNS收到這個(gè)消息時(shí)，它在被訪問網(wǎng)絡(luò)和供應(yīng)者之間準(zhǔn)備IPsec VPN。PE與被訪網(wǎng)絡(luò)的CE之間建立IPsec隧道后，PE將MN與IPsec隧道的地址映射到對(duì)應(yīng)的MPLSVPN的VRF(Virtual Routing and Forwarding，虛擬路由轉(zhuǎn)發(fā))表中。其他PE根據(jù)更新后的路由信息更新自己的VRF表，轉(zhuǎn)發(fā)BGP/MPLS協(xié)議確定的信息。

2.2.6基于MOBIKE的VPN

當(dāng)MN的IP地址改變時(shí)，IKEv2移動(dòng)性和多宿主協(xié)議(MOBIKE)解決了IKEv2和IPsec固有的問題[17]。MOBIKE提供了使MN能夠使用IPsec隧道模式進(jìn)行VPN連接的機(jī)制使得在第3層切換期間保留安全關(guān)聯(lián)(SA)。

只有在應(yīng)用程序會(huì)話或底層傳輸層會(huì)話超時(shí)之前切換發(fā)生得足夠快，MOBIKE才有助于為應(yīng)用程序提供會(huì)話持久性。因此，應(yīng)用程序可能無法生存在蜂窩和WiFi都不可用的長(zhǎng)距離覆蓋范圍內(nèi)。

2.2.7網(wǎng)絡(luò)移動(dòng)性(NEMO)

Devarapalli等人[18]提出網(wǎng)絡(luò)移動(dòng)性(NEMO)協(xié)議，是處理網(wǎng)絡(luò)整體的協(xié)議。假設(shè)例如公司公交車的真實(shí)的場(chǎng)景。想象公交車上的每個(gè)人都想要VPN進(jìn)入公司網(wǎng)絡(luò)。將公司總線上的網(wǎng)絡(luò)作為公司內(nèi)部網(wǎng)的擴(kuò)展代替幾個(gè)單獨(dú)的VPN。因?yàn)榭偩€上的網(wǎng)絡(luò)通過不同的接入網(wǎng)絡(luò)，總線上的主機(jī)相互之間是靜態(tài)的。該協(xié)議本質(zhì)上是MIPv6的擴(kuò)展。

在NEMO中引入了新的網(wǎng)絡(luò)設(shè)備，稱為移動(dòng)路由器(MR)。MR在HA上注冊(cè)為MIPv6網(wǎng)絡(luò)中的MN。但是否注冊(cè)IP，MR注冊(cè)單個(gè)或多個(gè)子網(wǎng)。到MR后面的網(wǎng)絡(luò)的數(shù)據(jù)包被HA攔截，通過隧道轉(zhuǎn)發(fā)到MR后面的網(wǎng)絡(luò)。雖然NEMO對(duì)MIPv6進(jìn)行了最小限度的擴(kuò)展，但它卻將HA作為單點(diǎn)故障。但它可以降低開銷并提高少數(shù)應(yīng)用程序的性能。

2.2.8基于MPLS-VPN的移動(dòng)平臺(tái)

論文[19]研究的基于3G網(wǎng)絡(luò)和MPLS-VPN的移動(dòng)平臺(tái)題旨在3G技術(shù)背景下，結(jié)合MPLS-VPN多協(xié)議標(biāo)簽交換技術(shù)提高移動(dòng)安全平臺(tái)的可靠性和安全性，使其具有強(qiáng)大的管理能力和QoS保證，靈活的控制策略和可擴(kuò)展性，MPLS-VPN能夠利用公用骨干網(wǎng)絡(luò)的廣泛而強(qiáng)大的傳輸能力，降低企事業(yè)單位內(nèi)部網(wǎng)絡(luò)的建設(shè)成本和使用成本，并且極大地提高用戶網(wǎng)絡(luò)運(yùn)營(yíng)和管理的靈活性，同時(shí)能夠滿足用戶對(duì)信息傳輸安全性、實(shí)時(shí)性、寬頻帶、方便性的需要。

2.2.9蜂窩網(wǎng)絡(luò)-CDMA2000的移動(dòng)VPN

CDMA2000是蜂窩系統(tǒng)的3G技術(shù)。它在亞洲、美洲和東歐的某些地區(qū)廣泛部署[5]。

(1)CDMA2000無線電接入網(wǎng)絡(luò)(RAN)。MN通過無線接入連接到RAN。

(2)分組控制功能(PCF)。RAN和PCF通過無線電分組(R-P)接口通信。

(3)國(guó)內(nèi)和國(guó)外的AAA服務(wù)器。

(4)作為外地代理(FA)的分組數(shù)據(jù)服務(wù)節(jié)點(diǎn)(PDSN)。PDSN和PCF通過GRE隧道進(jìn)行通信。

(5)通過MIP/IPsec隧道與FA進(jìn)行通信的歸屬代理(HA)。

當(dāng)MN訪問CDMA2000網(wǎng)絡(luò)時(shí)，它建立與PDSN(FA)的PPP會(huì)話。PPP流量實(shí)際上被封裝在R-P流量中。當(dāng)它到達(dá)PCF時(shí)，解封裝R-P流量以獲得PPP幀，并將它們進(jìn)一步封裝在GRE數(shù)據(jù)包中，然后傳送到PSDN。PPP會(huì)話在PSDN處終止。PPP幀的有效載荷然后可以通過MIP/IPsec隧道從PSDN轉(zhuǎn)移到HA。

當(dāng)MN注冊(cè)PDSN時(shí)，PDSN將IP分配委托給HA。HA為該MN分配動(dòng)態(tài)或靜態(tài)IP。當(dāng)MN漫游時(shí)，有三種不同的移動(dòng)性水平：

(1)MN將RAN的范圍留給其他MN。物理層軟越區(qū)切換對(duì)于上述層是透明的。

(2)MN可能移動(dòng)得遠(yuǎn)致加入一個(gè)新的PCF范圍。鏈路層移動(dòng)性從第3層透明。

(3)MN漫游到其他網(wǎng)，IP移動(dòng)產(chǎn)生，MN將向新的PDSN注冊(cè)，并且HA將更新移動(dòng)性綁定表，導(dǎo)致新的PDSN路由所有后續(xù)業(yè)務(wù)。

2.2.10蜂窩網(wǎng)絡(luò)-UMTS移動(dòng)VPN

在蜂窩網(wǎng)絡(luò)中，通過由塔臺(tái)和基站組成的蜂窩接入網(wǎng)絡(luò)來提供VPN移動(dòng)性，蜂窩網(wǎng)絡(luò)中的移動(dòng)VPN使用GPRS隧道協(xié)議(GTP)和IPsec的組合[20]，如圖3所示.GTP通過IP/UDP傳輸路徑封裝數(shù)據(jù)包，并提供控制消息來設(shè)置和修改隧道。

圖3 UMTS蜂窩網(wǎng)絡(luò)中的移動(dòng)VPN

在這種設(shè)置中的MN獲得動(dòng)態(tài)分配的IP并由網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)由蜂窩網(wǎng)絡(luò)供應(yīng)商認(rèn)證[20]。在非GPRS網(wǎng)絡(luò)中，具有不同名稱但功能相似的節(jié)點(diǎn)將取代GGSN。在GGSN和ISP之間建立IPsec隧道，將流量傳輸?shù)阶罱K目的地。

2.3 通過應(yīng)用程序移動(dòng)性的移動(dòng)VPN

本節(jié)討論在TCP/IP協(xié)議棧的應(yīng)用層支持移動(dòng)性的移動(dòng)VPN解決方案。

2.3.1基于SIP的移動(dòng)VPN

黃等人為實(shí)時(shí)應(yīng)用提供基于SIP的移動(dòng)VPN解決方案，為實(shí)時(shí)應(yīng)用提供了安全性和移動(dòng)性保證[10]。

當(dāng)MN從本地網(wǎng)絡(luò)漫游時(shí)，位于VPN網(wǎng)關(guān)內(nèi)的SIP代理服務(wù)器認(rèn)證傳入的SIP消息，并將消息路由到指定為SIP注冊(cè)器的其他SIP代理服務(wù)器。應(yīng)用層網(wǎng)關(guān)(ALG)僅與SIP代理服務(wù)器交互，并監(jiān)督所有流量。當(dāng)ALG收到從家庭網(wǎng)絡(luò)到Internet上主機(jī)的傳入RTP流時(shí)，它將用SRTP頭替換IP/UDP/RTP頭，并將流傳送到目的地。通過驗(yàn)證SRTP分組的有效性，并用新的RTP報(bào)頭替換SRTP報(bào)頭來處理反方向的通信。有效載荷在兩個(gè)方向上保持不變。每個(gè)這樣的雙向通信在ALG中被表示為單會(huì)話。

MN進(jìn)入和離開其家庭網(wǎng)絡(luò)時(shí)，它在初始會(huì)話建立期間向SIP注冊(cè)其新位置。黃等人使用Diameter服務(wù)進(jìn)行注冊(cè)過程。MN注冊(cè)到SIP注冊(cè)服務(wù)器后，會(huì)檢查ALG中是否有活動(dòng)的會(huì)話[21]。如果找到活動(dòng)會(huì)話，則MN需要重新邀請(qǐng)CN，其中RE-INVITE本質(zhì)上是具有與初始INVITE消息相同的呼叫ID的INVITE消息，以及MN的新的聯(lián)系地址。RE-INVITE被發(fā)送到VPN網(wǎng)關(guān)中的SIP代理，該代理又將消息路由到SIP注冊(cè)器。如果需要身份驗(yàn)證，則SIP注冊(cè)器利用Diameter服務(wù)器。如果允許MN訪問歸屬網(wǎng)絡(luò)，則SIP注冊(cè)器使用ALG分配足夠的資源來保證會(huì)話保護(hù)。此時(shí)，RE-INVITE消息被路由到CN[21]。

當(dāng)MN回到家庭網(wǎng)絡(luò)時(shí)，消息不需要通過VPN網(wǎng)關(guān)的SIP代理。因此，在向SIP注冊(cè)新地址并發(fā)送RE-INVITE消息后，SIP注冊(cè)器將釋放先前分配的所有資源。然后MN無需通過ALG可以直接與CN通信[21]。

所提出的體系結(jié)構(gòu)是基于SIP，因此不需要如IETF移動(dòng)VPN所要求的那樣隧道傳輸三次分組，因此顯著減少了開銷。此外，由于大多數(shù)基于SIP的應(yīng)用程序[21]，所提出的體系結(jié)構(gòu)對(duì)于實(shí)時(shí)應(yīng)用程序特別有用?；赟IP的移動(dòng)VPN的性能似乎表明它特別適合于實(shí)時(shí)應(yīng)用中的實(shí)時(shí)應(yīng)用[21]。

我們先前討論的SUM框架也將SIP和MOBIKE一起用作其移動(dòng)VPN框架中的替代方法[44]。主要目標(biāo)是實(shí)現(xiàn)動(dòng)態(tài)VPN隧道建立，以便按需使用安全的VPN隧道。例如，當(dāng)移動(dòng)客戶端位于內(nèi)部家庭網(wǎng)絡(luò)內(nèi)或者外部漫游但不發(fā)送敏感數(shù)據(jù)時(shí)，不需要安全隧道。

2.3.2基于WTLS的移動(dòng)VPN

Columbitech是最流行的商業(yè)移動(dòng)VPN產(chǎn)品之一[22]，使用了應(yīng)用層解決方案的思想為VPN添加移動(dòng)性。通過解決應(yīng)用層的移動(dòng)性問題，該產(chǎn)品解放了網(wǎng)絡(luò)和傳輸層面的連接，解決了移動(dòng)性問題，并使應(yīng)用層按照原來的設(shè)計(jì)工作。解決方案依賴于傳輸層的恢復(fù)機(jī)制。

Columbitech將客戶端-服務(wù)器連接分成三個(gè)連接，如圖4所示。第一個(gè)連接是應(yīng)用程序客戶端和移動(dòng)VPN客戶端之間的MN內(nèi)的TCP/UDP連接。然后，VPN客戶端使用可靠的UDP與VPN服務(wù)器建立會(huì)話。與VPN客戶端類似，VPN服務(wù)器與應(yīng)用服務(wù)器建立TCP/UDP連接。這個(gè)拆分用于欺騙MN中的應(yīng)用程序，使其相信它們直接連接到應(yīng)用程序服務(wù)器，實(shí)際上，應(yīng)用程序客戶端連接在VPN客戶端連接。

圖4 Columbitech的移動(dòng)VPN設(shè)置

當(dāng)VPN客戶端收到連接應(yīng)用服務(wù)器的應(yīng)用請(qǐng)求時(shí)，移動(dòng)VPN將攔截該請(qǐng)求，并要求VPN服務(wù)器連接到應(yīng)用服務(wù)器。在得知VPN服務(wù)器已經(jīng)完成對(duì)應(yīng)用服務(wù)器的設(shè)置之后，移動(dòng)VPN客戶端將通知應(yīng)用與服務(wù)器的端到端連接已經(jīng)成功完成。移動(dòng)VPN服務(wù)器和客戶端使用WTLS設(shè)置VPN會(huì)話。此外，該系統(tǒng)還支持多路復(fù)用器的VPN服務(wù)器，可以將負(fù)載分配給VPN服務(wù)器。當(dāng)VPN服務(wù)器出現(xiàn)故障時(shí)，所有連接的客戶端都將丟失會(huì)話，并且將必須與其他VPN服務(wù)器發(fā)起新的連接，因?yàn)橄到y(tǒng)不提供透明的方式，所以將失敗的VPN服務(wù)器的會(huì)話切換為活動(dòng)。

2.3.3MUSeS

Ahmat和Magoni[23]提出了類似的應(yīng)用程序控制移動(dòng)VPN解決方案。他們的解決方案，稱MUSeS支持移動(dòng)性和交通安全。MUSeS允許用戶連接在移動(dòng)性導(dǎo)致的中斷之后仍舊連接。與Columbitech類似，MUSeS通過使用應(yīng)用層抽象創(chuàng)建安全會(huì)話，隱藏了由于用戶移動(dòng)而導(dǎo)致的網(wǎng)絡(luò)中斷。MUSeS在任何IP網(wǎng)絡(luò)上使用稱為CLOAK[24]的對(duì)等覆蓋網(wǎng)絡(luò)。MUSeS不是使用IPsec或TLS進(jìn)行VPN，而是依靠由CLOAK提供和管理的設(shè)備標(biāo)識(shí)符來提供加密和認(rèn)證。

當(dāng)MUSeS節(jié)點(diǎn)產(chǎn)生數(shù)據(jù)包發(fā)送到遠(yuǎn)程的MUSeS節(jié)點(diǎn)時(shí)，這個(gè)數(shù)據(jù)包通過環(huán)回TCP連接通過底層的CLOAK節(jié)點(diǎn)。底層CLOAK節(jié)點(diǎn)通過P2P覆蓋網(wǎng)絡(luò)將數(shù)據(jù)包路由到目的地。與目的地MUSeS節(jié)點(diǎn)相關(guān)聯(lián)的CLOAK節(jié)點(diǎn)截取該分組并且將其本地轉(zhuǎn)發(fā)給B.P2P覆蓋網(wǎng)絡(luò)，因此確保通過網(wǎng)絡(luò)正確路由MUSeS安全分組。然而作者并沒有提供這個(gè)機(jī)制的安全保證的細(xì)節(jié)，而是指出因?yàn)樗褂脴?biāo)準(zhǔn)的密碼算法，MUSeS保護(hù)用戶通信免受普通流量攻擊。由于MUSeS中間件與機(jī)器上的本地應(yīng)用程序之間的通信并不安全，因此與更傳統(tǒng)的VPN解決方案相比，該系統(tǒng)的安全性似乎是可疑的。

2.3.4FastVPN

Zúquete和Frade[25]提出了解決方案，將跨越WiFi熱點(diǎn)的Open VPN客戶端的快速VPN移動(dòng)性稱之為Fast VPN。Fast VPN的目標(biāo)是在VPN客戶端獲得新的IP地址切換到新的網(wǎng)絡(luò)后，重新配置Open VPN隧道，而不必終止和重新建立Open VPN隧道。一旦客戶端收到新的IP地址，就可以通過更新VPN服務(wù)器上的VPN隧道環(huán)境來實(shí)現(xiàn)。通常，Open VPN服務(wù)器通過VPN客戶端的物理IP地址和UDP端口查找隧道上下文。當(dāng)客戶端因加入新網(wǎng)絡(luò)而獲得新的物理地址時(shí)，Open VPN服務(wù)器將無法將該客戶端與其原始隧道語境關(guān)聯(lián)。這導(dǎo)致了兩個(gè)主要的副作用：(1)客戶端必須重新建立一個(gè)新的隧道，導(dǎo)致隧道建立和新的TLS握手產(chǎn)生不必要的開銷，(2)VPN客戶端在前會(huì)話中獲得的私有IP地址將可能不被維護(hù)，直到之前的隧道語境被收集清除之后才會(huì)被釋放，這種收集只發(fā)生在一段時(shí)間不活動(dòng)之后。重新使用原始隧道語境允許保持相同的私有IP地址，并且通過避免重新建立隧道來允許更快的隧道恢復(fù)。

快速VPN通過讓客戶端在獲得新的物理IP時(shí)將原始會(huì)話ID發(fā)送給VPN服務(wù)器來重新配置原始的隧道環(huán)境。發(fā)送會(huì)話ID有兩種方式：懶惰法和積極法。在懶惰法中，始終在所有數(shù)據(jù)消息中的初始化向量(IV)字段中發(fā)送會(huì)話ID(64比特)。這對(duì)于CBC密碼模式很好，因?yàn)镮V的隨機(jī)性不會(huì)提高CBC的安全性[25]。對(duì)于密碼反饋模式(CFB)和輸出反饋模式(OBF)，必須使用128位IV，因?yàn)樾枰狪V的隨機(jī)性。對(duì)于128位IV，只有前64位將是常量(由會(huì)話ID占用)，而其他64位是隨機(jī)的。

在積極法中，客戶端會(huì)對(duì)消息有效載荷末尾的明文會(huì)話ID填充的服務(wù)器發(fā)送?；钕ⅰ．?dāng)VPN服務(wù)器收到這樣的消息時(shí)，它將無法在隧道上下文表中找到具有新IP地址的客戶端條目。因此，它會(huì)檢查保持活動(dòng)消息的大小，如果它長(zhǎng)于正常情況，它會(huì)檢測(cè)到這是包含會(huì)話ID的重新配置消息。然后使用會(huì)話ID來查找隧道上下文，如果找到，則使用新的IP地址更新與此上下文關(guān)聯(lián)的物理IP地址。

Fast VPN最大限度地減少了數(shù)據(jù)包丟失，但并不能避免。此外，當(dāng)MN在WiFi覆蓋方面出現(xiàn)缺口時(shí)，沒有機(jī)制維持應(yīng)用會(huì)話。允許VPN客戶端保持相同的私有IP地址是相當(dāng)有用的，但是這樣的解決方案只有在客戶端從WiFi網(wǎng)絡(luò)立即移動(dòng)到其他WiFi網(wǎng)絡(luò)時(shí)才有效，而沒有經(jīng)歷可能觸發(fā)TCP會(huì)話超時(shí)的覆蓋的長(zhǎng)距離。

2.4 基于主機(jī)標(biāo)識(shí)協(xié)議(HIP)的移動(dòng)VPN

HIP試圖改變TCP/IP協(xié)議棧，以提高當(dāng)今網(wǎng)絡(luò)的安全性，移動(dòng)性和多宿主能力。在包含加密主機(jī)標(biāo)識(shí)符的協(xié)議棧的第3層和第4層之間引入了一個(gè)新層，如圖5所示。HIP提供IPsec加密，并啟用對(duì)訪問網(wǎng)絡(luò)和Intranet防火墻的身份驗(yàn)證。

圖5 HIP協(xié)議

HIP的使用使訪問網(wǎng)絡(luò)中的單點(diǎn)登錄(SSO)功能成為可能，其中運(yùn)營(yíng)商只需獲得授權(quán)使用網(wǎng)絡(luò)的主機(jī)列表。在HIP握手期間，被訪問網(wǎng)絡(luò)可以驗(yàn)證MN的身份[26]。只要MN能夠通過具有HIP啟用接入點(diǎn)的網(wǎng)絡(luò)進(jìn)行認(rèn)證，VPN就可以繼續(xù)無縫運(yùn)行(除了由HIP握手引起的延遲)。與使用IETFRFC5265的解決方案類似，TLS和IPsecVPN解決方案可以配置為在HIP堆棧之上運(yùn)行，從而確保VPN功能[4]。

3 對(duì)比分析

IETF提出的基于MIPv4和IPsec的移動(dòng)VPN滿足了與移動(dòng)VPN相關(guān)的主要標(biāo)準(zhǔn)：移動(dòng)VPN可以處理移動(dòng)性，并被證明可以保持?jǐn)?shù)據(jù)的機(jī)密性并驗(yàn)證參與VPN的系統(tǒng)的身份。但是，它增加了很多協(xié)議開銷。這可能會(huì)導(dǎo)致吞吐量下降并增加配置的復(fù)雜性。吞吐量下降在低速無線網(wǎng)絡(luò)中尤為關(guān)鍵。還有一個(gè)問題是此類型的移動(dòng)VPN不能通過網(wǎng)絡(luò)連接丟棄來提供應(yīng)用持久性。只有像TCP那樣的底層傳輸協(xié)議保持閑置，應(yīng)用程序持久性才能被保證[27]。它也遭受三角路由或雙交叉問題的困擾，即發(fā)送到MN的流量必須首先到歸屬代理，即使MN和相應(yīng)的節(jié)點(diǎn)在同一網(wǎng)絡(luò)中。最后，移動(dòng)VPN的類型遭受了由于必須重新建立IPsec的安全關(guān)聯(lián)而導(dǎo)致的性能問題。在使用兩個(gè)HA的類似移動(dòng)VPN中解決了這個(gè)問題。外部HA和FA之間的IPsec隧道(可以是MN本身)是持久的，因?yàn)橥獠緾oA在移動(dòng)期間不改變。然而，此方法通過添加額外的MIP層來增加隧道開銷。

基于MOBIKE的VPN為多個(gè)網(wǎng)絡(luò)接口提供本地支持，如果兩個(gè)接口都處于活動(dòng)狀態(tài)，則在接口間切換不會(huì)造成延遲。如果切換到的接口處于非活動(dòng)狀態(tài)，則所發(fā)生的延遲只是獲得第3層IP地址所需的延遲。它還支持在水平切換期間更新IP地址，而不會(huì)拆除IKE和IPsec SA。至少有一個(gè)網(wǎng)絡(luò)可用時(shí)，保證應(yīng)用程序持久性。但是并不能保證應(yīng)用程序能夠長(zhǎng)時(shí)間覆蓋差距。

NEMO是針對(duì)特定應(yīng)用的出色的移動(dòng)VPN解決方案。它不符合真正的移動(dòng)VPN解決方案的許多要求，但可以與其他移動(dòng)VPN解決方案結(jié)合使用，以減少開銷和提高效率。

雖然基于BGP/MPLS的移動(dòng)VPN在技術(shù)上對(duì)移動(dòng)性做了規(guī)定，并且具有明顯的VPN能力，但是由于其需要專門的設(shè)備和部分ISP的配置，所以缺乏其他解決方案。它不僅僅是移動(dòng)VPN，它應(yīng)該被認(rèn)為是固定的VPN，用于移動(dòng)性有限的節(jié)點(diǎn)。每當(dāng)節(jié)點(diǎn)從當(dāng)前位置移動(dòng)時(shí)，VPN就會(huì)丟棄，并與之通信。到達(dá)新位置后，需要重新設(shè)置VPN，導(dǎo)致業(yè)務(wù)中斷。

蜂窩網(wǎng)絡(luò)中移動(dòng)VPN配置中的用戶與蜂窩接入點(diǎn)之間的加密無線電通信基于用戶與移動(dòng)網(wǎng)絡(luò)供應(yīng)商之間的加密[20]。此外，還需要像GGSN這樣的專用網(wǎng)絡(luò)設(shè)備，它們是由MN正在尋找隧道的實(shí)體以外的實(shí)體擁有的。多個(gè)隧道的建立會(huì)增加開銷，這可能會(huì)影響低帶寬網(wǎng)絡(luò)的性能。

基于SIP的移動(dòng)VPN[21]，由于SIP協(xié)議的性質(zhì)而具有集中的客戶端/服務(wù)器架構(gòu)。這本質(zhì)上帶來了可擴(kuò)展性問題。此外，這些解決方案適用于實(shí)時(shí)應(yīng)用程序，可能不適合其他應(yīng)用程序轉(zhuǎn)換。此外，它受到了SIP的安全漏洞的影響，已經(jīng)被廣泛研究[28]。

基于TLS的移動(dòng)VPN及其變體(WTLS，DTLS)比基于移動(dòng)IP的解決方案更具移動(dòng)性。這源于TLS是應(yīng)用協(xié)議的事實(shí)，因此TLS會(huì)話獨(dú)立于對(duì)網(wǎng)絡(luò)層的任何改變，即IP改變。為了支持應(yīng)用程序持久性，基于TLS的移動(dòng)VPN依靠建立即使在網(wǎng)絡(luò)中斷期間仍保持活動(dòng)的虛擬接口。虛擬接口維護(hù)MN中的應(yīng)用可以使用的固定虛擬IP(FVIP)作為源地址。真正的應(yīng)用程序持久性(TAP)不是由基于TLS的移動(dòng)VPN原生支持的。如果MN遇到很長(zhǎng)的覆蓋差距，則底層傳輸協(xié)議可能會(huì)超時(shí)。

基于HIP的移動(dòng)VPN有可能演變成通用的移動(dòng)VPN解決方案，因?yàn)镠IP支持其原生形式的移動(dòng)性。然而，這要求在所有訪問的網(wǎng)絡(luò)中使用HIP使能的設(shè)備，這可能并不總是可行的，尤其是在傳統(tǒng)系統(tǒng)中。但是，HIPVPN解決方案似乎缺乏本文討論的其他解決方案的成熟度。

當(dāng)MN訪問其他網(wǎng)絡(luò)時(shí)使MIPv6或其他MIP類型的方法保持VPN隧道活動(dòng)，這只能部分地解決當(dāng)前的問題。根據(jù)應(yīng)用程序的不同，當(dāng)MN切換網(wǎng)絡(luò)時(shí)通信中斷可能會(huì)使應(yīng)用程序崩潰。出于這個(gè)原因，在網(wǎng)絡(luò)中斷期間應(yīng)用程序會(huì)話持久性非常重要，一些更為接受的移動(dòng)VPN解決方案[22][23]提供了屏蔽來自應(yīng)用程序的網(wǎng)絡(luò)中斷的能力。

具有應(yīng)用程序會(huì)話持久性規(guī)定的移動(dòng)VPN似乎是所有移動(dòng)VPN選項(xiàng)中最有希望的，并且在市場(chǎng)上似乎已經(jīng)很好建立。但是這些解決方案如何適應(yīng)IPv6仍有待觀察。

4 結(jié) 語

移動(dòng)VPN技術(shù)是當(dāng)今計(jì)算環(huán)境下強(qiáng)有力的信息安全工具。由于涉及的問題非常復(fù)雜，以及眾多可能的選擇，可以使用結(jié)構(gòu)化方法[3]來設(shè)計(jì)定制適合實(shí)際問題的移動(dòng)VPN解決方案。

盡管基于IPsec和TLS的客戶端VPN根據(jù)定位進(jìn)行修改，但并未針對(duì)移動(dòng)環(huán)境進(jìn)行優(yōu)化，并且無法滿足應(yīng)用性能，可用性和生產(chǎn)的需求。

基于當(dāng)前可有協(xié)議的移動(dòng)VPN解決方案也占有一定比重。MIP及其后續(xù)MIPv6增加了對(duì)IP網(wǎng)絡(luò)的移動(dòng)性支持。MIPv6是IPv6功能的重要組成部分，其OSI堆棧的狹窄腰部對(duì)移動(dòng)性很契合。但是IPv6部署仍然落后于廣泛使用的IPv4互聯(lián)網(wǎng)。隨著網(wǎng)絡(luò)向IPv6的轉(zhuǎn)移，將基于會(huì)話移動(dòng)的解決方案結(jié)合到MIPv6雖然取得了很大成功，弊端是這方面的研究相對(duì)缺少，綜合來看，我們認(rèn)為基于IPv6兼容會(huì)話傳輸?shù)囊苿?dòng)VPN解決方案將是移動(dòng)受限的VPN進(jìn)入移動(dòng)時(shí)代的契機(jī)。

在本研究報(bào)告中我們介紹了移動(dòng)VPN的研究背景，解決方案中的相關(guān)理論和技術(shù)基礎(chǔ)。然后，我們提供了分類移動(dòng)VPN的分類標(biāo)準(zhǔn)，并提出了真正的移動(dòng)VPN的要求，并介紹了典型移動(dòng)VPN。

移動(dòng)VPN雖然是一項(xiàng)全新的技術(shù)，但是隨著5G和下一代網(wǎng)絡(luò)技術(shù)的發(fā)展以及用戶對(duì)移動(dòng)性和安全性要求愈來愈高，它將很快成為未來移動(dòng)通信服務(wù)運(yùn)營(yíng)商的一項(xiàng)重要業(yè)務(wù)和重要的利潤(rùn)增長(zhǎng)點(diǎn)。移動(dòng)VPN的未來必將是充滿著光明和希望的。