移动代理专用虚拟网安全机制初探

李　凌

[摘要]把移动代理加入到VPN中，完善现有的VPN的安全机制和防火墙的检测机制，使VPN传输中绝密级数据在不需要解密的情况下，通过防火墙的检测，满足用户对VPN更高的安全性要求。依据系统模拟实验，设计实现VPNAgent系统部分功能，同时对系统的性能和安全进行探讨。

[关键词]专用虚拟网移动代理分布式防火墙

中图分类号：TN92文献标识码：A文章编号：1671-7597(2009)0610085-01

一、引言

为了使内部网络信息免受非授权用户的攻击，人们通常采用防火墙技术保护内部网络的信息不受非授权用户的攻击，同时也广泛采用虚拟专用网络技术实现了在不安全网络中安全可靠地传输私有信息。但这两种技术单独使用在安全性方面都存在不足，尽管FVPN表现出良好的安全特性，但是在FVPN中的加密信息在通过防火墙时与防火墙检测机制互相冲突，因为防火墙为了检查流经信息的内容，必须将这些信息翻译成明文，这就有被攻击的可能，这使得被传输的加密信息的安全性大打折扣。

二、VPNAgent系统

假定在两个国家的贸易交换，甲国从乙国按一定的进口条令进口货物，为了保证货物符合条令，甲国先派一个客户代理去乙国预先检测其要输出的货物，如果检验合格，就给输出货物颁发签证，表示这个货物符台输入条令。这样，当货物到达甲国的边境时海关信任该签证，就无需对货物再进行检测。

(一)客户代理VPNClientAgent

VPNClienthgent是一个移动代理，能从防火墙(服务器)迁移到指定的客户处做一定的检测工作，这个代理包含代码和数据(特定检测目的代码和安全策略数据)，它是和一个静态通信代理同时工作的。VPNClientAgent作为防火墙的一个检测代表，是在各客户端进行检测的，它利用防火墙嵌入其上的安全规则进行数据包检测。

1．检测单元。严格讲，检测单元是防火墙的主要代表部分。它和作用在应用级代理防火墙的应用层的检测过程工作相同，但是，检测单元虽然是防火墙的代表却工作在与防火墙不同的位置，其工作在客户端。这个单元的输入是明文格式的信息，VPNClientAgent的检测单元已嵌入特定的防火墙的安全策略，这个检测过程有两种结果；(1)通过：意味着信息是合法的，签名后就准备交给通信代理；(2)失败：这种情况下信息会被丢弃，以后的工作需要基于安全策略。

2．加密单元。加密和解密过程是和检测过程相独立的过程。加密之后就没有办法区分数据包，为了防止未检测的信息混入到检测过的合法信息中，加密协议必须嵌入到YPNClientAgent封装中。因此，VPNClientA—gent按安全策略执行检测后把数据包交给加密协议，加密后再为合法的数据包签名，在目的机解密前要先除去签名。

3．签名单元。这个单元的作用是证明签名的数据包时已经检测过的，符合防火墙安全策略的。VPNClientAgent通过签名告诉StatieAgent某个数据包是被检测过的，这样通过防火墙时就无需再检测。这个过程可以靠一个数字签名方法实现。这个单元需要两个组件：(1)一个签名数据包的算法：(2)一个VPNClientAgent和StaticAgent的共享密钥(SKVCA)

(二)静态代理StaticAgent

StaticAgent是一个静态通信代理，是防火墙的看门人，它的职责是在防火墙上只为特定的合法的数据包打开一个通道，它工作在防火墙上控制通过防火墙的数据包的路由过程。StaricAgent的职责大体上可以被归纳为三点；(1)验证绑定到数据包上的通信VPNClientAgent的签名；(2)确保VPNClientAgent起作用；(3)将合法的数据包到目的地。

StatieAgent包括签名验证单元、置换单元和路由单元。

1．签名验证单元。签名验证单元的目的就是验证过来的数据包的有效性和是否被合法的客户代理检测过。签名验证单元从通信代理那儿接收数据包。把数据包分成原始数据加密单元和签名单元两部分。

2．路由单元。路由单元就是一个简单的包含路由和地址转换信息的路由函。

3．置换单元。这个单元的执行要满足以下两个条件：(1)目标服务器上需安装有执行这个使命的VPNClientAgent；(2)数据包需在到达目的服务器的应用程序之前被检测。

三、VPNAqent系统的工作流程

客户机如果想向服务器发送文件，先向服务器请求建立连接，服务器验证其身份，如果是可信任的客户端，则根据应用程序的类型派遣合适的VPNClientAgent到客户端，VPNClientAgent在客户端检测数据是否合法，如果是合法数据，则给数据加密，并签名，VPN·ClientAgent带着签名的数据包返回服务器，服务器上的VPNAgent系统中的StaticAgent检测签名是否有效，如果签名有效，则接收数据，否则拒绝接收数据，丢弃无效数据。

四、时间评价

为了衡量VPNAgent系统的性啪，我们器蜃分别考虑影响传输时间的几个因素。下面是传输时间计算公式：传输时间=检测时间+加密时间+签名时间+路由时间。我们用WinDumpl具对同一文件在各种传输模式下的传输时间进行统计，经过多次对于不同大小的文件进行传输实验，我们通过比较传输时间戳发现，从客户机A到服务器B传输一个6K大小的文件，如果以明文形式传输需要花费0.087S，这是单纯的路由时间，以加密模式(SSL)传输，需要花费0.2714S，几乎是路南时间的三倍，以加密签名模式(即在VPNAgent系统下)传输，需要额外花费0.005S的签名时间，而应用代理防火墙检测、加密、路由、解密直到整个传输完成共需要0.4356S。

通过比较得知，使用VPNAgent系统与应用级代理防火墙相比，是以签名时间换取了防火墙处的检测时间和解密时间，从整体上看来时间是节省了。

五、结束语

虚拟专用网络安全机制涉及广泛，在此只结合移动代理技术针对其安全问题的一个方面，进行部分改进工作，VPNAgent系统还有诸多需改进和完善的地方，VPNAgent系统自身的安全性和VPNAgenl系统与各种防火墙系统的融合的问题亟待进一步研究。