可管可控的移动VPDN方案研究

黄 粤，魏颖琪

(中国电信股份有限公司广东研究院 广州510630)

1 引言

2012年，美国电信供应商Verizon的官方微博披露的一则新闻引起了广泛热议。Verizon受一家基础建设建筑公司委托，对其在Verizon设立的VPN（virtual private network，虚拟专用网络）系统中的一个反常VPN登录情况进行调查。该VPN系统建设于2010年，目的是让员工在一定时期内可在公司以外的地方远程办公。调查过程中，对反常VPN连接情况的监测结果显示，公司的VPN服务主机经常被来自中国沈阳的客户访问，几乎每天登录，登录时间偶尔会从上班持续到下班。而同时使用该登录账号的程序员却坐在美国公司本部的办公桌边。一切看起来颇为蹊跷，但真相却令人大跌眼镜，原来正是拥有该VPN账号的程序员用其1/5的薪水，雇佣了沈阳的一家软件公司帮助其完成日常工作。这样，该程序员在工作期间就有充足的时间网上冲浪，同时他因为代码整洁、质量良好、提交及时还成为了公司的明星程序员。

这则新闻虽然令人啼笑皆非，却也从一个侧面反映出了如下所述的企业管理与运作信息化发展现状。

·“世界”真的是“平的”。身处地球各地的人，无论他在美国某个州还是在中国沈阳，只要信息网络触手可及，都可协同工作，共同完成一项任务。

·企业VPN大行其道。正是VPN，使移动办公、远程办公成为了可能，促成了上面现状的迅猛发展。

·不加控制与管理的VPN是对企业信息安全的一个重大威胁。

因此，在信息网络日益发达的今天，企业对VPN有何要求以及如何构建安全可控的VPN是值得深入探讨与研究的课题。

2 构建企业VPN的关键因素

VPN指在公用网络（如互联网）上建立专用网络，之所以称其为“虚拟”，是因为VPN的任意两个节点之间的连接都没有端到端的物理链路，而是架构在公用网络服务商所提供的网络平台上。企业构建自己的VPN主要基于以下4个因素的考虑。

（1）组网因素

一般企业无法自行铺设管线，组建一张属于自身的信息网络，最简单、省事的方法是使用网络服务商提供的公用网络，在其上构建一张虚拟专网，连接企业总部与各分支、各在外员工，以达到企业员工可远程访问企业ERP、OA等系统，快速存取企业内部数据，提升企业运作效率的目的。

（2）安全因素

由于现有的基于互联网的信息交换缺乏相应的安全保护机制，各类黑客攻击、侵入（如系统注入、拒绝服务、网页挂马、钓鱼攻击等）猖獗，各种计算机病毒横行。企业需要让远程接入点实现其机密数据及资源的共享，因此涉及企业机密的数据交换必然面临严重的安全威胁。

（3）移动因素

随着3G通信技术的日趋完备、无线网络覆盖的持续优化和移动终端的推陈出新，移动互联网得到快速发展，使得多样化的移动商务应用成为现实。企业员工使用的信息终端也从单一的手机、笔记本电脑扩展至各种手持移动终端。由于手持移动终端携带方便、使用简单、开机启动和联网迅速、移动性更强、更为轻便，使得专业应用由台式或笔记本电脑逐步向手持终端延伸成为一个不可扭转的趋势。

（4）管理因素

虽然大部分非信息领域的专业企业没有实力自己构建VPN，需要依赖于网络服务商提供的VPN服务，但其希望能对VPN实现自助管理，提升对信息安全的管控能力。如通过定义健全的服务认证机制建立较高安全级别的身份认证体系、对不同等级的企业员工或用户开放不同范围的企业内网访问权限等，这些个性化需求要求企业VPN实现差异化的服务。

3 基于MPLS的移动VPDN解决方案

根据对企业客户具体需求的深入了解以及对当前信息网络宽带化、移动化趋势的把握，基于MPLS（multiprotocol label switching，多协议标签交换）的移动VPDN（virtual private dial-up network，虚拟专有拨号网络）将是企业构建VPN的一个行之有效的解决方案，也是未来企业VPN发展的一个重要方向。通过基于MPLS的移动VPDN，能在远程访问的无线终端、传输通道、企业内网之间建立一条专有的、端到端的、安全快捷的数据通道，从而有效地保障企业机密数据在整个传送与交换过程中的时效性及安全性。

以cdma2000 1x/3G网络为例，基于MPLS的移动VPDN架构如图1所示。

基于MPLS的移动VPDN架构大致可以分为3部分。

（1）用户接入无线VPDN

无线VPDN是基于cdma2000 1x/3G高速分组数据网络，利用L2TP（layer 2 tunneling protocol，二层隧道协议）技术为企业客户构建与公用互联网隔离的虚拟专用网络。网络连接主要包括无线空中通道、无线接入网、核心网。企业员工或用户使用的移动终端通过这段网络连接，利用L2TP技术，建立了一条与所属专网连接的虚拟隧道，隧道源于用户终端，止于网络服务商的共享LNS（L2TP network server，支持L2TP的网络服务器）。这样，远程的移动终端或PC通过无线VPDN安全地拨入访问企业网络或应用系统。

（2）MPLS VPN

企业采用MPLS VPN连接各分支、业务网点及无线VPDN部分的共享LNS，MPLS VPN承载在网络服务商的基础网络（如中国电信的CN2网络）上。MPLS VPN是一种基于MPLS技术的IP VPN，其采用标签交换的方式，一个标签对应一个用户数据流，非常易于实现企业VPN与公用网络的数据隔离、不同企业VPN之间的数据隔离，区别于在公用网络之上依靠封装与加密技术的传统VPN（如IPSec VPN）。同样，因其不依赖于终端对数据的封装与加密，属于网络侧的VPN，MPLS VPN无需接入的终端运行客户端程序，加快了接入速度，提高了传输效率。而MPLS VPN强大的组网灵活性及扩展性，也易于实现企业VPN服务的差异化。

（3）企业客户网络

企业总部及各分支机构、业务网点通过MPLS VPN组成各种拓扑结构的企业VPN。

建设好以上基于MPLS的移动VPDN，企业员工及用户只需在自己的移动终端上做简单拨号，即可接入企业内网，获取数据。具体拨入流程如图2所示。

具体的拨入流程如下所述。

·移动终端进行无线拨号，接入核心网的PDSN（packet data server node，分组数据业务节点）。

·PDSN向接入AAA（authentication，authorization and account，认证、授权、计费）服务器查询移动终端账号的VPDN信息，接入AAA服务器给出LNS信息及L2TP参数等。

·PDSN根据接入AAA服务器给出的信息，找到相应的LNS，在VPDN AAA服务器进行账号密码鉴权，鉴权成功后与LNS建立加密的L2TP传输数据。

·移动终端获取IP地址后，接入目标网络，即成功建立如图3所示的专网通道，实现拨号接入企业VPN。

4 可管可控的增强型VPDN

基于MPLS的移动VPDN方案的研发，成功解决了企业VPN构建时在组网、安全及移动因素等方面的困扰。随着3G网络的发展与优化，移动VPDN以速度快、覆盖广、使用方便、安全性高等特点，逐渐在工商、金融、警务、工业监控等众多部门及行业扩展了应用，为各行各业的信息化建设注入新动力。但随着远程办公、移动办公应用的不断增加，企业对移动VPDN提出更多的要求，特别是在VPN的管理、控制及个性化的实现方面提出了更高的要求。

4.1 灵活、严格的身份认证新方案

一方面，传统的VPDN拨号接入，由VPDN AAA服务器根据企业用户的账号密码进行身份识别，如果账号和密码被盗，则第三方可通过该账号和密码进入企业内网，存在风险隐患；另一方面，在互联网时代，用户需要保管大量各类移动互联网服务的账号和密码，新增的移动VPDN账号密码会增加用户负担，特别是采用定期更换密码方式实现接入安全的企业用户。

移动智能终端不是简单的计算移动化，它提供了很多PC所不具备的功能和特性，手机作为随身携带的微型通信设备，提供以下两种基于硬件的唯一身份标识码。

·IMSI（international mobile subscriber identification number，国际移动设备识别码），存储在SIM（subscriber identity module，客户识别模块）卡中，网络服务商通过IMSI识别用户的手机号码。

·设备硬件识别码，可以是ESN（electronic serial number，电子序列号），如每台手机都会被分配一个ESN、MAC（medium access control，媒体介入控制）地址等。

利用两种基于硬件的唯一身份识别码，结合VPDN的账号和密码，根据企业对身份认证的要求，在移动智能终端上可提供新的、灵活的、更为严格的身份认证。

（1）绑定手机号码的VPDN拨号增强安全绑定模式

网络服务商提供的移动VPDN拨号，除VPDN账号密码外，可选增加IMSI绑定，即VPDN AAA服务器在进行身份验证的同时，也验证手机IMSI是否匹配，只有两者均通过，才允许接入。

（2）用户免VPDN账号/密码输入的便捷使用模式

用户需在手机的APN（access point name，接入点名称）配置中设置VPDN的账号和密码，不但麻烦，且要求用户具备一定的IT技能，同时也加重企业对移动VPDN的运维的成本（如需要指导用户如何进行配置），而用户通常只在第一次使用时进行输入，将账号和密码保存在手机本地存储中，在下次拨号时自动接入。

为实现用户零配置，一键拨号的便捷实用，在用户首次拨号时，利用IMSI绑定，从VPDN AAA服务器中查找VPDN的账号和密码，返回给客户端，再由客户端记录在手机本地存储，自动进行拨号接入。

这种方式是在不改变现有VPDN接入流程的基础上，利用IMSI绑定关系，将用户的身份认证由VPDN账号转为手机的IMSI。

（3）绑定手机设备的VPDN拨号增强安全绑定模式

传统的VPDN业务，即使要求IMSI绑定，企业用户仍可通过无线数据卡，在PC上接入企业内网，存在病毒入侵等安全问题。某些企业由于其行业特殊性，对安全要求特别高，希望用户只能在指定的设备上访问企业内网，即要求VPDN拨号过程中增加设备绑定。

读出手机设备识别码，如ESN，上报VPDN AAA服务器进行匹配验证，就可实现手机设备的绑定。为了避免在实际操作VPDN AAA服务器中配置用户手机设备识别码过程的困难，用户在首次拨号时，访问VPDN AAA服务器发现尚未进行绑定，则根据上报的设备识别码自动完成绑定设定。

4.2 差异化组网新模型

在信息化不断普及的新形势下，企业VPN不仅仅提供给自身员工使用，同时也可提供给其他与企业密切相关的用户群使用（如一个企业的用户群可能是企业员工、代理商、供货商、VIP用户等）。因此，对不同用户群需设置不同的企业VPN内的访问权限，以降低安全隐患。如一般企业员工可访问公司总部与分部，VIP客户只允许访问营业网点，而供货商只需访问备货仓库。

基于MPLS的移动VPDN以无线接入的VPDN域区分用户群，通过MPLS基于网络拓扑的访问控制，对不同用户群实现了差异化的网络访问范围限制，如图4所示。

首先，无线VPDN侧的共享LNS将具有不同访问权限的用户群射到不同的VPDN域中。如上面的例子中，某企业的VPDN终端用户有3类，一般企业员工、VIP客户、供货商，这3类用户的VPDN账号分别为user@domain1、user@domain2和user@domain3。不同的VPDN域对应不同的逻辑LNS。不同的逻辑LNS为同一MPLS VPN中不同的网络节点。因此，不同用户群的路由映射为MPLS VPN中网络节点LNS的路由策略，实现了不同用户群的识别与隔离。

其次，根据MPLS VPN精确的路由控制，可控制某用户群可访问的企业VPN中的不同网点。如图4所示，通过MPLS VPN个性化的路由控制，一般企业员工可以访问节点A与B，即公司总部与分部，VIP客户只能访问节点C——营业网点，而供货商只能访问节点D——备货仓库。

最后，企业各网点的内网侧防火墙也可自定义地址访问列表，进一步控制具有合法IP地址的终端接入该网点的企业内网。

经过用户群访问权限控制机制的实施后，移动终端接入流程延伸了4个步骤。

（1）移动终端无线拨号，建立虚拟IP通道接入至共享LNS，LNS通过用户拨号域名，完成不同用户群的区分。

（2）通过共享LNS与企业网络各网点之间搭建的MPLS VPN，用户移动终端可直接访问客户网络。

（3）MPLS VPN采用基于网络拓扑（多个星型组网、星型组网与部分网状组网结合）的路由访问控制，限定共享LNS不同用户群的不同网络访问范围。

（4）移动终端接入至企业网络侧网络，通过企业网点侧防火墙的访问列表，进入该网点的企业内网。

通过对移动终端身份认证新方案及基于用户群的访问权限控制的实施，企业VPN的可管可控性大大增强，做到了只有合法的终端才能接入企业VPN以及被允许接入的终端只能访问被允许的企业内网。

5 结束语

基于MPLS的移动VPDN为企业客户提供了基于移动宽带网络之上的VPN数据专网，为企业的移动终端建立了连接到企业内部的私密隧道，实现了企业内部数据安全、高速、便捷的传输。基于MPLS的移动VPDN还实现了对移动终端身份的严格认证及对企业不同用户群的访问权限控制，增强了企业VPN的可管可控性。但是，技术并不是万能的。企业VPN的信息安全真正取决于企业管理制度的完善及员工职业素质的培养，否则，企业中要是出现了引言中介绍的“明星程序员”，那么就是再先进、再安全可控的VPN也无济于事。