移动VPN技术综述

李 辉

(新疆维吾尔自治区公安厅，新疆 乌鲁木齐 830002)

0 引 言

近年来，随着移动互联网快速发展，互联网已经成为日常生活的必需品，对于企业来说，互联网的发展更是为其带来无限的商机。对于企业用户，仅仅能够接入互联网是不够的，在互联网广泛应用的同时，网络安全的重要性日趋显著它更关心企业资源的安全性。传统虚拟专用网(VPN)通过对互联网发送的数据包进行加密取代构建真正的专用网络来建立远程用户与家庭网络之间的安全连接[1]。但是传统VPN与移动设备不同，其连接适用于固定设备之间，大多数移动设备在从一个网络切换到另一个网络时或者在覆盖范围上遇到间隙时易受到间歇性连接丢失的影响，例如，移动电话可能会在WiFi和4G之间切换，或者在不同WiFi之间切换，此类连接丢失或连接更改可能导致VPN连接中断，导致使用VPN的移动应用程序超时或崩溃。鉴于远程工作人员和移动设备日益普及，以及无处不在的无线网络，应该使用移动VPN解决方案提供VPN体验使得用户无需在网络之间切换时重置和重新配置VPN会话。 正是在这种需求的推动下，将VPN技术与支持移动性的移动技术相融合，为用户提供无缝、 安全接入服务的移动VPN技术应运而生。

在接下来的论文中我们将在第1章提出移动VPN分类标准，第2章列出移动VPN技术实现的关键要求和相应解决方案，并在第3章进行对比分析，最后第4章进行总结。

1 VPN分类

基于移动VPN的特点和应用案例，移动VPN技术的分类标准有多种。在本节中，我们将详细介绍分类标准。

1.1 分类标准-隧道建设

VPN根据隧道建立标准可分为以下三类：自愿VPN，强制VPN和链接的VPN隧道。

1.1.1自愿VPN

在自愿VPN中，远程节点和VPN网关之间的端到端隧道是自愿设置的，也可以根据远程用户的需要进行设置。在这个模型中，不涉及中间节点或实体。远程节点必须具有某些功能，如IPsec，TLS等。例如，当MN建立自愿的VPN连接时，服务供应商(无线运营商)不知道该隧道。远程用户在获得来自服务供应商的互联网访问之后可以建立到任何专用网络的VPN连接。此模型有以下优缺点[5]。

优点：

(1)VPN客户/服务器模型相对简单。只要客户端可以访问Internet等公共IP网络和VPN客户端软件，同时服务器具有VPN服务器软件，就可以相对容易地建立隧道。

(2)服务供应商和任何中间节点不一定要求建立VPN。一旦建立隧道，中间节点就看不到加密业务。所以他们不需要彼此信任。

(3)由于中间节点对端到端的流量无可见性，因此不需要服务级别协议(SLA)或任何其他确保数据机密性的法律文件。

缺点：

(1)远端需要可公开路由的IP地址，公共IPv4寻址的有一定的限制。为了解决这个问题，自愿VPN可以使用NAT或IPv6。NAT解决方案本身和IPsec的一些设计不兼容，故使用NAT解决方案前，需要认真进行网络设计。

(2)因为服务质量QoS需要数据包检查，所以服务供应商使用QoS进行流量优先级划分和整形是无效的。

(3)由于需要额外的封装才能建立自由VPN，所以在有损耗的无线信道上建立和维护VPN可能会导致客户体验不佳。

1.1.2强制VPN

强制VPN是在服务供应商和专网之间建立VPN。只有当远端用户想访问私网内的资源时才使用，这个VPN被称为强制VPN，用户被迫使用运营商和私人网络之间的隧道。在这种模型中，MN不需要支持任何隧道或安全协议，例如IPsec或TLS，它完全不知道隧道。这个模型有以下优缺点[5]：

优点：

(1)MN和服务供应商之间不需要封装。封装和加密的开销将被消除。

(2)在MN中不需要VPN的支持。因此会节省MN的资源，如电池和CPU。

(3)能够提供QoS来区分语音，视频和数据服务的服务水平。

缺点：

(1)缺少端到端的VPN连接意味着部分数据通过不安全的数据通道传输，因此安全系数大大降低。

(2)由于无线电链路连接在服务供应商处终止，服务供应商必须被信任。即使通过无线链路使用了一些加密，流量也会在封装之前被解密，并通过强制VPN隧道转发到专用网络。

(3)因为SLA需要服务供应商参与，所以会导致额外的开销，因此可能不适合小企业和学术机构使用。

1.1.3链接VPN

链接VPN隧道模型使用服务供应商提供的级联隧道，将其扩展到基站和远程用户。这样的模型允许QoS和流量整形。但服务供应商仍然需要被信任。然而这种模式消除了强制VPN模型中存在的任意不安全的数据通道[5]。

1.2 分类标准-移动层

移动VPN可以基于TCP/IP栈的哪个层被移动性处理进行分类。根据此标准，移动VPN可以分为：

(1)基于网络层移动性的移动VPN。这些移动VPN解决了网络层的移动性问题。其通过网络层解决了IP地址变化的问题，例如将流量重定向到移动IP中的HA，并支持多宿主MOBIKE。

(2)基于应用层移动性的移动VPN。这些移动VPN通过在IP层之上创建会话绑定来支持移动性，因此不受IP地址更改的影响。例如基于SIP的移动VPN和基于TLS的VPN。

1.3 分类标准-安全协议

安全性是VPN的重要组成之一。由VPN提供的加密，认证和消息完整性可以大致分为：

(1)基于网络层安全的协议，如IPsec。

(2)基于应用层安全的协议，如SRTP和SSL及其变体TLS，DTLS和WTLS。

IPsec将安全性应用于网络层的IP数据报文，因此在IPsec隧道的两个端点之间有IP地址绑定。但是，由于应用层安全协议的安全关联没有考虑IP地址，因此更适合于移动性和NAT[6]。

2 移动VPN技术和解决方案

移动VPN是旨在提供安全IP移动性的协议[2]。我们在本节研究了移动VPN的设计要求，以及使VPN适应移动性几种不同的方法。图1显示了本节中讨论的移动VPN技术的分类。

图1 移动 VPN技术和解决方案分类

2.1 移动VPN设计要求

我们认为移动VPN具有以下要求：

(1)无缝网络漫游(SNR)：当MN执行垂直切换时(MN使用不同的网络接口，例如从蜂窝接口切换到WiFi)或水平切换(MN使用相同的媒介在网络间切换，例如在WiFi网络间切换)，并接收一个新的IP，VPN功能应该无需用户参与的情况下保持完整。在这两种情况下，VPN隧道的物理IP地址(外部地址)都会更改。

(2)安全性：移动VPN应该执行用户认证机制，保证提供数据流量的加密以及完整性。

(3)应用会话持久性(Application Session Persistence，ASP)：当网络连接发生变化或中断时，或者用户手动将设备置于睡眠模式时，应用连接保持活动状态。

(4)性能：并非加密所有数据。可以使用分割隧道，通过不加密的信道发送不敏感的数据以增强VPN的性能和减少MN能耗。并且可以根据用户需求和设备状态来选择加密算法，使其自适应完成。自适应压缩技术也可以被应用。此外，可利用移动性成比例的位置更新来节约系统资源[7]。

移动VPN解决方案的主要目标是为网络层中断提供应用层透明性，从而保持端到端应用程序会话与移动性导致的问题的独立性。

2.2 支持网络移动性的移动VPN

在本节中，我们将讨论几种支持网络层移动性的移动VPN技术。

2.2.1基于移动IPv4的VPN

此类型移动VPN分别依赖于两个协议IPsec和MIPv4。首先MN获得其家庭网络的IP地址，并将其注册到HA。当MN漫游并连接到外地网络时，它获得新的IP地址并向FA注册。如图2所示，FA在自身与HA之间建立IPsec隧道，并通知HA其IP地址为MN1的新CoA。从CN发往MN1的所有数据包首先进入HA，然后通过IPsec隧道发送给FA。FA有能力知道这些数据包发往哪个MN，因此转发给MN1。这是移动VPN的强制方法。也通过使MN作为自身的FA来实现自愿的方法。

图2 基于MIPv4的VPN

在MN2和HA之间建立IPsec隧道。MN2向HA注册获得其新的IP地址。就像强制方式一样，HA首先路由发往MN2的数据包会导致三角路由异常。

2.2.2基于双HA移动IPv4的VPN

将MIP结合到基于IPsec的VPN会产生一些技术问题。当MN离开其家庭网络时，必须利用移动后收到的CoA与VPN网关建立IPsec隧道。由于所有包括MIP消息的数据包都是通过IPsec加密的，所以FA不能解密从而使其无法对MIP消息进行中继[8]。我们可通过建立具有两个HA的机制来避免此问题，一个用于内部，一个用于外部网络[9]。如果移动节点在家庭网络中，移动节点将使用内部HA(i-HA)，当移出家庭网络时，MN使用外部HA(x-HA)。该设备在IPsec下面添加另一层MIP。在接收到新的CoA时，不必破坏IPsec隧道，FA也能够解密消息。

IET FRFC5265中提出的解决方案有几个优点。首先，MIP和IPsec标准不需要修改。只需要轻微修改MN。然而解决方案会导致问题：(1)放置x-HA的位置的确定，(2)x-HA的可信度，(3)如何保护去往x-HA的流量，4)有三个额外的头部进行有效载荷的性能影响[10]。

Benenati等人[11]在Feder等人[12]的工作基础上使用IETF解决方案的变形，以及多个隧道协议标准，为3G和WLAN提供传输层解决方案，为互连的WLAN和3G网络之间的移动性提供了解决方案。作者认为无线局域网系统与现有的3G网络的集成既可以作为无线以太网扩展(紧密网间互联)，也可以作为3G网络(松散网间互联)的补充，其本质区别在于3G网络和无线供应商。至少这两种技术之间共享身份验证，授权和记帐(AAA)服务器。此外，在他们的解决方案中，作者假定MN是足够智能的，使用最少的认证证书来参与适当的协议，对于各种3G和WLAN技术本质来说是不同的。IETF RFC 5265中的规范可以适用于除移动IPsec以外的VPN协议，前提是MN有适合的注册地址的IPv4连接。如果使用TLS网关或SSH节点代替IPsec网关，则可以适应移动TLS或移动SSHVPN连接[7]。

Dutta等人[13]提出了一个名为安全通用移动性(SUM)的框架，该框架利用了双HA概念。他们的框架建议采用先断后合的方法来减少重建两个MIP隧道和IPsec隧道时所发生的延迟。基于信号强度，MN从网络移动到其他网络之前可以初始化切换过程。这包括激活目标接口，并从目标网络获取IP。该方法有效的前提是MN处于当前网络和未来网络的范围内。

2.2.3基于移动IPv6的VPN

从上述分析可知，实施IT基础事务服务外包后，在同样的等级保护要求下，管理部门也面临全新的管理内容和管理措施。因此，水务信息化管理部门在启动并采购IT服务外包时，对于可能涉及信息安全的环节，要始终保持高度的敏感性和责任心，认真设计服务外包的内容、范围和活动边界，严格审查外包服务单位的资质和派遣人员的从业条件，签署具体的安全责任协议，对于关键岗位、敏感信息集中的环节给予重点管理，在获取IT服务的同时牢牢保护技术主权，控制信息安全。

MIPv6代表IPv6和MIP的逻辑组合，从MIP(特别是MIPv4)发展而来。MIPv6与MIP有许多共同之处，同时对MIP进行了很多改进。处于其本地状态的IPv6具有支持移动性的功能，例如MN使用其CoA作为源地址以及在IPv6报头中携带归属地址的能力。由于IPv6网络中的每个节点都有能力解释这些信息，因此不再需要部署用于MIP的FA[14]。MIP网络中的FA需要满足例如在外部网络中的发现和地址配置的功能，而MIPv6不需要满足，因为MN可以在任何位置操作而不需要任何本地路由器的特殊支持。

2.2.4基于移动IPv4/v6共存的VPN

薛等人[15]研究移动VPN中由移动IP和VPN技术融合带来的新问题的解决方案,并以此为指导,设计出一套首先在纯的IPv6网络环境中,利用移动IPv6协议实现移动VPN的软件系统,并逐步扩展到IPv4 /v6共存的网络环境,使得计算机设备通过它能够在从企业内部网络移动到公共网络时自动的建立VPN隧道,安全的访问企业内部资源,并且在企业内部漫游时,始终保持明文通信,降低企业内部不必要的网络开销。但是解决方案仅支持Linux操作系统，对于广泛应用的Windows尚不支持。

2.2.5基于BGP/MPLS的移动VPN

在基于BGP / MPLS的移动VPN中，MN使用Diameter服务器进行注册和认证。MN在移动到访问网络时生成MIP注册请求[16]。为了将注册请求传送到家庭网络中的供应商网络服务器(PNS)，VPN服务器的地址将MIP注册请求消息的HA字段中的HA的地址替换。作者假定这个地址在MN中被预配置，增加名为“外地客户设备”(FCE)地址的新字段，以指定访问网络中MN网关的地址，以便PNS可以确定为MN服务的网关。另外，在MIP注册请求消息的扩展字段中，指定访问网络AAA的地址代替家庭网络。

当FA接收到MIP注册请求消息时，它向被访问网络中的AAA生成消息以进行认证。AAA认证成功后，AAA向PNS发送消息，获取MN的HA地址。当PNS收到这个消息时，它在被访问网络和供应者之间准备IPsec VPN。PE与被访网络的CE之间建立IPsec隧道后，PE将MN与IPsec隧道的地址映射到对应的MPLSVPN的VRF(Virtual Routing and Forwarding，虚拟路由转发)表中。其他PE根据更新后的路由信息更新自己的VRF表，转发BGP/MPLS协议确定的信息。

2.2.6基于MOBIKE的VPN

当MN的IP地址改变时，IKEv2移动性和多宿主协议(MOBIKE)解决了IKEv2和IPsec固有的问题[17]。MOBIKE提供了使MN能够使用IPsec隧道模式进行VPN连接的机制使得在第3层切换期间保留安全关联(SA)。

只有在应用程序会话或底层传输层会话超时之前切换发生得足够快，MOBIKE才有助于为应用程序提供会话持久性。因此，应用程序可能无法生存在蜂窝和WiFi都不可用的长距离覆盖范围内。

2.2.7网络移动性(NEMO)

Devarapalli等人[18]提出网络移动性(NEMO)协议，是处理网络整体的协议。假设例如公司公交车的真实的场景。想象公交车上的每个人都想要VPN进入公司网络。将公司总线上的网络作为公司内部网的扩展代替几个单独的VPN。因为总线上的网络通过不同的接入网络，总线上的主机相互之间是静态的。该协议本质上是MIPv6的扩展。

在NEMO中引入了新的网络设备，称为移动路由器(MR)。MR在HA上注册为MIPv6网络中的MN。但是否注册IP，MR注册单个或多个子网。到MR后面的网络的数据包被HA拦截，通过隧道转发到MR后面的网络。虽然NEMO对MIPv6进行了最小限度的扩展，但它却将HA作为单点故障。但它可以降低开销并提高少数应用程序的性能。

2.2.8基于MPLS-VPN的移动平台

论文[19]研究的基于3G网络和MPLS-VPN的移动平台题旨在3G技术背景下，结合MPLS-VPN多协议标签交换技术提高移动安全平台的可靠性和安全性，使其具有强大的管理能力和QoS保证，灵活的控制策略和可扩展性，MPLS-VPN能够利用公用骨干网络的广泛而强大的传输能力，降低企事业单位内部网络的建设成本和使用成本，并且极大地提高用户网络运营和管理的灵活性，同时能够满足用户对信息传输安全性、实时性、宽频带、方便性的需要。

2.2.9蜂窝网络-CDMA2000的移动VPN

CDMA2000是蜂窝系统的3G技术。它在亚洲、美洲和东欧的某些地区广泛部署[5]。

(1)CDMA2000无线电接入网络(RAN)。MN通过无线接入连接到RAN。

(2)分组控制功能(PCF)。RAN和PCF通过无线电分组(R-P)接口通信。

(3)国内和国外的AAA服务器。

(4)作为外地代理(FA)的分组数据服务节点(PDSN)。PDSN和PCF通过GRE隧道进行通信。

(5)通过MIP/IPsec隧道与FA进行通信的归属代理(HA)。

当MN访问CDMA2000网络时，它建立与PDSN(FA)的PPP会话。PPP流量实际上被封装在R-P流量中。当它到达PCF时，解封装R-P流量以获得PPP帧，并将它们进一步封装在GRE数据包中，然后传送到PSDN。PPP会话在PSDN处终止。PPP帧的有效载荷然后可以通过MIP/IPsec隧道从PSDN转移到HA。

当MN注册PDSN时，PDSN将IP分配委托给HA。HA为该MN分配动态或静态IP。当MN漫游时，有三种不同的移动性水平：

(1)MN将RAN的范围留给其他MN。物理层软越区切换对于上述层是透明的。

(2)MN可能移动得远致加入一个新的PCF范围。链路层移动性从第3层透明。

(3)MN漫游到其他网，IP移动产生，MN将向新的PDSN注册，并且HA将更新移动性绑定表，导致新的PDSN路由所有后续业务。

2.2.10蜂窝网络-UMTS移动VPN

在蜂窝网络中，通过由塔台和基站组成的蜂窝接入网络来提供VPN移动性，蜂窝网络中的移动VPN使用GPRS隧道协议(GTP)和IPsec的组合[20]，如图3所示.GTP通过IP/UDP传输路径封装数据包，并提供控制消息来设置和修改隧道。

图3 UMTS蜂窝网络中的移动VPN

在这种设置中的MN获得动态分配的IP并由网关GPRS支持节点(GGSN)由蜂窝网络供应商认证[20]。在非GPRS网络中，具有不同名称但功能相似的节点将取代GGSN。在GGSN和ISP之间建立IPsec隧道，将流量传输到最终目的地。

2.3 通过应用程序移动性的移动VPN

本节讨论在TCP/IP协议栈的应用层支持移动性的移动VPN解决方案。

2.3.1基于SIP的移动VPN

黄等人为实时应用提供基于SIP的移动VPN解决方案，为实时应用提供了安全性和移动性保证[10]。

当MN从本地网络漫游时，位于VPN网关内的SIP代理服务器认证传入的SIP消息，并将消息路由到指定为SIP注册器的其他SIP代理服务器。应用层网关(ALG)仅与SIP代理服务器交互，并监督所有流量。当ALG收到从家庭网络到Internet上主机的传入RTP流时，它将用SRTP头替换IP/UDP/RTP头，并将流传送到目的地。通过验证SRTP分组的有效性，并用新的RTP报头替换SRTP报头来处理反方向的通信。有效载荷在两个方向上保持不变。每个这样的双向通信在ALG中被表示为单会话。

MN进入和离开其家庭网络时，它在初始会话建立期间向SIP注册其新位置。黄等人使用Diameter服务进行注册过程。MN注册到SIP注册服务器后，会检查ALG中是否有活动的会话[21]。如果找到活动会话，则MN需要重新邀请CN，其中RE-INVITE本质上是具有与初始INVITE消息相同的呼叫ID的INVITE消息，以及MN的新的联系地址。RE-INVITE被发送到VPN网关中的SIP代理，该代理又将消息路由到SIP注册器。如果需要身份验证，则SIP注册器利用Diameter服务器。如果允许MN访问归属网络，则SIP注册器使用ALG分配足够的资源来保证会话保护。此时，RE-INVITE消息被路由到CN[21]。

当MN回到家庭网络时，消息不需要通过VPN网关的SIP代理。因此，在向SIP注册新地址并发送RE-INVITE消息后，SIP注册器将释放先前分配的所有资源。然后MN无需通过ALG可以直接与CN通信[21]。

所提出的体系结构是基于SIP，因此不需要如IETF移动VPN所要求的那样隧道传输三次分组，因此显着减少了开销。此外，由于大多数基于SIP的应用程序[21]，所提出的体系结构对于实时应用程序特别有用。基于SIP的移动VPN的性能似乎表明它特别适合于实时应用中的实时应用[21]。

我们先前讨论的SUM框架也将SIP和MOBIKE一起用作其移动VPN框架中的替代方法[44]。主要目标是实现动态VPN隧道建立，以便按需使用安全的VPN隧道。例如，当移动客户端位于内部家庭网络内或者外部漫游但不发送敏感数据时，不需要安全隧道。

2.3.2基于WTLS的移动VPN

Columbitech是最流行的商业移动VPN产品之一[22]，使用了应用层解决方案的思想为VPN添加移动性。通过解决应用层的移动性问题，该产品解放了网络和传输层面的连接，解决了移动性问题，并使应用层按照原来的设计工作。解决方案依赖于传输层的恢复机制。

Columbitech将客户端-服务器连接分成三个连接，如图4所示。第一个连接是应用程序客户端和移动VPN客户端之间的MN内的TCP/UDP连接。然后，VPN客户端使用可靠的UDP与VPN服务器建立会话。与VPN客户端类似，VPN服务器与应用服务器建立TCP/UDP连接。这个拆分用于欺骗MN中的应用程序，使其相信它们直接连接到应用程序服务器，实际上，应用程序客户端连接在VPN客户端连接。

图4 Columbitech的移动VPN设置

当VPN客户端收到连接应用服务器的应用请求时，移动VPN将拦截该请求，并要求VPN服务器连接到应用服务器。在得知VPN服务器已经完成对应用服务器的设置之后，移动VPN客户端将通知应用与服务器的端到端连接已经成功完成。移动VPN服务器和客户端使用WTLS设置VPN会话。此外，该系统还支持多路复用器的VPN服务器，可以将负载分配给VPN服务器。当VPN服务器出现故障时，所有连接的客户端都将丢失会话，并且将必须与其他VPN服务器发起新的连接，因为系统不提供透明的方式，所以将失败的VPN服务器的会话切换为活动。

2.3.3MUSeS

Ahmat和Magoni[23]提出了类似的应用程序控制移动VPN解决方案。他们的解决方案，称MUSeS支持移动性和交通安全。MUSeS允许用户连接在移动性导致的中断之后仍旧连接。与Columbitech类似，MUSeS通过使用应用层抽象创建安全会话，隐藏了由于用户移动而导致的网络中断。MUSeS在任何IP网络上使用称为CLOAK[24]的对等覆盖网络。MUSeS不是使用IPsec或TLS进行VPN，而是依靠由CLOAK提供和管理的设备标识符来提供加密和认证。

当MUSeS节点产生数据包发送到远程的MUSeS节点时，这个数据包通过环回TCP连接通过底层的CLOAK节点。底层CLOAK节点通过P2P覆盖网络将数据包路由到目的地。与目的地MUSeS节点相关联的CLOAK节点截取该分组并且将其本地转发给B.P2P覆盖网络，因此确保通过网络正确路由MUSeS安全分组。然而作者并没有提供这个机制的安全保证的细节，而是指出因为它使用标准的密码算法，MUSeS保护用户通信免受普通流量攻击。由于MUSeS中间件与机器上的本地应用程序之间的通信并不安全，因此与更传统的VPN解决方案相比，该系统的安全性似乎是可疑的。

2.3.4FastVPN

Zúquete和Frade[25]提出了解决方案，将跨越WiFi热点的Open VPN客户端的快速VPN移动性称之为Fast VPN。Fast VPN的目标是在VPN客户端获得新的IP地址切换到新的网络后，重新配置Open VPN隧道，而不必终止和重新建立Open VPN隧道。一旦客户端收到新的IP地址，就可以通过更新VPN服务器上的VPN隧道环境来实现。通常，Open VPN服务器通过VPN客户端的物理IP地址和UDP端口查找隧道上下文。当客户端因加入新网络而获得新的物理地址时，Open VPN服务器将无法将该客户端与其原始隧道语境关联。这导致了两个主要的副作用：(1)客户端必须重新建立一个新的隧道，导致隧道建立和新的TLS握手产生不必要的开销，(2)VPN客户端在前会话中获得的私有IP地址将可能不被维护，直到之前的隧道语境被收集清除之后才会被释放，这种收集只发生在一段时间不活动之后。重新使用原始隧道语境允许保持相同的私有IP地址，并且通过避免重新建立隧道来允许更快的隧道恢复。

快速VPN通过让客户端在获得新的物理IP时将原始会话ID发送给VPN服务器来重新配置原始的隧道环境。发送会话ID有两种方式：懒惰法和积极法。在懒惰法中，始终在所有数据消息中的初始化向量(IV)字段中发送会话ID(64比特)。这对于CBC密码模式很好，因为IV的随机性不会提高CBC的安全性[25]。对于密码反馈模式(CFB)和输出反馈模式(OBF)，必须使用128位IV，因为需要IV的随机性。对于128位IV，只有前64位将是常量(由会话ID占用)，而其他64位是随机的。

在积极法中，客户端会对消息有效载荷末尾的明文会话ID填充的服务器发送保活消息。当VPN服务器收到这样的消息时，它将无法在隧道上下文表中找到具有新IP地址的客户端条目。因此，它会检查保持活动消息的大小，如果它长于正常情况，它会检测到这是包含会话ID的重新配置消息。然后使用会话ID来查找隧道上下文，如果找到，则使用新的IP地址更新与此上下文关联的物理IP地址。

Fast VPN最大限度地减少了数据包丢失，但并不能避免。此外，当MN在WiFi覆盖方面出现缺口时，没有机制维持应用会话。允许VPN客户端保持相同的私有IP地址是相当有用的，但是这样的解决方案只有在客户端从WiFi网络立即移动到其他WiFi网络时才有效，而没有经历可能触发TCP会话超时的覆盖的长距离。

2.4 基于主机标识协议(HIP)的移动VPN

HIP试图改变TCP/IP协议栈，以提高当今网络的安全性，移动性和多宿主能力。在包含加密主机标识符的协议栈的第3层和第4层之间引入了一个新层，如图5所示。HIP提供IPsec加密，并启用对访问网络和Intranet防火墙的身份验证。

图5 HIP协议

HIP的使用使访问网络中的单点登录(SSO)功能成为可能，其中运营商只需获得授权使用网络的主机列表。在HIP握手期间，被访问网络可以验证MN的身份[26]。只要MN能够通过具有HIP启用接入点的网络进行认证，VPN就可以继续无缝运行(除了由HIP握手引起的延迟)。与使用IETFRFC5265的解决方案类似，TLS和IPsecVPN解决方案可以配置为在HIP堆栈之上运行，从而确保VPN功能[4]。

3 对比分析

IETF提出的基于MIPv4和IPsec的移动VPN满足了与移动VPN相关的主要标准：移动VPN可以处理移动性，并被证明可以保持数据的机密性并验证参与VPN的系统的身份。但是，它增加了很多协议开销。这可能会导致吞吐量下降并增加配置的复杂性。吞吐量下降在低速无线网络中尤为关键。还有一个问题是此类型的移动VPN不能通过网络连接丢弃来提供应用持久性。只有像TCP那样的底层传输协议保持闲置，应用程序持久性才能被保证[27]。它也遭受三角路由或双交叉问题的困扰，即发送到MN的流量必须首先到归属代理，即使MN和相应的节点在同一网络中。最后，移动VPN的类型遭受了由于必须重新建立IPsec的安全关联而导致的性能问题。在使用两个HA的类似移动VPN中解决了这个问题。外部HA和FA之间的IPsec隧道(可以是MN本身)是持久的，因为外部CoA在移动期间不改变。然而，此方法通过添加额外的MIP层来增加隧道开销。

基于MOBIKE的VPN为多个网络接口提供本地支持，如果两个接口都处于活动状态，则在接口间切换不会造成延迟。如果切换到的接口处于非活动状态，则所发生的延迟只是获得第3层IP地址所需的延迟。它还支持在水平切换期间更新IP地址，而不会拆除IKE和IPsec SA。至少有一个网络可用时，保证应用程序持久性。但是并不能保证应用程序能够长时间覆盖差距。

NEMO是针对特定应用的出色的移动VPN解决方案。它不符合真正的移动VPN解决方案的许多要求，但可以与其他移动VPN解决方案结合使用，以减少开销和提高效率。

虽然基于BGP/MPLS的移动VPN在技术上对移动性做了规定，并且具有明显的VPN能力，但是由于其需要专门的设备和部分ISP的配置，所以缺乏其他解决方案。它不仅仅是移动VPN，它应该被认为是固定的VPN，用于移动性有限的节点。每当节点从当前位置移动时，VPN就会丢弃，并与之通信。到达新位置后，需要重新设置VPN，导致业务中断。

蜂窝网络中移动VPN配置中的用户与蜂窝接入点之间的加密无线电通信基于用户与移动网络供应商之间的加密[20]。此外，还需要像GGSN这样的专用网络设备，它们是由MN正在寻找隧道的实体以外的实体拥有的。多个隧道的建立会增加开销，这可能会影响低带宽网络的性能。

基于SIP的移动VPN[21]，由于SIP协议的性质而具有集中的客户端/服务器架构。这本质上带来了可扩展性问题。此外，这些解决方案适用于实时应用程序，可能不适合其他应用程序转换。此外，它受到了SIP的安全漏洞的影响，已经被广泛研究[28]。

基于TLS的移动VPN及其变体(WTLS，DTLS)比基于移动IP的解决方案更具移动性。这源于TLS是应用协议的事实，因此TLS会话独立于对网络层的任何改变，即IP改变。为了支持应用程序持久性，基于TLS的移动VPN依靠建立即使在网络中断期间仍保持活动的虚拟接口。虚拟接口维护MN中的应用可以使用的固定虚拟IP(FVIP)作为源地址。真正的应用程序持久性(TAP)不是由基于TLS的移动VPN原生支持的。如果MN遇到很长的覆盖差距，则底层传输协议可能会超时。

基于HIP的移动VPN有可能演变成通用的移动VPN解决方案，因为HIP支持其原生形式的移动性。然而，这要求在所有访问的网络中使用HIP使能的设备，这可能并不总是可行的，尤其是在传统系统中。但是，HIPVPN解决方案似乎缺乏本文讨论的其他解决方案的成熟度。

当MN访问其他网络时使MIPv6或其他MIP类型的方法保持VPN隧道活动，这只能部分地解决当前的问题。根据应用程序的不同，当MN切换网络时通信中断可能会使应用程序崩溃。出于这个原因，在网络中断期间应用程序会话持久性非常重要，一些更为接受的移动VPN解决方案[22][23]提供了屏蔽来自应用程序的网络中断的能力。

具有应用程序会话持久性规定的移动VPN似乎是所有移动VPN选项中最有希望的，并且在市场上似乎已经很好建立。但是这些解决方案如何适应IPv6仍有待观察。

4 结 语

移动VPN技术是当今计算环境下强有力的信息安全工具。由于涉及的问题非常复杂，以及众多可能的选择，可以使用结构化方法[3]来设计定制适合实际问题的移动VPN解决方案。

尽管基于IPsec和TLS的客户端VPN根据定位进行修改，但并未针对移动环境进行优化，并且无法满足应用性能，可用性和生产的需求。

基于当前可有协议的移动VPN解决方案也占有一定比重。MIP及其后续MIPv6增加了对IP网络的移动性支持。MIPv6是IPv6功能的重要组成部分，其OSI堆栈的狭窄腰部对移动性很契合。但是IPv6部署仍然落后于广泛使用的IPv4互联网。随着网络向IPv6的转移，将基于会话移动的解决方案结合到MIPv6虽然取得了很大成功，弊端是这方面的研究相对缺少，综合来看，我们认为基于IPv6兼容会话传输的移动VPN解决方案将是移动受限的VPN进入移动时代的契机。

在本研究报告中我们介绍了移动VPN的研究背景，解决方案中的相关理论和技术基础。然后，我们提供了分类移动VPN的分类标准，并提出了真正的移动VPN的要求，并介绍了典型移动VPN。

移动VPN虽然是一项全新的技术，但是随着5G和下一代网络技术的发展以及用户对移动性和安全性要求愈来愈高，它将很快成为未来移动通信服务运营商的一项重要业务和重要的利润增长点。移动VPN的未来必将是充满着光明和希望的。