發布日期:2022-07-15 點擊率:34
隨著移動計算變得越來越流行,移動客戶端對虛擬專用網(VPN)接入的需求也日益增強。但當涉及無線通信時,IP VPN解決方案存在天生的局限,而會話層VPN成為一種強大、有吸引力的替代方案。在這方面,最大的挑戰是確保用戶在不同網絡之間移動時不會中斷VPN連接,從而實現所謂“無縫網絡漫游”的目標。為了促成這類漫游,必須探討兩種新的概念:IP移動性和會話移動性。
采用IP層方法構建一個無線VPN的典型途徑是實現IP安全(IPSec)支持以及移動IP。其策略是為傳輸層提供透明性。移動IP有效隱藏了IP地址的變化,允許傳輸層連接在網絡交接過程中保持不斷。這即是說,IP層方法將流控制和會話恢復等職責留給了所采用的傳輸協議,通常是TCP。采用IPSec也會引入其它問題,其中網絡地址轉換(NAT)問題最嚴重。
另一方面,正如其名稱所暗示的,會話層解決方案在會話層實現VPN和移動功能。它不必嘗試在網絡漫游期間維持傳輸層連接。相反,該方案依賴會話層的恢復機制來快速地重建傳輸連接。圖1顯示了在IP VPN和會話層VPN中分別如何實現協議棧VPN和漫游功能。
兩種方案的比較
一個無線VPN至少必須提供與傳統有線VPN相同級別的安全性。敏感數據通過不安全的公共網絡傳輸時完全可以被第三方訪問。企業VPN解決方案依賴其安全機制來提供機密性、數據完整性和認證。如果這些機制中的任何一個失效,那么該VPN就容易遭受攻擊。
IPSec已經成為IP VPN的實際安全標準。由于IPSec是一種網絡層協議,它的安全機制與所連接主機的IP地址密切相關。在由不同運營商的不同網絡組成的無線環境中,這個不幸的特征妨礙了平滑操作。
一種替代解決方案是采用無線傳輸層安全(WTLS)標準,它是TLS協議的無線版本。乍看上去,IPSec和WTLS提供了非常相似的服務,如強大的加密、認證、簽名和散列法。然而,這兩種協議之間至少存在兩個重要區別。
WTLS能被用于增強在應用到應用層上的端到端安全性,這意味著:如果需要的話,加密可以維持并通過任何企業防火墻或網關直到應用。如果不需要端到端的安全性,WTLS加密可以在一個邊界網關終止,就像IP VPN解決方案的通常情況一樣。借助端到端的安全性,一個應用能夠根據接入設備所采用的安全機制來細分它的服務。例如,在企業電子郵箱應用中,每個電子郵件可以被標上不同的敏感級別。只有那些采用最強安全機制的設備才被允許下載標記為“機密”的電子郵件,而具有較弱安全保障的設備可以下載普通敏感度的電子郵件。
不經過大規模的網絡升級,IPSec不能使加密維持并通過普通的防火墻、網關和NAT。這是因為傳統NAT服務器預期IP報頭后面的是傳輸層信息而不是IPSec報頭。所謂的NAT問題早已引起互聯網工程任務組(IETF)的注意,但迄今為止還沒有標準化的解決方案。
會話恢復
安全連接建立是一個需要繁重計算的過程,而且許多消息需要在兩個通信端之間傳遞。如果通信設備是一個具備有限處理能力的PDA,那么可能需要幾分鐘來建立會話。因此,會話能夠在網絡服務不可用的期間繼續存在是極其重要的。
為了解決這些問題,WTLS支持方便、快速的重建機制,以恢復中斷的連接。這種會話恢復功能允許WTLS會話免受網絡故障的影響,從而持續較長時間。如果一個連接中斷,無需任何復雜的計算就可以建立一個新的連接,而且所需時間只是最初建立時間的一小部分。由于重新連接是在相同背景下進行的,無需用戶的任何干預,因此用戶在會話恢復后不必再次登錄。
IPSec和WTLS執行非常類似的建立操作,通常稱為“握手”,但由于IPSec缺少會話恢復功能,所以每次客戶端重新連接時都必須執行包括密碼交換機制和容量協調在內的全方位握手。由于連接不穩定現象在無線通信中相當普遍,因此會話恢復功能極大地改善了用戶體驗。
在會話層實現無線VPN的好處之一是有可能實現事務恢復機制,從而在一個連接時斷時續的網絡環境中提供可靠和無縫的數據交換。例如,當用戶正在傳輸一個文件或下載一封電子郵件時進入了一個沒有無線電覆蓋的區域,那么只要網絡再次連通,事務恢復機制就能從中斷的地方重啟交換,因而不會丟失先前發送的任何數據。
基于IPSec的VPN解決方案無法支持事務恢復。對于上面描述的情況,傳輸必須完全從頭開始,從而丟失先前發送的所有數據。防止數據丟失的唯一方法是讓每個應用實現它自己的恢復機制。因此,基于IP的解決方案無法向應用層提供可接受的網絡透明度。
網絡漫游
在IP VPN中,提供網絡漫游功能的技術叫做移動IP,其設想是防止TCP會話在網絡交接期間中斷。網絡漫游常常導致設備的IP地址變化,進而造成該TCP連接失效。移動IP采用IP通道將數據透明地路由到無線設備,而不論該設備目前的位置在何處。通過采用由受訪域提供的轉交地址和由家鄉網絡提供的家鄉地址(home address),網絡漫游的執行過程對TCP而言是透明的。
在現實中,一個TCP會話不太可能經受得住不同類型網絡之間的交接。例如,從一個快速網絡(如WLAN或藍牙)移動到一個慢速網絡(如GPRS)將造成多個TCP超時,其后果是,TCP連接可能從此無法恢復。當工作在由不同類型網絡組成的分片網絡環境中時,IP層機制無法提供支持連續服務的無縫漫游。
為了實現網絡漫游,一種不同的方法是利用WTLS實現的會話恢復功能。當TCP本身不能適應變化的鏈接環境時,試圖維持TCP會話暢通是毫無意義的。通過采用WTLS的會話恢復機制,一個新的TCP會話將安全、迅速地建立。由于所有應用連接都就地終止在計算機,所以這個新TCP會話的建立對應用來說是完全透明的。
采用IP VPN技術的主要原因之一是它對網絡上層(最高3層)的透明性,因為這帶來了靈活性,而且應用程序不必為無線通信重新編寫。這也是會話層VPN解決方案所具有的特性。基于IP的解決方案與會話層解決方案之間的區別在于:IP VPN犧牲性能來實現透明性,而會話層方案既能夠提供高水平的透明度又能夠提供最佳的性能。
作者:Fredrik Sllstrm
資深技術工程師
Columbitech公司
