基于VPN技术的校园移动OA设计与实现 - 张凯霞

能，最大限度地减少包丢失和重发现象。PPTP 把建立隧道主动权交给了客户，但客户需要在

其 PC 上配置 PPTP，这样做既会增加用户的工作量，又会造成网络的安全隐患。另外，PPTP

仅工作于 IP，不具有隧道终点的验证功能，需要依赖用户的验证。 2、L2TP 协议

第二层隧道协议 L2TP，是一种工业标准的 Internet 隧道协议，功能大致和 PPTP 协议类 似，如同样可以对网络数据流进行加密。不过不同之处是，如 PPTP 要求网络为 IP 网络，而

L2TP 则要求面向连接的点对点连接；PPTP 使用单一隧道，L2TP 使用多隧道；L2TP 提供包头

压缩、隧道验证，而 PPTP 不支持。

L2TP 从客户端或访问服务器端发起 VPN 连接，把链路层形成的 PPP 帧封装在公共网络（如

IP、ATM、帧中继）中进行隧道传输的封装。L2TP 的好处就在于支持多种协议，用户可以保

留原有的 IPX、Appletalk 等协议或原有的 IP 地址，整合多协议服务至现有的因特网服务提

供商点。

L2TP 定义了多协议跨越第二层点对点链接的一个封装机制，特别地适用于用户使用众多 技术（如拨号 ISDN、ADSL 等），获得第二层连接到网络访问服务器（NAS）。 3、IPSec 协议

第二层隧道协议 PPTP、L2TP 等各自有自己的优点，但是都没有很好地解决隧道加密和数 据加密的问题。而第三层隧道协议 IPSec 协议则把多种安全技术集合到一起，建立一个安全、

可靠的隧道。这些技术包括 Diffie-Hellman 密钥交换技术，DES、RC4、IDEA 数据加密技术，

哈希散列算法 HMAC、MD5、SHA、数字签名技术等。

IPSec 协议定义了如何在 IP 数据包中增加字段来加密数据包，以保证 IP 包的完整性、南京邮电大学工程硕士研究生学位论文 第五章 基于 VPN 技术的校园移动 OA 方案实现 41

私有性和真实性。使用 IPSec 协议封装的数据在公网上传输，而不必担心数据被监视、修改

或伪造，提供了两个主机之间、两个安全网关之间或主机和安全网关主机之间的保护。 IPSec 在 IP 层提供安全服务，IPSec 协议的安全结构包括 3 个基本协议：AH 协议+ESP 协

议+ISAKMP 密钥管理协议。其中报文验证头协议 AH 协议为 IP 包提供信息源验证和完整性保 证，主要提供的数据来源验证、数据完整性验证和防报文重放功能；报文安全封装协议 ESP 协议提供加密认证，ESP 在 AH 协议提供安全的功能之外，再提供对 IP 报文的加密功能；密

钥管理协议（ISAKMP）提供双方交流时的共享安全信息。 4、SSL VPN

SSL 英文全称是 Secure Sockets Layer，中文名为“安全套接协议层”，它是网景公司提

出的基于 Web 应用安全协议。SSL 是一种在 Web 服务协议（HTTP）和 TCP/IP 之间提供数据连

接安全的协议，为 TCP/IP 连接提供数据加密，服务器身份验证和消息完整性验证。SSL 被视

为因特网上 Web 浏览器和服务器之间实现连接的安全标准。基于 SSL 协议的 VPN 远程访问方

案，更加容易配置和管理，网络配置成本比 IPSec VPN 低很多。

SSL VPN 通信基于标准 TCP/UDP 协议传输，因而能遍历所有 NAT 设备、基于代理的防火

墙和状态检测防火墙。这使得用户能够从任何地方接入，无论是处于其他网络中，还是基于 代理的防火墙中，或是宽带网络连接中，而 IPSec VPN 在稍复杂的网络结构中则难以实现， 因为它很难实现防火墙和 NAT 遍历，无力解决 IP 地址冲突。相对于传统 IPSec VPN 而言，SSL

VPN 似乎正好可以跟它互补。此外 SSL VPN 具有部署简单，无客户端，维护成本低，网络适

应强等特点，SSL VPN 能让企业实现更多远程用户在不同地点接入，实现更多网络资源访问，

且对客户端设备要求低，因而降低了配置和运行支撑成本。 5.2.2 IPSec VPN 和 SSL VPN 的比较

目前的 VPN 解决方案，按其所使用的隧道协议，通常可以分为三类：PPTP／L2TP VPN、 IPSec VPN 和 SSL VPN。PPTP／L2TP 和 IPSee 两种 VPN 解决方案因彼此相似而常常被归为一

类，统称为 IPSec VPN。以下将应用广泛的 IPSec VPN 和 SSL VPN 进行比较，根据我校特点

选择移动办公实现技术。

IPSec VPN 和 SSL VPN 是两种不同的 VPN 架构，IPSec VPN 是工作在网络层的，提供所有

在网络层上的数据保护和透明的安全通信，而 SSL VPN 是工作在应用层和 TCP 层之间的，从

整体的安全等级看，两者都能提供安全的远程接入。但是，IPSec VPN 技术是被设计用于连

接和保护在信任网络中的数据流，因此更适合为不同的网络提供通信安全保障，而 SSL VPN南京邮电大学工程硕士研究生学位论文 第五章 基于 VPN 技术的校园移动 OA 方案实现 42

则更适合应用于移动办公人员的安全接入。 1、IPSec VPN 的优点

日益增加的对 SSL VPN 的关注并不能降低对传统 IPSec VPN 解决方案价值的认可，IPSec 仍然是作为站点到站点的 VPN 事实上的标准。IPSec VPN 通过在互联网上的两站点间创建隧

道提供直接接入，一旦隧道创建，远程 PC 就如同物理地处于企业总部 LAN 中，为公司的分支

机构用户提供远程访问总部局域网内部资源的可能。只要能建立 IPSec VPN 隧道连接，远程

的办事处和移动用户就能访问总部局域网的所有应用和资源，而不象 SSL VPN 具有一定的

局

限性。IPSec VPN 的优点是：最适合局域网到局域网的通信，适用性更大。 2、IPSec VPN 的不足

在远程访问方面，当只创建有限的几个隧道时，IPSec 能满足基本的需要，如：总公司 与若干个办事处的远程连接。但是，如果有数千个远程互联网用户分布在不同的地点，分发 和管理客户端软件就是一件非常麻烦，也很费时的事情。另外，不易解决网络地址转换和穿 越防火墙的问题。IPSec VPN 产品并不总能很好地解决包括网络地址转换、防火墙穿越和宽

带接入在内的复杂的远程访问问题。例如，如果一个用户已经安装了 IPSec 客户端，但他仍

然不能在其他公司的网络内接入互联网（例如，工作在客户处的咨询顾问），IPSec 会被那个

公司的防火墙阻止，除非该用户和这个公司的网络管理员协商，在防火墙上打开另一个端口。 而这是一个烦人、花时间的事情，也会增加风险，这是许多公司不愿承担的。需要同一家的 产品，不同 IPSec 供应商之间的互操作可能存在问题。 3、SSL VPN 的优点

SSL VPN 无需安装客户端软件或客户端设备，只需通过 Web 浏览器即可以通过网页访问 到企业总部的网络资源，免去了客户端的成本，维护、管理成本也大为降低。SSL VPN 方案

实施起来非常简单，只需要在企业的数据中心部署 SSL VPN 网关即可，无需在各分支机构部

署硬件或软件设备。SSL VPN 方案是无客户端的 VPN 方案，客户端只需要具备标准的浏览器

即可。SSL VPN 的管理工作属于集中管理和集中维护模式，可以极大地降低管理和维护成本。

用户通过基于 SSL 的 Web 访问并不是网络的真实节点，而且还可代理访问公司内部资源。因 此，这种方法可以非常安全的。为那些简单远程访问用户（仅需进入公司内部 WEB、FTP 网站

或者进行 Email 通信），基于 SSL 的 VPN 网络可以非常经济地提供远程访问服务。可以绕过

防火墙和代理服务器进行访问：基于 SSL 的远程访问方案中可以绕过防火墙和代理服务器进

行访问公司资源。 4、SSL VPN 的不足

SSL VPN 并不是主流的工业级的 VPN 方案，目前绝大多数需要最高安全标准的大企业、南京邮电大学工程硕士研究生学位论文 第五章 基于 VPN 技术的校园移动 OA 方案实现 43

行业企业的首选是 IPSec VPN，那么 SSL VPN 的主要不足在哪里呢？SSL VPN 仅支持以代理方

式访问基于 web 或特定的客户端/服务器的应用。由服务器直接操纵的应用，如 net meeting 以及一些客户书写的应用程序，将无法进行访问。一个企业往往运行了很多种应用（OA、财

务、销售管理、ERP），很多应用并不基于 Web，单纯只有 Web 应用的企业极少。一般企

业希

望 VPN 能达到局域网的效果，比如网上邻居，而 SSL VPN 只能保护应用层协议，如 WEB、FTP 等，要保护更多的应用，SSL VPN 根本做不到。所以目前的 SSL VPN 还仅适用于基于 Web 的

应用，范围相当有限。

IPSec VPN 与 SSL VPN 主要性能比较如表 5.1 所示： 表 5.1 IPSec VPN 与 SSL VPN 性能比较

IPSec VPN 是在两个局域网之间通过 Intemet 建立的安全连接，保护的是网对网之间的 通信，并且它不局限于 Web 应用，还能构建局域网之间的虚拟专用网络，功能和应用的扩展

性更强。当学校需要安全的网对网连接，并且让学校拥有管理所有远程访问使用者的能力时， IPSec VPN 可能是最适合的解决方案；SSL VPN 考虑的是应用软件的安全性，更多应用在 Web

的远程安全接入方面，SSL VPN 最适合学校需要通过互联网用笔记本型计算机、家用个人计

算机接入达到广泛而全面性的信息存取。IPSec VPN 实现技术工作在 OSI 参考模型中的网络南京邮电大学工程硕士研究生学位论文 第五章 基于 VPN 技术的校园移动 OA 方案实现 44

层，因此，在网对网（Site-Site）的 VPN 连接中具备先天优势，适合总部与各分支机构之间

的网对网接入；SSL VPN 实现技术工作在 OSI 参考模型中得应用层，是一种新兴的 VPN 技术，

适合用于移动用户的远程接入（Client-Site）。 5.2.3 移动办公平台技术选择

通过以上的分析比较，我们可以得出如下结论：

在中心校区与分校区之间适用网对网产品，即 IPSec VPN；移动办公人员与中心校区之 间适用点对网产品，即 SSL VPN。基于我校主要针对移动人员访问校园内网要求，本系统选

用 SSL VPN 技术实现远程移动办公。 归纳 SSL VPN 的特点如下： SSL（Secure Sockets Layer），中文名为“安全套接层协议层”。SSL 协议指定了一种在 应用程序协议和 TCP/IP 协议之间提供数据安全性分层的机制，它为 TCP/IP 连接提供数据加

密、服务器认证、消息完整性以及可选的客户机认证。SSL 协议由 SSL 记录协议、握手协议、

密钥更改协议和告警协议组成，它们共同为应用访问连接提供认证、加密和防篡改功能。 1、简单性

SSL VPN 不需要安装客户端软件，由于浏览器内嵌了 SSL 协议，对于基于 B/S 结构的业 务，远程用户可以直接使用浏览器完成 SSL 的 VPN 建立，访问企业内部资源。 2、安全性

SSL VPN 具有防止信息泄漏，拒绝非法访问，保护信息的完整性，防止用户假冒，保证 系统的可用性的特点，能够进一步保障访问安全。