孫 志 張 明 張欲曉

（中國(guó)人民解放軍海軍航空工程學(xué)院青島校區(qū) 山東 青島 266041）

0 引言

隨著教育體制改革的不斷深入，很多院校都在進(jìn)行著一校多區(qū)的辦學(xué)實(shí)踐，以解決教學(xué)資源不足等問(wèn)題，但同時(shí)也給教學(xué)管理工作和信息資源共享帶來(lái)了諸多不便。多校區(qū)的園區(qū)網(wǎng)絡(luò)建設(shè)不僅要在速度、容量上滿足長(zhǎng)時(shí)間、多人數(shù)上網(wǎng)的需求，使長(zhǎng)距離的主分校區(qū)實(shí)現(xiàn)一致的網(wǎng)絡(luò)體驗(yàn)，還要實(shí)現(xiàn)教育教學(xué)資源的集中存儲(chǔ)和共享。更重要的是，需要將原本松散的網(wǎng)絡(luò)從規(guī)格標(biāo)準(zhǔn)、管理軟件等方面進(jìn)行整合，形成統(tǒng)一管理的網(wǎng)絡(luò)整體。尤其在軍隊(duì)院校異地多校區(qū)辦學(xué)模式下，園區(qū)網(wǎng)絡(luò)通常屬于涉密內(nèi)網(wǎng)，網(wǎng)絡(luò)融合過(guò)程中的信息安全保密更是需要重點(diǎn)考慮的一個(gè)首要問(wèn)題。為使各分校區(qū)能訪問(wèn)主校區(qū)資源，同時(shí)保證連接和訪問(wèn)的安全，有必要建立一套安全的異地網(wǎng)絡(luò)融合方案。通過(guò)PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）和VPN（Virtual Private Network，虛擬專用網(wǎng)絡(luò)）技術(shù)來(lái)實(shí)現(xiàn)異地網(wǎng)絡(luò)融合，不失為一個(gè)行之有效的實(shí)現(xiàn)途徑。

1 相關(guān)技術(shù)研究

1.1 VPN 技術(shù)

VPN是一種基于交換技術(shù)的高速主干鏈路，以公共開(kāi)放的網(wǎng)絡(luò)作為基本傳輸媒介，將處于不同位置的物理局域網(wǎng)邏輯地連接在一起。通過(guò)VPN技術(shù)可以使多校區(qū)臨時(shí)從公用網(wǎng)中獲得一部分資源供自己專用，連到公網(wǎng)所能達(dá)到的任何地點(diǎn)，降低網(wǎng)絡(luò)的使用成本。所以虛擬專用網(wǎng)雖然不是真正的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。

VPN的關(guān)鍵技術(shù)涉及到隧道技術(shù)、加/解密技術(shù)、密鑰管理技術(shù)和身份驗(yàn)證技術(shù)等。其中，隧道技術(shù)是VPN的核心技術(shù)。所謂隧道技術(shù)就是將分組進(jìn)行封裝的技術(shù)，利用一種協(xié)議來(lái)傳輸另一種協(xié)議。它負(fù)責(zé)將待傳輸?shù)脑夹畔⒔?jīng)過(guò)加密、協(xié)議封裝和壓縮處理后，再嵌套裝入另一種協(xié)議的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進(jìn)行傳送。只有該虛擬專用網(wǎng)絡(luò)授權(quán)的用戶才能對(duì)隧道中的數(shù)據(jù)包進(jìn)行解釋和處理，其他無(wú)授權(quán)用戶則無(wú)法處理這些信息，從而保證VPN遠(yuǎn)程用戶或主機(jī)和專用網(wǎng)絡(luò)的安全連接。隧道由一系列的協(xié)議組成，基于不同的隧道協(xié)議所實(shí)現(xiàn)的VPN是不同的。典型的隧道協(xié)議主要包括PPTP、L2F、L2TP、MPLS、IPSec、GRE 等協(xié)議。 其中，L2TP、IPSec 和 MPLS 是VPN的主流隧道協(xié)議[1]。通過(guò)隧道協(xié)議，VPN技術(shù)以較低成本搭建一條安全通道，隔離沒(méi)有授權(quán)進(jìn)入的用戶，確保數(shù)據(jù)傳輸過(guò)程中的完整性、真實(shí)性、機(jī)密性。

但是在傳統(tǒng)的VPN系統(tǒng)中，設(shè)備身份通常是由其IP地址來(lái)標(biāo)識(shí)的。這在涉密內(nèi)網(wǎng)中就會(huì)存在一定的安全隱患，假如黑客盜用了通信雙方任何一端的身份，不管其他安全設(shè)施有多嚴(yán)密，將導(dǎo)致整個(gè)VPN的安全性失效[2]。將PKI技術(shù)引進(jìn)VPN，可以加強(qiáng)網(wǎng)絡(luò)訪問(wèn)的安全性，保證網(wǎng)絡(luò)的可擴(kuò)展性和內(nèi)網(wǎng)互聯(lián)最大限度的安全。

1.2 PKI

PKI利用公鑰加密技術(shù)，為網(wǎng)絡(luò)信息的傳輸提供的一套安全基礎(chǔ)平臺(tái)，是目前應(yīng)用最為廣泛的一種加密體制。這種技術(shù)可以很好地保證信息的機(jī)密，同時(shí)還保證了信息具有不可抵賴性。PKI技術(shù)采用證書(shū)進(jìn)行公鑰管理，通過(guò)認(rèn)證中心CA把用戶的公鑰和其他的標(biāo)識(shí)信息捆綁在一起，如用戶名和電子郵件地址等，以便在網(wǎng)絡(luò)上進(jìn)行用戶的身份驗(yàn)證。即PKI是人員、硬件、軟件、策略和操作規(guī)程的總和，通過(guò)這些完成創(chuàng)建、管理、保存、發(fā)放和廢止證書(shū)的功能，其優(yōu)勢(shì)在于以下幾個(gè)方面[3]：

1.2.1 可以構(gòu)建一個(gè)可管、可控、安全的互聯(lián)網(wǎng)絡(luò)。使用公用網(wǎng)絡(luò)發(fā)送郵件、分發(fā)軟件、發(fā)送敏感或私有數(shù)據(jù)，進(jìn)行應(yīng)用系統(tǒng)訪問(wèn)。通過(guò)認(rèn)證機(jī)制，建立證書(shū)服務(wù)系統(tǒng)，通過(guò)數(shù)字證書(shū)綁定每個(gè)網(wǎng)絡(luò)實(shí)體的公鑰，使每個(gè)網(wǎng)絡(luò)實(shí)體都可以識(shí)別，可以有效地解決在訪問(wèn)過(guò)程中的身份鑒別和實(shí)體強(qiáng)鑒。

1.2.2 可以構(gòu)建一個(gè)統(tǒng)一平臺(tái)。PKI遵循完整的國(guó)際技術(shù)標(biāo)準(zhǔn)，通過(guò)Java技術(shù)提供了可跨平臺(tái)移植的應(yīng)用系統(tǒng)代碼，通過(guò)XML技術(shù)提供了可跨平臺(tái)交換和移植的業(yè)務(wù)數(shù)據(jù)，可以對(duì)物理層、網(wǎng)絡(luò)層和應(yīng)用層進(jìn)行系統(tǒng)的安全結(jié)構(gòu)設(shè)計(jì)，構(gòu)建統(tǒng)一的安全域。在這樣的一個(gè)平臺(tái)上，可以很方便地建立一站式服務(wù)的軟件中間平臺(tái)，對(duì)多種應(yīng)用系統(tǒng)的整合十分有利，從而大大地提高平臺(tái)的普適性、安全性和可移植性。

1.2.3 可以構(gòu)建一個(gè)完整的授權(quán)服務(wù)體系。在需要公開(kāi)時(shí)，相關(guān)人員都能用公鑰去驗(yàn)證某個(gè)文件或某項(xiàng)批示是否出自某位領(lǐng)導(dǎo)之手，保證授權(quán)的真實(shí)可靠，確切無(wú)誤。在需要保密時(shí)，可以利用私鑰的惟一性，保證有權(quán)限的人才能看到某個(gè)文件、某項(xiàng)批示甚至做某件事。

所以，PKI主要是通過(guò)自動(dòng)管理密鑰和證書(shū)，為用戶建立一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密技術(shù)和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的完整性、保密性和有效性。

1.3 基于PKI技術(shù)的 VPN

在使用基于IPSec的VPN技術(shù)時(shí)，想要使PKI和IPSec結(jié)合，就要在DOI中定義必須的PKI屬性，通過(guò)密鑰交換，實(shí)現(xiàn)PKI與IPSec的結(jié)合。其具體過(guò)程為[4]：首先將PKI的認(rèn)證、機(jī)密性和完整性協(xié)議定義為PKI專用數(shù)據(jù)，并把它們置于DOI字段中，同時(shí)加載證書(shū)字段，生成帶PKI性能的IKE載荷；通過(guò)IKE進(jìn)行野蠻模式或者主模式交換，互換證書(shū)，建立IKESA；雙方用公鑰檢查CA和證書(shū)中的身份信息在證書(shū)上的數(shù)字簽名；用公開(kāi)密鑰加密算法驗(yàn)證機(jī)密性，用數(shù)字簽名算法驗(yàn)證完整性；協(xié)商一致后，生成具體的SA。IPSec與PKI結(jié)合后，在密鑰交換過(guò)程中，通過(guò)交換證書(shū)的方式交換了公鑰和身份信息，驗(yàn)證數(shù)字簽名、機(jī)密性和完整性，從而充分的保證了信息來(lái)源的可信度、完整性等，同時(shí)，IPSec配置文件中實(shí)現(xiàn)與多數(shù)用戶的通信，只需少數(shù)的CA證書(shū)即可。

在解決以上技術(shù)后，通信雙方按以下步驟來(lái)進(jìn)行安全通信：身份數(shù)字證書(shū)由CA向VPN的通信雙方簽發(fā)，并將被存放到LDAP目錄服務(wù)器供相關(guān)的應(yīng)用來(lái)訪問(wèn)；屬性證書(shū)由RA、CA向VPN的通信雙方簽發(fā)，它們規(guī)定了雙方的訪問(wèn)權(quán)限，也被存放到LDAP目錄服務(wù)器供相關(guān)的應(yīng)用來(lái)訪問(wèn)；通信雙方交換身份數(shù)字證書(shū)，并驗(yàn)證對(duì)方的身份，檢查證書(shū)不在CRL名單之列；訪問(wèn)LDAP目錄服務(wù)器得到通信雙方的屬性證書(shū)，由RA和CA檢驗(yàn)屬性證書(shū)是否允許雙方建立連接；若身份數(shù)字證書(shū)和屬性證書(shū)全都通過(guò)驗(yàn)證，則通信雙方建立安全隧道連接；通信雙方第一次連接時(shí)，分別產(chǎn)生相應(yīng)的SA，并由IKE交換密鑰；VPN網(wǎng)關(guān)依據(jù)發(fā)送方應(yīng)用程序傳來(lái)的IP包查詢SPD數(shù)據(jù)庫(kù)，然后決定對(duì)該IP包采取什么策略，如果該策略說(shuō)明該IP包需要進(jìn)行安全保護(hù)，則利用SA中指定的算法，IP包中的數(shù)據(jù)在ESP中加密，隨后產(chǎn)生相應(yīng)的AH。數(shù)據(jù)包加密后，經(jīng)由安全隧道發(fā)送給對(duì)方，接收方的VPN網(wǎng)關(guān)根據(jù)IP頭中的AH和ESP部分提取出安全參數(shù)指數(shù)SPI、IP目的地址和安全協(xié)議標(biāo)識(shí)符SPID元組查詢SADB，并得到SA，若正確返回SA，則檢查AH，這樣可以驗(yàn)證數(shù)據(jù)源和數(shù)據(jù)完整性，進(jìn)行ESP解密，查詢SD（根據(jù)所得數(shù)據(jù)的IP地址來(lái)實(shí)現(xiàn)），若符合處理策略，取出原始數(shù)據(jù)傳給接受方應(yīng)用程序[5]。

圖1 多校區(qū)網(wǎng)絡(luò)融合拓?fù)浣Y(jié)構(gòu)圖

2 校園VPN應(yīng)用方案

下面以某軍事院校的園區(qū)網(wǎng)為例，說(shuō)明上述PKI和VPN技術(shù)在多校區(qū)互聯(lián)中的應(yīng)用。

2.1 現(xiàn)狀分析

該軍事院校由總校區(qū)和兩個(gè)分校區(qū)組成，相距數(shù)百公里，三個(gè)校區(qū)都各自建有單獨(dú)的涉密園區(qū)網(wǎng)。三個(gè)校區(qū)中均建有部分電子圖書(shū)資源和教學(xué)管理應(yīng)用系統(tǒng)。為滿足跨校區(qū)教學(xué)、管理和科研對(duì)網(wǎng)絡(luò)信息資源共享的需求，在確保信息安全保密的前提下，應(yīng)盡可能在最大的、合理的范圍內(nèi)對(duì)資源進(jìn)行有效的利用整合。經(jīng)過(guò)對(duì)各方面因素的綜合比較，確定采用基于IPSec的VPN技術(shù)和PKI機(jī)制來(lái)實(shí)現(xiàn)新、老校區(qū)在局域網(wǎng)上的互聯(lián)互通，實(shí)現(xiàn)各類公共資源的有效利用與共享，這是一條經(jīng)濟(jì)、安全、快捷簡(jiǎn)便的跨地域網(wǎng)絡(luò)融合的途徑。

2.2 實(shí)現(xiàn)方案

在三個(gè)校區(qū)通過(guò)防火墻構(gòu)建VPN，通過(guò)軍事專用廣域網(wǎng)將三個(gè)園區(qū)網(wǎng)聯(lián)通，實(shí)現(xiàn)各校區(qū)的資源共享、信息交流和數(shù)據(jù)傳送。為確保網(wǎng)絡(luò)信息的安全性，在校本部園區(qū)網(wǎng)內(nèi)設(shè)置基于PKI的雙向的強(qiáng)鑒別身份認(rèn)證系統(tǒng)，完成身份認(rèn)證、密鑰信息交換、屬性認(rèn)證等工作，如圖1所示。

在三個(gè)校區(qū)的VPN設(shè)備中配置路由，策略上允許三地間的所有用戶互訪，就象在一個(gè)網(wǎng)絡(luò)內(nèi)一樣?？紤]到將來(lái)網(wǎng)絡(luò)的穩(wěn)定性、可管理性以及實(shí)現(xiàn)的便利性等因素，在三個(gè)校區(qū)園區(qū)網(wǎng)出口分別安裝一臺(tái)防火墻實(shí)現(xiàn)基于策略的IPSec VPN互連，這樣三校區(qū)的師生員工就可以方便地訪問(wèn)到其他內(nèi)網(wǎng)中的各種網(wǎng)上教學(xué)和科研資源。

系統(tǒng)安裝配置后，滿足了三個(gè)校區(qū)的辦公和教學(xué)管理系統(tǒng)的運(yùn)行需求，也能夠進(jìn)行內(nèi)部資源共享。該方案的設(shè)計(jì)與實(shí)施成本較為低廉，原先的投資得到了極大的保護(hù)利用，而且各內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)也不需要進(jìn)行大的改動(dòng)。

3 結(jié)語(yǔ)

基于PKI體系的VPN技術(shù)能夠提供遠(yuǎn)程訪問(wèn)，建立多個(gè)網(wǎng)絡(luò)間的可信安全連接，實(shí)現(xiàn)異地多校區(qū)間的資源共享，同時(shí)可以節(jié)約實(shí)現(xiàn)成本，降低運(yùn)維費(fèi)用，提高服務(wù)質(zhì)量，因此非常適合用于多校區(qū)之間的網(wǎng)絡(luò)融合。隨著VPN和PKI技術(shù)的發(fā)展，將更加發(fā)揮其技術(shù)優(yōu)勢(shì)，為用戶提供性能更高、功能更強(qiáng)的解決方案。

［1］何寶宏,田輝.IP虛擬專用網(wǎng)技術(shù)[M].北京:人民郵電出版社,2008:1-8.

［2］吳志華.基于IPSec的電子政務(wù)MPLS VPN實(shí)現(xiàn)[J].信息安全與通信保密,2011(11):57-59.

［3］張梅,張紅旗,杜學(xué)繪.基于PKI的SSL協(xié)議的描述及安全性分析[J].微計(jì)算機(jī)信息,2006(12):51-53.

［4］錢愛(ài)增.PKI與VPN技術(shù)在校園網(wǎng)內(nèi)部資源安全問(wèn)題中的應(yīng)用研究[J].中國(guó)教育信息,2008(9):77-80.

［5］羅智勇,喬佩利.一種安全VPN網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)[J].佳木斯大學(xué)報(bào):自然科學(xué)版,2010(1):14-16.