基于VPN的電子政務(wù)辦公系統(tǒng)研發(fā)

董冠華

摘 要： 近年來，政府的組織形態(tài)逐漸向多元化方向發(fā)展，以往的政務(wù)管理方式，已經(jīng)不能適應(yīng)當(dāng)前社會(huì)的需求，因此，需要研發(fā)完善的電子政務(wù)系統(tǒng)，進(jìn)一步保證政務(wù)管理工作的順利進(jìn)行。VPN技術(shù)是一種新興網(wǎng)絡(luò)技術(shù)，基于VPN技術(shù)研發(fā)的電子政務(wù)系統(tǒng)，可以讓公眾參與到政府工作中來。該系統(tǒng)經(jīng)過需求調(diào)研、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、系統(tǒng)研發(fā)、Testing評(píng)審與系統(tǒng)發(fā)布6個(gè)階段進(jìn)行，通過VPN，HTTP等技術(shù)的合理設(shè)計(jì)，從而保證政府決策的安全性和正確性，提高政府管理能力。

關(guān)鍵詞： 電子政務(wù)系統(tǒng)； VPN平臺(tái)； 政務(wù)管理； 系統(tǒng)研發(fā)

中圖分類號(hào)： TN911?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2014）14?0054?03

Development of E?government office systems based on VPN

DONG Guan?hua

（Xian University of Arts and Science， Xian 710065， China）

Abstract： In recent years， the government organization form gradually changes in the multiplex direction. The previous go?

vernment management mode has been unable to meet the current needs of the society. Therefore， the comprehensive E?government system is needed to ensure the smooth progress of government management. VPN technology is an emerging network technology. E?government system based on VPN technology can help the public to participate in government management. The system is made of the demand research， outline design， detailed design， system development， Testing review and system release. With the reasonable design based on VPN， Http and other technologies， the system can ensure the safety and correctness of the government decision?making， and improve the government management capacity.

Keywords： E?government system； VPN platform； government management； system development

在信息技術(shù)高速發(fā)展的大背景下，政府部門已經(jīng)開始關(guān)注于借助互聯(lián)網(wǎng)等現(xiàn)代化的技術(shù)手段，實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的優(yōu)化重組，從而構(gòu)建出一個(gè)精簡(jiǎn)、高效的電子政府管理模式。與此同時(shí)，黨中央也提出了“要把全面推進(jìn)國(guó)民經(jīng)濟(jì)和社會(huì)信息化放在優(yōu)先位置，進(jìn)一步轉(zhuǎn)變政府職能，改進(jìn)工作方式，推進(jìn)電子政務(wù)，提高行政效率，降低行政成本?！庇纱丝梢?，對(duì)于電子政務(wù)辦公系統(tǒng)的設(shè)計(jì)與研發(fā)對(duì)我國(guó)建設(shè)電子政務(wù)網(wǎng)絡(luò)有著非常積極的意義。

1 VPN技術(shù)的概述

虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）是在公用網(wǎng)絡(luò)上建立的專用網(wǎng)絡(luò)技術(shù)，屬于專業(yè)的網(wǎng)絡(luò)虛擬通信設(shè)備。在虛擬專用網(wǎng)絡(luò)中，每一個(gè)節(jié)點(diǎn)之間并沒有傳統(tǒng)專網(wǎng)所需的物理鏈路，而是在公用網(wǎng)絡(luò)服務(wù)器上設(shè)計(jì)網(wǎng)絡(luò)基礎(chǔ)平臺(tái)。虛擬專用網(wǎng)絡(luò)涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)擴(kuò)展。VPN的核心問題的確保通信安全，而針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全協(xié)議是提供這種通信安全的關(guān)鍵技術(shù)[1]。在傳統(tǒng)網(wǎng)絡(luò)被之中，進(jìn)行異地局域網(wǎng)互聯(lián)必須要租用數(shù)字?jǐn)?shù)據(jù)網(wǎng)專線或者幀中繼，這樣勢(shì)必會(huì)增加設(shè)備建設(shè)和維護(hù)的成本，因此與傳統(tǒng)的專線網(wǎng)絡(luò)相比，虛擬專用網(wǎng)絡(luò)VPN技術(shù)不需要單獨(dú)配置調(diào)制解調(diào)器、終端適配器、遠(yuǎn)程服務(wù)器等硬件設(shè)備，在降低網(wǎng)絡(luò)建設(shè)成本的同時(shí)，還增加了系統(tǒng)運(yùn)行的穩(wěn)定性和高效性。虛擬專用網(wǎng)絡(luò)在建立公共互聯(lián)網(wǎng)的過程中，一旦部分線路出現(xiàn)故障時(shí)，數(shù)據(jù)可以重新選擇傳輸路徑，但是專線網(wǎng)絡(luò)中如果出現(xiàn)此類問題，就會(huì)導(dǎo)致整個(gè)用戶網(wǎng)絡(luò)面臨癱瘓[2]。在改變網(wǎng)絡(luò)結(jié)構(gòu)、構(gòu)架時(shí)，虛擬專用網(wǎng)絡(luò)VPN技術(shù)要比傳統(tǒng)專線網(wǎng)絡(luò)更加方便、快捷。

2 電子政務(wù)辦公系統(tǒng)的設(shè)計(jì)過程

電子政務(wù)主要是指利用計(jì)算機(jī)、互聯(lián)網(wǎng)等現(xiàn)代通信方式，突破了時(shí)間和空間上的限制，構(gòu)建出一個(gè)高效、精簡(jiǎn)的政務(wù)運(yùn)作模式，從而實(shí)現(xiàn)政府組織和工作流程的智能化和信息化。電子政務(wù)的設(shè)計(jì)與實(shí)現(xiàn)必須借助現(xiàn)代化的電子信息軟硬件系統(tǒng)，通過互聯(lián)網(wǎng)這個(gè)開放平臺(tái)進(jìn)行信息的傳輸與管理?？梢哉f電子政務(wù)是信息技術(shù)與管理的有機(jī)結(jié)合，同時(shí)也是現(xiàn)代信息化的重要領(lǐng)域之一。以下就對(duì)基于VPN的電子政務(wù)辦公系統(tǒng)的設(shè)計(jì)進(jìn)行詳細(xì)分析：

2.1 總體構(gòu)架設(shè)計(jì)

采用虛擬專用網(wǎng)絡(luò)VPN技術(shù)，通過一臺(tái)VPN服務(wù)器就可以與整個(gè)企業(yè)網(wǎng)絡(luò)連接，同時(shí)還可以有效地確保數(shù)據(jù)信息的安全性和有效性。政府管理人員通過VPN服務(wù)器，確定具有訪問權(quán)限的用戶才能登錄系統(tǒng)訪問。此外，通過VPN技術(shù)還可以對(duì)數(shù)據(jù)信息進(jìn)行加密，可以避免不具有訪問權(quán)限的用戶登錄政府部門所在內(nèi)部局域網(wǎng)絡(luò)，增加了數(shù)據(jù)信息在互聯(lián)網(wǎng)平臺(tái)上的安全性。現(xiàn)階段，在電子政務(wù)辦公系統(tǒng)中使用最常使用的是MPLS VPN技術(shù)，該項(xiàng)技術(shù)是基于MPLS的IP VPN。多協(xié)議標(biāo)簽交換MPLS是一種用于快速數(shù)據(jù)包交換和路由的體系結(jié)構(gòu)，MPLS在網(wǎng)絡(luò)數(shù)據(jù)交換中主要提供目標(biāo)、路由以及轉(zhuǎn)發(fā)等能力。此外，還可以通過MPLS管理各種形式通信流的機(jī)制。

MPLS VPN體系結(jié)構(gòu)主要是通過LSP將私有網(wǎng)絡(luò)的不同分支連接在一起形成統(tǒng)一的網(wǎng)絡(luò)系統(tǒng)。該體系主要包含三種類型的路由器，即CE（Customer Edge）、PE（Provider Edge）和P（Provider）。其中CE是用戶邊緣設(shè)備，既可以是路由器，也可以是交換機(jī)或者主機(jī)；PE是位于骨干網(wǎng)絡(luò)的服務(wù)商邊緣路由器；P是服務(wù)提供商網(wǎng)絡(luò)中心的骨干路由器，該設(shè)備主需要具備基本的MPLS轉(zhuǎn)發(fā)能力，不需要維護(hù)VPN信息[3]。

2.2 VPN系統(tǒng)設(shè)計(jì)

在基于VPN的電子政務(wù)辦公系統(tǒng)中，政府單位的每一臺(tái)CE設(shè)備都是通過以太網(wǎng)與PE設(shè)備連接的，整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)可以分為用戶接入層和核心路由層兩個(gè)部分。用戶接入層主要是指用戶通過互聯(lián)網(wǎng)的訪問站點(diǎn)，經(jīng)過路由器、防火墻最終進(jìn)入核心路由層。用戶層為整個(gè)系統(tǒng)提供基本網(wǎng)絡(luò)安全保障措施，主要對(duì)核心路由層進(jìn)行保護(hù)[4]。核心服務(wù)層則是整個(gè)電子政務(wù)辦公系統(tǒng)的樞紐，需要選用防御性較強(qiáng)的網(wǎng)關(guān)、放置在中心機(jī)房。它不僅承擔(dān)了整個(gè)網(wǎng)絡(luò)通信的全部業(yè)務(wù)，而且還負(fù)責(zé)網(wǎng)絡(luò)維護(hù)、設(shè)備的配置與管理。

2.3 硬件設(shè)計(jì)

基于VPN的電子政務(wù)辦公系統(tǒng)采用的是全新的IXP?425NP網(wǎng)絡(luò)處理器。該處理器具有體積小、靈敏度高等優(yōu)勢(shì)；使用IP Sec協(xié)議處理芯片SSX31，設(shè)計(jì)基于IXP?425的核心板，可以對(duì)其進(jìn)行擴(kuò)展來滿足更深廣泛的應(yīng)用?；赩PN的電子政務(wù)辦公系統(tǒng)設(shè)計(jì)結(jié)構(gòu)如圖1所示。

圖1 基于VPN的電子政務(wù)辦公系統(tǒng)結(jié)構(gòu)圖

2.4 軟件設(shè)計(jì)

在電子政務(wù)辦公系統(tǒng)中，VPN是一個(gè)功能強(qiáng)大的網(wǎng)絡(luò)安全設(shè)備，涉及到多項(xiàng)網(wǎng)絡(luò)和安全技術(shù)，本文著重分析數(shù)據(jù)包加密和密鑰的安全管理。在系統(tǒng)中VPN網(wǎng)絡(luò)數(shù)據(jù)包加密和認(rèn)證的功能主要分為IP分組提供機(jī)密信息、數(shù)據(jù)源的驗(yàn)證、抗重播以及數(shù)據(jù)完整性驗(yàn)證等功能。這些功能的實(shí)現(xiàn)主要取決于網(wǎng)絡(luò)基本安全協(xié)議、密鑰交換協(xié)議（IKE）、安全聯(lián)盟數(shù)據(jù)庫聯(lián)盟（SA）以及策略數(shù)據(jù)庫這四大軟件模塊。其中密鑰交換協(xié)議（IKE）用于交換和管理VPN中使用的加密密鑰，它不僅可以為IP Sec協(xié)商安全關(guān)聯(lián)，而且還可以為SNM Pv3，RI Pv2以及OSP Fv2等任何要求保密的協(xié)議協(xié)商安全參數(shù)，有效地解決了互聯(lián)網(wǎng)環(huán)境中安全建立或者更新共享密鑰的問題；安全聯(lián)盟數(shù)據(jù)庫聯(lián)盟（SA）則是一個(gè)綜合性的網(wǎng)址安全服務(wù)平臺(tái)，通過安全聯(lián)盟可以方便的查詢到要訪問的網(wǎng)址是否存在惡意行為[5]。數(shù)據(jù)包封裝處理流程如圖2所示。

圖2 數(shù)據(jù)包封裝處理流程圖

從圖中可以看出，在對(duì)數(shù)據(jù)包封裝的過程中，每一個(gè)IP分組信息，都需要通過網(wǎng)絡(luò)基本安全協(xié)議模塊的檢測(cè)，檢測(cè)內(nèi)容包括繞過安全服務(wù)、應(yīng)用安全服務(wù)和丟棄。如果一些特定的數(shù)據(jù)包需要進(jìn)行安全處理，此時(shí)安全協(xié)議模塊可以根據(jù)密鑰交換協(xié)議模塊進(jìn)行身份驗(yàn)證以及密鑰交換，然后建立安全隧道，并用安全聯(lián)盟數(shù)據(jù)庫進(jìn)行標(biāo)識(shí)。安全聯(lián)盟數(shù)據(jù)庫模塊的主要作用是決定IP分組安全的協(xié)議、密碼方案以及密鑰的有效期等。

2.5 系統(tǒng)性能測(cè)試

通過思博倫通信推出的Avalanche測(cè)試平臺(tái)對(duì)基于VPN技術(shù)電子政務(wù)辦公系統(tǒng)的性能進(jìn)行測(cè)試，測(cè)試結(jié)果如表1所示。

表1 基于VPN技術(shù)電子政務(wù)辦公系統(tǒng)性能測(cè)試表

從測(cè)試結(jié)果中可以看出，當(dāng)報(bào)文容量為64 B時(shí)，IP Sec的延時(shí)時(shí)間為18.320 s。當(dāng)報(bào)文容量增加為1 536 B時(shí)，IP Sec的延時(shí)時(shí)間也隨之增加為76.860 s。由此可見，當(dāng)報(bào)文非常小時(shí)，IP Sec對(duì)系統(tǒng)的延時(shí)性可以忽略不計(jì)，一旦數(shù)據(jù)包增加，盡管硬件加密的速度很快，系統(tǒng)的延時(shí)性還是相當(dāng)嚴(yán)重，但是對(duì)現(xiàn)有的軟件產(chǎn)品[6]，這種影響還是在可以接受的范圍內(nèi)。由此可以得出結(jié)論，本文所提到的基于VPN技術(shù)電子政務(wù)辦公系統(tǒng)的設(shè)計(jì)方案通過測(cè)試，基本實(shí)現(xiàn)了預(yù)期的安全網(wǎng)關(guān)功能。

3 結(jié) 語

綜上所述，在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，政務(wù)辦公的自動(dòng)化和數(shù)字化已經(jīng)成為大勢(shì)所趨。為了確保電子政務(wù)辦公系統(tǒng)的安全性和高效性，本文提出了基于VPN技術(shù)的電子政務(wù)辦公系統(tǒng)設(shè)計(jì)與研發(fā)。通過虛擬專用網(wǎng)絡(luò)VPN技術(shù)不僅能夠確保數(shù)據(jù)信息在互聯(lián)網(wǎng)中的安全傳輸，而且還可以有效地降低網(wǎng)絡(luò)建設(shè)的投資成本。由此可見，對(duì)基于VPN的電子政務(wù)辦公系統(tǒng)的研究是我國(guó)未來電子政務(wù)發(fā)展的主要方向。

參考文獻(xiàn)

[1] 劉碩.基于VPN技術(shù)的網(wǎng)絡(luò)管理系統(tǒng)的研究[D].北京：華北電力大學(xué)，2011.

[2] 張軍力.基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)初探[J].河北省科學(xué)院學(xué)報(bào)，2010（3）：54?59.

[3] 王剛.基于流程再造的政府辦公系統(tǒng)升級(jí)[J].產(chǎn)業(yè)與科技論壇，2011（3）：82?83.

[4] 何偉.面向等級(jí)保護(hù)的VPN技術(shù)研究與設(shè)計(jì)[D].鄭州：解放軍信息工程大學(xué)，2008.

[5] 秦道暉.電子政務(wù)協(xié)同辦公系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2013.

[6] 蔣東毅.VPN關(guān)鍵技術(shù)的分析[J].計(jì)算機(jī)工程與應(yīng)用，2003（3）：173?177.

MPLS VPN體系結(jié)構(gòu)主要是通過LSP將私有網(wǎng)絡(luò)的不同分支連接在一起形成統(tǒng)一的網(wǎng)絡(luò)系統(tǒng)。該體系主要包含三種類型的路由器，即CE（Customer Edge）、PE（Provider Edge）和P（Provider）。其中CE是用戶邊緣設(shè)備，既可以是路由器，也可以是交換機(jī)或者主機(jī)；PE是位于骨干網(wǎng)絡(luò)的服務(wù)商邊緣路由器；P是服務(wù)提供商網(wǎng)絡(luò)中心的骨干路由器，該設(shè)備主需要具備基本的MPLS轉(zhuǎn)發(fā)能力，不需要維護(hù)VPN信息[3]。

2.2 VPN系統(tǒng)設(shè)計(jì)

在基于VPN的電子政務(wù)辦公系統(tǒng)中，政府單位的每一臺(tái)CE設(shè)備都是通過以太網(wǎng)與PE設(shè)備連接的，整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)可以分為用戶接入層和核心路由層兩個(gè)部分。用戶接入層主要是指用戶通過互聯(lián)網(wǎng)的訪問站點(diǎn)，經(jīng)過路由器、防火墻最終進(jìn)入核心路由層。用戶層為整個(gè)系統(tǒng)提供基本網(wǎng)絡(luò)安全保障措施，主要對(duì)核心路由層進(jìn)行保護(hù)[4]。核心服務(wù)層則是整個(gè)電子政務(wù)辦公系統(tǒng)的樞紐，需要選用防御性較強(qiáng)的網(wǎng)關(guān)、放置在中心機(jī)房。它不僅承擔(dān)了整個(gè)網(wǎng)絡(luò)通信的全部業(yè)務(wù)，而且還負(fù)責(zé)網(wǎng)絡(luò)維護(hù)、設(shè)備的配置與管理。

2.3 硬件設(shè)計(jì)

基于VPN的電子政務(wù)辦公系統(tǒng)采用的是全新的IXP?425NP網(wǎng)絡(luò)處理器。該處理器具有體積小、靈敏度高等優(yōu)勢(shì)；使用IP Sec協(xié)議處理芯片SSX31，設(shè)計(jì)基于IXP?425的核心板，可以對(duì)其進(jìn)行擴(kuò)展來滿足更深廣泛的應(yīng)用。基于VPN的電子政務(wù)辦公系統(tǒng)設(shè)計(jì)結(jié)構(gòu)如圖1所示。

圖1 基于VPN的電子政務(wù)辦公系統(tǒng)結(jié)構(gòu)圖

2.4 軟件設(shè)計(jì)

在電子政務(wù)辦公系統(tǒng)中，VPN是一個(gè)功能強(qiáng)大的網(wǎng)絡(luò)安全設(shè)備，涉及到多項(xiàng)網(wǎng)絡(luò)和安全技術(shù)，本文著重分析數(shù)據(jù)包加密和密鑰的安全管理。在系統(tǒng)中VPN網(wǎng)絡(luò)數(shù)據(jù)包加密和認(rèn)證的功能主要分為IP分組提供機(jī)密信息、數(shù)據(jù)源的驗(yàn)證、抗重播以及數(shù)據(jù)完整性驗(yàn)證等功能。這些功能的實(shí)現(xiàn)主要取決于網(wǎng)絡(luò)基本安全協(xié)議、密鑰交換協(xié)議（IKE）、安全聯(lián)盟數(shù)據(jù)庫聯(lián)盟（SA）以及策略數(shù)據(jù)庫這四大軟件模塊。其中密鑰交換協(xié)議（IKE）用于交換和管理VPN中使用的加密密鑰，它不僅可以為IP Sec協(xié)商安全關(guān)聯(lián)，而且還可以為SNM Pv3，RI Pv2以及OSP Fv2等任何要求保密的協(xié)議協(xié)商安全參數(shù)，有效地解決了互聯(lián)網(wǎng)環(huán)境中安全建立或者更新共享密鑰的問題；安全聯(lián)盟數(shù)據(jù)庫聯(lián)盟（SA）則是一個(gè)綜合性的網(wǎng)址安全服務(wù)平臺(tái)，通過安全聯(lián)盟可以方便的查詢到要訪問的網(wǎng)址是否存在惡意行為[5]。數(shù)據(jù)包封裝處理流程如圖2所示。

圖2 數(shù)據(jù)包封裝處理流程圖

從圖中可以看出，在對(duì)數(shù)據(jù)包封裝的過程中，每一個(gè)IP分組信息，都需要通過網(wǎng)絡(luò)基本安全協(xié)議模塊的檢測(cè)，檢測(cè)內(nèi)容包括繞過安全服務(wù)、應(yīng)用安全服務(wù)和丟棄。如果一些特定的數(shù)據(jù)包需要進(jìn)行安全處理，此時(shí)安全協(xié)議模塊可以根據(jù)密鑰交換協(xié)議模塊進(jìn)行身份驗(yàn)證以及密鑰交換，然后建立安全隧道，并用安全聯(lián)盟數(shù)據(jù)庫進(jìn)行標(biāo)識(shí)。安全聯(lián)盟數(shù)據(jù)庫模塊的主要作用是決定IP分組安全的協(xié)議、密碼方案以及密鑰的有效期等。

2.5 系統(tǒng)性能測(cè)試

通過思博倫通信推出的Avalanche測(cè)試平臺(tái)對(duì)基于VPN技術(shù)電子政務(wù)辦公系統(tǒng)的性能進(jìn)行測(cè)試，測(cè)試結(jié)果如表1所示。

表1 基于VPN技術(shù)電子政務(wù)辦公系統(tǒng)性能測(cè)試表

從測(cè)試結(jié)果中可以看出，當(dāng)報(bào)文容量為64 B時(shí)，IP Sec的延時(shí)時(shí)間為18.320 s。當(dāng)報(bào)文容量增加為1 536 B時(shí)，IP Sec的延時(shí)時(shí)間也隨之增加為76.860 s。由此可見，當(dāng)報(bào)文非常小時(shí)，IP Sec對(duì)系統(tǒng)的延時(shí)性可以忽略不計(jì)，一旦數(shù)據(jù)包增加，盡管硬件加密的速度很快，系統(tǒng)的延時(shí)性還是相當(dāng)嚴(yán)重，但是對(duì)現(xiàn)有的軟件產(chǎn)品[6]，這種影響還是在可以接受的范圍內(nèi)。由此可以得出結(jié)論，本文所提到的基于VPN技術(shù)電子政務(wù)辦公系統(tǒng)的設(shè)計(jì)方案通過測(cè)試，基本實(shí)現(xiàn)了預(yù)期的安全網(wǎng)關(guān)功能。

3 結(jié) 語

綜上所述，在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，政務(wù)辦公的自動(dòng)化和數(shù)字化已經(jīng)成為大勢(shì)所趨。為了確保電子政務(wù)辦公系統(tǒng)的安全性和高效性，本文提出了基于VPN技術(shù)的電子政務(wù)辦公系統(tǒng)設(shè)計(jì)與研發(fā)。通過虛擬專用網(wǎng)絡(luò)VPN技術(shù)不僅能夠確保數(shù)據(jù)信息在互聯(lián)網(wǎng)中的安全傳輸，而且還可以有效地降低網(wǎng)絡(luò)建設(shè)的投資成本。由此可見，對(duì)基于VPN的電子政務(wù)辦公系統(tǒng)的研究是我國(guó)未來電子政務(wù)發(fā)展的主要方向。

參考文獻(xiàn)

[1] 劉碩.基于VPN技術(shù)的網(wǎng)絡(luò)管理系統(tǒng)的研究[D].北京：華北電力大學(xué)，2011.

[2] 張軍力.基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)初探[J].河北省科學(xué)院學(xué)報(bào)，2010（3）：54?59.

[3] 王剛.基于流程再造的政府辦公系統(tǒng)升級(jí)[J].產(chǎn)業(yè)與科技論壇，2011（3）：82?83.

[4] 何偉.面向等級(jí)保護(hù)的VPN技術(shù)研究與設(shè)計(jì)[D].鄭州：解放軍信息工程大學(xué)，2008.

[5] 秦道暉.電子政務(wù)協(xié)同辦公系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2013.

[6] 蔣東毅.VPN關(guān)鍵技術(shù)的分析[J].計(jì)算機(jī)工程與應(yīng)用，2003（3）：173?177.

MPLS VPN體系結(jié)構(gòu)主要是通過LSP將私有網(wǎng)絡(luò)的不同分支連接在一起形成統(tǒng)一的網(wǎng)絡(luò)系統(tǒng)。該體系主要包含三種類型的路由器，即CE（Customer Edge）、PE（Provider Edge）和P（Provider）。其中CE是用戶邊緣設(shè)備，既可以是路由器，也可以是交換機(jī)或者主機(jī)；PE是位于骨干網(wǎng)絡(luò)的服務(wù)商邊緣路由器；P是服務(wù)提供商網(wǎng)絡(luò)中心的骨干路由器，該設(shè)備主需要具備基本的MPLS轉(zhuǎn)發(fā)能力，不需要維護(hù)VPN信息[3]。

2.2 VPN系統(tǒng)設(shè)計(jì)

在基于VPN的電子政務(wù)辦公系統(tǒng)中，政府單位的每一臺(tái)CE設(shè)備都是通過以太網(wǎng)與PE設(shè)備連接的，整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)可以分為用戶接入層和核心路由層兩個(gè)部分。用戶接入層主要是指用戶通過互聯(lián)網(wǎng)的訪問站點(diǎn)，經(jīng)過路由器、防火墻最終進(jìn)入核心路由層。用戶層為整個(gè)系統(tǒng)提供基本網(wǎng)絡(luò)安全保障措施，主要對(duì)核心路由層進(jìn)行保護(hù)[4]。核心服務(wù)層則是整個(gè)電子政務(wù)辦公系統(tǒng)的樞紐，需要選用防御性較強(qiáng)的網(wǎng)關(guān)、放置在中心機(jī)房。它不僅承擔(dān)了整個(gè)網(wǎng)絡(luò)通信的全部業(yè)務(wù)，而且還負(fù)責(zé)網(wǎng)絡(luò)維護(hù)、設(shè)備的配置與管理。

2.3 硬件設(shè)計(jì)

基于VPN的電子政務(wù)辦公系統(tǒng)采用的是全新的IXP?425NP網(wǎng)絡(luò)處理器。該處理器具有體積小、靈敏度高等優(yōu)勢(shì)；使用IP Sec協(xié)議處理芯片SSX31，設(shè)計(jì)基于IXP?425的核心板，可以對(duì)其進(jìn)行擴(kuò)展來滿足更深廣泛的應(yīng)用?；赩PN的電子政務(wù)辦公系統(tǒng)設(shè)計(jì)結(jié)構(gòu)如圖1所示。

圖1 基于VPN的電子政務(wù)辦公系統(tǒng)結(jié)構(gòu)圖

2.4 軟件設(shè)計(jì)

在電子政務(wù)辦公系統(tǒng)中，VPN是一個(gè)功能強(qiáng)大的網(wǎng)絡(luò)安全設(shè)備，涉及到多項(xiàng)網(wǎng)絡(luò)和安全技術(shù)，本文著重分析數(shù)據(jù)包加密和密鑰的安全管理。在系統(tǒng)中VPN網(wǎng)絡(luò)數(shù)據(jù)包加密和認(rèn)證的功能主要分為IP分組提供機(jī)密信息、數(shù)據(jù)源的驗(yàn)證、抗重播以及數(shù)據(jù)完整性驗(yàn)證等功能。這些功能的實(shí)現(xiàn)主要取決于網(wǎng)絡(luò)基本安全協(xié)議、密鑰交換協(xié)議（IKE）、安全聯(lián)盟數(shù)據(jù)庫聯(lián)盟（SA）以及策略數(shù)據(jù)庫這四大軟件模塊。其中密鑰交換協(xié)議（IKE）用于交換和管理VPN中使用的加密密鑰，它不僅可以為IP Sec協(xié)商安全關(guān)聯(lián)，而且還可以為SNM Pv3，RI Pv2以及OSP Fv2等任何要求保密的協(xié)議協(xié)商安全參數(shù)，有效地解決了互聯(lián)網(wǎng)環(huán)境中安全建立或者更新共享密鑰的問題；安全聯(lián)盟數(shù)據(jù)庫聯(lián)盟（SA）則是一個(gè)綜合性的網(wǎng)址安全服務(wù)平臺(tái)，通過安全聯(lián)盟可以方便的查詢到要訪問的網(wǎng)址是否存在惡意行為[5]。數(shù)據(jù)包封裝處理流程如圖2所示。

圖2 數(shù)據(jù)包封裝處理流程圖

從圖中可以看出，在對(duì)數(shù)據(jù)包封裝的過程中，每一個(gè)IP分組信息，都需要通過網(wǎng)絡(luò)基本安全協(xié)議模塊的檢測(cè)，檢測(cè)內(nèi)容包括繞過安全服務(wù)、應(yīng)用安全服務(wù)和丟棄。如果一些特定的數(shù)據(jù)包需要進(jìn)行安全處理，此時(shí)安全協(xié)議模塊可以根據(jù)密鑰交換協(xié)議模塊進(jìn)行身份驗(yàn)證以及密鑰交換，然后建立安全隧道，并用安全聯(lián)盟數(shù)據(jù)庫進(jìn)行標(biāo)識(shí)。安全聯(lián)盟數(shù)據(jù)庫模塊的主要作用是決定IP分組安全的協(xié)議、密碼方案以及密鑰的有效期等。

2.5 系統(tǒng)性能測(cè)試

通過思博倫通信推出的Avalanche測(cè)試平臺(tái)對(duì)基于VPN技術(shù)電子政務(wù)辦公系統(tǒng)的性能進(jìn)行測(cè)試，測(cè)試結(jié)果如表1所示。

表1 基于VPN技術(shù)電子政務(wù)辦公系統(tǒng)性能測(cè)試表

從測(cè)試結(jié)果中可以看出，當(dāng)報(bào)文容量為64 B時(shí)，IP Sec的延時(shí)時(shí)間為18.320 s。當(dāng)報(bào)文容量增加為1 536 B時(shí)，IP Sec的延時(shí)時(shí)間也隨之增加為76.860 s。由此可見，當(dāng)報(bào)文非常小時(shí)，IP Sec對(duì)系統(tǒng)的延時(shí)性可以忽略不計(jì)，一旦數(shù)據(jù)包增加，盡管硬件加密的速度很快，系統(tǒng)的延時(shí)性還是相當(dāng)嚴(yán)重，但是對(duì)現(xiàn)有的軟件產(chǎn)品[6]，這種影響還是在可以接受的范圍內(nèi)。由此可以得出結(jié)論，本文所提到的基于VPN技術(shù)電子政務(wù)辦公系統(tǒng)的設(shè)計(jì)方案通過測(cè)試，基本實(shí)現(xiàn)了預(yù)期的安全網(wǎng)關(guān)功能。

3 結(jié) 語

綜上所述，在互聯(lián)網(wǎng)技術(shù)高速發(fā)展的今天，政務(wù)辦公的自動(dòng)化和數(shù)字化已經(jīng)成為大勢(shì)所趨。為了確保電子政務(wù)辦公系統(tǒng)的安全性和高效性，本文提出了基于VPN技術(shù)的電子政務(wù)辦公系統(tǒng)設(shè)計(jì)與研發(fā)。通過虛擬專用網(wǎng)絡(luò)VPN技術(shù)不僅能夠確保數(shù)據(jù)信息在互聯(lián)網(wǎng)中的安全傳輸，而且還可以有效地降低網(wǎng)絡(luò)建設(shè)的投資成本。由此可見，對(duì)基于VPN的電子政務(wù)辦公系統(tǒng)的研究是我國(guó)未來電子政務(wù)發(fā)展的主要方向。

參考文獻(xiàn)

[1] 劉碩.基于VPN技術(shù)的網(wǎng)絡(luò)管理系統(tǒng)的研究[D].北京：華北電力大學(xué)，2011.

[2] 張軍力.基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)初探[J].河北省科學(xué)院學(xué)報(bào)，2010（3）：54?59.

[3] 王剛.基于流程再造的政府辦公系統(tǒng)升級(jí)[J].產(chǎn)業(yè)與科技論壇，2011（3）：82?83.

[4] 何偉.面向等級(jí)保護(hù)的VPN技術(shù)研究與設(shè)計(jì)[D].鄭州：解放軍信息工程大學(xué)，2008.

[5] 秦道暉.電子政務(wù)協(xié)同辦公系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2013.

[6] 蔣東毅.VPN關(guān)鍵技術(shù)的分析[J].計(jì)算機(jī)工程與應(yīng)用，2003（3）：173?177.