劉晨陽，葉瑞綿，王曉華，曲曉光，司井巍

(武警黑龍江省總隊(duì)醫(yī)院，黑龍江 哈爾濱 150076)

隨著醫(yī)院規(guī)模的逐漸擴(kuò)大和醫(yī)院信息系統(tǒng)(HIS)系統(tǒng)化數(shù)據(jù)庫應(yīng)用模塊的多元化發(fā)展，遠(yuǎn)程用戶、遠(yuǎn)程辦公人員、分支機(jī)構(gòu)、合作伙伴也在不斷增多，關(guān)鍵業(yè)務(wù)的需求增加，出現(xiàn)了一種通過公共網(wǎng)絡(luò)來建立自己的專用網(wǎng)絡(luò)的技術(shù)，這種技術(shù)就是虛擬專網(wǎng)(Virtual private network，VPN)。VPN不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。因特網(wǎng)工程特別工作委員會(IETF)對基于IP的VPN的解釋是:通過專門的隧道加密技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)對點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的專用長途數(shù)據(jù)線路，而是使用因特網(wǎng)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己定制一個(gè)最符合需求的網(wǎng)絡(luò)［1］。

VPN實(shí)現(xiàn)技術(shù)的關(guān)鍵在于隧道的建立，讓加密的數(shù)據(jù)按隧道協(xié)議進(jìn)行封裝、傳送，以保證安全。安全技術(shù)包括加解密技術(shù)(Encryption＆decryption)、密鑰管理技術(shù)(Key management)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。建立隧道主要有客戶啟動(dòng)(Client－initiated)和客戶透明(Client－transparent)兩種方式?；谶@些基礎(chǔ)技術(shù)，以開放系統(tǒng)互聯(lián)(OSI)參考模型為參照標(biāo)準(zhǔn)，不同的VPN技術(shù)分別在不同的OSI協(xié)議層實(shí)現(xiàn)，包括應(yīng)用層P會話層VPN技術(shù)、網(wǎng)絡(luò)層VPN技術(shù)、鏈路層VPN技術(shù)、MPLS VPN技術(shù)等。

1 數(shù)據(jù)庫系統(tǒng)及其網(wǎng)絡(luò)要求

1.1 數(shù)據(jù)庫系統(tǒng)要求:數(shù)據(jù)庫系統(tǒng)一般都具有一套保證自身性能的安全、身份認(rèn)證機(jī)制，通過對數(shù)據(jù)庫系統(tǒng)用戶的權(quán)限和角色的合理分配，能保證各數(shù)據(jù)庫系統(tǒng)的安全。同時(shí)，要實(shí)現(xiàn)整個(gè)分布式系統(tǒng)的安全、可靠地運(yùn)行，對構(gòu)建分布式數(shù)據(jù)庫系統(tǒng)所需的網(wǎng)絡(luò)環(huán)境的可靠性、安全性等方面均需要一定要求，如IP分配、安全策略、QoS等［2］。在基于VPN的分布式數(shù)據(jù)庫系統(tǒng)中，VPN的安全機(jī)制和服務(wù)品質(zhì)保證為整個(gè)系統(tǒng)各方面性能提供了有力的網(wǎng)絡(luò)保障。

1.2 網(wǎng)絡(luò)環(huán)境現(xiàn)狀及VPN部署:在我院現(xiàn)有的網(wǎng)絡(luò)環(huán)境中，內(nèi)部局域網(wǎng)由7條光纖為主干，百兆帶寬到桌面，網(wǎng)絡(luò)狀況較好。VPN部署通過專用光纖接入通信公司的寬帶網(wǎng)絡(luò)，并分配有少量全局IP，網(wǎng)絡(luò)狀態(tài)較好。分部的網(wǎng)絡(luò)環(huán)境差異不大，采用中國聯(lián)通的ADSL上網(wǎng)，數(shù)據(jù)庫服務(wù)器一般部署在內(nèi)網(wǎng)上，并通過靜態(tài)IP分配設(shè)置專用IP地址。

2 VPN系統(tǒng)中的訪問控制

2.1 VPN系統(tǒng)策略庫原則:本文根據(jù)VPN系統(tǒng)的特點(diǎn)將策略庫以子域?yàn)閱挝环指顬楠?dú)立的策略庫，將單一的策略庫分割為多個(gè)策略庫是有條件的，必須符合第3范式［3］。

2.2 VPN系統(tǒng)子域配置:在VPN系統(tǒng)中子域使用SubDomain名來標(biāo)示VPN系統(tǒng)中的安全網(wǎng)關(guān)，SubDomain名稱可以是IP地址或與IP地址一一對應(yīng)的名字空間內(nèi)的值(該值可在CA分發(fā)證書時(shí)得到)，用戶的策略庫以子域?yàn)閱挝贿M(jìn)行分解。不同子域的SubDomain應(yīng)是不同的，而用戶ID則標(biāo)示一個(gè)用戶，在同一子域內(nèi)用戶ID應(yīng)是不同的。在VPN系統(tǒng)中，(SubDomain，user ID)決定了唯一的全局用戶(或角色)，這樣，每個(gè)網(wǎng)關(guān)單獨(dú)維護(hù)一個(gè)本地策略庫，其策略可以單獨(dú)使用，也可組合使用［4］。

3 虛擬專網(wǎng)VPN的性能分析

3.1 安全保障:在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡單、方便、靈活，但同時(shí)其安全問題尤為突出。通過防火墻技術(shù)、路由器配以隧道技術(shù)、加解密協(xié)議、安全密鑰和身份驗(yàn)證技術(shù)可以為分布式數(shù)據(jù)庫系統(tǒng)實(shí)現(xiàn)有效的安全保障，實(shí)現(xiàn)通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性［5］。合理地設(shè)置拔號用戶的權(quán)限和訪問策略，能加強(qiáng)VPN網(wǎng)絡(luò)和數(shù)據(jù)的安全，防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。

3.2 可擴(kuò)充性和靈活性:通過網(wǎng)絡(luò)封裝技術(shù)，虛擬專網(wǎng)VPN能有效地支持分布式數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)流類型。當(dāng)系統(tǒng)需要擴(kuò)大規(guī)模時(shí)，可以方便地增加新的節(jié)點(diǎn)，具有較好的系統(tǒng)擴(kuò)展性和靈活性。

3.3 可管理性:醫(yī)院HIS(Hospital Information System)作為一套完備的分布式數(shù)據(jù)庫系統(tǒng)，必須同時(shí)具備一套完善的VPN管理系統(tǒng)，可以對VPN方便地進(jìn)行管理、維護(hù)。用以減小網(wǎng)絡(luò)風(fēng)險(xiǎn)并且具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等作用。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

4 結(jié)語

根據(jù)不同應(yīng)用環(huán)境求、安全要求、性能要求和成本要求，利用各種不同的VPN技術(shù)和組網(wǎng)方式，可以為分布式數(shù)據(jù)庫系統(tǒng)部署一個(gè)安全、可靠、靈活、經(jīng)濟(jì)、易于擴(kuò)展和管理的網(wǎng)絡(luò)平臺，最大限度地滿足分布式數(shù)據(jù)庫系統(tǒng)各方面的網(wǎng)絡(luò)需求。

［1］李蘭燕，周立，毛雪石.VPN技術(shù)及其在數(shù)字圖書館的應(yīng)用［J］.中華醫(yī)學(xué)圖書情報(bào)雜志，2007，5(16):65 －67.

［2］王時(shí)繪，董元和.基于VPN環(huán)境的企業(yè)數(shù)據(jù)庫復(fù)制的安全策略［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007，2:48 －49.

［3］謝方軍，戴宗坤，張紅，等.VPN中的分布式訪問控制［J］.小型微型計(jì)算機(jī)系統(tǒng)，2004，7(25):1250 －1252.

［4］彭育輝，高誠輝.VPN技術(shù)在汽車客運(yùn)管理信息系統(tǒng)中的應(yīng)用［J］.交通與計(jì)算機(jī)，2005，4(23):78 －80.

［5］董元和，王時(shí)繪.基于分布式數(shù)據(jù)庫系統(tǒng)的VPN環(huán)境的部署［J］.湖北師范學(xué)院學(xué)報(bào)，2006，4(26):86 －87.