孫 志 張 明 張欲曉

（中國人民解放軍海軍航空工程學院青島校區(qū) 山東 青島 266041）

0 引言

隨著教育體制改革的不斷深入，很多院校都在進行著一校多區(qū)的辦學實踐，以解決教學資源不足等問題，但同時也給教學管理工作和信息資源共享帶來了諸多不便。多校區(qū)的園區(qū)網絡建設不僅要在速度、容量上滿足長時間、多人數上網的需求，使長距離的主分校區(qū)實現一致的網絡體驗，還要實現教育教學資源的集中存儲和共享。更重要的是，需要將原本松散的網絡從規(guī)格標準、管理軟件等方面進行整合，形成統(tǒng)一管理的網絡整體。尤其在軍隊院校異地多校區(qū)辦學模式下，園區(qū)網絡通常屬于涉密內網，網絡融合過程中的信息安全保密更是需要重點考慮的一個首要問題。為使各分校區(qū)能訪問主校區(qū)資源，同時保證連接和訪問的安全，有必要建立一套安全的異地網絡融合方案。通過PKI（Public Key Infrastructure，公鑰基礎設施）和VPN（Virtual Private Network，虛擬專用網絡）技術來實現異地網絡融合，不失為一個行之有效的實現途徑。

1 相關技術研究

1.1 VPN 技術

VPN是一種基于交換技術的高速主干鏈路，以公共開放的網絡作為基本傳輸媒介，將處于不同位置的物理局域網邏輯地連接在一起。通過VPN技術可以使多校區(qū)臨時從公用網中獲得一部分資源供自己專用，連到公網所能達到的任何地點，降低網絡的使用成本。所以虛擬專用網雖然不是真正的專用網絡，但卻能夠實現專用網絡的功能。

VPN的關鍵技術涉及到隧道技術、加/解密技術、密鑰管理技術和身份驗證技術等。其中，隧道技術是VPN的核心技術。所謂隧道技術就是將分組進行封裝的技術，利用一種協議來傳輸另一種協議。它負責將待傳輸的原始信息經過加密、協議封裝和壓縮處理后，再嵌套裝入另一種協議的數據包送入網絡中，像普通數據包一樣進行傳送。只有該虛擬專用網絡授權的用戶才能對隧道中的數據包進行解釋和處理，其他無授權用戶則無法處理這些信息，從而保證VPN遠程用戶或主機和專用網絡的安全連接。隧道由一系列的協議組成，基于不同的隧道協議所實現的VPN是不同的。典型的隧道協議主要包括PPTP、L2F、L2TP、MPLS、IPSec、GRE 等協議。 其中，L2TP、IPSec 和 MPLS 是VPN的主流隧道協議[1]。通過隧道協議，VPN技術以較低成本搭建一條安全通道，隔離沒有授權進入的用戶，確保數據傳輸過程中的完整性、真實性、機密性。

但是在傳統(tǒng)的VPN系統(tǒng)中，設備身份通常是由其IP地址來標識的。這在涉密內網中就會存在一定的安全隱患，假如黑客盜用了通信雙方任何一端的身份，不管其他安全設施有多嚴密，將導致整個VPN的安全性失效[2]。將PKI技術引進VPN，可以加強網絡訪問的安全性，保證網絡的可擴展性和內網互聯最大限度的安全。

1.2 PKI

PKI利用公鑰加密技術，為網絡信息的傳輸提供的一套安全基礎平臺，是目前應用最為廣泛的一種加密體制。這種技術可以很好地保證信息的機密，同時還保證了信息具有不可抵賴性。PKI技術采用證書進行公鑰管理，通過認證中心CA把用戶的公鑰和其他的標識信息捆綁在一起，如用戶名和電子郵件地址等，以便在網絡上進行用戶的身份驗證。即PKI是人員、硬件、軟件、策略和操作規(guī)程的總和，通過這些完成創(chuàng)建、管理、保存、發(fā)放和廢止證書的功能，其優(yōu)勢在于以下幾個方面[3]：

1.2.1 可以構建一個可管、可控、安全的互聯網絡。使用公用網絡發(fā)送郵件、分發(fā)軟件、發(fā)送敏感或私有數據，進行應用系統(tǒng)訪問。通過認證機制，建立證書服務系統(tǒng)，通過數字證書綁定每個網絡實體的公鑰，使每個網絡實體都可以識別，可以有效地解決在訪問過程中的身份鑒別和實體強鑒。

1.2.2 可以構建一個統(tǒng)一平臺。PKI遵循完整的國際技術標準，通過Java技術提供了可跨平臺移植的應用系統(tǒng)代碼，通過XML技術提供了可跨平臺交換和移植的業(yè)務數據，可以對物理層、網絡層和應用層進行系統(tǒng)的安全結構設計，構建統(tǒng)一的安全域。在這樣的一個平臺上，可以很方便地建立一站式服務的軟件中間平臺，對多種應用系統(tǒng)的整合十分有利，從而大大地提高平臺的普適性、安全性和可移植性。

1.2.3 可以構建一個完整的授權服務體系。在需要公開時，相關人員都能用公鑰去驗證某個文件或某項批示是否出自某位領導之手，保證授權的真實可靠，確切無誤。在需要保密時，可以利用私鑰的惟一性，保證有權限的人才能看到某個文件、某項批示甚至做某件事。

所以，PKI主要是通過自動管理密鑰和證書，為用戶建立一個安全的網絡運行環(huán)境，使用戶可以在多種應用環(huán)境下方便的使用加密技術和數字簽名技術，從而保證網上數據的完整性、保密性和有效性。

1.3 基于PKI技術的 VPN

在使用基于IPSec的VPN技術時，想要使PKI和IPSec結合，就要在DOI中定義必須的PKI屬性，通過密鑰交換，實現PKI與IPSec的結合。其具體過程為[4]：首先將PKI的認證、機密性和完整性協議定義為PKI專用數據，并把它們置于DOI字段中，同時加載證書字段，生成帶PKI性能的IKE載荷；通過IKE進行野蠻模式或者主模式交換，互換證書，建立IKESA；雙方用公鑰檢查CA和證書中的身份信息在證書上的數字簽名；用公開密鑰加密算法驗證機密性，用數字簽名算法驗證完整性；協商一致后，生成具體的SA。IPSec與PKI結合后，在密鑰交換過程中，通過交換證書的方式交換了公鑰和身份信息，驗證數字簽名、機密性和完整性，從而充分的保證了信息來源的可信度、完整性等，同時，IPSec配置文件中實現與多數用戶的通信，只需少數的CA證書即可。

在解決以上技術后，通信雙方按以下步驟來進行安全通信：身份數字證書由CA向VPN的通信雙方簽發(fā)，并將被存放到LDAP目錄服務器供相關的應用來訪問；屬性證書由RA、CA向VPN的通信雙方簽發(fā)，它們規(guī)定了雙方的訪問權限，也被存放到LDAP目錄服務器供相關的應用來訪問；通信雙方交換身份數字證書，并驗證對方的身份，檢查證書不在CRL名單之列；訪問LDAP目錄服務器得到通信雙方的屬性證書，由RA和CA檢驗屬性證書是否允許雙方建立連接；若身份數字證書和屬性證書全都通過驗證，則通信雙方建立安全隧道連接；通信雙方第一次連接時，分別產生相應的SA，并由IKE交換密鑰；VPN網關依據發(fā)送方應用程序傳來的IP包查詢SPD數據庫，然后決定對該IP包采取什么策略，如果該策略說明該IP包需要進行安全保護，則利用SA中指定的算法，IP包中的數據在ESP中加密，隨后產生相應的AH。數據包加密后，經由安全隧道發(fā)送給對方，接收方的VPN網關根據IP頭中的AH和ESP部分提取出安全參數指數SPI、IP目的地址和安全協議標識符SPID元組查詢SADB，并得到SA，若正確返回SA，則檢查AH，這樣可以驗證數據源和數據完整性，進行ESP解密，查詢SD（根據所得數據的IP地址來實現），若符合處理策略，取出原始數據傳給接受方應用程序[5]。

圖1 多校區(qū)網絡融合拓撲結構圖

2 校園VPN應用方案

下面以某軍事院校的園區(qū)網為例，說明上述PKI和VPN技術在多校區(qū)互聯中的應用。

2.1 現狀分析

該軍事院校由總校區(qū)和兩個分校區(qū)組成，相距數百公里，三個校區(qū)都各自建有單獨的涉密園區(qū)網。三個校區(qū)中均建有部分電子圖書資源和教學管理應用系統(tǒng)。為滿足跨校區(qū)教學、管理和科研對網絡信息資源共享的需求，在確保信息安全保密的前提下，應盡可能在最大的、合理的范圍內對資源進行有效的利用整合。經過對各方面因素的綜合比較，確定采用基于IPSec的VPN技術和PKI機制來實現新、老校區(qū)在局域網上的互聯互通，實現各類公共資源的有效利用與共享，這是一條經濟、安全、快捷簡便的跨地域網絡融合的途徑。

2.2 實現方案

在三個校區(qū)通過防火墻構建VPN，通過軍事專用廣域網將三個園區(qū)網聯通，實現各校區(qū)的資源共享、信息交流和數據傳送。為確保網絡信息的安全性，在校本部園區(qū)網內設置基于PKI的雙向的強鑒別身份認證系統(tǒng)，完成身份認證、密鑰信息交換、屬性認證等工作，如圖1所示。

在三個校區(qū)的VPN設備中配置路由，策略上允許三地間的所有用戶互訪，就象在一個網絡內一樣?？紤]到將來網絡的穩(wěn)定性、可管理性以及實現的便利性等因素，在三個校區(qū)園區(qū)網出口分別安裝一臺防火墻實現基于策略的IPSec VPN互連，這樣三校區(qū)的師生員工就可以方便地訪問到其他內網中的各種網上教學和科研資源。

系統(tǒng)安裝配置后，滿足了三個校區(qū)的辦公和教學管理系統(tǒng)的運行需求，也能夠進行內部資源共享。該方案的設計與實施成本較為低廉，原先的投資得到了極大的保護利用，而且各內網網絡拓撲結構也不需要進行大的改動。

3 結語

基于PKI體系的VPN技術能夠提供遠程訪問，建立多個網絡間的可信安全連接，實現異地多校區(qū)間的資源共享，同時可以節(jié)約實現成本，降低運維費用，提高服務質量，因此非常適合用于多校區(qū)之間的網絡融合。隨著VPN和PKI技術的發(fā)展，將更加發(fā)揮其技術優(yōu)勢，為用戶提供性能更高、功能更強的解決方案。

［1］何寶宏,田輝.IP虛擬專用網技術[M].北京:人民郵電出版社,2008:1-8.

［2］吳志華.基于IPSec的電子政務MPLS VPN實現[J].信息安全與通信保密,2011(11):57-59.

［3］張梅,張紅旗,杜學繪.基于PKI的SSL協議的描述及安全性分析[J].微計算機信息,2006(12):51-53.

［4］錢愛增.PKI與VPN技術在校園網內部資源安全問題中的應用研究[J].中國教育信息,2008(9):77-80.

［5］羅智勇,喬佩利.一種安全VPN網絡的設計與實現[J].佳木斯大學報:自然科學版,2010(1):14-16.