崔鑫拓，夏亮亮，徐博會(huì)

(1.河北工程大學(xué)資源學(xué)院，河北邯鄲056038;2.中國(guó)礦業(yè)大學(xué)(北京)地球科學(xué)與測(cè)繪工程學(xué)院，北京100083)

卡車調(diào)試系統(tǒng)是集計(jì)算機(jī)技術(shù)、無線數(shù)據(jù)通訊技術(shù)、全球衛(wèi)星定位系統(tǒng)技術(shù)等為一體的高新技術(shù)系統(tǒng)，它可以為露天采礦的卡車運(yùn)輸提供自動(dòng)、優(yōu)化的管理[1]。該系統(tǒng)中包含了車載GPS終端設(shè)備、無線通訊塔、移動(dòng)信號(hào)車、服務(wù)器等網(wǎng)絡(luò)設(shè)備，由于條件限制，這些設(shè)備經(jīng)常需要遠(yuǎn)程管理及調(diào)試。本文以“長(zhǎng)山壕露天礦運(yùn)輸車輛安全生產(chǎn)信息采集管理調(diào)度系統(tǒng)”為實(shí)例，利用SSL VPN實(shí)現(xiàn)該項(xiàng)目中的網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程管理，并且滿足移動(dòng)辦公的需求，從而有利的提高了卡車調(diào)試系統(tǒng)中設(shè)備的管理效率，降低了維護(hù)成本。SSL VPN是一種采用SSL協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù)，與傳統(tǒng)的IPSec VPN相比，SSL VPN能夠更簡(jiǎn)單、更安全的實(shí)現(xiàn)信息遠(yuǎn)程連通[2]。由于大部分瀏覽器都內(nèi)嵌了SSL協(xié)議，所以SSL VPN無需任何客戶端，不需要配置，可以直接使用瀏覽器完成SSL的VPN建立[3]，使得SSL VPN的使用變得非常簡(jiǎn)單。同時(shí)，用戶用瀏覽器登錄SSL VPN設(shè)備后，撥通網(wǎng)絡(luò)訪問資源即可獲得一個(gè)虛擬IP，即可以訪問按照安全策略允許訪問的內(nèi)網(wǎng)地址和端口[4]，和IPSec VPN不同的是，這種方式并非工作在網(wǎng)絡(luò)層[5]，所以不會(huì)有接入地點(diǎn)的限制，因此滿足了移動(dòng)辦公的需求。另外，SSL安全通道是在客戶到所訪問的資源之間建立的，確保端到端的真正安全。無論在內(nèi)部網(wǎng)絡(luò)還是在因特網(wǎng)上數(shù)據(jù)都不是透明的?？蛻魧?duì)資源的每一次操作都需要經(jīng)過安全的身份驗(yàn)證和加密[6]，從而保證了傳輸?shù)陌踩浴?/p>

1 組網(wǎng)需求

為了盡量保證安全，保護(hù)系統(tǒng)內(nèi)部的服務(wù)器不受到外部用戶的攻擊，遠(yuǎn)程用戶訪問系統(tǒng)內(nèi)部服務(wù)器時(shí)，首先與SSL VPN網(wǎng)關(guān)建立HTTPS連接，由SSL VPN網(wǎng)關(guān)將訪問請(qǐng)求轉(zhuǎn)發(fā)給系統(tǒng)內(nèi)部的網(wǎng)絡(luò)設(shè)備[7]。本文采用H3C MSR系列路由器做為SSL VPN 網(wǎng)關(guān)，IP 設(shè)置為192.168.2.1;為SSL VPN網(wǎng)關(guān)和遠(yuǎn)程接入用戶頒發(fā)證書的CA(Certificate Authority，認(rèn)證機(jī)構(gòu))地址為192.168.2.2，CA建立在內(nèi)部服務(wù)器上。

2 配置SSL VPN

本文采用H3C MSR系列路由器作為SSL VPN網(wǎng)關(guān)，具體配置包括如下幾方面內(nèi)容:

1)指定SSL VPN服務(wù)使用的SSL服務(wù)器端策略:管理員和用戶對(duì)SSL VPN網(wǎng)關(guān)和內(nèi)網(wǎng)資源進(jìn)行管理和訪問時(shí)，都需要首先通過HTTPS登錄SSL VPN網(wǎng)關(guān)的Web頁面。因此，SSL VPN網(wǎng)關(guān)上需要指定使用的SSL服務(wù)器端策略，以便確定SSL VPN服務(wù)使用的SSL參數(shù)。

2)指定 SSL VPN服務(wù)使用的TCP端口號(hào):SSL VPN網(wǎng)關(guān)作為HTTPS服務(wù)器為管理員和用戶提供Web登錄頁面，可以根據(jù)需要指定HTTPS服務(wù)的TCP端口號(hào)。

3)開啟SSL VPN服務(wù):只有開啟SSL VPN服務(wù)后，管理員和用戶才能通過Web頁面訪問SSL VPN網(wǎng)關(guān)。

4)通過Web頁面對(duì)SSL VPN進(jìn)行配置。包括建立域、創(chuàng)建管理員、用戶及資源等，同時(shí)分配資源及用戶權(quán)限。

在配置SSL服務(wù)器端策略時(shí)，需要指定其使用的PKI域，以便通過該P(yáng)KI域獲取服務(wù)器端的證書。因此，在進(jìn)行SSL服務(wù)器端策略配置之前，需要先配置證書服務(wù)器。本文采用微軟的SCEP來為PKI域提供數(shù)字證書，建立在一臺(tái)內(nèi)部的服務(wù)器上。

在配置好證書服務(wù)器以后，開始對(duì)路由器進(jìn)行SSL VPN的相關(guān)配置。具體配置于命令行完成。

#配置PKI實(shí)體。

＜Device＞ system－view

[Device]pki entity en

[Device－pki－entity－en]common－name http－server

[Device－pki－entity－en]quit

#配置PKI域。

[Device]pki domain sslvpn

[Device－pki－domain－sslvpn]ca identifier ca server

[Device－pki－domain－sslvpn]certificate request url http://192.168.2.2/certsrv/mscep/mscep.dll

[Device－pki－domain－sslvpn]certificate request from ra

[Device－pki－domain－sslvpn]certificate request entity en

[Device－pki－domain－sslvpn]quit

#生成本地的RSA密鑰對(duì)。

[Device]public－key local create rsa

#獲取CA的證書。

[Device]pki retrieval－certificate ca domain sslvpn

#為Device申請(qǐng)證書。

[Device]pki request－certificate domain sslvpn

注:因?yàn)樽C書是有時(shí)效的，所以在獲取CA證書前應(yīng)該使路由器與CA服務(wù)器的時(shí)間同步，否則申請(qǐng)不成功。

#配置SSL服務(wù)器端策略。

[Device]ssl server－policy myssl

[Device－ssl－server－policy－myssl]pkidomain sslvpn

[Device－ssl－server－policy－myssl]quit

#指定SSL VPN服務(wù)使用的SSL服務(wù)器端策略為myssl，端口號(hào)為缺省端口號(hào)443。

[Device]ssl－vpn server－policy myssl

#開啟SSL VPN服務(wù)。

[Device]ssl－vpn enable

在配置完成之后，可以對(duì)配置結(jié)果進(jìn)行驗(yàn)證。遠(yuǎn)程接入用戶在終端主機(jī)Host上打開IE瀏覽器，輸入網(wǎng)址 https://192.168.2.1/svpn/cn/index.htm，如果可以登錄SSL VPN網(wǎng)關(guān)Device的登錄頁面，則SSL VPN成功完成配置。

3 SSL VPN業(yè)務(wù)資源配置及使用

MSR系列路由器對(duì)SSL VPN的業(yè)務(wù)資源支持是很豐富的，包括WEB業(yè)務(wù)、IP業(yè)務(wù)、TCP業(yè)務(wù)等。在完成SSL VPN配置之后，首先要以超級(jí)管理員的身份建立一個(gè)新的域，并設(shè)定域管理員。然后登陸該域，在該域內(nèi)建立用戶，并為各用戶設(shè)置權(quán)限，分配資源。

在本項(xiàng)目中，需要分配的資源包括卡車GPS終端、通訊塔、服務(wù)器、無線信號(hào)車等網(wǎng)絡(luò)設(shè)備。通訊塔和無線信號(hào)車是通過WEB頁面管理的，可以設(shè)置為WEB業(yè)務(wù)資源，其他設(shè)備均可以設(shè)置為IP業(yè)務(wù)資源。

以用戶身份登陸后，使用設(shè)置好的資源即可對(duì)相應(yīng)的設(shè)備進(jìn)行遠(yuǎn)程管理和維護(hù)。例如利用遠(yuǎn)程桌面來管理車載終端，先選擇開啟IP業(yè)務(wù)，此時(shí)遠(yuǎn)程計(jì)算機(jī)就擁有了一個(gè)系統(tǒng)內(nèi)部的內(nèi)網(wǎng)IP，相當(dāng)于在內(nèi)網(wǎng)當(dāng)中有一個(gè)遠(yuǎn)程計(jì)算機(jī)的虛擬鏡像，遠(yuǎn)程計(jì)算機(jī)可以像本地計(jì)算機(jī)一樣對(duì)內(nèi)網(wǎng)的設(shè)備進(jìn)行管理。

利用Windows遠(yuǎn)程桌面連接即可利用遠(yuǎn)程桌面管理相應(yīng)的車載終端設(shè)備。

4 結(jié)束語

在卡車調(diào)度系統(tǒng)中，由于交通、天氣等因素的限制，對(duì)設(shè)備的調(diào)試和維護(hù)帶來極大不便。為了方便管理降低維護(hù)成本，通常需要遠(yuǎn)程管理系統(tǒng)中的設(shè)備。本文提出的SSL VPN是一種方便、安全、低成本的遠(yuǎn)程接入技術(shù)，并且能滿足移動(dòng)辦公的需求，使卡車調(diào)度系統(tǒng)中的設(shè)備管理變得非常方便。

[1]李錦祥.GPS技術(shù)在卡車調(diào)試系統(tǒng)中的應(yīng)用[J].中國(guó)無線電管理，2002(2):42－44.

[2]王衛(wèi)華，王長(zhǎng)杰.應(yīng)用原理與安全性分析[J].浪陽職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2007，20(2):13－14.

[3]吳冰.基于SSL協(xié)議的VPN數(shù)字圖書館遠(yuǎn)程訪問方案[D].濟(jì)南:山東大學(xué)，2008.

[4]劉廣義，劇海軍.MPLS關(guān)鍵技術(shù)研究[J].計(jì)算機(jī)工程與應(yīng)用，2010(4):27－31.

[5]陳軍華，王忠民.BGP/MPLS VPN實(shí)現(xiàn)原理[J].計(jì)算機(jī)應(yīng)用，2009(23):18－22.

[6]思科系統(tǒng)(中國(guó))網(wǎng)絡(luò)技術(shù)有限公司.下一代網(wǎng)絡(luò)安全[M].北京:北京郵電大學(xué)出版社，2006.

[7]代向東，陳性元，杜學(xué)繪.基于PKI的VPN安全管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].微計(jì)算機(jī)息，2006，22(27):94－96.