李 亞，常俊超，趙新強(qiáng)

（河南省水利信息中心，河南 鄭州 450003）

0 引言

第一次全國水利普查是我國建國以來第一次全國范圍的水利基礎(chǔ)性信息的調(diào)查，是一項(xiàng)極為復(fù)雜而浩繁的系統(tǒng)工程，涉及范圍廣，數(shù)據(jù)信息繁多，包括全國江河湖泊、水利工程、經(jīng)濟(jì)社會用水、江河湖泊開發(fā)治理保護(hù)、水土保持、水利行業(yè)能力建設(shè)等基本情況的數(shù)據(jù)信息。

河南省地跨長江、淮河、黃河、海河 4 大流域，水利普查指標(biāo)數(shù)量多、覆蓋范圍廣，全省共有各類水利普查清查對象 1354.11 萬個，占到全國清查對象總量的 13% 以上，是全國水利普查清查對象最多的省份之一。不僅普查數(shù)據(jù)的采集任務(wù)繁重，而且數(shù)據(jù)的安全、及時有效地傳輸更是這次普查的重中之重。

河南省水利系統(tǒng)已經(jīng)建成了以省水利廳機(jī)關(guān)為中心，各地市水利（務(wù)）局、水情分中心、大型水庫、廳屬單位為 2 級節(jié)點(diǎn)，少數(shù)山洪災(zāi)害重點(diǎn)縣為3 級節(jié)點(diǎn)的計(jì)算機(jī)廣域網(wǎng)絡(luò)，實(shí)現(xiàn)了數(shù)據(jù)、語音、視頻的互聯(lián)互通。但大部分縣級水利單位還沒有鏈入水利廣域網(wǎng)中，若將這些單位以租用專線的傳統(tǒng)方式鏈入水利廳廣域網(wǎng)，一是時間不允許，二是費(fèi)用高，不現(xiàn)實(shí)。為了按時保質(zhì)的完成水利普查任務(wù)，基于上述情況，經(jīng)過調(diào)研，決定采用 VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)，解決縣級水利普查各單位通過 Internet 網(wǎng)絡(luò)與省水利普查辦公室數(shù)據(jù)中心安全可信的連接問題，實(shí)現(xiàn)普查數(shù)據(jù)的加密傳輸和數(shù)據(jù)錄入用戶的身份鑒別，為水利普查采集數(shù)據(jù)錄入工作提供可管理、認(rèn)證、安全的遠(yuǎn)程訪問解決方案，保證數(shù)據(jù)的安全傳輸，以順利完成第一次全國水利普查任務(wù)。

1 VPN 的選型

VPN 是從公共網(wǎng)絡(luò)中隔離出來的邏輯上的網(wǎng)絡(luò)，通過建立虛擬專用網(wǎng)隧道的協(xié)議，運(yùn)用隧道封裝、認(rèn)證、加解密、訪問控制等多種網(wǎng)絡(luò)安全技術(shù)，為遠(yuǎn)程和移動辦公人員提供安全的邏輯網(wǎng)絡(luò)互通和資源共享的技術(shù)，實(shí)現(xiàn)低成本、安全的互通。它具有安全、易擴(kuò)展、成本低、效率高、使用方便的特點(diǎn)，是目前最安全的連接遠(yuǎn)程用戶的技術(shù)[1]。

VPN 協(xié)議有許多種，其中性能最佳、最常用的是 IPSec 和 SSL 協(xié)議。IPSec 協(xié)議是網(wǎng)絡(luò)層的安全協(xié)議，傳輸速度快，配置使用簡單，適用于數(shù)據(jù)量大、遠(yuǎn)程用戶多的數(shù)據(jù)傳輸；SSL 協(xié)議是傳輸層的安全協(xié)議，傳輸速度相對慢，適用于出差辦公應(yīng)急之需，而且隨著智能手機(jī)的普及，手機(jī)辦公、遠(yuǎn)程訪問已成大趨勢。因此針對全省水利普查及網(wǎng)絡(luò)情況，選擇的 VPN 設(shè)備應(yīng)同時支持 IPSec 和 SSL。

根據(jù)河南省的情況，對 VPN 的幾種產(chǎn)品從訪問控制、接入認(rèn)證、客戶端軟件、傳輸安全、速度優(yōu)化、穩(wěn)定性、流量控制、日志管理、移動設(shè)備支持等功能方面作了測試和分析，其中 TopVPN 能支持IPSec 和 SSL，產(chǎn)品性價比較高，IPSec 技術(shù)成熟，占資源少，支持多用戶并發(fā)連接，SSL 占資源多，多用戶并發(fā)速度慢，鑒于并發(fā)鏈接數(shù)、速度的考慮，最終選擇 TopVPN。

TopVPN 支持眾多網(wǎng)絡(luò)通信和應(yīng)用協(xié)議，適用網(wǎng)絡(luò)范圍廣，保證用戶的網(wǎng)絡(luò)可用性，集 SSL VPN，IPSec VPN，PPTP VPN，L2TP VPN 于一體，支持多種 VPN 接入模式。IPSec 可以對所有 IP 級的通信進(jìn)行加密和認(rèn)證，使用 IPSec 可以確保包括遠(yuǎn)程登錄、客戶/服務(wù)器、電子郵件、文件傳輸、Web 瀏覽、ERP（企業(yè)資源計(jì)劃）、視頻會議、IP 電話等在內(nèi)的各種應(yīng)用程序的安全，不需要改變現(xiàn)有網(wǎng)絡(luò)及服務(wù)器配置，部署簡便，能滿足水利普查的應(yīng)用需求[2]。

2 VPN 在河南省水利普查中的應(yīng)用

2.1 解決方案

從現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、實(shí)用性考慮，IPSec VPN 采用客戶端對 VPN 網(wǎng)關(guān)方式，SSL VPN 采用全網(wǎng)接入方式，VPN 方案結(jié)構(gòu)圖如圖1 所示。

圖1 河南省水利廳VPN方案結(jié)構(gòu)圖

全省水利普查數(shù)據(jù)系統(tǒng)的工作人員利用現(xiàn)有的網(wǎng)絡(luò)條件，通過 VPN 客戶端，訪問 TopVPN 設(shè)備，經(jīng)過身份認(rèn)證，在 Internet 上建立專用隧道，進(jìn)行數(shù)據(jù)封裝、加密、傳輸，最后通過 TopVPN 設(shè)備轉(zhuǎn)發(fā)到水利廳內(nèi)部局域網(wǎng)的水利普查服務(wù)器上。

客戶端在遠(yuǎn)程訪問省中心 TopVPN 設(shè)備時，建立加密隧道后，服務(wù)器和客戶端可以進(jìn)行雙向互訪。

所有安全網(wǎng)關(guān)設(shè)備、業(yè)務(wù)系統(tǒng)、服務(wù)器部署在水利廳局域網(wǎng)，采用數(shù)據(jù)集中管理方式，客戶端與TopVPN 身份鑒別采用 CA 數(shù)字證書加密認(rèn)證，并在中心設(shè)備實(shí)現(xiàn)集中管理。所有的數(shù)據(jù)都在專用數(shù)據(jù)隧道內(nèi)傳輸，這樣既安全又方便，而且降低建設(shè)成本，容易擴(kuò)展，維護(hù)簡單，管理方便。

2.2 IPSec VPN 工作原理

IPSec 協(xié)議包括網(wǎng)絡(luò)認(rèn)證（AH）、封裝安全載荷（ESP）、密鑰管理（IKE）等協(xié)議和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。通過安全策略數(shù)據(jù)庫（SPD），IKE，AH 和 ESP 相互協(xié)作實(shí)現(xiàn)數(shù)據(jù)的安全通信[3]。

客戶端主機(jī)通過現(xiàn)有網(wǎng)絡(luò)線路向省中心 TopVPN設(shè)備發(fā)送消息，經(jīng)過應(yīng)用層協(xié)議、傳輸層、IP 層處理形成 IP 數(shù)據(jù)包；IPSec 驅(qū)動接受到 IP 包后，檢查SPD 數(shù)據(jù)庫，查看數(shù)據(jù)包是否為合法用戶數(shù)據(jù)，是否需要保護(hù)及需要受何種保護(hù)；如需 IPSec 處理，則通過指針在安全關(guān)聯(lián)數(shù)據(jù)庫 SAD 中找到 SA（安全關(guān)聯(lián)）；如為空，則通知 IKE 進(jìn)程開始與對方進(jìn)行安全協(xié)商，得到 SA，并填充到 SAD 中，與 SPD 數(shù)據(jù)庫關(guān)聯(lián)，以便以后查找；IPSec 驅(qū)動程序使用出站SA 對數(shù)據(jù)包進(jìn)行簽名與加密處理，并將數(shù)據(jù)包遞交給 IP 層處理后由鏈路層發(fā)出。

同樣 TopVPN 設(shè)備收到數(shù)據(jù)包后交給 IPSec驅(qū)動程序；IPSec 驅(qū)動程序取出 SPI（安全參數(shù)索引），目標(biāo) IP 地址，判斷出 IPSec 通信協(xié)議的類型（AH/ESP），進(jìn)一步查找 SAD 數(shù)據(jù)庫，找到相應(yīng)入站 SA，并依據(jù) SA 檢查完整性簽名或?qū)?shù)據(jù)包解密；根據(jù)驗(yàn)證和解密后數(shù)據(jù)報文的內(nèi)部 IP 地址查詢SPD，如果安全服務(wù)與 SPD 相符，將外部 IP 頭連同IPSec 頭一起剝?nèi)?，交與 IP 層處理，最后交與應(yīng)用程序處理。

水利普查用戶基本上是通過 IPSec VPN 方式訪問水利廳內(nèi)部局域網(wǎng)的。

2.3 SSL VPN 工作模式

遠(yuǎn)程用戶與水利廳 TopVPN 網(wǎng)關(guān)建立連接，通過 SSL VPN 隧道與內(nèi)部局域網(wǎng)水利普查服務(wù)器進(jìn)行IP 層的通訊，從而實(shí)現(xiàn)單點(diǎn)接入，全網(wǎng)訪問。

采用全網(wǎng)接入方式，客戶端只需在遠(yuǎn)程瀏覽器里安裝 1 個全網(wǎng)接入插件，該插件負(fù)責(zé)與 SSL VPN網(wǎng)關(guān)建立 SSL 隧道，對服務(wù)器與遠(yuǎn)程網(wǎng)絡(luò)之間傳送的 IP 報文進(jìn)行加密和解密。

全網(wǎng)接入插件運(yùn)行于客戶端的機(jī)器上，在運(yùn)行中會產(chǎn)生虛擬網(wǎng)卡。用戶第 1 次登錄用戶界面后，全網(wǎng)接入組件被自動/手動下載，安裝并駐留到用戶系統(tǒng)中，然后在客戶端主機(jī)上生成 1 個用于 SSL 通信的虛擬網(wǎng)卡，以便與全網(wǎng)接入服務(wù)器端成功建立SSL 連接。SSL VPN 網(wǎng)關(guān)作為全網(wǎng)接入服務(wù)器端，負(fù)責(zé)為客戶端分配地址，并在與客戶端成功建立連接后為其提供全網(wǎng)接入服務(wù)。

客戶端設(shè)備通過 SSL VPN 模式訪問水利廳內(nèi)網(wǎng)資源，有以下 2 種操作方式：1）通過 IE 瀏覽器登錄網(wǎng)關(guān)，然后安裝全網(wǎng)接入客戶端組件；2）通過運(yùn)行全網(wǎng)接入獨(dú)立客戶端安裝程序，在用戶系統(tǒng)中安裝獨(dú)立客戶端，以便使用 SSL VPN 網(wǎng)關(guān)提供的全網(wǎng)接入服務(wù)，訪問可用資源。

2.4 應(yīng)用技術(shù)

在整體的 VPN 應(yīng)用中，主要采用隧道、加解密、身份認(rèn)證和密鑰管理等技術(shù)，保證數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性及身份認(rèn)證的安全性。

1）隧道技術(shù)。隧道可在網(wǎng)絡(luò)的任一層實(shí)現(xiàn)，實(shí)際上是一種封裝，解決專網(wǎng)與公網(wǎng)的兼容性，向用戶提供無縫、安全、端到端的連接服務(wù)，以確保信息資源的安全。

2）加解密、認(rèn)證技術(shù)。這是 VPN 的另一核心技術(shù)，為保證數(shù)據(jù)在傳輸過程中的安全性，不被非法用戶竊取或篡改，采用單鑰的 3DES（三重數(shù)據(jù)加密算法）作為加解密的主要技術(shù)，在傳輸之前進(jìn)行加密，由接受方對其解密。

認(rèn)證技術(shù)用戶采用用戶名/口令、數(shù)字證書、數(shù)字證書 ＋USB Key 等 3 種方式，設(shè)備認(rèn)證采用 CA數(shù)字證書。

3）密鑰管理技術(shù)。采用 IKE 協(xié)議，在開放的網(wǎng)絡(luò)環(huán)境中以公鑰和單鑰的混合加密體制（即數(shù)據(jù)加密和解密采用單鑰密碼，密鑰傳送采用雙鑰密碼）進(jìn)行網(wǎng)絡(luò)上密鑰的交換和管理，密鑰的唯一性確定用戶登陸的唯一性。提高了傳輸速度，具有良好的機(jī)密安全功能。

3 結(jié)語

2011 年 6 月 VPN 技術(shù)應(yīng)用于河南省水利普查，為水利普查數(shù)據(jù)的安全、順利錄入提供了強(qiáng)有力的網(wǎng)絡(luò)傳輸環(huán)境支撐。目前有 1000 余人開有賬戶，最高并發(fā)連接數(shù)達(dá) 600 多個，數(shù)據(jù)傳輸安全順利，客戶端穩(wěn)定，實(shí)現(xiàn)了對遠(yuǎn)程用戶身份、網(wǎng)絡(luò)行為的集中管理。截止 2012 年 2 月 1 日，全省水利普查數(shù)據(jù)錄入量已達(dá)到 4620 萬個，占應(yīng)錄入總數(shù)的 95%，已基本順利完成河南省數(shù)據(jù)錄入傳輸工作。VPN 技術(shù)在河南省水利普查中的應(yīng)用也為 VPN 技術(shù)在河南水利上更廣泛的應(yīng)用打下了良好的基礎(chǔ)。

[1]王祁. 淺談網(wǎng)絡(luò)應(yīng)用之 VPN 技術(shù)[J]. 民營科技，2008 (6): 54.

[2]天融信公司. 天融信 TopVPN 多合一網(wǎng)關(guān)產(chǎn)品說明手冊[M]. 北京：天融信公司，2006: 1-21.

[3]天融信公司. NGFW 管理手冊[M]. 北京：天融信公司，2009: 1-52.