摘 要：本文從我軍用信息系統(tǒng)的安全需求作為出發(fā)點，結(jié)合VPN技術(shù)原理，提出了基于VPN技術(shù)的軍用信息網(wǎng)絡(luò)系統(tǒng)的設(shè)計思路。

關(guān)鍵詞：VPN；IPSec；軍用信息系統(tǒng)

中圖分類號：TP393.08

為保證軍用信息的安全可靠，最簡單的方法就是租用專線、自購設(shè)備、投入大量資金及人員構(gòu)建專用網(wǎng)絡(luò)（PN，Private Network）。但網(wǎng)絡(luò)的重復(fù)建設(shè)，不但浪費了人力、物力還有很多缺陷，比如網(wǎng)絡(luò)的擴展能力差等。而采用VPN技術(shù)組建的軍用信息系統(tǒng)，可以利用目前成熟的公共網(wǎng)絡(luò)資源來構(gòu)建專用網(wǎng)絡(luò)，通過特殊設(shè)計的硬件或軟件直接在共享網(wǎng)絡(luò)中通過隧道、加密技術(shù)來保證軍用數(shù)據(jù)的安全可靠的傳輸。

1 VPN的連接

VPN的連接可歸結(jié)為兩類：撥號VPN（即VDPN）和專線VPN。完整的VPN解決方案通常是把撥號VPN和專線VPN組合在一起來滿足所有用戶的使用需求。VDPN為流動工作人員和遠程用戶提供了對軍用內(nèi)部網(wǎng)的遠程訪問。這是最常見的一種VPN部署形式，主要是基于L2F協(xié)議。VDPN允許多個不同領(lǐng)域的用戶都能通過公共網(wǎng)絡(luò)或者Internet或其他公用網(wǎng)絡(luò)獲得安全的通路到軍用內(nèi)部網(wǎng)絡(luò)。專線VPN以多個用戶和比撥號VPN高速的連接為特點。目前，有許多類型的專線VPN業(yè)務(wù)，最常見的是在IP網(wǎng)上建立的IP VPN業(yè)務(wù)。專線VPN提供了部隊總部與各地域分部以及Extranet用戶的虛擬點對點連接。

2 基于VPN技術(shù)的軍用信息網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)及原理

在VPN網(wǎng)絡(luò)中，PPP（點對點協(xié)議）數(shù)據(jù)包流是由一個LAN上的路由器發(fā)出，通過共享公共網(wǎng)絡(luò)上的隧道進行傳輸，再到達另一個LAN上的路由器。隧道好比是在WAN中拉出一根串行通信電纜，代替了實在的專用線路。這樣，軍隊總部用戶通過登錄公共網(wǎng)絡(luò)，局域網(wǎng)中多臺計算機通過VPN路由器與各地域分部局域網(wǎng)及各個科研院所、軍事機構(gòu)、相關(guān)地方合作單位實現(xiàn)數(shù)據(jù)互通。

圖1 基于Internet的VPN

假設(shè)北京節(jié)點的某終端要訪問廣州節(jié)點的某臺計算機。如圖1所示，北京節(jié)點的VPN網(wǎng)關(guān)在接收到其網(wǎng)絡(luò)終端發(fā)出的訪問數(shù)據(jù)包時對其目標(biāo)地址進行檢查，當(dāng)發(fā)現(xiàn)目標(biāo)地址屬于廣州節(jié)點的地址時，則將該數(shù)據(jù)包進行封裝，封裝的方式根據(jù)所采用的VPN技術(shù)不同而不同，同時VPN網(wǎng)關(guān)會構(gòu)造一個新的數(shù)據(jù)包（VPN數(shù)據(jù)包），并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負(fù)載，VPN數(shù)據(jù)包的目標(biāo)地址為廣州節(jié)點的VPN網(wǎng)關(guān)的外部地址。然后，北京節(jié)點的VPN網(wǎng)關(guān)將VPN數(shù)據(jù)包發(fā)送到Internet上，由于VPN數(shù)據(jù)包的目標(biāo)地址是廣州節(jié)點的VPN網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到廣州節(jié)點的VPN網(wǎng)關(guān)。廣州節(jié)點的VPN網(wǎng)關(guān)對接收到的數(shù)據(jù)包進行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從北京節(jié)點的VPN網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對該數(shù)據(jù)包進行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，在將負(fù)載通VPN技術(shù)反向處理還原成原始的數(shù)據(jù)包。還原后的原始數(shù)據(jù)包發(fā)送至目標(biāo)終端，由于原始數(shù)據(jù)包的目標(biāo)地址是廣州節(jié)點的某終端的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到該終端。在這個終端看來，它收到的數(shù)據(jù)包就從北京節(jié)點的終端直接發(fā)過來的一樣。

基于VPN技術(shù)構(gòu)建的軍用信息系統(tǒng)的特點還在于可以自由組合處于不同局域網(wǎng)的計算機構(gòu)成功能VPN。該功能VPN可以對不同用戶設(shè)定不同的訪問權(quán)限。如圖2所示，北京節(jié)點與廣州節(jié)點的作戰(zhàn)部VLAN，可以通過在分部局域網(wǎng)部署VPN網(wǎng)關(guān)，構(gòu)成一個具有作戰(zhàn)功能的VPN。啟用其防火墻功能，讓整個VPN系統(tǒng)安全、經(jīng)濟地運行，通過在公共網(wǎng)絡(luò)中建立的安全加密隧道，傳輸作戰(zhàn)指揮、實時情報、跟蹤探測等專用數(shù)據(jù)。通過VPN網(wǎng)關(guān)的設(shè)置，還可以實現(xiàn)不同等級的安全訪問權(quán)限。比如對于后勤部的終端不分配訪問作戰(zhàn)部的權(quán)限，這樣，從后勤部發(fā)出的對作戰(zhàn)部訪問的數(shù)據(jù)包將被VPN網(wǎng)關(guān)過濾掉。

圖2 功能VPN概圖

3 VPN的技術(shù)優(yōu)勢

3.1 提升工作效率。通過VPN安全的數(shù)據(jù)通道將加密的技術(shù)數(shù)據(jù)和關(guān)鍵性的應(yīng)用及數(shù)據(jù)進行傳輸，軍隊可以通過公共網(wǎng)絡(luò)實現(xiàn)遠程辦公、視頻會議，也可以和友鄰單位直接進行遠程信息交流；

3.2 降低成本。利用VPN技術(shù)的軍用信息系統(tǒng)，將不必再租用長途專線或者建設(shè)專網(wǎng)，也不必投入大量的網(wǎng)絡(luò)維護人員和設(shè)備投資，并且網(wǎng)絡(luò)連接的費用也十分低廉。利用現(xiàn)有的公用網(wǎng)絡(luò)組建Intranet，要比租用專線或鋪設(shè)專線節(jié)省開支，而且當(dāng)距離越遠時節(jié)省的越多。

3.3 縮短空間距離?；ヂ?lián)網(wǎng)發(fā)展到現(xiàn)在幾乎無處不在，它的接入端隨處可得，我們只要將軍用信息網(wǎng)絡(luò)的各個接入端都接在互聯(lián)網(wǎng)上，然后再實現(xiàn)VPN，就可以將有關(guān)關(guān)鍵性的數(shù)據(jù)進行安全的傳輸。雖然專線傳輸，例如ATM、光纖等等，也都能達到安全的傳輸，但一來費用高昂，二來其接入點找起來是很不方便的。

3.4 強大的可擴展性。網(wǎng)絡(luò)路由設(shè)備配置簡單，無需增加太多的設(shè)備。隨著軍隊信息化建設(shè)的日趨深入，軍用網(wǎng)絡(luò)系統(tǒng)的不斷擴展，VPN就更是不可不用了。如果部隊組建自己的專用網(wǎng)，在擴展網(wǎng)絡(luò)分支時，就必須考慮到網(wǎng)絡(luò)的容量、架設(shè)新鏈路、增加互聯(lián)設(shè)備、升級設(shè)備等；而實現(xiàn)了VPN就方便多了，只需連接到公用網(wǎng)上，對新加入的網(wǎng)絡(luò)終端在邏輯上進行設(shè)置，也不需要考慮公用網(wǎng)的容量問題、設(shè)備問題等。

3.5 節(jié)約投資。使用VPN通過遠程辦公、遠程會議交流、遠程技術(shù)支持，可以節(jié)約大量的時間、辦公費用，以及龐大的出差費。根據(jù)Infonetics Research公司的一個VPN研究報告，將租用線路替換成VPN來連接遠程站點可以節(jié)約20%-40%的開支。還可節(jié)省由于帶寬升級而重新布線所產(chǎn)生的費用。由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)帶寬將會無限增長。采用VPN技術(shù)的軍用信息王如要升級，我們只需考慮軍內(nèi)機器的升級就行，而無需考慮公共網(wǎng)絡(luò)的升級。如果使用專線則不同，由于時代的進步，部隊信息化的深入，線路的帶寬就會成為制約我軍信息化發(fā)展的瓶頸。因此，采用VPN，對于壓縮軍費開支也是一個不錯的選擇。

參考文獻：

[1]Mark S.Merkow.Virtual Private Networks For Dummies.Hungry Minds，2000.Indianapolis.IN.ISBN：0-7645-0590-4.

[2]黃傳河.網(wǎng)絡(luò)安全[M].武漢：武漢大學(xué)出版社，2004.

作者簡介：周海燕（1970-），女，江蘇淮安人，自動化控制工學(xué)學(xué)士學(xué)位，現(xiàn)任信息系工程師，研究方向：控制理論及應(yīng)用、計算機網(wǎng)絡(luò)等。

作者單位：海軍指揮學(xué)院浦口分院，南京 211800