李超凡，劉 偉，吳 響，馬 凱

（徐州醫(yī)科大學(xué) 醫(yī)學(xué)信息與工程學(xué)院，江蘇 徐州 221004）

隨著醫(yī)院醫(yī)療信息業(yè)務(wù)的不斷拓展與醫(yī)療服務(wù)的不斷完善，徐州市某三甲醫(yī)院需要開設(shè)分院，醫(yī)院本院與分院之間存在異地相互物理隔離的網(wǎng)絡(luò)平臺(tái)。一般對(duì)于醫(yī)院網(wǎng)絡(luò)架構(gòu)而言，分為內(nèi)網(wǎng)與外網(wǎng)，內(nèi)網(wǎng)主要承載醫(yī)療過程中產(chǎn)生的病歷資料、醫(yī)學(xué)影像圖像、檢驗(yàn)信息及醫(yī)院內(nèi)部行政辦公信息等；外網(wǎng)主要提供醫(yī)療平臺(tái)的信息公開與連接互聯(lián)網(wǎng)的服務(wù)[1]。

醫(yī)院本院與分院之間需要實(shí)時(shí)更新各類病歷信息等隱私型數(shù)據(jù)，通常由運(yùn)營(yíng)商提供多協(xié)議標(biāo)簽交換虛擬專用網(wǎng)技術(shù)，在醫(yī)院之間建立跨越公網(wǎng)的專用私有網(wǎng)絡(luò)，使得地域性隔離的物理網(wǎng)絡(luò)形成一個(gè)整體的邏輯網(wǎng)絡(luò)，實(shí)現(xiàn)高速安全的跨地域多業(yè)務(wù)通信。與此同時(shí)，醫(yī)院應(yīng)自己建立與管理安全級(jí)別更高的遠(yuǎn)程接入私有信息通道，基于HTTPS 的安全套接字層虛擬專用網(wǎng)無法滿足對(duì)于醫(yī)院間端到端的大流量數(shù)據(jù)通信，因此本文仿真實(shí)驗(yàn)基于MNSS 實(shí)驗(yàn)仿真平臺(tái)，構(gòu)建基于IPSec/IKE 站點(diǎn)至站點(diǎn)間的高性能IPSec VPN 工程案例，實(shí)現(xiàn)醫(yī)院本院與分院端到端的高可用性安全信息通道。

1 相關(guān)技術(shù)

MNSS 虛擬仿真實(shí)驗(yàn)教學(xué)平臺(tái)是由徐州醫(yī)科大學(xué)醫(yī)學(xué)信息與工程學(xué)院網(wǎng)絡(luò)系統(tǒng)實(shí)驗(yàn)室自主研發(fā)，面向醫(yī)工結(jié)合的交叉學(xué)科構(gòu)建新工科的培養(yǎng)新模式。實(shí)驗(yàn)教學(xué)平臺(tái)整合了EVE-NG、GNS3 GUI、Dynamips、Dynagen、QEMU、GNU Health、OpenLIS、OpenSource PACS 等優(yōu)秀開源軟件[2]，擺脫了網(wǎng)絡(luò)架構(gòu)與系統(tǒng)搭建對(duì)硬件的依賴性，致力于仿真各種系統(tǒng)與網(wǎng)絡(luò)設(shè)備的教學(xué)實(shí)驗(yàn)與科研驗(yàn)證。

1.1 GRE 協(xié)議

通用路由封裝（generic routing encapsulation，GRE）協(xié)議定義了對(duì)某些網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報(bào)文進(jìn)行封裝，使用隧道技術(shù)進(jìn)行點(diǎn)對(duì)點(diǎn)的虛擬連接，隧道兩端構(gòu)建數(shù)據(jù)報(bào)文封裝與解封裝過程的信息通道。

1.2 IPSec VTI 技術(shù)

VTI（virtual tunnel interface）技術(shù)是應(yīng)用IPSec特性的內(nèi)置虛擬隧道接口[3]，分為靜態(tài)VTI（SVTI）和動(dòng)態(tài)VTI（DVTI）。SVTI 主要應(yīng)用在建立端到端VPN，較GRE 協(xié)議而言，只支持IP 單播與組播，不需要封裝額外的4 字節(jié)數(shù)據(jù)包頭部，提升加密數(shù)據(jù)的發(fā)送效率。DVTI 主要應(yīng)用在遠(yuǎn)程撥號(hào)VPN，使用靜態(tài)虛擬模板與動(dòng)態(tài)安全策略，基于模板的預(yù)配置自動(dòng)創(chuàng)建虛擬訪問接口與對(duì)等體建立安全關(guān)聯(lián)。

1.3 IPSec 安全框架

IPSec 安全框架是網(wǎng)絡(luò)層使用的一組安全I(xiàn)P 協(xié)議集，提供訪問控制、對(duì)等體身份驗(yàn)證、無連接數(shù)據(jù)包完整性校驗(yàn)、數(shù)據(jù)加密與抗重放的安全通信服務(wù)[4]。IPSec 安全框架主要由認(rèn)證和加密算法、安全協(xié)議、秘鑰交換協(xié)議和安全關(guān)聯(lián)構(gòu)成。

（1）認(rèn)證與加密算法。

秘鑰交換協(xié)議通過交換秘鑰和安全策略在對(duì)等體之間協(xié)商出一致的數(shù)據(jù)加密與身份認(rèn)證算法，從而進(jìn)行數(shù)據(jù)保護(hù)[5]。常見的加密算法包括DES、AES、RSA，散列算法主要有SHA 與MD5，身份驗(yàn)證的主要方式有公鑰證書認(rèn)證與預(yù)共享密鑰。

（2）安全協(xié)議。

IPSec 安全協(xié)議增加IP 拓展頭和字段填充，保證IP 數(shù)據(jù)包的保密性、完整性與可認(rèn)證性[6]，主要包含認(rèn)證頭（authentication header，AH）與封裝安全載荷（encapsulate security payload，ESP）。

（3）秘鑰交換協(xié)議。

秘鑰交換協(xié)議（internet key exchange，IKE）是由安全關(guān)聯(lián)和秘鑰管理協(xié)議（ISAKMP）、密鑰交換模式（OAKLEY）、共享和秘鑰更新技術(shù)（SKEME）組成的混合協(xié)議[7]。

（4）安全關(guān)聯(lián)。

安全關(guān)聯(lián)（security association，SA）是指一組用來保護(hù)信息的策略和秘鑰，協(xié)商實(shí)體間如何使用安全服務(wù)建立通信連接。

2 高性能IPSec VPN 工程設(shè)計(jì)

當(dāng)前，部署高性能IPSec VPN 工程大致分為3 類設(shè)計(jì)方案：設(shè)備備份、鏈路備份與兩者的有機(jī)結(jié)合。仿真實(shí)驗(yàn)先進(jìn)行設(shè)計(jì)方案的功能比較，選擇最符合醫(yī)院網(wǎng)絡(luò)架構(gòu)拓展的設(shè)計(jì)方案，然后進(jìn)行相應(yīng)地址規(guī)劃和邏輯網(wǎng)絡(luò)拓?fù)涞拇罱ㄅc完善，設(shè)立實(shí)驗(yàn)?zāi)康呐c仿真效果。

2.1 三類高性能IPSec VPN 工程設(shè)計(jì)方案分析

鏈路備份與設(shè)備備份的設(shè)計(jì)方案中兩端均采用DPD（dead peer detection）技術(shù)探測(cè)對(duì)等體設(shè)備運(yùn)行狀態(tài)，DPD 類似于動(dòng)態(tài)路由協(xié)議中的Hello 報(bào)文或Keepalive 機(jī)制，在周期性或定時(shí)性的情況下檢測(cè)遠(yuǎn)端對(duì)等體 IPSec 通道的可用性[8]，再配合使用 RRI（reverse route injection）技術(shù)的情況下，動(dòng)態(tài)地向路由表內(nèi)反向注入相應(yīng)的靜態(tài)路由，使得區(qū)域內(nèi)網(wǎng)絡(luò)認(rèn)為注入靜態(tài)路由的設(shè)備是區(qū)域的網(wǎng)絡(luò)出口。RRI 的反向路由注入隨著DPD 探測(cè)對(duì)等體的活躍狀態(tài)，即隨著IPSec SA 的建立情況，動(dòng)態(tài)地切換對(duì)等體設(shè)備并產(chǎn)生或消失靜態(tài)路由注入，這樣就使得IPSec VPN 具備健壯性與高可用性。

2.1.1 鏈路備份

在仿真實(shí)驗(yàn)的實(shí)際背景中，醫(yī)院本部具備大量數(shù)據(jù)存儲(chǔ)服務(wù)器與其他醫(yī)院信息系統(tǒng)的服務(wù)器集群，醫(yī)院本部應(yīng)用雙出口模式用于鏈路冗余，采用上述DPD探測(cè)技術(shù)與反向路由注入，醫(yī)院分部的出口設(shè)備與本部的主用網(wǎng)關(guān)建立加密信息通道。在醫(yī)院本部主用網(wǎng)關(guān)鏈路發(fā)生故障時(shí)，收到DPD 探測(cè)鏈路故障的報(bào)文，才會(huì)與備用網(wǎng)關(guān)建立安全關(guān)聯(lián)，主要網(wǎng)關(guān)的鏈路恢復(fù)性能后，不具備搶占性，等待安全關(guān)聯(lián)超時(shí)后才會(huì)切換。鏈路備份的邏輯示意圖如圖1 所示。

圖1 鏈路備份

2.1.2 設(shè)備備份

在醫(yī)院本部只有單出口的情況下，可以進(jìn)行設(shè)備級(jí)的備份，除了應(yīng)用上述DPD 探測(cè)與RRI 外，還需要使用熱備份路由協(xié)議（hot standby router protocol，HSRP）。HSRP 可以將2 個(gè)出口網(wǎng)關(guān)虛擬成一主一輔的中心站點(diǎn)模式，醫(yī)院分部只需要與本部虛擬中心站點(diǎn)網(wǎng)關(guān)建立加密信息通道。在熱備份路由協(xié)議作用下，只有活躍路由器會(huì)向區(qū)域內(nèi)進(jìn)行靜態(tài)路由注入，即使用虛擬中心站點(diǎn)IP 地址與對(duì)等體建立安全關(guān)聯(lián)。HSRP 支持搶占機(jī)制，當(dāng)活躍路由器故障時(shí)，備份路由器自動(dòng)搶占鏈路，與對(duì)等體建立安全關(guān)聯(lián)并進(jìn)行靜態(tài)路由注入；當(dāng)活躍路由器恢復(fù)性能后，會(huì)依據(jù)設(shè)備優(yōu)先級(jí)搶占鏈路并注入靜態(tài)路由，備份設(shè)備注入的靜態(tài)路由自動(dòng)消失。設(shè)備備份的邏輯示意圖如圖2 所示。

圖2 設(shè)備備份

2.1.3 鏈路備份與設(shè)備備份的綜合運(yùn)用

鏈路備份與設(shè)備備份的設(shè)計(jì)方案中存在端到端不支持直接加密組播、不支持動(dòng)態(tài)路由協(xié)議、不提供服務(wù)質(zhì)量等嚴(yán)重弊端。隨著隧道技術(shù)不斷創(chuàng)新，隧道協(xié)議可以將其他協(xié)議的數(shù)據(jù)重新封裝在新的數(shù)據(jù)包中進(jìn)行通信，使得被重新封裝的數(shù)據(jù)包可以在隧道中通過公共互聯(lián)網(wǎng)進(jìn)行路由傳遞，解決了加密組播與動(dòng)態(tài)路由協(xié)議的核心問題，使得高性能IPSec VPN 工程可以使用動(dòng)態(tài)路由協(xié)議取代DPD 技術(shù)與反向路由注入。動(dòng)態(tài)路由協(xié)議通過區(qū)域內(nèi)路由信息的自主學(xué)習(xí)與路由選路達(dá)到負(fù)載均衡的效果，使得VPN 工程具備更高可用性與穩(wěn)定性。

2.2 高性能IPSec VPN 最優(yōu)設(shè)計(jì)方案

依據(jù)上述分析與實(shí)際背景，仿真實(shí)驗(yàn)在MNSS 實(shí)驗(yàn)平臺(tái)上進(jìn)行邏輯網(wǎng)絡(luò)拓?fù)?，如圖3 所示。IP 地址規(guī)劃如圖標(biāo)注，醫(yī)院內(nèi)部采用開放式最短路徑優(yōu)先協(xié)議（open shortest path first，OSPF）各自組建內(nèi)網(wǎng)。醫(yī)院本部采用雙設(shè)備與出口，醫(yī)院本部主設(shè)備采用GRE封裝隧道模式，備份設(shè)備采用SVTI 隧道模式，驗(yàn)證兩類主流隧道技術(shù)實(shí)現(xiàn)高性能IPSec VPN。

在高性能IPSec VPN 工程實(shí)例中，動(dòng)態(tài)路由協(xié)議基本使用思科私有的增強(qiáng)內(nèi)部網(wǎng)關(guān)路由協(xié)議（enhanced interior gateway routing protocol，EIGRP）進(jìn)行區(qū)域內(nèi)部組網(wǎng)，EIGRP 使用彌散修正算法實(shí)現(xiàn)鏈路快速收斂，支持度量值相等的等價(jià)負(fù)載均衡與修正Variance值的非等價(jià)負(fù)載均衡[9]，而公有協(xié)議OSPF 只支持等價(jià)負(fù)載均衡。為保證仿真實(shí)驗(yàn)的普遍性，醫(yī)院內(nèi)部組網(wǎng)使用開放式最短路徑優(yōu)先路由協(xié)議，并手工對(duì)鏈路代價(jià)值進(jìn)行修改，實(shí)現(xiàn)負(fù)載均衡的路由信息通道。

圖3 仿真實(shí)驗(yàn)邏輯網(wǎng)絡(luò)拓?fù)?/p>

3 高性能IPSec VPN 工程仿真

仿真實(shí)驗(yàn)的實(shí)現(xiàn)大致分為3 個(gè)步驟：基礎(chǔ)IP 地址設(shè)置、運(yùn)用OSPF 動(dòng)態(tài)路由協(xié)議組建醫(yī)院內(nèi)網(wǎng)與IPSec VPN 加密信息通道的建立。

按照仿真實(shí)驗(yàn)設(shè)計(jì)方案的邏輯網(wǎng)絡(luò)拓?fù)鋱D的地址規(guī)劃配置設(shè)備接口的IP 地址，醫(yī)院分部Branch 端啟用2 個(gè)隧道接口，GRE 封裝的Tunnel0 與醫(yī)院本部的Master 端Tunnel0 連接，SVTI 隧道模式的Tunnel1 與醫(yī)院本部的Backup 端Tunnel1 連接。醫(yī)院本部與分部的路由設(shè)備均啟用OSPF 進(jìn)程，依據(jù)接口進(jìn)行區(qū)域劃分，宣告各自內(nèi)網(wǎng)私有地址網(wǎng)段，同時(shí)需要將隧道接口地址也宣告進(jìn)OSPF 區(qū)域內(nèi)。IPSec VPN 信息通道通過IKE 的主模式與快速模式建立，包括主模式的6個(gè)協(xié)商報(bào)文與快速模式的3 個(gè)協(xié)商報(bào)文，協(xié)商報(bào)文與協(xié)商內(nèi)容如圖4 所示。

（1）階段一：主模式（main mode）的作用是驗(yàn)證IKE 對(duì)等體身份并確立會(huì)話秘鑰，創(chuàng)建IKE SA，為第二階段的IPSec SA 協(xié)商提供安全通信保障。消息1—4 是明文，消息5—6 是密文。

圖4 IKE 協(xié)商過程

消息1：是向?qū)Φ润w發(fā)送一組或多組信息加密的策略提議，包含加密算法、驗(yàn)證方式、Hash 算法、Diffie-Hellman 與IKE SA 的生存時(shí)間。消息2：對(duì)等體收到加密策略提議，與本地策略匹配成功后，向?qū)Φ润w發(fā)送回應(yīng)消息。消息3—4：對(duì)等體之間通過交換Diffie-Hellman、非對(duì)稱秘鑰對(duì)的公鑰與隨機(jī)數(shù)，形成各自的非對(duì)稱秘鑰對(duì)應(yīng)一把共同秘鑰。消息5—6：在共同秘鑰的加密下，對(duì)等體之間通過ISAKMP 分組的源IP 地址匹配預(yù)共享秘鑰，并使用Hash 算法將預(yù)共享秘鑰、IKE SA、轉(zhuǎn)換集等進(jìn)行數(shù)字簽名驗(yàn)證對(duì)等體身份[10]。

（2）階段二：快速模式（quick mode）的作用是在IKE SA 建立的安全數(shù)據(jù)通道中協(xié)商IPSec SA 所使用的安全參數(shù)并創(chuàng)建IPSec SA，為IP 數(shù)據(jù)流提供加解密與完整性校驗(yàn)等服務(wù)。消息7—9 均是密文。

消息7—8：對(duì)等體雙方互相交換一個(gè)報(bào)文，包含使用認(rèn)證頭標(biāo)或封裝安全載荷的安全協(xié)議、安全參數(shù)索引（security parameter index，SPI）、散列算法、隧道模式與IPSec SA 生存周期的IPSec 安全關(guān)聯(lián)策略，再次用于對(duì)等體身份驗(yàn)證與完整性校驗(yàn)的散列值，用于防重放攻擊的Nonce 隨機(jī)數(shù)值，描述IPSec SA 為協(xié)議、地址與端口服務(wù)的ID 值與需要被加密的感興趣流等必選協(xié)商參數(shù)。消息9：對(duì)等體通過發(fā)送攜帶散列值的報(bào)文證明活躍狀態(tài)與信息確認(rèn)[11]。

4 仿真實(shí)驗(yàn)性能測(cè)試

對(duì)于仿真實(shí)驗(yàn)的效果驗(yàn)證大致分為IPSec VPN 協(xié)商建立過程與IPSec VPN 的高性能測(cè)試。

4.1 IPSec VPN 的協(xié)商過程

對(duì)上述實(shí)施階段進(jìn)行數(shù)據(jù)包抓取結(jié)果如圖5 所示：以醫(yī)院分部Branch 端至醫(yī)院本部Master 端使用Wireshark 網(wǎng)絡(luò)封包分析軟件進(jìn)行數(shù)據(jù)包抓取，序號(hào)為21、23—27 的6 個(gè)主模式數(shù)據(jù)包完成IPSec VPN 第一階段IKE SA 的協(xié)商與建立，并為第二階段IPSec SA的協(xié)商與建立提供加密的安全通信；序號(hào)為28—30的3 個(gè)快速模式數(shù)據(jù)包完成IPSec VPN 第二階段IPSec SA 的協(xié)商與建立，對(duì)等體兩端生成用于加解密相互對(duì)應(yīng)的安全參數(shù)索引。至此，對(duì)等體兩端IPSec VPN 建立完成，為醫(yī)院間數(shù)據(jù)通信提供安全加密的私有專用網(wǎng)絡(luò)。

圖5 W ireshark 工具抓取IKE 協(xié)商報(bào)文

仿真實(shí)驗(yàn)采用GRE 與SVTI 雙隧道進(jìn)行支持動(dòng)態(tài)路由協(xié)議的IPSec VPN 建立的可行性，IPSec VPN 安全通信的數(shù)據(jù)包轉(zhuǎn)發(fā)如圖6 所示：ID 數(shù)值21—24 是醫(yī)院分部Branch 端的雙隧道均與醫(yī)院本部建立用于加解密數(shù)據(jù)包的VPN 連接；ID 數(shù)值1011、1012 是由主模式建立為保護(hù)快速模式的IKE 安全通道。

圖6 IP 加密數(shù)據(jù)包轉(zhuǎn)發(fā)情況

仿真實(shí)驗(yàn)表明，醫(yī)院兩端可以通過GRE 與SVTI隧道建立跨越公網(wǎng)的動(dòng)態(tài)路由協(xié)議鄰居關(guān)系[12]，傳遞與更新路由信息。應(yīng)用隧道技術(shù)的IPSec VPN 工程解決了傳統(tǒng)VPN 端到端連接的重要弊端，支持動(dòng)態(tài)路由協(xié)議與加密組播，摒棄了普通DPD 探測(cè)與反向路由注入的不靈活性，通過動(dòng)態(tài)路由協(xié)議的自主學(xué)習(xí)、快速收斂與負(fù)載均衡等特性，實(shí)現(xiàn)了IPSec VPN 工程的高性能應(yīng)用。

4.2 IPSec VPN 的高性能測(cè)試

對(duì)于IPSec VPN 高性能的測(cè)試主要是數(shù)據(jù)包的負(fù)載均衡與設(shè)備或鏈路故障的切換效果，測(cè)試效果如圖7 和8 所示：通過醫(yī)院分部Branch 端訪問醫(yī)院本部Server 端，數(shù)據(jù)流量自Branch 端進(jìn)行雙隧道負(fù)載均衡。通過對(duì)比數(shù)據(jù)包傳輸時(shí)延，IPSec VPN 內(nèi)置的SVTI隧道接口的傳輸效率較GRE 封裝更為高效[13]；通過醫(yī)院分部Branch 端多次使用因特網(wǎng)包探索器訪問醫(yī)院本部Server 端，期間手動(dòng)將醫(yī)院本部Master 設(shè)備關(guān)閉，經(jīng)歷短暫時(shí)間后數(shù)據(jù)包傳輸路線全部自動(dòng)切換至Backup 端，傳輸效率達(dá)到98%。

圖7 醫(yī)院間數(shù)據(jù)包負(fù)載均衡

圖8 I PSec VPN 的高可用性測(cè)試

仿真實(shí)驗(yàn)表明，高性能IPSec VPN 工程設(shè)計(jì)方案不僅可以達(dá)到普通鏈路備份、設(shè)備備份的效果，還可以依托動(dòng)態(tài)路由協(xié)議與隧道技術(shù)完成醫(yī)院間數(shù)據(jù)傳輸?shù)呢?fù)載均衡與設(shè)備或鏈路故障時(shí)的自動(dòng)切換，極大地增強(qiáng)了網(wǎng)絡(luò)架構(gòu)的健壯性與可用性。

5 結(jié)語

仿真實(shí)驗(yàn)將醫(yī)院高性能IPSec VPN 工程實(shí)例遷移到MNSS 教學(xué)實(shí)驗(yàn)平臺(tái)上，利用隧道技術(shù)實(shí)現(xiàn)高性能IPSec VPN，通過Wireshark 工具抓取數(shù)據(jù)包進(jìn)行協(xié)議分析，為教學(xué)實(shí)驗(yàn)平臺(tái)儲(chǔ)存實(shí)踐工程案例，幫助學(xué)生利用虛擬仿真環(huán)境擺脫計(jì)算機(jī)硬件條件的約束，將基礎(chǔ)理論與工程技術(shù)相結(jié)合進(jìn)行實(shí)踐創(chuàng)新。通過MNSS教學(xué)實(shí)驗(yàn)集成平臺(tái)的實(shí)驗(yàn)課程體系改革與實(shí)驗(yàn)教學(xué)內(nèi)容優(yōu)化，全面推進(jìn)實(shí)驗(yàn)教學(xué)方法現(xiàn)代化，為學(xué)生自主構(gòu)建知識(shí)結(jié)構(gòu)，進(jìn)行綜合性、設(shè)計(jì)性實(shí)驗(yàn)學(xué)習(xí)和開發(fā)設(shè)計(jì)創(chuàng)造良好條件。