李 亚,常俊超,赵新强
(河南省水利信息中心,河南 郑州 450003)
第一次全国水利普查是我国建国以来第一次全国范围的水利基础性信息的调查,是一项极为复杂而浩繁的系统工程,涉及范围广,数据信息繁多,包括全国江河湖泊、水利工程、经济社会用水、江河湖泊开发治理保护、水土保持、水利行业能力建设等基本情况的数据信息。
河南省地跨长江、淮河、黄河、海河 4 大流域,水利普查指标数量多、覆盖范围广,全省共有各类水利普查清查对象 1354.11 万个,占到全国清查对象总量的 13% 以上,是全国水利普查清查对象最多的省份之一。不仅普查数据的采集任务繁重,而且数据的安全、及时有效地传输更是这次普查的重中之重。
河南省水利系统已经建成了以省水利厅机关为中心,各地市水利(务)局、水情分中心、大型水库、厅属单位为 2 级节点,少数山洪灾害重点县为3 级节点的计算机广域网络,实现了数据、语音、视频的互联互通。但大部分县级水利单位还没有链入水利广域网中,若将这些单位以租用专线的传统方式链入水利厅广域网,一是时间不允许,二是费用高,不现实。为了按时保质的完成水利普查任务,基于上述情况,经过调研,决定采用 VPN(虚拟专用网络)技术,解决县级水利普查各单位通过 Internet 网络与省水利普查办公室数据中心安全可信的连接问题,实现普查数据的加密传输和数据录入用户的身份鉴别,为水利普查采集数据录入工作提供可管理、认证、安全的远程访问解决方案,保证数据的安全传输,以顺利完成第一次全国水利普查任务。
VPN 是从公共网络中隔离出来的逻辑上的网络,通过建立虚拟专用网隧道的协议,运用隧道封装、认证、加解密、访问控制等多种网络安全技术,为远程和移动办公人员提供安全的逻辑网络互通和资源共享的技术,实现低成本、安全的互通。它具有安全、易扩展、成本低、效率高、使用方便的特点,是目前最安全的连接远程用户的技术[1]。
VPN 协议有许多种,其中性能最佳、最常用的是 IPSec 和 SSL 协议。IPSec 协议是网络层的安全协议,传输速度快,配置使用简单,适用于数据量大、远程用户多的数据传输;SSL 协议是传输层的安全协议,传输速度相对慢,适用于出差办公应急之需,而且随着智能手机的普及,手机办公、远程访问已成大趋势。因此针对全省水利普查及网络情况,选择的 VPN 设备应同时支持 IPSec 和 SSL。
根据河南省的情况,对 VPN 的几种产品从访问控制、接入认证、客户端软件、传输安全、速度优化、稳定性、流量控制、日志管理、移动设备支持等功能方面作了测试和分析,其中 TopVPN 能支持IPSec 和 SSL,产品性价比较高,IPSec 技术成熟,占资源少,支持多用户并发连接,SSL 占资源多,多用户并发速度慢,鉴于并发链接数、速度的考虑,最终选择 TopVPN。
TopVPN 支持众多网络通信和应用协议,适用网络范围广,保证用户的网络可用性,集 SSL VPN,IPSec VPN,PPTP VPN,L2TP VPN 于一体,支持多种 VPN 接入模式。IPSec 可以对所有 IP 级的通信进行加密和认证,使用 IPSec 可以确保包括远程登录、客户/服务器、电子邮件、文件传输、Web 浏览、ERP(企业资源计划)、视频会议、IP 电话等在内的各种应用程序的安全,不需要改变现有网络及服务器配置,部署简便,能满足水利普查的应用需求[2]。
从现有网络结构、实用性考虑,IPSec VPN 采用客户端对 VPN 网关方式,SSL VPN 采用全网接入方式,VPN 方案结构图如图1 所示。
图1 河南省水利厅VPN方案结构图
全省水利普查数据系统的工作人员利用现有的网络条件,通过 VPN 客户端,访问 TopVPN 设备,经过身份认证,在 Internet 上建立专用隧道,进行数据封装、加密、传输,最后通过 TopVPN 设备转发到水利厅内部局域网的水利普查服务器上。
客户端在远程访问省中心 TopVPN 设备时,建立加密隧道后,服务器和客户端可以进行双向互访。
所有安全网关设备、业务系统、服务器部署在水利厅局域网,采用数据集中管理方式,客户端与TopVPN 身份鉴别采用 CA 数字证书加密认证,并在中心设备实现集中管理。所有的数据都在专用数据隧道内传输,这样既安全又方便,而且降低建设成本,容易扩展,维护简单,管理方便。
IPSec 协议包括网络认证(AH)、封装安全载荷(ESP)、密钥管理(IKE)等协议和用于网络认证及加密的一些算法等。通过安全策略数据库(SPD),IKE,AH 和 ESP 相互协作实现数据的安全通信[3]。
客户端主机通过现有网络线路向省中心 TopVPN设备发送消息,经过应用层协议、传输层、IP 层处理形成 IP 数据包;IPSec 驱动接受到 IP 包后,检查SPD 数据库,查看数据包是否为合法用户数据,是否需要保护及需要受何种保护;如需 IPSec 处理,则通过指针在安全关联数据库 SAD 中找到 SA(安全关联);如为空,则通知 IKE 进程开始与对方进行安全协商,得到 SA,并填充到 SAD 中,与 SPD 数据库关联,以便以后查找;IPSec 驱动程序使用出站SA 对数据包进行签名与加密处理,并将数据包递交给 IP 层处理后由链路层发出。
同样 TopVPN 设备收到数据包后交给 IPSec驱动程序;IPSec 驱动程序取出 SPI(安全参数索引),目标 IP 地址,判断出 IPSec 通信协议的类型(AH/ESP),进一步查找 SAD 数据库,找到相应入站 SA,并依据 SA 检查完整性签名或对数据包解密;根据验证和解密后数据报文的内部 IP 地址查询SPD,如果安全服务与 SPD 相符,将外部 IP 头连同IPSec 头一起剥去,交与 IP 层处理,最后交与应用程序处理。
水利普查用户基本上是通过 IPSec VPN 方式访问水利厅内部局域网的。
远程用户与水利厅 TopVPN 网关建立连接,通过 SSL VPN 隧道与内部局域网水利普查服务器进行IP 层的通讯,从而实现单点接入,全网访问。
采用全网接入方式,客户端只需在远程浏览器里安装 1 个全网接入插件,该插件负责与 SSL VPN网关建立 SSL 隧道,对服务器与远程网络之间传送的 IP 报文进行加密和解密。
全网接入插件运行于客户端的机器上,在运行中会产生虚拟网卡。用户第 1 次登录用户界面后,全网接入组件被自动/手动下载,安装并驻留到用户系统中,然后在客户端主机上生成 1 个用于 SSL 通信的虚拟网卡,以便与全网接入服务器端成功建立SSL 连接。SSL VPN 网关作为全网接入服务器端,负责为客户端分配地址,并在与客户端成功建立连接后为其提供全网接入服务。
客户端设备通过 SSL VPN 模式访问水利厅内网资源,有以下 2 种操作方式:1)通过 IE 浏览器登录网关,然后安装全网接入客户端组件;2)通过运行全网接入独立客户端安装程序,在用户系统中安装独立客户端,以便使用 SSL VPN 网关提供的全网接入服务,访问可用资源。
在整体的 VPN 应用中,主要采用隧道、加解密、身份认证和密钥管理等技术,保证数据传输的机密性、完整性及身份认证的安全性。
1)隧道技术。隧道可在网络的任一层实现,实际上是一种封装,解决专网与公网的兼容性,向用户提供无缝、安全、端到端的连接服务,以确保信息资源的安全。
2)加解密、认证技术。这是 VPN 的另一核心技术,为保证数据在传输过程中的安全性,不被非法用户窃取或篡改,采用单钥的 3DES(三重数据加密算法)作为加解密的主要技术,在传输之前进行加密,由接受方对其解密。
认证技术用户采用用户名/口令、数字证书、数字证书 +USB Key 等 3 种方式,设备认证采用 CA数字证书。
3)密钥管理技术。采用 IKE 协议,在开放的网络环境中以公钥和单钥的混合加密体制(即数据加密和解密采用单钥密码,密钥传送采用双钥密码)进行网络上密钥的交换和管理,密钥的唯一性确定用户登陆的唯一性。提高了传输速度,具有良好的机密安全功能。
2011 年 6 月 VPN 技术应用于河南省水利普查,为水利普查数据的安全、顺利录入提供了强有力的网络传输环境支撑。目前有 1000 余人开有账户,最高并发连接数达 600 多个,数据传输安全顺利,客户端稳定,实现了对远程用户身份、网络行为的集中管理。截止 2012 年 2 月 1 日,全省水利普查数据录入量已达到 4620 万个,占应录入总数的 95%,已基本顺利完成河南省数据录入传输工作。VPN 技术在河南省水利普查中的应用也为 VPN 技术在河南水利上更广泛的应用打下了良好的基础。
[1]王祁. 浅谈网络应用之 VPN 技术[J]. 民营科技,2008 (6): 54.
[2]天融信公司. 天融信 TopVPN 多合一网关产品说明手册[M]. 北京:天融信公司,2006: 1-21.
[3]天融信公司. NGFW 管理手册[M]. 北京:天融信公司,2009: 1-52.