基于VPN技術的軍用信息系統(tǒng)安全構想

摘 要：本文從我軍用信息系統(tǒng)的安全需求作為出發(fā)點，結合VPN技術原理，提出了基于VPN技術的軍用信息網絡系統(tǒng)的設計思路。

關鍵詞：VPN；IPSec；軍用信息系統(tǒng)

中圖分類號：TP393.08

為保證軍用信息的安全可靠，最簡單的方法就是租用專線、自購設備、投入大量資金及人員構建專用網絡（PN，Private Network）。但網絡的重復建設，不但浪費了人力、物力還有很多缺陷，比如網絡的擴展能力差等。而采用VPN技術組建的軍用信息系統(tǒng)，可以利用目前成熟的公共網絡資源來構建專用網絡，通過特殊設計的硬件或軟件直接在共享網絡中通過隧道、加密技術來保證軍用數(shù)據(jù)的安全可靠的傳輸。

1 VPN的連接

VPN的連接可歸結為兩類：撥號VPN（即VDPN）和專線VPN。完整的VPN解決方案通常是把撥號VPN和專線VPN組合在一起來滿足所有用戶的使用需求。VDPN為流動工作人員和遠程用戶提供了對軍用內部網的遠程訪問。這是最常見的一種VPN部署形式，主要是基于L2F協(xié)議。VDPN允許多個不同領域的用戶都能通過公共網絡或者Internet或其他公用網絡獲得安全的通路到軍用內部網絡。專線VPN以多個用戶和比撥號VPN高速的連接為特點。目前，有許多類型的專線VPN業(yè)務，最常見的是在IP網上建立的IP VPN業(yè)務。專線VPN提供了部隊總部與各地域分部以及Extranet用戶的虛擬點對點連接。

2 基于VPN技術的軍用信息網絡系統(tǒng)結構及原理

在VPN網絡中，PPP（點對點協(xié)議）數(shù)據(jù)包流是由一個LAN上的路由器發(fā)出，通過共享公共網絡上的隧道進行傳輸，再到達另一個LAN上的路由器。隧道好比是在WAN中拉出一根串行通信電纜，代替了實在的專用線路。這樣，軍隊總部用戶通過登錄公共網絡，局域網中多臺計算機通過VPN路由器與各地域分部局域網及各個科研院所、軍事機構、相關地方合作單位實現(xiàn)數(shù)據(jù)互通。

圖1 基于Internet的VPN

假設北京節(jié)點的某終端要訪問廣州節(jié)點的某臺計算機。如圖1所示，北京節(jié)點的VPN網關在接收到其網絡終端發(fā)出的訪問數(shù)據(jù)包時對其目標地址進行檢查，當發(fā)現(xiàn)目標地址屬于廣州節(jié)點的地址時，則將該數(shù)據(jù)包進行封裝，封裝的方式根據(jù)所采用的VPN技術不同而不同，同時VPN網關會構造一個新的數(shù)據(jù)包（VPN數(shù)據(jù)包），并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負載，VPN數(shù)據(jù)包的目標地址為廣州節(jié)點的VPN網關的外部地址。然后，北京節(jié)點的VPN網關將VPN數(shù)據(jù)包發(fā)送到Internet上，由于VPN數(shù)據(jù)包的目標地址是廣州節(jié)點的VPN網關的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到廣州節(jié)點的VPN網關。廣州節(jié)點的VPN網關對接收到的數(shù)據(jù)包進行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從北京節(jié)點的VPN網關發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對該數(shù)據(jù)包進行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，在將負載通VPN技術反向處理還原成原始的數(shù)據(jù)包。還原后的原始數(shù)據(jù)包發(fā)送至目標終端，由于原始數(shù)據(jù)包的目標地址是廣州節(jié)點的某終端的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到該終端。在這個終端看來，它收到的數(shù)據(jù)包就從北京節(jié)點的終端直接發(fā)過來的一樣。

基于VPN技術構建的軍用信息系統(tǒng)的特點還在于可以自由組合處于不同局域網的計算機構成功能VPN。該功能VPN可以對不同用戶設定不同的訪問權限。如圖2所示，北京節(jié)點與廣州節(jié)點的作戰(zhàn)部VLAN，可以通過在分部局域網部署VPN網關，構成一個具有作戰(zhàn)功能的VPN。啟用其防火墻功能，讓整個VPN系統(tǒng)安全、經濟地運行，通過在公共網絡中建立的安全加密隧道，傳輸作戰(zhàn)指揮、實時情報、跟蹤探測等專用數(shù)據(jù)。通過VPN網關的設置，還可以實現(xiàn)不同等級的安全訪問權限。比如對于后勤部的終端不分配訪問作戰(zhàn)部的權限，這樣，從后勤部發(fā)出的對作戰(zhàn)部訪問的數(shù)據(jù)包將被VPN網關過濾掉。

圖2 功能VPN概圖

3 VPN的技術優(yōu)勢

3.1 提升工作效率。通過VPN安全的數(shù)據(jù)通道將加密的技術數(shù)據(jù)和關鍵性的應用及數(shù)據(jù)進行傳輸，軍隊可以通過公共網絡實現(xiàn)遠程辦公、視頻會議，也可以和友鄰單位直接進行遠程信息交流；

3.2 降低成本。利用VPN技術的軍用信息系統(tǒng)，將不必再租用長途專線或者建設專網，也不必投入大量的網絡維護人員和設備投資，并且網絡連接的費用也十分低廉。利用現(xiàn)有的公用網絡組建Intranet，要比租用專線或鋪設專線節(jié)省開支，而且當距離越遠時節(jié)省的越多。

3.3 縮短空間距離?；ヂ?lián)網發(fā)展到現(xiàn)在幾乎無處不在，它的接入端隨處可得，我們只要將軍用信息網絡的各個接入端都接在互聯(lián)網上，然后再實現(xiàn)VPN，就可以將有關關鍵性的數(shù)據(jù)進行安全的傳輸。雖然專線傳輸，例如ATM、光纖等等，也都能達到安全的傳輸，但一來費用高昂，二來其接入點找起來是很不方便的。

3.4 強大的可擴展性。網絡路由設備配置簡單，無需增加太多的設備。隨著軍隊信息化建設的日趨深入，軍用網絡系統(tǒng)的不斷擴展，VPN就更是不可不用了。如果部隊組建自己的專用網，在擴展網絡分支時，就必須考慮到網絡的容量、架設新鏈路、增加互聯(lián)設備、升級設備等；而實現(xiàn)了VPN就方便多了，只需連接到公用網上，對新加入的網絡終端在邏輯上進行設置，也不需要考慮公用網的容量問題、設備問題等。

3.5 節(jié)約投資。使用VPN通過遠程辦公、遠程會議交流、遠程技術支持，可以節(jié)約大量的時間、辦公費用，以及龐大的出差費。根據(jù)Infonetics Research公司的一個VPN研究報告，將租用線路替換成VPN來連接遠程站點可以節(jié)約20%-40%的開支。還可節(jié)省由于帶寬升級而重新布線所產生的費用。由于網絡技術的飛速發(fā)展，網絡帶寬將會無限增長。采用VPN技術的軍用信息王如要升級，我們只需考慮軍內機器的升級就行，而無需考慮公共網絡的升級。如果使用專線則不同，由于時代的進步，部隊信息化的深入，線路的帶寬就會成為制約我軍信息化發(fā)展的瓶頸。因此，采用VPN，對于壓縮軍費開支也是一個不錯的選擇。

參考文獻：

[1]Mark S.Merkow.Virtual Private Networks For Dummies.Hungry Minds，2000.Indianapolis.IN.ISBN：0-7645-0590-4.

[2]黃傳河.網絡安全[M].武漢：武漢大學出版社，2004.

作者簡介：周海燕（1970-），女，江蘇淮安人，自動化控制工學學士學位，現(xiàn)任信息系工程師，研究方向：控制理論及應用、計算機網絡等。

作者單位：海軍指揮學院浦口分院，南京 211800