电子政务系统中VPN技术的研究与设计

摘要：文章介绍了VPN技术在江西省财政厅电子政务网络环境下的应用，重点对VPN系统中的设计实施做了详细的需求分析和系统结构设计，全面考虑了VPN实施中的机密性、完整性、真实性等特性，对电子政务网中的IPSec等关键技术提出可行性解决方案。

关键词：VPN；电子政务；IPSec

一、研究背景

电子政务安全尤其是应用VPN技术的宗旨是要在电子政务系统建设和实施过程中充分考虑各种风险，最大限度地保护硬件、软件、信息和网络安全，其核心是保护电子政务信息安全，以确保电子政府能够有效行使政府职能。

二、VPN技术

江西省财政厅电子政务网络建设目前采用MPLS VPN组网技术，建成高安全性、高带宽、能开展灵活多样的业务、扩展性能良好、性价比最好的电路接入平台。为简化网络体系结构，提高传输效率，方便网络规划和IP地址的分配，保障系统安全，易于兼容不同技术体系和实现网间互联，同时尽可能地利用已有的公网资源，电子政务外网电路接入平台主要基于中国电信MPLS VPN网络来构建。

（一）VPN技术

VPN的基本思想就是利用Internet来传输私有信息而形成逻辑网络，从而为企业级用户提供比专线价格低廉和高安全性的资源共享和互连服务。

VPN是一种在基于共享体系结构的企业级的连接业务，它有着与私有网相同的策略，可以在IP、帧中继、ATM或INTERNET上建立VPN。它具有同客户原有的私有网络相同的安全性、优先级特性、易管理性和稳定性。它可以满足使用者对原政务网与Remote office、移动用户、远程用户间无缝连接的要求，即将网络连接扩展到使用者、政务管理员、省级各部门和关键用户以形成Extranet来降低商业运作开支和提升服务质量。

（二）IPSec

IPSec是一个第3层VPN协议标准，它支持信息通过IP公网的安全传输。IPSec可用两种方式对数据流进行加密：隧道方式和传输方式。隧道方式对整个IP包进行加密，使用一个新的IPSec包打包。这种隧道协议是在IP上进行的，因此不支持多协议。传输方式时IP包的地址部分不处理，仅对数据净荷进行加密。IPSec支持的组网方式包括：主机之间、主机与网关、网关之间的组网。IPSec还支持对远程访问用户的支持。IPSec可以和L2TP、GRE等隧道协议一起使用，给用户提供更大的灵活性和可靠性。IPSec的ESP协议和报文完整性协议认证的协议框架已趋成熟，IKE协议也已经增加了椭圆曲线密钥交换协议。由于IPSec必须在端系统的操作系统内核的IP层或网络节点设备的IP层实现，因此需要进一步完善IPSec的密钥管理协议。

三、VPN总体设计目标

通过对江西省财政厅及各下属单位，尤其以省厅和江西财经职业学院为重点的调研，多次技术交流之后，认为需求分析首先要明确江西省财政厅电子政务网络安全系统建设的各项要求、工作流程，以及需要达到的效果。通过对需求的分析，针对目前要解决的问题，做出完整的系统分析，结合当前的现状，提出系统和网络的综合安全解决方案。

江西省财政厅电子政务网络基础电路接入平台以省级网络基础硬件平台（数据中心）为核心，各级财政局和江西财经职业学院通过路由器或交换机与当地VPN节点连接，各级VPN节点纵向互联汇入政务网骨干网络，实现MPLS VPN连接。连接的物理信道主要采用以太网线或光纤。各级财政局和江西财经职业学院采用ADSL等宽带方式主要以IPSEC VPN接入当地上级市（州）数据中心，因为IPSEC VPN较容易汇入MPLS VPN网络中，所以能形成一个整合在一起的信息安全平台。连接的物理信道主要采用模拟线路。

四、VPN系统详细设计

江西省财政厅电子政务网省级数据中心分为政务网和互联网两部分，政务网包括数据中心的网络交换设备和数据库及其他应用系统，互联网主要是INTERNET的接入以及信息系统。政务网与互联网间设置防火墙，实现逻辑隔离，以保护政务网的内部安全。在下文实例中，将充分考虑以上设计原则，互联网与政务网分离，两网设置防火墙，以逻辑隔离的方式实现安全应用。

（一）网络结构设计

数据中心网络系统的主要作用是连接各种应用服务器、信息系统及托管服务器。网络结构采用典型3层网络结构：核心层、汇聚层和接入层。

（二）安全系统

江西省财政厅电子政务网络必须建立必要的安全系统，为电子政务提供可靠的安全保障机制。江西省财政厅电子政务网络的安全保密框架主要由电路层安全、网络层安全、应用层安全、门户网站的统一认证平台、安全管理体系和相应与回复机制几部分构成。在以上的安全措施中，除了电路层安全由MPLS VPN网络实现外，其他几项都要在数据中心来实现，作为网络汇聚中心、数据存储中心、信息处理中心的省级基础硬件平台―省级数据中心更是实施安全的必不可少的关键环节。

五、江西省财政厅电子政务网

（一）应用背景

江西省财政下属区、市财政局11个和县级财政局99个以及江西财经职业学院。电子政务外网项目通过VPN网络建设实现各单位的联网，从而访问省财政厅的网络资源。此VPN网络包含省财政厅数据中心、各市、各县。省中心局域网规模较大，局域网内有数据库服务器、内部OA系统和内部邮件系统等，并且通过专线（光纤、DDN等）连接并可访问互联网。县级的网络规模较小，不超过10台计算机。部分县级网络具有内部的数据库服务器和内部OA系统，大多数通过ADSL方式连接Internet，局域网内计算机可通过此ADSL共享上网。

（二）目标

需通过此次VPN网络建设，实现VPN接入和原有ATM网络的无缝结合，县级单位除了都可以访问省财政厅的资源外，还可以实现县到其所属市之间的通讯。

通过VPN网络建设，可以实现全网的文件共享、远程教学、数字图书馆、网上会议系统以及所有基于TCP/IP的应用。

（三）解决方案

1、省财政厅网络规模较大，区级、县级单位及财校都需要与它通信，进行数据交换。这样显得稳定性要求更高，接入带宽要求更大。建议使用两台GW5000的包含VDN模块型号设备。使用10M的上网专线接入Internet，因为需要对外提供VDN服务，所以要求有两个或以上的固定的公网IP地址。

2、定义管理域的节点之间的网络拓扑关系。在初期建设中，县级节点跟省中心形成星型网络；当以后上语音、视频等其他系统时，需要县节点间通信时，可在VDN上进行网络拓扑的重定义，非常简单、快速。

3、GW5000除了包含VDN功能模块外，还具有最高性能的VPN接入设备（中心点的终端设备）提供作为智能接入终端的所有功能。

4、两台GW5000互为热备份，充分保证VDN服务和中心点VPN接入的稳定可靠性。需要两个公网IP地址。

5、所有终端都提供基于SSL的移动客户端接入。用户可选择使用安全性高的USB Key证书认证方式，也可以选择比较简单的用户名和密码认证方式。

六、结束语

将VPN技术应用于江西省财政厅电子政务网中，对于电子政务的实施、各财政局及江西财经职业学院实现互联互通、政务信息资源共享、开展电子政务应用构建骨干平台和提供硬件支持，具有重大意义。

参考文献：

1、信息产业部计算机技术培训中心组.电子政务实用技术[M].人民邮电出版社,2000.

2、齐润泉.VPN技术在教育城域网中的应用研究[M].中国教育出版社,2002.

3、江红.VPN安全技术的研究与分析[J].计算机工程,2002(4).

4、Canton R,Davis.IP Sec:VPN的安全实施[M].北京清华大学出版社,2002.

5、杨义先等.网络信息安全与保密[M].北京邮电大学出版社,2001.

（作者单位：江西财经职业学院）