基于VPN全国档案信息网络技术架构研究.docVIP

基于VPN全国档案信息网络技术架构研究 　　在网络平台上实现档案信息资源的广域共享，是档案信息化发展的必然要求，实现档案信息资源网络共享的技术方案有两种：其一，基于开放的互联网建立起逻辑上相互链接的档案网站集群，通过统一的入口网站提供开放档案服务；其二，将分布式的档案信息系统通过安全方式连接起来，集成为一个广域范围的档案信息管理与利用“巨系统”，相当于用“专网”将全国的档案馆舍连为一体，借助统一的平台提供利用。基于VPN架构的档案信息共享网络具有其他技术方案所无法比拟的技术与经济优势。利用VPN技术，可将分布于全国各地的档案资源和档案服务在公网上有机地整合一体，通过权限控制、资源划控、第三方CA认证等机制建立起安全、开放、广泛、有序的全国档案信息资源共享平台。 　　隧道技术是最典型也是应用最为广泛的VPN技术。隧道的实质是用一种网络协议来传输另一种网络协议的数据单元，主要依靠网络隧道协议来实现。根据网络层次模型，隧道协议可分为第二层隧道协议、第三层隧道协议和第四层隧道协议三大类，每一层隧道协议都有相对应的VPN方案。档案信息共享网络对于安全性要求高，网络流量有限，实时性要求不高，使用IPsec建立点对点的VPN应当是首选。L2TP则最适合采用拨号VPN方式的远程用户。 　　 　　一、基于IPSecVPN架构的档案信息共享网络方案设计 　　 　　VPN的应用平台有三种：软件平台VPN，适用于对数据连接速率、性能和安全性要求不高的场合，一般适于连接用户较少的网络环境；专用硬件平台VPN，适用于对数据安全、通信性能要求高的场合，需要购买大量的硬件设备，成本高，适于连接用户数量很多的网络环境；辅助硬件平台VPN，介于软件平台和专用硬件平台之间，是最常见的VPN平台，它以现有网络设备为基础，再增添适当的VPN软件以实现VPN的功能。档案信息共享网络最理想的平台是专用硬件平合VPN，但该平台投资大，成本高，在现实当中很难操作。由于可以在很大程度上利用现有硬件设备，节省硬件投资，降低成本，辅助硬件平台VPN成为档案信息共享网络最可行的平台。 　　VPN网络结构一般分为网状结构和星形???构。采取何种网络结构与档案信息资源共享体系的结构是密切相关的。在资源组织上，档案部门应借鉴图书情报界建设“中国高等教育文献保障系统”的做法，建立层次化的档案信息资源共享体系，借助网络环境下信息传输更加便捷、组织联系更为紧密的优势，形成“全国中心一省中心一基层档案机构”的多层资源体系结构。其中，各层次的组织结构力求“扁平化”，尽量压缩介于省中心与基层档案机构之间的中间层次。网状结构的VPN网络设置较复杂，不便于集中管理，而星形结构设置较清晰，易于集中管理，与扁平化的档案信息共享网络结构相适应。而且，档案信息共享在实际应用中主要采用的是点到点VPN和拨号VPN两种方式，因此，星形结构的VPN网络更适合档案信息共享网络的构建。 　　基于VPN架构的档案信息共享网络采用星形结构，以国家档案信息网络作为星形结构的中心点，负责监控各地子网的VPN连接。国家档案信息网络与各省档案信息网络、基层档案信息网络之间采用点到点的方式，通过Internet并采用严格的访问控制手段建立VPN连接。对于远程拨号用户，采用拨号的方式，先连上本地的互联网，然后启动VPN客户端软件与国家档案信息网络、各省档案信息网络或基层档案信息网络进行连接。 　　实际应用中，拨号VPN方式的远程用户接入一般采用事实上的工业标准L2TP(LayerTwoTunnelingPro-tocol)协议。国家档案信息网络与各省档案信息网络、基层档案信息网络之间点到点的VPN网络采用安全性最强的IPSec协议来构建。由于IPSec仅支持IP协议，对其他非IP协议则不支持，如IPX、SNA和Appletalk等。而GRE(GenericRoutingEncapsulation，通用路由封装协议)协议是支持多协议的，根据已有的研究和实践，基于VPN架构的档案信息共享网络可以采用GREoverIPSec的方法，解决IPSec不支持多协议的问题，使非IP协议也能够在IPSec隧道中传输。 　　VPN网格可以采用安全性和稳定性都较高的Linux系统。在星形结构中，处于中心位置的国家档案信息网络的VPN网关非常重要，一旦出现故障，其他各级档案信息网络与其相连VPN隧道就不能正常工作而导致联系中断。为防止这种情况出现，必须采用GREoverIPSec的方法，在IPSec隧道中建立GRE隧道，使动态路由协议OSPF能够通过IPSec隧道，并在中心位置配置多个VPN网关，利用动态路由进行冗余配置。当某一中心网关出现故障时，路由器能自动把原来的VPN路由切换到另一条VPN隧道上，保证VPN继续稳定工作。VPN网关同