电子政务系统中VPN技术研究与设计.docVIP

电子政务系统中VPN技术研究与设计 　　摘要：文章介绍了VPN技术在江西省财政厅电子政务网络环境下的应用，重点对VPN系统中的设计实施做了详细的需求分析和系统结构设计，全面考虑了VPN实施中的机密性、完整性、真实性等特性，对电子政务网中的IPSec等关键技术提出可行性解决方案。 　　关键词：VPN；电子政务；IPSec 　　 　　一、研究背景 　　 　　电子政务安全尤其是应用VPN技术的宗旨是要在电子政务系统建设和实施过程中充分考虑各种风险，最大限度地保护硬件、软件、信息和网络安全，其核心是保护电子政务信息安全，以确保电子政府能够有效行使政府职能。 　　 　　二、VPN技术 　　 　　江西省财政厅电子政务网络建设目前采用MPLS VPN组网技术，建成高安全性、高带宽、能开展灵活多样的业务、扩展性能良好、性价比最好的电路接入平台。为简化网络体系结构，提高传输效率，方便网络规划和IP地址的分配，保障系统安全，易于兼容不同技术体系和实现网间互联，同时尽可能地利用已有的公网资源，电子政务外网电路接入平台主要基于中国电信MPLS VPN网络来构建。 　　（一）VPN技术 　　VPN的基本思想就是利用Internet来传输私有信息而形成逻辑网络，从而为企业级用户提供比专线价格低廉和高安全性的资源共享和互连服务。 　　VPN是一种在基于共享体系结构的企业级的连接业务，它有着与私有网相同的策略，可以在IP、帧中继、ATM或INTERNET上建立VPN。它具有同客户原有的私有网络相同的安全性、优先级特性、易管理性和稳定性。它可以满足使用者对原政务网与Remote office、移动用户、远程用户间无缝连接的要求，即将网络连接扩展到使用者、政务管理员、省级各部门和关键用户以形成Extranet来降低商业运作开支和提升服务质量。 　　（二）IPSec 　　IPSec是一个第3层VPN协议标准，它支持信息通过IP公网的安全传输。IPSec可用两种方式对数据流进行加密：隧道方式和传输方式。隧道方式对整个IP包进行加密，使用一个新的IPSec包打包。这种隧道协议是在IP上进行的，因此不支持多协议。传输方式时IP包的地址部分不处理，仅对数据净荷进行加密。IPSec支持的组网方式包括：主机之间、主机与网关、网关之间的组网。IPSec还支持对远程访问用户的支持。IPSec可以和L2TP、GRE等隧道协议一起使用，给用户提供更大的灵活性和可靠性。IPSec的ESP协议和报文完整性协议认证的协议框架已趋成熟，IKE协议也已经增加了椭圆曲线密钥交换协议。由于IPSec必须在端系统的操作系统内核的IP层或网络节点设备的IP层实现，因此需要进一步完善IPSec的密钥管理协议。 　　 　　三、VPN总体设计目标 　　 　　通过对江西省财政厅及各下属单位，尤其以省厅和江西财经职业学院为重点的调研，多次技术交流之后，认为需求分析首先要明确江西省财政厅电子政务网络安全系统建设的各项要求、工作流程，以及需要达到的效果。通过对需求的分析，针对目前要解决的问题，做出完整的系统分析，结合当前的现状，提出系统和网络的综合安全解决方案。 　　江西省财政厅电子政务网络基础电路接入平台以省级网络基础硬件平台（数据中心）为核心，各级财政局和江西财经职业学院通过路由器或交换机与当地VPN节点连接，各级VPN节点纵向互联汇入政务网骨干网络，实现MPLS VPN连接。连接的物理信道主要采用以太网线或光纤。各级财政局和江西财经职业学院采用ADSL等宽带方式主要以IPSEC VPN接入当地上级市（州）数据中心，因为IPSEC VPN较容易汇入MPLS VPN网络中，所以能形成一个整合在一起的信息安全平台。连接的物理信道主要采用模拟线路。 　　 　　四、VPN系统详细设计 　　 　　江西省财政厅电子政务网省级数据中心分为政务网和互联网两部分，政务网包括数据中心的网络交换设备和数据库及其他应用系统，互联网主要是INTERNET的接入以及信息发布系统。政务网与互联网间设置防火墙，实现逻辑隔离，以保护政务网的内部安全。在下文实例中，将充分考虑以上设计原则，互联网与政务网分离，两网设置防火墙，以逻辑隔离的方式实现安全应用。 　　（一）网络结构设计 　　数据中心网络系统的主要作用是连接各种应用服务器、信息发布系统及托管服务器。网络结构采用典型3层网络结构：核心层、汇聚层和接入层。 　　（二）安全系统 　　江西省财政厅电子政务网络必须建立必要的安全系统，为电子政务提供可靠的安全保障机制。江西省财政厅电子政务网络的安全必威体育官网网址框架主要由电路层安全、网络层安全、应用层安全、门户网站的统一认证平台、安全管理体系和相应与回复机制几部分构成。在以上的安全措施中，除了电路层安全