孙 志 张 明 张欲晓

（中国人民解放军海军航空工程学院青岛校区 山东 青岛 266041）

0 引言

随着教育体制改革的不断深入，很多院校都在进行着一校多区的办学实践，以解决教学资源不足等问题，但同时也给教学管理工作和信息资源共享带来了诸多不便。多校区的园区网络建设不仅要在速度、容量上满足长时间、多人数上网的需求，使长距离的主分校区实现一致的网络体验，还要实现教育教学资源的集中存储和共享。更重要的是，需要将原本松散的网络从规格标准、管理软件等方面进行整合，形成统一管理的网络整体。尤其在军队院校异地多校区办学模式下，园区网络通常属于涉密内网，网络融合过程中的信息安全保密更是需要重点考虑的一个首要问题。为使各分校区能访问主校区资源，同时保证连接和访问的安全，有必要建立一套安全的异地网络融合方案。通过PKI（Public Key Infrastructure，公钥基础设施）和VPN（Virtual Private Network，虚拟专用网络）技术来实现异地网络融合，不失为一个行之有效的实现途径。

1 相关技术研究

1.1 VPN 技术

VPN是一种基于交换技术的高速主干链路，以公共开放的网络作为基本传输媒介，将处于不同位置的物理局域网逻辑地连接在一起。通过VPN技术可以使多校区临时从公用网中获得一部分资源供自己专用，连到公网所能达到的任何地点，降低网络的使用成本。所以虚拟专用网虽然不是真正的专用网络，但却能够实现专用网络的功能。

VPN的关键技术涉及到隧道技术、加/解密技术、密钥管理技术和身份验证技术等。其中，隧道技术是VPN的核心技术。所谓隧道技术就是将分组进行封装的技术，利用一种协议来传输另一种协议。它负责将待传输的原始信息经过加密、协议封装和压缩处理后，再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传送。只有该虚拟专用网络授权的用户才能对隧道中的数据包进行解释和处理，其他无授权用户则无法处理这些信息，从而保证VPN远程用户或主机和专用网络的安全连接。隧道由一系列的协议组成，基于不同的隧道协议所实现的VPN是不同的。典型的隧道协议主要包括PPTP、L2F、L2TP、MPLS、IPSec、GRE 等协议。 其中，L2TP、IPSec 和 MPLS 是VPN的主流隧道协议[1]。通过隧道协议，VPN技术以较低成本搭建一条安全通道，隔离没有授权进入的用户，确保数据传输过程中的完整性、真实性、机密性。

但是在传统的VPN系统中，设备身份通常是由其IP地址来标识的。这在涉密内网中就会存在一定的安全隐患，假如黑客盗用了通信双方任何一端的身份，不管其他安全设施有多严密，将导致整个VPN的安全性失效[2]。将PKI技术引进VPN，可以加强网络访问的安全性，保证网络的可扩展性和内网互联最大限度的安全。

1.2 PKI

PKI利用公钥加密技术，为网络信息的传输提供的一套安全基础平台，是目前应用最为广泛的一种加密体制。这种技术可以很好地保证信息的机密，同时还保证了信息具有不可抵赖性。PKI技术采用证书进行公钥管理，通过认证中心CA把用户的公钥和其他的标识信息捆绑在一起，如用户名和电子邮件地址等，以便在网络上进行用户的身份验证。即PKI是人员、硬件、软件、策略和操作规程的总和，通过这些完成创建、管理、保存、发放和废止证书的功能，其优势在于以下几个方面[3]：

1.2.1 可以构建一个可管、可控、安全的互联网络。使用公用网络发送邮件、分发软件、发送敏感或私有数据，进行应用系统访问。通过认证机制，建立证书服务系统，通过数字证书绑定每个网络实体的公钥，使每个网络实体都可以识别，可以有效地解决在访问过程中的身份鉴别和实体强鉴。

1.2.2 可以构建一个统一平台。PKI遵循完整的国际技术标准，通过Java技术提供了可跨平台移植的应用系统代码，通过XML技术提供了可跨平台交换和移植的业务数据，可以对物理层、网络层和应用层进行系统的安全结构设计，构建统一的安全域。在这样的一个平台上，可以很方便地建立一站式服务的软件中间平台，对多种应用系统的整合十分有利，从而大大地提高平台的普适性、安全性和可移植性。

1.2.3 可以构建一个完整的授权服务体系。在需要公开时，相关人员都能用公钥去验证某个文件或某项批示是否出自某位领导之手，保证授权的真实可靠，确切无误。在需要保密时，可以利用私钥的惟一性，保证有权限的人才能看到某个文件、某项批示甚至做某件事。

所以，PKI主要是通过自动管理密钥和证书，为用户建立一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密技术和数字签名技术，从而保证网上数据的完整性、保密性和有效性。

1.3 基于PKI技术的 VPN

在使用基于IPSec的VPN技术时，想要使PKI和IPSec结合，就要在DOI中定义必须的PKI属性，通过密钥交换，实现PKI与IPSec的结合。其具体过程为[4]：首先将PKI的认证、机密性和完整性协议定义为PKI专用数据，并把它们置于DOI字段中，同时加载证书字段，生成带PKI性能的IKE载荷；通过IKE进行野蛮模式或者主模式交换，互换证书，建立IKESA；双方用公钥检查CA和证书中的身份信息在证书上的数字签名；用公开密钥加密算法验证机密性，用数字签名算法验证完整性；协商一致后，生成具体的SA。IPSec与PKI结合后，在密钥交换过程中，通过交换证书的方式交换了公钥和身份信息，验证数字签名、机密性和完整性，从而充分的保证了信息来源的可信度、完整性等，同时，IPSec配置文件中实现与多数用户的通信，只需少数的CA证书即可。

在解决以上技术后，通信双方按以下步骤来进行安全通信：身份数字证书由CA向VPN的通信双方签发，并将被存放到LDAP目录服务器供相关的应用来访问；属性证书由RA、CA向VPN的通信双方签发，它们规定了双方的访问权限，也被存放到LDAP目录服务器供相关的应用来访问；通信双方交换身份数字证书，并验证对方的身份，检查证书不在CRL名单之列；访问LDAP目录服务器得到通信双方的属性证书，由RA和CA检验属性证书是否允许双方建立连接；若身份数字证书和属性证书全都通过验证，则通信双方建立安全隧道连接；通信双方第一次连接时，分别产生相应的SA，并由IKE交换密钥；VPN网关依据发送方应用程序传来的IP包查询SPD数据库，然后决定对该IP包采取什么策略，如果该策略说明该IP包需要进行安全保护，则利用SA中指定的算法，IP包中的数据在ESP中加密，随后产生相应的AH。数据包加密后，经由安全隧道发送给对方，接收方的VPN网关根据IP头中的AH和ESP部分提取出安全参数指数SPI、IP目的地址和安全协议标识符SPID元组查询SADB，并得到SA，若正确返回SA，则检查AH，这样可以验证数据源和数据完整性，进行ESP解密，查询SD（根据所得数据的IP地址来实现），若符合处理策略，取出原始数据传给接受方应用程序[5]。

图1 多校区网络融合拓扑结构图

2 校园VPN应用方案

下面以某军事院校的园区网为例，说明上述PKI和VPN技术在多校区互联中的应用。

2.1 现状分析

该军事院校由总校区和两个分校区组成，相距数百公里，三个校区都各自建有单独的涉密园区网。三个校区中均建有部分电子图书资源和教学管理应用系统。为满足跨校区教学、管理和科研对网络信息资源共享的需求，在确保信息安全保密的前提下，应尽可能在最大的、合理的范围内对资源进行有效的利用整合。经过对各方面因素的综合比较，确定采用基于IPSec的VPN技术和PKI机制来实现新、老校区在局域网上的互联互通，实现各类公共资源的有效利用与共享，这是一条经济、安全、快捷简便的跨地域网络融合的途径。

2.2 实现方案

在三个校区通过防火墙构建VPN，通过军事专用广域网将三个园区网联通，实现各校区的资源共享、信息交流和数据传送。为确保网络信息的安全性，在校本部园区网内设置基于PKI的双向的强鉴别身份认证系统，完成身份认证、密钥信息交换、属性认证等工作，如图1所示。

在三个校区的VPN设备中配置路由，策略上允许三地间的所有用户互访，就象在一个网络内一样。考虑到将来网络的稳定性、可管理性以及实现的便利性等因素，在三个校区园区网出口分别安装一台防火墙实现基于策略的IPSec VPN互连，这样三校区的师生员工就可以方便地访问到其他内网中的各种网上教学和科研资源。

系统安装配置后，满足了三个校区的办公和教学管理系统的运行需求，也能够进行内部资源共享。该方案的设计与实施成本较为低廉，原先的投资得到了极大的保护利用，而且各内网网络拓扑结构也不需要进行大的改动。

3 结语

基于PKI体系的VPN技术能够提供远程访问，建立多个网络间的可信安全连接，实现异地多校区间的资源共享，同时可以节约实现成本，降低运维费用，提高服务质量，因此非常适合用于多校区之间的网络融合。随着VPN和PKI技术的发展，将更加发挥其技术优势，为用户提供性能更高、功能更强的解决方案。

［1］何宝宏,田辉.IP虚拟专用网技术[M].北京:人民邮电出版社,2008:1-8.

［2］吴志华.基于IPSec的电子政务MPLS VPN实现[J].信息安全与通信保密,2011(11):57-59.

［3］张梅,张红旗,杜学绘.基于PKI的SSL协议的描述及安全性分析[J].微计算机信息,2006(12):51-53.

［4］钱爱增.PKI与VPN技术在校园网内部资源安全问题中的应用研究[J].中国教育信息,2008(9):77-80.

［5］罗智勇,乔佩利.一种安全VPN网络的设计与实现[J].佳木斯大学报:自然科学版,2010(1):14-16.