三种主流VPN技术在档案信息共享网络中的应用研究
  作者: zz       更新时间:  2011/04/29 12:45:43  文章来源:EAKMRC

三种主流VPN技术在档案信息共享网络中的应用研究*

项文新
(苏州大学社会学院档案系 苏州 215123)

[摘要] 本文在对三种主流VPN 技术自身特点分析的基础上,从网络安全性、服务质量、方便性、扩展性、经济性和可维护性等六个方面进行了详细比较,找出其各自的优势和弱点。同时根据档案信息资源共享网络组网需求,在档案信息资源共享网络中,充分利用三种VPN 技术各自的优势,将其组合使用,使其扬长避短,从而构建我国档案信息资源共享网络。
[关键词] VPN 档案信息 共享网络

Absract: Abstract: Based on the analysis of the characteristics of three main VPN technologies, this paper carries on a detail comparison among them on network security, quality of service, conveniences, expansibility,economical efficiency and maintainability, from which their advantages and weakness can be identified.According to the demand of archive information resource sharing network construction, all of the three VPN technologies should be used as a combination, thus their advantages could be fully utilized,their weakness would be avoided, and China’s archive information resource sharing network will be constructed.
Key words: VPN;Archive Information;Sharing Network

VPN(Virtual Private Network,虚拟专用网络)是一种在开放网络基础设施上实现信息安全共享的组网技术,目前三种主流VPN 技术为IPSec(IP Security Protocol)VPN、SSL (Secure Sockets Layer)VPN 和MPLS (Multi -Protocol Label Switching)VPN,它们既有共同之处,但又各有其自身的特点,在档案信息资源共享网络中,可将其组合使用,使其扬长避短。

一、档案信息资源共享网络构建概述
档案信息资源共享的前提是档案信息共享网络基础设施的建设。信息资源共享网络的构建一方面需考虑共享信息自身特点,如信息类型、安全需求等,另一方面需考虑用户分布、用户需求等外部因素,档案信息共享网络构建同样如此。如何构建安全性高、QoS(Quality of Service)服务质量好、用户接入方便、扩展性好、成本低和维护简单的档案信息资源共享网络是值得探索的课题。目前比较适合的方式是利用Internet 公网组建档案信息资源共享专网,所使用的技术为已经比较成熟的VPN 虚拟网技术。同时我们可以根据档案信息资源的特点和共享用户的需求,采用多种VPN 技术组合组网,从而构建基本能达到上面各方面要求的档案信息资源共享网络。

二、三种主流VPN 技术
Internet 是一个建立在TCP/IP 协议基础上的开放网络,Internet 的安全性能严重不足。为了弥补开放网络安全性的先天不足,VPN 技术在20 世纪90年代初就出现了,目前主流的VPN 技术为IPSecVPN、SSL VPN 和MPLS VPN。VPN 的核心技术是隧道技术。“所谓‘隧道’就是这样一种封装技术,它利用一种网络传输协议,将其他协议产生的数据报文封装在它自己的报文中在网络中传输。在目的局域网和公网的接口处将数据解封装,取出负载。隧道技术是指包括数据封装、传输和解包在内的全过程。” [1]
1.IPSec VPN 技术
IPSec VPN 安全隧道建立在OSI(Open System Interconnection,开放系统互连)七层模型的第三层,即网络层,其包括三个安全封装协议:ESP(Encapsulating Security Payload)数据加密协议、AH(Authentication Header) 数据源验证协议和ISAKMP(Internet Security Association and Key Management
Protocol)密钥交换管理协议。IPSec VPN 支持数据的保密性、完整性、真实性、可追溯性、可认证性。
2.SSL VPN 技术
SSL VPN 安全隧道建立在OSI 七层模型的顶层,即应用层,其协议主要分为两层:SSL 记录协议,它建立在可靠的传输协议(如TCP)之上,提供数据封装、压缩、加密等基本功能的支持;SSL 握手协议,它建立在SSL 记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、
交换加密密钥等。SSL VPN 也支持数据的保密性、完整性、真实性、可追溯性、可认证性。
3.MPLS VPN 技术
MPLS VPN 是利用MPLS 技术创建安全隧道的虚拟专用网,建立在OSI 的第二层数据链路层和第三层网络层间,将第二层的快速交换和第三层的智能路由完美结合,路由和传输效率明显提高。同传统的VPN 不同,MPLS VPN 不依靠加密技术构建隧道,而通过对IP 数据包加多层标记来创建VPN 隧道,并通过标签引导在骨干数据网高速、高效传输。
MPLS VPN 是一种构建站点到站点的VPN 技术,其路由器主要分为三层,从外围到核心依次为用户边缘路由器CE(Customer Edge)、服务商边缘路由器PE(Provide Edge)和服务商骨干网络核心路由器P(Provide)依次相连而成。

三、三种VPN 技术组网性能比较
对于VPN 组网技术性能的衡量主要包括:网络安全性、QoS 服务质量、可扩展性、方便性、经济性和可维护性等方面。
1.安全性
IPSec VPN 的核心功能便是提供数据的加密、认证和验证等安全机制,它允许任何一个应用程序无需修改就可以充分利用其安全特性。但如果在IPSec VPN 两个站点间建立隧道后,可为远程用户敞开所有访问资源,不能做到细粒度的访问控制,这也带来了安全隐患。
SSL VPN 重点在于保护敏感数据,可以根据用户的不同身份,给予不同的访问权限。SSL VPN 基于浏览器的访问意味着几乎可以从任何地方任何计算机访问网络资源,虽然提高了工作效率,但也把网络暴露在无数安全状态不明的计算机面前。
MPLS VPN 通过路由隔离、地址隔离和信息隐藏等多种手段来实现安全隧道,但它并不提供加密、认证等安全服务,信息通过明文传输,存在一定的安
全问题。
2.服务质量
服务质量QoS 是用来解决网络延迟和阻塞等问题的一种技术。IPSec VPN、SSL VPN 都实现加密和认证服务,而且它们都使用IP 网络的数据逐级跳的传输,影响传输速度,服务质量得不到保证。MPLS VPN 可以在骨干网实现高速交换,因此具备一定的QoS 性能。
3.方便性
IPSec VPN 用户接入前需安装客户端软件并进行相关配置,且不同IPSec VPN 生产厂商的客户端软件不一定能相互兼容。SSL VPN 直接使用Web 浏览器,不需要安装客户端软件。MPLS VPN 主要应用于两个或多个局域网间,局域网网管在完成用户边缘路由器CE、服务商完成其边缘路由器PE 和服务商骨干网络核心路由器P 配置后,不同局域网用户就如同在同一网络中,且无需安装客户端软件就可接入。
4.扩展性
IPSec VPN 需修改IP 数据包的IP 头数据、传输层报文头数据甚至传输数据的内容才能够正常工作,所以经过IPSec 处理的IP 包不支持复杂网络的扩展,扩展性一般。
SSL VPN 是为移动用户或用户数量大而设计的,只需在服务器端安装SSL VPN 网关,授权用户就可以用任何接入Internet 网的计算机访问内网资源,因此其扩展性很好。
“MPLS VPN 提供商可简单地将MPLS VPN 配置成全网状结构,企业只需将用户端路由器(CE)与运营商核心路由器(PE)以各种方式相连,CE 上不需做复杂配置,也不需要很高的硬件配置。当有新的CE 加入时,只需在CE 和PE 上作简单的配置即可。同时,由于标签代替了地址,用户可以继续使用原来
的专用地址,不需要做改动。” [2]因此,MPLS VPN 的扩展性很好。
5.经济性
SSL VPN 经济性最好,因为只需在服务器端配置一台VPN 网关设备就行。IPSec VPN 一般需在两个机构之间分别配置VPN 网关设备,经济性一般。MPLS VPN 与专线接入相比,可使接入费用成倍降低,但其需要每个端口的一次性接入费、月租费等,综合来看比其他两种成本大。
6.可维护性
从服务器端维护看,三者相差不大,都是对VPN 网关维护。而从客户端来看,IPSec VPN 需维护客户端软件,可维护性相对较差。SSL VPN 为零维护,与其他两种VPN 相比体现出对移动用户、地理位置分布广用户维护的绝对优势。MPLS VPN 由于用户只需维护CE 路由器, 其他由MPLS VPN 服务提供商维护,甚至CE 也可托管给服务商。因此,MPLS VPN 可维护性好。

四、三种VPN 技术应用选择
1.IPSec VPN
IPSec VPN 适合于总部与分支机构之间构建虚拟专用网络,同时充分发挥其处于网络层而对应用层的透明性,使用户感觉就像在同一个物理局域网。同时,IPSec VPN 强大的安全性,适合对信息安全要求高的虚拟专网构建。但多媒体信息传输时,QoS 得不到保障。
2.SSL VPN
SSL VPN 适合于总部与移动用户、分散用户之间构建虚拟专用网络,因为只要授权用户可以访问内网资源。因此,对于各种开放到公网上的B/S 服务,SSL VPN 是首选的远程访问解决方案。但QoS也得不到保障。
3.MPLS VPN
由于MPLS 利用核心网络进行快速交换,所以MPLS 技术非常适合大型网络的组建。同时由于MPLS VPN 具有很好的QoS 保障,因此可实现语音、视频等多媒体远程通信的安全、可靠服务。

五、档案信息资源共享网络构建基本要求
档案信息资源有别于其它公开信息资源,从资源本身来讲大部分档案信息资源是涉密的,从用户利用的角度来讲对档案信息的真实性要求很高。对于涉密信息资源共享,我国已于2000 年1 月1 日起执行的《计算机信息系统国际联网保密管理规定》中要求“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离”。而对于公开档案信息资源共享,可构建基于政务外网或开放网络Internet 互联网的档案信息资源共享网络。档案信息资源共享网络的构建同样应提出安全要求、服务质量要求、方便性要求、扩展性要求、经济性要求和维护要求。
1.安全要求
信息安全最终目标是保障信息的安全属性,即可用性、完整性、保密性、可追溯性、可认证性等。档案信息安全保障需求同样须确保上面五个安全属性,但档案信息安全保障还应该增加其真实性和可控性两个安全属性。因此,对网络安全性要求高。
2.QoS 服务质量要求
档案信息资源共享对网络的服务质量也具有一定的要求,特别是声像档案共享时,需具有较大的带宽和一定的流量控制,但文本档案共享时对QoS 要求不是太高,不像银行、证券信息的实时性要求高,也不会像网络视频会议要求高QoS。
3.方便性要求
档案信息共享服务的受众面十分广,因为档案信息与国家经济建设、普通百姓的日常工作生活有关,而用户对象的文化层次、计算机水平等是参差不齐的,因此其接入与操作的方便性显得尤为重要。
4.扩展性要求
档案信息资源共享网络随着档案信息资源增加、各种利用需求增加和用户数量增加等需不断进行扩展,一是节点的增加,二是客户端的增加。节点增加主要是指各档案馆、档案室网络节点扩展,包括横向与纵向的节点。而客户端随着节点的增加而不断增加,扩展性要求高。
5.经济性要求
档案信息资源共享网络的构建包括政府内网档案信息资源和政府外网档案信息资源共享,而这两个网是需物理隔离的。对实现内网共享的数字档案馆建设目前政府投入较大,但对政务外网档案资源共享目前以建立档案网站为主要投入,相比内网投入极少。如果为了让更多的用户共享档案信息资源,需寻求经济实惠的外网档案资源共享方式,如用户接入与使用都不必增加太多的投入, 最终以寻求安全并经济的共享方式为目标。
6.维护要求
档案信息资源共享系统维护包括服务器端和客户端,服务器端一般有专业人员维护,而客户端一般需用户自行维护。档案信息资源共享一是用户分布广,二是用户数量多,因此对维护要求是在能保证档案信息安全、用户正常访问的情况下尽量简单。

六、三种VPN 技术在档案信息资源共享中的应用
由于构建档案信息资源共享网有众多需求,如果使用单一VPN 技术可能会顾此失彼,而且目前VPN 自身也向多种技术组合使用的趋势发展。例如,MPLS 技术非常适合大型网络,IPSec 更具有很高的安全性,华为公司较早就推出了基于Quidway系列网络产品平台MPLS 和IPSec 技术的一体化VPN 解决方案。2005 年,深信服科技推出了全球第一台IPSec/SSL 一体化VPN 产品,目前已成为VPN领域的标准配置。在档案信息共享网络中可采用VPN 组合技术或VPN 一体化网关。
作为档案信息资源共享网,由于其安全性要求甚高,在省、市档案信息局域网(假设存储内容为可公开档案信息资源,但也需授权使用,并保障其真实
性、完整性等七个安全属性)接入端应尽量使用IPSec VPN 技术。海量档案信息资源共享需构建大型网络,并保障QoS 服务质量、接入维护简单,因此省部级以上档案馆(包括国家档案馆)应采用MPLSVPN 技术构建,将来如果市/县档案馆信息资源数量剧增,并且用户对QoS 有迫切需求,可考虑MPLS VPN

的CE 用户边界路由器放到市/县档案馆。同时,由于SSL VPN 具有基于Web 界面、不需安装和维护客户端软件、对用户可进行细粒度权限控制、多平台工作等特点,特别适合移动用户对档案信息资源共享的需求,但需加强用户认证。可以“在国家电子政务根CA 的框架内,建立一个全国性的档案行业CA 认证中心。”[3]目前可采用基于公钥技术的CA认证或采用双因子用户认证,并加强用户管理。

七、基于三种VPN 技术的档案信息资源共享网络构建
根据上述对档案信息资源共享网络组网的需求和各种VPN 技术的特点分析, 基于三种主流VPN技术的档案信息资源共享网络构建如上图所示。
在图中,“省局域网”、“市/县局域网” 均指档案信息资源局域网,广域网主要指Internet 互联网。目前我国电信、网通、铁通等提供MPLS VPN 网络接入服务,图中内圈MPLS VPN 域由这些服务商提供,PE、P 由服务商维护,CE 可由接入方维护,也可外包给服务商维护。可先以省级以上档案信息资源局域网接入MPLS VPN,经试用后可推广到下级档案馆接入MPLS VPN。在MPLS VPN 域外的VPN尽量使用IPSec/SSL 一体化网关,这样既可最大限度地保障档案信息安全,又可为移动用户、普通大众提供方便接入。

八、三种VPN 技术在档案信息共享网络应用中面临的问题
在档案信息资源共享组网中似乎将三种VPN技术优势充分发挥,然而任何事物均有其两面性,不仅各种VPN 技术有其自身安全技术漏洞,需从安全技术和安全管理方面加以弥补和防范,同时三种VPN 技术所采用的不同生产厂家设备的兼容性、MPLS VPN 服务跨越不同的运营商等问题也甚为突出。另一方面,从档案信息资源自身安全来讲,涉密档案信息局域网需与外网物理隔离,而是否需在政务外网建立公开档案信息局域网,再通过VPN 接入Internet 广域网,这也值得探讨。

注释与参考文献:
[1]郝辉钱华林.VPN 及其隧道技术研究[J].微电子学与计算机,2004(11):47-51。
[2]陈勇.IPSec VPN SSL VPN 和MPLS VPN的介绍与比较[J].宁波市党校信息化办公室。
[3]毕建新张照余.基于VPN 的全国档案信息网络用户CA 认证研究[J]. 档案学研究,2009(5):59-63,39。

*本论文为国家社会科学基金项目《基于VPN 技术的全国档案信息资源共享网络的构建》(项目编号为:06BTQ032)的研究成果之一。

[作者介绍] 项文新,苏州大学社会学院档案系副教授,研究方向:档案信息化、档案信息安全。

(原文载于:档案学通讯 2010年第6期)

 
湖北大学企业档案与知识管理研究中心·武昌·宝积庵      邮编:430062    电邮:eakmrc@163.com
CopyRight@2007  All Rights Reserved By EAKMRC    版权声明  联系我们  管理入口