基于ＶＰＮ技術的軍事物流信息系統應用研究

摘要：傳統的聯網方式已難以適應現代信息化技術發展對軍事物流信息化的要求，VPN（虛擬專用網絡）技術提供了一種既安全可靠又節省成本的組網方式，通過對VPN技術及其在信息系統應用中的優勢進行相關研究，提出了軍事物流信息系統建設中VPN實施方案，最后結合具體實例對VPN規劃與使用進行了論述。

關鍵詞：VPN；軍事物流；信息系統；網絡安全

中圖分類號：F224.33文獻標識碼：A文章編號：1002-3100(2008)06-0078-04

Abstract: By step of information era is faster more faster. The rhythm of the military logistics information network system development does not keep up way with the pace of the modern information technology. So， in the paper， introduces the notion of the VPN（Virtual Private Network）technology， gives us a new way of construct network which is no more safety and security but more economics than tradition means， then discusses the concept， character， physical structure of VPN technology and puts forward the military logistics decision support system based on VPN technology in the construction of the military logistic information system. Latterly the paper gives out a logistic information system sample based on VPN technology， discusses the structure and the ways to building of information network on VPN. Finally figures out the prospect of the VPN technology on the military logistics decision system.

Key words: VPN; military logistics; information system; network safeguard

0引言

以信息化為主旋律的新軍事變革迅猛發展，加速了整個戰爭形態的轉變，引發了軍隊建設模式的轉變，建設現代軍事物流的目標就在于為部隊提供適時、適地、適量的裝備和物資，以滿足部隊平、戰時需要，而要實現這一目標的核心是實現軍事物流信息化，用信息技術來支撐，控制軍事物流，使其成為軍事物流系統精確、可靠運轉的平臺。

網絡控制技術是軍事物流信息化管理與控制的根本，其迅猛發展，對以信息技術為根本的軍事物流系統提供了極佳的機會。隨著電子商務、遠程辦公、物資統購和軍隊綜合信息網絡的發展對有功能、任務雙重特殊性的軍隊物流系統來說，用戶對專用網絡的需求也越來越大，同時，對于物流來往業務數據流的不斷增長，用戶對網絡的高性能、可靠性、靈活性、安全性、經濟性和可擴展性等方面提出了更高的要求，而傳統的基于固定地點和租用地方專線（DDN、ATM/帖中繼）的聯網方式已難以適應現代信息化技術發展對軍事物流信息系統的要求，尤其是一些特殊的應用，如異地辦公和外來人員訪問內部網絡等問題上，利用Internet（軍事綜合信息網）的資源來組建虛擬專用網絡（VPN）成為一種新的選擇。

1VPN技術的概述

VPN（Virtual Private Network）是以公共開放的網絡（如Internet、幀中繼ATM等）作為基本傳輸媒介，利用加密、認證、密鑰交換技術等技術對信息進行封裝，在公用網上開辟一條專用的隧道，向最終用戶提供類似于專用網絡（Private Network）性能的網絡服務技術。如圖1所示，虛擬專用網通過安全的數據通道將公司總部同遠程用戶、合作伙伴以及分支機構在公共網絡上連接起來。使得合法的用戶可以安全地訪問內部（專用）網絡的私有數據，它可以替代專線把單位的遠程分機、各個客戶端及移動客戶端連接到單位的內部網絡，虛擬專用網對用戶端透明，用戶好像使用單獨的一條專用線一樣。

所謂的虛擬，是指用戶不需要擁有實際的數據線路，而是使用現有的Intranet/Internet公眾網數據線路。專用網絡是指僅限于特定的人或組織的，根據自身的需求而制定的特定的計算機網絡。也就是說，VPN網絡就是在公用網絡的基礎上構建的私有專用網絡，它利用公共網絡來構建專用網絡，通過特殊的硬件設計和軟件直接共享的IP網建立虛擬的加密通道連接。其在邏輯上獨立于公網而又離不開公網，且又自成體系，在應用上向用戶提供專用的網絡，使用戶具有等同于單獨專線直連的通信功能。

要實現VPN連接，單位內部網絡必須提供VPN服務，VPN同時連接到單位內部網絡和Internet。當系統客戶端通過VPN連接與內部專用網絡中的服務器進行通信時，先由ISP將所有的數據傳送到內部網絡的目標服務器，實現訪問時的安全、高效。

2采用VPN網絡系統的優勢

VPN在公共網上構建虛擬專用網，進行數據通信，需要滿足通信安全的需要。這些要求主要有3個方面：身份認證、數據保密性和數據完整性。身份認證確保數據是從正確的發送方所發送的；數據保密性以確保數據傳輸時外人無法看到或獲得正確數據；數據完整性以確保數據在傳輸過程中沒有被非法改動。建立虛擬專用網時，必須使網絡滿足上述三個安全需要，這樣才是真正安全的虛擬專用網。

2.1為了滿足上面3個方面的安全性要求，VPN采取了相應的保證安全的措施

VPN技術主要采用4種安全技術：

2.1.1安全隧道技術（secure tunneling）是VPN的一項基本技術，主要做的工作是將待傳輸的原始信息經加密、協議封裝和壓縮處理后再嵌套入另一種協議的數據包中，然后送入網絡中像普通數據包一樣進行傳輸。

2.1.2密鑰管理技術（key management）主要用于在公用數據網上安全地傳輸密鑰。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則在網絡上傳輸密鑰。在ISAKMP中，雙方都有兩把密鑰，即有各自的公鑰和私鑰。

2.1.3訪問控制技術（access control）是由VPN服務的提供者根據用戶身份標識來限制其訪問某些信息項或使用某些控制的權限的技術。

2.1.4用戶身份認證技術（user authentication）是相對比較成熟的一類技術，是在正式的隧道連接開始前進行用戶身份確認，以便系統進一步實施相應的資源訪問控制和用戶授權。

VPN使用隧道技術（Tunneling）身份驗證（Authentication）、密鑰管理技術（Key Management）和解密技術（Encryption Decryption）等4個方面技術保證了通信的安全性。客戶機向VPN服務器發出請求，VPN服務器響應請求并向客戶機進行身份質詢，客戶機將加密的響應信息發送到VPN服務器，VPN服務器根據用戶數據庫檢查該響應，如果該帳戶有效，VPN服務器將檢查該用戶是否具有遠程訪問權限，如果該用戶擁有遠程訪問權限，VPN服務器接受此連接。在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密。

2.2使用VPN技術有以下幾點優勢

2.2.1安全保障。通過提供身份認證、訪問控制、數據加密及數據完整來保障其安全可靠性。

2.2.2服務質量保證（QoS）。QoS是指數據包在一個或多個網絡的傳輸過程中所表現的各種性能的具體描述，如丟包率、延遲等。VPN根據用戶需求為用戶提供不同等級的服務質量保證，為重要的數據提供可靠的帶寬。VPN與一些網絡技術如（UPSee、MPLS）的結合能夠為需要服務質量保證的用戶提供不同程度的QoS保證。

2.2.3可擴充性和靈活性。VPN支持通過Intranet的任何類型數據流，方便增加新的節點，支持多種類型的傳輸媒介，可滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸及帶寬增加的需求。

2.2.4可管理性。在VPN管理方面，VPN要求用戶將管理功能從內部網絡無縫地延伸到公網，主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等，從用戶角度和網絡上層結構都可以方便快捷的進行管理維護，其具有減少網絡風險、增強高擴展性、經濟性、高可靠性優點。

2.2.5支持新興的應用。現在許多專用網對新興的應用技術準備不足，如那些要求高帶寬的多媒體和協作交互應用。而VPN則可以支持各種高級的應用，如IP語音、IP傳真，還有各種協議，如RSIP、Ipv6等新興技術。

3軍事物流信息系統VPN建設解決方案

目前，主要有三種類型的VPN可以供軍事物流信息化系統建設選擇：遠程訪問虛擬網、內部物流信息虛擬網和擴展虛擬網三種，這三種類型的VPN分別與傳統的遠程訪問網絡、內部的Intranet以及倉儲物流信息網和相關的信息網絡系統合作而構成的Extranet相對應。

3.1Access VPN

Access VPN通過一個擁有與專用網絡相同策略的共享基礎設施，提供對倉儲信息化內部網或軍事綜合信息網的遠程訪問。Access VPN能使用戶隨時、隨地以其所需的方式訪問信息系統內部資源。Access VPN包括模擬、撥號、ISN、數字用戶線路（ADSL）、移動IP和電纜技術，能夠安全地連接移動用戶（諸如手持PDA系統）、遠程接入或分支系統等。

Access VPN主要適應于軍事物流系統內部經常有人員流動、遠程辦公用戶比較多的情況，或者各個物流系統需要B2C的安全訪問服務。這樣，不在當地的員工、用戶可以利用當地的ISP提供的服務，就可以和物流系統的VPN網狀建立私有的隧道連接，而VPN內部服務器就可以對用戶及員工進行驗證和授權，從而更好地保證連接的安全。

采用Access VPN的優勢在于：

3.1.1減少用于相關的調制解調器和終端服務設備的資金及費用，簡化網絡。

3.1.2實現本地的撥號接入的功能來取代遠距離接入或電話接入，這樣能顯著降低遠距離通信的費用。

3.1.3極大地擴展性，簡便的對加入網絡的新用戶進行調度，特別是臨時訪問的用戶。

3.1.4遠端驗證撥入用戶服務（RADIUS）基于標準，基于策略功能的安全服務。

3.2Intranet VPN

越來越多的物流單位在全國各地都有自己的物流倉儲基地、采購地、購銷地、質量檢驗場所等，各個分物流系統之間的傳統網絡為加強保密，大部分都是租用專線專用。然而，隨著業務開展的越來越廣泛，網絡結構趨于復雜，費用也昂貴。而利用VPN特性可以在Internet或利用軍事綜合信息網建立廣范圍的Intranet VPN，利用Internet的特性保證網絡的互聯性，而利用隧道技術、加密技術等VPN技術可以保證信息在整個Intranet VPN上的安全傳輸。Intranet VPN通過一個使用專用連接的共享基礎設施，連接總部、遠程辦事機構及各分支機構。

Intranet VPN的優勢在于：

3.2.1減少WAN帶寬的費用。

3.2.2能使用靈活的拓撲結構，包括全網絡連接。

3.2.3新的站點能更快，更容易地被連接。

3.2.4通過設備供應商WAN的連接冗余，可以延長網絡的可用時間。

在軍事物流信息系統體系單位中，基本上都建成了自己的局域網系統，因而可以充分的利用Intranet VPN實現網絡的遠程連接，它可以實現在現有網絡基礎上的實現各分支機構、采購系統等部分的互聯互通。

3.3Extranet VPN

各個軍事物流信息系統越來越重視各種信息的處理，希望可以提供給客戶最快捷方便的信息服務，通過各種方式了解客戶的需要，同時各個應用系統之間的合作關系也越來越多，信息交換也日益頻繁。Internet為這樣的一種發展趨勢提供了良好的基礎，而如何利用Internet進行有效的信息管理，是不可避免的一個關鍵問題。利用VPN技術可以組建安全的Extranet VPN，既可以向客戶、合作伙伴提供有效的信息服務，又可以保證自身的內部網絡的安全。Extranet VPN通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到系統內部網。

Extranet VPN的優勢在于：能容易地對外部網進行部署和管理，外部網的連接可以使用與部署內部網和遠端訪問VPN相同的架構和協議進行部署。主要的不同是接入許可，外部網的用戶被許可，只有一次機會連接到其合作人的網絡。

3.4VPN網絡模式的選擇

不同的軍事物流企業可以根據自己的實際情況來選擇上述一種來建設適合自己的VPN網絡系統，不同模式的系統可以很好地適應于自己的對應模式，切記追求大而全，造成功能與費用的浪費。同時，在建設方式上可以根據自己的實力和技術能力，采取自建和外包的形式。

4軍事物流信息系統VPN網絡節點與接入模式設計舉例

VPN網絡系統采用分布式安全策略，確保網絡安全、穩定，專網方案在匯聚層交換機、核心層交換機上啟動防火墻功能，可以提供在匯聚層的防火墻功能，制定分布式的安全策略，在最靠近攻擊者的位置保護整個網絡，并減少核心層防火墻的性能壓力，從而提高整體網絡的性能和安全性，因而對于高安全性和保密性的軍事物流系統來說更顯得尤為實用。圖2為一個軍事物流系統單元節點——后方油料倉庫的信息網絡系統拓撲設計。

后方油料倉庫是軍事物流系統中一個重要的節點，利用VPN技術建立信息系統網絡，可以通過基于硬件數據加密技術的虛擬網，保證油庫局域網通過VPN接入軍事綜合信息網，保證基層單位的信息安全，可以按照軍隊現行的業務管理體制，更好地融入到油料供應管理虛擬專網（VPN）。

在系統自身信息局域網接入軍事信息骨干網可以使用一臺VPN網關，采用雙連接方式分別連接兩臺核心交換機。以最大限度地保證網絡的穩定性和可靠性，杜絕任何單點故障，并通過啟用防火墻功能提高網絡安全性，保障核心節點免受外來攻擊，并將網絡分成內網、外網和數據服務器三個區域，確保服務器群的安全，局域網通過VPN網關同上級業務部門節點VPN網關之間建立VPN隧道以保證數據傳輸的安全性，同時采用VPN網關的用戶認證、漏洞掃描、入侵監測等功能實現全方位的安全防范。系統接入軍事綜合信息網的方式根據防火墻的運行模式和具體設備連接情況可以選用不同的接入模式。

模式1：用戶網絡通過三層交換機接入，保密機和防火墻處于互聯地址段，由于三層交換機具有路由功能，因此防火墻工作于網橋模式，網絡拓撲如圖3所示。

模式2：此模式下，因為二層交換機沒有路由功能，用戶網絡通過防火墻接入，保密機處于互聯地址段，防火墻工作于路由模式，網絡拓撲如圖4所示。

5結束語

VPN是一種高速、可靠、安全、廉價的遠程網絡互聯方案，旨在公網上實現私有網絡連接的技術，它充分利用了現有的網絡資源，為企業提供一種經濟、高效、靈活和安全的連網方式。VPN技術的應用降低網絡的運營成本，提高資源利用效率，具有明顯的應用價值。隨著軍事物流信息化進程的加快，特別是新興技術諸如電子商務、電子政務以及遠程教育、遠程辦公、管理等應用的推動，VPN網絡技術將會發揮更大的優勢，必將成為未來軍事物流信息系統網絡安全的一項重要技術和遠程網絡互聯理想的解決方案，具有廣闊的發展和應用前景。

參考文獻：

[1] 丁立言. 物流系統工程[M]. 北京：清華大學工業出版社，2000.

[2] 張瑞鵬，何世偉. 社會化現代軍事物流體系優化著眼點分析[J]. 物流技術，2006(3):214-216.

[3] 王峰，姜大立. 軍事物流學[M]. 北京：中國物資出版社，2006.

[4] 劉宇翔. 基于VPN的圖書館系統研究[J]. 科技資訊，2006(21):106-107.

[5] 張建軍，田偉. VPN在企業信息網絡建設中的應用[J]. 網絡安全技術與應用，2006(7):51-53.

[6] 黃世權. VPN技術及其應用分析研究[J]. 計算機與數學工程，2006(6):64-66.