VPN技術在社區衛生服務網絡系統的應用研究

徐 華

[摘要]根據蘇州市工業園區社區衛生服務系統對網絡功能的需求,通過現狀分析結合目前主流技術,確定采用VPN技術組建虛擬專用網的建設方案,分別從VPN組網模式、隧道技術、QOS機制等方面進行深入研究,并在該方案中進行具體應用。

[關鍵詞]VPN隧道技術QOS機制

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1210096-02

一、引言

虛擬專用網[1](Virtual Private Network,VPN)是指在公用網絡上建立專用網絡的技術,用戶可以憑借公用網的環境,把屬于自己的網絡用戶終端模擬成自己的專用網,并通過VPN管理站對所屬網絡各部分的端口進行狀態監控、管理等操作。VPN將企業的遠程用戶、分支機構、業務伙伴及出差的辦公人員等通過特定的加密隧道連接起來,構成擴展的企業網,而不需要特別的專線租用。VPN架構中采用了多種安全機制,如加解密技術(Encryption)、密鑰管理技術、身份認證技術(Authentication)等,通過上述的各項網絡安全技術,確保數據在公網絡中傳輸時不被竊取,或是即使被竊取了,對方亦無法讀取數據包內所傳送的資料。

二、蘇州市工業園區社區衛生服務系統網絡解決方案分析

蘇州市工業園區社區衛生服務系統包括園區計算機信息中心、園區社會事業局,3個大社區衛生服務中心(鄉鎮衛生院),5個小的社區衛生服務中心(含衛生院分院),35個社區衛生服務站。由于地域上的距離和網絡發展的不平衡性,園區計算機信息中心、園區社會事業局與各醫療衛生單位間以及各中心衛生院與社區衛生服務站之間缺少互聯互通,各網絡的信息資源不能共享,造成網絡的割裂和信息的孤島。如何將位于不同地點的衛生服務機構網絡互聯互通,就成了必須解決的問題。同時,社區衛生服務信息化項目不斷增加,數據流量和傳輸的要求越來越多,對網絡的要求也不斷的提高。要求通過網絡能實現衛生數據采集,社區公共衛生,健康檔案,從業人員體檢、視頻監控等應用,以及以后要運行的一卡通系統。

為了實現蘇州市工業園區范圍內的社區衛生服務系統位于不同地點的衛生服務機構網絡互聯互通,利用VPN技術可以在蘇州市工業園區政務網上額外組建社區衛生服務Intranet VPN,連接園區社會事業局、社區衛生服務中心和社區衛生服務站,可以保證社區衛生服務信息在整個Intranet VPN上安全高效傳輸。

三、VPN組網

(一)VPN實現模式選擇

VPN實現模式可以分為利用軟件實現和利用硬件實現兩種,這兩種模式目前市場都有應用。若采用軟件實現VPN,組網相對較簡單,現在的Windows操作系統和Linux操作系統都支持VPN技術,在服務器系統中安裝第三方VPN軟件,在客戶機系統中作相應的設置即可投入使用,但通過從市場調研了解到,軟件VPN動態域名解析技術不穩定,實時性不高,由于服務器不是專業的工控設備,服務器系統會存在較大的不穩定性,整個VPN網絡的穩定性無法保證,后期維護較復雜,也有部分用戶反映數據傳輸速度很慢,因此不適合企業級使用。硬件VPN集成了企業級防火墻、上網控制和路由功能,支持全動態IP尋址,網絡平臺的適應性強,擴展性好,網絡運行穩定也無須專業人員維護;可以輕松遠程管理與維護。根據社區的具體情況員工普遍計算機水平不高,各分支機構較無專業人員維護,選擇通過硬件實現VPN比較合適。

(二)選用隧道技術

要構建VPN,選擇隧道技術是關鍵。隧道技術是負責將待傳輸的原始信息經過加密、協議封裝和壓縮處理后,再嵌套裝入另一種協議的數據包送入網絡中,像普通數據包一樣進行傳送。只有該虛擬專用網絡授權的用戶才能對隧道中的數據包進行解釋和處理,而其他用戶則無法處理這些信息,從而保證VPN的遠程用戶或主機和專用網絡的安全連接。當前主流技術有基于IPSec VPN和SSL VPN,現對這兩種技術進行分析比較。

1.IPSec協議[2]。IPSec協議是指IETF(因特網工程任務組)以RFC形式公布的一組安全IP協議集,是為IP及以上協議(TCP和UDP等)提供安全保護的安全協議標準。IPSec提供了兩種安全機制:認證和加密。認證機制使IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭篡改。加密機制通過對數據進行編碼來保證數據的機密性,以防數據在傳輸過程中被竊聽。IPSec協議組包含Authentication Header(AH)協議、Encapsulating Security Payload(ESP)協議和Internet Key Exchange(IKE)協議。其中AH協議定義了認證的應用方法,提供數據源認證和完整性保證;ESP協議定義了加密和可選認證的應用方法,提供可靠性保證。在實際進行IP通信時,可以根據實際安全需求同時使用這兩種協議或選擇使用其中的一種。AH和ESP都可以提供認證服務,不過,AH提供的認證服務要強于ESP。IKE用于密鑰交換。IPSec協議結構如下圖1所示。

圖1IPSec協議結構

其通信過程是首先用戶在應用層發出服務請求,發送的信息將交IPSec模塊處理,IPSec模塊將請求的服務數據封裝為IPSec數據包(遵循AH協議、ESP協議、IKE協議),并添加新的IP報頭;封裝的數據通過物理網卡發送到公網;IPSec網關接收到IPSec數據包并解密論證,若成功則還原IP數據包,服務器提供服務,否則丟棄該數據包。

2.SSL協議[3]。SSL是由Netscape開發出來的一種在讓可持有證書的瀏覽器軟件(比如Internet Explorer、Netacpe Navigator)和WWW服務器之間構造的安全通道中傳輸數據的協議,它運行在TCP/IP層之上、應用層之下。它為TCP/IP連接提供數據加密、服務器論證、消息完整性以及可選的客戶端認證。它不是一個單一的協議,而是由多個協議組成,包括SSL記錄協議、SSL握手協議、SSL修改密文規約協議,警告協議。其體系結構如下圖2所示。

圖2SSL協議體系結構

記錄協議主要完成分組和組合、壓縮和解壓縮以及消息認證和加密等功能。SSL握手協議是用來在客戶端和服務器端傳輸應用數據而建立的安全通信機制。修改密文規約協議用于使用新協商的加密方法和完全性方法。警告協議是指對消息傳達嚴重性進行描述警告。

其基本通訊過程是:客戶端連接至服務器,要求進行身份驗證;服務器通過發送數字證書證明其身份;協商加密算法及用于完整性檢查的哈希函數,通常由客戶端提供它支持的所有算法列表,然后由服務器選擇最強大的加密算法;服務器和客戶端協商會話密鑰;服務器和客戶端分別使用協商好的加密算法及密鑰,對發送數據進行加密,對接受數據進行解密,實現了在服務器和客戶端之間利用加密信道進行通信的目的。

3.兩種協議的比較

IPSec VPN應用比SSL vpn更廣泛,由于SSL vpn僅限于web瀏覽器的應用,對于非web應用的訪問不能實現,例如文件共享、自動文件傳輸、VOIP等,這使得網絡資源的共享受限。而IPSec則可以不通過web接入就實現企業資源的訪問。

IPSec VPN不管在客戶端還是服務器段都需要接入設備,硬件投入較大,在部署安全網關時要考慮拓撲排序,一旦添加新設備就要改變網絡結構,那就需要重新部署,維護不方便。而SSL VPN在客戶端不需要特殊設備,因為瀏覽器中內嵌了SSL協議應用簡單,可以根據需要添加接入點無需改變網絡結構,維護較方便。

由于IPSec VPN是基于網絡層的,標準的IKE協商,密鑰動態生成,但一旦過了IPSec vpn網關,內部就處于無保護狀態,內部數據就有失真的可能。而SSL vpn則采用用戶名密碼認證,雖說不如認證證書安全,但它是點對點全程保護,對于不同的用戶名可以給予不同的操作權限。

該方案建設原則是即要滿足網絡應用的需要,又要降低建網成本管理維護方便。通過這兩種協議比較,結合實際情況在組網時選擇IPSec VPN與SSL VPN相結合,也就是在一套網關設備上部署兩套VPN,在計算機信息中心、社會事業局、社區服務中心部署VPN設備配置兩種協議,而在各衛生服務站部署SSL VPN。兩者優勢互補,組網拓撲結構如圖3所示。

圖3組網拓撲結構

(三)QOS機制

QoS(Quality of Service)即服務質量指網絡提供更高優先服務的一種能力,包括傳輸的帶寬、傳送的時延、數據的丟包率等。網絡資源總是有限的,只要存在搶奪網絡資源的情況,就會出現服務質量的要求。服務質量是相對網絡業務而言的,在保證某類業務的服務質量的同時,可能就是在損害其它業務的服務質量。例如,在網絡總帶寬固定的情況下,如果某類業務占用的帶寬越多,那么其他業務能使用的帶寬就越少,可能會影響其他業務的使用。因此,在網絡建設中需要考慮怎樣對網絡資源進行合理的規劃和分配,從而使網絡資源得到高效利用。

若網絡應用中僅有web或email等普通無時間限制的應用系統,當然不必考慮網絡服務質量,但在該方案中存在文件備份、語音、多媒體等數據的傳輸,對數據的及時性、時延等有較高的要求,因此需要引入QOS機制。

QoS的配置方式分為QoS策略配置方式和非QoS策略配置方式兩種,該方案采用QoS策略配置。

對VPN設備接口的入站方向的流量,實施以下qos處理[4]:

1.分類(Classifying),為每一類流量(符合某類特征的報文)產生一個報文攜帶優先級(如IP優先級、 DSCP優先級)。

2.策略(Policing),對于每一類流量進行帶寬和速率限制。

3.標識(Marking),對于每一類流量進行按條件的標識處理。

對VPN設備接口的出站方向的流量,實施以下qos處理:

4.排隊(Queueing):對每一類流量選擇一個合適的接口出站隊列(每接口自動有四個出站隊列)

5.調度服務(Scheduling services):根據隊列的權值(如:基于WRR隊列設定的weights值)進行優先轉發。

四、采用該方案的優勢

1.降低成本簡化網絡設計。借助ISP,可以使用VPN替代租用專線來實現分支機構的連接,降低通信費用;同時只要對遠程鏈路進行少量的安裝、配置和管理,可以極大地簡化網絡的設計。

2.可擴充性和靈活性。VPN可以支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

3.可管理性。在VPN管理方面,VPN可以將網絡管理功能從局域網無縫地延伸到公用網,很容易實現VPN安全管理。借助目錄服務管理方式[5],能更有效管理VPN系統,網絡管理人員能隨時跟蹤和掌握:系統的使用者、連接數目、異常活動、出錯情況,以及其他可能預示出現設備故障或網絡受到攻擊等現象。

五、結束語

隨著網絡應用不斷深入,VPN技術在快速發展,從2000第一代需要固定的公網IP,第二代需要動態公網IP,發展到第三代任何上網方式都可實現VPN。這項技術雖說還有很多要改進的地方(如對數據的不可否認性不能保障等),但基于公網的VPN通過隧道技術以及QOS機制使得企業在網絡建設中能有效地降低成本,高效安全建設自己的企業網,深受企業的歡迎,因而將有其廣闊的發展前景。

參考文獻:

[1]VPN教程,http://cisco.ccxx.net/cisco.

[2]曾章勇、王玲,IPSec VPN與防火墻協同工作的系統設計與實現[J].通信技術,2008第9期41卷.

[3]史春光,淺析基于SSL協議的VPN技術[J].信息技術,2009第3期.

[4]QOS技術介紹,http://www.h3c.com.cn/Products_Technology/Techno

logy/QoS.

[5]VPN管理未來發展方向:目錄管理,http://www.enet.com.cn/article/.