基于ＶＰＮ技術(shù)的軍事物流信息系統(tǒng)應(yīng)用研究

摘要：傳統(tǒng)的聯(lián)網(wǎng)方式已難以適應(yīng)現(xiàn)代信息化技術(shù)發(fā)展對軍事物流信息化的要求，VPN（虛擬專用網(wǎng)絡(luò)）技術(shù)提供了一種既安全可靠又節(jié)省成本的組網(wǎng)方式，通過對VPN技術(shù)及其在信息系統(tǒng)應(yīng)用中的優(yōu)勢進(jìn)行相關(guān)研究，提出了軍事物流信息系統(tǒng)建設(shè)中VPN實施方案，最后結(jié)合具體實例對VPN規(guī)劃與使用進(jìn)行了論述。

關(guān)鍵詞：VPN；軍事物流；信息系統(tǒng)；網(wǎng)絡(luò)安全

中圖分類號：F224.33文獻(xiàn)標(biāo)識碼：A文章編號：1002-3100(2008)06-0078-04

Abstract: By step of information era is faster more faster. The rhythm of the military logistics information network system development does not keep up way with the pace of the modern information technology. So， in the paper， introduces the notion of the VPN（Virtual Private Network）technology， gives us a new way of construct network which is no more safety and security but more economics than tradition means， then discusses the concept， character， physical structure of VPN technology and puts forward the military logistics decision support system based on VPN technology in the construction of the military logistic information system. Latterly the paper gives out a logistic information system sample based on VPN technology， discusses the structure and the ways to building of information network on VPN. Finally figures out the prospect of the VPN technology on the military logistics decision system.

Key words: VPN; military logistics; information system; network safeguard

0引言

以信息化為主旋律的新軍事變革迅猛發(fā)展，加速了整個戰(zhàn)爭形態(tài)的轉(zhuǎn)變，引發(fā)了軍隊建設(shè)模式的轉(zhuǎn)變，建設(shè)現(xiàn)代軍事物流的目標(biāo)就在于為部隊提供適時、適地、適量的裝備和物資，以滿足部隊平、戰(zhàn)時需要，而要實現(xiàn)這一目標(biāo)的核心是實現(xiàn)軍事物流信息化，用信息技術(shù)來支撐，控制軍事物流，使其成為軍事物流系統(tǒng)精確、可靠運(yùn)轉(zhuǎn)的平臺。

網(wǎng)絡(luò)控制技術(shù)是軍事物流信息化管理與控制的根本，其迅猛發(fā)展，對以信息技術(shù)為根本的軍事物流系統(tǒng)提供了極佳的機(jī)會。隨著電子商務(wù)、遠(yuǎn)程辦公、物資統(tǒng)購和軍隊綜合信息網(wǎng)絡(luò)的發(fā)展對有功能、任務(wù)雙重特殊性的軍隊物流系統(tǒng)來說，用戶對專用網(wǎng)絡(luò)的需求也越來越大，同時，對于物流來往業(yè)務(wù)數(shù)據(jù)流的不斷增長，用戶對網(wǎng)絡(luò)的高性能、可靠性、靈活性、安全性、經(jīng)濟(jì)性和可擴(kuò)展性等方面提出了更高的要求，而傳統(tǒng)的基于固定地點和租用地方專線（DDN、ATM/帖中繼）的聯(lián)網(wǎng)方式已難以適應(yīng)現(xiàn)代信息化技術(shù)發(fā)展對軍事物流信息系統(tǒng)的要求，尤其是一些特殊的應(yīng)用，如異地辦公和外來人員訪問內(nèi)部網(wǎng)絡(luò)等問題上，利用Internet（軍事綜合信息網(wǎng)）的資源來組建虛擬專用網(wǎng)絡(luò)（VPN）成為一種新的選擇。

1VPN技術(shù)的概述

VPN（Virtual Private Network）是以公共開放的網(wǎng)絡(luò)（如Internet、幀中繼ATM等）作為基本傳輸媒介，利用加密、認(rèn)證、密鑰交換技術(shù)等技術(shù)對信息進(jìn)行封裝，在公用網(wǎng)上開辟一條專用的隧道，向最終用戶提供類似于專用網(wǎng)絡(luò)（Private Network）性能的網(wǎng)絡(luò)服務(wù)技術(shù)。如圖1所示，虛擬專用網(wǎng)通過安全的數(shù)據(jù)通道將公司總部同遠(yuǎn)程用戶、合作伙伴以及分支機(jī)構(gòu)在公共網(wǎng)絡(luò)上連接起來。使得合法的用戶可以安全地訪問內(nèi)部（專用）網(wǎng)絡(luò)的私有數(shù)據(jù)，它可以替代專線把單位的遠(yuǎn)程分機(jī)、各個客戶端及移動客戶端連接到單位的內(nèi)部網(wǎng)絡(luò)，虛擬專用網(wǎng)對用戶端透明，用戶好像使用單獨的一條專用線一樣。

所謂的虛擬，是指用戶不需要擁有實際的數(shù)據(jù)線路，而是使用現(xiàn)有的Intranet/Internet公眾網(wǎng)數(shù)據(jù)線路。專用網(wǎng)絡(luò)是指僅限于特定的人或組織的，根據(jù)自身的需求而制定的特定的計算機(jī)網(wǎng)絡(luò)。也就是說，VPN網(wǎng)絡(luò)就是在公用網(wǎng)絡(luò)的基礎(chǔ)上構(gòu)建的私有專用網(wǎng)絡(luò)，它利用公共網(wǎng)絡(luò)來構(gòu)建專用網(wǎng)絡(luò)，通過特殊的硬件設(shè)計和軟件直接共享的IP網(wǎng)建立虛擬的加密通道連接。其在邏輯上獨立于公網(wǎng)而又離不開公網(wǎng)，且又自成體系，在應(yīng)用上向用戶提供專用的網(wǎng)絡(luò)，使用戶具有等同于單獨專線直連的通信功能。

要實現(xiàn)VPN連接，單位內(nèi)部網(wǎng)絡(luò)必須提供VPN服務(wù)，VPN同時連接到單位內(nèi)部網(wǎng)絡(luò)和Internet。當(dāng)系統(tǒng)客戶端通過VPN連接與內(nèi)部專用網(wǎng)絡(luò)中的服務(wù)器進(jìn)行通信時，先由ISP將所有的數(shù)據(jù)傳送到內(nèi)部網(wǎng)絡(luò)的目標(biāo)服務(wù)器，實現(xiàn)訪問時的安全、高效。

2采用VPN網(wǎng)絡(luò)系統(tǒng)的優(yōu)勢

VPN在公共網(wǎng)上構(gòu)建虛擬專用網(wǎng)，進(jìn)行數(shù)據(jù)通信，需要滿足通信安全的需要。這些要求主要有3個方面：身份認(rèn)證、數(shù)據(jù)保密性和數(shù)據(jù)完整性。身份認(rèn)證確保數(shù)據(jù)是從正確的發(fā)送方所發(fā)送的；數(shù)據(jù)保密性以確保數(shù)據(jù)傳輸時外人無法看到或獲得正確數(shù)據(jù)；數(shù)據(jù)完整性以確保數(shù)據(jù)在傳輸過程中沒有被非法改動。建立虛擬專用網(wǎng)時，必須使網(wǎng)絡(luò)滿足上述三個安全需要，這樣才是真正安全的虛擬專用網(wǎng)。

2.1為了滿足上面3個方面的安全性要求，VPN采取了相應(yīng)的保證安全的措施

VPN技術(shù)主要采用4種安全技術(shù)：

2.1.1安全隧道技術(shù)（secure tunneling）是VPN的一項基本技術(shù)，主要做的工作是將待傳輸?shù)脑夹畔⒔?jīng)加密、協(xié)議封裝和壓縮處理后再嵌套入另一種協(xié)議的數(shù)據(jù)包中，然后送入網(wǎng)絡(luò)中像普通數(shù)據(jù)包一樣進(jìn)行傳輸。

2.1.2密鑰管理技術(shù)（key management）主要用于在公用數(shù)據(jù)網(wǎng)上安全地傳輸密鑰。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則在網(wǎng)絡(luò)上傳輸密鑰。在ISAKMP中，雙方都有兩把密鑰，即有各自的公鑰和私鑰。

2.1.3訪問控制技術(shù)（access control）是由VPN服務(wù)的提供者根據(jù)用戶身份標(biāo)識來限制其訪問某些信息項或使用某些控制的權(quán)限的技術(shù)。

2.1.4用戶身份認(rèn)證技術(shù)（user authentication）是相對比較成熟的一類技術(shù)，是在正式的隧道連接開始前進(jìn)行用戶身份確認(rèn)，以便系統(tǒng)進(jìn)一步實施相應(yīng)的資源訪問控制和用戶授權(quán)。

VPN使用隧道技術(shù)（Tunneling）身份驗證（Authentication）、密鑰管理技術(shù)（Key Management）和解密技術(shù)（Encryption Decryption）等4個方面技術(shù)保證了通信的安全性。客戶機(jī)向VPN服務(wù)器發(fā)出請求，VPN服務(wù)器響應(yīng)請求并向客戶機(jī)進(jìn)行身份質(zhì)詢，客戶機(jī)將加密的響應(yīng)信息發(fā)送到VPN服務(wù)器，VPN服務(wù)器根據(jù)用戶數(shù)據(jù)庫檢查該響應(yīng)，如果該帳戶有效，VPN服務(wù)器將檢查該用戶是否具有遠(yuǎn)程訪問權(quán)限，如果該用戶擁有遠(yuǎn)程訪問權(quán)限，VPN服務(wù)器接受此連接。在身份驗證過程中產(chǎn)生的客戶機(jī)和服務(wù)器公有密鑰將用來對數(shù)據(jù)進(jìn)行加密。

2.2使用VPN技術(shù)有以下幾點優(yōu)勢

2.2.1安全保障。通過提供身份認(rèn)證、訪問控制、數(shù)據(jù)加密及數(shù)據(jù)完整來保障其安全可靠性。

2.2.2服務(wù)質(zhì)量保證（QoS）。QoS是指數(shù)據(jù)包在一個或多個網(wǎng)絡(luò)的傳輸過程中所表現(xiàn)的各種性能的具體描述，如丟包率、延遲等。VPN根據(jù)用戶需求為用戶提供不同等級的服務(wù)質(zhì)量保證，為重要的數(shù)據(jù)提供可靠的帶寬。VPN與一些網(wǎng)絡(luò)技術(shù)如（UPSee、MPLS）的結(jié)合能夠為需要服務(wù)質(zhì)量保證的用戶提供不同程度的QoS保證。

2.2.3可擴(kuò)充性和靈活性。VPN支持通過Intranet的任何類型數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸及帶寬增加的需求。

2.2.4可管理性。在VPN管理方面，VPN要求用戶將管理功能從內(nèi)部網(wǎng)絡(luò)無縫地延伸到公網(wǎng)，主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等，從用戶角度和網(wǎng)絡(luò)上層結(jié)構(gòu)都可以方便快捷的進(jìn)行管理維護(hù)，其具有減少網(wǎng)絡(luò)風(fēng)險、增強(qiáng)高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性優(yōu)點。

2.2.5支持新興的應(yīng)用。現(xiàn)在許多專用網(wǎng)對新興的應(yīng)用技術(shù)準(zhǔn)備不足，如那些要求高帶寬的多媒體和協(xié)作交互應(yīng)用。而VPN則可以支持各種高級的應(yīng)用，如IP語音、IP傳真，還有各種協(xié)議，如RSIP、Ipv6等新興技術(shù)。

3軍事物流信息系統(tǒng)VPN建設(shè)解決方案

目前，主要有三種類型的VPN可以供軍事物流信息化系統(tǒng)建設(shè)選擇：遠(yuǎn)程訪問虛擬網(wǎng)、內(nèi)部物流信息虛擬網(wǎng)和擴(kuò)展虛擬網(wǎng)三種，這三種類型的VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、內(nèi)部的Intranet以及倉儲物流信息網(wǎng)和相關(guān)的信息網(wǎng)絡(luò)系統(tǒng)合作而構(gòu)成的Extranet相對應(yīng)。

3.1Access VPN

Access VPN通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對倉儲信息化內(nèi)部網(wǎng)或軍事綜合信息網(wǎng)的遠(yuǎn)程訪問。Access VPN能使用戶隨時、隨地以其所需的方式訪問信息系統(tǒng)內(nèi)部資源。Access VPN包括模擬、撥號、ISN、數(shù)字用戶線路（ADSL）、移動IP和電纜技術(shù)，能夠安全地連接移動用戶（諸如手持PDA系統(tǒng)）、遠(yuǎn)程接入或分支系統(tǒng)等。

Access VPN主要適應(yīng)于軍事物流系統(tǒng)內(nèi)部經(jīng)常有人員流動、遠(yuǎn)程辦公用戶比較多的情況，或者各個物流系統(tǒng)需要B2C的安全訪問服務(wù)。這樣，不在當(dāng)?shù)氐膯T工、用戶可以利用當(dāng)?shù)氐腎SP提供的服務(wù)，就可以和物流系統(tǒng)的VPN網(wǎng)狀建立私有的隧道連接，而VPN內(nèi)部服務(wù)器就可以對用戶及員工進(jìn)行驗證和授權(quán)，從而更好地保證連接的安全。

采用Access VPN的優(yōu)勢在于：

3.1.1減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費用，簡化網(wǎng)絡(luò)。

3.1.2實現(xiàn)本地的撥號接入的功能來取代遠(yuǎn)距離接入或電話接入，這樣能顯著降低遠(yuǎn)距離通信的費用。

3.1.3極大地擴(kuò)展性，簡便的對加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度，特別是臨時訪問的用戶。

3.1.4遠(yuǎn)端驗證撥入用戶服務(wù)（RADIUS）基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)。

3.2Intranet VPN

越來越多的物流單位在全國各地都有自己的物流倉儲基地、采購地、購銷地、質(zhì)量檢驗場所等，各個分物流系統(tǒng)之間的傳統(tǒng)網(wǎng)絡(luò)為加強(qiáng)保密，大部分都是租用專線專用。然而，隨著業(yè)務(wù)開展的越來越廣泛，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費用也昂貴。而利用VPN特性可以在Internet或利用軍事綜合信息網(wǎng)建立廣范圍的Intranet VPN，利用Internet的特性保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道技術(shù)、加密技術(shù)等VPN技術(shù)可以保證信息在整個Intranet VPN上的安全傳輸。Intranet VPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接總部、遠(yuǎn)程辦事機(jī)構(gòu)及各分支機(jī)構(gòu)。

Intranet VPN的優(yōu)勢在于：

3.2.1減少WAN帶寬的費用。

3.2.2能使用靈活的拓?fù)浣Y(jié)構(gòu)，包括全網(wǎng)絡(luò)連接。

3.2.3新的站點能更快，更容易地被連接。

3.2.4通過設(shè)備供應(yīng)商WAN的連接冗余，可以延長網(wǎng)絡(luò)的可用時間。

在軍事物流信息系統(tǒng)體系單位中，基本上都建成了自己的局域網(wǎng)系統(tǒng)，因而可以充分的利用Intranet VPN實現(xiàn)網(wǎng)絡(luò)的遠(yuǎn)程連接，它可以實現(xiàn)在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上的實現(xiàn)各分支機(jī)構(gòu)、采購系統(tǒng)等部分的互聯(lián)互通。

3.3Extranet VPN

各個軍事物流信息系統(tǒng)越來越重視各種信息的處理，希望可以提供給客戶最快捷方便的信息服務(wù)，通過各種方式了解客戶的需要，同時各個應(yīng)用系統(tǒng)之間的合作關(guān)系也越來越多，信息交換也日益頻繁。Internet為這樣的一種發(fā)展趨勢提供了良好的基礎(chǔ)，而如何利用Internet進(jìn)行有效的信息管理，是不可避免的一個關(guān)鍵問題。利用VPN技術(shù)可以組建安全的Extranet VPN，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。Extranet VPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到系統(tǒng)內(nèi)部網(wǎng)。

Extranet VPN的優(yōu)勢在于：能容易地對外部網(wǎng)進(jìn)行部署和管理，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問VPN相同的架構(gòu)和協(xié)議進(jìn)行部署。主要的不同是接入許可，外部網(wǎng)的用戶被許可，只有一次機(jī)會連接到其合作人的網(wǎng)絡(luò)。

3.4VPN網(wǎng)絡(luò)模式的選擇

不同的軍事物流企業(yè)可以根據(jù)自己的實際情況來選擇上述一種來建設(shè)適合自己的VPN網(wǎng)絡(luò)系統(tǒng)，不同模式的系統(tǒng)可以很好地適應(yīng)于自己的對應(yīng)模式，切記追求大而全，造成功能與費用的浪費。同時，在建設(shè)方式上可以根據(jù)自己的實力和技術(shù)能力，采取自建和外包的形式。

4軍事物流信息系統(tǒng)VPN網(wǎng)絡(luò)節(jié)點與接入模式設(shè)計舉例

VPN網(wǎng)絡(luò)系統(tǒng)采用分布式安全策略，確保網(wǎng)絡(luò)安全、穩(wěn)定，專網(wǎng)方案在匯聚層交換機(jī)、核心層交換機(jī)上啟動防火墻功能，可以提供在匯聚層的防火墻功能，制定分布式的安全策略，在最靠近攻擊者的位置保護(hù)整個網(wǎng)絡(luò)，并減少核心層防火墻的性能壓力，從而提高整體網(wǎng)絡(luò)的性能和安全性，因而對于高安全性和保密性的軍事物流系統(tǒng)來說更顯得尤為實用。圖2為一個軍事物流系統(tǒng)單元節(jié)點——后方油料倉庫的信息網(wǎng)絡(luò)系統(tǒng)拓?fù)湓O(shè)計。

后方油料倉庫是軍事物流系統(tǒng)中一個重要的節(jié)點，利用VPN技術(shù)建立信息系統(tǒng)網(wǎng)絡(luò)，可以通過基于硬件數(shù)據(jù)加密技術(shù)的虛擬網(wǎng)，保證油庫局域網(wǎng)通過VPN接入軍事綜合信息網(wǎng)，保證基層單位的信息安全，可以按照軍隊現(xiàn)行的業(yè)務(wù)管理體制，更好地融入到油料供應(yīng)管理虛擬專網(wǎng)（VPN）。

在系統(tǒng)自身信息局域網(wǎng)接入軍事信息骨干網(wǎng)可以使用一臺VPN網(wǎng)關(guān)，采用雙連接方式分別連接兩臺核心交換機(jī)。以最大限度地保證網(wǎng)絡(luò)的穩(wěn)定性和可靠性，杜絕任何單點故障，并通過啟用防火墻功能提高網(wǎng)絡(luò)安全性，保障核心節(jié)點免受外來攻擊，并將網(wǎng)絡(luò)分成內(nèi)網(wǎng)、外網(wǎng)和數(shù)據(jù)服務(wù)器三個區(qū)域，確保服務(wù)器群的安全，局域網(wǎng)通過VPN網(wǎng)關(guān)同上級業(yè)務(wù)部門節(jié)點VPN網(wǎng)關(guān)之間建立VPN隧道以保證數(shù)據(jù)傳輸?shù)陌踩裕瑫r采用VPN網(wǎng)關(guān)的用戶認(rèn)證、漏洞掃描、入侵監(jiān)測等功能實現(xiàn)全方位的安全防范。系統(tǒng)接入軍事綜合信息網(wǎng)的方式根據(jù)防火墻的運(yùn)行模式和具體設(shè)備連接情況可以選用不同的接入模式。

模式1：用戶網(wǎng)絡(luò)通過三層交換機(jī)接入，保密機(jī)和防火墻處于互聯(lián)地址段，由于三層交換機(jī)具有路由功能，因此防火墻工作于網(wǎng)橋模式，網(wǎng)絡(luò)拓?fù)淙鐖D3所示。

模式2：此模式下，因為二層交換機(jī)沒有路由功能，用戶網(wǎng)絡(luò)通過防火墻接入，保密機(jī)處于互聯(lián)地址段，防火墻工作于路由模式，網(wǎng)絡(luò)拓?fù)淙鐖D4所示。

5結(jié)束語

VPN是一種高速、可靠、安全、廉價的遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)方案，旨在公網(wǎng)上實現(xiàn)私有網(wǎng)絡(luò)連接的技術(shù)，它充分利用了現(xiàn)有的網(wǎng)絡(luò)資源，為企業(yè)提供一種經(jīng)濟(jì)、高效、靈活和安全的連網(wǎng)方式。VPN技術(shù)的應(yīng)用降低網(wǎng)絡(luò)的運(yùn)營成本，提高資源利用效率，具有明顯的應(yīng)用價值。隨著軍事物流信息化進(jìn)程的加快，特別是新興技術(shù)諸如電子商務(wù)、電子政務(wù)以及遠(yuǎn)程教育、遠(yuǎn)程辦公、管理等應(yīng)用的推動，VPN網(wǎng)絡(luò)技術(shù)將會發(fā)揮更大的優(yōu)勢，必將成為未來軍事物流信息系統(tǒng)網(wǎng)絡(luò)安全的一項重要技術(shù)和遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)理想的解決方案，具有廣闊的發(fā)展和應(yīng)用前景。

參考文獻(xiàn)：

[1] 丁立言. 物流系統(tǒng)工程[M]. 北京：清華大學(xué)工業(yè)出版社，2000.

[2] 張瑞鵬，何世偉. 社會化現(xiàn)代軍事物流體系優(yōu)化著眼點分析[J]. 物流技術(shù)，2006(3):214-216.

[3] 王峰，姜大立. 軍事物流學(xué)[M]. 北京：中國物資出版社，2006.

[4] 劉宇翔. 基于VPN的圖書館系統(tǒng)研究[J]. 科技資訊，2006(21):106-107.

[5] 張建軍，田偉. VPN在企業(yè)信息網(wǎng)絡(luò)建設(shè)中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006(7):51-53.

[6] 黃世權(quán). VPN技術(shù)及其應(yīng)用分析研究[J]. 計算機(jī)與數(shù)學(xué)工程，2006(6):64-66.