2021年1月
第57卷第1期
铁道通信信号
Railway Signalling&Communication
January2021
Vol.57No.1
颜雪峰翟雅萌武渊博
摘要:SSL VPN是一种应用层的虚拟专用网络技术,由于其具有较强的安全性,且不改变网络结构,因此适合部署在办公网的中小型信息平台中。本文针对B/S结构的信息平台建设,SSL VPN组网等技术展开讨论。 关键词:安全套接字层;虚拟专用网络;信息平台;应用;网络安全;通信
中图分类号:U285.49文献标识码:A
DOI:10.13879/j.issn.1000-7458.2021-01.20394y字裤
Abstract:SSL VPN is a virtual private network technology of application layer and suitable to be deployed in small or medium-sized data management platform in the office network with its strong security and without changing the structure of the network.As for the construction of data management platform with the structure of B/S,SSL VPN networking and other relevant technologies are discussed.
Key words:SSL(Secure Socket Layer);VPN(Virtual Private Network);Data management platform;Applications;Network security;Communication
近年来,随着铁路通信承载网的建设,用于日常办公、检修、维护和生产的信息平台建设也在同步跟进,纸质工作方式逐渐转变为信息化处理方式,从而提高了管理效率,降低了管理成本。但由于铁路单位部门纷杂,接入网络的终端数量繁多,不同部门的信息平台数据交互极易引发信息安全事故。为此,采用SSL VPN技术,将不同信息平台的数据分隔在各自的VPN(虚拟专用网络)中,互不干扰,实现低成本的网络安全控制。
1SSL VPN技术优势
VPN可在既有通信承载网的基础上搭建。在铁路数据通信网中,原本需要单独组网的重要业务,女HCTC、TDCS、视频监控、电力牵引远动等系统,通过VPN技术可以安全、高效地共享网
颜雪峰:呼和浩特铁路局集团有限公司呼和浩特通信段通信工010000呼和浩特
翟雅萌:呼和浩特铁路局集团有限公司呼和浩特通信段通信工010000呼和浩特
武渊博:呼和浩特铁路局集团有限公司呼和浩特通信段通信工010000呼和浩特
收稿日期:2020-08-18络资源,大大减少了网络建设成本。
按照协议来划分,VPN技术可以分为PPTP、L2TP、IPSec和SSL等多种。其中,PPTP和L2TP工作在OSI网络模型的第二层,用户数据在数据链路层被封装,因此被称为二层链路协议。IPSec工作在网络层,通过包封装技术封装内部网络的IP地址,实现不同网络的互通。但PPTP、L2TP、IPSec在不同程度上都要改变网络结构,要对数据通信网中的多个网络节点重新配置数据,不便于维护。而采用SSL实现的应用层VPN可以避免上述问题的发生。
SSL(安全套接字层)协议是一种传输层网络安全协议,采用公开密钥,以保证网络客户端(办公电脑)访问服务器端时的通信保密性和可靠性。SSL-般分为握手、修改密码规范和警报3个子协议。其中,握手协议是保障信息传送安全的关键部分。 握手协议需要经过3个步骤,也就是SSL的3次握手。
第1次握手:客户端生成随机数,并携带协议版本号、加密方式等参数向服务器发送hello请求,服务器判断协议版本号及加密方式是否可用,如果验
62
Railway Signalling&Communication Vol.57No.l2021
证通过,则进行第2次握手,否则握手过程终止。
第2次握手:服务器生成第2个随机数,携带CA证书发送给客户端,等待客户端验证。
第3次握手:客户端生成第3个随机数,使用CA证书中的公钥进行加密,同时发送前2次信息摘要,由服务器再次验证。服务器用私钥进行解密,生成双方的对话密钥。
2网络结构
SSL VPN是一种基于SSL协议的VPN实现,VPN的安全性和独立性依赖于包封装技术,利用SSL协议加密算法和身份认证,构建安全的虚拟专用网络。SSL VPN通过一个实体设备(即SSI. VPN服务器)
和客户端软件配合来实现上述功能。客户端软件安装在用户PC上,由VPN客户端模块与会话转发模块组成;服务器由安全隧道处理、身份认证、访问控制和VPN安全管理等4个模块组成。防火墙在SSL VPN网络中无差别地将来自办公网的数据包转发至SSL VPN服务器进行处理或鉴权,然后将来自SSL VPN服务器认证授权的数据包转发至对应的信息平台服务器。SSL VPN网络结构见图!□
SSL VPN服务器
uicc信息平台服务器防火墳办公网络办公电脑
图1SSL VPN网络结构示意图
SSL VPN服务器工作过程:客户端(办公电脑主机)向SSL VPN服务器发送http请求;SSL VPN服务器验证客户端发送的身份信息以及证书,通过SSL协议的握手创建SSL安全隧道;认证模块成功确认客户端身份后,生成全局唯一的不可逆的cookie,并将其发送给访问控制模块;访问控制模块根据用户的角权限给用户分配可访问服务列表,客户端据此可以访问相应的信息平台;客户端访问信息平台内容,SSL VPN服务器通过鉴权认证等方式建立安全透明的隧道,并把信息平台的数据定向发送到客户端电脑。3平台开发
3.1平台布设
在铁路承载网中搭建信息平台时,需要解决以下问题:信息平台服务器设置在哪里,如何确定哪些用户、部门可以访问这个信息平台,如何防止非法用户访问等。
首先,信息平台服务器可以放置在承载网覆盖的任何位置,即有办公网电脑的地方都可以安装信息平台服务器,因为信息平台的部署不改变既有的网络结构和网络配置;其次,为了灵活控制信息平台访问权限,信息平台与办公承载网之间应设置一个网关(防火墙),进行流量控制、路由策略等;最后,在网关下设置SSL VPN服务器,并在网关上设置路由策略,使访问信息平台的数据先进入SSL VPN服务器建立SSL连接,由SSL VPN服务器代理访问信息平台。
用户登录VPN客户端,输入预先分配好的账户,SSL VPN服务器收到请求后验证账户,建立与账户对应的信息平台服务器与客户端主机之间的安全隧道。而非法用户没有SSL VPN账户,则无法登录信息平台,其数据包被阻挡在防火墙和SSL VPN服务器之间,无法进人信息平台服务器所在的网络,从而保证了安全性。
信息平台的开发是随着铁路通信基础网建设逐步发展起来的。日常办公、检修等工作的信息化、电子化能够极大地简化工作流程,提升工作效率,节省大量纸张。为此,利用现有的网络硬件建立信息平台,包括生产信息平台、人力资源管理平台、干部考评平台、材料计划审核平台等。这些平台采用B/S架构,在各个班组和部门的办公电脑上安装客户端,在服务器上设置SSL VPN服务器和防火墙,保证职工访问不同的信息平台时进入不同的VPN,以确保网络数据安全。
磁卡电表
3.2软件开发
信息平台的软件部分一般可以统称为Web应用,也就是根据实际需求自行开发的软件程序。Web应用的技术栈相对复杂,且不断迭代,根据规范要求,Web应用应当采取统一的架构和技术。以常见的前后端分离的Web应用来说,一个完整的Web应用程序分为前端程序、后端程序和数据库3个部分。例如,前端采用Layui+EasyUI+x-admin框架生成网页样式,再配合原生的Html+Jquery+Ajax编写网页界面;在可视化展示中,使用echarts,V-data等
63
铁道通信信号2021年第57卷第1期
开源平台,实现各类统计图表显示。后端采用Asp. Net技术族中的Framework和Core框架,包括Err tity Framework Core等()RM技术,实现业务逻辑的编写。数据库主要使用Sql Server和Redis。Web应用的技术栈举例见图2。
Web应用程序的开发分为:需求调研、技术预研、架构分析、开发、测试、部署、试运行和正式上线几个阶段。实际开发过程中,用户的需求会随着程序应用不断扩展,技术栈的演替也时有发生,技术预研可能伴随开发工作进行,因此开发流程的控制要从实际出发,不必局限于预定流程或思路,随时调整开发的进度。
开发铁路部门日常办公或生产的Web应用,开发模式应以快速开发和迭代开发为主,边开发、边调研,开发流程如下。
1)在完成需求调研之后,应确定Web应用整体的视觉观感,也就是前端页面的外观、颜、控件的整体风格等,可以自行设计,也可以下载和使用layui,easyui等开源的前端页面框架来完成。
2)设计功能交互,即Web应用具体的功能实现。首先,将用户提出的抽象需求转换成网页交互的设计语言;其次,使用规范的网页控件实现前端的交互;最后,分析需要传递给后端程序处理的数据。
3)Web应用的后端程序主要用于处理数据,从数据库中提取数据,处理前端发送的请求等,这部分是最核心的开发工作。
信息平台开发后需进行测试,测试无误后即可进入部署和试运行阶段。
3.3硬件配置
选择服务器时应在保证性能的前提下尽可能地节省成本。由于信息平台仅在本单位内部使用,一般配置常用的办公电脑即可。本文选择的服务器配置为:CPUI5-4210M;4GB内存;500GB硬盘。
Web应用的部署受限于开发过程中使用的电脑语言和编译环境,例如使用java语言编写的Web 应用可以实现跨平台部署,也就是不限于信息平台服务器的操作系统种类,可以部署在linux系统下,也可以部署在windows系统下。但如果采用C#语言,则只能部署在windows自带的IIS服务器下。
以C#语言开发的Web应用为例,部署步骤:在服务器上安装sqlserver数据库,导入数据库原始表格;将编译完成后的网络应用下载到指定的路径下,安装windows自带的IIS服务器;打开IIS服务器管理界面,设置好已经编译完成的程序路径,启动IIS服务器即可。
信息平台搭建完成后,用办公网内另一台电脑进行测试,能够正常访问则可以将此信息平台移入SSL VPN网络中。
4结语烟道蝶阀
综上所述,SSL VPN能够在应用层面上对网络信息、特定的服务器数据进行保护。客户端电脑与信息平台服务器之间的数据包通过SSL协议加密,可以有效防止被窃听或抓包,保证了客户端电脑的数据安全。非法用户也不能绕开实体防火墙直接访问信息平台服务器,保证了信息平台的数据安全。在网络层面上,与其他VPN技术相比.SSL VPN不改变既有的网络配置,实现了低成本的私有专用网络,且能够保证较高的安全性,满足铁路部门日常工作中的信息化需求;采用 core等技术实现迭代开发,快速搭建安全稳定、立足时效性的轻量级信息平台。SSL VPN技术可以为信息平台的搭建提供简易、可靠的应用层网络结构,以应对日益严峻的网络安全形势。
参考文献
服务器平台[1]武文斌.基于SSL.VPN的西南航空气象网的搭建[J].
电脑知识与技术,201&35):43-45.
[2]尹文琪.基于国密算法的SSL_VPN的设计与实现[D].
西安:西安电子科技大学,2015.
[3]张凯霞.基于VPN技术的校园移动()A设计与实现[D].
南京:南京邮电大学,2013.
[4]龚真,SSL_VPN系统的设计与实现[D].西安:西安电子
科技大学,2013.
[5]岳彩梦.基于软件T•程的Web开发技术[J].电子技术
与软件工程,2019(8):55.
热熔铜螺母
(责任编辑:诸纟I:)
64
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议