VPN在煤矿企业信息化建设中的应用

随着经济全球化的到来, 我国的煤矿企业将面临前所未有的竞争压力。因为煤炭生产的不可预见性, 制定准确、及时的计划, 需要信息化。现代化的煤矿也是信息化的煤矿, 没有信息化就不能带来高效的生产以及现代化的管理。在信息化建设中重要的一项就是移动化办公, 以及在地理位置上分布广泛的各部门之间及时的互联。

1 VPN技术原理

1.1 隧道技术

隧道技术[1]的基本过程是在隧道入口处对要传输的数据进行封装, 至于封装采用何种格式, 可以根据具体需求选择;在出口处将数据解封装, 从而得到用户所需的数据。传输数据过程中最重要的就是保证通信协议的正确性。目前VPN[2]采用的隧道协议主要有:PPTP协议、L2F协议、L2TP协议、IPSec协议组等。

1.2 安全技术

VPN主要采用的安全技术[3]有:密钥管理、访问控制、身份认证、密码体制等。密钥管理技术就是实现在公用网上安全地传输密钥而不被破坏或窃取。现行的密钥管理技术分SKIP与ISAKMP/Oakley两种[4]。访问控制是通过某种方式控制访问范围、访问能力, 可以限制、对关键资源的访问, 防止非法用户的侵入或者合法用户的不慎操作所造成的破坏。用户身份认证是进行用户身份的确认, 以便系统进行访问控制和用户授权。密码体制有对称密钥密码技术和非对称密钥密码技术, 对称密钥密码技术要求加密/解密双方拥有相同的密钥。

2 基于煤矿企业VPN解决方案的设计

目前有VPN技术众多, 如何在众多的技术中选择适合煤矿企业的VPN解决方案是非常重要的。下面以王庄煤矿的信息化建设为背景, 探讨煤矿企业VPN的解决方案。

2.1 需求分析

当前煤矿企业的日常的运营管理已经不能脱离IT系统;在此情况下员工出差, 如不能及时处理各种公文及生产工单。这在很大程度上制约了工作效率的提高。另外总部与分支机构之间采用远程拨号系统连接, 费用高、速度慢。这些问题都急需解决。

2.2 矿区网络现状分析

目前矿区已经建立煤矿局域网络, 将煤矿生产安全管理系统、矿区智能办公自动化系统、生产作业规程管理、内部市场化管理系统、全面预算管理系统、设备配件管理、劳资人事、电信计费管理系统、科技档案管理系统、煤质信息系统、地销称重管理系统等大型软件系统。这些系统有的采用B/S模式, 有的采用C/S模式[5]。矿区局域网系统的主干网采用的是1000Mb/s的以太网技术, 范围覆盖了矿区所有办公区域。局域网中传输介质一般使用5类双绞线, 对于距离较远的部门采用的是光纤。矿区的各个业务部门已经形成了一个综合性的网络通信系统。

2.3 解决方案选择

目前VPN解决方案主要有SSL VPN[6]和IPSec VPN[7], 这两种技术各有优缺点。SSL VPN的优势主要集中在VPN客户端的部署和管理上, 由于浏览器内嵌了SSL协议, 因此在处理基于B/S结构的业务时, 可以直接使用浏览器完成SSL的VPN建立;而IPSec VPN则需要安装特定的客户端, 而且对于不同的操作系统需要不同的版本, 当客户端需要升级的时候, 管理非常复杂。从安全的角度讲, SSL VPN能够更好的解决细粒度的安全需求, 而IPSec只能保证在客户端和服务器端之间的安全性, 无法保证VPN网关内数据的安全性。但是目前该许多软件系统采用C/S模式, 因此如果仅仅采用SSL VPN会造成许多系统无法为远程访问用户提供服务。

现在已经出现了二合一网关, 该安全网关结合了IPSec和SSL两套主流的VPN技术, 实现了在一台安全网关设备上稳定高效运行两套VPN系统。利用两者的优势进行互补, 避免了单一VPN设备存在的不足。分支网络就可以使用IPSec VPN实现安全互连, 而对于移动人员可利用SSL VPN的易用性实现安全接入。最大限度地发挥了IP Sec/SSL VP N技术的优势, 节约了企业大量的管理成本和投入成本。

2.4 具体方案设计

局域网的内部的服务器全部放在防火墙后方, 防火墙内设置一台VPN服务器, 这台服务器可以被防火墙外的用户访问, 当管理员需要远程维护和管理服务器时可通过VPN服务器来进行, 以确保内部网服务器的安全。对于移动用户而言, 只要登记注册账户, 可以直接通过浏览器采用SSL VPN技术访问矿区局域网。对于分支机构, 可以在分支机构设置IPSec VPN网关, 该网关对分支机构内的用户是透明的。这样可以充分的利用了SSL VPN和IPSec VPN的优点, 避免了两种技术的缺点。目前很多公司的VPN网关是及以上两种技术于一身的产品, 如深信服科技的5100-S型号, 如思科公司Cisco ASA 5520都是IPSec/SSL VPN一体化系列产品, 可以根据企业自身情况选用不同性能的产品。要保障VPN的正常运转还需要技术人员进行维护工作, 维护工作可以分为检测、管理和故障排除三个主要部分。检测主要是检测正常的网络技术参数, 如果发现某些参数偏离正常值太多, 需要网络管理人员特别关注;管理主要针对用户的注册、注销等日常的管理工作;故障排除主要是VPN运转出现异常, 如VPN的客户端软件升级出现问题, 或者某些突发事件是不可避免的。

3 结语

总之, VPN是一种极有前途的应用技术, 作为一种非常经济、安全、灵活自如的远程网络接入解决方案, 可充分满足煤矿企业分支机构、移动办公安全通信的需求。在步入信息化社会的今天, 提高工作效率和经济效益, 降低工作开支成本, 是煤矿信息化建设急需解决的问题。

摘要：针对目前煤矿信息化建设中移动办公、远程分支机构互联等问题的不断出现, 结合VPN技术的特点, 提出一种IPSec/SSL协议一体化的VPN解决方案, 该方案解决了分支机构和移动办公人员与总部的安全、高效、经济和灵活的互联。

关键词：VPN技术,IPSec体系结构,SSL协议,远程访问

参考文献

[1] 杨小钶, 刘连昌.基于IPv4/IPv6隧道过渡机制的VPN技术分析[J].通信技术, 2007 (12) .

[2] 高海英, 薛元星, 辛阳.VPN技术[M].北京:机械工业出版社, 2004.

[3] 戴宗坤, 唐三平.VPN与网络安全[M].北京:电子工业出版社, 2002.

[4] 汤丹, 匡晓红, 徐联华, 胡志刚.VPN动态密码认证系统设计与实现[J].计算机工程, 2007 (9) .

[5] 谢希仁.计算机网络[M].北京:电子工业出版社, 2007.

[6] 马淑文.SSL VPN技术在校园网中的应用与研究[J].计算机工程与设计, 2007 (21) .

[7] 吴松洋, 谭成翔.基于IPSec VPN的移动安全系统的设计与实现[J].计算机应用, 2007 (9) .