admin管理员组文章数量:1532657
2024年5月17日发(作者:)
2021
年
1
月
第
57
卷第
1
期
铁道通信信号
January
2021
Railway
Signalling
&
Communication
Vol.
57
No.
1
基于
SSL
VPN
技术的信息平台搭建
颜雪峰
翟雅萌
武渊博
摘
要
:
SSL
VPN
是一种应用层的虚拟专用网络技术
,由于其具有较强的安全性
,
且不改变网
络结构
,
因此适合部署在办公网的中小型信息平台中
。
本文针对
B/S
结构的信息平台建设
,
SSL
VPN
组网等技术展开讨论
。
关键词
:
安全套接字层
;
虚拟专用网络
;
信息平台
;
应用
;
网络安全
;通信
中图分类号
:
U285.49
文献标识码
:
A
DOI
:
10.
13879/j.
issn.
1000-7458.
2021-01.
20394
Abstract
:
SSL
VPN
is
a
virtual
private
network
technology
of
application
layer
and
suitable
to
be
deployed
in
small
or
medium-sized
data
management
platform
in
the
office
network
with
its
strong
security
and
without
changing
the
structure
of
the
network.
As
for
the
construction
of
data
management
platform
with
the
structure
of
B/S
,
SSL
VPN
networking
and
other
relevant
technologies
are
discussed.
Key
words
:
SSL(Secure
Socket
Layer)
;
VPN(Virtual
Private
Network)
;
Data
management
platform
;
Applications
;
Network
security
;
Communication
近年来
,
随着铁路通信承载网的建设
,
用于日
络资源
,
大大减少了网络建设成本
。
按照协议来划分
,
VPN
技术可以分为
PPTP
、
常办公
、
检修
、
维护和生产的信息平台建设也在同
步跟进
,
纸质工作方式逐渐转变为信息化处理方
L2TP
、
IPSec
和
SSL
等多种
。
其中
,
PPTP
和
L2TP
工作在
OSI
网络模型的第二层
,
用户数据在
数据链路层被封装
,
因此被称为二层链路协议
。
式
,
从而提高了管理效率
,
降低了管理成本
。
但由
于铁路单位部门纷杂
,
接入网络的终端数量繁多
,
不同部门的信息平台数据交互极易引发信息安全事
IPSec
工作在网络层
,
通过包封装技术封装内部网
络的
IP
地址
,
实现不同网络的互通
。
但
PPTP
、
故
。
为此
,
采用
SSL
VPN
技术
,
将不同信息平台
的数据分隔在各自的
VPN
(
虚拟专用网络
)
中
,
互
不干扰
,
实现低成本的网络安全控制
。
L2TP
、
IPSec
在不同程度上都要改变网络结构
,
要对数据通信网中的多个网络节点重新配置数据
,
1
SSL
VPN
技术优势
不便于维护
。
而采用
SSL
实现的应用层
VPN
可以
避免上述问题的发生
。
VPN
可在既有通信承载网的基础上搭建
。
在
铁路数据通信网中
,
原本需要单独组网的重要业
务
,
女
HCTC
、
TDCS
、
视频监控
、
电力牵引远动
等系统
,
通过
VPN
技术可以安全
、
高效地共享网
颜雪峰
:
呼和浩特铁路局集团有限公司呼和浩特通信段通信工
SSL
(
安全套接字层
)
协议是一种传输层网络安
全协议
,
采用公开密钥
,
以保证网络客户端
(
办公电
脑
)
访问服务器端时的通信保密性和可靠性
。
SSL-
般分为握手
、
修改密码规范和警报
3
个子协议
。
其
中
,
握手协议是保障信息传送安全的关键部分
。
010000
呼和浩特
翟雅萌
:
呼和浩特铁路局集团有限公司呼和浩特通信段通信工
握手协议需要经过
3
个步骤
,
也就是
SSL
的
3
次握手
。
第
1
次握手
:
客户端生成随机数
,
并携带协议版
本号
、
加密方式等参数向服务器发送
hello
请求
,
服
010000
呼和浩特
武渊博
:
呼和浩特铁路局集团有限公司呼和浩特通信段通信工
010000
呼和浩特
收稿日期:
2020-08-18
务器判断协议版本号及加密方式是否可用
,如果验
62
Railway
Signalling
&
Communication
Vol.
57
No.l
2021
证通过
,
则进行第
2
次握手
,
否则握手过程终止
。
第
2
次握手
:
服务器生成第
2
个随机数
,
携带
3
平台开发
3.1
平台布设
在铁路承载网中搭建信息平台时
,
需要解决以
下问题
:
信息平台服务器设置在哪里,
如何确定哪
些用户
、部门可以访问这个信息平台,
如何防止非
法用户访问等
。
CA
证书发送给客户端
,
等待客户端验证
。
第
3
次握手
:
客户端生成第
3
个随机数
,
使用
CA
证书中的公钥进行加密
,
同时发送前
2
次信息
摘要
,
由服务器再次验证
。
服务器用私钥进行解
密
,
生成双方的对话密钥
。
首先
,
信息平台服务器可以放置在承载网覆盖
的任何位置
,
即有办公网电脑的地方都可以安装信
息平台服务器
,
因为信息平台的部署不改变既有的
2
网络结构
SSL
VPN
是一种基于
SSL
协议的
VPN
实现
,
VPN
的安全性和独立性依赖于包封装技术
,
利用
网络结构和网络配置
;
其次
,
为了灵活控制信息平
台访问权限
,
信息平台与办公承载网之间应设置一
个网关
(
防火墙
)
,
进行流量控制
、
路由策略等
;
SSL
协议加密算法和身份认证
,
构建安全的虚拟专
用网络
。
SSL
VPN
通过一个实体设备
(
即
SSI.
最后
,
在网关下设置
SSL
VPN
服务器
,
并在网关
上设置路由策略
,
使访问信息平台的数据先进入
VPN
服务器
)
和客户端软件配合来实现上述功能
。
客户端软件安装在用户
PC
上
,
由
VPN
客户端模块
与会话转发模块组成
;
服务器由安全隧道处理
、
身
SSL
VPN
服务器建立
SSL
连接
,
由
SSL
VPN
服
务器代理访问信息平台
。
用户登录
VPN
客户端
,
输入预先分配好的账
份认证
、
访问控制和
VPN
安全管理等
4
个模块组
成
。
防火墙在
SSL
VPN
网络中无差别地将来自办
公网的数据包转发至
SSL
VPN
服务器进行处理或
鉴权
,
然后将来自
SSL
VPN
服务器认证授权的数
户
,
SSL
VPN
服务器收到请求后验证账户
,
建立
与账户对应的信息平台服务器与客户端主机之间的
安全隧道
。
而非法用户没有
SSL
VPN
账户
,
则无
据包转发至对应的信息平台服务器
。
SSL
VPN
网
法登录信息平台
,
其数据包被阻挡在防火墙和
络结构见图
!□
SSL
VPN
服务器之间
,
无法进人信息平台服务器
所在的网络
,
从而保证了安全性
。
信息平台的开发是随着铁路通信基础网建设逐
步发展起来的
。
日常办公
、
检修等工作的信息化
、
SSL
VPN
服务器
电子化能够极大地简化工作流程
,
提升工作效率
,
节省大量纸张
。
为此
,
利用现有的网络硬件建立信
息平台
,
包括生产信息平台
、
人力资源管理平台
、
干部考评平台
、
材料计划审核平台等
。
这些平台采
信息平台服务器
防火墳
办公网络
办公电脑
用
B/S
架构
,
在各个班组和部门的办公电脑上安
装客户端
,
在服务器上设置
SSL
VPN
服务器和防
图
1
SSL
VPN
网络结构示意图
火墙
,
保证职工访问不同的信息平台时进入不同的
SSL
VPN
服务器工作过程
:
客户端
(
办公电
脑主机
)
向
SSL
VPN
服务器发送
http
请求
;
SSL
VPN,
以确保网络数据安全
。
3.2
软件开发
信息平台的软件部分一般可以统称为
Web
应用
,
VPN
服务器验证客户端发送的身份信息以及证书
,
通过
SSL
协议的握手创建
SSL
安全隧道
;
认证模
块成功确认客户端身份后
,
生成全局唯一的不可逆
也就是根据实际需求自行开发的软件程序
。
Web
应
用的技术栈相对复杂,
且不断迭代
,
根据规范要求
,
的
cookie,
并将其发送给访问控制模块
;
访问控制
模块根据用户的角色权限给用户分配可访问服务列
Web
应用应当采取统一的架构和技术
。
以常见的前
后端分离的
Web
应用来说
,
一个完整的
Web
应用程
序分为前端程序
、
后端程序和数据库
3
个部分
。
例
表
,
客户端据此可以访问相应的信息平台
;
客户端
访问信息平台内容
,
SSL
VPN
服务器通过鉴权认
证等方式建立安全透明的隧道
,
并把信息平台的数
如
,
前端采用
Layui
+
EasyUI+x-admin
框架生成网
页样式
,
再配合原生的
Html+
Jquery
+
Ajax
编写网
据定向发送到客户端电脑
。
页界面
;
在可视化展示中
,
使用
echarts,
V-data
等
63
铁道通信信号
2021
年第
57
卷第
1
期
开源平台
,
实现各类统计图表显示
。
后端采用
Asp.
Net
技术族群中的
Framework
和
Core
框架
,
包括
Err
tity
Framework
Core
等
(
)
RM
技术
,
实现业务逻辑的
编写
。
数据库主要使用
Sql
Server
和
Redis
。
Web
应
用的技术栈举例见图
2
。
Web
应用程序的开发分为
:
需求调研
、
技术
预研
、
架构分析
、
开发
、
测试
、
部署
、
试运行和正
式上线几个阶段
。
实际开发过程中
,
用户的需求会
随着程序应用不断扩展
,
技术栈的演替也时有发
生
,
技术预研可能伴随开发工作进行
,
因此开发流
程的控制要从实际出发
,
不必局限于预定流程或思
路
,
随时调整开发的进度
。
开发铁路部门日常办公或生产的
Web
应用
,
开发模式应以快速开发和迭代开发为主
,
边开发
、
边调研
,
开发流程如下
。
1
)
在完成需求调研之后
,
应确定
Web
应用整
体的视觉观感
,
也就是前端页面的外观
、
颜色
、
控
件的整体风格等
,
可以自行设计
,
也可以下载和使
用
layui
,
easyui
等开源的前端页面框架来完成
。
2
)
设计功能交互
,
即
Web
应用具体的功能实
现
。
首先
,
将用户提出的抽象需求转换成网页交互的
设计语言
;
其次
,使用规范的网页控件实现前端的交
互
;
最后
,
分析需要传递给后端程序处理的数据
。
3
)
Web
应用的后端程序主要用于处理数据
,
从数据库中提取数据
,
处理前端发送的请求等
,
这
部分是最核心的开发工作
。
信息平台开发后需进行测试
,
测试无误后即可
进入部署和试运行阶段
。
3.3
硬件配置
选择服务器时应在保证性能的前提下尽可能地节
省成本
。
由于信息平台仅在本单位内部使用
,
一般配
置常用的办公电脑即可
。
本文选择的服务器配置为
:
CPUI5-4210M
;
4GB
内存
;
500
GB
硬盘
。
64
Web
应用的部署受限于开发过程中使用的电
脑语言和编译环境
,
例如使用
java
语言编写的
Web
应用可以实现跨平台部署
,
也就是不限于信息平台
服务器的操作系统种类
,
可以部署在
linux
系统下
,
也可以部署在
windows
系统下
。
但如果采用
C#
语
言
,
则只能部署在
windows
自带的
IIS
服务器下
。
以
C#
语言开发的
Web
应用为例
,
部署步骤
:
在服务器上安装
sqlserver
数据库
,
导入数据库原始
表格
;
将编译完成后的网络应用下载到指定的路径
下
,
安装
windows
自带的
IIS
服务器
;
打开
IIS
服
务器管理界面
,
设置好已经编译完成的程序路径
,
启动
IIS
服务器即可
。
信息平台搭建完成后
,
用办公网内另一台电脑
进行测试
,
能够正常访问则可以将此信息平台移入
SSL
VPN
网络中
。
4
结语
综上所述
,
SSL
VPN
能够在应用层面上对网
络信息
、
特定的服务器数据进行保护
。客户端电脑
与信息平台服务器之间的数据包通过
SSL
协议加
密
,
可以有效防止被窃听或抓包
,
保证了客户端电
脑的数据安全
。
非法用户也不能绕开实体防火墙直
接访问信息平台服务器
,
保证了信息平台的数据安
全
。
在网络层面上
,
与其他
VPN
技术相比.
SSL
VPN
不改变既有的网络配置
,
实现了低成本的私
有专用网络
,
且能够保证较高的安全性
,
满足铁路
部门日常工作中的信息化需求
;
采用
.
net
core
等技
术实现迭代开发
,
快速搭建安全稳定
、
立足时效性
的轻量级信息平台
。
SSL
VPN
技术可以为信息平
台的搭建提供简易
、
可靠的应用层网络结构
,
以应
对日益严峻的网络安全形势
。
参考文献
[1]
武文斌.基于
的西南航空气象网的搭建
[J].
电脑知识与技术
,201&35):43-45.
[2]
尹文琪.基于国密算法的
SSL_VPN
的设计与实现
[D].
西安:西安电子科技大学
,2015.
[3]
张凯霞.基于
VPN
技术的校园移动
(
)
A
设计与实现
[D].
南京:南京邮电大学
,2013.
[4]
龚真
,SSL_VPN
系统的设计与实现
[D].
西安:西安电子
科技大学
,2013.
[5]
岳彩梦.基于软件
T
•程的
Web
开发技术
[J].
电子技术
与软件工程
,2019
(
8
)
:55.
(
责任编辑
:
诸纟
I
:
)
版权声明:本文标题:基于SSL VPN技术的信息平台搭建 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1715939088a477885.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论