《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于虛擬專用網(wǎng)技術(shù)的一卡通網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)
基于虛擬專用網(wǎng)技術(shù)的一卡通網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)
楊 明1,2, 郭樹旭1, 王 雋3
1. 吉林大學(xué) 電子科學(xué)與工程學(xué)院,吉林 長春 130012; 2. 中國移動通信集團(tuán)公司, 北京100032;3. 中國建設(shè)銀行, 北京100032
摘要: 以數(shù)字體育一卡通網(wǎng)絡(luò)安全為研究背景,介紹了虛擬專用技術(shù)在一卡通支付網(wǎng)關(guān)中的應(yīng)用情況。通過對不同類型虛擬專用網(wǎng)分析,改進(jìn)了傳統(tǒng)的一卡通安全機(jī)制和實(shí)現(xiàn)方式,較好地解決了一卡通網(wǎng)絡(luò)支付安全問題。通過系統(tǒng)部署后的性能測試和安全性測試,驗(yàn)證了設(shè)計(jì)方案的正確性和可行性。
中圖分類號: TP309
文獻(xiàn)標(biāo)識碼: A
Research and implementation of VPN in IC system network security
YANG Ming1,2, GUO Shu Xu1, WANG Jun3
1. College of Electronic Science & Engineering, Jilin University, Changchun 130012, China;2. China Mobile Communications Corporation, Beijing 100032, China;3. China Construction Bank, Beijing 100032, China
Abstract: Based on the research of IC system security in digital sports project, this paperintroduced the solution of Virtual Private Network(VPN) , detail analyzed the different implementation methods of VPN, improved the traditional IC system security methods, better solved the IC system payment security in the network. Through performance testing and security testing, verified the correctness and feasibility of the design.
Key words : networks security; VPN; IC card; digital sports; IP security

    2008年北京奧運(yùn)會實(shí)現(xiàn)了“科技奧運(yùn)”的承諾,在奧運(yùn)會期間充分運(yùn)用現(xiàn)代信息技術(shù),成功地支撐了奧運(yùn)會各項(xiàng)工作。某局數(shù)字體育一卡通就是其中的實(shí)踐項(xiàng)目。在數(shù)字體育項(xiàng)目中,一卡通系統(tǒng)是數(shù)字體育的基礎(chǔ)工程和重要的組成部分,通過構(gòu)建各類體育信息庫和應(yīng)用系統(tǒng),實(shí)現(xiàn)內(nèi)部管理、公眾服務(wù)、在線支付和通訊等功能。支付安全是一卡通系統(tǒng)實(shí)現(xiàn)的核心內(nèi)容,即防范交易數(shù)據(jù)在網(wǎng)上傳輸時,數(shù)據(jù)被監(jiān)聽、篡改和偽造。本文介紹了虛擬專用網(wǎng)(VPN)在一卡通支付系統(tǒng)的應(yīng)用情況,通過不同類型虛擬專用網(wǎng)對比分析,改進(jìn)了傳統(tǒng)的一卡通安全機(jī)制和實(shí)現(xiàn)方式,較好地解決了網(wǎng)絡(luò)支付安全問題。
1 系統(tǒng)安全分析
    體育一卡通實(shí)現(xiàn)了對某局所有經(jīng)營項(xiàng)目進(jìn)行收費(fèi),除此之外,還要實(shí)時提供某局各個運(yùn)動場館完整、準(zhǔn)確的票務(wù)數(shù)據(jù),具有很高的安全性要求。未來還要實(shí)現(xiàn)電子商務(wù)、實(shí)時預(yù)定場館票務(wù)。這就要求在安全設(shè)計(jì)時既要滿足當(dāng)前的業(yè)務(wù)需要,又要兼顧系統(tǒng)日后的發(fā)展。
  傳統(tǒng)的一卡通系統(tǒng)一般遵從雙線工作的RS485標(biāo)準(zhǔn),整個網(wǎng)絡(luò)以總線形式存在,所有POS機(jī)都“掛”在總線上,服務(wù)器端通過查詢方式定時讀取各POS機(jī)內(nèi)流水記錄。由于標(biāo)準(zhǔn)的RS485采用串聯(lián)方式,系統(tǒng)輪循在各個PC機(jī)或POS機(jī)采集數(shù)據(jù),再上傳到中央服務(wù)器進(jìn)行處理。適合應(yīng)用于一般餐飲、門禁等非獨(dú)占資源系統(tǒng)。但是對于體育場館獨(dú)占資源的消費(fèi)模式就會出現(xiàn)像操作系統(tǒng)中進(jìn)程競爭的現(xiàn)象,給系統(tǒng)安全帶來隱患。同時,由于調(diào)制解調(diào)過程以及傳輸距離的關(guān)系,所有設(shè)備要共享狹窄的傳輸帶寬,網(wǎng)絡(luò)傳輸速度較慢,RS485標(biāo)準(zhǔn)不適合大型分布式網(wǎng)絡(luò)模式。此外,通過Internet實(shí)時預(yù)訂場館票務(wù)時,要求票據(jù)、消費(fèi)金額等數(shù)據(jù)傳輸必須是安全的、保密的、不被篡改的。而傳統(tǒng)的一卡通系統(tǒng)安全性主要體現(xiàn)在獨(dú)立的局部網(wǎng)絡(luò)數(shù)據(jù)專網(wǎng)中,其靈活性、擴(kuò)展性受到制約。
    為了滿足政務(wù)、電子票務(wù)、財務(wù)等系統(tǒng)應(yīng)用的高效、安全及遠(yuǎn)程互連,必須對傳統(tǒng)的一卡通實(shí)現(xiàn)機(jī)制進(jìn)行改進(jìn),并滿足以下要求:
    (1) 采用技術(shù)手段保證通過Internet的連接是安全的、加密的。
    (2) 實(shí)現(xiàn)網(wǎng)絡(luò)的邊界安全,在網(wǎng)絡(luò)的出入口設(shè)置安全控制。
    (3) 實(shí)現(xiàn)內(nèi)部各機(jī)構(gòu)網(wǎng)絡(luò)接口的安全,控制內(nèi)外部訪問的TCP/IP端口。
    (4) 實(shí)施安全保護(hù)后,系統(tǒng)性能不受影響,確保網(wǎng)絡(luò)服務(wù)的可用性。
2 系統(tǒng)安全的設(shè)計(jì)與實(shí)現(xiàn)
    為了滿足一卡通系統(tǒng)高效互連,對傳統(tǒng)POS依靠RS485的安全機(jī)制進(jìn)行了改進(jìn),開發(fā)了新一代基于TCP/IP協(xié)議的POS機(jī),保證數(shù)據(jù)即時處理和數(shù)據(jù)的一致性。POS直接連接到以太網(wǎng)信息點(diǎn),通過路由器(安全網(wǎng)關(guān))與中央數(shù)據(jù)庫通信。但是以TCP/IP協(xié)議為基礎(chǔ)的互聯(lián)網(wǎng)只注重網(wǎng)絡(luò)的連接性、開放性和兼容性,而忽略了網(wǎng)絡(luò)的安全性。在這樣的網(wǎng)絡(luò)環(huán)境下,傳輸過程中的消費(fèi)信息完全可能被偽造、篡改或偷窺,信息的完整性、機(jī)密性、真實(shí)性和信息發(fā)送者的不可抵賴性得不到保證。
    為了滿足一卡通系統(tǒng)的安全性,采用基于IPSec(IP Security)協(xié)議的虛擬專用網(wǎng)技術(shù)[1],為通過1個公用網(wǎng)絡(luò)建立1條臨時、安全、穩(wěn)定的隧道。采用加密、認(rèn)證等技術(shù)在公共互連網(wǎng)上構(gòu)建安全加密信息傳輸通道,解決基于互聯(lián)網(wǎng)傳輸信息的安全隱患,達(dá)到一卡通專用網(wǎng)絡(luò)的效果,方案中采用了3種實(shí)現(xiàn)方式[2-3]。
2.1 虛擬專用撥號網(wǎng)絡(luò)
    對于公司內(nèi)部經(jīng)常有流動人員遠(yuǎn)程辦公的情況,采用虛擬專用撥號網(wǎng)VDPN(Virtual Private Dial Network)方式,實(shí)現(xiàn)了安全地連接移動用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)。通過一個擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施,提供用戶對企業(yè)內(nèi)部網(wǎng)資源隨時、隨地遠(yuǎn)程訪問。用戶只要連接到當(dāng)?shù)氐腎SP服務(wù)提供商,通過因特網(wǎng)虛擬專用通道就可實(shí)現(xiàn)與企業(yè)網(wǎng)連接,減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及遠(yuǎn)距離通信的費(fèi)用。
2.2 企業(yè)內(nèi)部虛擬網(wǎng)
    對于不同地域間的場館,采用了組建企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)方式實(shí)現(xiàn)各分支機(jī)構(gòu)網(wǎng)絡(luò)互連、實(shí)時計(jì)費(fèi)、內(nèi)部資源共享、文件傳遞等。利用Internet線路保證網(wǎng)絡(luò)的互聯(lián)性,而利用隧道、加密等VPN特性可以保證信息在整個Intranet VPN上安全傳輸。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策(包括安全、服務(wù)質(zhì)量、可管理性和可靠性),可節(jié)省租用專線所帶來的高額費(fèi)用。
2.3  企業(yè)擴(kuò)展虛擬網(wǎng)
    隨著信息時代的到來,各個企業(yè)之間的合作關(guān)系也越來越多,信息交換日益頻繁,利用VPN技術(shù)可以組建安全的企業(yè)擴(kuò)展虛擬網(wǎng)(Extranet VPN)。以某局為例,通過因特網(wǎng)共享基礎(chǔ)設(shè)施,將全球(美國體育集團(tuán)公司、巴西體育集團(tuán)公司)客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng),企業(yè)擴(kuò)展虛擬網(wǎng)連接如圖1所示。

  通過Extranet VPN能容易地對外部網(wǎng)進(jìn)行部署和管理,保證通過互聯(lián)網(wǎng)通信的安全性、機(jī)密性、可認(rèn)證性和完整性等安全性能。
  通過構(gòu)建基于VPN技術(shù)的一卡通系統(tǒng),實(shí)現(xiàn)了高效、安全的網(wǎng)絡(luò)支付應(yīng)用。這主要體現(xiàn)在以下方面:
  (1)安全保障。VPN保證了公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性,即在公共互連網(wǎng)上建立一條邏輯的、點(diǎn)對點(diǎn)的連接隧道,保證了數(shù)據(jù)的私有性和安全性。
  (2)服務(wù)質(zhì)量保證QoS(Quality of Service)。VPN為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證,可以按照優(yōu)先級分配帶寬資源,預(yù)防阻塞的發(fā)生。
  (3)可擴(kuò)充性和靈活性。VPN支持通過設(shè)備增配滿足對高質(zhì)量數(shù)據(jù)傳輸以及帶寬增加的需求,符合網(wǎng)絡(luò)建設(shè)的可擴(kuò)展性和靈活性的原則。
  (4)可管理性。VPN可方便地進(jìn)行管理、維護(hù),使得企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),實(shí)現(xiàn)對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。
    (5)經(jīng)濟(jì)性。通過VPN構(gòu)建,企業(yè)不必租用長途專線建設(shè)專網(wǎng),不必投入大量的網(wǎng)絡(luò)維護(hù)人員和設(shè)備,符合網(wǎng)絡(luò)建設(shè)的經(jīng)濟(jì)合理性的原則。
3 系統(tǒng)安全的實(shí)施及測試
3.1系統(tǒng)的部署

  一卡通系統(tǒng)由結(jié)算中心和運(yùn)營單位組成,結(jié)算中心負(fù)責(zé)一卡通系統(tǒng)的發(fā)卡管理、密鑰管理、清算管理、運(yùn)營管理、設(shè)備管理;運(yùn)營單位負(fù)責(zé)與一卡通結(jié)算管理中心及各種終端設(shè)備的網(wǎng)絡(luò)通信和數(shù)據(jù)交換。通過城市通信網(wǎng)將結(jié)算中心與各個運(yùn)營單位的電子收費(fèi)系統(tǒng)聯(lián)網(wǎng),當(dāng)在不安全的互聯(lián)網(wǎng)上流通時,通過VPN網(wǎng)關(guān)的加密功能確保信息是密文形式。這樣,即便信息被截取,也無法偷窺或篡改其內(nèi)容,從而保證信息的安全性、機(jī)密性、可認(rèn)證性和完整性,有效地控制企業(yè)風(fēng)險[4]。同時由于POS機(jī)接入交換機(jī),可以使整個系統(tǒng)的安全性承擔(dān)到各個子系統(tǒng)中,即便某局部網(wǎng)絡(luò)出現(xiàn)故障,也不會影響整個系統(tǒng)運(yùn)行,具有良好的擴(kuò)展性、兼容性和先進(jìn)性。一卡通網(wǎng)絡(luò)與安全部署如圖2所示。

一卡通網(wǎng)絡(luò)與安全部署

3.2系統(tǒng)安全的測試
3.2.1性能測試

    (1)ping服務(wù)測試
  在工作環(huán)境中,采用ping測試的網(wǎng)絡(luò)服務(wù),對該安全網(wǎng)關(guān)的數(shù)據(jù)包處理能力進(jìn)行測試,測試結(jié)果如表1所示。

  通過數(shù)據(jù)分析,在應(yīng)用VPN(采用IPSec加密策略)后安全網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)包的速度明顯下降,這是因?yàn)椴捎肐PSec 的ESP 加密IP 數(shù)據(jù)包需要一定時間,并且性能與采用具體加密算法有關(guān)。
  (2) 應(yīng)用測試
    在工作環(huán)境中,網(wǎng)絡(luò)連接登錄時稍感延遲。但是連接網(wǎng)絡(luò)后,日常操作與平常無明顯異常。這是因?yàn)樵谑状尉W(wǎng)絡(luò)登錄連接過程中,IPSec要進(jìn)行一系列的安全協(xié)商。這也是表1中ping的最大時間較大,而平均時間較小的原因。通過測試可見,在系統(tǒng)的性能上,采用VNP安全措施是完全可行的。
3.2.2 安全性測試
  未實(shí)施VPN安全保護(hù)環(huán)境之前,采用Sniffer軟件監(jiān)聽網(wǎng)絡(luò)信息,不僅能監(jiān)控到用戶登錄名及密碼,而且會話協(xié)商內(nèi)容也一覽無遺,并且可以利用Sniffer工具對監(jiān)聽到的信息進(jìn)行修改,對系統(tǒng)的正常運(yùn)行構(gòu)成了極大的安全隱患。圖3所示的陰影部分顯示出每次交易的信息。


  在應(yīng)用了VPN安全策略后,再使用Sniffer 進(jìn)行監(jiān)控[5],竊聽結(jié)果就大不一樣,會話協(xié)商的內(nèi)容變成了一堆亂碼,如圖4所示。

    利用VPN建立一個可選擇的安全通道保證了信息傳輸?shù)陌踩箷拝f(xié)商的安全性得到了保證,消費(fèi)信息經(jīng)過加密處理和認(rèn)證處理,保證了數(shù)據(jù)的完整性、機(jī)密性和真實(shí)性。VPN保護(hù)是“透明性”的,系統(tǒng)提供的安全服務(wù)具有很強(qiáng)的靈活性和適應(yīng)性,一般用戶絲毫覺察不到安全網(wǎng)關(guān)的存在。
    體育一卡通是某局信息化工程的核心工程,同時響應(yīng)了數(shù)字北京、數(shù)字奧運(yùn)的要求,邁出了積極探索、創(chuàng)新“數(shù)字體育”的重要一步。在Internet連接和基于IP網(wǎng)絡(luò)錯綜復(fù)雜的環(huán)境下,這些新的通信需求已經(jīng)超出了傳統(tǒng)一卡通網(wǎng)絡(luò)解決方案的處理能力。對比傳統(tǒng)一卡通系統(tǒng)實(shí)現(xiàn)方式,通過技術(shù)的分析,突出了VPN的優(yōu)勢。基于IP的虛擬專用網(wǎng)解決方案將數(shù)據(jù)流轉(zhuǎn)移到低成本的互聯(lián)網(wǎng)網(wǎng)絡(luò)上,可大幅度地減少用戶花費(fèi)在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的費(fèi)用。同時,簡化了網(wǎng)絡(luò)的設(shè)計(jì)和管理、方便了新用戶與網(wǎng)站的連接、增強(qiáng)了網(wǎng)絡(luò)安全。VPN技術(shù)已成為一種較為理想的一卡通系統(tǒng)遠(yuǎn)程互連及安全解決方案,對推動一卡通金卡工程、電子商務(wù)、電子貿(mào)易將起到不可低估的作用。
參考文獻(xiàn)
[1]  KENT S, ATKINSON R. Security architecture for the internet protocol[M]. RFC2401. 1998.
[2]  BERNI D. Implementing IPsec—making security work on VPNs, intranets and extranets. Elsevier Science. 2000.
[3]  GORALSKI W J. Introduction to VPN networking[M].  McGraw-Hill.    2000.
[4]  楊明,郭樹旭. 北美電信企業(yè)風(fēng)險管控的實(shí)踐與分析[J]. 電信科學(xué), 2009(6):86-89.
[5]  余鵬,夏永祥. 網(wǎng)絡(luò)嗅探及對策研究[J]. 電腦知識與技術(shù), 2008(12):77-79.

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。