（应用数学专业论文）mpls+vpn在电子政务中的设计与应用.pdf

河南大学研究生硕士学位论文第1 页 摘要 信息技术酶迅猛发展，为电子政务豹发鼹及成雳提供了新的动力。政府祝构 运用现代化网络通信与计算枫技术，将政麝篱理和服务职蔑通过糖筒、优化、整 合、重组艨在网络上实现，从而打破时间、空间以及条块分荆的制约，以加强对 政府业务办公的有效监督、提高政崩的办公效率，并为社会公众提供高效、优质、 廉洁静一体化管理帮服务。 本文谯介绍了电子政务相关理论基础上，研究分析了电子政务的网络需求， 并在比较电子政务中应用技术的前提下，从m p l s ( m u l t i p r o t o c o ll a b e ls w i t c h i n g ， 多协议檬签交换) v p n ( v i 翘蕊p 蠢v 鑫沦n 积硼e ，虚拟专焉网络) 理论研究方面分 析了凇乙sv 烈在网络中昀应用，并设计了基于m 跣s 的v 渊模型以及对其进 行了测试，在对m p l sv p n 应用进行分析的基础上，提出了m p l sv p n 技术在电 子政务中的应用。 本文掰傲熬主要工作包括驭下几个方面： l 、通过对墨薪电予政务应用现状、体系架构、鼹络结构等进行分析，提进了 电子政务网络中存在着访问灵活度不高、不易管理及安全性等问题。 2 、设计了基于徊塔的v 搽网络模型，并从安全性、扩展性、维护性方露对 该模型进行了测试。 3 、提出了将即l sv p n 应用到电子敢务的方案，并梅建了实验网络模型。 关键词：信息纯；电子政务；凇b sv 萎燃 第l l 页河南大学研究生硕士学位论文 a b s 鼍j f i 菇c 耄 弧ed e v e l o p m e n to fi n f o f m a t i o n t e c h n o l o g yp r o v i d e s 璩e d r i v 协gp o 、e r 王o r 纛鼹耄 i 鹤酝莲叠印l e 黻e 蛾濠ge _ 辨v 毒糟秘e 蘸镌e 黼糕蠢g e 礅e 爨ta 蘸纛s 霉辩i e e 莰避c 耄i 髓蠢o f g o v e 雠n 蹦 鑫糟p 瀚v i d e d 锄攮en o 挑醅k 鑫嚣黼獭掣鑫r e 辩珏e 赫赫e d ，姊t i m i z e d ， i n t e 黟a 妻e d 黼dr e o 端黼i z e db yu s i 觳gm j o d e mi n 如薰m 瓤i o na n dn e 咐o r kc o 擞m u n i c a t i o n 德e 弧o l 锷y ，w 孰i 蕊e 鼹s 鞘n 跚哦馕e 糟逝i c t i 雠s 簖l 醺e ，s p e 糕莲d i v 矮赚遮也e m 禚鑫辨m 罐l 鑫雩e e 挺鹾。愆。谨f ， 德霉臻e e 魄s 秘e s s e so f 静鞴糯擞鼹tc 褫瓣s o 耱 s 坤e 崩s e de 靛c 专i v e 墩爨l o 诧凳始，像ee 衢c i 蟪t ，堪羚凇i l e 燃躲鲳e 激e 越翘ds $ 州e ee 锺 b ea c h i e v e dw i 也托a n s p a n ts p e c i 巍c a t i o nt o 也ew h o l es o c i e 够。 歉攮i s 穗e s s ， 饿。忿s e 黼馥e s 糟l 采醴埝e g o v e 耩搬雌 嚣聪羲r s t y 凇 铡姹莲， 酝s 尊莲。鑫 髓l i s ，镰ei m p l e 掰e 藏t i 嘴椰n e i p e 拄觳d 黼e 氆o do f 獬l y 讯gm p l s ( m u l t i 一跏o l a b e l s 骝i l 幽i l l g ) v p n( v i 渤a l 壬蛾v 锺l en e 婀q 呔) 箍糙鞠a l y z e di nd e t a i l a 靛d 搬张，a e 渊钮黻c 毫i 馘s 畦e 撒oo fo g o 转黼联e 嫩瓿s e d 蝴m p l sv p ni s p f 雌o s e d ， 黼d 懿 鼹痨l 谂g e e 赫o l o g i e s 鑫勰瓣s od i s 淄s 辩d 猿藤缱越1 糯e 黼a 熏ne o 嫩e 鼹t sa 飘d l 搬o v 激i o 魏si 稳壤i s 氇o s i s 戳毪s 稻l l 搿w s ： l 。a e c o 砖嫩g 艳德eb a s i c 专h 拶f e l a t e dl oe * g q v e m 掰鞠毫，饿es i g l l i 韪c 搬e e o f d 贸e | 嫦汝霉e 一笋鞲糕擞鼹弧鑫蕤鑫l 辫e 莲，黢攮e 粥s e 躺馥e 鼹e 嫩s 鑫羲纛莲钱e l 雌i 甥缴灌鑫o f e g o v e m l n e n ta l d i s c u s s e d b a s e do n 协i s 2 。a s 蠹潴壤ee 一笋v o 燃艨懿t ，耄h ei 糍p l e 黻蹀i 鹎州觳e 冷l e 糖dm 鼬o d fm p l sv p n 鑫羚纛域鼹暹l 潞e 基，毅基攮张疆e 鑫弹l 臻虱激o fm 强sv 羚爨幽糊攮i sd i s 斑s 蘸漱蘸蘸鼓1 3 a c e o 糖趣g 埝攮话曲o v e 掘e 谢e s 疑d 撒e 嫩。瓠，巍m p 瞒v p nb a s 甜e 撇嫩娃c t i o 髓 s c 董l e l 娃eo fe * g o v e 翻锻熊激l 、i h 御0 sv 蓁冁i sp p 0 8 e d 甄拶。蟋霉：强融搬糍潍诧蠢溅o l o 露；笋躐；氧辨峪w 瓣， 关于学位论文独立完成幂嚣内容剖新的声明 本人向河赢大攀囊虫硕士学位幸请。本人郑重声骤：辨呈交妁学位论文霆 本人在导纾酌糟导下独立宠威酌，对髯研究韵课题煮裁韵晃解。播我秀季知，除 文_ 申特别加以说明、标渔和致谢的地方外，论文中不包括其他人已经发表或撰 写过酌研究成粟，也不包括其他人为荻得任何教育、科研机构的学位或证书雨 使用过醇材料争岛斌+ 一霹l 馆蟓底裹菇痴撩壤霸鬣的任僻奏蠢乏海潍论文串 聱+ ， 段铱存、汇编学位论文( 纸腐交本争电子文本。 ( 涉及僚謦脚客纳学世论爽在解窑后适用本授权书) 学位获释者( 学位论文作者) 签名：j 薹曼掌一一。，。一一 2 0 码车s 雳2 善露 学位论史指导教师萋名： 互交骞至奠 2 露蓼鼋莘s 月习霪 河南大学研究生硕士学位论文第1 页 1 1 研究背景 第一章绪论 逸2 0 世纪粥年代初戳来，髂随着鼓茎联霹淹核心的现代信息避倍技术的侮速 发展帮广泛应用，信息讫大潮正以不可阻挡之势席卷着全球的每一个角落，人类 社会生存与发展的各个领域正经历着前所未有的冲击和洗礼。政府作为人类社会 治理体系基本组成部分的公共组织，在面临现代信息通信技术严峻挑战的厨时， 也迎来了一个全新的发震时期以互联网在政府管理与殿务中的普遍应用麦表 现彤式的电子政务时代【i 】。放眼全球，电子政务j f 在信息化大潮的涌动下蓬勃发展， 在改进和优化政府组织、重组公共管理、提升政府管理效率、提高政府服务能力 稻水平等方恧，援体现塞越来越强大的优势。在我国，毫子政务发展的序幕业已 拉开，一场影响深远、意义重大、波及面广泛的电子政务革命正在扑丽丽来翻。 近年来i n t e m e t 的迅猛发腿为h l t e m e t 服务提供商( i s p ) 提供了巨大的商业机 会，阕时也对其嚣干网络提出了更高的要求，人证希望l p 网络不仅能够提供 嚣撒砖l 、上瓣等服务，还能够提供宽蒂、实鼯性业务。觚麓曾经是被普遍看好豹 能够提供多种业务的交换技术，但是由于实际的网络中人们己经普遍采用p 技术， 单纯的删网络融经不能满足需要，所以现有a t m 的使用也一般都是用来承载 臻。因此，人熟就希望p 也麓像羽曩睡一样提供一些多种类型酶服务【3 l 。 m p l s ( m u l t i p r o t o c o ll 曲e ls w i t c h 赫g ) 即多协议标签交换，就是在这种背景 下产生的一种技术。它吸收了删中v p w c i 交换的一些思想，“无缝”地集成了 l p 路由技术的灵活性霹二层交换技术的简捷性嘲。在面向无连接的撑网络中增加 了凇l s 这辩蔼海连接的藩性，透过采雳擀毛s 建立“康连接? 药方法淹鬻两增 加了一些管理和运营的手段。随着网络技术的迅速发展，m p l s 的应用也逐步转向 m p l s 流量工程和m p l s ) n 等【 。在解决电子政务中部f l 互连，提供各种新业 务方簌，醚p l sv p n 也越来越被运营商看好，成先l p 网络运营商提供增值监务的 重要手段。本文所提到的m p l sv p n 是指b g m p l sv p n ，也即三层m p l sv p n 。 v p n ( r t u a lp r i v a t en e 坩o r k ，虚拟专用网) 是依靠i l l t e m e t 服务提供商在公 用网络中建立专耀数据通信嬲终的技术。在v 烈中，征意两个节点之闻的连接并 没有传统专焉弱掰霈的端到端物理链路，两是裁露某种公众瓣的资源动态组戎的 第2 页河南大学研究生硕士学位论文 圈。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，丽是使用蕊e 獠e t 公 众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个晟符 合自己需求的网络。 m p l sv p n 是集隧道技术和路由技术于身，吸取基于虚电路的v p n 的服务 质量保证( q o s ) 的优点，并克服了它们无法克服的缺点【7 】。使用耀l s 组网具有 极好的灵活性和扩展性，用户只需将一条线路接入m p l s 网，便可以实现任何节 点之间的直接通信，可实现用户节点之间的星型、全网状以及其他任何形式的逻 辑拓扑吲。 m p l sv p n 非常适合对q o s 妃q s 、随络带宽、可靠性等要求较高的v 羚l 业务， 适合于远程互联的大中型企业专用网络。m p l sv p n 不仅满足v p n 用户对安全性 的要求，还减少了网络运营商和用户方的工作量。m p l sv p n 便于实现三网合一， 即在同一瓣络平台上实现基于p 的数据、语音和视频的远程逯信【朔。不过m p l s v p n 技术本身还有个成熟的过程，但是它代表了v p n 的发展方向。 量。2 研究内容及意义 传统v p n 网络是采用隧道技术来实现的，它采用隧道协议对数据进行层层封 装，增加了网络中的数据流量，同时传统v p n 是基于i p 网络中“尽力丽为”的转发 策略的，因此在这样的网络中实现服务质量、服务等级和流量工程的难度较大， 而当网络中站点数较多，建立的遂道过多时，使管理的难度加大，其扩展性不是 很强【1 弼。 1 2 1 国内外研究应用现状 m p l sv p n 网络是基于m p l s 网络技术的，而m p l s 网络将二层的交换技术 和三层的路由技术很好的结合在了一起，具有扩展性强、安全性高和易于实现服 务质量、服务等级秘流量工程等特点，是未来v 烈发展的方向【1 2 】。 一、国外研究现状 首先作为网络之国，美国政府非常重视v p n 技术的发展。2 0 0 4 年初，美国全 国性运营商s p r i n t 推出针对企业雳户的v p n 业务。至此，s p 豳t 已经拥有了数据 网甄联方面所有的服务产品，包括| 日有的传统专用线、帧中继、a t m 、i p 接入等 河南大学研究生预士学位论文第3 页 等。在接下来的两年里，s p 蠢燃希望在自己的专有蛩鄹和全球p 平台土都采用 m 魁sv 骶技术，并且集成以翦的蠹谴e m e t 接入帮远程接入服务。 印度的最大的烈7 腰r n e r 网络和电子商务提供商s i 母有限公司，建成了印度 最大的m p l s 弱络，提供安全v p n 业务并作为连接到美凰赡辫t e 黜啜t 网关嘲。 冈本的n ”r c o m m u n i c a t i o n s 建成了其全园范围、宽带多业务l s 网络，并 在这一个平台上提供p 、e t h e 雌融、f r 和a t m 业务。此外，n 嗣陀o m 糯u 珏i e a t i o n s 还将面良全球提供其m p 己s ￥p _ n 与p s e e ￥p n 互为备静静v p n 遂务，使褥露户的 专网可以覆盖到全球的1 2 4 个国家或地区，并可在网络受到攻击时，通过在m p l s 和m 8 e c 之间的切换，保证用户v p n 业务的传输1 4 1 。 在欧溯、中嚣等藿家帮地送，p 霹发震裰对较魄，德其发展速度缀快，所建 立起来的网络带宽较高，如中国新建网络带宽都在2 5 g 左右。因此，流量工程对 网络的益处不如美圈明显【1 5 】。另一方面，网络服务供应商把在m p l s 上提供增值 骚务的需求提上了议事嚣程，其中最遣切的就是v 麟鼗务。瓣终服务商零望在撑 网上开发出类似帧中继、a t m 这种虚拟专网的服务。 二、国内研究应用现状 舀前，中国的骨干网带宽的利用率在1 0 以下，因而，如何吸芍i 更多的用户 使用网络资源，是运营商、服务商关心的话题。路由器制造商都看到：v p n 的最 佳用武之地是把承载多静不同类型服务的网络集成为一个单一酶网络。网络运营 。蠢和服务齑大多认隽，蔫v p n 统一各群骚务不失为一种长远的发展方向。2 e 0 2 年， 网通成为中国首个在全国范围内提供全程全网、端到端的宽带m p l sv p n 业务的 电信运营商。据网避称，v p n 如今是中国网通所有国际产晶中增长最快的业务， 露翦的监务量嚣均增长率在2 5 左右，年增长率高达3 o 。v 臻技术已焉在各省 市的电子政务建设中，并已取得了良好的使用效果球司。例如： 福建省政务信患网实旌了基于v p n 的改造，在对政务嚼技术的改造中主要实 现了政务霹笺满足信息缴横交叉访舞麴需求，能提供蔷感受控交换服务，髓提供 第4 页河南大学研究生硕士学位论文 优先级不同的服务，并提供了相应的q s 保障【1 7 】。 在基于v p n 构建合肥市电子政务专网中，采用了v p n 纵横互联的方案，使 整个合肥市电子政务专网具有一定的灵活性和可扩展性。目前，该系统实现了与 全市所有市级连网，并积极开发更多的应用，以方便政府部f j 更好的服务瑟羽。 v 默技术在云南省电予政务中的应用中，省内已经有很多党政部门在省电子 政务专网平台上建设了v p n ，目前，有7 个部门在云南省电子政务网平台上建设 了专网，各个业务专网都在运行状态【1 9 】。 1 2 2 目前存在的问题 目前传统的v p n 技术虽然比较好地解决了电予政务中的问题，比如在网络的 可扩展性、网络维护等方面都有所提高和改进，但随着电- 了政务网络对信息传输 的安全性、实时性、宽频带、方便性的需求琢锈。 传统v 烈应用在电予政务的局限性【2 l 】： ( 1 ) 安全方面。v p n 无法完全保证数据的机密性和完整性，由于v p n 的数 据安全性并不是通过加密和验证算法来保证的，所有的数据包都以明文的方式传 输，v 默是通过转发分离霸路由表项分离来实现安全性的，安全性熊有待提高。 ( 2 ) 扩展性方面。由于v p n 网络完全采用点到点的连接，使得虚电路连接 数目将与结点或用户数目的平方成正比，若设n 为节点数，则虚电路连接数为 n ( n l 汜，所以网络复杂度较高；一腻有新的用户加入网络，无论用户方还是网络的 服务提供商方都需要就新增的虚电路进行很大的修改，增加了许多网络建设与管 理工作量，因此网络的可扩展性受到了较大限制。 ( 3 ) q o s 难以保证。首先在于目前i p 网络作为“尽力而为的无连接网络， 其本身的q o s 保障不完善，其次在于用户侧不同业务的q o s 对应到骨干网络的时 候所出现闯题，倒如由于要求隧道的起点和加密的起点进行配合，所以当数据流 被加密后，因其第一个p 标记q o s 的比特不能为网络路由器所读取，从而q o s 难以得到保证。 1 2 3 本文的研究内容 本文从m p l sv p n 的工作原理入手，分析了m p l sv p n 在电子政务中的实现 机制，并以此为理论基础，规划并设计了基于m p l s 的v p n 实验网络。通过对实 河南大学研究生硕士学位论文第5 页 验网络的测试，验证了m p l sv p n 的安全性、可扩展性等性能。为今后构建高效、 扩展性强的v p n 网络积累了一定的经验。同时，针对当前m p l sv p n 在发展过程 中遇到的一些困难，提出了将m p l sv p n 网络应用在电予政务的方案，并构建了 实验网络模型。 随着网络应用的只益增加，各种新型服务项耍如电子政务、电子商务、远程 医疗、远程教育及各种娱乐广播等对网络服务提出更高的要求。本文是以m p l s v p n 技术的安全性、q o s 保证和可扩展性打破了现有网络的模式，作为_ 种动态 的运行环境，它支持大量殴网络驻磊。，匾时也允连在网络体系结构。审加入瓿设过 的服务瞄j 。传统v p n ，但它在安全、路由、资源分配、网络管理服务以及移动性 等方面还有待进步地研究，虽然目前m p l sv p n 尚在研究试验阶段，未曾有实 际网络投入使用，但主动网络技术的可行性已经开始改变我们对计算机网络的概 念，它将对未来技术的形成起到重要的推动作用。主动网络的动态控制允许服务 适应当前的网络情况，相对于网络到网络的( l a n t o l a n ) 解决方案而言，这些 服务的应用性能有很大的提高【2 3 】 2 甜。 1 3 论文的框架结构 本文的框架结构为： 第一章主要介绍论文的研究背景、研究内容及其意义。 第二章介绍了电子政务、m p l s 及v p n 的基本概念，阐述了m p l s 的体系 结构其工作过程，并对m p l s 网络中的关键技术标签分发协议l d p 进行了详 细的分析，为下面分析m p l sv p n 的相关知识作铺垫。从v p n 的发展过程入手， 分析了传统v p n 的各种实现技术，总结了传统v p n 存在的一些不足，详细地分 绍了m p l sv p n 的体系结梅、工作原理及其特点， 第三章设计了一个基于m p l s 的v p n 实验网络，通过对实验数据的分析， 进一步分析与总结了m p 己sv p n 网络的主要性能，并为应用在电子政务中的实际 工作积累了一定的经验。 第四章将m p l sv p n 技术运用在电子政务中研究分析，分析传统v p n 中存 在的缺点，并对m p l sv p n 技术在电子政务中应用进行了完善。 第五章对论文所做的工作进行总结和展望。 第6 页河南大学研究生硕士学位论文 2 1 电子政务研究 什么是电子政务? 存在多种不同的解释。通俗地说，就是利用信息技术，特 别是网络技术进行行政。也就是说电子政务是政府机构在其管理和服务职能中运 用计算机、网络通信等信息技术，实现日常办公、信息收发、公共管理等政府事 务的数字化、网络化的一种现代化管理模式。 2 。l 。l 电子政务的基本概念 电予政务是近几年掇现的新概念，它是由英文e g o v 蹦黼e 贰翻译丽来，而 e g 钾e 臻趣e n t 的字蘧意思应为“电子政府”，在国内，为了与“电子商务”概念相对 应，大家习惯用“电- 了政务”这一提法替代“电子政府”这原意。我国电子政务起步 于2 0 世纪8 0 年代末期，各级政府开展了办公自动化工程，建立了各种纵向及横 向的内部信息办公网络。从2 0 世纪9 0 年代开始，通过重点建设金税、金关、金 卡等重点信息系统，我国电子政务发展取得了长足的进步。其发展历程如图2 1 所示【2 5 】。 2 0 世纪年代2 0 世纪9 0 年代1 9 9 9 年 2 2 年电子政务发曩黔段 图2 1 中国电子政务发展历程 通常电子政务主要包括三个应用领域：一是政务信息查询，面向社会公众和 企业组织，为其提供政策、法规、条例和流程的查询服务；二是公共政务办公， 借助互联网实现政府机构的对外办公；三是政府办公自动化，以信息化手段提高 政府机构内部办公的效率。 电子政务和办公自动化( o a ，o 衢c ea u t o m a t i o n ) 也存在差异性。所谓办公 自动化，主要是指利用现代化的办公设备、计算机技术帮通信技术来代替办公人 员的手工作业，从而大幅度地提高办公效率。早在2 0 世纪8 0 年代，我国些政 河南大学研究生硕士学位论文第7 页 府部门就已经开始普及应用办公自动化系统。而电子政务则是一个比较新的概念， 政府部门的办公自动化是电子政务的一个子集。这里，电予政务业务模型如图 2 2 所示。 百影 i 社会公众和食业l 政府 ：i ：作 人! ，! 图2 2 电子政务业务模型 电子政务和政府上网也容易让人混淆。“政府上网”这个词来自于1 9 9 9 年中国 肩动的“政府上网工程”。由于“政府上网工程”取得了很大的成功，所以人们后来经 常用“政府上网”来指代我国的电子政务建设，这就在一定程度上造成了混淆。政府 上网，主要是建立一个功能完善的网站，着重点在政府网络化；而电了政务主要 是通过电子手段完成行政目的，着重点在政务。二者之间互为因果，相辅相成， 政府上网的最终目标j 卜在推动电子政务的实现。 政府网络服务范围的扩大及延伸，使政府及政府各部门之间缩短了政务处理 的时间和空间距离，降低了行政成本，提高了工作效率。企业和社会公众利用方 便快捷的政府电予政务网络系统，获取服务，参与政务互动，使政府公务活动变 得更加简便、透明，公众在满足自身需求的同时，提高了对政府公务活动的监督 能力。同时，电了政务也需要强大的网络支持。 建设电子政务网络是一个覆盖范围广的城域网，如果没有高效、合理的管理 手段，将很难保证其j 卜常运行。因此，在设计电子政务网络时，必须同时为其建 立先进的网络管理体系。电了政务网络管理系统有五大管理职能：配置管理、性 能管理、计费管理、故障管理以及安全管理，这些管理职能由网管系统和网络设 备共同完成【2 7 】。电子政务网络为分布式的管理结构，即网管中心作为核心中心， 负责行政区和整个网络的管理，统一协调整个网络；各局委、各级政府办、企业 内部的网管中心负责各自内部的网络管理，并接受网管中心的指导和协调。 第8 页河南大学研究生硕士学位论文 _ r )信白晰新( 二_ 政务公共 r 竹：流 政务办公 信息尸乒 l 。”。 一甲，m t 小”i l 政务查询 i 甜铒j k 公 二至夏二二 口e 量三j 换系统 二 塑 。j 。一 1 皇 图2 - 3 电子政务信息流模型刁i 意图 根据电予政务机构的业务形态来分析，电了政务系统中主要存在三种信息流： ( 1 ) 政务办公信息流，主要存在于政府机构内部办公的过程中；( 2 ) 公共事务信 息流，主要存在于政府机构对外办公的过程中；( 3 ) 政务咨询信息流，主要存在 于公众和企业查询相关信息的过程中。信息流模型示意如图2 3 所示。 基于上述三种电予政务中的信息流模型，构建的电子政务体系结构如图2 4 所示。图中所示体系结构的电子政务系统主要包括两个应用系统和两个支持平台： 图2 4 电子政务系统的体系结构 随着信息化、电了政务建设的不断推进，各行各业都在感受着信息化建设带 来的种种好处，不论在生产经营领域还是在行政管理单位，对计算机信息系统的 依赖程度越来越高。电予政务建设目的之一是业务的整合，但不同的部i 、_ j 单位之 间业务上又要求有一定的分离，基于i p 的m p l sv p n 技术以其安全性、高扩展性、 河南大学研究生硕士学位论文第9 页 低成本、高灵活性以及q o s 和流量工程能力成为政府部门网络改造的首选方案。 随着网络技术的普及和发展，基于m p l s 的虚拟专用网技术弓| 起了人们的广泛关 注，它势必成为未来网络安全研究和网络应用的一个重要方向。m p l s ) n 能够 利用公用骨于网络的广泛而强大的传输能力，降低i n t e 黻融的建设成本，极大地提 高震户瓣络运营耱管理的灵活性，霹时能够满足焉户对信息传输安全性、实时性、 宽频带、方便性的需要。据研究，m p l sv p n 代替租用专线能使远程站点的连接 费用降低2 0 到4 7 ，在远程投入的情况下，能降低6 0 至8 0 的成本。 2 1 。2 电子政务系统中数据流分析 根据分析，我们发现政务网络主要传输以下信息：a 政务所需的实时数据，b 交易数据，c 应用软件所需的数据，d 政务辅助系统的实时或准实时数据，e 生产 管理数据，f 其它数据( 文件传输、虚拟终端、远方作业、电子邮件等) 【2 8 】。 从政务应用对服务质量的要求看，实时的应用为本方实时任务与远方实时任 务之间的通信。实时应用可以和非实时应用共享网络资源，但实时应用应具有较 高的网络优先级应能实现本阐内各节点之闻，以及本网魂节点与市政务中心、各 区县市政府政务中心间相关网络之间可靠的、无差错的、具有实时性保证的数据 通信。从政务应用对带宽的要求看，实时视频会议的应用范围不仅在横向政务网 内部，悉且在纵趣行业内部同样需要。 总之，建成的网络系统应从目前市政府政务的应用出发，从技术上保证目前 及未来应用的需求，以三层交换机为骨干，构成市政府电子政务中心核心子网， 以便政务中心的本地子网达到符合政府要求的技术指标，结合使用原有部分网络 设备构成物理隔离的两个髓终纵向溺和横蠢阏，同时，提供政务网络设备备用支 持，全面实现服务质量、安全控制、阿络管理的面向各级政府的广域网。 2 1 3 电子政务系统设计基本要求 根据政务数据网络的具体需求，网络系统的建设应从高起点、统一全面规划、 便于日常维护工作、适用于将来的扩展、与新技术的融合等方面出发，提出以下 详细设计原则来作为网络的具体设计标准f 2 9 】： ( 1 ) 高性能：网络的设计方案不但要保证理论上可行，更重要的是实际上可用。 第1 0 页河南大学研究生硕士学位论文 犯) 高可靠性：硬件瘸络产品的选震需具有很高的可靠性，较高麴m 下b f ( 平均无 故障时间m e a nt i m eb e 懈e e nf a i l u r e s ) 值以及全对称各处理器的硬件体系结构能 够做到任意一个处理器和网络接口模块出现故障都不会影响其他模块，所有的功 能部件( 电源、系统总线、处理器模块、网络接豳模块等) 均可以热插拔和冗余 热备份。( 3 ) 安全性：为了保护政务系统关键数据的安全可靠，需要网络能够提供 多种方式和层次的访问控制( 包括标准访问控制列表和控制访问控制列表) 。政务 系统要与i i l t e m e t 网连接，因此要具有强大的防火墙功能和灵活有力的数据包过滤 功能，为通信系统提供齑质量的安全保障。( 4 ) 易维护：要保证网络能正常稳定运 行，要求网络维护人员可以方便地对网络设备进行远程控制和配置。( 5 ) 适应性强： 网络结构复杂，设备多样，同时针对企业的业务特点，连接的方式和种类很多。( 6 ) 兼容多厂家设备。( 7 ) 可扩展性和易于升级：随着网络用户应用规模的不断扩大， 要求网络能方便遗扩充容量，支持更多的用户和应用随着通信技术的不断发展， 网络应能平滑地过渡到新的技术和设备，保护用户现有投资。( 8 ) 可管理性：良好 的组织和管理对于市政务数据网络的正常运转和高效使用有很大帮助。网络应该 能够提供方便、灵活、有力的管理系统，让使用者可以有效地控制和管理整个网 络。( 9 ) 开放性与标准化：开放的网络可以让用户自由地选择不同厂家的产晶，不 受原有厂家的限制。( 1 0 ) 流量优化：网络流量优化将有助于提高网络带宽的利用率， 尤其是宝贵的带宽资源。因此，对于如视频会议等高带宽应用，进行网络流量的 优化显得尤其重要。 2 1 4 电子政务网络接入范围及设计分析 政务横网连接范围：政府直属各部门、政府办公室以及因工作需要接入的单位， 如教育局、交通局、财政局等部门。 政务纵网连接范围：各级行业单位直属各单位、各级行业单位及其直属各单位、 各级以及因工作需要接入的单位。 政府电予政务网络改造工程将在目前政府政务网建设和下属各级政务网建设 的基础上建立连接包括政府信息中心、各个下属的政府信息以及本级的厅蜀级单 位等各个部门的宽带电子政务网络，为实现电子政务提供通信网络支持。根据目 前的通讯现状，广域网接入设计的需求是：在目前的通讯基础之上，构造一套灵 活度高的、安全性强的及方面管理的多服务网络。 河南大学研究生硕士学位论文第11 页 2 重s 电子政务网络需求分析 电子政务网络建设是为了建立一个开放的、基于标准的电子政务统一网络平 台，整合地区现有的各类政府网络到统一政府网络平台，利用统一网络平台为各 政府部门电子政务应焉建设的震开提供基础网络平台，实现信息交换积资源共享， 面向公众提供服务，增强各部门工作的透明度。分别支持数据、语音和视频业务， 运行各部门的业务系统，实现各网间的信息交换和资源麸享，同时建立完善的信 息安全体系和相应盼备份系统瑚i 。 综上，电子政务网络作为连接政府各缀机关部门的宽带政务网络系统，从业 务、安全角度分析一个完整的电子政务系统应满足以下要求： ( 1 ) 统一的网络平台 为加强政府的服务职能、政策宣传及民众教育，需建立统一的对外公共信息 发布平台，在网上为社会及企业提供方便、快捷、透明的“一站式”电子政务服务， 。在政务外网的公共服务区( v p n l ) 中实现。在统一的网络平台上实现不同行业、不 同部门以及不同业务之间受控互访和隔离。随着政府信息化程度的加深，政府各 级枫关部门之间内部的信息交互程度也随之加深，在政务外网的资源共享区p n 2 ) 中实现。各级政府的组成部门和直属机构的横向互联以及上下级之间的纵向互联 程度也随之加深，所以统一的电子政务网络平台必须实现不同行业、不同部门以 及不同监务之闻的隔离，在政务外网的部f 业务专网区( v 烈3 ) 中实现阳。 伫) 可扩展性 网络平台能够承载更多的业务是解决电予政务网建设过程中资金压力问题的 有效手段。在政务信息网的网络中，充分利用宽带l p 技术，实现网络对语音和视 频等多媒体监务孵嶷好支持，爵以大大节省政府的办公费用开支，丽虽还霹域避。 免网络的重复投资。充分实现电子政务网络中的可扩展性。 ( 3 ) 服务质量 为保证政务铸息网全丽阙络设备的运行维护，有必要建立统一的网络管理平 台，保证整网运行可靠。为保证整网用户的安全和管理，需要统一的政务网用户 接入平台和电子政务认证中心，实现对全网的用户统一管理。 似) 数据的安全 对于出差流动、远程办公和远程小办公室的政府部门人员，为了满足他们可 第12 页河南大学研究生硕士学位论文 以访河政务信息嬲内部资源，需利用接入各种保密方式实现移动用户的接入，丽 隧道与加密、数据验证、用户验证、防火墙与攻击检测则提供了安全保证。 2 2 电子政务中应用技术的比较 随着网络的迅速发展，网络的性能主要由以下因素瑟辞来决定：l 、安全性；2 、 扩展性；3 、流量控制；4 、q o s 保证；5 、服务部署；6 、可管理性。传统的v p n 、 基于i p s e c 的v p n 以及基于m p l s 的v p n 技术应用在电子政务中的技术从总体 性能上的比较分析f 3 2 】： v p nl p s e cv p n l 锰p l sv p n 可伸尚待解决尚待解决高度的伸缩性 缩性 网络本地环路本地环路、网络边缘或远 在服务商的核心网络最佳， 位置离存在加密数据较高曝光 此地q o s 、流量工程帮带宽 性的网络位置最佳使用可得到完全控制 会话数字证书i p s e c 会话都通过数字签成员资格凼服务供应商决 认证名或预先分配的密钥认证定 机密数据通过加密隧由细密和隧道机制提供机由一种类似可信任帧中继 性道传输的效率不密性或a t m 网络区分流量实现 向安全性 服务比较困难尚待解决提供可伸缩的、稳固的q o s 质量机制和流量工程能力 支持 服务可在现有的任何可在现有的任何l p 网络在启用了m p l s 的核心网 部署糟网络上上络共享网络设备上 可管无无强 理性 成本较高较昂贵较便宜 从上述比较，可以分析患： ( 1 ) 传统的基于隧道技术的v p n 难以实现q o s c o s 和流量工程，这就限制 了传统v p n 提供综合业务服务以及处理网络拥塞的能力；数据通过加密隧道传输 河南大学研究生硕士学位论文第13 页 的效率不高，隧道技术要把数据作多层封装，这导致额外的计算开销帮网络带宽 开销；当网络规模扩大时，组网灵活性差，若一个v p n 中的站点数很多，而且这 些站点之间要求全联通，那么隧道数量会急剧增加，从而带来管理和维护上的困 难。 ( 2 ) 基于辨s e c 的v 烈解决方案的安全措麓非常完善：而且比较容易解决移 动用户接入的问题；但是，伸缩性差，保证q o s 和实施流量工程比较困难，同时 也增加了用户使用这种v p n 的复杂性和成本。 ( 3 ) 基于m p 己s 的v p n 解决方案可以方便地实施流量控铡，保证q o s ，同 时具有很强的伸缩性和可管理性；同时在安全性上有一定的缺陷，但是通过采用 路由隔离、地址隔离和信息隐藏等多种手段提供了抗攻击和标记欺骗的手段，能 够提供与传统的肼m 或帧中继v p n 相类似的安全保证。 综上，可以得鼠结论：基于m p l s 的v p n 解决方案可以方便地实施流量控制， 保证q o s ，同时舆有很强的伸缩性和可管理性，虽然在安全上有一定的缺陷，但 是通过采用路由隔离、地址隔离和信息隐藏等多种手段提供了抗攻击和标记欺骗 的手段，能够提供与传统的觚m 或帧中继v p n 相类似的安全保证。所以，基于 m p l s 的v p n 更适宜应用在电子政务网络中。 2 3m p l sv p n 技术应用在电子政务中的优越性 m p l sv p n 的主要优势： ( 1 ) 无连接特性：m p l sv p n 的一个重要的技术优势是无连接。当用m p l s 创建一个无连接的v p n 时，无需再为网络的安全保密专门建立一个通道或使用加 密技术，这可大大地降低蹲络逅行酶复杂谶。 ( 2 ) 集中的管理：在第三层中建立的v p n 允许将m u l t i c a s t ，q o s 等服务分 发到嘲v p n 代表的一组用户，而且还可以为单个用户提供几种服务的组合。 ( 3 ) 安全性：m p s 可以将不同v p n 的通信完全隔离，使得无关用户的通信 不会混杂其中，从而提高了安全性，这是在不必使用隧道和加密的前提下就能完 成的。m p l sv p n 借助m p l s 技术，利用2 层标记( 1 a b e l ) ，自动为不同用户的节 点间建立不同的隧道，使用户的流量分别穿行在不同的“虚通道”中，实现了用户流 量的隔离，提供了逻辑上最大的安全性。m p l sv p n 由于采用了路由隔离、地址 第1 霹页河南大学研究生硕士学位论文 隔离和信息隐藏等多种手段，提供了抗攻击和标记欺骗的手段。 ( 4 ) 扩展性：m p l sv p n 具有很强的扩展性。一方面m p l s 网络中可以容纳 的v p n 数目很大；另一方面在用户节点数豳上由于借助于b g p 协议进行成员的 分配和管理，同一个v 榭中的用户节点数不受限制，容易扩充，并可以实现任何 节点与任何其他节点的直接通信。特别是在实现用户节点闻的全网状通信时不需 要逐条配置用户节点间的电路，用户只需要个端口一条线路接入网络。 ( 5 ) 维护性：因为m p 乙sv p n 是无连接的，所以增加个节点十分方便，无 需点对点的映射，焉且客户可以自己定义的私有辩地址或使用原有的狰地址，无 需网络地址转换( n a t 就可以在公共口网上进行通讯。 ( 6 ) 网络可靠性：网络的可靠性主要靠资源的冗余度来实现。m p l sv p n 依 托互联蹒展开，电信运营商的基确设施非常发达和完备，嘲络捐有很高的带宽和 传输速率，设备、线路和路由都有冗余保护措施，保证了网络的可靠性【3 引。 2 4 本耄小结 电子政务网络需求的是要求有统一的网络平台、易于管理、访问灵活度高并 能僳证数据信息的安全的体系。 本章主要对电子政务及应用在电子政务中的v p n 技术进行分析入手，根据电 子政务系统对网络的需求，得到m p l sv p n 适宜应用在电子政务中的结论。 河南大学研究生硕士学位论文第15 页 第三章m p l sv p n 的研究与设计 m p l s 作为一种支持多协议的技术，对二层、三层技术有良好的支持。m p l s v p n 是众多的隧道共存技术中的一种非常适合口骨干网和城域核心网。 3 1m p l s 体系结构 m p l s 是多协议标签交换的简称，它是将第二层交换技术与第三层路由技术结 合起来的一季孛l 2 几3 集成的数据传输技术，它介于网络层与数据链路层之间的2 。5 层，它是用短且定长的标签来封装网络层分组。由于m p l s 是多协议的，所以它 支持多种链路层( 如p p p 、a t m 、帧中继、以太网等) 协议，同时它又为网络层 提供谣向连接的服务。m p l s 能从i p 路由协议和控制协议中得到支持，路由功能 强大、灵活，可以满足各种薪应用对网络的要求。这种技术早期起源予p v 4 ，僵 其核心技术可扩展到多种网络协议( i p v 6 、獬x 等) 。 m p l s 实现了将第二层的交换技术和第三层的路由技术很好的结合。它以十分w 简洁的方式完成傣息的传送。m p l s 首先根据某种特定的映射规则在网络入口l e r ( l a b e le 趣er o u t e r ，标签边缘路由器) 处将数据流分组和固定长度的标签对应起 来，这种映射不但考虑到数据流的目的信息，同时也考虑到了有关q o s 的信息， 然后用标签封装数据分组。在以后的网络转发过程中，m p l s 网络中的l s r ( l a b e l s w 溉h e dr o u t e r ，标签交换路由器) 就只根据数据分组所携带的标签进行交换帮转 发。相对于传统的“逐跳”的路由方式，m p l s 极大的提高了路由器的转发效率，同 时m p l s 在解决网络的扩展性、实施流量工程、同时支持多种要求特定q o s 保障 的撑遂务等诸多方面具备得天独厚的技术优势。鹾p l s 确保了l s p 对两络原有设 备的投资，相信m p l s 会像其它技术一样，会不断发展、完善，最终将成为下一 代1 1 1 t e m e t 的核心技术州。 m p l s 是一种掰的数据包交换机制。m p l s 依据网络层协议为每个转发等价类 。由于m p l s 技术隔绝了标签分发机翩与数据流的关系，因此，它的实 现不依赖于特定的数据链路层协议，可支持多种的物理和链路层技术( 伊、 以太网、p p p 、帧中继、光传输等) 【3 5 1 。m p l s 使用控制驱动模型初始化标签捆绑 的分配及分发，耀于建立标签交换路径( 毛s p ) ，通过连接几个标签交换点来建立 一条l s p 。一条l s p 是单向的，全双工业务需要两条l s p 。 3 1 5 标签的分配和管理 一、标签分发协议l d p l s p 的建立过程其实就是将f e c 和称金进行绑定，并将这种绑定通告l s p 上 相邻l s r 的过程。这个过程是通过标签分发协议l d p 来实现的。l d p 规定了l s r 阆的消息交互过程和消息结构，以及路由选择方式。在毛d p 孛定义了透耕消息： 发现消息( h e l l o ) ：用于公告和表示在网络中一个l s r 的存在。 会话消息：用于在l d p 对等实体之间建立、维护和终止l d p 会话的一组消息。 公告消息：当某个l s r 创建、改变和删除标签转发等价类映射信息时用于通 知其它l d p 对等实体的消息。 通知消息：用于l s r 向l d p 对等实体通知某个事件发生，例如：错误事件发 生，乙d p 会话的状态等。 二、标签分发方式 m p l s 中使用的标签分发方式有下游自主标签分发方式( d u ，d o w n s t r e u n s o l i c i t e d ) 和下游按需标签分发方式( d o d ，d o w n s 打e 撕o nd e m a n d ) 两种。下 游自主标签分发方式：对于一个特定的转发等价类f e e ，标签交换路鑫器己s r 无 须从上游获得标签请求消息即进行标签分配与分发的方式。 下游按需标签分发方式：只有当上游l s r 为一个流向下游的l s r 提出标记分 配请求时，下游乙s r 才进行标签的分发。 在m p l s 网络中，将标签分配给特定f 嚣c 的决定毒下游l s r 徽撼，下游l s r 第2 0 页河南大学研究生硕士学位论文 随焉通知上游己s r 。郎标签由下游指定，分配的标签按照从下游到上游酶方向分 及。 三、标签控制方式 标签控制方式分为两种：独立( h l 纛e p 髓如n t ) 标签控制方式和有序( o 谢e r e d ) 标签控制方式。 当使用独立标签控制方式时，每个l s r 可以在任意时间向和它连接的上游 l s r 通告标签映射。 当使用有序标签控制方式时，对于特定的f e c ，只有当毛s r 是l s p 的患口节 点或者当l s r 收到了下游l s r 发送的标签映射消息时，l s r 才可以向上游发送标 签映射消息。 四、标签保留方式 标签保留方式分为两种：自由标签保留方式和保守标签保留方式。 自由方式保留来自邻居的所有发送来的标签。其优点是当i p 路由收敛，下一 跳改变时减少了l s p 的收敛时间，缺点是需要更多的内存和标签空间。 保守方式剡只保留来自下一跳的标签，丢弃所有菲下一路邻居发来的标签。 其优点是节省志存和标签空间，但当璎路由收敛，下跳改变时l s p 收敛慢。 五、l d p 的工作过程 l s r 通过周期性地发送h e i l o 消息来发现l s r 邻居，然盾与新发现的相邻l s r 闻建立l d p 会话。通过乙d p 会话，相邻l s 爻间通告标签交换方签空间、会话保 持定时器值等信息。l d p 会话是t c p 连接，需通过l d p 消息