VPN技术及在地震前兆观测台站中的应用

2013-08-06 09:55黎珠博

华南地震 2013年1期

黎珠博

(广东省地震局，广东广州 510070）

0 引言

最近十几年来，广东地震前兆观测建设经历了 “九五”、 “十五”、 “十一五” 三个阶段的建设改造。将网络信息技术应用到台网数据传输中是此次台站改造中的其中一项重要内容。尤其是对于测项比较少的台点，考虑其台站的通信资源和运行成本，通过调研和实践表明，使用VPN 技术进行数据传输具有良好的效果。

1 VPN 的概述

VPN 就是虚拟专用网络，虚拟专用网不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP（Internet 服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 IETF草案理解基于IP 的VPN 为： “使用IP 机制仿真出一个私有的广域网” 是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet 公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。

用户现在在电信部门租用的帧中继（Frame Relay）与ATM 等数据网络提供固定虚拟线路（PVC-Permanent Virtual Circuit）来连接需要通讯的单位，所有的权限掌握在别人的手中。如果用户需要一些别的服务，需要填写许多的单据，再等上相当一段时间，才能享受到新的服务。更为重要的是两端的终端设备不但价格昂贵，而且管理也需要一定的专业技术人员，无疑增加了成本，而且帧中继、 ATM 数据网络也不会像Internet 那样，可立即与世界上任何一个使用Internet 网络的单位连接。而在Internet 上， VPN 使用者可以控制自己与其他使用者的联系，同时支持拨号的用户。

虚拟专用网一般指的是建筑在Internet 上能够自我管理的专用网络，而不是Frame Relay 或ATM 等提供虚拟固定线路（PVC）服务的网络。以IP 为主要通讯协议的VPN，也可称之为IP-VPN。

由于VPN 是在Internet 上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用，在运行的资金支出上，除了购买VPN 设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN 价格低廉的原因。

2 VPN 的特点

2.1 安全保障

虽然实现VPN 的技术和方式很多，但所有的VPN 均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP 网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN 上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。 ExtranetVPN 将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。

2.2 服务质量保证（QoS）

VPN 网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN 服务的一个主要因素；而对于拥有众多分支机构的专线VPN 网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN 的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。 QoS 通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

2.3 可扩充性和灵活性

VPN 必须能够支持通过Intranet 和Extranet 的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

2.4 可管理性

从用户角度和运营商角度应可方便地进行管理、维护。在VPN 管理方面， VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN 管理系统是必不可少的。 VPN 管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上， VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、 QoS 管理等内容。

3 VPN 安全技术[1]

由于传输的是私有信息， VPN 用户对数据的安全性都比较关心。

目前VPN 主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。

3.1 隧道技术

隧道技术是VPN 的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP 中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、 PPTP、L2TP 等。 L2TP 协议是目前IETF 的标准，由IETF 融合PPTP 与L2F 而形成。

第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、 IPSec 等。 IPSec（IP Security）是由一组RFC 文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP 层提供安全保障。

3.2 加解密技术

加解密技术是数据通信中一项较成熟的技术， VPN 可直接利用现有技术。

3.3 密钥管理技术

密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP 与ISAKMP/OAKLEY 两种。 SKIP 主要是利用Diffie-Hellman 的演算法则，在网络上传输密钥；在ISAKMP 中，双方都有两把密钥，分别用于公用、私用。

3.4 使用者与设备身份认证技术

使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

4 地震前兆观测台站VPN 技术网络架构

地震前兆数据的传输必须确保数据的稳定安全传输，防止外部通过网路进入仪器对数据及相关参数进行修改， VPN 技术在这两方面都具有很大的优越性，都有较高的安全性及可管理性，因此适合台站的数据传输。现在一般地区都有电话线路，因此采用电信宽带及VPN 设备进行传输可满足我们的要求，对于在山区布设在山上的观测点，则通过CDMA 网络，利用VPN 技术进行传输（图1）。只需在VPN 设备进行简易的配置即可完成通信。

图1 VPN 技术在前兆观测中的应用网络架构Fig.1 Network architecture of application of VPN in precursor observation

目前在广东前兆数据传输采用VPN 传输的台点分别有梅州台、河源黄子洞水氡观测点、河源双塘地磁台、广州五山台[2]。梅州台共有水位仪、水温仪、气象三要素仪三套前兆观测设备，而且当地早已使用宽带上网交换信息，在这个基础上，只需简单的增加一台VPN 设备，即可满足要求。河源黄子洞水氡观测点只有水氡观测一个测项，周围有一些农居，电话线路已到达，申请电信宽带用于访问INTETNET 信息，增加VPN 设备进到局数据库。河源双塘FHD 地磁观测也只有地磁一个设备，观测房建在双塘地区一座海拔高80 m的半山上，通往附近的民居都是弯弯曲曲的泥路，长达5 km，拉个电话线路成本太高，但联通CDMA 信号已覆盖当地，我们就采用CDMA 网络进行数据传输。广州五山台虽然地处广州市区，但当地的电话线路信号一直都不是太好，最后也是选用CDMA 进行传输。

5 结束语

广东前兆观测建设中，采用VPN 技术传输的台站，基本上都运转了五年，数据传输正常，我们认为在VPN 技术应用中，可根据台站的实践情况，因地制宜，选择有线或者类似于CDMA 之类的移动通信技术架构网络信息传输，具有很强的灵活性和可操作性。而且由于在VPN 技术应用中采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术等四项技术，对数据文件的安全可靠提供了保障，仪器内部参数及数据没有遭到人为的网络破坏修改，整体上运转良好，证明VPN 技术用于台站观测还是可行和可靠的。

[1] 申普兵. 计算机网络与通信(第2 版)[M]. 北京：人民邮电出版社， 2012.

[2] 杨恒广，贾晓飞主编. 高等职业教育 “十二五” 规划教材：交换机/路由器的管理与配置[M]. 北京：清华大学出版社， 2012.