基于SSL VPN的西南航空气象网的搭建

武文斌

摘要：该文以适应我中心为特定航空气象用户提供安全、多样的气象服务要求为出发点，首先对现有技术手段的不足和SSL VPN相关技术和产品优势进行了全面的剖析。然后详细地阐述了西南航空气象网的设计和实现，通过使用深信服SSL VPN产品构建西南航空气象网，并对网站进行数据加密和用户访问控制，提升了我中心通过互联网提供气象服务的安全性和能力，从而有效地提高了中心对外提供航空气象服务的效率和质量。

关键词：SSL VPN;西南航空气象网;气象服务

中图分类号：TP393      文献标识码：A      文章编号：1009-3044（2018）35-0043-03

Abstract： This paper is order to take the adaptation of the requirements which our center needs to provide safe and diverse meteorological service for specific aeronautical meteorological users. Firstly， it comprehensively analyzes the shortcomings of existing technical means and the advantages of SSL VPN related technologies and products， and then elaborates the design and implementation of the Southwest aviation meteorology website in detail. By using the Sangfor company SSL VPN product to build the Southwest aviation meteorology website， and encrypt the website data and provide the user access control facility， it has promoted the safety and capability of our center to provide meteorological services through the Internet， which has effectively improved the efficiency and quality of our center to provide aviation weather services.

Key words： SSL VPN; southwest aviation meteorology website; weather services

1 概述

随着我国民航运输业及航空气象的蓬勃发展，航空气象服务显得越来越重要。之前我中心航空气象情报检索网站由于安全原因只提供局域网服务，行业用户想要访问只能申请运营商专线，而且由于开发时间久远功能相对单一，气象资料相对较少，不能满足用户对气象产品多样化的需求，同时由于设计陈旧，不利于功能扩展和系统升级。随着西南地区航空气象产品种类的增多，以及航空气象产品用户规模的不断扩大，开发全新的易于扩展的西南航空气象网，并借助SSL VPN设备提高互联网访问的安全性可以有效地解决目前存在的问题。通过基于SSL VPN的互联网方式向机场、航空公司、民航局、空军等特定航空气象用户提供服务将极大提高用户对航空气象产品的认可度和关注度，有效提高气象数据在互联网上传输的安全性和可靠性。

2 SSL VPN及相关产品介绍

2.1 SSL介绍

SSL是安全套接层（Secure Socket Layer）协议的英文缩写，是由网景公司提出的一种基于WEB的安全协议。它处于应用层和传输层之间，他通过对应用程序和TCP/IP之间传输的数据进行密钥加密的方式来提供安全保证机制。SSL协议分为上下两层：上层由握手协议、修改密文协议、警告协议组成，上层协议主要功能包括通讯双方验证身份，交换密钥、协商加密算法等;下层协议是记录协议，主要用来为应用层和传输层之间传输的数据进行加密、封装、压缩等处理，并把处理好的数据传递给对端。由于市面上大部分WEB浏览器都集成了该协议，所以其部署方便，无须额外安装SSL客户端。目前SSL已经成为网络中鉴别站点和网页浏览者身份、Webservice与浏览者之间进行加密通信的全球性标准。

2.2 VPN介绍

VPN是虚拟专用网络（Virtual Private Network）的英文缩写，VPN技术就是在互联网上建立一条逻辑上安全的、可靠的、虚拟的隧道，使企业相关用户可以随时随地访问企业内部的资源。我们可以把它理解成一条访问企业内部资源的专线，它通过某种特殊的加密协议来实现，不用真正铺设专用的光缆之类的物理线路，也不用购买相应的路由器等设备，所以VPN的原理就是利用公共网络资源建立虚拟化的私有网络。VPN在保证数据机密性的同时增加了企业执行远程访问控制的能力和级别，用户想要访问企业内部资源必须通过相应认证方可获得访问权限。本系统中的企业相关用户就是机场、航空公司、民航局、空军等特定航空气象用户，通过为这些用户分配网站的访问权限来实現远程访问控制。

2.3 深信服SSL VPN

SSL VPN技术从字面意思理解就是使用SSL协议来实现远程访问接入的一中VPN技术，其优势包括部署简便、维护成本较低、无须安装客户端、网络适应性广的特点。目前市面上使用最广泛的就是深信服SSL VPN，其产品有高速访问、易用、高度安全、全面支持移动互联网等特点。作为国内SSL VPN领域的领导者和技术标准的制定者，其产品越来越受到各大中型企事业单位的认可，且连续多年国内市场占有率排名榜首。本系统就是使用深信服SSL VPN-1000型号产品来完成网站的搭建。

3 网站设计和实现

3.1 网站总体结构设计

西南航空气象网采用B/S（浏览器/服务器）模式，整体架构使用Microsoft Visual Studio 2013平台下的ASP.NET框架，编程语言使用Visual C#来进行开发，数据库使用Oracle10g存储气象数据。网站部署在气象中心外网Windows Server WEB服务器上，数据库服务器也部署在外网区，气象数据通过通信系统由业务网传输到外网数据库服务器上。业务网与外网通过防火墙与单向网闸实现物理隔离。该网站主要面向航空气象用户提供服务，用户可以随时随地在互联网上使用内嵌SSL协议的WEB浏览器通过深信服VPN网关及外网防火墙访问西南航空气象网并获得相关资源。网络拓扑结构如图所示：

网站主要包括登录模块、报文查询模块、图形查询模块、自动观测模块、预报产品查询模块、全国机场监控模块、天气讲解等模块，如图2所示。网站采用模块化接入方式，满足系统扩展弹性。

该网站为用户提供了各种资料的查询与下载功能。用户无须登录网站就可以通过报文查询模块查询航空气象报文和重要气象情报;通过图形查询模块可以查询全国各机场的气象雷达回波图、民航气象中心下发的卫星云图以及各高度层的重要天气预告图、高空风温预告图等图形产品;用户还可以查询机场警报、区域预警、终端区预警、起飞预报、天气通报等全国各机场发布的预报产品;网站按照全国机场实况天气情况对全国机场实时监控，并对不同级别的适航天气进行预警，而且以地图方式显示方便用户直观了解全国个机场的天气。当用户登录并通过验证后还可以获得更高级别的权限诸如使用气候志报表以及代发报功能等服务。

3.2 网站实现

3.2.1 报文查询

报文查询可以检索航空气象报文和重要气象情报两大类，航空气象报文包括各时次国内外各机场所发布的SA、SP、FC、FT报。重要气象情报包括各时次国内八大飞行情报区及国外飞行情报区所发布的WC、WV、WS、WA等报文。这里创建两个类BaowenQuery和ZyqxQuery分别用于处理航空气象报文和重要气象情报的查询请求。

在BaowenQuery类中定义以下Query方法实现具体查询。

public String Query（String headdate， String[] obcc， String type， String time），各形参定义如下：

headdate：日期;

obcc：机场四字代码;

type：航空气象报文类型（包括SA、SP、FC、FT）;

time：时次（包括全天、当前时次、任意时次）。

航空气象用户在航空气象报文查询界面选择相关选项并点击查询图标后，系统后台就会调用该方法，每次调用时系统会将相关参数传入该方法，并通过拼接SQL语句查询数据库返回查询结果。同理，在ZyqxQuery类中也存在对应Query方法实现对重要气象情报的具体查询，具体实现参考BaowenQuery类Query方法。如下图所示为报文查询模块中航空气象报文查询界面。

3.2.2 图形查询

图形资料包括雷达图、卫星云图、高空风温预告图、重要天气预告图。它们都是以二进制的形式存放在数据库中。对于雷达图的查询，这里先定义一个RaderQuery类来响应用户对雷达资料的请求，其方法为public String[] Query（String headdate， String obcc） ，该方法返回指定日期和机场的所有雷达图的文件名数组results[]。然后在页面上根据用户选择使用控件<img  src="/image.aspx？tname=image01_radar&fname=<%= results[i]%>" />来显示任意一张雷达图。可以看出，该img地址指向了一个aspx页面。这个页面有个奇特之处，就是无须写前台代码，只需在后台将二进制图形显示在aspx页面上，后台Page_Load页面加载函数实现代码如下：

String TableName = Request["tname"];//雷达图数据表

String fileName = Request["fname"]; //雷达图文件名

String sql = "select content from mhapp." + TableName + " where FNAME='" + fileName + "' order by inserttimedesc";

DataBase db = new DataBase（）;

DataSet ds = db.GetDataSet（sql）;

byte[] bFile = （byte[]）ds.Tables[0].Rows[0]["content"];

//将二进制图像实例化内存数据流

MemoryStream ms = new MemoryStream（bFile）;

Bitmap bmp = new Bitmap（ms）;

Image sbmp = bmp.GetThumbnailImage（128， bmp.Height * 128 / bmp.Width， new Image.GetThumbnailImageAbort（IsTrue）， IntPtr.Zero）;

//將二进制图形保存在本地

sbmp.Save（fileName，System.Drawing.Imaging.ImageFormat.Png）;

Response.ClearContent（）;

Response.ContentType = "image/Gif";

//在页面上显示二进制图形

Response.WriteFile（fileName）;

其他圖形查询与雷达图查询实现方法类似。雷达图资料查询界面如图所示：

3.3 使用SSL VPN部署网站

1） 登录深信服SSL VPN管理后台，可以查看SSL VPN网关的运行状态，包括系统信息、线路状态、网络吞吐量、并发用户趋势以及并发会话数等信息。在SSL VPN设置界面中选择“用户管理”，新建需要访问西南航空气象网的所有航空气象用户，设置其用户名和密码，并且对这些用户进行分组。

2） 在SSL VPN设置界面中选择“资源管理”新建web应用，设置资源名为“西南航空气象网”，类型为HTTP，端口号80，资源IP地址为气象中心外网区西南航空气象网web服务器经防火墙映射后的地址。

3） 选择“角色授权”，新建角色“西南气象服务”。首先将该角色关联用户，这里默认关联所有航空气象用户，然后在编辑授权资源中关联上一步的网站资源“西南航空气象网”。这样就将航空气象用户和西南航空气象网相关联了，即用户获得了访问该网站的权限。

4） 航空气象用户在互联网通过浏览器访问SSL地址，通过身份验证后就可以访问西南航空气象网了。

4 结束语

目前，基于SSL VPN的西南航空气象网已成功上线运行，不间断地为属地化机场、航空公司、民航局等各类航空气象用户提供丰富多样的气象服务，受到用户的一致好评。通过SSL VPN的数据加密协议和用户访问控制有效提高了该网站气象数据在互联网上传输的安全性和可靠性，从而增强了我中心对外提供航空气象服务的效率和质量。随着网站功能的不断扩展，相信其在未来的空管安全保障中必将发挥更加积极的作用。

参考文献：

[1] 韩荣珍.SSL VPN技术在企业远程办公系统中的应用[J].计算机安全，2009（07）.

[2] 胡志伟.虚拟专用网络技术在计算机网络信息安全中的应用[J].科学中国人，2017（21）.

[3] 贾山.虚拟专用网络技术的应用探析[J].电子技术与软件工程，2016（15）.

[4] 王良发，黄盛军.怎样做好航空气象服务[J].科技视界，2013（26）.

[5] 谢英伟.VPN技术在航空气象信息服务中的应用[J].中国民航飞行学院学报，2008（1）.

[6] 卢强宗.航空气象技术在空中交通管理中的应用[J].科技创新导报，2014（3）.

[通联编辑：谢媛媛]