摘要:隨著通信技術(shù)的日益發(fā)展�,信息安全技術(shù)也提上了日程。氣象數(shù)據(jù)的安全性得到了廣泛的重視�����,在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)的加密傳輸也是當(dāng)務(wù)之急����,下面就如何利用IPSec VPN技術(shù)實(shí)現(xiàn)氣象數(shù)據(jù)的數(shù)據(jù)加密傳輸提出相關(guān)方案�����。
關(guān)鍵詞:氣象數(shù)據(jù),信息安全,IPSec,VPN
引言
目前我縣氣象數(shù)據(jù)報(bào)送網(wǎng)分兩部分組成�����,一路為主通道,另一路3G備份線路�,主要利用主通道向省局報(bào)送數(shù)據(jù),當(dāng)主通道中斷后�����,切換到3G備份線路�����,切換模式基于BFD協(xié)議技術(shù)實(shí)現(xiàn)���。盡管該網(wǎng)在線路上實(shí)現(xiàn)了備份���,但是在數(shù)據(jù)的私密性,完整性和源認(rèn)證方面有些欠缺��。一旦數(shù)據(jù)在傳輸過程中被截獲篡改或者被不法分子利用后果不堪設(shè)想�����。從信息安全角度考慮�,對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行改造,利用IPSec VPN技術(shù)實(shí)現(xiàn)數(shù)據(jù)的加密傳輸�。
1.VPN(虛擬專用網(wǎng))
VPN是虛擬私有網(wǎng)絡(luò)的簡(jiǎn)稱��,是一種利用公網(wǎng)來(lái)構(gòu)建私有專用網(wǎng)絡(luò)的技術(shù)����,它通過為接收方和發(fā)送方在公用網(wǎng)上建立一個(gè)虛擬的安全隧道來(lái)傳輸經(jīng)過加密的數(shù)據(jù)���,以保證數(shù)據(jù)通信的安全�。VPN是企業(yè)內(nèi)部網(wǎng)在Internet等公用網(wǎng)絡(luò)上的延伸��,它從根本上滿足了企業(yè)用戶的低通信費(fèi)和高靈活性的雙重要求�����。并且它具有與專用線路同樣的安全保障����。通過網(wǎng)絡(luò)技術(shù)、訪問控制技術(shù)和加密技術(shù)�,和用戶管理機(jī)制�����,使用戶可以利用現(xiàn)有公共網(wǎng)�,保密��、安全���、不受干擾地遠(yuǎn)程訪問內(nèi)部網(wǎng)絡(luò)資源。與傳統(tǒng)的私有網(wǎng)絡(luò)相比���,VPN技術(shù)大大降低了成本����,方便��、安全��、標(biāo)準(zhǔn)�,成為實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)跨地域安全互聯(lián)的主要技術(shù)手段。
VPN實(shí)現(xiàn)的關(guān)鍵技術(shù)是隧道�����,而隧道又是靠隧道協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)封裝的�����。在第二層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議稱為第二層隧道協(xié)議,同樣在第三層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫三層隧道協(xié)議���。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶的IP數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸��。VPN將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中��,通過公網(wǎng)Internet進(jìn)行傳輸它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔?���,使敏感的?shù)據(jù)不會(huì)被竊聽����。
2.基于IPSec協(xié)議的VPN技術(shù)
IPSecVPN是基于IPSec協(xié)議的VPN產(chǎn)品,由IPSec協(xié)議提供隧道安全保障���。IPSec隧道只能支持IP數(shù)據(jù)流���,工作在IP棧的底層。因此����,應(yīng)用程序和高層協(xié)議可以繼承IPSec的行為,由一個(gè)安全策略( 一整套過濾機(jī)制) 進(jìn)行控制��。IPSec工作于網(wǎng)絡(luò)層����,是一個(gè)開放的結(jié)構(gòu),定義在IP數(shù)據(jù)包格式中�,不同的加密算法都可利用IPSec定義體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實(shí)施。IPSec幾乎可以為所有的應(yīng)用提供訪問����,包括客戶端/服務(wù)器模式和某些傳統(tǒng)的應(yīng)用,但由于基于網(wǎng)絡(luò)層�����,不能穿越通常的NAT�����、防火墻�����。它為Internet業(yè)務(wù)提供最強(qiáng)的安全功能��,與其他隧道和安全技術(shù)相比�����,其優(yōu)越性在于它的安全性和互操作性,但是管理相對(duì)復(fù)雜���。
3.VPN技術(shù)在氣象網(wǎng)絡(luò)數(shù)據(jù)報(bào)送中的應(yīng)用
為了實(shí)現(xiàn)數(shù)據(jù)的私密性���,可以考慮在現(xiàn)有的網(wǎng)絡(luò)設(shè)備上重新進(jìn)行配置,實(shí)現(xiàn)VPN的功能�����,具體尚需確定目前的網(wǎng)絡(luò)設(shè)備是否支持IPSec VPN的配置��。另外考慮購(gòu)置VPN設(shè)備���,部署在網(wǎng)絡(luò)合適的位置實(shí)現(xiàn)VPN的功能�,具體IPSec VPN的原理參考相關(guān)書籍自行閱讀�����。
下面主要是在現(xiàn)有設(shè)備上闡述VPN的配置實(shí)例���,實(shí)現(xiàn)合理的現(xiàn)有網(wǎng)絡(luò)的改造����,實(shí)用于全省的氣象專網(wǎng)。
下圖1是目前全省氣象專網(wǎng)的拓?fù)鋱D�����,具體IP地址屬于內(nèi)部規(guī)劃不易公開����,圖2會(huì)將該圖分解為兩個(gè)節(jié)點(diǎn)進(jìn)行配置說(shuō)明���,實(shí)現(xiàn)利用VPN傳輸數(shù)據(jù)���。
典型配置(設(shè)備選用思科系列支持VPN設(shè)備)
縣局配置,對(duì)應(yīng)設(shè)備命名為XIANJU
激活I(lǐng)SAKMP
XIANJU(config)#crypto isakmp enable
配置IKE第一階段策略
XIANJU(config)#crypto isakmp policy 10
XIANJU(config-isakmp)#encr 3des//加密算法使用3des//
XIANJU(config-isakmp)#hash md5//散列算法使用MD5//
XIANJU(config-isakmp)#authentication pre-share//預(yù)共享密鑰//
XIANJU(config-isakmp)#group 2
XIANJU(config)#crypto isakmp key0 XXX address 192.168.1.2//密鑰為XXX//
XIANJU(config)#ip access-list extended VPN
XIANJU(config-ext-nacl)#permit ip (需要被加密的IP段)
XIANJU(config)#crypto ipsec transform-set Trans esp-des esp-md5-hac
配置IKE第二階段策略
XIANJU(config)#crypto map cry-map 10 ipsec-isakmp
XIANJU(config-crypto-map)#match address VPN
XIANJU(config-crypto-map)#set transform-set Trans
XIANJU(config-crypto-map)#set peer 192.168.1.2//與省局建立VPN//
將策略應(yīng)用到接口
XIANJU(config)#interface f0/0
XIANJU(config-if)#crypto map cry-map
市局配置參考縣局配置��。
4結(jié)束語(yǔ)
本文通過介紹一種VPN的配置技術(shù)����,旨在闡述氣象數(shù)據(jù)在現(xiàn)有的網(wǎng)絡(luò)報(bào)送模式中存在的安全問題,建議從信息安全的角度考慮��,保障網(wǎng)絡(luò)安全�,保障數(shù)據(jù)的準(zhǔn)確可靠�,實(shí)現(xiàn)數(shù)據(jù)的私密性��。
參考文獻(xiàn):
[1] Vijav Bollapragada, Mohamed Khalid 著�,袁國(guó)忠譯. IPSec VPN設(shè)計(jì)[M]. 北京:人民郵電出版社,2006.
[2] 王占京. VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用[M]. 北京:國(guó)防工業(yè)出版社, 2012.
[3] 王達(dá). 虛擬專用網(wǎng)(VPN) 精解[M]. 北京: 清華大學(xué)出版社���,2005.
[4] 楊艷�����,陳性元����,杜學(xué)繪. 基于V P N 的安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程�����,2007���,33(09):177-179.
期刊VIP網(wǎng)