VPN技術(shù)及在地震前兆觀測臺站中的應(yīng)用

2013-08-06 09:55:22黎珠博

華南地震 2013年1期

黎珠博

(廣東省地震局，廣東廣州 510070）

0 引言

最近十幾年來，廣東地震前兆觀測建設(shè)經(jīng)歷了 “九五”、 “十五”、 “十一五” 三個階段的建設(shè)改造。將網(wǎng)絡(luò)信息技術(shù)應(yīng)用到臺網(wǎng)數(shù)據(jù)傳輸中是此次臺站改造中的其中一項重要內(nèi)容。尤其是對于測項比較少的臺點，考慮其臺站的通信資源和運行成本，通過調(diào)研和實踐表明，使用VPN 技術(shù)進(jìn)行數(shù)據(jù)傳輸具有良好的效果。

1 VPN 的概述

VPN 就是虛擬專用網(wǎng)絡(luò)，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP（Internet 服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 IETF草案理解基于IP 的VPN 為： “使用IP 機制仿真出一個私有的廣域網(wǎng)” 是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet 公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。

用戶現(xiàn)在在電信部門租用的幀中繼（Frame Relay）與ATM 等數(shù)據(jù)網(wǎng)絡(luò)提供固定虛擬線路（PVC-Permanent Virtual Circuit）來連接需要通訊的單位，所有的權(quán)限掌握在別人的手中。如果用戶需要一些別的服務(wù)，需要填寫許多的單據(jù)，再等上相當(dāng)一段時間，才能享受到新的服務(wù)。更為重要的是兩端的終端設(shè)備不但價格昂貴，而且管理也需要一定的專業(yè)技術(shù)人員，無疑增加了成本，而且?guī)欣^、 ATM 數(shù)據(jù)網(wǎng)絡(luò)也不會像Internet 那樣，可立即與世界上任何一個使用Internet 網(wǎng)絡(luò)的單位連接。而在Internet 上， VPN 使用者可以控制自己與其他使用者的聯(lián)系，同時支持撥號的用戶。

虛擬專用網(wǎng)一般指的是建筑在Internet 上能夠自我管理的專用網(wǎng)絡(luò)，而不是Frame Relay 或ATM 等提供虛擬固定線路（PVC）服務(wù)的網(wǎng)絡(luò)。以IP 為主要通訊協(xié)議的VPN，也可稱之為IP-VPN。

由于VPN 是在Internet 上臨時建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費用，在運行的資金支出上，除了購買VPN 設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費用，也節(jié)省了長途電話費。這就是VPN 價格低廉的原因。

2 VPN 的特點

2.1 安全保障

雖然實現(xiàn)VPN 的技術(shù)和方式很多，但所有的VPN 均應(yīng)保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP 網(wǎng)絡(luò)上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN 上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。 ExtranetVPN 將企業(yè)網(wǎng)擴展到合作伙伴和客戶，對安全性提出了更高的要求。

2.2 服務(wù)質(zhì)量保證（QoS）

VPN 網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。如移動辦公用戶，提供廣泛的連接和覆蓋性是保證VPN 服務(wù)的一個主要因素；而對于擁有眾多分支機構(gòu)的專線VPN 網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對于其它應(yīng)用（如視頻等）則對網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN 的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成大量的網(wǎng)絡(luò)帶寬空閑。 QoS 通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級分配帶寬資源，實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

2.3 可擴充性和靈活性

VPN 必須能夠支持通過Intranet 和Extranet 的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。

2.4 可管理性

從用戶角度和運營商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN 管理方面， VPN 要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個完善的VPN 管理系統(tǒng)是必不可少的。 VPN 管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上， VPN 管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、 QoS 管理等內(nèi)容。

3 VPN 安全技術(shù)[1]

由于傳輸?shù)氖撬接行畔ⅲ?VPN 用戶對數(shù)據(jù)的安全性都比較關(guān)心。

目前VPN 主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

3.1 隧道技術(shù)

隧道技術(shù)是VPN 的基本技術(shù)類似于點對點連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP 中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、 PPTP、L2TP 等。 L2TP 協(xié)議是目前IETF 的標(biāo)準(zhǔn)，由IETF 融合PPTP 與L2F 而形成。

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、 IPSec 等。 IPSec（IP Security）是由一組RFC 文檔組成，定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP 層提供安全保障。

3.2 加解密技術(shù)

加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)， VPN 可直接利用現(xiàn)有技術(shù)。

3.3 密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP 與ISAKMP/OAKLEY 兩種。 SKIP 主要是利用Diffie-Hellman 的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP 中，雙方都有兩把密鑰，分別用于公用、私用。

3.4 使用者與設(shè)備身份認(rèn)證技術(shù)

使用者與設(shè)備身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

4 地震前兆觀測臺站VPN 技術(shù)網(wǎng)絡(luò)架構(gòu)

地震前兆數(shù)據(jù)的傳輸必須確保數(shù)據(jù)的穩(wěn)定安全傳輸，防止外部通過網(wǎng)路進(jìn)入儀器對數(shù)據(jù)及相關(guān)參數(shù)進(jìn)行修改， VPN 技術(shù)在這兩方面都具有很大的優(yōu)越性，都有較高的安全性及可管理性，因此適合臺站的數(shù)據(jù)傳輸。現(xiàn)在一般地區(qū)都有電話線路，因此采用電信寬帶及VPN 設(shè)備進(jìn)行傳輸可滿足我們的要求，對于在山區(qū)布設(shè)在山上的觀測點，則通過CDMA 網(wǎng)絡(luò)，利用VPN 技術(shù)進(jìn)行傳輸（圖1）。只需在VPN 設(shè)備進(jìn)行簡易的配置即可完成通信。

圖1 VPN 技術(shù)在前兆觀測中的應(yīng)用網(wǎng)絡(luò)架構(gòu)Fig.1 Network architecture of application of VPN in precursor observation

目前在廣東前兆數(shù)據(jù)傳輸采用VPN 傳輸?shù)呐_點分別有梅州臺、河源黃子洞水氡觀測點、河源雙塘地磁臺、廣州五山臺[2]。梅州臺共有水位儀、水溫儀、氣象三要素儀三套前兆觀測設(shè)備，而且當(dāng)?shù)卦缫咽褂脤拵暇W(wǎng)交換信息，在這個基礎(chǔ)上，只需簡單的增加一臺VPN 設(shè)備，即可滿足要求。河源黃子洞水氡觀測點只有水氡觀測一個測項，周圍有一些農(nóng)居，電話線路已到達(dá)，申請電信寬帶用于訪問INTETNET 信息，增加VPN 設(shè)備進(jìn)到局?jǐn)?shù)據(jù)庫。河源雙塘FHD 地磁觀測也只有地磁一個設(shè)備，觀測房建在雙塘地區(qū)一座海拔高80 m的半山上，通往附近的民居都是彎彎曲曲的泥路，長達(dá)5 km，拉個電話線路成本太高，但聯(lián)通CDMA 信號已覆蓋當(dāng)?shù)兀?我們就采用CDMA 網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸。廣州五山臺雖然地處廣州市區(qū)，但當(dāng)?shù)氐碾娫捑€路信號一直都不是太好，最后也是選用CDMA 進(jìn)行傳輸。

5 結(jié)束語

廣東前兆觀測建設(shè)中，采用VPN 技術(shù)傳輸?shù)呐_站，基本上都運轉(zhuǎn)了五年，數(shù)據(jù)傳輸正常，我們認(rèn)為在VPN 技術(shù)應(yīng)用中，可根據(jù)臺站的實踐情況，因地制宜，選擇有線或者類似于CDMA 之類的移動通信技術(shù)架構(gòu)網(wǎng)絡(luò)信息傳輸，具有很強的靈活性和可操作性。而且由于在VPN 技術(shù)應(yīng)用中采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)等四項技術(shù)，對數(shù)據(jù)文件的安全可靠提供了保障，儀器內(nèi)部參數(shù)及數(shù)據(jù)沒有遭到人為的網(wǎng)絡(luò)破壞修改，整體上運轉(zhuǎn)良好，證明VPN 技術(shù)用于臺站觀測還是可行和可靠的。

[1] 申普兵. 計算機網(wǎng)絡(luò)與通信(第2 版)[M]. 北京：人民郵電出版社， 2012.

[2] 楊恒廣，賈曉飛主編. 高等職業(yè)教育 “十二五” 規(guī)劃教材：交換機/路由器的管理與配置[M]. 北京：清華大學(xué)出版社， 2012.