構建IPSecVPN網(wǎng)絡實現(xiàn)氣象數(shù)據(jù)加密報送

通信技術的發(fā)展，信息安全技術得到了越來越多的重視，氣象數(shù)據(jù)的安全也提上了日程。在現(xiàn)有的網(wǎng)絡基礎上的實現(xiàn)數(shù)據(jù)的加密傳輸也是當務之急，本文主要利用了IPSec VPN技術對于氣象數(shù)據(jù)的傳輸提出相關的加密數(shù)據(jù)。

【關鍵詞】信息安全 氣象數(shù)據(jù) IPSec

目前，我國地區(qū)性的氣象數(shù)據(jù)的報送主要由主通道和3G備份線路兩部分組成，氣象報送一般主要利用主通道向省級中心報送數(shù)據(jù)，當出現(xiàn)主通道中斷的情況，系統(tǒng)會通過BFD協(xié)議技術切換到3G備份線路中。盡管這種傳輸方式在線路上實現(xiàn)了備份，但是對于數(shù)據(jù)的完整以及私密都存在一定的不足，一旦出現(xiàn)不法分子截獲或者篡改數(shù)據(jù)，將產生不堪設想的后果。因此，從信息安全的角度除法，利用IPSec VPN加密技術改造現(xiàn)有的網(wǎng)絡，從而大大的提高了信息傳遞的安全性，提高氣象服務的效率和用戶體驗。

1 IPsec VPN簡介

IPsec是目前廣泛采用的一種通用的網(wǎng)絡安全協(xié)議族。VPN是個人虛擬網(wǎng)絡，其應用隧道技術在通信雙方之間采用公共網(wǎng)絡傳輸信息，VPN并不一定是加密的。IPsec VPN在VPN虛擬網(wǎng)絡上應用IPsec協(xié)議上，從而能夠更好的保證氣象信息傳輸?shù)陌踩C密以及可靠性。

IPsec VPN是IP層的VPN，主要是通過IKE協(xié)商出IPsec SA，并保存到SADB數(shù)據(jù)庫當中。SA當中獲得的信息對IP數(shù)據(jù)包來操作。IP主要采用了ESP和AH協(xié)議，AH協(xié)議用來保證數(shù)據(jù)的完整和有效性，ESP協(xié)議當中包含了驗證和加密算法，在加密的同時還能夠保證數(shù)據(jù)的完整和獨立性。這兩種協(xié)議既能夠單獨的使用，也能夠同時使用，但是在采用IP-sec協(xié)議的時候，不能夠將這兩種算法同時設置為NULL。在數(shù)據(jù)的傳送過程當中，不同的加密算法都能夠利用IPSec定義體系結構在網(wǎng)絡傳輸過程的實施。IPSec幾乎能夠為所有的應用提供相應的訪問，包含服務器/客戶端，甚至一些傳統(tǒng)的應用，IPSec是基于網(wǎng)絡層，不能穿越通常的防火墻，能夠為互聯(lián)網(wǎng)提供最強的安全功能，和其他的隧道技術相比，其優(yōu)越性在安全性以及管理性方面都相對復雜。

2 IPsec VPN技術在氣象網(wǎng)絡數(shù)據(jù)報送當中的應用

為了完成數(shù)據(jù)的私密性，需要在現(xiàn)在的網(wǎng)絡的設備的基礎上進行重新的設置，從而實現(xiàn)VPN的功能，圖1是目前省級氣象專網(wǎng)的拓撲圖。

2.1 IPSec的實現(xiàn)方案

IPSec的實現(xiàn)方案主要有在層和鏈路之間插入IPSec以及將IPSec和IP層融合兩種方式，傳統(tǒng)的實現(xiàn)方案是采用插入IPSec，這種方式的優(yōu)點在于其處理模塊獨立內核之外，并且對內核都沒有修改，但是這種方式大大增加了IP包的處理時間，影響了處理的效率，如果出現(xiàn)業(yè)務繁忙的時候，將會影響到正常的通信，嚴重的時候將會丟失大量的數(shù)據(jù)包，阻礙業(yè)務。

接送和發(fā)送數(shù)據(jù)包的流程如下：

（1）接收包的處理，對于鏈路層傳送的氣象數(shù)據(jù)包，首先進行路由對于本地的氣象數(shù)據(jù)包分片重組，然后檢查SAD看該數(shù)據(jù)包是否是經過IPSec處理，如果已經經過處理，那么就檢查SA的狀態(tài)以及生存期，再根據(jù)SA認證加密數(shù)據(jù)包，處理結束后再交接給傳輸層。如果沒有經過處理，再查詢該氣象數(shù)據(jù)包時候允許能夠進入，若是允許進入，仍然將該氣象數(shù)據(jù)包傳送給傳輸層，否則就需要丟棄該氣象數(shù)據(jù)傳送包。對于外地的氣象數(shù)據(jù)包，則手下需要進行策略庫的檢查，如果策略庫要求對該氣象數(shù)據(jù)包進行IPSEC處理，那么就需要進一步的進行SAD庫的查找，找到對應的SA，然后根據(jù)SA對轉發(fā)包進行加密認證，然后再對處理后的氣象數(shù)據(jù)包進行分片處理，并且發(fā)送到相應的物理接口當中。反之，如果策略庫要求對該氣象數(shù)據(jù)包進行丟棄處理，那么就丟棄該氣象數(shù)據(jù)包，然后進行報錯。

（2）發(fā)送包的處理，對于傳輸層傳遞過來的包，也是首先進行檢查，看是否有進行IPSec的需要，如果有這樣的需要，那么就進行SAD查找，并且找到SA進行處理，處理后分片路由出去，發(fā)送給鏈路層。同樣的，如果不需要進行IPSec的處理，那么就直接將氣象數(shù)據(jù)包發(fā)送到鏈路層。

3 結論

本文通過介紹了一種IPSec VPN配置技術，用來解決氣象網(wǎng)絡數(shù)據(jù)報送過程當中的安全問題，從信息安全的角度，從而保障了氣象數(shù)據(jù)的網(wǎng)絡的安全，能夠支持氣象數(shù)據(jù)的準確可靠的傳輸，實現(xiàn)氣象數(shù)據(jù)的私密性。

參考文獻

[1]Doraswamy，京京工作室譯.IPsec：新一代因特網(wǎng)安全標準[M].北京：機械工業(yè)出版社，2001：89.

[2]Vijavbollapragada，Mohamed khalid. IPsec vpn設計[M].袁國忠譯.北京：人民郵電出版社2006：288.

[3]魏永明等譯.Jonathan corbet.Linnx設備驅動程序（第三版）[M].北京：中國電力出版社，2006：302.

作者簡介

喬梁（1983-），黑龍江省哈爾濱市人。現(xiàn)為黑龍江省氣象服務中心中級工程師。研究方向為技術保障（計算機、通訊網(wǎng)絡）。

作者單位

黑龍江省氣象服務中心 黑龍江省哈爾濱市 150030