VPN技術(shù)及其在鐵路視訊系統(tǒng)的應(yīng)用

胡蓓蓓

（上海通信段合肥通信車間，安徽 合肥 230000）

1 VPN的基本概念

在VPN(Virtual Private Network)即虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 虛擬專用網(wǎng)對用戶端透明，用戶好像使用一條專用線路進行通信。

虛擬專用網(wǎng)(VPN)是一個綜合了保密性、安全性及可管理性于一身的解決方案。VPN就是在公共網(wǎng)絡(luò)架構(gòu)上(通常是Internet)利用安全、認證、加密等技術(shù)建立企業(yè)的專用線路，在降低聯(lián)網(wǎng)費用的同時確保信息的安全性、完整性和真實性。VPN可以提供與昂貴的專線(DDN)類似的安全性、可靠性、可管理性和優(yōu)先級別，可構(gòu)筑于IP網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)和ATM網(wǎng)絡(luò)上。

2 VPN 的關(guān)鍵技術(shù)

目前VPN主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(Key Management)、使用者與設(shè)備身份認證技術(shù)(Authentication)。

2.1 隧道技術(shù)

VPN是在公網(wǎng)中形成企業(yè)專用的鏈路，為了形成這樣的鏈路，采用了所謂的“隧道”技術(shù)。隧道技術(shù)是VPN的基本技術(shù)，它是分組封裝(Capsule)的技術(shù)，可以模仿點對點連接技術(shù)，依靠Internet服務(wù)提供商(ISP)和其他的網(wǎng)絡(luò)服務(wù)提供商 (NSP)在公用網(wǎng)中建立自己專用的“隧道”，讓數(shù)據(jù)包通過這條隧道傳輸。隧道是一種利用公網(wǎng)設(shè)施，在一個網(wǎng)絡(luò)之上的“網(wǎng)絡(luò)”傳輸數(shù)據(jù)的方法，被傳輸?shù)臄?shù)據(jù)可以是另一協(xié)議的幀。隧道協(xié)議用附加的報頭封裝幀，附加的報頭提供了路由信息，因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達了公網(wǎng)上的目的地,幀就會被解除封裝并被繼續(xù)送到最終目的地。

2.2 加解密技術(shù)

加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。用于VPN上的加密技術(shù)由IPSec的ESP (Encapsulationg Security Payload)實現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)加密，當數(shù)據(jù)到達接收者時由接收者對數(shù)據(jù)進行解密的處理過程，算法主要種類包括：對稱加密(單鑰加密)算法、不對稱加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發(fā)明者 Rivest、Shamir和 Adleman名字的首字符)。對于對稱加密算法，通信雙方共享一個密鑰，發(fā)送方使用該密鑰將明文加密成密文，接收方使用相同的密鑰將密文還原成明文。對稱加密算法運算速度快。

不對稱加密算法是通信雙方各使用兩個不同的密鑰，一個是只有發(fā)送方知道的密鑰，另一個則是與之對應(yīng)的公開密鑰，公開密鑰不需保密。在通信過程中，發(fā)送方用接收方的公開密鑰加密消息，并且可以用發(fā)送方的秘密密鑰對消息的某一部分或全部加密，進行數(shù)字簽名。接收方收到消息后，用自己的秘密密鑰解密消息，并使用發(fā)送方的公開密鑰解密數(shù)字簽名，驗證發(fā)送方身份。

2.3 密鑰管理技術(shù)

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。

SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

2.4 使用者與設(shè)備身份認證技術(shù)

使用者與設(shè)備身份認證技術(shù)最常用的是用戶名/口令或智能卡認證等方式。

3 VPN技術(shù)在上海鐵路局視訊系統(tǒng)的應(yīng)用

3.1 組網(wǎng)需求

結(jié)合鐵路局目前的IP數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)環(huán)境,利用 IP數(shù)據(jù)網(wǎng)組建VPN虛擬專用網(wǎng)線路,采用基于VPN網(wǎng)絡(luò)的點對點組網(wǎng)模式實現(xiàn)上海鐵路局視頻會議系統(tǒng),用來滿足圖像、多媒體、數(shù)據(jù)、語音等信息的傳輸來實現(xiàn)實時、快捷的聯(lián)動指揮,可極大提高各點間協(xié)同工作能力。

3.2 設(shè)備部署

3.2.1 組網(wǎng)模式

針對上海鐵路局管內(nèi)鐵路IP數(shù)據(jù)網(wǎng)VPN、組播、QoS等業(yè)務(wù)需求的特點，充分考慮了目前的業(yè)務(wù)需求和以后的發(fā)展方向，利用SDH做為傳輸平臺，利用大容量、高可靠性的路由器組網(wǎng)，完全滿足鐵路局基于MPLS的多VPN的要求，為各種不同的業(yè)務(wù)提供安全、可靠的保障。上海鐵路局作為視頻會議系統(tǒng)的主會場,是視頻業(yè)務(wù)的匯聚地，采用核心路由器二臺，GE口互聯(lián)，互為主備用，確保網(wǎng)絡(luò)的安全性；路局管轄范圍內(nèi)各省會作為本省視頻業(yè)務(wù)匯聚地采用匯聚層路由器二臺，互為主備用，與路局核心路由器間采用兩條POS155M鏈路互聯(lián)；省內(nèi)每個地市設(shè)立一臺路由器，與省會二臺匯聚路由器各用一條155M鏈路互聯(lián)，充分確保整個網(wǎng)絡(luò)的安全性。全局各站段（包括車間）作為視頻業(yè)務(wù)接入點，采用接入層路由器和交換機等方式互聯(lián)入IP數(shù)據(jù)網(wǎng)絡(luò)中。

3.2.2 VPN業(yè)務(wù)實現(xiàn)方式

在IP數(shù)據(jù)網(wǎng)內(nèi)，組建多條VPN通道，以區(qū)分不同站段的電視電話會議需求。例如上海鐵路局某部門召開電視電話，在根據(jù)需求在以上網(wǎng)絡(luò)中創(chuàng)建一條VPN隧道。

當某工務(wù)段會議信息發(fā)送到ce路由器時，ce路由器就會對此用戶信息進行識別判斷，如果是此VPN的信息那么就對此報文進行再封裝。所謂的再封裝就是按照事先創(chuàng)建好的隧道所指定的對端用戶連接的IP數(shù)據(jù)網(wǎng)中的邊緣設(shè)備，通常就是封裝對端設(shè)備的IP地址。這樣用戶信息在數(shù)據(jù)網(wǎng)絡(luò)中傳遞時，網(wǎng)絡(luò)中設(shè)備只檢查其頂部封裝的公網(wǎng)信息進行轉(zhuǎn)發(fā)判斷，而不檢查用戶的私網(wǎng)信息。當對端邊緣設(shè)備收到此信息后，判斷出這是本地某VPN的報文，就去除公網(wǎng)信息的封裝，將還原后的用戶信息發(fā)送到本地VPN用戶。這樣，VPN就可以很安全的傳遞到對端用戶，保證了信息的安全性。

結(jié)語

VPN技術(shù)在鐵路數(shù)據(jù)網(wǎng)系統(tǒng)上已經(jīng)廣泛應(yīng)用，現(xiàn)已平穩(wěn)承載了路局公務(wù)視頻業(yè)務(wù)及鐵路各各站段視頻業(yè)務(wù)應(yīng)用。在已經(jīng)建設(shè)運營的高速鐵路，VPN技術(shù)主要解決了龐大的沿線視頻監(jiān)控系統(tǒng)，為高鐵的安全運營保駕護航。全路IP/MPLS通信平臺建設(shè)完成以后，整合全路網(wǎng)的VPN業(yè)務(wù)系統(tǒng)，最終實現(xiàn)整個鐵道部統(tǒng)一的大的IP/MPLS通信平臺，為鐵路業(yè)務(wù)的快速發(fā)展提供堅實的支撐。

[1]石水紅.基于MPLS的VPN技術(shù)原理及其實現(xiàn)，電子技術(shù)應(yīng)用.

[2]戴宗坤，唐三平.VPN與網(wǎng)絡(luò)安全[M].金城出版社，2000.

[3]劉麗萍，張文華.VPN中的話音業(yè)務(wù)[J].中國數(shù)據(jù)通信，2003.