周 前

(南京郵電大學(xué) 通信與信息工程學(xué)院，江蘇 南京 210000)

0 引 言

衛(wèi)星通信廣泛應(yīng)用于應(yīng)急救災(zāi)工作[1]，但是目前每個(gè)應(yīng)急救援衛(wèi)星通信系統(tǒng)相對(duì)獨(dú)立運(yùn)行，雖然在緊急事件發(fā)生后，可以相互支援[2]，但由于沒有應(yīng)急衛(wèi)星通信聯(lián)動(dòng)指揮調(diào)度系統(tǒng)的支持，同時(shí)也沒有完善的聯(lián)動(dòng)機(jī)制，使得統(tǒng)一的指揮協(xié)調(diào)和資源整合成為空談[3]。

VPN指在公有網(wǎng)絡(luò)中通過一個(gè)私有通道來創(chuàng)建一個(gè)安全的私有連接，將遠(yuǎn)程用戶、分支機(jī)構(gòu)、職能部門等核心網(wǎng)絡(luò)連接起來，形成一個(gè)擴(kuò)展的核心私有網(wǎng)絡(luò)[4]。然而，該VPN系統(tǒng)方案都是基于TCP/IP協(xié)議進(jìn)行數(shù)據(jù)傳輸，在衛(wèi)星通信網(wǎng)絡(luò)高延時(shí)、高誤碼率的環(huán)境下，此VPN系統(tǒng)基本無法使用?；趥鹘y(tǒng)VPN的VOIP業(yè)務(wù)，在衛(wèi)星通信網(wǎng)絡(luò)環(huán)境下的使用效果也非常差[5]。

為了解決上述問題，需開發(fā)出一款在S衛(wèi)星通信環(huán)境下，可以正常提供數(shù)據(jù)傳輸，進(jìn)行業(yè)務(wù)處理的VPN系統(tǒng)，將網(wǎng)絡(luò)中的TCP協(xié)議數(shù)據(jù)轉(zhuǎn)為UDP協(xié)議數(shù)據(jù)，在衛(wèi)星通信網(wǎng)絡(luò)中傳輸，提高傳輸效率，并在VPN接入網(wǎng)關(guān)系統(tǒng)中進(jìn)行數(shù)據(jù)加密、封裝處理。該系統(tǒng)的特點(diǎn)是安全、保密、經(jīng)濟(jì)和自主管理。

1 VPN技術(shù)

虛擬專用網(wǎng)絡(luò)(VPN)屬于遠(yuǎn)程訪問技術(shù)，利用公用網(wǎng)絡(luò)架設(shè)專用網(wǎng)絡(luò)，進(jìn)行加密通訊，VPN網(wǎng)關(guān)通過對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問[6]。

VPN被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道[7]。

針對(duì)不同的用戶，VPN有三種解決方案：遠(yuǎn)程訪問虛擬網(wǎng)應(yīng)用于客戶端到網(wǎng)關(guān)，企業(yè)內(nèi)部虛擬網(wǎng)應(yīng)用于網(wǎng)關(guān)到網(wǎng)關(guān)，企業(yè)擴(kuò)展虛擬網(wǎng)應(yīng)用于企業(yè)與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet[8]。

SSL VPN是以HTTPS為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間，充分利用SSL協(xié)議提供的基于證書的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制，可以為應(yīng)用層之間的通信建立安全連接。SSL VPN廣泛應(yīng)用于基于Web的遠(yuǎn)程安全接入，為用戶遠(yuǎn)程訪問公司內(nèi)部網(wǎng)絡(luò)提供安全保障[9]。

IPSec VPN是基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障。IPSec是一種端到端的確?；贗P通訊的數(shù)據(jù)安全性機(jī)制。

隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)到點(diǎn)連接技術(shù)。它的基本過程就是在數(shù)據(jù)進(jìn)入源VPN網(wǎng)關(guān)后，將數(shù)據(jù)“封裝”后通過公網(wǎng)傳輸?shù)侥康腣PN網(wǎng)關(guān)后再對(duì)數(shù)據(jù)“解封裝”?！胺庋b/解封裝”過程本身就可以為原始報(bào)文提供安全防護(hù)功能，所以被封裝的數(shù)據(jù)在互聯(lián)網(wǎng)上傳遞時(shí)所經(jīng)過的邏輯路徑被稱為“隧道”[10]。VPN的隧道協(xié)議主要有三種：PPTP、L2TP和IPSec[11]。

身份認(rèn)證技術(shù)主要用于移動(dòng)辦公的用戶遠(yuǎn)程接入的情況，通過對(duì)用戶的身份進(jìn)行認(rèn)證，確保接入內(nèi)部網(wǎng)絡(luò)的用戶是合法用戶，不同的VPN技術(shù)能提供的用戶身份認(rèn)證方法不同，L2TP依賴PPP提供的認(rèn)證。認(rèn)證通過以后再給用戶分配內(nèi)部的IP地址，通過此IP地址對(duì)用戶進(jìn)行授權(quán)和管理[12]。

加密技術(shù)就是把能讀懂的報(bào)文變成無法讀懂的報(bào)文。加密對(duì)象有數(shù)據(jù)報(bào)文和協(xié)議報(bào)文之分，能夠?qū)崿F(xiàn)協(xié)議報(bào)文和數(shù)據(jù)報(bào)文都加密的協(xié)議安全系數(shù)更高。SSL VPN支持?jǐn)?shù)據(jù)報(bào)文和協(xié)議報(bào)文加密。SSL VPN采用公鑰體制進(jìn)行加密。公鑰體制加密跟對(duì)稱密鑰加密的差別在于加密和解密所用的密鑰是不同的[13]。

數(shù)據(jù)驗(yàn)證技術(shù)就是對(duì)收到的報(bào)文進(jìn)行驗(yàn)貨。采用一種稱為“摘要”的技術(shù)?！罢奔夹g(shù)主要采用HASH函數(shù)將一段長的報(bào)文通過函數(shù)變換，映射為一段短的報(bào)文。在收發(fā)兩端都對(duì)報(bào)文進(jìn)行驗(yàn)證，只有摘要一致的報(bào)文才被認(rèn)可[14]。L2TP本身不提供數(shù)據(jù)驗(yàn)證技術(shù)，但可結(jié)合IPSec協(xié)議一起使用，使用IPSec的數(shù)據(jù)驗(yàn)證技術(shù)。在IPSec中驗(yàn)證和加密通常一起使用，對(duì)加密后的報(bào)文HMAC生成摘要，提供數(shù)據(jù)的安全性。HMAC利用Hash函數(shù)，以一個(gè)對(duì)稱密鑰和一個(gè)數(shù)據(jù)包作為輸入，生成一個(gè)固定長度的輸出，這個(gè)輸出被稱為完整性校驗(yàn)值ICV(integrity check value)。由于在Hash運(yùn)算時(shí)包含了密鑰，即使用戶同時(shí)修改了數(shù)據(jù)和摘要也可以被識(shí)別出來[15]。表1為常用安全技術(shù)和使用場景。

表1 常用安全技術(shù)和使用場景

2 星通信VPN系統(tǒng)

該VPN系統(tǒng)首先向中國電信衛(wèi)星通信公司租用一條數(shù)據(jù)專線，系統(tǒng)通過這條數(shù)據(jù)專線接入Internet網(wǎng)，集團(tuán)內(nèi)部的大S衛(wèi)星通信終端用戶首先通過衛(wèi)星通信網(wǎng)聯(lián)入Internet，然后通過安裝在衛(wèi)星通信終端的撥號(hào)軟件與該系統(tǒng)VPN網(wǎng)關(guān)進(jìn)行L2TP+IPSec VPN連接，接入VPN服務(wù)器后的集團(tuán)用戶之間通過軟交換技術(shù)實(shí)現(xiàn)語音通信，同時(shí)實(shí)現(xiàn)包括短信、Email、文字聊天、圖片及視頻收發(fā)等綜合業(yè)務(wù)。

如圖1所示，各種衛(wèi)星通信終端，如衛(wèi)星手持終端，便攜式衛(wèi)星地球站以及車載、船載等終端，通過大S衛(wèi)星通信網(wǎng)聯(lián)入互聯(lián)網(wǎng)，大S衛(wèi)星通過主站與VPN網(wǎng)關(guān)與各個(gè)應(yīng)急平臺(tái)以及應(yīng)急指揮中心進(jìn)行通信。該系統(tǒng)利用衛(wèi)星VPN技術(shù)，完全滿足各級(jí)聯(lián)動(dòng)單位平時(shí)的集群調(diào)度需求和普通語音需求，并且具有極高的可靠性。

圖1 衛(wèi)星通信VPN網(wǎng)絡(luò)鏈路拓?fù)鋱D

2.1 大S衛(wèi)星通信網(wǎng)簡介

大S通信衛(wèi)星有3個(gè)關(guān)口站分別設(shè)在北京、廣州和成都，關(guān)口站與地面交換網(wǎng)絡(luò)相連接，使用C頻段衛(wèi)星通信鏈路與衛(wèi)星通信，同時(shí)，該衛(wèi)星也使用S頻段衛(wèi)星通信鏈路，109個(gè)波束覆蓋全國，可與衛(wèi)星手持終端，便攜式衛(wèi)星地球站以及車載、船載、機(jī)載衛(wèi)星地球站進(jìn)行通信。

2.2 系統(tǒng)組成

系統(tǒng)由終端APP子系統(tǒng)、VPN接入安全網(wǎng)關(guān)子系統(tǒng)、認(rèn)證管理子系統(tǒng)、VPN管理子系統(tǒng)四個(gè)部分組成。

終端APP子系統(tǒng)負(fù)責(zé)終端VPN撥入功能，在客戶端上安裝APP客戶端軟件。圖2為衛(wèi)星通信客戶端子系統(tǒng)。用戶通過衛(wèi)星通信網(wǎng)接入到Internet，就可以通過APP撥號(hào)與VPN網(wǎng)關(guān)之間建立IPSec隧道。

圖2 衛(wèi)星通信客戶端子系統(tǒng)

APP撥號(hào)的安全策略包括IPSec、IKE和NAT等，強(qiáng)化VPN系統(tǒng)的安全性。IPSec使特定的通信方之間在IP層通過加密與數(shù)據(jù)源驗(yàn)證等方式，來保證數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性。

APP撥號(hào)軟件可以通過PPP協(xié)商向VPN申請(qǐng)IP地址。由于此IP地址的分配是由VPN隧道對(duì)端分配的，其保密性更高，被攻擊的可能性也更小。同時(shí)APP支持IPSec/IKE加密。IPSec為IP協(xié)議棧提供在IP層實(shí)施的一系列安全服務(wù),為IP及其上層提供保護(hù)。撥號(hào)軟件通過支持IPSec提供數(shù)據(jù)加密，數(shù)據(jù)完整性驗(yàn)證，數(shù)據(jù)身份驗(yàn)證，以及防重發(fā)功能。APP支持IPSec隧道模式和傳輸模式。撥號(hào)連接過程中可以選擇“靜態(tài)密碼”、“RSA動(dòng)態(tài)口令卡”、“SecKey USB Token”等方式,可以更安全地驗(yàn)證用戶的身份。

VPN接入安全網(wǎng)關(guān)子系統(tǒng)是系統(tǒng)的核心部件，可采用HA雙機(jī)熱備份方案或采用兩臺(tái)安全網(wǎng)關(guān)產(chǎn)品運(yùn)行VRRP協(xié)議方式實(shí)現(xiàn)主從熱備份。安全網(wǎng)關(guān)作為局端核心設(shè)備提供安全VPN接入功能，通過防火墻對(duì)原地址區(qū)分用戶進(jìn)行ACL訪問權(quán)限控制。

認(rèn)證管理子系統(tǒng)通過RADIUS Proxy功能與RSA ACE Server配合實(shí)現(xiàn)一次性密碼認(rèn)證功能，或采用Quidway SecKey USB卡方式進(jìn)行身份認(rèn)證。

SecKey可以減少撥號(hào)用戶身份信息被盜用的風(fēng)險(xiǎn)，為撥號(hào)用戶提供身份認(rèn)證信息的安全存儲(chǔ)、基于硬件的雙因素用戶認(rèn)證、客戶端配置“即插即用”以及l(fā)icense管理等功能。

使用雙因素方式提供用戶身份驗(yàn)證安全性，同時(shí)通過減少撥號(hào)的配置管理工作來提高用戶的工作效率，優(yōu)化遠(yuǎn)程訪問VPN用戶的部署工作，經(jīng)濟(jì)有效地管理用戶，減少維護(hù)成本。

VPN管理子系統(tǒng)提供業(yè)務(wù)信道的分配與交換和對(duì)VPN進(jìn)行監(jiān)控管理。該子系統(tǒng)以用戶實(shí)際配置任務(wù)為驅(qū)動(dòng)、提供IPSec VPN業(yè)務(wù)配置向?qū)?，指?dǎo)用戶進(jìn)行IPSec VPN設(shè)備配置，構(gòu)建VPN網(wǎng)絡(luò)。

3 結(jié)束語

應(yīng)急聯(lián)動(dòng)中的各個(gè)部門，在VPN系統(tǒng)提供多層次、立體化的指揮系統(tǒng)下，不僅可以不受干擾地工作在各部門的專網(wǎng)中，還可以在級(jí)別更高、權(quán)利更大的部門的統(tǒng)一管理和指揮調(diào)度下，實(shí)現(xiàn)跨部門聯(lián)動(dòng)。衛(wèi)星通信的獨(dú)特優(yōu)勢使這樣的通信專網(wǎng)具有前所未有的應(yīng)急通信魯棒性，利用衛(wèi)星通信VPN技術(shù)，建立聯(lián)動(dòng)系統(tǒng)涵蓋集群調(diào)度及普通語音功能，完全滿足合計(jì)聯(lián)動(dòng)單位平時(shí)的集群調(diào)度需求和普通語音需求。

[1] 王海濤.應(yīng)急通信發(fā)展現(xiàn)狀和技術(shù)手段分析[J].電力系統(tǒng)通信,2011,32(2):1-6.

[2] 李文峰.現(xiàn)代應(yīng)急通信技術(shù)[M].西安:西安電子科技大學(xué)出版社,2007.

[3] SIERGIEJCZYK M.Availability of the motorway emergency communications[J].Journal of Konbin,2008,5(2):291-306.

[4] 胡 鼎.SSL VPN身份認(rèn)證的研究[D].合肥:安徽大學(xué),2013.

[5] 邢玉領(lǐng),謝 鷹,張 濤.應(yīng)急通信發(fā)展策略研究[J].郵電設(shè)計(jì)技術(shù),2009(9):33-36.

[6] 楊 鐸.基于MPLS VPN技術(shù)的組網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[D].長春:吉林大學(xué),2014.

[7] 劉洪強(qiáng).基于SSL協(xié)議的VPN技術(shù)研究與實(shí)現(xiàn)[D].濟(jì)南:山東大學(xué),2008.

[8] 程 思,程家興.VPN中的隧道技術(shù)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展,2010,20(2):156-159.

[9] 蔣東毅,呂述望,羅曉廣.VPN的關(guān)鍵技術(shù)分析[J].計(jì)算機(jī)工程與應(yīng)用,2003,39(15):173-177.

[10] 孫培松.VPN發(fā)展趨勢及競爭策略研究[D].北京:北京郵電大學(xué),2008.

[11] 王 柱.基于IP城域網(wǎng)的MPLS VPN規(guī)劃與性能分析[D].天津:天津大學(xué),2006.

[12] 倪劍虹,呂光宏.基于VPN的不同實(shí)現(xiàn)方式的技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究,2005,22(7):257-260.

[13] PERTA V C,BARBERA M V,TYSON G,et al.A glance through the VPN looking glass: IPv6 leakage and DNS hijacking in commercial VPN clients[C]//15th privacy enhancing symposium.[s.l.]:[s.n.],2015.

[14] FAN Yaqin,LI Chi,SUN Chao.Based on combination of L2TP and IPSec VPN security technology research[J].Journal of Networks,2012,7(1)：141-148.

[15] GAURAVARAM P,HIROSE S,ANNADURAI S.An update on the analysis and design of NMAC and HMAC functions[J].International Journal of Network Security,2008,7(1):49-60.