摘要：隨著通信技術(shù)的日益發(fā)展，信息安全技術(shù)也提上了日程。氣象數(shù)據(jù)的安全性得到了廣泛的重視，在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)的加密傳輸也是當(dāng)務(wù)之急，下面就如何利用IPSec VPN技術(shù)實(shí)現(xiàn)氣象數(shù)據(jù)的數(shù)據(jù)加密傳輸提出相關(guān)方案。

　　關(guān)鍵詞：氣象數(shù)據(jù),信息安全,IPSec,VPN

　　引言

　　目前我縣氣象數(shù)據(jù)報(bào)送網(wǎng)分兩部分組成，一路為主通道，另一路3G備份線路，主要利用主通道向省局報(bào)送數(shù)據(jù)，當(dāng)主通道中斷后，切換到3G備份線路，切換模式基于BFD協(xié)議技術(shù)實(shí)現(xiàn)。盡管該網(wǎng)在線路上實(shí)現(xiàn)了備份，但是在數(shù)據(jù)的私密性，完整性和源認(rèn)證方面有些欠缺。一旦數(shù)據(jù)在傳輸過(guò)程中被截獲篡改或者被不法分子利用后果不堪設(shè)想。從信息安全角度考慮，對(duì)現(xiàn)有網(wǎng)絡(luò)進(jìn)行改造，利用IPSec VPN技術(shù)實(shí)現(xiàn)數(shù)據(jù)的加密傳輸。

　　1.VPN(虛擬專用網(wǎng))

　　VPN是虛擬私有網(wǎng)絡(luò)的簡(jiǎn)稱，是一種利用公網(wǎng)來(lái)構(gòu)建私有專用網(wǎng)絡(luò)的技術(shù)，它通過(guò)為接收方和發(fā)送方在公用網(wǎng)上建立一個(gè)虛擬的安全隧道來(lái)傳輸經(jīng)過(guò)加密的數(shù)據(jù)，以保證數(shù)據(jù)通信的安全。VPN是企業(yè)內(nèi)部網(wǎng)在Internet等公用網(wǎng)絡(luò)上的延伸，它從根本上滿足了企業(yè)用戶的低通信費(fèi)和高靈活性的雙重要求。并且它具有與專用線路同樣的安全保障。通過(guò)網(wǎng)絡(luò)技術(shù)、訪問(wèn)控制技術(shù)和加密技術(shù)，和用戶管理機(jī)制，使用戶可以利用現(xiàn)有公共網(wǎng)，保密、安全、不受干擾地遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源。與傳統(tǒng)的私有網(wǎng)絡(luò)相比，VPN技術(shù)大大降低了成本，方便、安全、標(biāo)準(zhǔn)，成為實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)跨地域安全互聯(lián)的主要技術(shù)手段。

　　VPN實(shí)現(xiàn)的關(guān)鍵技術(shù)是隧道，而隧道又是靠隧道協(xié)議來(lái)實(shí)現(xiàn)數(shù)據(jù)封裝的。在第二層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議稱為第二層隧道協(xié)議，同樣在第三層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫三層隧道協(xié)議。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于用戶的IP數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中在隧道中傳輸。VPN將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中，通過(guò)公網(wǎng)Internet進(jìn)行傳輸它采用復(fù)雜的算法來(lái)加密傳輸?shù)男畔ⅲ姑舾械臄?shù)據(jù)不會(huì)被竊聽(tīng)。

　　2.基于IPSec協(xié)議的VPN技術(shù)

　　IPSecVPN是基于IPSec協(xié)議的VPN產(chǎn)品，由IPSec協(xié)議提供隧道安全保障。IPSec隧道只能支持IP數(shù)據(jù)流，工作在IP棧的底層。因此，應(yīng)用程序和高層協(xié)議可以繼承IPSec的行為，由一個(gè)安全策略( 一整套過(guò)濾機(jī)制) 進(jìn)行控制。IPSec工作于網(wǎng)絡(luò)層，是一個(gè)開(kāi)放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，不同的加密算法都可利用IPSec定義體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中實(shí)施。IPSec幾乎可以為所有的應(yīng)用提供訪問(wèn)，包括客戶端/服務(wù)器模式和某些傳統(tǒng)的應(yīng)用，但由于基于網(wǎng)絡(luò)層，不能穿越通常的NAT、防火墻。它為Internet業(yè)務(wù)提供最強(qiáng)的安全功能，與其他隧道和安全技術(shù)相比，其優(yōu)越性在于它的安全性和互操作性，但是管理相對(duì)復(fù)雜。

　　3.VPN技術(shù)在氣象網(wǎng)絡(luò)數(shù)據(jù)報(bào)送中的應(yīng)用

　　為了實(shí)現(xiàn)數(shù)據(jù)的私密性，可以考慮在現(xiàn)有的網(wǎng)絡(luò)設(shè)備上重新進(jìn)行配置，實(shí)現(xiàn)VPN的功能，具體尚需確定目前的網(wǎng)絡(luò)設(shè)備是否支持IPSec VPN的配置。另外考慮購(gòu)置VPN設(shè)備，部署在網(wǎng)絡(luò)合適的位置實(shí)現(xiàn)VPN的功能，具體IPSec VPN的原理參考相關(guān)書(shū)籍自行閱讀。

　　下面主要是在現(xiàn)有設(shè)備上闡述VPN的配置實(shí)例，實(shí)現(xiàn)合理的現(xiàn)有網(wǎng)絡(luò)的改造，實(shí)用于全省的氣象專網(wǎng)。

　　下圖1是目前全省氣象專網(wǎng)的拓?fù)鋱D，具體IP地址屬于內(nèi)部規(guī)劃不易公開(kāi)，圖2會(huì)將該圖分解為兩個(gè)節(jié)點(diǎn)進(jìn)行配置說(shuō)明，實(shí)現(xiàn)利用VPN傳輸數(shù)據(jù)。

　　典型配置(設(shè)備選用思科系列支持VPN設(shè)備)

　　縣局配置，對(duì)應(yīng)設(shè)備命名為XIANJU

　　激活I(lǐng)SAKMP

　　XIANJU(config)#crypto isakmp enable

　　配置IKE第一階段策略

　　XIANJU(config)#crypto isakmp policy 10

　　XIANJU(config-isakmp)#encr 3des//加密算法使用3des//

　　XIANJU(config-isakmp)#hash md5//散列算法使用MD5//

　　XIANJU(config-isakmp)#authentication pre-share//預(yù)共享密鑰//

　　XIANJU(config-isakmp)#group 2

　　XIANJU(config)#crypto isakmp key0 XXX address 192.168.1.2//密鑰為XXX//

　　XIANJU(config)#ip access-list extended VPN

　　XIANJU(config-ext-nacl)#permit ip (需要被加密的IP段)

　　XIANJU(config)#crypto ipsec transform-set Trans esp-des esp-md5-hac

　　配置IKE第二階段策略

　　XIANJU(config)#crypto map cry-map 10 ipsec-isakmp

　　XIANJU(config-crypto-map)#match address VPN

　　XIANJU(config-crypto-map)#set transform-set Trans

　　XIANJU(config-crypto-map)#set peer 192.168.1.2//與省局建立VPN//

　　將策略應(yīng)用到接口

　　XIANJU(config)#interface f0/0

　　XIANJU(config-if)#crypto map cry-map

　　市局配置參考縣局配置。

　　4結(jié)束語(yǔ)

　　本文通過(guò)介紹一種VPN的配置技術(shù)，旨在闡述氣象數(shù)據(jù)在現(xiàn)有的網(wǎng)絡(luò)報(bào)送模式中存在的安全問(wèn)題，建議從信息安全的角度考慮，保障網(wǎng)絡(luò)安全，保障數(shù)據(jù)的準(zhǔn)確可靠，實(shí)現(xiàn)數(shù)據(jù)的私密性。

　　參考文獻(xiàn)：

　　[1] Vijav Bollapragada, Mohamed Khalid 著，袁國(guó)忠譯. IPSec VPN設(shè)計(jì)[M]. 北京：人民郵電出版社，2006.

　　[2] 王占京. VPN網(wǎng)絡(luò)技術(shù)與業(yè)務(wù)應(yīng)用[M]. 北京：國(guó)防工業(yè)出版社, 2012.

　　[3] 王達(dá). 虛擬專用網(wǎng)(VPN) 精解[M]. 北京: 清華大學(xué)出版社，2005.

　　[4] 楊艷，陳性元，杜學(xué)繪. 基于V P N 的安全審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程，2007，33(09):177-179.