构建IPSec VPN网络实现气象数据加密报送

　　摘要：随着通信技术的日益发展，信息安全技术也提上了日程。气象数据的安全性得到了广泛的重视，在现有的网络基础上实现数据的加密传输也是当务之急，下面就如何利用IPSec VPN技术实现气象数据的数据加密传输提出相关方案。

　　关键词：气象数据,信息安全,IPSec,VPN

　　引言

　　目前我县气象数据报送网分两部分组成，一路为主通道，另一路3G备份线路，主要利用主通道向省局报送数据，当主通道中断后，切换到3G备份线路，切换模式基于BFD协议技术实现。尽管该网在线路上实现了备份，但是在数据的私密性，完整性和源认证方面有些欠缺。一旦数据在传输过程中被截获篡改或者被不法分子利用后果不堪设想。从信息安全角度考虑，对现有网络进行改造，利用IPSec VPN技术实现数据的加密传输。

　　1.VPN(虚拟专用网)

　　VPN是虚拟私有网络的简称，是一种利用公网来构建私有专用网络的技术，它通过为接收方和发送方在公用网上建立一个虚拟的安全隧道来传输经过加密的数据，以保证数据通信的安全。VPN是企业内部网在Internet等公用网络上的延伸，它从根本上满足了企业用户的低通信费和高灵活性的双重要求。并且它具有与专用线路同样的安全保障。通过网络技术、访问控制技术和加密技术，和用户管理机制，使用户可以利用现有公共网，保密、安全、不受干扰地远程访问内部网络资源。与传统的私有网络相比，VPN技术大大降低了成本，方便、安全、标准，成为实现企业网络跨地域安全互联的主要技术手段。

　　VPN实现的关键技术是隧道，而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议，同样在第三层实现数据封装的协议叫三层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN将企业网的数据封装在隧道中，通过公网Internet进行传输它采用复杂的算法来加密传输的信息，使敏感的数据不会被窃听。

　　2.基于IPSec协议的VPN技术

　　IPSecVPN是基于IPSec协议的VPN产品，由IPSec协议提供隧道安全保障。IPSec隧道只能支持IP数据流，工作在IP栈的底层。因此，应用程序和高层协议可以继承IPSec的行为，由一个安全策略( 一整套过滤机制) 进行控制。IPSec工作于网络层，是一个开放的结构，定义在IP数据包格式中，不同的加密算法都可利用IPSec定义体系结构在网络数据传输过程中实施。IPSec几乎可以为所有的应用提供访问，包括客户端/服务器模式和某些传统的应用，但由于基于网络层，不能穿越通常的NAT、防火墙。它为Internet业务提供最强的安全功能，与其他隧道和安全技术相比，其优越性在于它的安全性和互操作性，但是管理相对复杂。

　　3.VPN技术在气象网络数据报送中的应用

　　为了实现数据的私密性，可以考虑在现有的网络设备上重新进行配置，实现VPN的功能，具体尚需确定目前的网络设备是否支持IPSec VPN的配置。另外考虑购置VPN设备，部署在网络合适的位置实现VPN的功能，具体IPSec VPN的原理参考相关书籍自行阅读。

　　下面主要是在现有设备上阐述VPN的配置实例，实现合理的现有网络的改造，实用于全省的气象专网。

　　下图1是目前全省气象专网的拓扑图，具体IP地址属于内部规划不易公开，图2会将该图分解为两个节点进行配置说明，实现利用VPN传输数据。

　　典型配置(设备选用思科系列支持VPN设备)

　　县局配置，对应设备命名为XIANJU

　　激活ISAKMP

　　XIANJU(config)#crypto isakmp enable

　　配置IKE第一阶段策略

　　XIANJU(config)#crypto isakmp policy 10

　　XIANJU(config-isakmp)#encr 3des//加密算法使用3des//

　　XIANJU(config-isakmp)#hash md5//散列算法使用MD5//

　　XIANJU(config-isakmp)#authentication pre-share//预共享密钥//

　　XIANJU(config-isakmp)#group 2

　　XIANJU(config)#crypto isakmp key0 XXX address 192.168.1.2//密钥为XXX//

　　XIANJU(config)#ip access-list extended VPN

　　XIANJU(config-ext-nacl)#permit ip (需要被加密的IP段)

　　XIANJU(config)#crypto ipsec transform-set Trans esp-des esp-md5-hac

　　配置IKE第二阶段策略

　　XIANJU(config)#crypto map cry-map 10 ipsec-isakmp

　　XIANJU(config-crypto-map)#match address VPN

　　XIANJU(config-crypto-map)#set transform-set Trans

　　XIANJU(config-crypto-map)#set peer 192.168.1.2//与省局建立VPN//

　　将策略应用到接口

　　XIANJU(config)#interface f0/0

　　XIANJU(config-if)#crypto map cry-map

　　市局配置参考县局配置。

　　4结束语

　　本文通过介绍一种VPN的配置技术，旨在阐述气象数据在现有的网络报送模式中存在的安全问题，建议从信息安全的角度考虑，保障网络安全，保障数据的准确可靠，实现数据的私密性。

　　参考文献：

　　[1] Vijav Bollapragada, Mohamed Khalid 著，袁国忠译. IPSec VPN设计[M]. 北京：人民邮电出版社，2006.

　　[2] 王占京. VPN网络技术与业务应用[M]. 北京：国防工业出版社, 2012.

　　[3] 王达. 虚拟专用网(VPN) 精解[M]. 北京: 清华大学出版社，2005.

　　[4] 杨艳，陈性元，杜学绘. 基于V P N 的安全审计系统的设计与实现[J]. 计算机工程，2007，33(09):177-179.

期刊VIP网，您身边的高端学术顾问

文章名称： 构建IPSec VPN网络实现气象数据加密报送

文章地址： http://www.qikanvip.com/qixiangxue/6001.html