| 在广播电视监测网上组建VPN专网 |
|
作者:101ms.com 文章来源:中国论文下载中心 点击数: 更新时间:2008-11-16 1:52:00  |
摘 要:随着广播电视监测业务的拓展,监测范围扩大到偏远的高山发射台和乡村广播站,但在信号接收点没有铺设光缆,为了及时掌握这些地区的广播电视播出情况,实时回传广播电视图像和声音信号,在广播电视监测网引进了VPN技术。通过Internet组建的VPN专网既能实现广播电视监测调度指挥中心与远程遥测点进行安全的数据传输,也能满足移动办公的需求。该方案采用IPSec隧道模式组建VPN专网,对VPN关键技术与方案的具体实施及应用进行了阐述。
关键词:VPN技术;安全防护;监测网应用
1 引言
目前Internet的覆盖面相当广,对于光缆铺设不到的地方,可用VPN来扩大监测网覆盖范围。VPN(Virtual Private Network)即虚拟专用网络,就是两个具有VPN发起连接能力的设备(计算机或防火墙)通过Internet形成的一条安全隧道。在隧道发起端(即服务端),用户的私有数据通过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。此种方式让远程遥测点和移动用户接入网络,能够远程使用内部服务器的应用系统,在非安全的互联网上安全地传送私有数据。与数据专线相比,VPN无需铺设线路,能够利用Internet资源建立安全、可靠、经济、高效的移动监测专网,大大地减少了花费在城域网和远程网络连接上的费用,易于增加新的远程遥测站点,也简化了网络的设计和管理,进一步扩大了广播电视监测在广电中的监督和管理范围。
2 VPN技术特点
随着互联网技术的发展及Internet接入方式的多样化,为VPN应用提供了条件,不同地区的远程遥测点可通过ADSL、小区宽带、GPRS、CDMA 1X或窄带拨号等各种网络连接方式连入Internet,无需固定公网IP地址,由中心的VPN网关为认证用户分配一个内部私网地址,通过远程认证,实现与监测内部网络的互连,从而组成一个高效统一的虚拟专用网络。
目前VPN技术相当成熟,应用相当广泛,主要采用四种技术:隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
2.1 隧道技术(Tunneling)
当VPN客户机访问VPN服务器时,并没有传统专网所需的端到端的物理链路,它们是通过一个虚拟的隧道进行访问。一个隧道实际上就是在公网上建立一条数据通道,让数据包通过这条隧道传输,完成数据封装、传输和解包。为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议,隧道技术主要有三种协议支持:PPTP,L2TP和IPsec。
(1)点对点隧道协议(PPTP: Point-to-Point Tunneling Protocol) 。
PPTP协议工作在OSI/RM开放模型中的第二层,允许对IP、IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或互联网发送。通过PPTP,远程用户首先拨号到本地因特网服务提供商ISP(Internet Service Provider)的网络服务器NAS去访问总部的内部网络,并不需要直接拨号至总部的网络,这样大大减少了建立和维护专用远程线路的费用。PPTP协议通过身份验证后开始加密,身份验证的过程没有加密,安全性稍低,配置简单,在实现上存在着重大安全隐患。
(2)第2层隧道协议(L2TP: Layer 2 Tunneling Protocol) 。
L2TP协议是L2FP(Layer 2 Forwarding Protocol)与PPTP的结合,专门用来进行第二层数据的通道传送,允许对IP、IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP、X.25、桢中继或ATM。远程用户通过本地PSTN、ISDN或PLMN拨号,利用ISP提供的VPDN(Virtual Private Dial-Network)特服号,接入ISP在当地的NAS,通过当地的VPDN认证系统对用户身份进行认证,建立一个位于NAS和LNS(本地网络服务器)之间的虚拟专网来访问总部的内部网络。L2TP需要证书服务来验证计算机身份,身份验证过程是加密的,安全性较高,配置稍微复杂,但也不能完全保证数据传输过程中的安全。
(3)安全IP(IPSec:IPSecurity)隧道模式。
IPSEC协议工作在OSI/RM开放模型中的第三层,允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或互联网发送,具有认证包头AH(Authentication Header)和数据加密格式ESP (Encapsulating Security Payload)。IPSEC采取数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等形式,有效保护IP数据报的安全。在传输数据包之前将其加密,接收端根据AH和ESP对所有受IPSec保护的数据包进行认证和解密,防止数据包被捕捉并重新投放到网上,安全性高,从而保证了数据包在Internet网上传输时的私有性、完整性和真实性。
2.3 加解密技术(Encryption & Decryption)
加解密技术是数据通信中一项较成熟的技术,可直接利用。
2.4 密钥管理技术(Key Management)
密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取,密钥管理技术又分为 SKIP与 ISAKMP/OAKLEY 两种。SKIP(互联网简单密钥管理)主要是利用 Diffie-Hellman 的演算法则,在网络上传输密钥;在 ISAKMP (Internet 安全连接和密钥管理协议)中,双方都有两把密钥,分别用于公用、私用。
2.5 使用者与设备身份认证技术(Authentication)
当VPN客户端连接VPN服务器时,就涉及到身份验证的问题,身份验证可以采用Windows的身份验证或者RADIUS(远程拨号用户确认服务)身份验证。
Windows的身份验证主要通过用户名和密码来提供认证,认证协议采用Microsoft质询握手身份验证协议MS-CHAP(Microsoft Handshake Authentication Protocol)来加强对用户身份的查验。数据包的加密采用点对点加密算法MPPE(Microsoft Point-to-Point Encrypytion)协议, MPPE先在客户端工作站上对PPP数据包进行加密,然后才把它们送入PPTP隧道。传输途中的隧道交换机无法对这些PPP数据包进行解密,这就提高了数据的保密性。
RADIUS身份验证是通过Windows安装Internet验证服务IAS(Internet Authentication Service)来实现。RADIUS隐藏机制使用了共享秘文的RADIUS、Request Authenticator以及MD5散列算法来给用户的口令以及其它属性加密。通过ESP(Encapsulating Security Payload)和一种加密算法(例如3DES)的IPSec为隐藏属性提供更多的保护,同时为所有RADIUS消息提供数据机密性。这种拨号方式建立的VPN连接,可以实现双重数据加密,使网络数据传输更安全。
VPN的加密方式使得网络信息传输安全性大大提高,数据验证使得接收方可识别数据包是否被非法篡改,保证了数据的完整性。
3 VPN专网的安全防护
在公网上使用VPN传输私有数据,面临潜在的安全风险,这需要提供安全保障。虽然VPN有单独的网关,对IPSec数据包进行加密/解密处理和身份认证,但它没有很强的访问控制功能,如状态包过滤、网络内容过滤、防DoS攻击等。要防止非法用户对网络资源或私有信息的访问,网络管理员必须对通过VPN连接到网络的计算机和直接连接到LAN的计算机实行同样的安全标准。
为保证VPN的安全性,我们必须将所有设备放在防火墙之后, 防火墙必须封锁任何没有使用的端口,由防火墙打开允许的隧道信息包通过,才能与内部网络进行数据传输。可以通过安全检测设置来限制有权限的访问者,如果不再符合安全法则时,根本不允许接入。也可以限制内网中的部分用户上Internet,从而为私有数据在公用网络上的传输提供了安全和保密。
在监测网络上建立防火墙,能够保证内部网络免受安全威胁及攻击,强大的网络地址转换功能使服务器对外伪装服务身份,保护局域网内部的服务器安全运行,同时支持对特殊网络服务如QQ、MSN、BT、电驴以及ARP欺骗病毒的屏蔽功能。对于连接VPN的用户也必须在个人计算机上安装个人防火墙,它可以使非法侵入者不能进入局域网。
4 VPN技术在广播电视监测网中的应用
综合VPN技术优点,在广播电视监测网上采用了IPSec隧道模式组建VPN专网,其网络拓扑结构如下:
4.1 VPN专网的网路连接和作用
VPN专网的实现,需在监测内部网络中配置一台VPN服务器与内部网络连接,在中心将VPN硬件网关、监测网络设备及内部办公设备放在防火墙后面,经过防火墙再由一条专用远程线路连接到因特网,VPN硬件网关的LAN(局域网)口连接到内网的交换机上,WAN(广域网)口连接到与外网相连的路由器。
当客户机通过VPN连接与专用网络中的计算机进行通信时,先由NSP(网络服务提供商)将所有的数据传送到VPN服务器,再由VPN服务器将所有的数据传送到目标计算机。网络管理员通过配置VPN服务器,指定只有符合特定身份要求的用户才能连接VPN服务器获得访问内部信息的权利,没有访问权利的用户无法获得局域网信息。
VPN服务器相当于执行路由和远程访问服务任务的一个增强的‘Windows 2003 Server’服务器,一旦一个进入VPN网络的请求被批准,这个VPN服务器就简单地充当一台路由器向这个VPN客户机提供专用网络的接入。
4.2 VPN硬件网关的主要配置方法及安全设置
(1) VPN硬件网关上的配置(以OLYM产品为例):
①配置VPN硬件网关IP地址(该地址段为监测局域网未被使用的IP地址,可与监测局域网同网段或不同网段,设置时不能包含已经被使用的IP),使得通过VPN接入到监测局域网的远程用户能够从这个IP地址中获得与内网相同网段的局域网IP地址。比如将VPN硬件网关IP设为172.10.3.1,局域网中的任意一台应用服务器的IP设成172.10.3.XXX。对于需要被各遥测站点、远程用户访问的应用服务器(如广播监测主服务器、电视监测主服务器、WEB服务器等)的网关则指向VPN硬件网关。
②在VPN广域联网中设置相应的上网方式(电话拔号上网、一线通ISDN、网络快车ADSL、有固定IP的线路、DHCP客户端/SSO等),在本方案中使用专线连到Internet,则选择有固定IP线路的上网方式,输入固定的IP及网关。
③配置“虚拟专网”下的“许可证”,输入VPN公司分配的APN组域(VDOMAIN)、节点名(VHOST)以及许可证号。[1] [2] 下一页
|
| 文章录入:admin 责任编辑:admin |
|
上一篇文章: 论网络消费市场中的音乐发展
下一篇文章: 基于Web Services的PDM系统的研究与实现 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
