VPN技术及其在铁路视讯系统的应用

摘要：近年来，随着Internet的广泛应用，如何利用Internet的资源来组建企业内部的虚拟专用网络（VPN）已成为IT业界的一个新热点。VPN是通过一个公共网络建立起来的一个临时的、安全的连接，它是对企业内部网的扩展。VPN可以帮助铁路内部网建立可信的安全连接，并保证数据的安全可靠传输，它从根本上解决了网络面临的不安全因素的威胁，大大提高了网络数据传输的安全性、可靠性和保密性。

关键词：VPN技术；网络安全；管理技术；组网模式

中图分类号：TN915.08 文献标识码：A

1 VPN的基本概念

在VPN（Virtual Private Network）即虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 虚拟专用网对用户端透明，用户好像使用一条专用线路进行通信。

虚拟专用网（VPN）是一个综合了保密性、安全性及可管理性于一身的解决方案。VPN就是在公共网络架构上（通常是Internet）利用安全、认证、加密等技术建立企业的专用线路，在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN可以提供与昂贵的专线（DDN）类似的安全性、可靠性、可管理性和优先级别，可构筑于IP网络、帧中继网络和ATM网络上。

2 VPN的关键技术

目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption & Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。

2.1 隧道技术

VPN是在公网中形成企业专用的链路，为了形成这样的链路，采用了所谓的“隧道”技术。隧道技术是VPN的基本技术，它是分组封装（Capsule）的技术，可以模仿点对点连接技术，依靠Internet服务提供商（ISP）和其他的网络服务提供商（NSP）在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。

隧道是一种利用公网设施，在一个网络之上的“网络”传输数据的方法，被传输的数据可以是另一协议的帧。隧道协议用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。

2.2 加解密技术

加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。用于VPN上的加密技术由IPSec的ESP （Encapsulationg Security Payload）实现。主要是发送者在发送数据之前对数据加密，当数据到达接收者时由接收者对数据进行解密的处理过程，算法主要种类包括：对称加密（单钥加密）算法、不对称加密（公钥加密）算法等。如DES （Data Encryption Standard）、IDEA （International Data Encryption Algorithm）、RSA（发明者Rivest、Shamir和Adleman名字的首字符）。

对于对称加密算法，通信双方共享一个密钥，发送方使用该密钥将明文加密成密文，接收方使用相同的密钥将密文还原成明文。对称加密算法运算速度快。

不对称加密算法是通信双方各使用两个不同的密钥，一个是只有发送方知道的密钥，另一个则是与之对应的公开密钥，公开密钥不需保密。在通信过程中，发送方用接收方的公开密钥加密消息，并且可以用发送方的秘密密钥对消息的某一部分或全部加密，进行数字签名。接收方收到消息后，用自己的秘密密钥解密消息，并使用发送方的公开密钥解密数字签名，验证发送方身份。

2.3 密钥管理技术

密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。

SKIP主要是利用Diffie—Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。

2.4 使用者与设备身份认证技术

使用者与设备身份认证技术最常用的是用户名/口令或智能卡认证等方式。

3 VPN技术在上海铁路局视讯系统的应用

3.1 组网需求

结合铁路局目前的IP数据网网络环境， 利用 IP数据网组建VPN 虚拟专用网线路，采用基于VPN 网络的点对点组网模式实现上海铁路局视频会议系统， 用来满足图像、多媒体、数据、语音等信息的传输来实现实时、快捷的联动指挥， 可极大提高各点间协同工作能力。

3.2 设备部署

3.2.1 组网模式

针对上海铁路局管内铁路IP数据网VPN、组播、QoS等业务需求的特点，充分考虑了目前的业务需求和以后的发展方向，利用SDH做为传输平台，利用大容量、高可靠性的路由器组网，完全满足铁路局基于MPLS的多VPN的要求，为各种不同的业务提供安全、可靠的保障。上海铁路局作为视频会议系统的主会场， 是视频业务的汇聚地，采用核心路由器二台，GE口互联，互为主备用，确保网络的安全性；路局管辖范围内各省会作为本省视频业务汇聚地采用汇聚层路由器二台，互为主备用，与路局核心路由器间采用两条POS155M链路互联；省内每个地市设立一台路由器，与省会二台汇聚路由器各用一条155M链路互联，充分确保整个网络的安全性。全局各站段（包括车间）作为视频业务接入点，采用接入层路由器和交换机等方式互联入IP数据网络中。

3.2.2 VPN业务实现方式

在IP数据网内，组建多条VPN通道，以区分不同站段的电视电话会议需求。例如上海铁路局某部门召开电视电话，在根据需求在以上网络中创建一条VPN隧道。

当某工务段会议信息发送到ce路由器时，ce路由器就会对此用户信息进行识别判断，如果是此VPN的信息那么就对此报文进行再封装。所谓的再封装就是按照事先创建好的隧道所指定的对端用户连接的IP数据网中的边缘设备，通常就是封装对端设备的IP地址。这样用户信息在数据网络中传递时，网络中设备只检查其顶部封装的公网信息进行转发判断，而不检查用户的私网信息。当对端边缘设备收到此信息后，判断出这是本地某VPN的报文，就去除公网信息的封装，将还原后的用户信息发送到本地VPN用户。这样，VPN就可以很安全的传递到对端用户，保证了信息的安全性。

结语

VPN技术在铁路数据网系统上已经广泛应用，现已平稳承载了路局公务视频业务及铁路各各站段视频业务应用。在已经建设运营的高速铁路，VPN技术主要解决了庞大的沿线视频监控系统，为高铁的安全运营保驾护航。全路IP/MPLS通信平台建设完成以后，整合全路网的VPN业务系统，最终实现整个铁道部统一的大的IP/MPLS通信平台，为铁路业务的快速发展提供坚实的支撑。

参考文献

[1]石水红.基于MPLS的VPN技术原理及其实现，电子技术应用.

[2]戴宗坤，唐三平.VPN与网络安全[M].金城出版社，2000.

[3]刘丽萍，张文华.VPN中的话音业务[J].中国数据通信，2003.