分析VPN在测绘行业中应用的可行性

关键词：VPN SSL IPSec 测绘行业应用 数据安全

摘要：测绘行业的信息化与数据共享是以安全为前提的。本文通过对VPN技术的分析，为各个测绘单位或本单位在外工作队伍的数据共享提供一种安全低价的解决方案。

随着Internet等公共网络的迅速发展，通过公共网络能够实现的应用也越来越多。相应的随着测绘行业的不断发展，很多新的测绘技术也将更多的依靠互联网来实现，以达到简化测绘工作的流程，并且能够为测绘数据的使用者提供更多样更便捷的服务。但是测绘数据又是一种特殊的数据，对于非授权的人来说测绘数据是严格保密的。为了保障测绘数据在公共网络上传输的安全，流行的解决方案就是目前已经被广泛应用到大型企业安全数据传输的隧道技术。能够在危机四伏的公用网络上建立起低价，安全的虚拟专用网络，既VPN。

以IP协议为基础的VPN技术是通过以公用网络为基础将局域网延伸至远程网络的一种方法。它可以在公用网络中建立一条临时的，安全的隧道，并通过对数据进行几倍加密以达到安全使用公用网络的目的。

VPN的特点。

1.1安全保障。

VPN主要采用四种安全保障技术，隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

1.2服务质量保证（QoS）

由于VPN是一种基于IP的协议，所以VPN能够良好的与QoS融合使得管理员可以在网络中完全控制数据流。

1.3可扩充性和灵活性

VPN能够支持通过内部网络和外部网络的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

1.4低廉的费用

VPN相当于在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。因此为企业节省了大量的开支。

VPN的分类。

2.1按VPN的协议分类

VPN的隧道协议主要有四种。

2.1.1工作于OSI模型第二层的PPTP（点到点隧道协议）和L2TP（第二册隧道协议）。

2.1.2工作于OSI模型第三层的IPSec，它是目前最常见的隧道协议。

2.1.3 工作于第四层的SSL协议，是由网景公司提出的基于Web应用的在两台机器之间提供安全通道的协议。

2.2 按所用的设备类型进行分类。

2.2.1路由器式VPN

2.2.2交换机式VPN

2.2.3防火墙式VPN

几种VPN隧道协议的原理与比较。

隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现VPN功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。

PPTP（点到点隧道协议）它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。L2TP协议则是由思科公司推出的一种将PPTP与L2F结合起来的协议它的工作原理与PPTP大致相同。

IPSec协议：是一个标准的第三层安全协议，他是在隧道外面再封装，保证了隧在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证。

SSL VPN（安全套接层协议）是网景公司提出的基于Web应用的在两台机器之间提供安全通道的协议。它具有保护传输数据积极识别通信机器的功能。SSL主要采用公开密钥体制和X509数字证书技术在Internet上提供服务器认证，客户认证，SSL链路上的数据的保密性的安全性保证。被广泛用于Web浏览器与服务器之间的身份认证和加密传输。

工作于OSI模型第二层的PPTP与L2PT的特点是协议简单，易于加密，适合远程拨号用户，具有很高的可操作性。但是相对于更高层的IPSec与SSL来说在可扩展性与安全性方面则要逊色很多。

IPSec与SSL是目前比较常用的两种VPN解决方案。首先IPSec是第三层协议，SSL是第四层协议。这就注定了两者之间实现隧道的方式不同。大多数的TCP/IP协议栈在工作中是这样实现的：TCP/IP以下的协议是实现在操作系统中的，而以上的协议则是实现在用户的进程中的。因此工作在第四层的SSL在工作过程中是与应用程序接口相对的工作在第三层的IPSec是与TCP接口既与操作系统接口。这就导致SSL工作在TCP上时会存在一个问题。由于TCP没有密码保护，当攻击着截获数据包将恶意代码写入数据并能通过TCP的数据校验时，TCP并不会发现恶意代码，而是继续将数据包传给SSL。而SSL则会通过密码校验将数据丢弃。由于TCP的可靠性，远程设备会对没有回应的数据包进行重发。这就导致两个序列号相同的数据包经过本地设备，本地设备将会对序列号相同的数据包进行丢弃。从而导致SSL的链接超时并断开。

同样因为自身协议所工作的层，IPSec也会在工作过程中产生问题。由于IPSec工作在第三层它自身只对源IP进行认证而对应用程序的使用者进行的认证却无法通知进程，而大部分的应用程序都是需要对使用者进行认证的。如果想要避免这种情况的发生就需要修改应用程序，使其采用公钥认证或类密码认证的方式，并建立IP与用户名之间的关联以此来避免非法用户。由于目前我过使用VPN需要向ISP来购买许可证，采用IPSec方式来建立VPN如果有1000个用户就需要1000个许可证，这就大大增加了企业的开支。

综上所述IPSec与SSL作为目前最常见的两种VPN解决方案，都存在各自的优势与劣势，如何选择则要根据用户的自身情况来决定了。

VPN的发展趋势和在测绘行业中的应用前景

前面介绍的VPN技术已经能够提供足够安全的保障，可以使用户数据不被查看、修改。因此在不远的将来，VPN技术将成为广域网建设的最佳解决方案，它不仅会大大节省广域网的建设和运行维护费用，而且增强了网络的可靠性和安全性。所以在测绘行业中对VPN的应用也会加快测绘单位网络的建设步伐，使得各个单位不仅仅只是建设内部局域网，而且能够很快地把全国各地测绘单位或者是在外工作队伍的局域网在安全的前提下连接起来，从而真正发挥整个网络的作用，使得测绘行业能够做到安全的，最大的信息共享。对测绘行业的信息化起到不可低估的作用。

参考文献：

1.RFC 2401-1998. Security Architecture of the Internet Protocol[S].

2.RFC 2402-1998. IP Authentication Header[S].

3.RFC 2406-1998. IP Encapsulating Security Payload (ESP) [S].

4.RFC 2409-1998. The Internet Key Exchange (IKE) [S].

5.RFC 3103- 2001. Realm Specific IP Protocol Specification[S].

6.AriHuttunen. UDP encapsulate of IPSec packets[Z]. Internet draft, draft-ietf-ipsec-udp-encaps txt, 2001.

7.Kiviren T. Negotiation of NAT-traversal in the IKE[Z]. Internet draft, draft-ietf-ipsec-udp-ike txt, 2001