论文部分内容阅读
摘 要:本文利用反向VPN技术访问“飞机维修服务网络”,从技术背景、网络层级模式,接入方式、吞吐控制策略、核心技术等方面做概述分析,提供一个满足跨越区域和网络登入限制、安全认证等高级别的飞机维修通讯网络解决方案,从而达到建设低成本、高性能、易建设、高安全的联合维修网络。
关键词:飞机维修 维修网络 反向VPN
一、前言
在中国,航空公司背负沉重的成本负担前行,其中飞机维修成本占航空公司总成本10~20%,而维修费用达到购机费用2/3,中国CCAR-145部266家维修单位能够进行飞机和发动机大修单位仅3家。现在国内普及宽带作为接入支撑平台,普遍使用VPN技术保证安全,但传统方案大多借助DNS-ALG(动态域名系统-应用层网关)在NAT(Network Address Translator)上部署,结合公网与私网DNS服务器实现[1],利用反向VPN来实现NAT链接方案能有效建立一套基于SSL协议强密算法、身份认证,公网私用,专网反向穿透的VPN安全网络,采用全新内网外接的布署策略,大大减少维护成本,可成功穿越NAT设备,具有组网灵活性强、管理维护成本低、用户操作便捷等优势。
为此,我们亟需建立数字网络维修化平台,增强联合技术攻关、资源共享,人力互补,综合运用计算机技术、数字通信技术、专用网络传输、检测和诊断技术、多媒体技术和智能化技术[2],使各种维修信息能实时或近实时地传递、处理、存储与交流,达到整个维修体系范围内能力提升,实现飞机维修诊断、监控、决策、通信、保障高度一体化。
二、飞机维修与基本连接通讯协议
目前关于生产、监控、测试数字化技术有:瑞典Kvaser公司世界上首个制定出高层协议CAN Kingdom、Magi Sync和Silent mode技术, 德国SOFTING公司的现场总线通信、诊断和OPC技术,数据采集系统前端测量模块(SIM 系列,T系列,M 系列)将所连接的传感器上的信号,以CAN 报文的方式发送到CAN总线上,提供独立采集模式和同步数据采集两种工作模式[3]。
三、反向VPN模式下飞机维修网络控制
反向VPN虚拟专用网方案的关键技术包括:隧道策略、隧道协议、密钥管理技术、流量技术、加密解密与认证技术、用户终端与设备身份认证技术。
1.隧道协议与策略控制
VPN隧道分布在第二层链路层隧道协议、第三网络层隧道协议和第四工作高层隧道协议,其中隧道包括对称和非对称隧道。
2.安全控制技术
包括加密解密算法、密钥管理和身份认证技术, SSL VPN,通过虚拟驱动SSL协议交换密钥、身份安全信息等并结合曲线加密算法、PKI系统来实现隧道双方系统认证[4],著名对称密钥加密算法有3DES、GDES、DES等,非对称算法有RSA、背包密码等,其中最有影响RSA算法能抵抗到目前为止已知的所有密码攻击,籍此保证隧道传输数据的秘密性、完整性和可鉴别性。
四、飞机网络服务技术链接框架
1.反向VPN模式下航空飞机网络通讯流程
反向VPN网关必须从维修终端发起内网资源请求、建立SSL安全隧道后(见图1),按照系统安全策略进行访问控制决策,转发用户请求访问的内网资源[5],最后切断VPN进入专网用户终端,因此基于反向VPN的工作流分三个阶段:
第一阶段:建立自愿请求隧道
飞机维修工作站通过发送VPN请求来配置和创建一条自愿隧道,此时用户端计算机作为隧道的客户方成为隧道的一个端点,创建到目标隧道服务器的虚拟连接。
1.1自愿请求访问:维修终端客机WS_A执行网关的映射URL(诸如192.168.0.154),使用HTTPS协议进入路由网关登录并与SSL VPN网关转发认证请求并建立自愿安全隧道连接,将用户身份信息递交给本地身份认证数据库。
1.2认证结果:VPN服务器CS_A依据数据库反馈用户验证结果,若成功则进入,否则退出。
图1 基于反向VPN飞机维修网络系统
第二阶段: 资源控制安全
1.3访问控制请求:通过认证之后,SSL VPN 服务器CS_A将用户WS_A的192.168.0.254网段数据包导入SSL隧道,执行系统访问策略控制。
1.4安全检查:远程主机在网关自动调入ActiveX程序对主机状态进行审查评估,以确定用户角色和主机WS_A安全状态,服务器CS_B的IP地址记录进入NAT资源库列表,生成允许用户访问的资源。
第三阶段:内网终端导通
1.5资源与界面下发:服务器CS_B解密并生成用户访问许可列表,切断CS_B的VPN导向服务网络隧道,VPN网关通过HTTPS协议返回内网封装资源,以Web页面方式返回到用户主WS_A,客机WS_A收到主机CS_A网络资源,即可通过NAT网关与主机WS_B进行对点安全隧道交互通信。
2.飞机维修网络系统协同化的工作模式
高效的航空飞机维修服务信息网络系统要求服务终端能够连接内网DB服务器并加密整个连接,将SSL加密连接请求转发到综合航空维修服务平台上,集成数字化维修单元、智能化机种维修导向、综合化维修技术、维修专家与技师一体化资源系统,这种网络系统简捷高效,远程维修信息采集与专家VPN网络通道从内网隔离开,所有内网其他流量都将被禁止以防内网遭受未经授权访问/攻击,VPN仅连接固定开放准入的TCP端口,最大限度保证基于Internet的连接安全性,远程直连路由器并备份链路,保证信息网络安全可靠。
五、结论
反向VPN在公共互联网络中突破控制较强,费用成本较低,将系统探测、检视、预警系统,通信联络系统,指挥控制和装备系统组成一个以计算机为中心的网络信息通讯体系,强化维修服务信息交互、共享、联合技术攻关,推进我国航空飞机维修管理信息化进程。
参考文献
[1]包江奇,黄炜. 便携式国产大飞机维修辅助设备的设计与实现[J]. 電子技术应用, 2011,(01).
[2]张莉,王峰,温克利. 基于AHP故障树分析方法下飞机液压诊断研究[J].光机电信息,2011,(02).
[3]刘羡伦, 郭京波. 分布式网络控制系统在盾构机上的应用[J]. 隧道建设, 2011,(S1).
[4]段道聚,张永祯,张景义,廖小健. 基于无线网络的便携式维修辅助终端设计[J]. 信息化研究, 2010,(08).
[5]范亚芹,张静,侯智慧. 一种新型P2P-VPN组网技术[J]. 吉林大学学报(信息科学版), 2009,(06).
作者简介:张莉(1978.7-),女,研究方向:机务管理与信息化。
通讯作者:陶亮(1979-)男,研究方向:飞机维修与自动化。
关键词:飞机维修 维修网络 反向VPN
一、前言
在中国,航空公司背负沉重的成本负担前行,其中飞机维修成本占航空公司总成本10~20%,而维修费用达到购机费用2/3,中国CCAR-145部266家维修单位能够进行飞机和发动机大修单位仅3家。现在国内普及宽带作为接入支撑平台,普遍使用VPN技术保证安全,但传统方案大多借助DNS-ALG(动态域名系统-应用层网关)在NAT(Network Address Translator)上部署,结合公网与私网DNS服务器实现[1],利用反向VPN来实现NAT链接方案能有效建立一套基于SSL协议强密算法、身份认证,公网私用,专网反向穿透的VPN安全网络,采用全新内网外接的布署策略,大大减少维护成本,可成功穿越NAT设备,具有组网灵活性强、管理维护成本低、用户操作便捷等优势。
为此,我们亟需建立数字网络维修化平台,增强联合技术攻关、资源共享,人力互补,综合运用计算机技术、数字通信技术、专用网络传输、检测和诊断技术、多媒体技术和智能化技术[2],使各种维修信息能实时或近实时地传递、处理、存储与交流,达到整个维修体系范围内能力提升,实现飞机维修诊断、监控、决策、通信、保障高度一体化。
二、飞机维修与基本连接通讯协议
目前关于生产、监控、测试数字化技术有:瑞典Kvaser公司世界上首个制定出高层协议CAN Kingdom、Magi Sync和Silent mode技术, 德国SOFTING公司的现场总线通信、诊断和OPC技术,数据采集系统前端测量模块(SIM 系列,T系列,M 系列)将所连接的传感器上的信号,以CAN 报文的方式发送到CAN总线上,提供独立采集模式和同步数据采集两种工作模式[3]。
三、反向VPN模式下飞机维修网络控制
反向VPN虚拟专用网方案的关键技术包括:隧道策略、隧道协议、密钥管理技术、流量技术、加密解密与认证技术、用户终端与设备身份认证技术。
1.隧道协议与策略控制
VPN隧道分布在第二层链路层隧道协议、第三网络层隧道协议和第四工作高层隧道协议,其中隧道包括对称和非对称隧道。
2.安全控制技术
包括加密解密算法、密钥管理和身份认证技术, SSL VPN,通过虚拟驱动SSL协议交换密钥、身份安全信息等并结合曲线加密算法、PKI系统来实现隧道双方系统认证[4],著名对称密钥加密算法有3DES、GDES、DES等,非对称算法有RSA、背包密码等,其中最有影响RSA算法能抵抗到目前为止已知的所有密码攻击,籍此保证隧道传输数据的秘密性、完整性和可鉴别性。
四、飞机网络服务技术链接框架
1.反向VPN模式下航空飞机网络通讯流程
反向VPN网关必须从维修终端发起内网资源请求、建立SSL安全隧道后(见图1),按照系统安全策略进行访问控制决策,转发用户请求访问的内网资源[5],最后切断VPN进入专网用户终端,因此基于反向VPN的工作流分三个阶段:
第一阶段:建立自愿请求隧道
飞机维修工作站通过发送VPN请求来配置和创建一条自愿隧道,此时用户端计算机作为隧道的客户方成为隧道的一个端点,创建到目标隧道服务器的虚拟连接。
1.1自愿请求访问:维修终端客机WS_A执行网关的映射URL(诸如192.168.0.154),使用HTTPS协议进入路由网关登录并与SSL VPN网关转发认证请求并建立自愿安全隧道连接,将用户身份信息递交给本地身份认证数据库。
1.2认证结果:VPN服务器CS_A依据数据库反馈用户验证结果,若成功则进入,否则退出。
图1 基于反向VPN飞机维修网络系统
第二阶段: 资源控制安全
1.3访问控制请求:通过认证之后,SSL VPN 服务器CS_A将用户WS_A的192.168.0.254网段数据包导入SSL隧道,执行系统访问策略控制。
1.4安全检查:远程主机在网关自动调入ActiveX程序对主机状态进行审查评估,以确定用户角色和主机WS_A安全状态,服务器CS_B的IP地址记录进入NAT资源库列表,生成允许用户访问的资源。
第三阶段:内网终端导通
1.5资源与界面下发:服务器CS_B解密并生成用户访问许可列表,切断CS_B的VPN导向服务网络隧道,VPN网关通过HTTPS协议返回内网封装资源,以Web页面方式返回到用户主WS_A,客机WS_A收到主机CS_A网络资源,即可通过NAT网关与主机WS_B进行对点安全隧道交互通信。
2.飞机维修网络系统协同化的工作模式
高效的航空飞机维修服务信息网络系统要求服务终端能够连接内网DB服务器并加密整个连接,将SSL加密连接请求转发到综合航空维修服务平台上,集成数字化维修单元、智能化机种维修导向、综合化维修技术、维修专家与技师一体化资源系统,这种网络系统简捷高效,远程维修信息采集与专家VPN网络通道从内网隔离开,所有内网其他流量都将被禁止以防内网遭受未经授权访问/攻击,VPN仅连接固定开放准入的TCP端口,最大限度保证基于Internet的连接安全性,远程直连路由器并备份链路,保证信息网络安全可靠。
五、结论
反向VPN在公共互联网络中突破控制较强,费用成本较低,将系统探测、检视、预警系统,通信联络系统,指挥控制和装备系统组成一个以计算机为中心的网络信息通讯体系,强化维修服务信息交互、共享、联合技术攻关,推进我国航空飞机维修管理信息化进程。
参考文献
[1]包江奇,黄炜. 便携式国产大飞机维修辅助设备的设计与实现[J]. 電子技术应用, 2011,(01).
[2]张莉,王峰,温克利. 基于AHP故障树分析方法下飞机液压诊断研究[J].光机电信息,2011,(02).
[3]刘羡伦, 郭京波. 分布式网络控制系统在盾构机上的应用[J]. 隧道建设, 2011,(S1).
[4]段道聚,张永祯,张景义,廖小健. 基于无线网络的便携式维修辅助终端设计[J]. 信息化研究, 2010,(08).
[5]范亚芹,张静,侯智慧. 一种新型P2P-VPN组网技术[J]. 吉林大学学报(信息科学版), 2009,(06).
作者简介:张莉(1978.7-),女,研究方向:机务管理与信息化。
通讯作者:陶亮(1979-)男,研究方向:飞机维修与自动化。