论文部分内容阅读
摘要:随着通信技术的日益发展,信息安全技术也提上了日程。气象数据的安全性得到了广泛的重视,在现有的网络基础上实现数据的加密传输也是当务之急,下面就如何利用IPSec VPN技术实现气象数据的数据加密传输提出相关方案。
关键词:气象数据;信息安全;IPSec;VPN
Abstract: With the increasing development of communication technology, information security technology was also being put on the agenda. Meteorological data security has received extensive attention, on the foundation of the network to realize data encryption transmission is a pressing matter of the moment, below on how to use IPSec technology to achieve VPN meteorological data encryption transmission put forward relevant solutions.
Key words: meteorological data; information security; IPSec; VPN
中图分类号:P42 文献标识码:A 文章编号:
引言
目前我县气象数据报送网分两部分组成,一路为主通道,另一路3G备份线路,主要利用主通道向省局报送数据,当主通道中断后,切换到3G备份线路,切换模式基于BFD协议技术实现。尽管该网在线路上实现了备份,但是在数据的私密性,完整性和源认证方面有些欠缺。一旦数据在传输过程中被截获篡改或者被不法分子利用后果不堪设想。从信息安全角度考虑,对现有网络进行改造,利用IPSec VPN技术实现数据的加密传输。
1.VPN(虚拟专用网)
VPN是虚拟私有网络的简称,是一种利用公网来构建私有专用网络的技术,它通过为接收方和发送方在公用网上建立一个虚拟的安全隧道来传输经过加密的数据,以保证数据通信的安全。VPN是企业内部网在Internet等公用网络上的延伸,它从根本上满足了企业用户的低通信费和高灵活性的双重要求。并且它具有与专用线路同样的安全保障。通过网络技术、访问控制技术和加密技术,和用户管理机制,使用户可以利用现有公共网,保密、安全、不受干扰地远程访问内部网络资源。与传统的私有网络相比,VPN技术大大降低了成本,方便、安全、标准,成为实现企业网络跨地域安全互联的主要技术手段。
VPN实现的关键技术是隧道,而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议,同样在第三层实现数据封装的协议叫三层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN将企业网的数据封装在隧道中,通过公网Internet进行传输它采用复杂的算法来加密传输的信息,使敏感的数据不会被窃听。
2.基于IPSec协议的VPN技术
IPSecVPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障。IPSec隧道只能支持IP数据流,工作在IP栈的底层。因此,应用程序和高层协议可以继承IPSec的行为,由一个安全策略( 一整套过滤机制) 进行控制。IPSec工作于网络层,是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可利用IPSec定义体系结构在网络数据传输过程中实施。IPSec几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用,但由于基于网络层,不能穿越通常的NAT、防火墙。它为Internet业务提供最强的安全功能,与其他隧道和安全技术相比,其优越性在于它的安全性和互操作性,但是管理相对复杂。
3.VPN技术在气象网络数据报送中的应用
为了实现数据的私密性,可以考虑在现有的网络设备上重新进行配置,实现VPN的功能,具体尚需确定目前的网络设备是否支持IPSec VPN的配置。另外考虑购置VPN设备,部署在网络合适的位置实现VPN的功能,具体IPSec VPN的原理参考相关书籍自行阅读。
下面主要是在现有设备上阐述VPN的配置实例,实现合理的现有网络的改造,实用于全省的气象专网。
下图1是目前全省气象专网的拓扑图,具体IP地址属于内部规划不易公开,图2会将该图分解为两个节点进行配置说明,实现利用VPN传输数据。
图1目前全省气象专网的拓扑图
图2分解图
典型配置(设备选用思科系列支持VPN设备)
县局配置,对应设备命名为XIANJU
激活ISAKMP
XIANJU(config)#crypto isakmp enable
配置IKE第一阶段策略
XIANJU(config)#crypto isakmp policy 10
XIANJU(config-isakmp)#encr 3des//加密算法使用3des//
XIANJU(config-isakmp)#hash md5//散列算法使用MD5//
XIANJU(config-isakmp)#authentication pre-share//预共享密钥//
XIANJU(config-isakmp)#group 2
XIANJU(config)#crypto isakmp key0 XXX address 192.168.1.2//密钥为XXX//
XIANJU(config)#ip access-list extended VPN
XIANJU(config-ext-nacl)#permit ip (需要被加密的IP段)
XIANJU(config)#crypto ipsec transform-set Trans esp-des esp-md5-hac
配置IKE第二階段策略
XIANJU(config)#crypto map cry-map 10 ipsec-isakmp
XIANJU(config-crypto-map)#match address VPN
XIANJU(config-crypto-map)#set transform-set Trans
XIANJU(config-crypto-map)#set peer 192.168.1.2//与省局建立VPN//
将策略应用到接口
XIANJU(config)#interface f0/0
XIANJU(config-if)#crypto map cry-map
市局配置参考县局配置。
4结束语
本文通过介绍一种VPN的配置技术,旨在阐述气象数据在现有的网络报送模式中存在的安全问题,建议从信息安全的角度考虑,保障网络安全,保障数据的准确可靠,实现数据的私密性。
参考文献:
[1] Vijav Bollapragada, Mohamed Khalid 著,袁国忠译.IPSec VPN设计[M]. 北京:人民邮电出版社,2006.
[2] 王占京. VPN网络技术与业务应用[M]. 北京:国防工业出版社, 2012.
[3] 王达. 虚拟专用网(VPN) 精解[M]. 北京: 清华大学出版社,2005.
[4] 杨艳,陈性元,杜学绘. 基于V P N 的安全审计系统的设计与实现[J]. 计算机工程,2007,33(09):177-179.
陈秉权(1980-10)男,河北省康保县人,助理工程师。主要在县局从事气象地面测报工作。
严万忠(1969-10) 男,河北省康保县人,康保县防雷中心主任,主要从事气象服务、防雷等工作。
注:文章内所有公式及图表请以PDF形式查看。
关键词:气象数据;信息安全;IPSec;VPN
Abstract: With the increasing development of communication technology, information security technology was also being put on the agenda. Meteorological data security has received extensive attention, on the foundation of the network to realize data encryption transmission is a pressing matter of the moment, below on how to use IPSec technology to achieve VPN meteorological data encryption transmission put forward relevant solutions.
Key words: meteorological data; information security; IPSec; VPN
中图分类号:P42 文献标识码:A 文章编号:
引言
目前我县气象数据报送网分两部分组成,一路为主通道,另一路3G备份线路,主要利用主通道向省局报送数据,当主通道中断后,切换到3G备份线路,切换模式基于BFD协议技术实现。尽管该网在线路上实现了备份,但是在数据的私密性,完整性和源认证方面有些欠缺。一旦数据在传输过程中被截获篡改或者被不法分子利用后果不堪设想。从信息安全角度考虑,对现有网络进行改造,利用IPSec VPN技术实现数据的加密传输。
1.VPN(虚拟专用网)
VPN是虚拟私有网络的简称,是一种利用公网来构建私有专用网络的技术,它通过为接收方和发送方在公用网上建立一个虚拟的安全隧道来传输经过加密的数据,以保证数据通信的安全。VPN是企业内部网在Internet等公用网络上的延伸,它从根本上满足了企业用户的低通信费和高灵活性的双重要求。并且它具有与专用线路同样的安全保障。通过网络技术、访问控制技术和加密技术,和用户管理机制,使用户可以利用现有公共网,保密、安全、不受干扰地远程访问内部网络资源。与传统的私有网络相比,VPN技术大大降低了成本,方便、安全、标准,成为实现企业网络跨地域安全互联的主要技术手段。
VPN实现的关键技术是隧道,而隧道又是靠隧道协议来实现数据封装的。在第二层实现数据封装的协议称为第二层隧道协议,同样在第三层实现数据封装的协议叫三层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在哪种数据包中在隧道中传输。VPN将企业网的数据封装在隧道中,通过公网Internet进行传输它采用复杂的算法来加密传输的信息,使敏感的数据不会被窃听。
2.基于IPSec协议的VPN技术
IPSecVPN是基于IPSec协议的VPN产品,由IPSec协议提供隧道安全保障。IPSec隧道只能支持IP数据流,工作在IP栈的底层。因此,应用程序和高层协议可以继承IPSec的行为,由一个安全策略( 一整套过滤机制) 进行控制。IPSec工作于网络层,是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可利用IPSec定义体系结构在网络数据传输过程中实施。IPSec几乎可以为所有的应用提供访问,包括客户端/服务器模式和某些传统的应用,但由于基于网络层,不能穿越通常的NAT、防火墙。它为Internet业务提供最强的安全功能,与其他隧道和安全技术相比,其优越性在于它的安全性和互操作性,但是管理相对复杂。
3.VPN技术在气象网络数据报送中的应用
为了实现数据的私密性,可以考虑在现有的网络设备上重新进行配置,实现VPN的功能,具体尚需确定目前的网络设备是否支持IPSec VPN的配置。另外考虑购置VPN设备,部署在网络合适的位置实现VPN的功能,具体IPSec VPN的原理参考相关书籍自行阅读。
下面主要是在现有设备上阐述VPN的配置实例,实现合理的现有网络的改造,实用于全省的气象专网。
下图1是目前全省气象专网的拓扑图,具体IP地址属于内部规划不易公开,图2会将该图分解为两个节点进行配置说明,实现利用VPN传输数据。
图1目前全省气象专网的拓扑图
图2分解图
典型配置(设备选用思科系列支持VPN设备)
县局配置,对应设备命名为XIANJU
激活ISAKMP
XIANJU(config)#crypto isakmp enable
配置IKE第一阶段策略
XIANJU(config)#crypto isakmp policy 10
XIANJU(config-isakmp)#encr 3des//加密算法使用3des//
XIANJU(config-isakmp)#hash md5//散列算法使用MD5//
XIANJU(config-isakmp)#authentication pre-share//预共享密钥//
XIANJU(config-isakmp)#group 2
XIANJU(config)#crypto isakmp key0 XXX address 192.168.1.2//密钥为XXX//
XIANJU(config)#ip access-list extended VPN
XIANJU(config-ext-nacl)#permit ip (需要被加密的IP段)
XIANJU(config)#crypto ipsec transform-set Trans esp-des esp-md5-hac
配置IKE第二階段策略
XIANJU(config)#crypto map cry-map 10 ipsec-isakmp
XIANJU(config-crypto-map)#match address VPN
XIANJU(config-crypto-map)#set transform-set Trans
XIANJU(config-crypto-map)#set peer 192.168.1.2//与省局建立VPN//
将策略应用到接口
XIANJU(config)#interface f0/0
XIANJU(config-if)#crypto map cry-map
市局配置参考县局配置。
4结束语
本文通过介绍一种VPN的配置技术,旨在阐述气象数据在现有的网络报送模式中存在的安全问题,建议从信息安全的角度考虑,保障网络安全,保障数据的准确可靠,实现数据的私密性。
参考文献:
[1] Vijav Bollapragada, Mohamed Khalid 著,袁国忠译.IPSec VPN设计[M]. 北京:人民邮电出版社,2006.
[2] 王占京. VPN网络技术与业务应用[M]. 北京:国防工业出版社, 2012.
[3] 王达. 虚拟专用网(VPN) 精解[M]. 北京: 清华大学出版社,2005.
[4] 杨艳,陈性元,杜学绘. 基于V P N 的安全审计系统的设计与实现[J]. 计算机工程,2007,33(09):177-179.
陈秉权(1980-10)男,河北省康保县人,助理工程师。主要在县局从事气象地面测报工作。
严万忠(1969-10) 男,河北省康保县人,康保县防雷中心主任,主要从事气象服务、防雷等工作。
注:文章内所有公式及图表请以PDF形式查看。