VPN技術及其在鐵路視訊系統的應用

胡蓓蓓

（上海通信段合肥通信車間，安徽 合肥 230000）

1 VPN的基本概念

在VPN(Virtual Private Network)即虛擬專用網中，任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的。 虛擬專用網對用戶端透明，用戶好像使用一條專用線路進行通信。

虛擬專用網(VPN)是一個綜合了保密性、安全性及可管理性于一身的解決方案。VPN就是在公共網絡架構上(通常是Internet)利用安全、認證、加密等技術建立企業的專用線路，在降低聯網費用的同時確保信息的安全性、完整性和真實性。VPN可以提供與昂貴的專線(DDN)類似的安全性、可靠性、可管理性和優先級別，可構筑于IP網絡、幀中繼網絡和ATM網絡上。

2 VPN 的關鍵技術

目前VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。

2.1 隧道技術

VPN是在公網中形成企業專用的鏈路，為了形成這樣的鏈路，采用了所謂的“隧道”技術。隧道技術是VPN的基本技術，它是分組封裝(Capsule)的技術，可以模仿點對點連接技術，依靠Internet服務提供商(ISP)和其他的網絡服務提供商 (NSP)在公用網中建立自己專用的“隧道”，讓數據包通過這條隧道傳輸。隧道是一種利用公網設施，在一個網絡之上的“網絡”傳輸數據的方法，被傳輸的數據可以是另一協議的幀。隧道協議用附加的報頭封裝幀，附加的報頭提供了路由信息，因此封裝后的包能夠通過中間的公網。封裝后的包所途經的公網的邏輯路徑稱為隧道。一旦封裝的幀到達了公網上的目的地,幀就會被解除封裝并被繼續送到最終目的地。

2.2 加解密技術

加解密技術是數據通信中一項較成熟的技術，VPN可直接利用現有技術。用于VPN上的加密技術由IPSec的ESP (Encapsulationg Security Payload)實現。主要是發送者在發送數據之前對數據加密，當數據到達接收者時由接收者對數據進行解密的處理過程，算法主要種類包括：對稱加密(單鑰加密)算法、不對稱加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發明者 Rivest、Shamir和 Adleman名字的首字符)。對于對稱加密算法，通信雙方共享一個密鑰，發送方使用該密鑰將明文加密成密文，接收方使用相同的密鑰將密文還原成明文。對稱加密算法運算速度快。

不對稱加密算法是通信雙方各使用兩個不同的密鑰，一個是只有發送方知道的密鑰，另一個則是與之對應的公開密鑰，公開密鑰不需保密。在通信過程中，發送方用接收方的公開密鑰加密消息，并且可以用發送方的秘密密鑰對消息的某一部分或全部加密，進行數字簽名。接收方收到消息后，用自己的秘密密鑰解密消息，并使用發送方的公開密鑰解密數字簽名，驗證發送方身份。

2.3 密鑰管理技術

密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。

SKIP主要是利用Diffie-Hellman的演算法則，在網絡上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

2.4 使用者與設備身份認證技術

使用者與設備身份認證技術最常用的是用戶名/口令或智能卡認證等方式。

3 VPN技術在上海鐵路局視訊系統的應用

3.1 組網需求

結合鐵路局目前的IP數據網網絡環境,利用 IP數據網組建VPN虛擬專用網線路,采用基于VPN網絡的點對點組網模式實現上海鐵路局視頻會議系統,用來滿足圖像、多媒體、數據、語音等信息的傳輸來實現實時、快捷的聯動指揮,可極大提高各點間協同工作能力。

3.2 設備部署

3.2.1 組網模式

針對上海鐵路局管內鐵路IP數據網VPN、組播、QoS等業務需求的特點，充分考慮了目前的業務需求和以后的發展方向，利用SDH做為傳輸平臺，利用大容量、高可靠性的路由器組網，完全滿足鐵路局基于MPLS的多VPN的要求，為各種不同的業務提供安全、可靠的保障。上海鐵路局作為視頻會議系統的主會場,是視頻業務的匯聚地，采用核心路由器二臺，GE口互聯，互為主備用，確保網絡的安全性；路局管轄范圍內各省會作為本省視頻業務匯聚地采用匯聚層路由器二臺，互為主備用，與路局核心路由器間采用兩條POS155M鏈路互聯；省內每個地市設立一臺路由器，與省會二臺匯聚路由器各用一條155M鏈路互聯，充分確保整個網絡的安全性。全局各站段（包括車間）作為視頻業務接入點，采用接入層路由器和交換機等方式互聯入IP數據網絡中。

3.2.2 VPN業務實現方式

在IP數據網內，組建多條VPN通道，以區分不同站段的電視電話會議需求。例如上海鐵路局某部門召開電視電話，在根據需求在以上網絡中創建一條VPN隧道。

當某工務段會議信息發送到ce路由器時，ce路由器就會對此用戶信息進行識別判斷，如果是此VPN的信息那么就對此報文進行再封裝。所謂的再封裝就是按照事先創建好的隧道所指定的對端用戶連接的IP數據網中的邊緣設備，通常就是封裝對端設備的IP地址。這樣用戶信息在數據網絡中傳遞時，網絡中設備只檢查其頂部封裝的公網信息進行轉發判斷，而不檢查用戶的私網信息。當對端邊緣設備收到此信息后，判斷出這是本地某VPN的報文，就去除公網信息的封裝，將還原后的用戶信息發送到本地VPN用戶。這樣，VPN就可以很安全的傳遞到對端用戶，保證了信息的安全性。

結語

VPN技術在鐵路數據網系統上已經廣泛應用，現已平穩承載了路局公務視頻業務及鐵路各各站段視頻業務應用。在已經建設運營的高速鐵路，VPN技術主要解決了龐大的沿線視頻監控系統，為高鐵的安全運營保駕護航。全路IP/MPLS通信平臺建設完成以后，整合全路網的VPN業務系統，最終實現整個鐵道部統一的大的IP/MPLS通信平臺，為鐵路業務的快速發展提供堅實的支撐。

[1]石水紅.基于MPLS的VPN技術原理及其實現，電子技術應用.

[2]戴宗坤，唐三平.VPN與網絡安全[M].金城出版社，2000.

[3]劉麗萍，張文華.VPN中的話音業務[J].中國數據通信，2003.