煤礦企業(yè)遠(yuǎn)程數(shù)據(jù)安全傳輸?shù)膶嵺`

姚鋒剛，鄭陽平

（1.西安飛豹科技發(fā)展公司自動化控制部，陜西西安710089；2.承德石油高等專科學(xué)校計算機(jī)與信息工程系，河北承德067000）

?

煤礦企業(yè)遠(yuǎn)程數(shù)據(jù)安全傳輸?shù)膶嵺`

姚鋒剛1，鄭陽平2

（1.西安飛豹科技發(fā)展公司自動化控制部，陜西西安710089；2.承德石油高等專科學(xué)校計算機(jī)與信息工程系，河北承德067000）

摘要：針對煤礦企業(yè)聯(lián)合重組后網(wǎng)絡(luò)互聯(lián)及數(shù)據(jù)安全傳輸?shù)葐栴}，通過調(diào)研分析和實驗，利用IPSec VPN和SSL VPN技術(shù)設(shè)計出安全可靠、運行穩(wěn)定及維護(hù)簡單的煤礦企業(yè)VPN網(wǎng)絡(luò)，確保煤礦企業(yè)數(shù)據(jù)信息遠(yuǎn)程傳輸?shù)陌踩煽俊Ｔ摲桨柑岣呙旱V企業(yè)聯(lián)合重組后的網(wǎng)絡(luò)信息化建設(shè)，促進(jìn)企業(yè)的信息化的快速發(fā)展。

關(guān)鍵詞：煤礦企業(yè)；聯(lián)合重組；虛擬專用網(wǎng)；數(shù)據(jù)安全傳輸；遠(yuǎn)程訪問

我國煤炭資源豐富，分布廣泛，由數(shù)量較多的地方礦區(qū)礦井組成，根據(jù)國家發(fā)改委的《煤炭產(chǎn)業(yè)政策》中提出中小型煤礦整合改造及聯(lián)合重組。通過聯(lián)合重組，使得規(guī)模較小的，數(shù)量較多的，產(chǎn)能不足、煤炭資源開采利用率低、技術(shù)落后及安全狀況不好的中小型煤礦與大型國有煤礦企業(yè)（集團(tuán)）進(jìn)行聯(lián)合，解決中小型煤礦原有的各種問題。重組后煤礦企業(yè)正在向規(guī)模化，網(wǎng)絡(luò)信息化發(fā)展，但是，由于地域分散，煤炭礦區(qū)如何與煤礦企業(yè)總部網(wǎng)絡(luò)進(jìn)行互聯(lián)及遠(yuǎn)程數(shù)據(jù)的安全傳輸成為必須解決的問題。文中主要介紹煤礦企業(yè)總部與各個分礦區(qū)網(wǎng)絡(luò)如何連接，如何實現(xiàn)數(shù)據(jù)信息的遠(yuǎn)程安全訪問及安全數(shù)據(jù)信息傳輸，加快了煤礦企業(yè)數(shù)字化、網(wǎng)絡(luò)化和信息化建設(shè)步伐，提高了煤礦企業(yè)的工作效率和管理效益，加快煤礦企業(yè)聯(lián)合重組步伐。

通過煤炭產(chǎn)業(yè)的聯(lián)合重組，必須盡快實現(xiàn)分礦區(qū)網(wǎng)絡(luò)及遠(yuǎn)程用戶（如出差用戶）與煤礦企業(yè)總部的網(wǎng)絡(luò)互聯(lián)，實現(xiàn)遠(yuǎn)程數(shù)據(jù)信息傳輸，因為傳輸?shù)臄?shù)據(jù)可能是煤礦企業(yè)的重要數(shù)據(jù)，如財務(wù)報表、企業(yè)發(fā)展規(guī)劃等，必須保證數(shù)據(jù)傳輸?shù)陌踩浴⒈Ｃ苄浴⑼暾院涂捎眯浴１ＷC網(wǎng)絡(luò)互聯(lián)及安全數(shù)據(jù)傳輸，就可以實現(xiàn)煤礦企業(yè)總部快速方便與分礦區(qū)實現(xiàn)數(shù)據(jù)信息交流，監(jiān)控分礦區(qū)的實際運行情況，如人員定位系統(tǒng)、安全監(jiān)控系統(tǒng)等［1］，也可以及時的接受分礦區(qū)上報的各種數(shù)據(jù)信息。通過技術(shù)分析，采用VPN（Vjrtua1 Prjvate Network）技術(shù)，既安全可靠，又節(jié)省成本，管理和維護(hù)也比較容易［2］。不需要在煤礦企業(yè)之間專門鋪設(shè)線纜，充分利用公共網(wǎng)絡(luò)Internet的資源，在Internet上為煤礦企業(yè)總部與分礦區(qū)之間建立一個隱蔽的安全“虛擬通道”，通過“虛擬通道”實現(xiàn)煤礦企業(yè)總部與礦區(qū)之間的遠(yuǎn)程數(shù)據(jù)信息安全傳輸。利用Internet公共資源為其“私”用，形成地域分散的龐大煤礦企業(yè)網(wǎng)絡(luò)，促進(jìn)企業(yè)信息一體化和管理現(xiàn)代化。

1　煤礦企業(yè)遠(yuǎn)程數(shù)據(jù)訪問技術(shù)

虛擬專用網(wǎng)，簡稱VPN，是在Internet上建立一個“虛擬通道”，通過“虛擬通道”實現(xiàn)煤礦企業(yè)內(nèi)部重要數(shù)據(jù)的安全交流［2］。整個VPN網(wǎng)絡(luò)的任意兩個礦區(qū)網(wǎng)絡(luò)節(jié)點之間并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)Internet所提供的網(wǎng)絡(luò)平臺之上的邏輯鏈路，煤礦企業(yè)數(shù)據(jù)信息在總部和分礦區(qū)之間的邏輯鏈路中安全傳輸及共享。好像在公共網(wǎng)絡(luò)Internet上鋪設(shè)一條虛擬的“網(wǎng)絡(luò)專線”，為煤礦企業(yè)網(wǎng)絡(luò)互聯(lián)及數(shù)據(jù)信息安全遠(yuǎn)程訪問提供便利，既安全實用，又有節(jié)省成本。

該技術(shù)包括數(shù)據(jù)信息在公共網(wǎng)絡(luò)Internet上的數(shù)據(jù)封裝、數(shù)據(jù)加密及解密、身份認(rèn)證和密鑰交換等，實現(xiàn)遠(yuǎn)程用戶、分礦區(qū)與煤礦企業(yè)總部數(shù)據(jù)傳輸?shù)陌踩浴C(jī)密性、完整性和可用性［1］。經(jīng)過技術(shù)及實踐實驗，建議采用SSL VPN實現(xiàn)煤礦企業(yè)總部與移動用戶之間的互聯(lián)，它無需額外的增加硬件設(shè)備，維護(hù)配置簡單容易，客戶端只需利用瀏覽器登錄即可；建議采用IPSec VPN實現(xiàn)煤礦企業(yè)總部與分礦區(qū)之間的網(wǎng)絡(luò)互聯(lián)，雖需要增加硬件設(shè)備或升級擴(kuò)展硬件設(shè)備，使之具備IPSec VPN功能，但安全性高，實現(xiàn)容易，節(jié)省成本。基于SSL的VPN是一套Internet數(shù)據(jù)信息安全協(xié)議，位于TCP/IP協(xié)議與應(yīng)用層協(xié)議之間，為遠(yuǎn)程移動用戶數(shù)據(jù)通訊提供安全支持。由SSL記錄協(xié)議和SSL握手協(xié)議，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持，同時為通訊雙方進(jìn)行身份認(rèn)證、加密算法協(xié)商、密鑰交換等提供支持，被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸［2］。基于IPSec的VPN具有高效，安全，節(jié)省成本等優(yōu)勢［3］，為網(wǎng)絡(luò)層IP協(xié)議提供安全保證，解決了在公共網(wǎng)絡(luò)Internet復(fù)雜環(huán)境上實現(xiàn)煤礦企業(yè)與分礦區(qū)之間進(jìn)行數(shù)據(jù)信息安全可靠的傳輸。

2　安全解決方案設(shè)計與實踐

煤礦企業(yè)通過聯(lián)合重組，將地域分散的礦區(qū)網(wǎng)絡(luò)、遠(yuǎn)程移動用戶，通過SSL VPN和IPSec VPN技術(shù)，利用公共網(wǎng)絡(luò)Internet的資源，在Internet上建立安全虛擬加密通道，實現(xiàn)與煤礦企業(yè)總部與的網(wǎng)絡(luò)互聯(lián)及數(shù)據(jù)信息的安全傳輸，使得聯(lián)合重組后的煤礦企業(yè)，突破距離和時間的限制，更加靈活方便。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1　煤礦企業(yè)VPN網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2.1IP地址規(guī)劃和網(wǎng)絡(luò)互連設(shè)備基本配置

1）IP地址規(guī)劃

煤礦企業(yè)總部網(wǎng)絡(luò)IP地址網(wǎng)絡(luò)為192.168.100.0/24，對外出口公網(wǎng)IP地址為200.28.106.9/24；分礦區(qū)網(wǎng)絡(luò)IP地址網(wǎng)絡(luò)為192.168.200.0/24，對外出口公網(wǎng)IP地址為215.33.20.9/ 24。具體規(guī)劃如表1所示。

表1　煤炭企業(yè)VPN網(wǎng)絡(luò)IP地址規(guī)劃

2）網(wǎng)絡(luò)基本設(shè)置

根據(jù)IP地址規(guī)劃，在煤礦企業(yè)總部網(wǎng)絡(luò)路由器R1上，分別配置對內(nèi)和對外接口IP地址。在R2上分別配置對內(nèi)和對外接口IP地址。然后再路由器R1和路由器R2上配置路由器的基本配置、默認(rèn)路由等網(wǎng)絡(luò)配置，由于比較簡單，這里不再敘述。

2.2基于IPSec的VPN實現(xiàn)遠(yuǎn)程數(shù)據(jù)的安全傳輸

基于IPSec的VPN配置包括煤炭企業(yè)總部路由器R1的配置和分礦區(qū)路由器R2的配置。兩個路由器R1和R2的配置基本相似，必須采用具有IPSec VPN功能的路由器R1 與R2，進(jìn)行VPN配置及互聯(lián)，實現(xiàn)數(shù)據(jù)信息的安全傳輸。在R1和R2進(jìn)行IPSec VPN配置，主要分為3步：

第一步：確定ISAKMP策略，選擇加密和秘鑰方法（這里選擇的是DES和MD5），設(shè)置預(yù)共享秘鑰為mtjpsec。

第二步：配置IPSec策略，配置加密轉(zhuǎn)換規(guī)則及傳輸模式名稱。設(shè)置傳輸模式名稱為mtvpn，配置名稱為mtvpnmap的加密映射。

第三步：查看的路由器R1和R2上VPN配置，并調(diào)試，保證基于IPSec的VPN連通，保證遠(yuǎn)程數(shù)據(jù)安全傳輸［4］。

1）煤炭企業(yè)總部路由器R1的配置

根據(jù)IP地址規(guī)劃和以上步驟，對煤礦企業(yè)總部R1的IPSec VPN的主要配置如下：

R1（confjg）#crypto jsakmp po1jcy 1

R1（confjg-jsakmp）#encryptjon des

R1（confjg-jsakmp）#hash md5

R1（confjg-jsakmp）#authentjcatjon pre-share

R1（confjg-jsakmp）#group 2

R1（confjg）#crypto jsakmp key mtjpsec address 215.33.20.9

R1（confjg）#crypto jpsec transform-set mtvpn esp-3des espmd5

R1（confjg）#jp access-1jset 111 permjt jp 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255

R1（confjg）#crypto map mtvpnmap 1 jpsec-jsakmp

R1（confjg-crypto-map）#set peer 215.33.20.9

R1（confjg-crypto-map）#set transform mtvpn

R1（confjg-crypto-map）#match address 111

R1（confjg-jf）#crypto map mtvpnmap

2）分礦區(qū)路由器R2的配置

分礦區(qū)路由器R2配置與煤炭企業(yè)總部路由器R1配置類似。

特別需要注意是必須與R1的IP地址相互對應(yīng)，必須保證加密方式及轉(zhuǎn)換規(guī)則、共享密鑰和加密策略等方面的一致性，否則無法建立VPN連接。

3）查看的路由器R1和R2上VPN配置，并調(diào)試連通。

通過pjng、show等命令檢查調(diào)試，使煤礦企業(yè)與礦區(qū)網(wǎng)絡(luò)之間的實現(xiàn)網(wǎng)絡(luò)互聯(lián)及數(shù)據(jù)的安全傳輸。

2.3基于SSL的VPN實現(xiàn)遠(yuǎn)程數(shù)據(jù)安全傳輸

基于SSL的VPN配置分為服務(wù)端配置和客戶端配置，其中客戶端配置比較簡單，對用戶是透明的。

1）基于SSL的VPN配置服務(wù)端配置

在煤礦企業(yè)總部的R1上進(jìn)行SSL VPN配置，前提條件是R1必須具備SSL VPN的功能。配置主要包括一下兩步：

第一步：開啟AAA，設(shè)置基于SSL VPN客戶端撥號的用戶名和密碼、認(rèn)證方式和撥號所需的IP地址池范圍。

第二步：定義Webvpn的策略集，配置SSL VPN客戶端通過認(rèn)證軟件訪問IP地址和端口號為https：//200.28.106.9：443，關(guān)聯(lián)撥號所需的IP地址池和AAA認(rèn)證策略，配置webvpn名稱是vpnss1gateway，配置客戶端撥號的策略及DNS［4］。

根據(jù)IP地址規(guī)劃和以上步驟，其主要配置過程如下：

R1（confjg）#aaa new-mode1

R1（confjg）# aaa authentjcatjon 1ogjn webvpn 1oca1

R1（confjg）#jp 1oca1 poo1 ss1vpn-addpoo1 192.168.100.150 192.168.100.254

R1（confjg）#username mtss1vpn password mt123456

R1（confjg）#webvpn gateway vpnss1gateway

R1（confjg-webvpn-gateway）#jp address 200.28.106.9 port 443

R1（confjg-webvpn-gateway）#jnservjce

R1（confjg）#webvpn context webcontext

R1（confjg-webvpn-context）#gateway vpnss1gateway

R1（confjg-webvpn-context）#aaa authentjcatjon 1jst webvpn

R1（confjg-webvpn-context）#jnservjce

R1（confjg-webvpn-context）#po1jcy group mtss1vpnp

R1（confjg-webvpn-group）#functjons svc-enab1ed

R1（confjg -webvpn -group）#svc address -poo1 ss1vpn -addpoo1

R1（confjg-webvpn-group）#svc sp1jt jnc1ude 192.168.100.0 255.255.255.0

R1（confjg -webvpn -group）#svc dns -server prjmary 202.106.196.114

R1（confjg -webvpn -context）#defau1t -group -po1jcy mtss1vpnp

2）基于SSL的VPN配置客戶端配置

以Wjn 7為例介紹客戶端的配置，打開IE瀏覽器，使用https方式登錄到SSL VPN Server，進(jìn)入WebVPN Servjce登錄頁面，即https：//200.28.106.9：443，輸入SSL VPN Server上定義的帳號名及口令，進(jìn)入會話初始化階段，初次使用需要從路由器上下載SSL VPN C1jent，并安裝到操作系統(tǒng)上，下載證書安裝到系統(tǒng)中［5］。當(dāng)證書安裝完畢，再次發(fā)起連接，進(jìn)入SSL VPN C1jent建立連接階段，直到SSL VPN C1jent會話建立，VPN連接就建立成功，就可以實現(xiàn)遠(yuǎn)程用戶與煤礦企業(yè)總部之間的數(shù)據(jù)傳輸，為出差用戶及在家辦公的人員提供網(wǎng)絡(luò)接入便利。

3　系統(tǒng)應(yīng)用分析

LoadRunner是HP公司出品的一種預(yù)測系統(tǒng)行為和性能的負(fù)載測試工具。通過以模擬上千萬用戶實施并發(fā)負(fù)載及實時性能監(jiān)測的方式來確認(rèn)和查找問題，LoadRunner能夠?qū)φ麄€企業(yè)架構(gòu)進(jìn)行測試［6］。

通過HP LoadRunner 11.50版本測試工具，對VPN服務(wù)器的測試，SSL VPN模式下平均速率是473.35KBps，在IPSec VPN模式下平均速率是741.03KBps，最大連接數(shù)平均可達(dá)800個用戶，可以滿足遠(yuǎn)程用戶和分礦區(qū)訪問煤礦企業(yè)網(wǎng)絡(luò)對網(wǎng)絡(luò)帶寬和用戶數(shù)量的要求。

該方案經(jīng)濟(jì)實用、配置簡單、安全穩(wěn)定，為聯(lián)合重組煤礦企業(yè)提供遠(yuǎn)程數(shù)據(jù)安全傳輸。該設(shè)計方案充分利用VPN的專用與公用的特點，通過基于IPSec的VPN技術(shù)實現(xiàn)煤礦企業(yè)總部與分礦區(qū)網(wǎng)絡(luò)之間安全數(shù)據(jù)傳輸，通過基于SSL的VPN技術(shù)實現(xiàn)煤礦企業(yè)遠(yuǎn)程移動用戶的安全訪問。

4　結(jié)束語

煤礦企業(yè)總部與分礦區(qū)、遠(yuǎn)程用戶之間利用VPN技術(shù)，

將地域分散的礦區(qū)，通過使用Internet的公共資源，建立一個安全可靠的煤礦企業(yè)VPN網(wǎng)絡(luò)，不但可以實現(xiàn)國內(nèi)煤礦企業(yè)與分礦區(qū)及遠(yuǎn)程用戶的數(shù)據(jù)安全傳輸，而且還可以建立世界范圍內(nèi)的煤礦企業(yè)VPN網(wǎng)絡(luò)，大大的提高我國煤礦企業(yè)在國際社會的競爭能力，加快煤礦企業(yè)的聯(lián)合重組的步伐，促進(jìn)煤礦企業(yè)信息化建設(shè)和經(jīng)濟(jì)再次騰飛。

參考文獻(xiàn)：

［1］鄭陽平.煤礦企業(yè)利用VPN實現(xiàn)遠(yuǎn)程數(shù)據(jù)安全傳輸?shù)难芯浚跩］.煤礦機(jī)械，2014（4）：234-237.

［2］鄭陽平，郝春雷.SSL VPN技術(shù)研究［J］.電腦知識與技術(shù)：學(xué)術(shù)交流），2007（23）：1270-1272.

［3］陳紅軍，周青云，張有順.基于IPSec的虛擬專用網(wǎng)實現(xiàn)研究［J］.制造業(yè)自動化，2011（2）：70-72.

［4］Antoon W Rufj著.北京郵電大學(xué)Cjsco網(wǎng)絡(luò)技術(shù)學(xué)院譯.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程［M］.北京：人民郵電出版社，2009.

［5］鄭陽平，牟學(xué)鵬.VPN技術(shù)在高速公路建設(shè)中的應(yīng)用研究［J］.互聯(lián)網(wǎng)天地，2014（5）：73-77.

［6］羅智勇，尤波，蘇潔.基于VPN網(wǎng)絡(luò)的高校數(shù)字化圖書館組建模型研究［J］.圖書館學(xué)研究，2013（1）：35，52-59.

Practlce of remote data transmlsslon of coal mlne enterPrlses

YAO Feng-gang1，ZHENG Yang-pjng2
（1.Department of Automation Control，Xi'an Feibao Development Company，Xi'an 710089，China；2.Department of Computer and Information Engineering，Chengde Petroleum College，Chengde 067000，China）

Abstract:The thesjs focuses on the jssues of reorganjzatjon coa1 mjnjng enterprjses such as network connectjon and secure data transmjssjon. Through research，ana1ysjs and experjments，we uses IPSec VPN and SSL VPN techno1ogjes to desjgn a re1jab1e，stab1e and sjmp1e VPN network for the coa1 mjnjng enterprjse，to ensure an secure and re1jab1e remote data transmjssjon for coa1 mjnjng enterprjse. Thjs scheme can jmprove the network jnformatjon constructjon of coa1 enterprjse after the reorganjzatjon，promote the rapjd deve1opment of enterprjse jnformatjzatjon.

Key words:coa1 mjnjng enterprjses；jojnt reorganjzatjon；VPN；secure data transmjssjon；remote access

中圖分類號：TP391

文獻(xiàn)標(biāo)識碼：A

文章編號：1674-6236（2016）07-0087-03

收稿日期：2015-04-29稿件編號：201504304

作者簡介：姚鋒剛（1980—），男，陜西扶風(fēng)人，助理工程師。研究方向：軟件設(shè)計、自動化測控。