一種新型的應急衛星通信VPN技術研究

周 前

(南京郵電大學 通信與信息工程學院，江蘇 南京 210000)

0 引 言

衛星通信廣泛應用于應急救災工作[1]，但是目前每個應急救援衛星通信系統相對獨立運行，雖然在緊急事件發生后，可以相互支援[2]，但由于沒有應急衛星通信聯動指揮調度系統的支持，同時也沒有完善的聯動機制，使得統一的指揮協調和資源整合成為空談[3]。

VPN指在公有網絡中通過一個私有通道來創建一個安全的私有連接，將遠程用戶、分支機構、職能部門等核心網絡連接起來，形成一個擴展的核心私有網絡[4]。然而，該VPN系統方案都是基于TCP/IP協議進行數據傳輸，在衛星通信網絡高延時、高誤碼率的環境下，此VPN系統基本無法使用。基于傳統VPN的VOIP業務，在衛星通信網絡環境下的使用效果也非常差[5]。

為了解決上述問題，需開發出一款在S衛星通信環境下，可以正常提供數據傳輸，進行業務處理的VPN系統，將網絡中的TCP協議數據轉為UDP協議數據，在衛星通信網絡中傳輸，提高傳輸效率，并在VPN接入網關系統中進行數據加密、封裝處理。該系統的特點是安全、保密、經濟和自主管理。

1 VPN技術

虛擬專用網絡(VPN)屬于遠程訪問技術，利用公用網絡架設專用網絡，進行加密通訊，VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問[6]。

VPN被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道[7]。

針對不同的用戶，VPN有三種解決方案：遠程訪問虛擬網應用于客戶端到網關，企業內部虛擬網應用于網關到網關，企業擴展虛擬網應用于企業與合作伙伴企業網構成Extranet[8]。

SSL VPN是以HTTPS為基礎的VPN技術，工作在傳輸層和應用層之間，充分利用SSL協議提供的基于證書的身份認證、數據加密和消息完整性驗證機制，可以為應用層之間的通信建立安全連接。SSL VPN廣泛應用于基于Web的遠程安全接入，為用戶遠程訪問公司內部網絡提供安全保障[9]。

IPSec VPN是基于IPSec協議的VPN技術，由IPSec協議提供隧道安全保障。IPSec是一種端到端的確保基于IP通訊的數據安全性機制。

隧道技術是VPN的基本技術，類似于點到點連接技術。它的基本過程就是在數據進入源VPN網關后，將數據“封裝”后通過公網傳輸到目的VPN網關后再對數據“解封裝”。“封裝/解封裝”過程本身就可以為原始報文提供安全防護功能，所以被封裝的數據在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”[10]。VPN的隧道協議主要有三種：PPTP、L2TP和IPSec[11]。

身份認證技術主要用于移動辦公的用戶遠程接入的情況，通過對用戶的身份進行認證，確保接入內部網絡的用戶是合法用戶，不同的VPN技術能提供的用戶身份認證方法不同，L2TP依賴PPP提供的認證。認證通過以后再給用戶分配內部的IP地址，通過此IP地址對用戶進行授權和管理[12]。

加密技術就是把能讀懂的報文變成無法讀懂的報文。加密對象有數據報文和協議報文之分，能夠實現協議報文和數據報文都加密的協議安全系數更高。SSL VPN支持數據報文和協議報文加密。SSL VPN采用公鑰體制進行加密。公鑰體制加密跟對稱密鑰加密的差別在于加密和解密所用的密鑰是不同的[13]。

數據驗證技術就是對收到的報文進行驗貨。采用一種稱為“摘要”的技術。“摘要”技術主要采用HASH函數將一段長的報文通過函數變換，映射為一段短的報文。在收發兩端都對報文進行驗證，只有摘要一致的報文才被認可[14]。L2TP本身不提供數據驗證技術，但可結合IPSec協議一起使用，使用IPSec的數據驗證技術。在IPSec中驗證和加密通常一起使用，對加密后的報文HMAC生成摘要，提供數據的安全性。HMAC利用Hash函數，以一個對稱密鑰和一個數據包作為輸入，生成一個固定長度的輸出，這個輸出被稱為完整性校驗值ICV(integrity check value)。由于在Hash運算時包含了密鑰，即使用戶同時修改了數據和摘要也可以被識別出來[15]。表1為常用安全技術和使用場景。

表1 常用安全技術和使用場景

2 星通信VPN系統

該VPN系統首先向中國電信衛星通信公司租用一條數據專線，系統通過這條數據專線接入Internet網，集團內部的大S衛星通信終端用戶首先通過衛星通信網聯入Internet，然后通過安裝在衛星通信終端的撥號軟件與該系統VPN網關進行L2TP+IPSec VPN連接，接入VPN服務器后的集團用戶之間通過軟交換技術實現語音通信，同時實現包括短信、Email、文字聊天、圖片及視頻收發等綜合業務。

如圖1所示，各種衛星通信終端，如衛星手持終端，便攜式衛星地球站以及車載、船載等終端，通過大S衛星通信網聯入互聯網，大S衛星通過主站與VPN網關與各個應急平臺以及應急指揮中心進行通信。該系統利用衛星VPN技術，完全滿足各級聯動單位平時的集群調度需求和普通語音需求，并且具有極高的可靠性。

圖1 衛星通信VPN網絡鏈路拓撲圖

2.1 大S衛星通信網簡介

大S通信衛星有3個關口站分別設在北京、廣州和成都，關口站與地面交換網絡相連接，使用C頻段衛星通信鏈路與衛星通信，同時，該衛星也使用S頻段衛星通信鏈路，109個波束覆蓋全國，可與衛星手持終端，便攜式衛星地球站以及車載、船載、機載衛星地球站進行通信。

2.2 系統組成

系統由終端APP子系統、VPN接入安全網關子系統、認證管理子系統、VPN管理子系統四個部分組成。

終端APP子系統負責終端VPN撥入功能，在客戶端上安裝APP客戶端軟件。圖2為衛星通信客戶端子系統。用戶通過衛星通信網接入到Internet，就可以通過APP撥號與VPN網關之間建立IPSec隧道。

圖2 衛星通信客戶端子系統

APP撥號的安全策略包括IPSec、IKE和NAT等，強化VPN系統的安全性。IPSec使特定的通信方之間在IP層通過加密與數據源驗證等方式，來保證數據包在網絡上傳輸時的私有性、完整性、真實性。

APP撥號軟件可以通過PPP協商向VPN申請IP地址。由于此IP地址的分配是由VPN隧道對端分配的，其保密性更高，被攻擊的可能性也更小。同時APP支持IPSec/IKE加密。IPSec為IP協議棧提供在IP層實施的一系列安全服務,為IP及其上層提供保護。撥號軟件通過支持IPSec提供數據加密，數據完整性驗證，數據身份驗證，以及防重發功能。APP支持IPSec隧道模式和傳輸模式。撥號連接過程中可以選擇“靜態密碼”、“RSA動態口令卡”、“SecKey USB Token”等方式,可以更安全地驗證用戶的身份。

VPN接入安全網關子系統是系統的核心部件，可采用HA雙機熱備份方案或采用兩臺安全網關產品運行VRRP協議方式實現主從熱備份。安全網關作為局端核心設備提供安全VPN接入功能，通過防火墻對原地址區分用戶進行ACL訪問權限控制。

認證管理子系統通過RADIUS Proxy功能與RSA ACE Server配合實現一次性密碼認證功能，或采用Quidway SecKey USB卡方式進行身份認證。

SecKey可以減少撥號用戶身份信息被盜用的風險，為撥號用戶提供身份認證信息的安全存儲、基于硬件的雙因素用戶認證、客戶端配置“即插即用”以及license管理等功能。

使用雙因素方式提供用戶身份驗證安全性，同時通過減少撥號的配置管理工作來提高用戶的工作效率，優化遠程訪問VPN用戶的部署工作，經濟有效地管理用戶，減少維護成本。

VPN管理子系統提供業務信道的分配與交換和對VPN進行監控管理。該子系統以用戶實際配置任務為驅動、提供IPSec VPN業務配置向導，指導用戶進行IPSec VPN設備配置，構建VPN網絡。

3 結束語

應急聯動中的各個部門，在VPN系統提供多層次、立體化的指揮系統下，不僅可以不受干擾地工作在各部門的專網中，還可以在級別更高、權利更大的部門的統一管理和指揮調度下，實現跨部門聯動。衛星通信的獨特優勢使這樣的通信專網具有前所未有的應急通信魯棒性，利用衛星通信VPN技術，建立聯動系統涵蓋集群調度及普通語音功能，完全滿足合計聯動單位平時的集群調度需求和普通語音需求。

[1] 王海濤.應急通信發展現狀和技術手段分析[J].電力系統通信,2011,32(2):1-6.

[2] 李文峰.現代應急通信技術[M].西安:西安電子科技大學出版社,2007.

[3] SIERGIEJCZYK M.Availability of the motorway emergency communications[J].Journal of Konbin,2008,5(2):291-306.

[4] 胡 鼎.SSL VPN身份認證的研究[D].合肥:安徽大學,2013.

[5] 邢玉領,謝 鷹,張 濤.應急通信發展策略研究[J].郵電設計技術,2009(9):33-36.

[6] 楊 鐸.基于MPLS VPN技術的組網的設計與實現[D].長春:吉林大學,2014.

[7] 劉洪強.基于SSL協議的VPN技術研究與實現[D].濟南:山東大學,2008.

[8] 程 思,程家興.VPN中的隧道技術研究[J].計算機技術與發展,2010,20(2):156-159.

[9] 蔣東毅,呂述望,羅曉廣.VPN的關鍵技術分析[J].計算機工程與應用,2003,39(15):173-177.

[10] 孫培松.VPN發展趨勢及競爭策略研究[D].北京:北京郵電大學,2008.

[11] 王 柱.基于IP城域網的MPLS VPN規劃與性能分析[D].天津:天津大學,2006.

[12] 倪劍虹,呂光宏.基于VPN的不同實現方式的技術研究[J].計算機應用研究,2005,22(7):257-260.

[13] PERTA V C,BARBERA M V,TYSON G,et al.A glance through the VPN looking glass: IPv6 leakage and DNS hijacking in commercial VPN clients[C]//15th privacy enhancing symposium.[s.l.]:[s.n.],2015.

[14] FAN Yaqin,LI Chi,SUN Chao.Based on combination of L2TP and IPSec VPN security technology research[J].Journal of Networks,2012,7(1)：141-148.

[15] GAURAVARAM P,HIROSE S,ANNADURAI S.An update on the analysis and design of NMAC and HMAC functions[J].International Journal of Network Security,2008,7(1):49-60.