基于VPN和5G技術的誘導屏通信系統研究

潘艷祿

黑龍江工商學院，黑龍江 哈爾濱 150025

0 引言

交通對城市發展具有非常重要的影響，隨著人口日益集中于城市，城市交通問題成為人們面臨的難題之一。中國的經濟快速發展，人們的生活水平日益提高，私家車的數量也在急劇增加，城市交通基礎設施的建設速度已經不能滿足快速增長的交通需求，城市交通擁堵和出行困難成為普遍問題。道路使用者如果無法提前預測將要行駛路段的擁堵情況，強行進入擁堵路段，該路段的擁堵情況將會更加嚴重。根據研究，現有交通誘導系統的通信方式包括光纖通信、GPRS通信、3G通信和4G通信等形式[1]。光纖通信的使用或租用成本高、誤碼率高[2]，而GPRS、3G和4G通信限制了誘導系統的實時傳輸速度。為了解決上述問題，必須開發基于VPN和5G技術的誘導屏通信系統。

構建智能城市交通誘導系統有助于建設一個“傳輸效率高、數據安全、管理清晰、信息文明”的智能城市系統，從而為道路使用者提供所有的交通信息，為交通管理服務者提供用戶友好的界面和及時、準確、全面、充分的信息支持。誘導屏通信系統的研究需要解決系統服務器布局、系統應用端數據發布、基礎信息管理、系統數據備份、系統數據請求、5G通信網絡、數據加密等技術問題[3]。

1 核心技術

1.1 5G網絡通信技術

2019年10月31日，在2019中國國際信息通信展覽會上，國家工業和信息化部宣布正式啟動5G的商業化運行，中國移動、中國電信和中國聯通在同日宣布了商用5G的技術標準。5G通信技術采用數字IP技術，支持包耦合功能，提高了系統的時延和流量性能，這是5G控制通信系統的先決條件[4]。基于此，誘導屏通信系統采用低延遲、高帶寬的無線5G通信技術來解決3G和4G通信傳輸的中斷和擴展問題。

1.2 VPN網絡技術

VPN使用的是Internet上的公共鏈路，因此VPN被稱為虛擬專用網絡，其本質是使用加密技術在公共網絡上封裝一個數據通信隧道[5]。利用VPN網絡技術，可以在公共網絡上構建虛擬專用網絡進行加密通信，VPN網關通過加密和轉換數據包的目標地址來實現遠程訪問，遠程控制設備。VPN網絡可以是企業內部網的擴展，幫助遠程用戶、業務子公司、業務合作伙伴和供應商建立連接到企業內部網的安全可靠鏈接。由于VPN是臨時建立在互聯網上的安全私有虛擬網絡，用戶可以節省租用專線的費用。除了購買VPN設備，企業只需向相應的互聯網供應商支付一定的互聯網接入費，這是VPN網絡通信成本較低的重要原因[6]。

根據誘導屏終端與控制中心對交互數據的需求，專家組經討論后建議采用IPSec VPN通信技術。IPSec VPN是指使用IPSec協議實現遠程訪問的VPN技術，被稱為Internet安全協議。它是互聯網工程任務組（IETF）定義的標準框架，可以為公用網絡上的兩個專用網絡提供安全通信通道，并通過在兩個公用網關之間提供專用數據包服務的加密通道確保連接的安全。IPSec是一種相對完整和系統的VPN技術，它設定了許多協議標準[7]。

作為一項成熟的技術，VPN被廣泛應用于總部和分支機構之間的網絡連接。它可以利用現有的互聯網渠道創建一條虛擬專線，連接分支部門和總部，形成大型局域網。導入IPSec協議有兩個原因。（1）原始的TCP/IP系統不包括備份設計，只要能夠連接到線路，任何人都可以分析所有通信數據，而IPSec可以建立完整的安全機制，包括加密、認證和數據控制功能[8]。（2）隨著互聯網的迅速發展，接入網絡變得越來越方便，許多客戶希望利用互聯網帶寬實現遠程網絡的連接。IPSec協議采用包封裝技術，可以利用Internet將IP地址封裝在內部網絡上，實現遠程網絡的交互功能。

1.3 數據傳輸加密技術

最初設計Internet協議時，32位的IP地址就已經可以滿足日常通信需求，但目前互聯網技術的發展規模已經超出原有的范圍。32位的IP地址理論上最多可以包含4 000 000 000個IP地址，這些IP地址的使用非常緊張。此外，約70%的IP地址由美國分配，可分配給中國的IP地址資源非常有限。由于IP地址有限，對于與LAN的遠程通信采用打包的方式是最好的選擇。

系統傳輸的數據經過打包和加密算法加密后，通過5G無線網絡傳輸到誘導屏的接收端。控制系統可以解密和驗證數據的準確性，以評估所接收數據的準確性，有效避免有害信息的傳輸，確保顯示信息的安全性。此外，系統軟件和數據庫也需要加密。

2 誘導屏通信系統的結構

誘導屏通信系統采用B/S（Browser/Server）結構模式，用戶通過計算機和客戶端使用系統。系統包括發布信息組織模塊、信息通信模塊、發送管理模塊和數據備份查詢模塊等。過去，遠程訪問通常采取租用DDN（數字數據網絡）的傳統方法，借助專線或中繼框架來提供通信服務，這樣的通信系統會增加使用和維護成本。利用誘導屏通信系統，導航監視器可以通過VPN網絡模式下的移動終端訪問系統控制中心，并與中央內部網中的服務器進行交互，此訪問屬于遠程訪問。

3 誘導屏通信系統的實現

3.1 VPN通信解決方案

誘導屏終端一般通過互聯網進入企業局域網，這存在安全隱患。允許誘導屏終端訪問intranet資源、使用VPN的解決方案是在intranet中創建VPN服務器。當誘導屏通過5G設備連接到互聯網時，VPN服務器通過互聯網連接，然后可以通過VPN服務器進行數據交互。為了保證數據安全，VPN服務器和VDU終端之間的通信數據被加密，數據在專用數據鏈路及專用網絡上進行安全傳輸。基于VPN技術，只要誘導屏終端可以接入互聯網，就可以使用VPN訪問核心資源，這使得VPN在企業中得以普及。

3.2 封裝協議

控制終端與控制中心之間數據的交互通信可以通過IPSec協議實現。控制中心局域網中的計算機會準備數據并將數據發送到控制中心網絡上的路由器（互聯網上的IP地址）上，再發送到監視器的5G控制單元。接收到數據后，5G控制單元將其傳輸至誘導屏以分析數據。通信溝通效果取決于以下因素：

（1）誘導屏上的5G設備和控制中心的路由器具備用于通信的互聯網IP地址；

（2）控制中心局域網內的計算機可以正確處理數據并將數據準確發送給控制中心網絡上的路由器；

（3）中央網絡上的路由器能夠正確處理接收到的信息，重新打包的信息能夠正確傳輸；

（4）5G控制面板設備在接收到信息后，可以將其正確地發送至控制面板。

3.3 隧道通信

（1）VPN節點。VPN節點一般是VPN網關或客戶端軟件，在VPN網絡中，VPN節點是用于聯網的通信中心，它能夠直接連接到互聯網、ADSL和電話等，也可以通過NAT、本地寬帶、CDMA互聯網、鐵通接入線等進行支持，讓誘導屏通過5G連接。

（2）隧道路線。一個系統可以使用多種設備建立隧道，因此隧道選擇是關鍵。傳輸到哪個目的地或使用哪個隧道，需要根據之前的通信模型選擇。誘導屏設備和控制中心的路由器都是隧道節點，其通過網絡系統建立接入碼的通信條件是建立數據隧道。當控制系統和控制中心計算機將信息傳輸至控制面板的5G設備和控制器的路由器時，應根據實際情況選擇封裝信息及封裝后將信息發送給目標的方式。如果有許多節點，隧道路線將比較復雜；如果對方是動態IP地址，則需要及時有效地發現對方IP地址的變化。根據通信模型，如果節點上的IP地址頻繁變化，必須建立有效的機制及時發現節點上5G單元模塊的地址變化。如果兩個設備都有合法的公共IP，則更容易建立隧道；如果任何一方落后于NAT數據，建立隧道會比較困難。由于防火墻必須更改端口信息，以便將返回的包傳輸到正確的內部主機，在建立隧道路線時，可以通過內部VPN節點啟動UDP連接，然后封裝IPSec發送給另一方。UDP連接可以被防火墻記住，因此通過UDP封裝的IPSec包可以通過防火墻來回發送，一旦隧道建立，則確定隧道。配置多個VPN隧道時，需要定義保護網絡，再根據受保護的網絡關系確定隧道，但這會使隧道失去處理通信數據的靈活性。

3.4 節點查找

常見的IPSec VPN類型包括位置到位置（目標LAN）、easy VPN（遠程訪問VPN）、DMVPN（動態多點VPN）、少量VPN（組加密傳輸getVPN）等，文章設計的誘導屏通信系統采用局域網對局域網的多點、站的兩中心通信方式。如果設備處于動態撥號模式，應使用靜態第三方進行分析。靜態第三方對應于兩個經常移動的設備，為了搜索并接應到一方，兩個動態的設備之間必須有一個公共的節點，這樣就可以實現無差別通信。

3.5 域名管理

可以通過DDNS動態域名進行通信管理。在調用VPN設備后，動態域名技術會在主域名服務器上記錄其當前IP地址，并更新其輔助域名IP地址，其他互聯網用戶可以通過這個輔助域名找到它。動態設備可以發送其當前IP地址到服務器，其他設備可以通過網絡頁面進行查詢。通過這種方式，實體設備可以通過網頁找到彼此。這種方法可以有效地分散集中身份驗證的風險，并且易于備份，但是要注意通信安全。

在網頁上，每個VPN單元只能看到同一組中的其他單元，不能跨組訪問，這種方法適用于集中式VPN。公司總部通過使用服務器可以實現全球單位的統一認證和管理，但是因為存在信任問題，其不適合于分布式用戶的批準。DDNS動態域名管理還可以執行在線身份驗證等功能，如果管理中心有多個職能，也可以集中制訂溝通策略。

3.6 通信數據加密

3.6.1 安全協議和數據加密

控制中心的操作員會通過互聯網將數據從5G設備發送到導航屏幕，這期間會有多人查看通信數據或銷毀數據。為了解決這個問題，必須使用安全協議，安全協議可由控制中心計算機和控制面板控制系統完成，文本以代碼的形式顯示。安全協議允許控制中心控制誘導屏的5G設備執行工作，在發送數據時，需要在鍵入數據后利用安全協議代碼重寫數據。

可以使用IPSec協議中的加密技術封裝數據和轉換數據，加密可以在Internet出口的VPN網關上完成，在到達目的地時數據能夠恢復到原始外觀。

3.6.2 引入數據特征算法

數據加密是使用代碼來表示消息中的文本。黑客雖然不能直接破壞數據，但其可以偽造數據或隨意改變數據，使數據通信的內容不可識別，并且接收數據的一方不能接收原通道的通信數據。為了避免這種后果，有必要引入防止數據被操縱的機制，如果數據被非法更改，可以快速識別。在實際通信中，可以使用算法來計算數據特征，然后在數據后增加識別數據特征的代碼。當信息發生變化時，特征也會發生變化，接收數據的一方需要檢查信息的特征。如果數據被修改，修改后的數據特征值將不匹配，接收數據的人可以識別。

3.6.3 身份查驗

由于控制中心的路由器必須連接誘導屏，因此路由器不設置在局域網內，這樣可以最大限度地確保數據安全。如果控制中心的路由器需要向誘導屏修復損失的5G通信數據，其應當獲取相應的訪問權限，即進行身份查驗。VPN身份認證中可以查驗預共享密鑰等，并且通信各方可以使用約定的加密和解密接入碼，從而實現通信數據的直接溝通。

4 結論

目前，誘導屏通信系統已進入試驗階段，解決了以往的信息傳播效率慢、統計信息過時、數據崩潰等問題。誘導屏通信系統采用5G通信技術，在傳輸速度、規模、穩定性等方面滿足行業需求，可以最大限度地實現數字化的數據通信。