基于虛擬專用網(VPN)的農村公益電影播放服務器的遠程注冊

楊韓

中央宣傳部電影數字節目管理中心,北京 100866

1 引言

農村公益電影播放服務器是由中央宣傳部電影數字節目管理中心主導研發的能夠簡易操控數字影片播放的設備(以下簡稱“電影播放服務器”)。其中電影播放服務器的注冊是讓服務器設備與數字影片解碼卡相綁定,實現 “一機一卡”并加入中心服務平臺的必要步驟,是納入農村公益電影大數據監管體系的重要環節,也是保障各院線公司正常開展公益放映活動的關鍵一步,只有完成注冊的設備才能正常播放農村公益電影。目前注冊加入中心服務平臺的電影播放服務器已有十萬余臺,近幾年新注冊服務器數量均值在每年4000臺左右,放映影片千萬場次,受眾高達上億人次。

電影數字節目管理中心自主研發的電影播放服務器遠程注冊授權軟件,可獲取電影播放服務器設備信息,從而將服務器設備與數字影片解碼卡相綁定并加入到中心服務平臺。目前的注冊方式是通過計算機與電影播放服務器用網線直連的方式進行信息獲取匹配,這就要求注冊工作需要專人攜帶注冊用電腦和數字影片解碼卡前往待注冊電影播放服務器所在地點來現場完成注冊工作,這一過程消耗了較多的時間在交通和設備擺放上。為了改善這一現狀,我們開始尋求并嘗試一些新的技術方法來改變現場注冊的方式,經過多種方案對比,考慮采用虛擬專用網(VPN)技術來實現遠程注冊。

2 虛擬專用網(VPN) 的應用

2.1 虛擬專用網(VPN)的概念

互聯網,即廣域網、局域網及單機按照一定的通訊協議組成的國際計算機網絡,是通過計算機信息技術將兩臺計算機或者是兩臺以上的計算機終端、客戶端、服務端互相聯系起來的結果,人們可以與遠在千里之外的朋友建立通信[1]。由此即可想到,我們亦可通過一些技術方法讓互聯網成為新的傳輸介質,從而改善人員趕赴現場面對面注冊的現狀。這個技術方法就是虛擬專用網(VPN)技術。

虛擬專用網 (Virtual Private Network,VPN)是指在公用網絡上基于隧道協議建立專用網絡的技術。之所以稱為虛擬專用網(VPN)主要是因為整個VPN 的任意兩個結點之間的連接并沒有傳統專網建設所需的點到點的物理鏈路,而是架構在網絡業務提供商 (Internet Service Provider,ISP)所提供的網絡平臺之上的邏輯網絡。用戶的數據是通過ISP在公共網絡中建立的邏輯隧道 (Tunnel),即點到點的虛擬專線進行傳輸的。通過相應的加密和認證技術來保證用戶內部網絡數據在公網上安全傳輸,從而真正實現網絡數據的專有性[2]。

2.2 虛擬專用網(VPN)的實現方法

2.2.1 虛擬專用網(VPN)的常用實現方法

虛擬專用網(VPN)的常用實現方法主要有以下四種。

(1)VPN 服務器:在大型局域網中,可以通過在網絡中心搭建VPN 服務器的方法實現VPN；

(2)軟件VPN:通過專用軟件實現VPN；

(3)硬件VPN:通過專用硬件實現VPN；

(4)集成VPN:通過某些硬件設備,如路由器、防火墻等自帶的VPN 功能實現VPN。

2.2.2 提高虛擬專用網 (VPN)安全性的常用方案

虛擬專用網 (VPN)直接構建在公用網上,安全問題更為突出,使用者需要確保VPN 數據不被攻擊者窺視和篡改。以下方案可以提高VPN 的安全性。

(1) 隧道與加密:隧道能實現多協議封裝,增加VPN 應用的靈活性,并且可以在無連接的IP 網上提供點到點的邏輯通道。在安全性要求更高的場合應用加密隧道則進一步保護了數據的安全性,使數據在網上傳送而不被非法窺視和篡改。

(2)數據驗證:在不安全的網絡上,特別是構建VPN的公用網絡上,數據包有可能被非法截獲、篡改后重新發送,接收方將會收到錯誤的數據。數據驗證使接收方可以識別這類篡改,從而保證數據的完整性。

(3) 用戶驗證:VPN 可使合法用戶訪問他們所需的資源,同時還要禁止未授權用戶的非法訪問。通過提供認證、授權和計費服務的網絡安全管理機制(AAA),路由器可以提供用戶驗證、訪問級別以及必要的訪問記錄等。

(4) 防火墻與攻擊檢測:防火墻用于過濾數據包,防止非法訪問。而攻擊檢測則可更進一步分析數據包的內容,確定其合法性,并可實時應用安全策略,斷開含非法訪問內容的會話鏈接,并生成非法訪問記錄[3]。

2.2.3 適用于電影播放服務器遠程注冊的VPN實現方法

利用VPN 軟件產品 (無需任何硬件設備)進行組網的方法比較簡單:需要在作為組網成員的每個硬件設備上都安裝其VPN 應用軟件,只要注冊賬號,便可以用體驗資格免費使用或以很便宜的價格按使用期限進行購買使用,成本較低,無需過多網絡配置,易實施性較高。但由于電影播放服務器尚不具備安裝VPN 程序的功能,所以要想使其成為VPN 的組網成員之一,需要通過在其他組網設備上安裝配置文件來完成,故電影播放服務器的遠程注冊暫無法使用此方法。

另一種方式是利用開源VPN (Open VPN)進行網絡搭建。但開源VPN 通常要以代碼形式進行服務器端 (Open VPN Server)的安裝配置,并生成客戶端配置文件(client.ovpn),然后在對端的路由器上安裝此配置文件,最后根據訪問需求進一步調整配置代碼以實現聯通。配置完成后在服務器端安裝電影播放服務器遠程注冊授權軟件并在路由器端連接待注冊電影播放服務器便可以實現遠程注冊操作。一些開源VPN可免費使用,支持大多數與IPsec(Internet Protocol Security)協議相關的擴展,VPN 服務提供商為Open VPN連接提供的最常見的實現方式是使用RSA密鑰交換和SHA 簽名的AES加密,推薦的設置是AES 256 加密,RSA 密鑰至少為2048 位長,安全性比較高。此方法對工作人員的網絡技術操作要求較高,搭建難度較大,實現起來相對困難。

如果采用帶有VPN 功能的路由器或防火墻,同樣需要將該VPN 設備安置于待注冊電影播放服務器所在位置并進行VPN 功能啟用配置,然后在訪問端通過VPN 撥號或者USB密鑰之類的安全訪問配件來實現認證聯通。這個方法可以實現電影播放服務器的遠程注冊,可通過管理界面配置網絡,操作難度一般,含有設備本身配有的網絡安全策略和訪問記錄等功能,安全性比較高。但一般擁有VPN 功能的路由器或防火墻在價格上通常都比沒有這一功能的要貴,設備本身價格也遠高于VPN 軟件的租用價格,性價比相對較低,對于現實中較多的注冊地點來說,設備的安置會有一定不便。

還有一種軟硬件結合的智能組網方式,即在服務端安裝VPN 軟件,在訪問端利用配套硬件VPN設備與組網成員 (待注冊電影播放服務器)接入同一路由器來幫助完成組網,頂替了VPN 軟件產品組網方法中原本需要在訪問端安裝VPN 客戶端的必要條件。組網完成后即可在服務端使用電影播放服務器遠程注冊授權軟件來進行注冊操作。利用這種方法需要在服務網站注冊賬號,以體驗資格免費使用,或以很便宜的價格按組網成員數量購買使用,成本較低。全程無需手動進行網絡配置,易實施性較高,除了支持一些主流VPN 協議外,對組網成員的控制也比較靈活,且注冊工作無需長時間保持VPN 連接,注冊完成即可斷開,安全性較高。

從成本、搭建難度、操作難度和安全性方面進行綜合對比后,最終確定軟硬件結合的VPN 實現方法更加適用于電影播放服務器的遠程注冊。下一步以此為方向,進行VPN 產品的選用。

2.2.4 實現虛擬專用網(VPN)的產品的選用

根據電影播放服務器遠程注冊的工作特點,本次VPN 組網選用蒲公英VPN 智能旁路盒子 (型號X1-2111)。該設備無需手動進行網絡配置,與訪問端設備,即待注冊電影播放服務器接入同一個可上網路由器即可自動完成組網,通過指示燈可快速判斷其工作狀態,操作簡單明了；體積小巧,僅有70mm×70mm×18mm,方便攜帶或郵寄；通過注冊賬號可進行組網成員的管理,組網成員數量不超3位可免費使用,組網成本僅需考慮X1-2111 的價格,非常便宜；支持采用RSA 2048/AES方式加密傳輸,組網成員由管理員自行選擇,成員外機器無法互聯互通,改變組網結構馬上生效,隨時可以增減成員,安全性比較高。

3 VPN 網絡環境搭建

3.1 VPN 網絡搭建所用設備

(1)VPN 設備

VPN 設備指能夠搭建虛擬專用網 (VPN)的硬件設備。本次選用蒲公英VPN 智能旁路盒子,型號為X1-2111。

(2)電影播放服務器

電影播放服務器是專用于農村公益電影放映的影片播放設備,各服務器生產廠家按照電影數字節目管理中心統一要求的技術標準生產,注冊功能一致。

(3)路由器

路由器指連接兩個以上個別網絡的設備。一般常見的含兩個閑置LAN 口的家用或辦公用路由器即可。

(4)注冊終端

注冊終端指安裝了電影播放服務器遠程注冊授權軟件的計算機,以下簡稱“注冊電腦”。

3.2 VPN 設備組網

如圖1所示,首先需要將VPN 設備郵寄給電影播放服務器廠家,在電影播放服務器所在地將VPN 設備(蒲公英X1-2111)連接電源并通過網線將其連接到一臺路由器的LAN 口上,同時確保該路由器的WAN 口所連網線能夠正常接入互聯網。此時VPN 設備指示燈會出現不同階段變化:從白燈閃爍,表示系統啟動中；到紅燈閃爍,表示正在連接互聯網；再到白燈常亮,表示已連接互聯網,但尚未完成組網；最后藍燈閃爍,表示正在組網；直到藍燈常亮,表示組網完成。該過程由VPN 設備自動完成,無需人工干預。然后將電影播放服務器通過網線接入同一臺路由器的另一個LAN 口,加入組網。之后,在電影數字節目管理中心辦公區啟用注冊電腦,確保該計算機能夠正常接入互聯網,通過安裝蒲公英訪問端應用軟件并注冊賬號、登錄,從而實現對VPN 設備和電影播放服務器的聯通。其中,登錄蒲公英VPN 設備管理網站或登錄蒲公英訪問端應用軟件,均可以看到VPN 設備X1-2111和電影播放服務器已連接的狀態。在蒲公英訪問端應用軟件中,亦可進行組網成員的網絡聯通情況檢測。

圖1 VPN 設備組網拓撲圖

聯通后即實現了兩端設備的互相訪問,便可使用注冊電腦上安裝的播放服務器遠程注冊授權軟件進行注冊操作。

3.3 組網環境注意事項

利用VPN 設備蒲公英X1-2111 實現遠程訪問的環境無需公網IP,有Internet網絡即可,只需要讓待注冊的電影播放服務器和注冊電腦所在地點均可連接互聯網。注冊過程只涉及傳輸指令信息和很小數據量,不涉及傳輸大文件,因此占用帶寬很少。值得注意的是,兩端網絡環境還是要盡可能避免被其它用網設備所影響。

4 基于虛擬專用網 (VPN) 的電影播放服務器的遠程注冊

4.1 遠程注冊的操作

注冊端人員通過操控電影播放服務器遠程注冊授權軟件,同時與待注冊電影播放服務器所在地人員保持溝通,進行逐臺服務器接入互聯網來完成注冊操作。這個過程需要兩端人員以電話等形式密切聯絡,認真記錄,以保證服務器的注冊順序無誤,方便后續的數字影片解碼卡讀取確認步驟順利進行。

電影播放服務器在其生產工廠生產完成后,可在廠內有網環境完成注冊工作,無需再運輸到其他地點進行設備擺放、上電等操作,最終注冊完成后即可進行裝箱、發貨等后續流程,各院線公司、放映隊收到電影播放服務器后即可正常使用。這個改變可以大幅節省人員外出和設備運輸時間,使注冊工作能更快完成。

4.2 遠程注冊的注意事項

(1)每一臺電影播放服務器注冊完成后,顯示界面會提示注冊成功。如果失敗或異常,需及時檢查服務器網口、硬盤等配置,現場可及時更換配件。

(2)提示注冊成功后,并不一定代表電影播放服務器可以投入使用,還需要將授權完成的數字影片解碼卡郵寄到播放服務器所在地點,逐臺插卡、讀卡。讀卡成功即代表該臺電影播放服務器可正常使用；讀卡失敗,需檢查解碼卡或電影播放服務器的讀卡器是否正常,如果異常需要更換。通常情況下,遇到新數字影片解碼卡故障的情況極為少見,所以因新數字影片解碼卡故障而造成耽誤工時的風險極小。

4.3 遠程注冊的優勢和不足

通過使用VPN 設備建立虛擬專用網 (VPN)來取代原來現場的直連網線成為新的傳輸介質進行電影播放服務器注冊操作,可以總結出該項技術方法的一些優勢和存在的不足:

優勢: (1)節省了注冊工作人員的時間成本、外出工作的各項開支以及生產廠家將設備從外省市工廠運輸到本市現場注冊地點的費用；(2)提高了注冊的整體工作效率,尤其在大環境受疫情影響情況下,避免了人員接觸,能夠有效減輕注冊工作堆積的情況,能夠更加及時地為各院線放映隊提供放映設備,為其放映工作的順利開展提供保障；(3)組網比較簡單,對兩端注冊人員的網絡技術要求較低,易于上手操作,且VPN 設備成本低,易于搭建和使用。

存在的不足:(1)電影播放服務器仍然需要逐臺插拔網線進行注冊,注冊過程需要雙方人員保持密切溝通,記錄準確注冊設備的順序,為后續工作提供便利；(2)為保障電影播放服務器在發貨前能正常使用,一般設備提示注冊成功后,還需要讀取數字影片解碼卡加以驗證,存在極小需要換卡重新注冊的可能性。

4.4 適配不同應用場景的遠程注冊方案

針對不同的注冊需求,應當靈活運用遠程注冊,結合實際工作情況進行安排。以下提出適配常用的兩種應用場景的注冊方案。

(1)注冊端位于電影數字節目管理中心辦公區,待注冊電影播放服務器位于其生產工廠,VPN 設備架設在生產工廠。考慮到電影播放服務器需要逐臺連接電源進行開機,可同時接電的設備數量有限,且注冊過程需要逐臺插拔網線,注冊完成后,需重新接電開機來進行數字影片解碼卡讀取的驗證環節,當待注冊電影播放服務器數量達到幾百臺甚至上千臺,人員工作量就會翻倍增長。故此方案比較適合少量新電影播放服務器的注冊,數量在1～40臺左右為宜,亦比較符合目前日常注冊量級,涉及成百上千臺的注冊量,依然建議采取現場注冊方式完成。

(2)注冊端位于電影數字節目管理中心辦公區,待注冊電影播放服務器位于任意可接入互聯網的地方,VPN 設備郵寄到待注冊電影播放服務器所在地。此方案適合為發生丟失注冊信息故障或更換主板的電影播放服務器進行重新注冊。

5 結論

采用虛擬專用網 (VPN)技術進行農村公益電影播放服務器的遠程注冊工作是科技賦能的一種體現,能夠大幅節省人員外出、設備運輸等方面的開支,縮短注冊工作時間,提升工作效率。采用VPN設備組網操作簡單,易于實現,安全性較高,可改變人與人面對面現場工作的現狀,尤其適用于難以現場注冊以及與待注冊電影播放服務器距離遠的情況。建議采用該技術方法進行大量的實際環境測試來進一步驗證其實用性和可靠性。