VPN技术和其在铁路视讯系统应用.doc

VPN技术和其在铁路视讯系统应用摘要：近年来，随着Internet的广泛应用，如何利用Internet的资源来组建企业内部的虚拟专用网络（VPN）已成为IT业界的一个新热点。VPN是通过一个公共网络建立起来的一个临时的、安全的连接，它是对企业内部网的扩展。VPN可以帮助铁路内部网建立可信的安全连接，并保证数据的安全可靠传输，它从根本上解决了网络面临的不安全因素的威胁，大大提高了网络数据传输的安全性、可靠性和必威体育官网网址性。 关键词：VPN技术；网络安全；管理技术；组网模式 中图分类号：TN915.08 文献标识码：A 1 VPN的基本概念 在VPN（Virtual Private Network）即虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 虚拟专用网对用户端透明，用户好像使用一条专用线路进行通信。 虚拟专用网（VPN）是一个综合了必威体育官网网址性、安全性及可管理性于一身的解决方案。VPN就是在公共网络架构上（通常是Internet）利用安全、认证、加密等技术建立企业的专用线路，在降低联网费用的同时确保信息的安全性、完整性和真实性。VPN可以提供与昂贵的专线（DDN）类似的安全性、可靠性、可管理性和优先级别，可构筑于IP网络、帧中继网络和ATM网络上。 2 VPN的关键技术 目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption Decryption）、密钥管理技术（Key Management）、使用者与设备身份认证技术（Authentication）。 2.1 隧道技术 VPN是在公网中形成企业专用的链路，为了形成这样的链路，采用了所谓的“隧道”技术。隧道技术是VPN的基本技术，它是分组封装（Capsule）的技术，可以模仿点对点连接技术，依靠Internet服务提供商（ISP）和其他的网络服务提供商（NSP）在公用网中建立自己专用的“隧道”，让数据包通过这条隧道传输。 隧道是一种利用公网设施，在一个网络之上的“网络”传输数据的方法，被传输的数据可以是另一协议的帧。隧道协议用附加的报头封装帧，附加的报头提供了路由信息，因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地，帧就会被解除封装并被继续送到最终目的地。 2.2 加解密技术 加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。用于VPN上的加密技术由IPSec的ESP （Encapsulationg Security Payload）实现。主要是发送者在发送数据之前对数据加密，当数据到达接收者时由接收者对数据进行解密的处理过程，算法主要种类包括：对称加密（单钥加密）算法、不对称加密（公钥加密）算法等。如DES （Data Encryption Standard）、IDEA （International Data Encryption Algorithm）、RSA（发明者Rivest、Shamir和Adleman名字的首字符）。 对于对称加密算法，通信双方共享一个密钥，发送方使用该密钥将明文加密成密文，接收方使用相同的密钥将密文还原成明文。对称加密算法运算速度快。 不对称加密算法是通信双方各使用两个不同的密钥，一个是只有发送方知道的密钥，另一个则是与之对应的公开密钥，公开密钥不需必威体育官网网址。在通信过程中，发送方用接收方的公开密钥加密消息，并且可以用发送方的秘密密钥对消息的某一部分或全部加密，进行数字签名。接收方收到消息后，用自己的秘密密钥解密消息，并使用发送方的公开密钥解密数字签名，验证发送方身份。 2.3 密钥管理技术 密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。 SKIP主要是利用Diffie—Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。 2.4 使用者与设备身份认证技术 使用者与设备身份认证技术最常用的是用户名/口令或智能卡认证等方式。 3 VPN技术在上海铁路局视讯系统的应用 3.1 组网需求 结合铁路局目前的IP数据网网络环境， 利用 IP数据网组建VPN 虚拟专用网线路，采用基于VPN 网络的点对点组网模式实现上海铁路局视频会议系统， 用来满足图像、多媒体、数据、语音等信息的传输来实现实时、快捷的联动指挥， 可极大提高各点间协同工作能力。 3.2 设备部署 3.2.1 组网模式 针对上海铁路局管内铁路IP数据网VPN、组播、QoS等业务需求