虚拟专用网技术在远程数据传输中的应用

野外地质调查工作者作为远程用户需要与其所在的地质调查研究机构进行数据的安全传输. 应用虚拟专用网络 技术可以在使用公用网络进行数据传输时保证其安全. 本文讨论了虚拟专用网的分类、关键技术, 通过分析某地质研究所 的网络拓扑, 给出了一个虚拟专用网的解决方案, 对其中的基于 Windows Server 2003 的虚拟专用网服务器进行了详细配置.

远程数据传输已经成为现代地质调查研究工作 不可缺少的一种形式. 这一方面在于随着野外数据采 集数字化程度的日益提高, 经常需要及时将野外采集 的数据远程传输到地质调查研究机构的办公内网进 行数据存储和处理; 另一方面也在于在野外地质调查 过程中有时需要从地质调查机构的办公内网和数据 库中调用有关技术资料. 由于地质调查工作所获得的 数据大多为珍贵的第一手资料, 在远程数据传输中要 确保其安全. 如果使用 Internet 网络的方式进行数据 传输, 很难以保证数据的安全性. 因此建立一个经济、 高效、快捷、安全的网络系统来进行远程数据传输成 为远程办公的迫切要求.

1 远程数据传输解决方案

在 Internet 还没有普及时, 只有税务、电力、银行 等系统才有能力承担组建和使用专线的费用. 随着技 术的发展, 利用虚拟专用网技术组建专用网络已经非 常经济, 而且速度能够达到专线水平.

而对于移动用户, 需要进行远程数据传输时, 传 统上使用的是直拨技术. 但直拨技术解决方案适合于 小规模、地域较近的接入访问, 不适合频繁出差用户 进行远程办公. 对于移动用户, 专线方式显得无能为 力, 因为用户所在的地点是不确定的、暂时的. 虚拟专 用网技术方案适合于地域分布较广、数量较大的接入 访问[ 1 ], 能够解决远程数据传输的实际需要. 更为重 要的是, 虚拟专用网技术能够充分保障移动远程用户 的数据安全.

通过 Internet 组建虚拟专用网的方法主要有两 种: 一是购买专业的路由器等设备, 一是使用专业软 件. 与前者相比, 后者更加经济, 配置更加简单, 而且 效果与前者组建的虚拟专用网是相同的. 可以根据原 有网络的实际情况和需要进行虚拟专用网的组建. 综上, 远程数据传输的解决方案采用虚拟专用 网, 组建时考虑实际需要来进行组建.

2 关于 VPN 技术

2.1 VPN 的定义 虚拟专用网( Virtual Private Network, VPN) 是利 用接入服务器、路由器及专用设备在公用网络( 包括 IP 网络、公用电话网、帧中继网及 ATM 网等) 上建立 专用网络, 数据通过安全的隧道在公用网络中传输. 虚拟专用网是专用网络 ( DDN 专线或者电话拨号连 接的线路) 的延伸, 它使用公用网络组建自己的网络. 也就是说, 用户觉察不到他在利用公用网络获得专用 网的服务. 从客观上可以认为 VPN 就是一种具有私 有和专用特点网络通信环境. 它是通过虚拟的组网技 术, 而非构建物理的专用网络的手段来达到的. 通过 VPN 可以通过公用网络在两台计算机之间安全地传 输数据. 由于 VPN 可以利用原有的 IP 网络、帧中继 网、ATM 网等来建设, 所以可以大大减少网络建设费 用

2.2 VPN 分类 VPN 的分类方法有很多种, 根据应用环境的不 同, VPN 可以分为 3 种基本类型 [ 3 ]: 远程接入 VPN指企业员工通过公用网络以远程拨号的方式来访问 企业内部网络) ; 内部网 VPN( 指企业通过公用网络 将各分支机构的局域网和总部的局域网连接起来) ; 外部网 VPN( 指企业之间为了方便信息交流, 将各自 的内部网 VPN 连接起来构成一个大的虚拟企业内部 网络) .

2.3 VPN 的安全技术 由于 VPN 传输的是私有信息, 因此数据的安全 是 VPN 使用者最为关心的事情. 目前 VPN 主要采用 4 种技术来保证安全, 即隧道技术、加密技术、密钥管 理技术及身份认证技术[ 1 ] .

隧道技术是 VPN 的关键性技术. 隧道是一种通 过互联网络在网络之间传递数据的一种方式. 所传递 的数据在传送之前被封装在相应的隧道协议里, 当到 达另一端时被解包. 隧道技术相关的协议分为第二层 隧道协议和第三层隧道协议. 第二层隧道协议是先把 各 种 网 络 协 议 封 装 到 PPP ( Point-to-Point Protocol) 中, 再把整修数据包装入隧道协议中, 这种双层封装 方法形成的数据包靠第二层协议传输; 第三层隧道协 议是把各种网络协议直接装入隧道协议中, 形成的数 据包靠第三层协议进行传输. 第二层隧道协议主要有 PPTP ( Point-to-PointTunnelingProtocol) 、L2TP( Layer 2 Tunneling Protocol) 等, 第三层隧道协议主要有 IPSec 等. 其中 PPTP 是为使用电话上网的用户提供安全的 VPN 业务, L2TP 可以在 IP 网、帧中继、X.25 或 ATM 网络上使用. IPSec 为 IP 层及其上层协议提供保护, 对于用户和应用程序来说是透明的.

加密技术是指发送者在发送数据之前对数据加 密, 当数据到达接收者时由接收者对数据进行解密. 加密算法如 DES、3DES、IDEA 等.

密钥管理技术的主要任务是在公用数据网上安 全地传递密钥而不被窃取, 可以显著提高 VPN 的安 全性. 目前主要的密钥交换与管理标准有 IKE ( 互联 网密钥交换) 、SKIP( 互联网简单密钥管理) 和 Oakley.

用户身份认证技术主要用于远程访问的情况. 当 一个拨号用户要求建立一个会话时, 就要对用户的身 份进行鉴定, 以确定该用户是否为合法用户以及哪些 资源可被使用. 身份认证技术最常用的是使用名称与 密码或卡片.

2.4 VPN 产品 支持 VPN 的产品种类很多, 包括带 VPN 功能的 防火墙、带 VPN 功能的路由器、专用 VPN 设备、软件 VPN 系统等. 使用 VPN 的用户可根据自己的情况来选择 VPN 产品. 一般说来, 选择 VPN 产品时主要考察以下几个 方面的性能: 是否集成防火墙; 可支持最大连接数目; VPN 系统对客户机的要求; 网络管理功能.

关键词：物联网网关