摘要：隨著通信技術的日益發展，信息安全技術也提上了日程。氣象數據的安全性得到了廣泛的重視，在現有的網絡基礎上實現數據的加密傳輸也是當務之急，下面就如何利用IPSec VPN技術實現氣象數據的數據加密傳輸提出相關方案。

　　關鍵詞：氣象數據,信息安全,IPSec,VPN

　　引言

　　目前我縣氣象數據報送網分兩部分組成，一路為主通道，另一路3G備份線路，主要利用主通道向省局報送數據，當主通道中斷后，切換到3G備份線路，切換模式基于BFD協議技術實現。盡管該網在線路上實現了備份，但是在數據的私密性，完整性和源認證方面有些欠缺。一旦數據在傳輸過程中被截獲篡改或者被不法分子利用后果不堪設想。從信息安全角度考慮，對現有網絡進行改造，利用IPSec VPN技術實現數據的加密傳輸。

　　1.VPN(虛擬專用網)

　　VPN是虛擬私有網絡的簡稱，是一種利用公網來構建私有專用網絡的技術，它通過為接收方和發送方在公用網上建立一個虛擬的安全隧道來傳輸經過加密的數據，以保證數據通信的安全。VPN是企業內部網在Internet等公用網絡上的延伸，它從根本上滿足了企業用戶的低通信費和高靈活性的雙重要求。并且它具有與專用線路同樣的安全保障。通過網絡技術、訪問控制技術和加密技術，和用戶管理機制，使用戶可以利用現有公共網，保密、安全、不受干擾地遠程訪問內部網絡資源。與傳統的私有網絡相比，VPN技術大大降低了成本，方便、安全、標準，成為實現企業網絡跨地域安全互聯的主要技術手段。

　　VPN實現的關鍵技術是隧道，而隧道又是靠隧道協議來實現數據封裝的。在第二層實現數據封裝的協議稱為第二層隧道協議，同樣在第三層實現數據封裝的協議叫三層隧道協議。第二層隧道和第三層隧道的本質區別在于用戶的IP數據包是被封裝在哪種數據包中在隧道中傳輸。VPN將企業網的數據封裝在隧道中，通過公網Internet進行傳輸它采用復雜的算法來加密傳輸的信息，使敏感的數據不會被竊聽。

　　2.基于IPSec協議的VPN技術

　　IPSecVPN是基于IPSec協議的VPN產品，由IPSec協議提供隧道安全保障。IPSec隧道只能支持IP數據流，工作在IP棧的底層。因此，應用程序和高層協議可以繼承IPSec的行為，由一個安全策略( 一整套過濾機制) 進行控制。IPSec工作于網絡層，是一個開放的結構，定義在IP數據包格式中，不同的加密算法都可利用IPSec定義體系結構在網絡數據傳輸過程中實施。IPSec幾乎可以為所有的應用提供訪問，包括客戶端/服務器模式和某些傳統的應用，但由于基于網絡層，不能穿越通常的NAT、防火墻。它為Internet業務提供最強的安全功能，與其他隧道和安全技術相比，其優越性在于它的安全性和互操作性，但是管理相對復雜。

　　3.VPN技術在氣象網絡數據報送中的應用

　　為了實現數據的私密性，可以考慮在現有的網絡設備上重新進行配置，實現VPN的功能，具體尚需確定目前的網絡設備是否支持IPSec VPN的配置。另外考慮購置VPN設備，部署在網絡合適的位置實現VPN的功能，具體IPSec VPN的原理參考相關書籍自行閱讀。

　　下面主要是在現有設備上闡述VPN的配置實例，實現合理的現有網絡的改造，實用于全省的氣象專網。

　　下圖1是目前全省氣象專網的拓撲圖，具體IP地址屬于內部規劃不易公開，圖2會將該圖分解為兩個節點進行配置說明，實現利用VPN傳輸數據。

　　典型配置(設備選用思科系列支持VPN設備)

　　縣局配置，對應設備命名為XIANJU

　　激活ISAKMP

　　XIANJU(config)#crypto isakmp enable

　　配置IKE第一階段策略

　　XIANJU(config)#crypto isakmp policy 10

　　XIANJU(config-isakmp)#encr 3des//加密算法使用3des//

　　XIANJU(config-isakmp)#hash md5//散列算法使用MD5//

　　XIANJU(config-isakmp)#authentication pre-share//預共享密鑰//

　　XIANJU(config-isakmp)#group 2

　　XIANJU(config)#crypto isakmp key0 XXX address 192.168.1.2//密鑰為XXX//

　　XIANJU(config)#ip access-list extended VPN

　　XIANJU(config-ext-nacl)#permit ip (需要被加密的IP段)

　　XIANJU(config)#crypto ipsec transform-set Trans esp-des esp-md5-hac

　　配置IKE第二階段策略

　　XIANJU(config)#crypto map cry-map 10 ipsec-isakmp

　　XIANJU(config-crypto-map)#match address VPN

　　XIANJU(config-crypto-map)#set transform-set Trans

　　XIANJU(config-crypto-map)#set peer 192.168.1.2//與省局建立VPN//

　　將策略應用到接口

　　XIANJU(config)#interface f0/0

　　XIANJU(config-if)#crypto map cry-map

　　市局配置參考縣局配置。

　　4結束語

　　本文通過介紹一種VPN的配置技術，旨在闡述氣象數據在現有的網絡報送模式中存在的安全問題，建議從信息安全的角度考慮，保障網絡安全，保障數據的準確可靠，實現數據的私密性。

　　參考文獻：

　　[1] Vijav Bollapragada, Mohamed Khalid 著，袁國忠譯. IPSec VPN設計[M]. 北京：人民郵電出版社，2006.

　　[2] 王占京. VPN網絡技術與業務應用[M]. 北京：國防工業出版社, 2012.

　　[3] 王達. 虛擬專用網(VPN) 精解[M]. 北京: 清華大學出版社，2005.

　　[4] 楊艷，陳性元，杜學繪. 基于V P N 的安全審計系統的設計與實現[J]. 計算機工程，2007，33(09):177-179.