馬雨田呂寶奇時(shí)紅春蔣達(dá)

（ 1.北斗導(dǎo)航與位置服務(wù)河南省工程實(shí)驗(yàn)室，河南 鄭州 450003；2.商城縣測繪隊(duì)，河南 信陽 465350；3.河南省測繪工程院，河南 鄭州 450003 ）

省級北斗地基增強(qiáng)系統(tǒng)信息傳輸安全性研究

馬雨田1呂寶奇1時(shí)紅春2蔣達(dá)3

（ 1.北斗導(dǎo)航與位置服務(wù)河南省工程實(shí)驗(yàn)室，河南 鄭州 450003；2.商城縣測繪隊(duì)，河南 信陽 465350；3.河南省測繪工程院，河南 鄭州 450003 ）

以河南省北斗地基增強(qiáng)系統(tǒng)為例研究衛(wèi)星導(dǎo)航基站數(shù)據(jù)傳輸及管理等信息安全相關(guān)問題，加大技術(shù)投入改善在用通信網(wǎng)絡(luò)環(huán)境（DDN、SDH、MPLS VPN等），分析數(shù)據(jù)傳輸加密機(jī)、MPLS VPN技術(shù)理論基礎(chǔ)、工作原理，以低成本投入，在不改變原來網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)安全傳輸、受控管理。

DDN；SDH；加密機(jī)

國家測繪地理信息局下發(fā)的《關(guān)于規(guī)范衛(wèi)星導(dǎo)航定位基準(zhǔn)站數(shù)據(jù)密級和管理的通知》指出，衛(wèi)星導(dǎo)航普通基站觀測數(shù)據(jù)包括偽距、載波相位觀測數(shù)據(jù)、多普勒觀測數(shù)據(jù)以及服務(wù)數(shù)據(jù)中實(shí)時(shí)差分?jǐn)?shù)據(jù)、基站觀測數(shù)據(jù)等相關(guān)數(shù)據(jù)受控管理，數(shù)據(jù)中心很多數(shù)據(jù)都屬于涉密管理范疇,中心對站點(diǎn)控制指令數(shù)據(jù)安全是系統(tǒng)安全運(yùn)行的核心。研究北斗地基增強(qiáng)系統(tǒng)數(shù)據(jù)傳輸信息安全性，確保數(shù)據(jù)傳輸?shù)臋C(jī)密性(防竊取)、數(shù)據(jù)完整性(防篡改)、數(shù)據(jù)可靠性 (防偽造)至關(guān)重要。本文分析了數(shù)據(jù)傳輸加密機(jī)、MPLS(Multi Protocol Label Switching，多協(xié)議標(biāo)記交換)VPN(Virtual Private Network) 技術(shù)理論基礎(chǔ)、工作原理，提出了對原有數(shù)據(jù)傳輸網(wǎng)絡(luò)改造的方案，完善解決實(shí)現(xiàn)數(shù)據(jù)安全傳輸、受控管理。

1 地基增強(qiáng)系統(tǒng)網(wǎng)絡(luò)環(huán)境

河南北斗地基增強(qiáng)系統(tǒng)基站包括國家測繪地理信息局GNSS基準(zhǔn)站6個(gè)站點(diǎn)，國家陸態(tài)網(wǎng)鶴壁浚縣站，新建蘭考縣干部學(xué)院站、蘭考縣小宋鄉(xiāng)站、蘭考縣壩頭鄉(xiāng)站都采用SDH專網(wǎng)接入數(shù)據(jù)中心。SDH（Synchronous Digital Hierarchy，同步數(shù)字體系）是基于傳輸網(wǎng)，通過數(shù)字復(fù)用一次群（基群）傳輸鏈路，提供將語音或數(shù)據(jù)模擬信號(hào)變換為數(shù)字信號(hào)在信道中進(jìn)行傳送的寬帶服務(wù)。數(shù)據(jù)傳輸質(zhì)量高，可靠性高，保密性強(qiáng)，網(wǎng)絡(luò)時(shí)延小，抗干擾能力強(qiáng)，無噪聲積累，這些方面都很適合北斗地基增強(qiáng)系統(tǒng)數(shù)據(jù)傳輸基本要求。但是由于數(shù)據(jù)在整個(gè)系統(tǒng)中都是明碼傳輸，包括采集的觀測數(shù)據(jù)、指令數(shù)據(jù)，對通信公司內(nèi)部各系統(tǒng)來說這些數(shù)據(jù)都是透明的，不能保證傳輸數(shù)據(jù)可靠性、完整性、保密性。

河南省CORS管理中心與河南省氣象局簽署協(xié)議允許HeNCORS基站數(shù)據(jù)傳輸氣象專網(wǎng)（DDN）連接控制中心，整個(gè)系統(tǒng)共有38個(gè)站利用氣象專網(wǎng)。DDN是基于數(shù)字?jǐn)?shù)據(jù)網(wǎng)（Digital Data Network，以下簡稱DDN），利用數(shù)字信道提供永久性或半永久性連接電路來傳輸數(shù)據(jù)信號(hào)的服務(wù)。DDN由數(shù)字信道和數(shù)字交叉連接設(shè)備（DXC）以及終端組成，可為用戶提供經(jīng)濟(jì)靈活的點(diǎn)到點(diǎn)和點(diǎn)到多點(diǎn)的數(shù)字型傳輸通道。DDN網(wǎng)傳輸距離遠(yuǎn)、速率高、網(wǎng)絡(luò)時(shí)延小、保密性好, 是不受任何通信協(xié)議約束的全透明網(wǎng)[1]，可支持任何通信協(xié)議，從而滿足數(shù)據(jù)、圖像、話音等多種業(yè)務(wù)的傳輸需要。由于是明碼傳輸，安全性與SDN類似。與外省連接的基準(zhǔn)站，有很多采用MPLS VPN接入的。MPLS VPN專網(wǎng)產(chǎn)品是基于聯(lián)通有線IP MPLS骨干網(wǎng)和接入層光纖專線接入體系而推出的集團(tuán)企業(yè)專用產(chǎn)品[2]。該產(chǎn)品運(yùn)用基于IP的VPN專網(wǎng)技術(shù)，提供路由隔離、隱藏MPLS核心結(jié)構(gòu)、抗攻擊、防標(biāo)記欺騙等安全保障，提供網(wǎng)絡(luò)可管理性和可擴(kuò)展性，提供Qos保障，從而為用戶內(nèi)部各點(diǎn)之間的專網(wǎng)提供有保障的應(yīng)用。但由于MPLS VPN 采用因特網(wǎng)開展業(yè)務(wù)，而因特網(wǎng)給用戶的印象總是不安全的[3]，因此，許多用戶總感覺MPLS VPN安全性遠(yuǎn)不如ATM/FR VPN。的確，MPLS VPN目前無法解決所有管理型共享網(wǎng)絡(luò)普遍存在的非法訪問受保護(hù)的網(wǎng)絡(luò)元、錯(cuò)誤配置以及內(nèi)部 (包括核心)攻擊等安全問題。

2 數(shù)據(jù)傳輸加密機(jī)

數(shù)據(jù)傳輸加密機(jī)是解放軍信息工程大學(xué)導(dǎo)航與空天目標(biāo)工程學(xué)院地基增強(qiáng)系統(tǒng)團(tuán)隊(duì)開發(fā)的，基于北斗地基增強(qiáng)系統(tǒng)傳輸數(shù)據(jù)進(jìn)行優(yōu)化處理后，為上層應(yīng)用提供基礎(chǔ)的信息服務(wù)和數(shù)據(jù)共享服務(wù),從安全角度來增強(qiáng)系統(tǒng)的可靠性,以及數(shù)據(jù)的完整性和保密性。

2.1 加密機(jī)關(guān)鍵技術(shù)

防竊取:數(shù)據(jù)加密技術(shù)通過使用通用的對稱加密算法和專用的共享密鑰來實(shí)現(xiàn)將明文數(shù)據(jù)變換為不可識(shí)別的密文數(shù)據(jù)來達(dá)到對信息的隱藏保護(hù),使得第三方在不知道共享密鑰的情況下即便截取了密文數(shù)據(jù)也無法獲取數(shù)據(jù)原文中的任何信息,而合法的數(shù)據(jù)接受者在獲取到數(shù)據(jù)密文后可通過對應(yīng)的解密算法與共享密鑰來對密文數(shù)據(jù)進(jìn)行解密從而還原出數(shù)據(jù)明文。同時(shí)為了避免共享加密密鑰的頻繁使用造成密鑰的安全強(qiáng)度降低,通過基于非對稱算法的密鑰協(xié)商機(jī)制, 可以實(shí)現(xiàn)加密密鑰的定時(shí)更新,從而進(jìn)一步增強(qiáng)數(shù)據(jù)的安全性。數(shù)據(jù)加密技術(shù)安全模型見圖1 。

圖1 數(shù)據(jù)加密安全模型

防篡改:基于對稱加密技術(shù)的消息認(rèn)證碼，通過通用的技術(shù)生成算法使用專用的共享密鑰來從任意長度的數(shù)據(jù)原文生成定長的MAC值,數(shù)據(jù)接收方在收到數(shù)據(jù)與MAC后,通過相同的MAC生成算法與密鑰來計(jì)算MAC＇，由于MAC生成算法的特性,改變輸入數(shù)據(jù)的任意字節(jié)數(shù)據(jù)都會(huì)導(dǎo)致生成結(jié)果的完全不同,因此通過比較 MAC與MAC＇的一致性即可判定接收數(shù)據(jù)與發(fā)送方發(fā)送的數(shù)據(jù)是否相同。消息驗(yàn)證碼技術(shù)安全模型見圖2。

圖2 消息驗(yàn)證碼使用示意圖

防偽造: 基于非對稱密碼算法的數(shù)字簽名技術(shù),為信息系統(tǒng)中的身份認(rèn)證提供了完善的技術(shù)基礎(chǔ)。在數(shù)字簽名技術(shù)的模型當(dāng)中,簽名用的私鑰數(shù)據(jù)僅由簽名者持有,而用于驗(yàn)證簽名的私鑰數(shù)據(jù)可以公開給任何驗(yàn)簽者,如此僅有私鑰的持有者可使用特定的私鑰進(jìn)行簽名,而所有人均可對驗(yàn)證簽名者匹配確認(rèn)。數(shù)字簽名技術(shù)安全模型見圖3。

圖3 數(shù)字簽名技術(shù)安全模型

2.2 設(shè)備結(jié)構(gòu)及工作原理

通過在數(shù)據(jù)中心與數(shù)據(jù)收集站的前端分別增加一個(gè)安全代理模塊來建立一個(gè)安全通道,使得在不改變站點(diǎn)接收機(jī)與中心數(shù)據(jù)服務(wù)器的軟件硬件結(jié)構(gòu)的前提下,實(shí)現(xiàn)系統(tǒng)的業(yè)務(wù)數(shù)據(jù)及管理報(bào)文在網(wǎng)絡(luò)中的安全傳輸,基于密碼技術(shù)的特性使得業(yè)務(wù)數(shù)據(jù)的機(jī)密性、完整性、可靠性同時(shí)得到有效的提升,系統(tǒng)組成見圖4。

圖4 信息安全傳輸系統(tǒng)組成示意圖

2.2.1 身份認(rèn)證

身份認(rèn)證機(jī)制用于站點(diǎn)與數(shù)據(jù)中心之間進(jìn)行相互的身份認(rèn)證。分別向站點(diǎn)與數(shù)據(jù)中心的安全代理模塊中預(yù)裝代表各自身份的數(shù)字證書,站點(diǎn)與數(shù)據(jù)中心建立業(yè)務(wù)鏈接時(shí)相互進(jìn)行基于數(shù)字證書的簽名與驗(yàn)證來相互確認(rèn)身份的合法性。在密鑰協(xié)商的同時(shí)進(jìn)行基于SM2算法的數(shù)字簽名來實(shí)現(xiàn)站點(diǎn)與中心間的身份認(rèn)證,原理參考《SM2橢圓曲線公鑰密碼算法第2部分:數(shù)字簽名算法》（GM/T 0003.2―2012）。

2.2.2 密鑰協(xié)商

密鑰協(xié)商過程是基于非對稱算法中公鑰的公開性以及私鑰的保密性來協(xié)商一對一的安全會(huì)話密鑰的過程,在此過程中雙方僅交換部分各自的公鑰信息,而最終的會(huì)話密鑰均在本地通過私鑰與共享的公鑰信息來計(jì)算得出。通過站點(diǎn)與數(shù)據(jù)中心預(yù)置的證書來協(xié)商一對一的隨機(jī)會(huì)話密鑰，可以實(shí)現(xiàn)會(huì)話密鑰持續(xù)的動(dòng)態(tài)更新,從而保障長時(shí)間運(yùn)行的系統(tǒng)不會(huì)受到第三方分析會(huì)話密鑰的威脅。密鑰協(xié)商過程基于預(yù)置的國產(chǎn)SM2算法的數(shù)字證書使用國產(chǎn)SM2算法來協(xié)商出國產(chǎn)SM4算法的會(huì)話密鑰,原理參考《SM2橢圓曲線公鑰密碼算法第3部分:密鑰交換協(xié)議》（GM/T 0003.3―2012）。

2.2.3 數(shù)據(jù)加密傳輸

通過持續(xù)動(dòng)態(tài)更新的會(huì)話密鑰實(shí)現(xiàn)站點(diǎn)與中心間的所有通信均處于加密狀態(tài)。數(shù)據(jù)發(fā)送方發(fā)出的數(shù)據(jù)經(jīng)安全代理模塊加密后，發(fā)送到接收方安全代理模塊中,接收方安全代理模塊將接收到的密文數(shù)據(jù)進(jìn)行解密后發(fā)送給接收服務(wù)器,從而實(shí)現(xiàn)開放網(wǎng)絡(luò)環(huán)境下安全傳輸通道的建立。使用基于國產(chǎn)SM2算法協(xié)商的國產(chǎn)SM4對稱加密算法的會(huì)話密鑰來實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的加密保護(hù),原理參考《SM4分組密碼算法》（GM/T 0002―2012）。

2.2.4 數(shù)據(jù)完整性校驗(yàn)

數(shù)據(jù)完整性校驗(yàn)通過使用動(dòng)態(tài)更新的會(huì)話密鑰來生成業(yè)務(wù)數(shù)據(jù)的消息驗(yàn)證碼,基于消息驗(yàn)證碼的擴(kuò)散特性(輸入數(shù)據(jù)任何字節(jié)的修改均會(huì)造成輸出結(jié)果的變化) 來實(shí)現(xiàn)對業(yè)務(wù)數(shù)據(jù)的完整性/正確性進(jìn)行校驗(yàn),同時(shí)通過具備私密性的會(huì)話密鑰的參與來確保報(bào)文中附加的消息驗(yàn)證碼不會(huì)被篡改。通過對數(shù)據(jù)的完整性校驗(yàn)來保障數(shù)據(jù)接收方收到的數(shù)據(jù)沒有經(jīng)過三方的任何篡改。使用基于國產(chǎn)SM2算法協(xié)商的國產(chǎn)SM4對稱加密算法的會(huì)話密鑰來完成消息驗(yàn)證碼的生成,原理參考《SM4分組密碼算法》（GM/T 0002―2012）。

2.3 數(shù)據(jù)傳輸加密機(jī)的工作環(huán)境

數(shù)據(jù)傳輸加密機(jī)在不改變原網(wǎng)絡(luò)環(huán)境下，完成數(shù)據(jù)的安全傳輸，與SDN、DDN、VPN專線一起使用數(shù)據(jù)安全性更好。也可以使用任何網(wǎng)絡(luò)連接公網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)點(diǎn)對點(diǎn)、點(diǎn)對多點(diǎn)安全傳輸。

3 MPLS VPN技術(shù)

MPLS VPN專線基于寬帶IP網(wǎng)絡(luò)，采用MPLS技術(shù)，在公共IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)、語音、圖像多業(yè)務(wù)寬帶連接，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，為用戶提供高質(zhì)量的服務(wù)。MPLS VPN 是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”[4]。由于采用了“虛擬專用網(wǎng)”技術(shù)，即用戶實(shí)際上并不存在一個(gè)獨(dú)立專用的網(wǎng)絡(luò)，用戶既不需要建設(shè)或租用專線，也不需要裝備專用的設(shè)備，就能組成一個(gè)用戶自己專用的電信網(wǎng)絡(luò)，極大地實(shí)現(xiàn)了成本的節(jié)約。并采用各種技術(shù)保證用戶的服務(wù)質(zhì)量(QOS)和服務(wù)級別(COS)[5];通過隧道技術(shù)、加密和認(rèn)證技術(shù)保護(hù)信息安全。

3.1 VPN技術(shù)安全性

VPN技術(shù)對網(wǎng)絡(luò)安全的保護(hù)主要有四項(xiàng)技術(shù)，具體是身份認(rèn)證技術(shù)、加解密技術(shù)、隧道技術(shù)以及密鑰管理技術(shù)。

3.1.1 身份認(rèn)證技術(shù)

加入VPN的用戶均需通過身份認(rèn)證，一般采用用戶名和密碼，或通過智能卡來實(shí)現(xiàn)。當(dāng)前使用最廣的身份認(rèn)證協(xié)議是RADIUS，即遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)，它是一種IP標(biāo)準(zhǔn)協(xié)議，可以為分布式撥號(hào)網(wǎng)絡(luò)的用戶提供集中的IP服務(wù)管理、認(rèn)證以及計(jì)費(fèi)。RADIUS包括服務(wù)器與客戶兩部分，簡單地說，是RADIUS客戶通過網(wǎng)絡(luò)與主機(jī)上的RADIUS服務(wù)器進(jìn)行通信，即RADIUS是基于客戶/服務(wù)器模式工作的，該模式的優(yōu)點(diǎn)在于其允許將所有的安全信息都集中保存在一個(gè)中央數(shù)據(jù)庫中，可以避免數(shù)據(jù)的分散性，以提高數(shù)據(jù)傳遞的安全。

3.1.2 加解密技術(shù)

VPN利用已有的比較成熟的加解密技術(shù)，實(shí)現(xiàn)保密通信已不是什么難題，問題的關(guān)鍵在于如何經(jīng)濟(jì)合理地利用加解密技術(shù)，以提供足夠的網(wǎng)絡(luò)安全保障。

3.1.3 隧道技術(shù)

隧道技術(shù)是VPN能夠在因特網(wǎng)上實(shí)現(xiàn)安全傳遞數(shù)據(jù)的核心，其建立在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施之上。隧道技術(shù)主要是通過隧道協(xié)議來實(shí)現(xiàn)，隧道協(xié)議將其他協(xié)議的數(shù)據(jù)包重新封裝后通過隧道發(fā)送，包括二層隧道協(xié)議、三層隧道協(xié)議。①二層隧道協(xié)議用于傳輸二層網(wǎng)絡(luò)協(xié)議，其主要用于構(gòu)建撥號(hào)VPN。具體是先將各種網(wǎng)絡(luò)協(xié)議封裝到Point-to-Point Protocol（PPP）中，再將整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中，由此形成的數(shù)據(jù)包通過二層隧道協(xié)議進(jìn)行傳遞。②三層隧道協(xié)議主要是用于構(gòu)建外聯(lián)網(wǎng)和內(nèi)部網(wǎng)。相比較而言，雖然二層隧道協(xié)議相對簡單易行，但缺乏內(nèi)在的安全機(jī)制。對于此點(diǎn)，三層隧道協(xié)議則具有更高的可靠性和安全性。通常使用的三層隧道協(xié)議是IPSec與GRE[6]。

3.1.4 密鑰管理技術(shù)

密鑰管理技術(shù)主要是IPSec中的ISAKMP/Oakley以及SKIP兩種。其中，SKIP主要使用Diffe-Hellmain算法，是由SUN公司開發(fā)的一種技術(shù)。密鑰管理技術(shù)是建立保密通信與隧道的支撐，其主要任務(wù)是保證在公共網(wǎng)絡(luò)中如何安全地傳遞密鑰而不被竊取；其功能主要是負(fù)責(zé)驗(yàn)證密鑰的真實(shí)性，以及密鑰的生成、分發(fā)、控制和跟蹤等。對于密鑰的分發(fā)，有兩種方法：利用密鑰交換協(xié)議動(dòng)態(tài)分發(fā)；通過手工配置的方式分發(fā)。

3.2 MPLS VPN服務(wù)質(zhì)量

QOS指的是一個(gè)網(wǎng)絡(luò)對選定的網(wǎng)絡(luò)流量提供更好服務(wù)的能力。具體內(nèi)容有：支持專有帶寬；降低丟包率；避免和管理網(wǎng)絡(luò)擁塞；設(shè)置流量優(yōu)先級。COS指的是提供差別服務(wù)的方法，根據(jù)對每個(gè)包預(yù)先指定的服務(wù)級別提供特殊的服務(wù)。采用多種技術(shù)來保證用戶的服務(wù)質(zhì)量(QOS)和服務(wù)級別(COS)。

網(wǎng)通的IP VPN可支持三種優(yōu)先級的虛擬網(wǎng)絡(luò)：白金、金、銀。只有白金級別才能滿足地基增強(qiáng)系統(tǒng)對時(shí)間的延遲要求，在提供MPLS VPN的同時(shí)也可以采用IPSec加密，二者結(jié)合使用。

3.3 關(guān)于IPSec VPN

IPSec VPN是采用IPSec技術(shù)在互聯(lián)網(wǎng)上建立IPSec VPN隧道，來保證基站采集重要數(shù)據(jù)在互聯(lián)網(wǎng)上的傳輸安全[7]。由于IPSec采用了業(yè)界先進(jìn)的加密技術(shù)和驗(yàn)證技術(shù)，即使有黑客得到了這些數(shù)據(jù)，也無法破解和篡改，從而確保了總部分支之間通信的安全。作為一種網(wǎng)絡(luò)互聯(lián)技術(shù)，IPSec VPN組網(wǎng)支持主機(jī)與主機(jī)、主機(jī)與網(wǎng)關(guān)、網(wǎng)關(guān)與網(wǎng)關(guān)之間的互聯(lián)，這樣更加適用于控制中心與地基基站之間、數(shù)據(jù)中心與分中心之間多種形式的VPN接入。此外IPSec VPN擴(kuò)展性好，可以和L2TP、GRE等隧道協(xié)議一起使用，給企業(yè)組網(wǎng)提供了更大的靈活性和可靠性。IPSec與L2TP結(jié)合使用可以滿足企業(yè)移動(dòng)用戶的VPN接入需求[8]；IPSec與GRE結(jié)合使用可以滿足傳遞數(shù)據(jù)分中心路由的接入需求。

4 DDN/SHN專線與MPLS VPN比較

DDN/SHN專線確定了不同的客戶間是隔離的，因此客戶的數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸時(shí)雖然不會(huì)被運(yùn)營商以外的其他客戶截獲，因此數(shù)據(jù)的傳輸安全性還算較高，但是對于運(yùn)營商的技術(shù)人員，安全就不能保障了，他們是很容易截獲客戶的數(shù)據(jù)包的[9]。如果在專網(wǎng)中進(jìn)行明文傳輸，如同將現(xiàn)金放在保險(xiǎn)柜里，客戶數(shù)據(jù)的安全性則是完全建立在對運(yùn)營商及其員工的絕對信任基礎(chǔ)之上的[10]。VPN技術(shù)是基于公共IP網(wǎng)絡(luò)的。數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸，因此也很容易被其他人截獲，那么被截獲的數(shù)據(jù)怎樣達(dá)到安全效果呢？MPLS VPN技術(shù)的安全性是通過對數(shù)據(jù)包進(jìn)行加密來實(shí)現(xiàn)的，其主要技術(shù)包括隧道技術(shù)、加密技術(shù)、密鑰技術(shù)、認(rèn)證技術(shù)等。通過對數(shù)據(jù)進(jìn)行高位且不可逆的加密，保證數(shù)據(jù)包即使被他人截獲也無法破譯，從而實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。如同將存折放在抽屜里，客戶數(shù)據(jù)的安全性依賴于采用的加密技術(shù)及其加密的程度。MPLS VPN技術(shù)目前已相當(dāng)成熟，采用IPSec加密后，加密位已可達(dá)192位，并有動(dòng)態(tài)密鑰等技術(shù)確保其安全性。

5 結(jié)論

地基增強(qiáng)系統(tǒng)采用氣象專網(wǎng)（DDN）數(shù)據(jù)傳輸?shù)陌踩陨壙梢耘c數(shù)據(jù)傳輸加密機(jī)、MPLS VPN技術(shù)、IPSec/PPTP VPN技術(shù)配合使用，確保傳輸數(shù)據(jù)的保密性、完整性、可靠性；采用SDN專網(wǎng)數(shù)據(jù)傳輸?shù)幕景踩陨壟cDDN類似；對新增基站考慮可以考慮采用SDN專網(wǎng)配合數(shù)據(jù)傳輸加密機(jī)實(shí)現(xiàn)數(shù)據(jù)加密傳輸，也可采用SDH專網(wǎng)與VPN組建專網(wǎng)VPN，實(shí)現(xiàn)基站數(shù)據(jù)安全傳輸。為了縮減運(yùn)行成本，除了控制中心，其他站點(diǎn)數(shù)據(jù)傳輸都可以接入公共網(wǎng)絡(luò)，借助數(shù)據(jù)傳輸加密機(jī)或者硬件VPN實(shí)現(xiàn)數(shù)據(jù)安全傳輸。

[1]高飛.淺談DDN在政企行業(yè)中實(shí)際應(yīng)用及發(fā)展前景分析[J].數(shù)字技術(shù)與應(yīng)用,2015(5):42-43,47.

[2]歐陽翅.基于SDN架構(gòu)的MPLS VPN的設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué),2015.

[3]王妍.基于IPSec的VPN系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都電子科技大學(xué),2013.

[4]程思,程家興.VPN中的隧道技術(shù)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展,2010(2):156-159.

[5]王柱.基于IP城域網(wǎng)的MPLS VPN規(guī)劃與性能分析[D].天津:天津大學(xué),2006.

[6]郝輝,錢華林.VPN及其隧道技術(shù)研究[J].微電子學(xué)與計(jì)算機(jī),2004(11):47-51.

[7]徐家臻,陳莘萌.基于IPSec與基于SSL的VPN的比較與分析[J].計(jì)算機(jī)工程與設(shè)計(jì),2004(4):586-588.

[8]蔣東毅,呂述望,羅曉廣.VPN的關(guān)鍵技術(shù)分析[J].計(jì)算機(jī)工程與應(yīng)用,2003(15):173-177.

[9]梁家明.DDN專線連接兩個(gè)局域網(wǎng)接入方式的探討[J].廣西大學(xué)學(xué)報(bào)(自然科學(xué)版), 2005(S1):91-94.

[10]楊國榮,劉家軍.淺談數(shù)字?jǐn)?shù)據(jù)網(wǎng)(DDN)[J].現(xiàn)代電子技術(shù),2004(14):21-22,25.

馬雨田（1993―），女，助理工程師，主要研究方向?yàn)閿?shù)據(jù)傳輸、信息安全。E-mail:13939603293@qq.com