反向VPN模式下飞机维修网络系统实现.docVIP

反向VPN模式下飞机维修网络系统实现 　　摘 要：本文利用反向VPN技术访问“飞机维修服务网络”，从技术背景、网络层级模式，接入方式、吞吐控制策略、核心技术等方面做概述分析，提供一个满足跨越区域和网络登入限制、安全认证等高级别的飞机维修通讯网络解决方案，从而达到建设低成本、高性能、易建设、高安全的联合维修网络。 　　关键词：飞机维修 维修网络 反向VPN 　　一、前言 　　在中国，航空公司背负沉重的成本负担前行，其中飞机维修成本占航空公司总成本10～20%，而维修费用达到购机费用2/3，中国CCAR-145部266家维修单位能够进行飞机和发动机大修单位仅3家。现在国内普及宽带作为接入支撑平台，普遍使用VPN技术保证安全，但传统方案大多借助DNS-ALG（动态域名系统-应用层网关）在NAT（Network Address Translator）上部署，结合公网与私网DNS服务器实现[1]，利用反向VPN来实现NAT链接方案能有效建立一套基于SSL协议强密算法、身份认证，公网私用，专网反向穿透的VPN安全网络，采用全新内网外接的布署策略，大大减少维护成本，可成功穿越NAT设备，具有组网灵活性强、管理维护成本低、用户操作便捷等优势。 　　为此，我们亟需建立数字网络维修化平台，增强联合技术攻关、资源共享，人力互补，综合运用计算机技术、数字通信技术、专用网络传输、检测和诊断技术、多媒体技术和智能化技术[2]，使各种维修信息能实时或近实时地传递、处理、存储与交流，达到整个维修体系范围内能力提升，实现飞机维修诊断、监控、决策、通信、保障高度一体化。 　　二、飞机维修与基本连接通讯协议 　　目前关于生产、监控、测试数字化技术有：瑞典Kvaser公司世界上首个制定出高层协议CAN Kingdom、Magi Sync和Silent mode技术， 德国SOFTING公司的现场总线通信、诊断和OPC技术，数据采集系统前端测量模块（SIM 系列，T系列，M 系列）将所连接的传感器上的信号，以CAN 报文的方式发送到CAN总线上，提供独立采集模式和同步数据采集两种工作模式[3]。 　　三、反向VPN模式下飞机维修网络控制 　　反向VPN虚拟专用网方案的关键技术包括：隧道策略、隧道协议、密钥管理技术、流量技术、加密解密与认证技术、用户终端与设备身份认证技术。 　　1.隧道协议与策略控制 　　VPN隧道分布在第二层链路层隧道协议、第三网络层隧道协议和第四工作高层隧道协议，其中隧道包括对称和非对称隧道。 　　2.安全控制技术 　　包括加密解密算法、密钥管理和身份认证技术， SSL VPN，通过虚拟驱动SSL协议交换密钥、身份安全信息等并结合曲线加密算法、PKI系统来实现隧道双方系统认证[4]，著名对称密钥加密算法有3DES、GDES、DES等，非对称算法有RSA、背包密码等，其中最有影响RSA算法能抵抗到目前为止已知的所有密码攻击，籍此保证隧道传输数据的秘密性、完整性和可鉴别性。 　　四、飞机网络服务技术链接框架 　　1.反向VPN模式下航空飞机网络通讯流程 　　反向VPN网关必须从维修终端发起内网资源请求、建立SSL安全隧道后（见图1），按照系统安全策略进行访问控制决策，转发用户请求访问的内网资源[5]，最后切断VPN进入专网用户终端，因此基于反向VPN的工作流分三个阶段： 　　第一阶段：建立自愿请求隧道 　　飞机维修工作站通过发送VPN请求来配置和创建一条自愿隧道，此时用户端计算机作为隧道的客户方成为隧道的一个端点，创建到目标隧道服务器的虚拟连接。 　　1.1自愿请求访问：维修终端客机WS_A执行网关的映射URL（诸如54），使用HTTPS协议进入路由网关登录并与SSL VPN网关转发认证请求并建立自愿安全隧道连接，将用户身份信息递交给本地身份认证数据库。 　　1.2认证结果：VPN服务器CS_A依据数据库反馈用户验证结果，若成功则进入，否则退出。 　　图1 基于反向VPN飞机维修网络系统 　　第二阶段： 资源控制安全 　　1.3访问控制请求：通过认证之后，SSL VPN 服务器CS_A将用户WS_A的54网段数据包导入SSL隧道，执行系统访问策略控制。 　　1.4安全检查：远程主机在网关自动调入ActiveX程序对主机状态进行审查评估，以确定用户角色和主机WS_A安全状态，服务器CS_B的IP地址记录进入NAT资源库列表，生成允许用户访问的资源。 　　第三阶段：内网终端导通 　　1.5资源与界面下发：服务器CS_B解密并生成用户访问许可列表，切断CS_B的VPN导向服务网络隧道，VPN网关通过HTTPS协议返回内网封装资源，以Web页面方式返回到用户主WS_A，客机WS_A收到主机CS_A网络资源，