基于VPN和5G技術(shù)的誘導(dǎo)屏通信系統(tǒng)研究

潘艷祿

黑龍江工商學(xué)院，黑龍江 哈爾濱 150025

0 引言

交通對城市發(fā)展具有非常重要的影響，隨著人口日益集中于城市，城市交通問題成為人們面臨的難題之一。中國的經(jīng)濟快速發(fā)展，人們的生活水平日益提高，私家車的數(shù)量也在急劇增加，城市交通基礎(chǔ)設(shè)施的建設(shè)速度已經(jīng)不能滿足快速增長的交通需求，城市交通擁堵和出行困難成為普遍問題。道路使用者如果無法提前預(yù)測將要行駛路段的擁堵情況，強行進入擁堵路段，該路段的擁堵情況將會更加嚴重。根據(jù)研究，現(xiàn)有交通誘導(dǎo)系統(tǒng)的通信方式包括光纖通信、GPRS通信、3G通信和4G通信等形式[1]。光纖通信的使用或租用成本高、誤碼率高[2]，而GPRS、3G和4G通信限制了誘導(dǎo)系統(tǒng)的實時傳輸速度。為了解決上述問題，必須開發(fā)基于VPN和5G技術(shù)的誘導(dǎo)屏通信系統(tǒng)。

構(gòu)建智能城市交通誘導(dǎo)系統(tǒng)有助于建設(shè)一個“傳輸效率高、數(shù)據(jù)安全、管理清晰、信息文明”的智能城市系統(tǒng)，從而為道路使用者提供所有的交通信息，為交通管理服務(wù)者提供用戶友好的界面和及時、準確、全面、充分的信息支持。誘導(dǎo)屏通信系統(tǒng)的研究需要解決系統(tǒng)服務(wù)器布局、系統(tǒng)應(yīng)用端數(shù)據(jù)發(fā)布、基礎(chǔ)信息管理、系統(tǒng)數(shù)據(jù)備份、系統(tǒng)數(shù)據(jù)請求、5G通信網(wǎng)絡(luò)、數(shù)據(jù)加密等技術(shù)問題[3]。

1 核心技術(shù)

1.1 5G網(wǎng)絡(luò)通信技術(shù)

2019年10月31日，在2019中國國際信息通信展覽會上，國家工業(yè)和信息化部宣布正式啟動5G的商業(yè)化運行，中國移動、中國電信和中國聯(lián)通在同日宣布了商用5G的技術(shù)標準。5G通信技術(shù)采用數(shù)字IP技術(shù)，支持包耦合功能，提高了系統(tǒng)的時延和流量性能，這是5G控制通信系統(tǒng)的先決條件[4]?；诖?，誘導(dǎo)屏通信系統(tǒng)采用低延遲、高帶寬的無線5G通信技術(shù)來解決3G和4G通信傳輸?shù)闹袛嗪蛿U展問題。

1.2 VPN網(wǎng)絡(luò)技術(shù)

VPN使用的是Internet上的公共鏈路，因此VPN被稱為虛擬專用網(wǎng)絡(luò)，其本質(zhì)是使用加密技術(shù)在公共網(wǎng)絡(luò)上封裝一個數(shù)據(jù)通信隧道[5]。利用VPN網(wǎng)絡(luò)技術(shù)，可以在公共網(wǎng)絡(luò)上構(gòu)建虛擬專用網(wǎng)絡(luò)進行加密通信，VPN網(wǎng)關(guān)通過加密和轉(zhuǎn)換數(shù)據(jù)包的目標地址來實現(xiàn)遠程訪問，遠程控制設(shè)備。VPN網(wǎng)絡(luò)可以是企業(yè)內(nèi)部網(wǎng)的擴展，幫助遠程用戶、業(yè)務(wù)子公司、業(yè)務(wù)合作伙伴和供應(yīng)商建立連接到企業(yè)內(nèi)部網(wǎng)的安全可靠鏈接。由于VPN是臨時建立在互聯(lián)網(wǎng)上的安全私有虛擬網(wǎng)絡(luò)，用戶可以節(jié)省租用專線的費用。除了購買VPN設(shè)備，企業(yè)只需向相應(yīng)的互聯(lián)網(wǎng)供應(yīng)商支付一定的互聯(lián)網(wǎng)接入費，這是VPN網(wǎng)絡(luò)通信成本較低的重要原因[6]。

根據(jù)誘導(dǎo)屏終端與控制中心對交互數(shù)據(jù)的需求，專家組經(jīng)討論后建議采用IPSec VPN通信技術(shù)。IPSec VPN是指使用IPSec協(xié)議實現(xiàn)遠程訪問的VPN技術(shù)，被稱為Internet安全協(xié)議。它是互聯(lián)網(wǎng)工程任務(wù)組（IETF）定義的標準框架，可以為公用網(wǎng)絡(luò)上的兩個專用網(wǎng)絡(luò)提供安全通信通道，并通過在兩個公用網(wǎng)關(guān)之間提供專用數(shù)據(jù)包服務(wù)的加密通道確保連接的安全。IPSec是一種相對完整和系統(tǒng)的VPN技術(shù)，它設(shè)定了許多協(xié)議標準[7]。

作為一項成熟的技術(shù)，VPN被廣泛應(yīng)用于總部和分支機構(gòu)之間的網(wǎng)絡(luò)連接。它可以利用現(xiàn)有的互聯(lián)網(wǎng)渠道創(chuàng)建一條虛擬專線，連接分支部門和總部，形成大型局域網(wǎng)。導(dǎo)入IPSec協(xié)議有兩個原因。（1）原始的TCP/IP系統(tǒng)不包括備份設(shè)計，只要能夠連接到線路，任何人都可以分析所有通信數(shù)據(jù)，而IPSec可以建立完整的安全機制，包括加密、認證和數(shù)據(jù)控制功能[8]。（2）隨著互聯(lián)網(wǎng)的迅速發(fā)展，接入網(wǎng)絡(luò)變得越來越方便，許多客戶希望利用互聯(lián)網(wǎng)帶寬實現(xiàn)遠程網(wǎng)絡(luò)的連接。IPSec協(xié)議采用包封裝技術(shù)，可以利用Internet將IP地址封裝在內(nèi)部網(wǎng)絡(luò)上，實現(xiàn)遠程網(wǎng)絡(luò)的交互功能。

1.3 數(shù)據(jù)傳輸加密技術(shù)

最初設(shè)計Internet協(xié)議時，32位的IP地址就已經(jīng)可以滿足日常通信需求，但目前互聯(lián)網(wǎng)技術(shù)的發(fā)展規(guī)模已經(jīng)超出原有的范圍。32位的IP地址理論上最多可以包含4 000 000 000個IP地址，這些IP地址的使用非常緊張。此外，約70%的IP地址由美國分配，可分配給中國的IP地址資源非常有限。由于IP地址有限，對于與LAN的遠程通信采用打包的方式是最好的選擇。

系統(tǒng)傳輸?shù)臄?shù)據(jù)經(jīng)過打包和加密算法加密后，通過5G無線網(wǎng)絡(luò)傳輸?shù)秸T導(dǎo)屏的接收端。控制系統(tǒng)可以解密和驗證數(shù)據(jù)的準確性，以評估所接收數(shù)據(jù)的準確性，有效避免有害信息的傳輸，確保顯示信息的安全性。此外，系統(tǒng)軟件和數(shù)據(jù)庫也需要加密。

2 誘導(dǎo)屏通信系統(tǒng)的結(jié)構(gòu)

誘導(dǎo)屏通信系統(tǒng)采用B/S（Browser/Server）結(jié)構(gòu)模式，用戶通過計算機和客戶端使用系統(tǒng)。系統(tǒng)包括發(fā)布信息組織模塊、信息通信模塊、發(fā)送管理模塊和數(shù)據(jù)備份查詢模塊等。過去，遠程訪問通常采取租用DDN（數(shù)字數(shù)據(jù)網(wǎng)絡(luò)）的傳統(tǒng)方法，借助專線或中繼框架來提供通信服務(wù)，這樣的通信系統(tǒng)會增加使用和維護成本。利用誘導(dǎo)屏通信系統(tǒng)，導(dǎo)航監(jiān)視器可以通過VPN網(wǎng)絡(luò)模式下的移動終端訪問系統(tǒng)控制中心，并與中央內(nèi)部網(wǎng)中的服務(wù)器進行交互，此訪問屬于遠程訪問。

3 誘導(dǎo)屏通信系統(tǒng)的實現(xiàn)

3.1 VPN通信解決方案

誘導(dǎo)屏終端一般通過互聯(lián)網(wǎng)進入企業(yè)局域網(wǎng)，這存在安全隱患。允許誘導(dǎo)屏終端訪問intranet資源、使用VPN的解決方案是在intranet中創(chuàng)建VPN服務(wù)器。當誘導(dǎo)屏通過5G設(shè)備連接到互聯(lián)網(wǎng)時，VPN服務(wù)器通過互聯(lián)網(wǎng)連接，然后可以通過VPN服務(wù)器進行數(shù)據(jù)交互。為了保證數(shù)據(jù)安全，VPN服務(wù)器和VDU終端之間的通信數(shù)據(jù)被加密，數(shù)據(jù)在專用數(shù)據(jù)鏈路及專用網(wǎng)絡(luò)上進行安全傳輸?；赩PN技術(shù)，只要誘導(dǎo)屏終端可以接入互聯(lián)網(wǎng)，就可以使用VPN訪問核心資源，這使得VPN在企業(yè)中得以普及。

3.2 封裝協(xié)議

控制終端與控制中心之間數(shù)據(jù)的交互通信可以通過IPSec協(xié)議實現(xiàn)。控制中心局域網(wǎng)中的計算機會準備數(shù)據(jù)并將數(shù)據(jù)發(fā)送到控制中心網(wǎng)絡(luò)上的路由器（互聯(lián)網(wǎng)上的IP地址）上，再發(fā)送到監(jiān)視器的5G控制單元。接收到數(shù)據(jù)后，5G控制單元將其傳輸至誘導(dǎo)屏以分析數(shù)據(jù)。通信溝通效果取決于以下因素：

（1）誘導(dǎo)屏上的5G設(shè)備和控制中心的路由器具備用于通信的互聯(lián)網(wǎng)IP地址；

（2）控制中心局域網(wǎng)內(nèi)的計算機可以正確處理數(shù)據(jù)并將數(shù)據(jù)準確發(fā)送給控制中心網(wǎng)絡(luò)上的路由器；

（3）中央網(wǎng)絡(luò)上的路由器能夠正確處理接收到的信息，重新打包的信息能夠正確傳輸；

（4）5G控制面板設(shè)備在接收到信息后，可以將其正確地發(fā)送至控制面板。

3.3 隧道通信

（1）VPN節(jié)點。VPN節(jié)點一般是VPN網(wǎng)關(guān)或客戶端軟件，在VPN網(wǎng)絡(luò)中，VPN節(jié)點是用于聯(lián)網(wǎng)的通信中心，它能夠直接連接到互聯(lián)網(wǎng)、ADSL和電話等，也可以通過NAT、本地寬帶、CDMA互聯(lián)網(wǎng)、鐵通接入線等進行支持，讓誘導(dǎo)屏通過5G連接。

（2）隧道路線。一個系統(tǒng)可以使用多種設(shè)備建立隧道，因此隧道選擇是關(guān)鍵。傳輸?shù)侥膫€目的地或使用哪個隧道，需要根據(jù)之前的通信模型選擇。誘導(dǎo)屏設(shè)備和控制中心的路由器都是隧道節(jié)點，其通過網(wǎng)絡(luò)系統(tǒng)建立接入碼的通信條件是建立數(shù)據(jù)隧道。當控制系統(tǒng)和控制中心計算機將信息傳輸至控制面板的5G設(shè)備和控制器的路由器時，應(yīng)根據(jù)實際情況選擇封裝信息及封裝后將信息發(fā)送給目標的方式。如果有許多節(jié)點，隧道路線將比較復(fù)雜；如果對方是動態(tài)IP地址，則需要及時有效地發(fā)現(xiàn)對方IP地址的變化。根據(jù)通信模型，如果節(jié)點上的IP地址頻繁變化，必須建立有效的機制及時發(fā)現(xiàn)節(jié)點上5G單元模塊的地址變化。如果兩個設(shè)備都有合法的公共IP，則更容易建立隧道；如果任何一方落后于NAT數(shù)據(jù)，建立隧道會比較困難。由于防火墻必須更改端口信息，以便將返回的包傳輸?shù)秸_的內(nèi)部主機，在建立隧道路線時，可以通過內(nèi)部VPN節(jié)點啟動UDP連接，然后封裝IPSec發(fā)送給另一方。UDP連接可以被防火墻記住，因此通過UDP封裝的IPSec包可以通過防火墻來回發(fā)送，一旦隧道建立，則確定隧道。配置多個VPN隧道時，需要定義保護網(wǎng)絡(luò)，再根據(jù)受保護的網(wǎng)絡(luò)關(guān)系確定隧道，但這會使隧道失去處理通信數(shù)據(jù)的靈活性。

3.4 節(jié)點查找

常見的IPSec VPN類型包括位置到位置（目標LAN）、easy VPN（遠程訪問VPN）、DMVPN（動態(tài)多點VPN）、少量VPN（組加密傳輸getVPN）等，文章設(shè)計的誘導(dǎo)屏通信系統(tǒng)采用局域網(wǎng)對局域網(wǎng)的多點、站的兩中心通信方式。如果設(shè)備處于動態(tài)撥號模式，應(yīng)使用靜態(tài)第三方進行分析。靜態(tài)第三方對應(yīng)于兩個經(jīng)常移動的設(shè)備，為了搜索并接應(yīng)到一方，兩個動態(tài)的設(shè)備之間必須有一個公共的節(jié)點，這樣就可以實現(xiàn)無差別通信。

3.5 域名管理

可以通過DDNS動態(tài)域名進行通信管理。在調(diào)用VPN設(shè)備后，動態(tài)域名技術(shù)會在主域名服務(wù)器上記錄其當前IP地址，并更新其輔助域名IP地址，其他互聯(lián)網(wǎng)用戶可以通過這個輔助域名找到它。動態(tài)設(shè)備可以發(fā)送其當前IP地址到服務(wù)器，其他設(shè)備可以通過網(wǎng)絡(luò)頁面進行查詢。通過這種方式，實體設(shè)備可以通過網(wǎng)頁找到彼此。這種方法可以有效地分散集中身份驗證的風險，并且易于備份，但是要注意通信安全。

在網(wǎng)頁上，每個VPN單元只能看到同一組中的其他單元，不能跨組訪問，這種方法適用于集中式VPN。公司總部通過使用服務(wù)器可以實現(xiàn)全球單位的統(tǒng)一認證和管理，但是因為存在信任問題，其不適合于分布式用戶的批準。DDNS動態(tài)域名管理還可以執(zhí)行在線身份驗證等功能，如果管理中心有多個職能，也可以集中制訂溝通策略。

3.6 通信數(shù)據(jù)加密

3.6.1 安全協(xié)議和數(shù)據(jù)加密

控制中心的操作員會通過互聯(lián)網(wǎng)將數(shù)據(jù)從5G設(shè)備發(fā)送到導(dǎo)航屏幕，這期間會有多人查看通信數(shù)據(jù)或銷毀數(shù)據(jù)。為了解決這個問題，必須使用安全協(xié)議，安全協(xié)議可由控制中心計算機和控制面板控制系統(tǒng)完成，文本以代碼的形式顯示。安全協(xié)議允許控制中心控制誘導(dǎo)屏的5G設(shè)備執(zhí)行工作，在發(fā)送數(shù)據(jù)時，需要在鍵入數(shù)據(jù)后利用安全協(xié)議代碼重寫數(shù)據(jù)。

可以使用IPSec協(xié)議中的加密技術(shù)封裝數(shù)據(jù)和轉(zhuǎn)換數(shù)據(jù)，加密可以在Internet出口的VPN網(wǎng)關(guān)上完成，在到達目的地時數(shù)據(jù)能夠恢復(fù)到原始外觀。

3.6.2 引入數(shù)據(jù)特征算法

數(shù)據(jù)加密是使用代碼來表示消息中的文本。黑客雖然不能直接破壞數(shù)據(jù)，但其可以偽造數(shù)據(jù)或隨意改變數(shù)據(jù)，使數(shù)據(jù)通信的內(nèi)容不可識別，并且接收數(shù)據(jù)的一方不能接收原通道的通信數(shù)據(jù)。為了避免這種后果，有必要引入防止數(shù)據(jù)被操縱的機制，如果數(shù)據(jù)被非法更改，可以快速識別。在實際通信中，可以使用算法來計算數(shù)據(jù)特征，然后在數(shù)據(jù)后增加識別數(shù)據(jù)特征的代碼。當信息發(fā)生變化時，特征也會發(fā)生變化，接收數(shù)據(jù)的一方需要檢查信息的特征。如果數(shù)據(jù)被修改，修改后的數(shù)據(jù)特征值將不匹配，接收數(shù)據(jù)的人可以識別。

3.6.3 身份查驗

由于控制中心的路由器必須連接誘導(dǎo)屏，因此路由器不設(shè)置在局域網(wǎng)內(nèi)，這樣可以最大限度地確保數(shù)據(jù)安全。如果控制中心的路由器需要向誘導(dǎo)屏修復(fù)損失的5G通信數(shù)據(jù)，其應(yīng)當獲取相應(yīng)的訪問權(quán)限，即進行身份查驗。VPN身份認證中可以查驗預(yù)共享密鑰等，并且通信各方可以使用約定的加密和解密接入碼，從而實現(xiàn)通信數(shù)據(jù)的直接溝通。

4 結(jié)論

目前，誘導(dǎo)屏通信系統(tǒng)已進入試驗階段，解決了以往的信息傳播效率慢、統(tǒng)計信息過時、數(shù)據(jù)崩潰等問題。誘導(dǎo)屏通信系統(tǒng)采用5G通信技術(shù)，在傳輸速度、規(guī)模、穩(wěn)定性等方面滿足行業(yè)需求，可以最大限度地實現(xiàn)數(shù)字化的數(shù)據(jù)通信。