基于虚拟专用网(VPN)的农村公益电影播放服务器的远程注册

杨韩

中央宣传部电影数字节目管理中心,北京 100866

1 引言

农村公益电影播放服务器是由中央宣传部电影数字节目管理中心主导研发的能够简易操控数字影片播放的设备(以下简称“电影播放服务器”)。其中电影播放服务器的注册是让服务器设备与数字影片解码卡相绑定,实现 “一机一卡”并加入中心服务平台的必要步骤,是纳入农村公益电影大数据监管体系的重要环节,也是保障各院线公司正常开展公益放映活动的关键一步,只有完成注册的设备才能正常播放农村公益电影。目前注册加入中心服务平台的电影播放服务器已有十万余台,近几年新注册服务器数量均值在每年4000台左右,放映影片千万场次,受众高达上亿人次。

电影数字节目管理中心自主研发的电影播放服务器远程注册授权软件,可获取电影播放服务器设备信息,从而将服务器设备与数字影片解码卡相绑定并加入到中心服务平台。目前的注册方式是通过计算机与电影播放服务器用网线直连的方式进行信息获取匹配,这就要求注册工作需要专人携带注册用电脑和数字影片解码卡前往待注册电影播放服务器所在地点来现场完成注册工作,这一过程消耗了较多的时间在交通和设备摆放上。为了改善这一现状,我们开始寻求并尝试一些新的技术方法来改变现场注册的方式,经过多种方案对比,考虑采用虚拟专用网(VPN)技术来实现远程注册。

2 虚拟专用网(VPN) 的应用

2.1 虚拟专用网(VPN)的概念

互联网,即广域网、局域网及单机按照一定的通讯协议组成的国际计算机网络,是通过计算机信息技术将两台计算机或者是两台以上的计算机终端、客户端、服务端互相联系起来的结果,人们可以与远在千里之外的朋友建立通信[1]。由此即可想到,我们亦可通过一些技术方法让互联网成为新的传输介质,从而改善人员赶赴现场面对面注册的现状。这个技术方法就是虚拟专用网(VPN)技术。

虚拟专用网 (Virtual Private Network,VPN)是指在公用网络上基于隧道协议建立专用网络的技术。之所以称为虚拟专用网(VPN)主要是因为整个VPN 的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在网络业务提供商 (Internet Service Provider,ISP)所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络中建立的逻辑隧道 (Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性[2]。

2.2 虚拟专用网(VPN)的实现方法

2.2.1 虚拟专用网(VPN)的常用实现方法

虚拟专用网(VPN)的常用实现方法主要有以下四种。

(1)VPN 服务器:在大型局域网中,可以通过在网络中心搭建VPN 服务器的方法实现VPN；

(2)软件VPN:通过专用软件实现VPN；

(3)硬件VPN:通过专用硬件实现VPN；

(4)集成VPN:通过某些硬件设备,如路由器、防火墙等自带的VPN 功能实现VPN。

2.2.2 提高虚拟专用网 (VPN)安全性的常用方案

虚拟专用网 (VPN)直接构建在公用网上,安全问题更为突出,使用者需要确保VPN 数据不被攻击者窥视和篡改。以下方案可以提高VPN 的安全性。

(1) 隧道与加密:隧道能实现多协议封装,增加VPN 应用的灵活性,并且可以在无连接的IP 网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的安全性,使数据在网上传送而不被非法窥视和篡改。

(2)数据验证:在不安全的网络上,特别是构建VPN的公用网络上,数据包有可能被非法截获、篡改后重新发送,接收方将会收到错误的数据。数据验证使接收方可以识别这类篡改,从而保证数据的完整性。

(3) 用户验证:VPN 可使合法用户访问他们所需的资源,同时还要禁止未授权用户的非法访问。通过提供认证、授权和计费服务的网络安全管理机制(AAA),路由器可以提供用户验证、访问级别以及必要的访问记录等。

(4) 防火墙与攻击检测:防火墙用于过滤数据包,防止非法访问。而攻击检测则可更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开含非法访问内容的会话链接,并生成非法访问记录[3]。

2.2.3 适用于电影播放服务器远程注册的VPN实现方法

利用VPN 软件产品 (无需任何硬件设备)进行组网的方法比较简单:需要在作为组网成员的每个硬件设备上都安装其VPN 应用软件,只要注册账号,便可以用体验资格免费使用或以很便宜的价格按使用期限进行购买使用,成本较低,无需过多网络配置,易实施性较高。但由于电影播放服务器尚不具备安装VPN 程序的功能,所以要想使其成为VPN 的组网成员之一,需要通过在其他组网设备上安装配置文件来完成,故电影播放服务器的远程注册暂无法使用此方法。

另一种方式是利用开源VPN (Open VPN)进行网络搭建。但开源VPN 通常要以代码形式进行服务器端 (Open VPN Server)的安装配置,并生成客户端配置文件(client.ovpn),然后在对端的路由器上安装此配置文件,最后根据访问需求进一步调整配置代码以实现联通。配置完成后在服务器端安装电影播放服务器远程注册授权软件并在路由器端连接待注册电影播放服务器便可以实现远程注册操作。一些开源VPN可免费使用,支持大多数与IPsec(Internet Protocol Security)协议相关的扩展,VPN 服务提供商为Open VPN连接提供的最常见的实现方式是使用RSA密钥交换和SHA 签名的AES加密,推荐的设置是AES 256 加密,RSA 密钥至少为2048 位长,安全性比较高。此方法对工作人员的网络技术操作要求较高,搭建难度较大,实现起来相对困难。

如果采用带有VPN 功能的路由器或防火墙,同样需要将该VPN 设备安置于待注册电影播放服务器所在位置并进行VPN 功能启用配置,然后在访问端通过VPN 拨号或者USB密钥之类的安全访问配件来实现认证联通。这个方法可以实现电影播放服务器的远程注册,可通过管理界面配置网络,操作难度一般,含有设备本身配有的网络安全策略和访问记录等功能,安全性比较高。但一般拥有VPN 功能的路由器或防火墙在价格上通常都比没有这一功能的要贵,设备本身价格也远高于VPN 软件的租用价格,性价比相对较低,对于现实中较多的注册地点来说,设备的安置会有一定不便。

还有一种软硬件结合的智能组网方式,即在服务端安装VPN 软件,在访问端利用配套硬件VPN设备与组网成员 (待注册电影播放服务器)接入同一路由器来帮助完成组网,顶替了VPN 软件产品组网方法中原本需要在访问端安装VPN 客户端的必要条件。组网完成后即可在服务端使用电影播放服务器远程注册授权软件来进行注册操作。利用这种方法需要在服务网站注册账号,以体验资格免费使用,或以很便宜的价格按组网成员数量购买使用,成本较低。全程无需手动进行网络配置,易实施性较高,除了支持一些主流VPN 协议外,对组网成员的控制也比较灵活,且注册工作无需长时间保持VPN 连接,注册完成即可断开,安全性较高。

从成本、搭建难度、操作难度和安全性方面进行综合对比后,最终确定软硬件结合的VPN 实现方法更加适用于电影播放服务器的远程注册。下一步以此为方向,进行VPN 产品的选用。

2.2.4 实现虚拟专用网(VPN)的产品的选用

根据电影播放服务器远程注册的工作特点,本次VPN 组网选用蒲公英VPN 智能旁路盒子 (型号X1-2111)。该设备无需手动进行网络配置,与访问端设备,即待注册电影播放服务器接入同一个可上网路由器即可自动完成组网,通过指示灯可快速判断其工作状态,操作简单明了；体积小巧,仅有70mm×70mm×18mm,方便携带或邮寄；通过注册账号可进行组网成员的管理,组网成员数量不超3位可免费使用,组网成本仅需考虑X1-2111 的价格,非常便宜；支持采用RSA 2048/AES方式加密传输,组网成员由管理员自行选择,成员外机器无法互联互通,改变组网结构马上生效,随时可以增减成员,安全性比较高。

3 VPN 网络环境搭建

3.1 VPN 网络搭建所用设备

(1)VPN 设备

VPN 设备指能够搭建虚拟专用网 (VPN)的硬件设备。本次选用蒲公英VPN 智能旁路盒子,型号为X1-2111。

(2)电影播放服务器

电影播放服务器是专用于农村公益电影放映的影片播放设备,各服务器生产厂家按照电影数字节目管理中心统一要求的技术标准生产,注册功能一致。

(3)路由器

路由器指连接两个以上个别网络的设备。一般常见的含两个闲置LAN 口的家用或办公用路由器即可。

(4)注册终端

注册终端指安装了电影播放服务器远程注册授权软件的计算机,以下简称“注册电脑”。

3.2 VPN 设备组网

如图1所示,首先需要将VPN 设备邮寄给电影播放服务器厂家,在电影播放服务器所在地将VPN 设备(蒲公英X1-2111)连接电源并通过网线将其连接到一台路由器的LAN 口上,同时确保该路由器的WAN 口所连网线能够正常接入互联网。此时VPN 设备指示灯会出现不同阶段变化:从白灯闪烁,表示系统启动中；到红灯闪烁,表示正在连接互联网；再到白灯常亮,表示已连接互联网,但尚未完成组网；最后蓝灯闪烁,表示正在组网；直到蓝灯常亮,表示组网完成。该过程由VPN 设备自动完成,无需人工干预。然后将电影播放服务器通过网线接入同一台路由器的另一个LAN 口,加入组网。之后,在电影数字节目管理中心办公区启用注册电脑,确保该计算机能够正常接入互联网,通过安装蒲公英访问端应用软件并注册账号、登录,从而实现对VPN 设备和电影播放服务器的联通。其中,登录蒲公英VPN 设备管理网站或登录蒲公英访问端应用软件,均可以看到VPN 设备X1-2111和电影播放服务器已连接的状态。在蒲公英访问端应用软件中,亦可进行组网成员的网络联通情况检测。

图1 VPN 设备组网拓扑图

联通后即实现了两端设备的互相访问,便可使用注册电脑上安装的播放服务器远程注册授权软件进行注册操作。

3.3 组网环境注意事项

利用VPN 设备蒲公英X1-2111 实现远程访问的环境无需公网IP,有Internet网络即可,只需要让待注册的电影播放服务器和注册电脑所在地点均可连接互联网。注册过程只涉及传输指令信息和很小数据量,不涉及传输大文件,因此占用带宽很少。值得注意的是,两端网络环境还是要尽可能避免被其它用网设备所影响。

4 基于虚拟专用网 (VPN) 的电影播放服务器的远程注册

4.1 远程注册的操作

注册端人员通过操控电影播放服务器远程注册授权软件,同时与待注册电影播放服务器所在地人员保持沟通,进行逐台服务器接入互联网来完成注册操作。这个过程需要两端人员以电话等形式密切联络,认真记录,以保证服务器的注册顺序无误,方便后续的数字影片解码卡读取确认步骤顺利进行。

电影播放服务器在其生产工厂生产完成后,可在厂内有网环境完成注册工作,无需再运输到其他地点进行设备摆放、上电等操作,最终注册完成后即可进行装箱、发货等后续流程,各院线公司、放映队收到电影播放服务器后即可正常使用。这个改变可以大幅节省人员外出和设备运输时间,使注册工作能更快完成。

4.2 远程注册的注意事项

(1)每一台电影播放服务器注册完成后,显示界面会提示注册成功。如果失败或异常,需及时检查服务器网口、硬盘等配置,现场可及时更换配件。

(2)提示注册成功后,并不一定代表电影播放服务器可以投入使用,还需要将授权完成的数字影片解码卡邮寄到播放服务器所在地点,逐台插卡、读卡。读卡成功即代表该台电影播放服务器可正常使用；读卡失败,需检查解码卡或电影播放服务器的读卡器是否正常,如果异常需要更换。通常情况下,遇到新数字影片解码卡故障的情况极为少见,所以因新数字影片解码卡故障而造成耽误工时的风险极小。

4.3 远程注册的优势和不足

通过使用VPN 设备建立虚拟专用网 (VPN)来取代原来现场的直连网线成为新的传输介质进行电影播放服务器注册操作,可以总结出该项技术方法的一些优势和存在的不足:

优势: (1)节省了注册工作人员的时间成本、外出工作的各项开支以及生产厂家将设备从外省市工厂运输到本市现场注册地点的费用；(2)提高了注册的整体工作效率,尤其在大环境受疫情影响情况下,避免了人员接触,能够有效减轻注册工作堆积的情况,能够更加及时地为各院线放映队提供放映设备,为其放映工作的顺利开展提供保障；(3)组网比较简单,对两端注册人员的网络技术要求较低,易于上手操作,且VPN 设备成本低,易于搭建和使用。

存在的不足:(1)电影播放服务器仍然需要逐台插拔网线进行注册,注册过程需要双方人员保持密切沟通,记录准确注册设备的顺序,为后续工作提供便利；(2)为保障电影播放服务器在发货前能正常使用,一般设备提示注册成功后,还需要读取数字影片解码卡加以验证,存在极小需要换卡重新注册的可能性。

4.4 适配不同应用场景的远程注册方案

针对不同的注册需求,应当灵活运用远程注册,结合实际工作情况进行安排。以下提出适配常用的两种应用场景的注册方案。

(1)注册端位于电影数字节目管理中心办公区,待注册电影播放服务器位于其生产工厂,VPN 设备架设在生产工厂。考虑到电影播放服务器需要逐台连接电源进行开机,可同时接电的设备数量有限,且注册过程需要逐台插拔网线,注册完成后,需重新接电开机来进行数字影片解码卡读取的验证环节,当待注册电影播放服务器数量达到几百台甚至上千台,人员工作量就会翻倍增长。故此方案比较适合少量新电影播放服务器的注册,数量在1～40台左右为宜,亦比较符合目前日常注册量级,涉及成百上千台的注册量,依然建议采取现场注册方式完成。

(2)注册端位于电影数字节目管理中心办公区,待注册电影播放服务器位于任意可接入互联网的地方,VPN 设备邮寄到待注册电影播放服务器所在地。此方案适合为发生丢失注册信息故障或更换主板的电影播放服务器进行重新注册。

5 结论

采用虚拟专用网 (VPN)技术进行农村公益电影播放服务器的远程注册工作是科技赋能的一种体现,能够大幅节省人员外出、设备运输等方面的开支,缩短注册工作时间,提升工作效率。采用VPN设备组网操作简单,易于实现,安全性较高,可改变人与人面对面现场工作的现状,尤其适用于难以现场注册以及与待注册电影播放服务器距离远的情况。建议采用该技术方法进行大量的实际环境测试来进一步验证其实用性和可靠性。