淺析基于IPSec協(xié)議的VPN技術(shù)在集控自動(dòng)化主站的應(yīng)用

劉婉瀾　邱愛(ài)軍

摘 要：利用IPSec協(xié)議封裝負(fù)載數(shù)據(jù)，可構(gòu)建安全性能更強(qiáng)的虛擬專(zhuān)用網(wǎng)絡(luò)，本文根據(jù)基于IPSec協(xié)議的VPN系統(tǒng)的特點(diǎn)，結(jié)合其在集控自動(dòng)化主站的應(yīng)用，做了簡(jiǎn)要的闡述，并詳細(xì)介紹了電力系統(tǒng)專(zhuān)用遠(yuǎn)程撥號(hào)安全網(wǎng)關(guān)在集控中心自動(dòng)化主站系統(tǒng)的應(yīng)用及功能作用。

關(guān)鍵詞：VPN； IPSec； PPP； 隧道

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-3315（2014）12-188-001

一、引言

虛擬專(zhuān)用網(wǎng)（Virtual Private Network，VPN）是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶(hù)一種直接連接到私人局域網(wǎng)感覺(jué)的服務(wù)”。傳統(tǒng)的組網(wǎng)方法是通過(guò)專(zhuān)線互聯(lián)，但這對(duì)于一些地理位置相距較遠(yuǎn)的單位顯然是行不通的，而VPN技術(shù)卻正好彌補(bǔ)了這一缺陷，它通過(guò)利用一個(gè)開(kāi)放的公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，采用隧道技術(shù)，將企業(yè)網(wǎng)的數(shù)據(jù)加密封裝后，通過(guò)虛擬的公網(wǎng)隧道進(jìn)行傳輸，實(shí)現(xiàn)了兩個(gè)或多個(gè)遠(yuǎn)程私有網(wǎng)絡(luò)（局域網(wǎng)）的互通，從而防止敏感數(shù)據(jù)的被竊，達(dá)到專(zhuān)線組網(wǎng)的效果，而且極大地降低了用戶(hù)的費(fèi)用，有效保證通訊的機(jī)密性和完整性，抵御來(lái)自因特網(wǎng)上的安全威脅。

二、VPN技術(shù)

構(gòu)建VPN網(wǎng)絡(luò)這條安全通道的協(xié)議必須具備以下條件：

在原始IP報(bào)文中，源IP地址和目的IP地址分別為兩個(gè)局域網(wǎng)的地址，VPN網(wǎng)關(guān)將這些數(shù)據(jù)包再次封裝，加入新的IP頭部，源IP地址和目的IP地址以及VPN協(xié)議頭部，用于加密和驗(yàn)證，然后新的IP報(bào)文在因特網(wǎng)上傳輸，對(duì)方VPN網(wǎng)關(guān)收到后進(jìn)行解密和驗(yàn)證，將解封后的原始IP報(bào)文轉(zhuǎn)發(fā)到自身局域網(wǎng)。

目前，VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、用戶(hù)與設(shè)備身份認(rèn)證技術(shù)四項(xiàng)技術(shù)來(lái)保證安全

三、IPSec協(xié)議概述

為克服IP協(xié)議設(shè)計(jì)中存在的缺點(diǎn)，IPSec研究制定了一系列基于加密技術(shù)的IP協(xié)議安全機(jī)制和標(biāo)準(zhǔn)，以保護(hù)使用IP協(xié)議傳輸?shù)母鱾€(gè)高層協(xié)議。IETF的IPSec工作組已經(jīng)制定了12個(gè)RFC，對(duì)IPSec的方方面面都進(jìn)行了定義，但其核心由其中的三個(gè)最基本的協(xié)議組成。即：認(rèn)證協(xié)議頭（AH）、安全載荷封裝（ESP）和因特網(wǎng)密鑰管理協(xié)議（IKMP）。

IPSec協(xié)議有一個(gè)最基本的優(yōu)勢(shì)就是它可以在各種網(wǎng)絡(luò)訪問(wèn)設(shè)備、主機(jī)服務(wù)器和工作站上完全實(shí)現(xiàn)，從而使其構(gòu)成的安全通道幾乎可以延伸至網(wǎng)絡(luò)的任意位置。在網(wǎng)絡(luò)端，可以在路由器、防火墻、代理網(wǎng)關(guān)等設(shè)備中實(shí)現(xiàn)VPN網(wǎng)關(guān)；在客戶(hù)端，IPSec架構(gòu)允許使用基于純軟件方式使用普通Modem的PC機(jī)和工作站。IPSec通過(guò)兩種模式（傳輸模式和隧道模式）在應(yīng)用上提供更多的彈性。

IPSec用密碼技術(shù)從三個(gè)方面來(lái)保證數(shù)據(jù)的安全：認(rèn)證-完整性檢查-加密，為雙方安全通信提供了一個(gè)透明的安全通道，在一定程度上保證了網(wǎng)絡(luò)層的數(shù)據(jù)安全性。

四、集控主站的技術(shù)應(yīng)用

目前，省檢修公司自動(dòng)化主站采用HRFW-3000V電力系統(tǒng)專(zhuān)用遠(yuǎn)程撥號(hào)安全網(wǎng)關(guān)，實(shí)現(xiàn)安全的遠(yuǎn)程維護(hù)功能。裝置采用工業(yè)級(jí)服務(wù)器、硬件USB Key證書(shū)密鑰存儲(chǔ)、身份認(rèn)證、防火墻、VPN等安全技術(shù)，將TCP/IP網(wǎng)絡(luò)通訊技術(shù)、IPSEC安全隧道技術(shù)以及USB KEY加密認(rèn)證技術(shù)融合在一起，為生產(chǎn)控制大區(qū)的技術(shù)維護(hù)人員提供安全的遠(yuǎn)程接入。同時(shí)對(duì)撥號(hào)接入用戶(hù)進(jìn)行認(rèn)證，對(duì)傳輸?shù)男畔⑦M(jìn)行加密和數(shù)字簽名，并設(shè)置安全策略對(duì)接入的用戶(hù)訪問(wèn)的范圍和資源進(jìn)行限制，通過(guò)審計(jì)日志對(duì)其訪問(wèn)進(jìn)行詳細(xì)的記錄，以電力二次系統(tǒng)安全防護(hù)的強(qiáng)度，確保了撥號(hào)用戶(hù)操作的責(zé)任性和可追查性。

HRFW-3000V分為HRFW-3000V撥號(hào)服務(wù)器主機(jī)和HRFW-3000V移動(dòng)客戶(hù)端兩部分，撥號(hào)服務(wù)器主機(jī)連接生產(chǎn)控制大區(qū)（安全區(qū)I）。移動(dòng)客戶(hù)端則隨身攜帶，只要有電話線的地方都可以使用，撥號(hào)服務(wù)器主機(jī)的網(wǎng)卡與安全I(xiàn)區(qū)相連，一條或多條電話線接在撥號(hào)服務(wù)器的MODEM接口上，電話線需要擁有電話號(hào)碼；移動(dòng)客戶(hù)端用一條電話線接在其MODEM接口上；在撥號(hào)服務(wù)器主機(jī)內(nèi)部分配I區(qū)網(wǎng)段地址，同時(shí)設(shè)置用戶(hù)并對(duì)其進(jìn)行授權(quán)。封裝的數(shù)據(jù)包將被VPN軟件重新封裝并加密為VPN數(shù)據(jù)包，PPP通信成功后，通過(guò)PPP電話線鏈路進(jìn)行傳輸后解密拆封，在移動(dòng)用戶(hù)一端直接遞交到操作系統(tǒng)，在撥號(hào)服務(wù)器一端通過(guò)接口發(fā)送到內(nèi)部網(wǎng)絡(luò)的對(duì)應(yīng)機(jī)器，從而實(shí)現(xiàn)與安全I(xiàn)區(qū)的通訊。

如果撥號(hào)和身份驗(yàn)證正確，安全網(wǎng)關(guān)與客戶(hù)端之間將建立VPN通道，應(yīng)用軟件的數(shù)據(jù)在此通道進(jìn)行加密傳輸和轉(zhuǎn)發(fā)。由于采用PPP撥號(hào)方式接入，VPN通道目前禁用VPN-NAT穿越功能。

目前，自動(dòng)化主站系統(tǒng)已經(jīng)在廠家提供的原有USB KEY配置的基礎(chǔ)上，研究使用了新的文件認(rèn)證功能，自動(dòng)化主站針對(duì)自動(dòng)化廠家遠(yuǎn)維的實(shí)際情況，通過(guò)對(duì)撥號(hào)服務(wù)器主機(jī)用戶(hù)的相關(guān)配置，實(shí)現(xiàn)了自動(dòng)化設(shè)備廠家通過(guò)我們提供的用戶(hù)授權(quán)認(rèn)證，方能在不使用USB KEY的情況下對(duì)自動(dòng)化主站系統(tǒng)進(jìn)行遠(yuǎn)維。

五、總結(jié)

本文通過(guò)對(duì)基于IPSec協(xié)議的VPN的系統(tǒng)性能、結(jié)構(gòu)、技術(shù)的研究，提出通過(guò)證書(shū)身份認(rèn)證技術(shù)、加密技術(shù)、USB-KEY智能卡密鑰/證書(shū)存儲(chǔ)技術(shù)等，實(shí)現(xiàn)了采用128-256位對(duì)稱(chēng)加密和1024位RSA算法數(shù)據(jù)加密在隧道封裝技術(shù)中的應(yīng)用，同時(shí)保證了不同用戶(hù)的不同使用權(quán)限，為自動(dòng)化主站系統(tǒng)的遠(yuǎn)程維護(hù)構(gòu)造了安全通道，有效地防止了數(shù)據(jù)被竊聽(tīng)、篡改、重放等攻擊。

參考文獻(xiàn)：

[1]袁鈺，王能，曹曉梅.IPSec協(xié)議在VPN中的應(yīng)用[期刊論文]-計(jì)算機(jī)應(yīng)用研究，2002（05）

[2]張劍.基于IPSec的網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用，河海大學(xué)碩士學(xué)位論文；2001.3

[3]田春岐，王立明等.IPSec VPN的研究與分析，計(jì)算機(jī)科學(xué)與應(yīng)用，2004.4，P163-166