淺析基于IPSec協(xié)議的VPN技術(shù)在集控自動化主站的應(yīng)用

劉婉瀾　邱愛軍

摘 要：利用IPSec協(xié)議封裝負載數(shù)據(jù)，可構(gòu)建安全性能更強的虛擬專用網(wǎng)絡(luò)，本文根據(jù)基于IPSec協(xié)議的VPN系統(tǒng)的特點，結(jié)合其在集控自動化主站的應(yīng)用，做了簡要的闡述，并詳細介紹了電力系統(tǒng)專用遠程撥號安全網(wǎng)關(guān)在集控中心自動化主站系統(tǒng)的應(yīng)用及功能作用。

關(guān)鍵詞：VPN； IPSec； PPP； 隧道

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1006-3315（2014）12-188-001

一、引言

虛擬專用網(wǎng)（Virtual Private Network，VPN）是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。傳統(tǒng)的組網(wǎng)方法是通過專線互聯(lián)，但這對于一些地理位置相距較遠的單位顯然是行不通的，而VPN技術(shù)卻正好彌補了這一缺陷，它通過利用一個開放的公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，采用隧道技術(shù)，將企業(yè)網(wǎng)的數(shù)據(jù)加密封裝后，通過虛擬的公網(wǎng)隧道進行傳輸，實現(xiàn)了兩個或多個遠程私有網(wǎng)絡(luò)（局域網(wǎng)）的互通，從而防止敏感數(shù)據(jù)的被竊，達到專線組網(wǎng)的效果，而且極大地降低了用戶的費用，有效保證通訊的機密性和完整性，抵御來自因特網(wǎng)上的安全威脅。

二、VPN技術(shù)

構(gòu)建VPN網(wǎng)絡(luò)這條安全通道的協(xié)議必須具備以下條件：

在原始IP報文中，源IP地址和目的IP地址分別為兩個局域網(wǎng)的地址，VPN網(wǎng)關(guān)將這些數(shù)據(jù)包再次封裝，加入新的IP頭部，源IP地址和目的IP地址以及VPN協(xié)議頭部，用于加密和驗證，然后新的IP報文在因特網(wǎng)上傳輸，對方VPN網(wǎng)關(guān)收到后進行解密和驗證，將解封后的原始IP報文轉(zhuǎn)發(fā)到自身局域網(wǎng)。

目前，VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、用戶與設(shè)備身份認證技術(shù)四項技術(shù)來保證安全

三、IPSec協(xié)議概述

為克服IP協(xié)議設(shè)計中存在的缺點，IPSec研究制定了一系列基于加密技術(shù)的IP協(xié)議安全機制和標準，以保護使用IP協(xié)議傳輸?shù)母鱾€高層協(xié)議。IETF的IPSec工作組已經(jīng)制定了12個RFC，對IPSec的方方面面都進行了定義，但其核心由其中的三個最基本的協(xié)議組成。即：認證協(xié)議頭（AH）、安全載荷封裝（ESP）和因特網(wǎng)密鑰管理協(xié)議（IKMP）。

IPSec協(xié)議有一個最基本的優(yōu)勢就是它可以在各種網(wǎng)絡(luò)訪問設(shè)備、主機服務(wù)器和工作站上完全實現(xiàn)，從而使其構(gòu)成的安全通道幾乎可以延伸至網(wǎng)絡(luò)的任意位置。在網(wǎng)絡(luò)端，可以在路由器、防火墻、代理網(wǎng)關(guān)等設(shè)備中實現(xiàn)VPN網(wǎng)關(guān)；在客戶端，IPSec架構(gòu)允許使用基于純軟件方式使用普通Modem的PC機和工作站。IPSec通過兩種模式（傳輸模式和隧道模式）在應(yīng)用上提供更多的彈性。

IPSec用密碼技術(shù)從三個方面來保證數(shù)據(jù)的安全：認證-完整性檢查-加密，為雙方安全通信提供了一個透明的安全通道，在一定程度上保證了網(wǎng)絡(luò)層的數(shù)據(jù)安全性。

四、集控主站的技術(shù)應(yīng)用

目前，省檢修公司自動化主站采用HRFW-3000V電力系統(tǒng)專用遠程撥號安全網(wǎng)關(guān)，實現(xiàn)安全的遠程維護功能。裝置采用工業(yè)級服務(wù)器、硬件USB Key證書密鑰存儲、身份認證、防火墻、VPN等安全技術(shù)，將TCP/IP網(wǎng)絡(luò)通訊技術(shù)、IPSEC安全隧道技術(shù)以及USB KEY加密認證技術(shù)融合在一起，為生產(chǎn)控制大區(qū)的技術(shù)維護人員提供安全的遠程接入。同時對撥號接入用戶進行認證，對傳輸?shù)男畔⑦M行加密和數(shù)字簽名，并設(shè)置安全策略對接入的用戶訪問的范圍和資源進行限制，通過審計日志對其訪問進行詳細的記錄，以電力二次系統(tǒng)安全防護的強度，確保了撥號用戶操作的責(zé)任性和可追查性。

HRFW-3000V分為HRFW-3000V撥號服務(wù)器主機和HRFW-3000V移動客戶端兩部分，撥號服務(wù)器主機連接生產(chǎn)控制大區(qū)（安全區(qū)I）。移動客戶端則隨身攜帶，只要有電話線的地方都可以使用，撥號服務(wù)器主機的網(wǎng)卡與安全I區(qū)相連，一條或多條電話線接在撥號服務(wù)器的MODEM接口上，電話線需要擁有電話號碼；移動客戶端用一條電話線接在其MODEM接口上；在撥號服務(wù)器主機內(nèi)部分配I區(qū)網(wǎng)段地址，同時設(shè)置用戶并對其進行授權(quán)。封裝的數(shù)據(jù)包將被VPN軟件重新封裝并加密為VPN數(shù)據(jù)包，PPP通信成功后，通過PPP電話線鏈路進行傳輸后解密拆封，在移動用戶一端直接遞交到操作系統(tǒng)，在撥號服務(wù)器一端通過接口發(fā)送到內(nèi)部網(wǎng)絡(luò)的對應(yīng)機器，從而實現(xiàn)與安全I區(qū)的通訊。

如果撥號和身份驗證正確，安全網(wǎng)關(guān)與客戶端之間將建立VPN通道，應(yīng)用軟件的數(shù)據(jù)在此通道進行加密傳輸和轉(zhuǎn)發(fā)。由于采用PPP撥號方式接入，VPN通道目前禁用VPN-NAT穿越功能。

目前，自動化主站系統(tǒng)已經(jīng)在廠家提供的原有USB KEY配置的基礎(chǔ)上，研究使用了新的文件認證功能，自動化主站針對自動化廠家遠維的實際情況，通過對撥號服務(wù)器主機用戶的相關(guān)配置，實現(xiàn)了自動化設(shè)備廠家通過我們提供的用戶授權(quán)認證，方能在不使用USB KEY的情況下對自動化主站系統(tǒng)進行遠維。

五、總結(jié)

本文通過對基于IPSec協(xié)議的VPN的系統(tǒng)性能、結(jié)構(gòu)、技術(shù)的研究，提出通過證書身份認證技術(shù)、加密技術(shù)、USB-KEY智能卡密鑰/證書存儲技術(shù)等，實現(xiàn)了采用128-256位對稱加密和1024位RSA算法數(shù)據(jù)加密在隧道封裝技術(shù)中的應(yīng)用，同時保證了不同用戶的不同使用權(quán)限，為自動化主站系統(tǒng)的遠程維護構(gòu)造了安全通道，有效地防止了數(shù)據(jù)被竊聽、篡改、重放等攻擊。

參考文獻：

[1]袁鈺，王能，曹曉梅.IPSec協(xié)議在VPN中的應(yīng)用[期刊論文]-計算機應(yīng)用研究，2002（05）

[2]張劍.基于IPSec的網(wǎng)絡(luò)安全技術(shù)研究與應(yīng)用，河海大學(xué)碩士學(xué)位論文；2001.3

[3]田春岐，王立明等.IPSec VPN的研究與分析，計算機科學(xué)與應(yīng)用，2004.4，P163-166