淺析基于IPSec協議的VPN技術在集控自動化主站的應用

劉婉瀾　邱愛軍

摘 要：利用IPSec協議封裝負載數據，可構建安全性能更強的虛擬專用網絡，本文根據基于IPSec協議的VPN系統的特點，結合其在集控自動化主站的應用，做了簡要的闡述，并詳細介紹了電力系統專用遠程撥號安全網關在集控中心自動化主站系統的應用及功能作用。

關鍵詞：VPN； IPSec； PPP； 隧道

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1006-3315（2014）12-188-001

一、引言

虛擬專用網（Virtual Private Network，VPN）是一種“基于公共數據網，給用戶一種直接連接到私人局域網感覺的服務”。傳統的組網方法是通過專線互聯，但這對于一些地理位置相距較遠的單位顯然是行不通的，而VPN技術卻正好彌補了這一缺陷，它通過利用一個開放的公用網絡（通常是因特網）建立一個臨時的、安全的連接，采用隧道技術，將企業網的數據加密封裝后，通過虛擬的公網隧道進行傳輸，實現了兩個或多個遠程私有網絡（局域網）的互通，從而防止敏感數據的被竊，達到專線組網的效果，而且極大地降低了用戶的費用，有效保證通訊的機密性和完整性，抵御來自因特網上的安全威脅。

二、VPN技術

構建VPN網絡這條安全通道的協議必須具備以下條件：

在原始IP報文中，源IP地址和目的IP地址分別為兩個局域網的地址，VPN網關將這些數據包再次封裝，加入新的IP頭部，源IP地址和目的IP地址以及VPN協議頭部，用于加密和驗證，然后新的IP報文在因特網上傳輸，對方VPN網關收到后進行解密和驗證，將解封后的原始IP報文轉發到自身局域網。

目前，VPN主要采用隧道技術、加解密技術、密鑰管理技術、用戶與設備身份認證技術四項技術來保證安全

三、IPSec協議概述

為克服IP協議設計中存在的缺點，IPSec研究制定了一系列基于加密技術的IP協議安全機制和標準，以保護使用IP協議傳輸的各個高層協議。IETF的IPSec工作組已經制定了12個RFC，對IPSec的方方面面都進行了定義，但其核心由其中的三個最基本的協議組成。即：認證協議頭（AH）、安全載荷封裝（ESP）和因特網密鑰管理協議（IKMP）。

IPSec協議有一個最基本的優勢就是它可以在各種網絡訪問設備、主機服務器和工作站上完全實現，從而使其構成的安全通道幾乎可以延伸至網絡的任意位置。在網絡端，可以在路由器、防火墻、代理網關等設備中實現VPN網關；在客戶端，IPSec架構允許使用基于純軟件方式使用普通Modem的PC機和工作站。IPSec通過兩種模式（傳輸模式和隧道模式）在應用上提供更多的彈性。

IPSec用密碼技術從三個方面來保證數據的安全：認證-完整性檢查-加密，為雙方安全通信提供了一個透明的安全通道，在一定程度上保證了網絡層的數據安全性。

四、集控主站的技術應用

目前，省檢修公司自動化主站采用HRFW-3000V電力系統專用遠程撥號安全網關，實現安全的遠程維護功能。裝置采用工業級服務器、硬件USB Key證書密鑰存儲、身份認證、防火墻、VPN等安全技術，將TCP/IP網絡通訊技術、IPSEC安全隧道技術以及USB KEY加密認證技術融合在一起，為生產控制大區的技術維護人員提供安全的遠程接入。同時對撥號接入用戶進行認證，對傳輸的信息進行加密和數字簽名，并設置安全策略對接入的用戶訪問的范圍和資源進行限制，通過審計日志對其訪問進行詳細的記錄，以電力二次系統安全防護的強度，確保了撥號用戶操作的責任性和可追查性。

HRFW-3000V分為HRFW-3000V撥號服務器主機和HRFW-3000V移動客戶端兩部分，撥號服務器主機連接生產控制大區（安全區I）。移動客戶端則隨身攜帶，只要有電話線的地方都可以使用，撥號服務器主機的網卡與安全I區相連，一條或多條電話線接在撥號服務器的MODEM接口上，電話線需要擁有電話號碼；移動客戶端用一條電話線接在其MODEM接口上；在撥號服務器主機內部分配I區網段地址，同時設置用戶并對其進行授權。封裝的數據包將被VPN軟件重新封裝并加密為VPN數據包，PPP通信成功后，通過PPP電話線鏈路進行傳輸后解密拆封，在移動用戶一端直接遞交到操作系統，在撥號服務器一端通過接口發送到內部網絡的對應機器，從而實現與安全I區的通訊。

如果撥號和身份驗證正確，安全網關與客戶端之間將建立VPN通道，應用軟件的數據在此通道進行加密傳輸和轉發。由于采用PPP撥號方式接入，VPN通道目前禁用VPN-NAT穿越功能。

目前，自動化主站系統已經在廠家提供的原有USB KEY配置的基礎上，研究使用了新的文件認證功能，自動化主站針對自動化廠家遠維的實際情況，通過對撥號服務器主機用戶的相關配置，實現了自動化設備廠家通過我們提供的用戶授權認證，方能在不使用USB KEY的情況下對自動化主站系統進行遠維。

五、總結

本文通過對基于IPSec協議的VPN的系統性能、結構、技術的研究，提出通過證書身份認證技術、加密技術、USB-KEY智能卡密鑰/證書存儲技術等，實現了采用128-256位對稱加密和1024位RSA算法數據加密在隧道封裝技術中的應用，同時保證了不同用戶的不同使用權限，為自動化主站系統的遠程維護構造了安全通道，有效地防止了數據被竊聽、篡改、重放等攻擊。

參考文獻：

[1]袁鈺，王能，曹曉梅.IPSec協議在VPN中的應用[期刊論文]-計算機應用研究，2002（05）

[2]張劍.基于IPSec的網絡安全技術研究與應用，河海大學碩士學位論文；2001.3

[3]田春岐，王立明等.IPSec VPN的研究與分析，計算機科學與應用，2004.4，P163-166