工業(yè)控制系統(tǒng)VPN網(wǎng)關(guān)的雙機(jī)熱備功能設(shè)計(jì)

林丹生

摘? ?要：隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，遠(yuǎn)程安全通訊的需求日益強(qiáng)烈，針對工業(yè)控制系統(tǒng)而言，安全可靠的遠(yuǎn)程通信是工業(yè)控制系統(tǒng)正常穩(wěn)定運(yùn)行的前提。VPN技術(shù)是實(shí)現(xiàn)遠(yuǎn)程安全通信的有效解決方案，其基于對稱密碼算法實(shí)現(xiàn)數(shù)據(jù)的高速加密，基于非對稱密碼算法實(shí)現(xiàn)通信實(shí)體的身份認(rèn)證以及數(shù)字簽名，有效實(shí)現(xiàn)了遠(yuǎn)程通信數(shù)據(jù)的機(jī)密性保護(hù)和完整性保護(hù)。隨著業(yè)務(wù)系統(tǒng)可靠性需求的提升，VPN網(wǎng)關(guān)雙機(jī)熱備功能成為遠(yuǎn)程通信需要重點(diǎn)解決的問題，針對工業(yè)控制系統(tǒng)VPN網(wǎng)關(guān)的雙機(jī)熱備功能進(jìn)行了設(shè)計(jì)，首先討論了工業(yè)控制系統(tǒng)VPN網(wǎng)關(guān)的部署架構(gòu)，其次詳細(xì)設(shè)計(jì)了VPN網(wǎng)關(guān)的雙機(jī)熱備各軟件功能模塊，實(shí)際應(yīng)用證明，VPN網(wǎng)關(guān)的雙機(jī)熱備設(shè)計(jì)可以有效提高網(wǎng)絡(luò)鏈路的可靠性，有效保障企業(yè)業(yè)務(wù)系統(tǒng)的可用性。

關(guān)鍵詞：工業(yè)控制系統(tǒng);網(wǎng)關(guān);雙機(jī)熱備;

中圖分類號：TP39? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A

Design of Dual-machine Hot-standby Function

for VPN Gateway in Industrial Control System

LIN Dan-sheng？覮

（Electric Power Research Institute of Guangdong Power Grid Co.，Ltd，Guangzhou，Guangdong 510080，China）

Abstract：With the rapid development of network technology，the need for long-distance secure communication is increasingly demanded. For the industrial control system，the safe and reliable remote communication is the precondition of the industrial control system. As an effective solution to realize the remote secure communication，the VPN technology can realize the high-speed encryption of data based on the symmetric cryptographic algorithm，can realize the identity authentication and digital signature based on the asymmetric cryptographic algorithm，and finally realize the confidentiality protection and integrity protection of remote communication. With the improvement of the reliability requirement of the business system，the dual-machine hot standby function of VPN equipment has become a key problem to be solved in remote communication. Based on the design of the Dual-machine hot-standby function of the VPN gateway，this paper discussed the deployment architecture of the VPN gateway，designed the state detection module，the state maintenance module and the data synchronization module in detail for the hot-standby function. It is proved that the Dual-machine hot-standby design of the VPN gateway can not only improve the reliability of the network link，but also ensure the availability of the business system.

Key words：industrial control system;gateway;dual-machine hot standby

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)出現(xiàn)了空前的繁榮，針對企業(yè)而言，分支機(jī)構(gòu)的擴(kuò)大，人員流動(dòng)性的加劇導(dǎo)致遠(yuǎn)程安全連接系統(tǒng)的需求愈發(fā)強(qiáng)烈[1]。電力企業(yè)點(diǎn)多面廣，地域分散，存在大量的遠(yuǎn)程數(shù)據(jù)交互需求，如：電力監(jiān)控系統(tǒng)采用專用數(shù)據(jù)網(wǎng)絡(luò)實(shí)現(xiàn)調(diào)度主站與變電站的通信[2]，計(jì)量終端通過無線的方式與計(jì)費(fèi)主站通信[3][4]，監(jiān)測終端通過無線方式與設(shè)備在線監(jiān)測中心通信等[5]。為保障電力監(jiān)控系統(tǒng)控制指令不被篡改，管理信息系統(tǒng)不被攻擊，電網(wǎng)企業(yè)采用了大量的措施來保障系統(tǒng)網(wǎng)絡(luò)通信的安全[6]。

相對于租用網(wǎng)絡(luò)專線，VPN技術(shù)可以有效解決網(wǎng)絡(luò)通信的安全性問題。VPN技術(shù)在本質(zhì)上都屬于隧道技術(shù)，其采用數(shù)據(jù)包封裝、加密、簽名或者驗(yàn)簽等手段，在公共網(wǎng)絡(luò)通道上搭建一條虛擬專用網(wǎng)絡(luò)，達(dá)到數(shù)據(jù)隱藏以及身份鑒別等目的[7]，實(shí)現(xiàn)了網(wǎng)絡(luò)通信的安全保障，常見VPN技術(shù)如下表所示：

表1? ?常用VPN技術(shù)及其原理

隨著網(wǎng)絡(luò)規(guī)模的增大、用戶數(shù)量的增多，傳統(tǒng)VPN技術(shù)出現(xiàn)了性能瓶頸，一旦設(shè)備故障，將影響業(yè)務(wù)系統(tǒng)的正常穩(wěn)定運(yùn)行，此類問題對于控制類的工業(yè)控制系統(tǒng)是不可忍受的[10]。為保障業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行，本文針對VPN網(wǎng)關(guān)設(shè)備的雙機(jī)熱備算法研究與設(shè)計(jì)，詳細(xì)設(shè)計(jì)了算法中的狀態(tài)探測功能、狀態(tài)維護(hù)功能以及數(shù)據(jù)同步功能等。實(shí)踐證明：該種冗余算法設(shè)計(jì)可以有效保障業(yè)務(wù)系統(tǒng)的穩(wěn)定性以及安全性。

1? ?VPN網(wǎng)關(guān)的部署架構(gòu)

VPN網(wǎng)關(guān)的典型部署架構(gòu)如下圖1所示，其廣泛應(yīng)用于系統(tǒng)數(shù)據(jù)通信的機(jī)密性和完整性保

護(hù)[8][9][10]。VPN網(wǎng)關(guān)一般部署在防火墻之后，支持網(wǎng)橋部署模式和網(wǎng)關(guān)部署模式[12]。

無論是網(wǎng)橋模式還是網(wǎng)關(guān)模式，VPN網(wǎng)關(guān)必須配套使用，分別用于業(yè)務(wù)數(shù)據(jù)的加密以及解密。在網(wǎng)關(guān)設(shè)備內(nèi)部，數(shù)據(jù)包出站處理流程和入站處理流程分別如下。

圖1? ?VPN網(wǎng)關(guān)的部署架構(gòu)

出站數(shù)據(jù)處理流程：VPN網(wǎng)關(guān)根據(jù)數(shù)據(jù)包的源目的地址查找安全規(guī)則，根據(jù)對應(yīng)的加密隧道規(guī)則對原始數(shù)據(jù)包再封裝，增加IPSEC頭、新IP頭信息，最后根據(jù)VPN網(wǎng)關(guān)的路由表，將新封裝的數(shù)據(jù)包轉(zhuǎn)發(fā)出去[9]，如下圖2所示。

圖2? ?VPN網(wǎng)關(guān)出站數(shù)據(jù)處理流程

入站數(shù)據(jù)處理流程：VPN網(wǎng)關(guān)根據(jù)數(shù)據(jù)包的源目的地址查找安全規(guī)則，根據(jù)對應(yīng)的加密隧道規(guī)則對數(shù)據(jù)包進(jìn)行解密以及解封裝[9]，并根據(jù)解封裝之后的目的IP地址查找設(shè)備的路由表，并最后將數(shù)據(jù)包轉(zhuǎn)發(fā)至內(nèi)網(wǎng)主機(jī)。

圖3? ?VPN網(wǎng)關(guān)入站數(shù)據(jù)處理流程

常用的雙機(jī)熱備功能有2種部署模式，分別為主-主模式和主-備模式[13]。

在主-主的部署模式下，兩臺設(shè)備同時(shí)運(yùn)行，分別響應(yīng)不同用戶的服務(wù)請求。設(shè)備的前端需要部署負(fù)載均衡設(shè)備，通過負(fù)載均衡設(shè)備分配業(yè)務(wù)請求數(shù)據(jù)，任何一臺設(shè)備出現(xiàn)故障，均可以通過負(fù)載均衡設(shè)備將數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)交至另一臺設(shè)備承擔(dān)。

在主-備的部署模式下，兩臺設(shè)備同時(shí)運(yùn)行，但是在同一時(shí)間內(nèi)只有一臺設(shè)備對外提供服務(wù)。備機(jī)通過主備機(jī)之間的狀態(tài)檢測機(jī)制判斷主機(jī)的運(yùn)行狀態(tài)，當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)立即接管成為VPN，并對外提供服務(wù)。

2? ?雙機(jī)熱備功能

為實(shí)現(xiàn)VPN的雙機(jī)熱備功能，主備VPN網(wǎng)關(guān)之間需要采用心跳線或者通信線相連實(shí)現(xiàn)設(shè)備狀態(tài)信息探測、運(yùn)行狀態(tài)維護(hù)以及安全策略同步。除此之外，主備機(jī)之間需要對外虛擬出一個(gè)IP地址對外提供服務(wù)。主備VPN網(wǎng)關(guān)的設(shè)備配置一致，通過內(nèi)部算法選舉出主機(jī)以及備機(jī)[14]，VPN網(wǎng)關(guān)的雙機(jī)熱備功能架構(gòu)如圖4所示：

圖4? ?雙機(jī)熱備工作原理圖

雙機(jī)熱備功能主要由狀態(tài)探測功能、狀態(tài)維護(hù)功能、數(shù)據(jù)同步功能組成。探測模塊實(shí)現(xiàn)主備機(jī)運(yùn)行狀態(tài)的探測，狀態(tài)維護(hù)功能根據(jù)主備機(jī)間的運(yùn)行狀態(tài)選舉制維護(hù)設(shè)備自身的運(yùn)行狀態(tài);同步模塊實(shí)現(xiàn)VPN網(wǎng)關(guān)間的SA、SPD等信息的同步。

2.1? ?狀態(tài)探測機(jī)制

VPN網(wǎng)關(guān)可以通過接口狀態(tài)探測、數(shù)據(jù)鏈路探測以及加密卡狀態(tài)探測3中機(jī)制探測對端設(shè)備的運(yùn)行狀態(tài)，并根據(jù)探測結(jié)果修改VPN網(wǎng)關(guān)的運(yùn)行狀態(tài)，如下圖5所示

圖5? ?探測處理流程

接口狀態(tài)檢測：VPN網(wǎng)關(guān)通過媒體獨(dú)立接口（mii）檢查接口鏈路狀態(tài)，被檢查的接口是由管理員配置;內(nèi)外網(wǎng)口檢測時(shí)，若發(fā)現(xiàn)外網(wǎng)口斷開后，VPN網(wǎng)關(guān)會將內(nèi)網(wǎng)口禁用掉。若探測到內(nèi)網(wǎng)口斷開后，VPN網(wǎng)關(guān)會將外網(wǎng)口也禁用掉。

加密卡狀態(tài)檢測：VPN網(wǎng)關(guān)通過獲取VPN網(wǎng)關(guān)的加密卡工作狀態(tài)信息，檢測其是否正常加解密。若加密卡出現(xiàn)問題，將本機(jī)切為備機(jī)，并斷開鏈路。

數(shù)據(jù)鏈路探測：VPN網(wǎng)關(guān)通過發(fā)送網(wǎng)路鏈路探測包進(jìn)行鏈路探測，這樣可以檢測VPN網(wǎng)關(guān)上下游設(shè)備另一端到VPN網(wǎng)關(guān)的鏈路通斷狀況。若檢測失敗，VPN網(wǎng)關(guān)切換為只解密，不加密狀態(tài)。

2.2? ?狀態(tài)轉(zhuǎn)移機(jī)制

VPN網(wǎng)關(guān)的運(yùn)行狀態(tài)有4種，分別為初始態(tài)（Init）、主機(jī)態(tài)（Master）、備機(jī)態(tài)（Slave）、錯(cuò)誤態(tài)（Fault），各狀態(tài)的描述如下所示：

初始態(tài)（Init）：雙機(jī)熱備程序剛啟動(dòng)時(shí)，設(shè)備處于此狀態(tài)。此狀態(tài)下VPN網(wǎng)關(guān)發(fā)送心跳請求報(bào)文，根據(jù)收到應(yīng)答報(bào)文的狀態(tài)，進(jìn)行主備狀態(tài)選舉。

主機(jī)態(tài)（Master）;此狀態(tài)的VPN網(wǎng)關(guān)擁有事先分配好的虛地址，各功能運(yùn)行正常，具備密鑰協(xié)商等一切VPN網(wǎng)關(guān)功能，其判斷條件為：

1）若在超時(shí)時(shí)間內(nèi)未收到對端的應(yīng)答報(bào)文。

2）收到應(yīng)答報(bào)文，本機(jī)為非搶占模式，但通告中狀態(tài)為異常。

3）收到應(yīng)答報(bào)文，本機(jī)為搶占模式，且本機(jī)狀態(tài)為正常，本機(jī)心跳口ip地址大于通告中心跳口ip地址。

備機(jī)態(tài)（Slave）：此狀態(tài)的VPN網(wǎng)關(guān)各功能運(yùn)行正常，進(jìn)行正常的加解密，但是不擁有虛地址，其判斷條件為：

1）收到應(yīng)答報(bào)文，本機(jī)不為搶占模式，通告中狀態(tài)為正常。

2）收到應(yīng)答報(bào)文，本機(jī)為搶占模式，本機(jī)狀態(tài)為正常，但本機(jī)心跳口ip地址小于通告中心跳口ip地址。

錯(cuò)誤態(tài)（Fault）：VPN網(wǎng)關(guān)運(yùn)行異常時(shí)將切換至此狀態(tài)。在此狀態(tài)下，VPN網(wǎng)關(guān)守護(hù)進(jìn)程將等待VPN網(wǎng)關(guān)恢復(fù)到正常，一旦VPN網(wǎng)關(guān)工作正常，立刻切換到Init狀態(tài)，等待選舉。

相應(yīng)的，VPN網(wǎng)關(guān)通過執(zhí)行狀態(tài)遷移函數(shù)進(jìn)行運(yùn)行狀態(tài)切換，設(shè)備狀態(tài)遷移函數(shù)一共有六種，如下表所示。

表2? ?狀態(tài)遷移函數(shù)

VPN主機(jī)將通過不停向備機(jī)發(fā)送心跳信息維持主備機(jī)之間的狀態(tài)，并將根據(jù)主機(jī)以及備機(jī)的運(yùn)行狀態(tài)進(jìn)行狀態(tài)切換，設(shè)備的狀態(tài)機(jī)如下圖6所示：

3.3 數(shù)據(jù)同步功能

數(shù)據(jù)同步功能是VPN網(wǎng)關(guān)的重要功能，其包括配置同步子功能以及隧道狀態(tài)同步子功能。數(shù)據(jù)的處理如圖7所示：

圖6? ?雙機(jī)熱備功能的狀態(tài)機(jī)

圖7? ?數(shù)據(jù)同步功能流程圖

配置同步子功能可以實(shí)現(xiàn)配置的完全同步和增量同步。當(dāng)主備VPN網(wǎng)關(guān)配置失步時(shí)，由配置最新方向另一方同步所有配置信息;如果其中一臺VPN網(wǎng)關(guān)的配置發(fā)生修改，則將修改的命令依先后次序保存在配置同步數(shù)據(jù)表，另一臺VPN網(wǎng)關(guān)同步該數(shù)據(jù)表并執(zhí)行相應(yīng)命令，也即實(shí)現(xiàn)配置的增量同步[15]。

當(dāng)VPN主機(jī)的隧道狀態(tài)發(fā)生變化時(shí)（如SA協(xié)商成功、刪除、失效、抗重放序列號增加了指定值等），VPN主機(jī)通過用戶接口通知隧道狀態(tài)同步模塊，并由該模塊向VPN備機(jī)的隧道狀態(tài)同步模塊發(fā)送同步消息，使得VPN備機(jī)的隧道狀態(tài)同步[16]。

當(dāng)VPN備機(jī)有數(shù)據(jù)通過但無SA時(shí)，VPN備機(jī)通過隧道狀態(tài)同步模塊向VPN主機(jī)隧道狀態(tài)同步模塊發(fā)送SA同步請求，如果VPN主機(jī)已存在該SA，則將SA同步到VPN備機(jī)，如果VPN主機(jī)不存在該SA，則VPN主機(jī)啟動(dòng)密鑰協(xié)商，并將協(xié)商好的SA同步到VPN備機(jī)。通過此同步機(jī)制，保證了主VPN備機(jī)隧道狀態(tài)一致，從而最大限度地保證主VPN備機(jī)狀態(tài)的快速切換。

3? ?應(yīng)用效果

基于上述設(shè)計(jì)，本文搭建了如下測試環(huán)境，并開展了VPN網(wǎng)關(guān)的功性能驗(yàn)證，如圖8所示。

圖8? ?VPN系統(tǒng)測試環(huán)境

分子機(jī)構(gòu)的終端與總部的服務(wù)器存在網(wǎng)絡(luò)通信業(yè)務(wù)需求。總部環(huán)境搭建有2臺VPN網(wǎng)關(guān)模擬設(shè)備的雙機(jī)熱備環(huán)境，分子機(jī)構(gòu)搭建有1臺VPN網(wǎng)關(guān)實(shí)現(xiàn)與總部VPN網(wǎng)關(guān)建立VPN連接，網(wǎng)絡(luò)交換機(jī)模擬互聯(lián)網(wǎng)環(huán)境。在該實(shí)驗(yàn)環(huán)境下，我們通過分別斷開斷點(diǎn)A或者斷點(diǎn)B來模擬VPN網(wǎng)關(guān)的故障，測試結(jié)果如下：

表2? ?實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)結(jié)果顯示：無論VPN網(wǎng)關(guān)是否處于Master狀態(tài)，任何一臺處于雙機(jī)熱備的VPN網(wǎng)關(guān)故障，總部與分支機(jī)構(gòu)的VPN網(wǎng)關(guān)之間的隧道均不會斷開，終端與服務(wù)器的鏈路也不會斷開，該種VPN網(wǎng)關(guān)的雙機(jī)熱備功能可以有效保護(hù)業(yè)務(wù)系統(tǒng)的連續(xù)性。

5? ?結(jié) 論

設(shè)計(jì)了VPN雙機(jī)熱備算法研究與設(shè)計(jì)。首先探討了VPN網(wǎng)關(guān)的業(yè)務(wù)需求，VPN網(wǎng)關(guān)雙機(jī)熱備的業(yè)務(wù)需求，其次，設(shè)計(jì)了算法中的狀態(tài)探測機(jī)制、狀態(tài)轉(zhuǎn)移機(jī)制以及數(shù)據(jù)同步功能等。通過該類算法的設(shè)計(jì)，可以有效實(shí)現(xiàn)VPN網(wǎng)關(guān)的主備功能，最大限度保障業(yè)務(wù)系統(tǒng)的連續(xù)性。

參考文獻(xiàn)

[1]? ? 周前. 一種新型的應(yīng)急衛(wèi)星通信VPN技術(shù)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2018，28（02）：163—166.

[2]? ? 崔悅，劉紫玲，丁寶帥，等. 電力調(diào)度自動(dòng)化網(wǎng)絡(luò)安全與實(shí)現(xiàn)策略研究[J]. 山東工業(yè)技術(shù)，2018（18）：148.

[3]? ? 盧健豪. 電能計(jì)量裝置狀態(tài)監(jiān)測技術(shù)的研究[D]. 廣州：廣東工業(yè)大學(xué)，2017.

[4]? ? 王金翠. 電網(wǎng)計(jì)量自動(dòng)化系統(tǒng)安全防護(hù)分析[J]. 自動(dòng)化應(yīng)用，2018（06）：120—121.

[5]? ? 邢明偉. 輸電線路狀態(tài)在線監(jiān)測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 西安：西安理工大學(xué)，2017.

[6]? ? 劉明鳳.電力二次系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)的設(shè)計(jì)研究[J].信息系統(tǒng)工程，2017（05）：70.

[7]? ? 郭彥濤. 面向國密新標(biāo)準(zhǔn)的IPsec VPN服務(wù)器軟件研究[D].西安：西安電子科技大學(xué)，2017.

[8]? ? 喬建強(qiáng)，孫耀杰，陳冰.移動(dòng)通信端到端加密安全方案設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（07）：92+94.

[9]? ? 張利. IPSec VPN模式下數(shù)據(jù)無線傳輸?shù)谋Ｃ芟到y(tǒng)研究和設(shè)計(jì)[D].保定：華北電力大學(xué)，2010.

[10]? 楊文凱. SSL VPN安全關(guān)鍵技術(shù)研究[D].成都：西南交通大學(xué)，2010.

[11]? 馬祥厚，劉曉壘.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系研究[J].信息系統(tǒng)工程，2018（08）：77.

[12]? 曹利峰，杜學(xué)繪，陳性元.一種新的IPsec VPN的實(shí)現(xiàn)方式研究[J].計(jì)算機(jī)應(yīng)用與軟件，2008（07）：66—67+118.

[13]? 孫中諾.防火墻雙機(jī)熱備設(shè)計(jì)與應(yīng)用[J]. 電子技術(shù)與軟件工程，2018（03）：229.

[14]? 孟祥飛. 防火墻雙機(jī)熱備系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 哈爾濱：哈爾濱工業(yè)大學(xué)，2017.

[15]? 陳貴寶. 高性能高可用的數(shù)據(jù)中心同步軟件的研究與實(shí)現(xiàn)[D]. 西安：西安電子科技大學(xué)，2017.

[16]? 肖輝. 電廠控制系統(tǒng)冗余機(jī)關(guān)鍵技術(shù)設(shè)計(jì)與實(shí)現(xiàn)[D]. 哈爾濱：哈爾濱工業(yè)大學(xué)，2012.