浅析基于IPSec协议的VPN技术在集控自动化主站的应用

摘 要：利用IPSec协议封装负载数据，可构建安全性能更强的虚拟专用网络，本文根据基于IPSec协议的VPN系统的特点，结合其在集控自动化主站的应用，做了简要的阐述，并详细介绍了电力系统专用远程拨号安全网关在集控中心自动化主站系统的应用及功能作用。

关键词：VPN； IPSec； PPP； 隧道

中图分类号：TP393.08 文献标识码：A 文章编号：1006-3315（2014）12-188-001

一、引言

虚拟专用网（Virtual Private Network，VPN）是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。传统的组网方法是通过专线互联，但这对于一些地理位置相距较远的单位显然是行不通的，而VPN技术却正好弥补了这一缺陷，它通过利用一个开放的公用网络（通常是因特网）建立一个临时的、安全的连接，采用隧道技术，将企业网的数据加密封装后，通过虚拟的公网隧道进行传输，实现了两个或多个远程私有网络（局域网）的互通，从而防止敏感数据的被窃，达到专线组网的效果，而且极大地降低了用户的费用，有效保证通讯的机密性和完整性，抵御来自因特网上的安全威胁。

二、VPN技术

构建VPN网络这条安全通道的协议必须具备以下条件：

在原始IP报文中，源IP地址和目的IP地址分别为两个局域网的地址，VPN网关将这些数据包再次封装，加入新的IP头部，源IP地址和目的IP地址以及VPN协议头部，用于加密和验证，然后新的IP报文在因特网上传输，对方VPN网关收到后进行解密和验证，将解封后的原始IP报文转发到自身局域网。

目前，VPN主要采用隧道技术、加解密技术、密钥管理技术、用户与设备身份认证技术四项技术来保证安全

三、IPSec协议概述

为克服IP协议设计中存在的缺点，IPSec研究制定了一系列基于加密技术的IP协议安全机制和标准，以保护使用IP协议传输的各个高层协议。IETF的IPSec工作组已经制定了12个RFC，对IPSec的方方面面都进行了定义，但其核心由其中的三个最基本的协议组成。即：认证协议头（AH）、安全载荷封装（ESP）和因特网密钥管理协议（IKMP）。

IPSec协议有一个最基本的优势就是它可以在各种网络访问设备、主机服务器和工作站上完全实现，从而使其构成的安全通道几乎可以延伸至网络的任意位置。在网络端，可以在路由器、防火墙、代理网关等设备中实现VPN网关；在客户端，IPSec架构允许使用基于纯软件方式使用普通Modem的PC机和工作站。IPSec通过两种模式（传输模式和隧道模式）在应用上提供更多的弹性。

IPSec用密码技术从三个方面来保证数据的安全：认证-完整性检查-加密，为双方安全通信提供了一个透明的安全通道，在一定程度上保证了网络层的数据安全性。

四、集控主站的技术应用

目前，省检修公司自动化主站采用HRFW-3000V电力系统专用远程拨号安全网关，实现安全的远程维护功能。装置采用工业级服务器、硬件USB Key证书密钥存储、身份认证、防火墙、VPN等安全技术，将TCP/IP网络通讯技术、IPSEC安全隧道技术以及USB KEY加密认证技术融合在一起，为生产控制大区的技术维护人员提供安全的远程接入。同时对拨号接入用户进行认证，对传输的信息进行加密和数字签名，并设置安全策略对接入的用户访问的范围和资源进行限制，通过审计日志对其访问进行详细的记录，以电力二次系统安全防护的强度，确保了拨号用户操作的责任性和可追查性。

HRFW-3000V分为HRFW-3000V拨号服务器主机和HRFW-3000V移动客户端两部分，拨号服务器主机连接生产控制大区（安全区I）。移动客户端则随身携带，只要有电话线的地方都可以使用，拨号服务器主机的网卡与安全I区相连，一条或多条电话线接在拨号服务器的MODEM接口上，电话线需要拥有电话号码；移动客户端用一条电话线接在其MODEM接口上；在拨号服务器主机内部分配I区网段地址，同时设置用户并对其进行授权。封装的数据包将被VPN软件重新封装并加密为VPN数据包，PPP通信成功后，通过PPP电话线链路进行传输后解密拆封，在移动用户一端直接递交到操作系统，在拨号服务器一端通过接口发送到内部网络的对应机器，从而实现与安全I区的通讯。

如果拨号和身份验证正确，安全网关与客户端之间将建立VPN通道，应用软件的数据在此通道进行加密传输和转发。由于采用PPP拨号方式接入，VPN通道目前禁用VPN-NAT穿越功能。

目前，自动化主站系统已经在厂家提供的原有USB KEY配置的基础上，研究使用了新的文件认证功能，自动化主站针对自动化厂家远维的实际情况，通过对拨号服务器主机用户的相关配置，实现了自动化设备厂家通过我们提供的用户授权认证，方能在不使用USB KEY的情况下对自动化主站系统进行远维。

五、总结

本文通过对基于IPSec协议的VPN的系统性能、结构、技术的研究，提出通过证书身份认证技术、加密技术、USB-KEY智能卡密钥/证书存储技术等，实现了采用128-256位对称加密和1024位RSA算法数据加密在隧道封装技术中的应用，同时保证了不同用户的不同使用权限，为自动化主站系统的远程维护构造了安全通道，有效地防止了数据被窃听、篡改、重放等攻击。

参考文献：

[1]袁钰，王能，曹晓梅.IPSec协议在VPN中的应用[期刊论文]-计算机应用研究，2002（05）

[2]张剑.基于IPSec的网络安全技术研究与应用，河海大学硕士学位论文；2001.3

[3]田春岐，王立明等.IPSec VPN的研究与分析，计算机科学与应用，2004.4，P163-166