虚拟专用网技术及其在电力系统二次安全防护中的应用
- 格式:pdf
- 大小:195.31 KB
- 文档页数:4
第18卷第4期 2005年4月 广东电力
GUANGD0NG EI RIC POWER Vo1.18 No.4
Apt.2005
文章编号:1007-290X(2005)04-0053・04 虚拟专用网技术及其在电力系统二次 安全防护中的应用
崔秀玉 , (1.广东省电子技术学校,广东广州510515;2. 王志勇 中国南方电网有限责任公司,广东广州510620)
摘要:鉴于虚拟专用网技术在电力数据通信网和电力系统二次安全防护中的重要地位,介绍了隧道技术和认 证加密等虚拟专用网核心技术,并在此基础上,对虚拟专用网技术在计算机网络安全防护中的应用进行了探讨。 关键词:虚拟专用网(VPN);网络安全;认证;加密 中图分类号:TP393.08 文献标识码:B
Virtual private network technology and its application to secondary security protection of power system CUI Xiu-yu ,WANG Zhi-yong2 (1.Guangdong Electronic Technology School,Guangzhou 510515,China;2.China Southern Power Grid Co.,Ltd., Guangzhou 5 1 0620,China)
Abstract:In view of the importance of virtual private network(VPN)technology to power data communication network and the secondary security protection of power system,this paper describes such key techniques of VPN as tunneling technique,certification and encryption.On this basis,the application of VPN technology in the computer network security protection is approached. Key words:virtual private network(VPN);network security;certification;encryption
目前国家电力数据通信网(SPTnet)正在建设 中,其技术体制为IP over SDH,主干速率155 Mbps,该网承载的业务主要为电力综合信息、电 力调度生产管理、电力内部IP语音视频以及网络 管理等。对应上述业务,SPTnet采用MPLS—VPN 技术构造3个虚拟专用网(virtual private network,VPN):调度VPN、信息VPN及语音 视频VPN。三类业务分别通过专用的接人路由器 接人各自VPN。可见,VPN技术在电力数据通信 网中占有重要地位。另一方面,在电力系统二次安 全防护中,核心的IP认证和加密技术也离不开 VPN。本文就VPN技术特点及其在电力系统安全 防护中的应用做一些探讨。
收稿日期:2004.10 13
1 VPN关键技术 VPN指的是那些在地域上非常分散,同时需 要相互协同工作的企业用户在互联网上利用隧道、 加密、认证等技术来建立的专用网络。VPN仿真 点对点的专线行为,特别适合点对点、点对多点的 连接结构,如一个公司在不同地点有多个分支机 构,需通过广域网与总部连接。 目前,CPE-based VPN主要包含两种技术: 隧道技术与安全技术。 1.1隧道技术 隧道技术的基本过程是在源局域网与公共网的 接口处将数据(可以是ISO七层模型中的数据链路 层或网络层数据)作为负载封装在一种可以在公共 网上传输的数据格式中,在目的局域网与公共网的 接口处将数据解封装,取出负载。被封装的数据
维普资讯 http://www.cqvip.com 54 广东电力 第18卷 包在互联网上传递时所经过的逻辑路径被称为“隧 道”。要使数据顺利地被封装、传送及解封装,通 信协议是保证的核心。目前VPN隧道协议有四 种:点到点隧道协议(point-to—point tunneling protocol,PPTP)、第二层隧道协议(1ayer 2 tunneling protocol,L2TP)、网络层隧道协议的网 络协议安全(internet protocol security,IPSec)以 及SOCKS v5,它们在开放系统互联(open system interconnection,OSI)七层模型中的位置见表1。
表1 VPN在OSI模型中的位置
a)点到点隧道协议(PPTP) PPTP将控制包与数据包分开,控制包采用传 输控制协议(Transmission Control Protocol, TCP)控制,用于严格的状态查询及信令信息;数 据包部分先封装在点对点协议(point-to—point protocol,PPP)中,然后封装到第2版通用路由封 装协议(generic routing encapsulation protocol version 2,GRE V2)中。目前,PPTP基本已被淘 汰,在VPN产品中不再使用。 b)第二层隧道协议(L2TP) L2TP是国际标准隧道协议,它结合了PPTP 以及第二层转发(1evel 2 forwarding,L2F)协议的 优点,能以隧道方式使PPP包通过各种网络协议, 包括异步传送模式(asynchronous transfer mode, ATM)、光纤同步网络(synchronous optical network,SONET)和帧中继。但是L2TP没有任 何加密措施,更多地是和IPSec协议结合使用,提 供隧道验证。 c)IPSec协议 IPSec协议是一个范围广泛、开放的VPN安 全协议,工作在OSI模型中的第三层——网络层。 它提供所有在网络层上的数据保护和透明的安全通 信。IPSec协议可以设置成在两种模式下运行:一 种是隧道模式,一种是传输模式。在隧道模式下, IPSec把互联网协议第4版(IPv4)数据包封装在安 全的IP帧中。传输模式是为了保护端到端的安全 性,不会隐藏路由信息。1999年底,因特网工程 部(Internet Engineering Task Force,IETF)安全 工作组完成了IPSec的扩展,在IPSec协议中加上 了因特网安全联盟和密钥管理协议(Internet Security Association and Key Management Protocol,ISAKMP),其中还包括密钥分配协议: Internet密钥交换(Internet Key Exchange,IKE) 和Oakley。一种趋势是将L2TP和IPSec结合起 来,即用L2TP作为隧道协议,用IPSec协议保护 数据。目前,市场上大部分VPN都采用这类 技术。 该协议的优点:它定义了一套用于保护私有性 和完整性的标准协议,可确保运行在TCP/IP协议 上的VPN之间的互操作性。缺点:除了包过滤 外,它没有指定其他访问控制方法,对于采用网络 地址转换(network address translation,NAT)方 式访问公共网络的情况难以处理。适用场合:最适 合可信的局域网(1ocal area network,LAN)到 LAN之间的VPN,即内部网虚拟专用网。 d)SoCKS v5协议 SOCKS v5工作在oSI模型中的第五层——会 话层,可作为建立高度安全的VPN的基础。 SoCKS v5协议的优势在访问控制,因此适用于安 全性较高的VPN。SoCKS v5现在被IETF建议作 为建立VPN的标准。其优点:非常详细的访问控 制,在网络层只能根据源目的的IP地址允许或拒 绝被通过,在会话层控制手段更多一些;由于工作 在会话层,能同低层协议如IPv4,IPSec,PPTP, L2TP一起使用;用soCKS v5的代理服务器可隐 藏网络地址结构;能为认证、加密和密钥管理提供 “插件”模块,让用户自由地采用所需要的技术。 SoCKS v5可根据规则过滤数据流,包括Java applet和actives控制。缺点:其性能比低层次协 议差,必须制定更复杂的安全管理策略。适用场 合:最适用于客户机到服务器的连接模式,适用于 外部网VPN和远程访问VPN。 1.2安全技术 VPN是在不安全的Internet中通信,通信的
维普资讯 http://www.cqvip.com 第4期 崔秀玉等:虚拟专用网技术及其在电力系统二次安全防护中的应用 55 内容可能涉及企业的机密数据,因此,其安全性非 常重要。VPN中的安全技术通常由加密、认证及 密钥交换与管理组成。 a)认证技术 认证主要包括用户认证和信息认证。前者用于 鉴别用户身份,后者用于保证通信双方的不可抵赖 性和信息的完整性。认证技术防止数据的伪造和被 篡改,它采用一种称为“摘要”的技术。“摘要” 技术主要采用hash函数将一段长的报文通过函数 变换,映射为一段短的报文即摘要。由于hash函 数的特性,两个不同的报文具有相同的摘要几乎不 可能。该特性使得摘要技术在VPN中有两个用 途:验证数据的完整性和用户认证。 b)加密技术 加密和解密使用密码算法来完成这些工作。密 码算法是用于隐藏和显露信息的可计算过程,算法 越复杂,结果密文就越安全。在加密技术中,密钥 是不可缺少的。密钥是使密码算法按照一种特定方 式运行并产生特定密文的值。密钥越大,结果密文 越安全。 在VPN中,IPSec通过ISAKMP/IKE/ Oakley协商确定几种可选的数据加密算法,如数 据加密标准(data encryption standard,DES), 3DES等。DES密钥长度为56位,容易被破译, 3DES使用三重加密增加了安全性。当然国外还有 更好的加密算法,但国外禁止出口高位加密算法。 基于同样理由,国内也禁止重要部门使用国外算 法。国内算法不对外公开,被破解的可能性极小。 c)密钥交换和管理 VPN中密钥的分发与管理非常重要。密钥的分 发有两种方法:一种是通过手工配置的方式,另一 种采用密钥交换协议动态分发。手工配置的方法由 于密钥更新困难,只适合于简单网络的情况;密钥 交换协议采用软件方式动态生成密钥,适合于复杂 网络的情况,并且密钥可快速更新,可以显著提高 VPN的安全性。目前主要的密钥交换与管理标准有 IKE、互联网简单密钥管理(SKIP)和Oakley。 2 VPN技术优点与应用 2.1优点 VPN技术的优点主要有: a)虚拟专用网采用安全隧道(secure tunne1) 技术端到端连接服务,确保信息资源的安全。 b)用户可以利用虚拟专用网技术方便地重构 企业专用网络(private network),实现异地业务人 员的远程接人。 c)VPN将大量的网络管理工作放到互联网络 服务提供者(ISP)一端来统一实现,从而减轻了企 业内部网络管理的负担。同时VPN也提供信息传 输、路由等方面的智能特性及其与其他网络设备相 独立的特性,也便于用户进行网络管理。 d)利用现有互联网络发达的网络构架组建企 业内部专用网络,从而节省了大量的投资成本及后 续的运营维护成本。 2.2 VPN技术典型应用环境 根据技术应用环境的特点,VPN大致包括三 种典型的应用环境,即企业内部虚拟专用网 (intranet VPN)、远程访问虚拟专用网(remote access VPN)和扩展的企业内部虚拟专用网 (extranet VPN)。其中intranet VPN主要是在内 部专用网络上提供虚拟子网和用户管理认证功能; remote access VPN侧重远程用户接入访问过程中 对信息资源的保护;而extranet VPN则需要将不 同的用户子网扩展成虚拟的企业网络。