电力LTE专网的IPSECVPN安全网关研究 下载本文

内容发布更新时间 : 2024/12/24 0:05:24星期一 下面是文章的全部内容请认真阅读。

龙源期刊网 http://www.qikan.com.cn

电力LTE专网的IPSECVPN安全网关研究

作者:王正乾 尹勋 史塨毓

来源:《科学与信息化》2017年第33期

摘 要 随着智能电网建设和无线通信技术的快速发展,智能移动巡检设备(机器人、无人机、移动作业平台等)代替传统人工巡视维护手段在变电站中得到了广泛应用。目前,在智能移动巡检设备的运用过程中,尚存在一些问题亟待解决:如没有一套实用的变电站无线可信通信安全架构。针对上述问题,本文提出了一种变电站无线可信通信安全架构,并依据该安全架构提出CPE的硬件和软件设计方案,在隧道段使用IPsec隧道通信,并用国密SM3算法、国密SM4算法对传输数据进行加密。 关键词 安全架构;CPE;隧道技术 前言

智能巡检机器人、无人机、移动作业平台等智能移动巡检设备应用于变电站时通信方式多采用无线通信方式(例如LTE)。这些设备或是因为临时性接入,或是因为无法满足加密的条件,在接入变电站及电网通信系统时存在很大的安全隐患。而国家电网公司信息安全体系缺乏一套实用的变电站无线可信通信安全架构,导致智能移动巡检设备数据通信缺乏安全保护措施等问题,因此需要研究变电站无线可信通信安全架构。 1 变电站无线可信通信安全架构

变电站无线可信通信安全架构在物理连接层面,移动终端设备通过无线通信方式接入到CPE,再通过IPsec安全网关接入到变电站后台系统,进行设备的检测、控制、智能识别、图像分析等业务处理。

1.1 IPsec隧道段的加密功能

CPE与安全网关之间是通过IPsec隧道通信的。安全网关具有多个网口,每个网口的P网段是不同的(如网口1的P地址为10.1.1.1,网口2的P地址为10.1.2.2),并且与CPE的网段也是不同的。

IPsec隧道建立后,会对通过隧道传输的数据进行加解密,采用的加解密算法是国密SM3算法和国密SM4算法。

IPsec隧道段加密功能实现具体如下:

龙源期刊网 http://www.qikan.com.cn

①移动终端设备经过证书认证后接入到CPE(P地址192.168.1.1),获得CPE分配的P地址(P地址192.168.1.10);②把移动终端设备的P地址分别写入到CPE与安全网关IPsec隧道通信的setkey.conf文件中;③执行其他命令,建立IPsec隧道通信。

IPsec隧道通信建立后,移动终端设备、CPE、IPsec安全网关三者之间是互通的。 隧道段可信通信实现的功能是CPE能够与IPsec安全网关通过隧道连接,并采用国密SM3算法和国密SM4算法对传输数据进行加密。 2 加密算法

用了国密SM3算法和国密SM4算法,下面对其进行简单介绍。 2.1 国密SM3算法

(SM3 public key cryptography algorithm)

SM3算法是一种密码杂凑算法。该算法主要用于公钥密码体制中数字签名和验证、消息认证码的生成与验证以及随机数的生成。 2.2 国密SM4算法

SM4算法是一个分组对称密钥算法。该算法的明文、密钥、密文都是16字节,且加密密钥和解密密钥是相同的,软件实现和硬件实现都快。该算法通过32次非线性迭代轮函数循环来实现对数据的加密,其中包括非线性变换S盒(固定的8比特输入8比特输出的置换)和由移位异或构成的线性变换。由于SM4算法在实现对数据的加解密过程中使用了非线性变换,该算法的安全性在理论上有了很大程度的提高[1]。 3 建立IPsec隧道通信

如图1所示,A是终端设备,作为client;B是CPE,P地址设为192.168.1.1;A经过证书认证通过LTE方式接入到B,LTE到的P地址为192.168.1.204;C作为server或者是IPsec安全网关,有两个网络端口。连接,P地址为192.168.1.2。ethl与B连接,P地址设为192.168.0.1;D作为server下挂设备,P地址设为192.168.0.101。

把生成的setkey、racoon可执行文件放入B,C的/usr/sbin目录下,把配置文件(setkey.conf、racoon.conf)、建立隧道通信时所需要的证书(setkey.conf、racoon.conf、cacert.pem、cert-enc.pem、cert-sig.pem、key_enc.pem、key_sig.pem)、数据传输时所需要的加密算法模块(sm3_generic.ko、sm4_generic.ko)放入到相应的目录下。 进入到B,C,进入(sm3_generic.ko、sm4_generic.ko)

龙源期刊网 http://www.qikan.com.cn

所在目录下,执行insmod sm3_generic.ko和insmod sm3_gen

eric.ko命令,启用SM3,SM4加密算法。B,C分别执行执行命令。B执行命令,目的是建立一个路由[2]。 4 测试原理及测试环境

如图2所示的测试原理及测试环境,Client经过LTE电力无线专网接入无线CPE,CPE接入到IPsec VPN安全网关中,再接入到后台系统服务器中。Client对应的为win732位笔记本电脑,安全网关对应的设备为IPsec VPN安全网关,Server以电脑代替[3]。 4.1 数据传输测试

数据传输测试的目的是验证终端设备经过LTE连接到CPE,测试数据是否可以完整的传输以及传输的过程中是否会被篡改。

利用网络调试助手软件进行测试,在网络设置中设置协议类型、本地主机地址、远程主机地址、本地主机端口,传输的数据是40个0。 5 总结与展望

本章介绍隧道段可信通信的具体实现过程,通过在CPE的操作系统内核中编译国密SM3算法、国密SM4算法,生成SM3、SM4算法可执行文件;编译ipsec-tools和openssl程序,在ipsec-tools中加入SM3、SM4算法,使IPsec隧道通信支持SM3、SM4算法;通过建立IPsec隧道通信系统,验证了CPE在IPsec隧道通信中能用国密SM3算法、国密SM4算法加密传输数据的可行性。 参考文献

[1] 王丽娜,刘炎,何军.基于IPSec和GRE的VPN实验仿真[J].实验室研究与探索,2013,32(9):70-75.

[2] 王凤领.基于IPSec的VPN技术的应用研究[J].计算机技术与发展,2012,22(9):250-252.

[3] 熊平.信息安全原理及应用[M].北京:清华大学出版社,2009:97.