莊佳樂，劉 琨

（中海油信息科技有限公司，北京 100012）

IPSec VPN加密系統(tǒng)在中海油通信網(wǎng)絡(luò)中的應(yīng)用探討

莊佳樂，劉 琨

（中海油信息科技有限公司，北京 100012）

本文分析了深水海域石油平臺通信系統(tǒng)內(nèi)所面臨的網(wǎng)絡(luò)安全問題，并通過IPSec VPN加密技術(shù)完成對深水海域石油平臺網(wǎng)絡(luò)通信的加密，經(jīng)過多次實(shí)驗(yàn)，表明IPSec VPN加密技術(shù)可以提供很好的數(shù)據(jù)保密性，同時對網(wǎng)絡(luò)系統(tǒng)本身沒有明顯影響，因此，IPSec VPN加密技術(shù)可以滿足深水海域網(wǎng)絡(luò)環(huán)境需求，并達(dá)到數(shù)據(jù)安全保護(hù)目的。

IPSec；VPN

1 引言

隨著現(xiàn)代通信、信息技術(shù)的飛速發(fā)展，中海油已經(jīng)建立了一套現(xiàn)代化的信息通信網(wǎng)絡(luò)。目前，中海油的通信網(wǎng)絡(luò)格局具有地域分布廣、通信手段多樣、拓?fù)浣Y(jié)構(gòu)復(fù)雜的特點(diǎn)，同時各種通信手段基本采用開放式傳輸網(wǎng)絡(luò)，信息在傳輸過程中存在較大的安全風(fēng)險，通信安全性不能得到有效的保證，信息安全面臨的形勢十分嚴(yán)峻，維護(hù)信息安全的任務(wù)非常艱巨繁重。

由于中海油深海海域的網(wǎng)絡(luò)環(huán)境有別于傳統(tǒng)IT網(wǎng)絡(luò)，所以本文將以切合實(shí)際工作中的網(wǎng)絡(luò)應(yīng)用為前提，對網(wǎng)絡(luò)加密系統(tǒng)的功能及性能進(jìn)行測試，確保網(wǎng)絡(luò)加密系統(tǒng)在功能及性能上可以滿足中海油深海海域網(wǎng)絡(luò)環(huán)境需求。

中海油深海海域網(wǎng)絡(luò)環(huán)境特殊，具有特殊時間段網(wǎng)絡(luò)流量較大，對網(wǎng)絡(luò)穩(wěn)定性要求較高和總體帶寬較小等特點(diǎn)。本文將根據(jù)這些特點(diǎn)，用實(shí)驗(yàn)的方式來對整個IPSec VPN網(wǎng)絡(luò)加密系統(tǒng)進(jìn)行測試。

2 技術(shù)原理

2.1 系統(tǒng)框圖

網(wǎng)絡(luò)加密系統(tǒng)采用端對端加密模式，在發(fā)送端由加密密鑰對發(fā)送明文信息進(jìn)行加密，并在接收端通過解密密鑰解密，使接收方得到明文信息，系統(tǒng)框圖如圖1所示。

圖1 網(wǎng)絡(luò)加密系統(tǒng)框圖

2.2 加密技術(shù)

（1）隧道技術(shù)。IPSec隧道技術(shù)是一種通過使用公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或包。IPSec隧道協(xié)議將其他協(xié)議的數(shù)據(jù)幀或包重新封裝IP頭和協(xié)議頭后發(fā)送。

（2）數(shù)據(jù)加密。本次測試的網(wǎng)絡(luò)加密系統(tǒng)的數(shù)據(jù)加密技術(shù)是使用DES對稱分組算法，將所有數(shù)據(jù)包劃分為單組大小為64Bit的數(shù)據(jù)組，通過16輪循環(huán)對數(shù)據(jù)進(jìn)行加密。

（3）數(shù)據(jù)認(rèn)證。HMAC是密鑰相關(guān)的哈希運(yùn)算消息認(rèn)證碼，HMAC運(yùn)算利用哈希算法（HashA lgorithm），以一個密鑰和一個消息為輸入，生成一個消息摘要作為輸出；在數(shù)據(jù)驗(yàn)證上，使用MD5算法獲取128位Hash值，用來驗(yàn)證數(shù)據(jù)包在傳輸過程中是否受到異常修改，從而提供數(shù)據(jù)包完整性。

（4）身份認(rèn)證。在認(rèn)證功能上通過ESP認(rèn)證機(jī)制提供鏈路雙方的身份認(rèn)證及數(shù)據(jù)安全。

3 應(yīng)用測試

3.1 測試準(zhǔn)備

本次網(wǎng)絡(luò)加密系統(tǒng)測試的目的是為了檢驗(yàn)在衛(wèi)星通信鏈路上部署網(wǎng)絡(luò)加密系統(tǒng)后對網(wǎng)絡(luò)的影響，為了展現(xiàn)在部署網(wǎng)絡(luò)加密系統(tǒng)前后對不同情況下網(wǎng)絡(luò)的影響，測試內(nèi)容包括：加密數(shù)據(jù)保密性測試；整個網(wǎng)絡(luò)的負(fù)載及性能測試。

測試地點(diǎn)：海上平臺——上海海洋石油大廈。

測試鏈路：通過中海油內(nèi)部的衛(wèi)星網(wǎng)絡(luò)鏈路，上下行帶寬均為512kb/s。

3.2 測試方法

（1）數(shù)據(jù)包嗅探技術(shù)。網(wǎng)絡(luò)嗅探是指利用計算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計算機(jī)的數(shù)據(jù)報文的一種手段。本次測試主要通過數(shù)據(jù)包嗅探技術(shù)分析在部署加密設(shè)備前后同類網(wǎng)絡(luò)協(xié)議中數(shù)據(jù)內(nèi)容的認(rèn)知性。

（2）網(wǎng)絡(luò)環(huán)境測試。使用ICMP協(xié)議持續(xù)發(fā)送100個大小分別為100字節(jié)、500字節(jié)、1000字節(jié)、1500字節(jié)的數(shù)據(jù)包，并采集延時數(shù)據(jù)。

3.3 加密數(shù)據(jù)保密性測試

圖2和圖3分別是在密文和明文環(huán)境中捕獲的ICMP協(xié)議的數(shù)據(jù)包截圖。如圖2所示，通過VPN隧道加密后的ICMP數(shù)據(jù)包只能看到ESP認(rèn)證的數(shù)據(jù)，其他的數(shù)據(jù)信息都無法捕獲。如圖3所示，未加密的數(shù)據(jù)包中可以清晰看到ICMP協(xié)議的具體狀態(tài)和數(shù)據(jù)信息。通過分析以上兩張圖可以確定加密后的網(wǎng)絡(luò)數(shù)據(jù)包可以提供保密性。

圖2 密文數(shù)據(jù)包截圖

圖3 明文數(shù)據(jù)包截圖

3.4 整個網(wǎng)絡(luò)的負(fù)載及性能測試

模擬個人使用IP網(wǎng)絡(luò)，測試在發(fā)送不同大小數(shù)據(jù)包的情況下的網(wǎng)絡(luò)鏈路性能狀況，為了更貼近實(shí)際的工作環(huán)境，此測試分別在無網(wǎng)絡(luò)負(fù)載、40%網(wǎng)絡(luò)負(fù)載和網(wǎng)絡(luò)全負(fù)載三個環(huán)境中進(jìn)行測試（數(shù)據(jù)均通過三次測試，每次發(fā)送100個數(shù)據(jù)包后獲取的平均值）。

3.4.1 無網(wǎng)絡(luò)負(fù)載

1. 網(wǎng)絡(luò)延時

圖4 無網(wǎng)絡(luò)負(fù)載網(wǎng)絡(luò)延時

如圖4所示，在無網(wǎng)絡(luò)負(fù)載的情況下，密文環(huán)境中網(wǎng)絡(luò)延時較明文中多4～8ms。

2. 網(wǎng)絡(luò)丟包率

由測試可知，在無網(wǎng)絡(luò)負(fù)載的情況下，明文和密文環(huán)境中丟包率都為0%。

3.4.2 40%網(wǎng)絡(luò)負(fù)載

1. 網(wǎng)絡(luò)延時

由測試可知，在40%網(wǎng)絡(luò)負(fù)載的情況下，密文環(huán)境中網(wǎng)絡(luò)延時比明文環(huán)境多15～20ms。

2. 網(wǎng)絡(luò)丟包率

如圖5所示，在40%網(wǎng)絡(luò)負(fù)載的情況下，明文和密文環(huán)境中，當(dāng)發(fā)送1500字節(jié)大小的數(shù)據(jù)包時，丟包率相差1%。

圖5 40%網(wǎng)絡(luò)負(fù)載丟包率

3.4.3 全網(wǎng)絡(luò)負(fù)載

1. 網(wǎng)絡(luò)延時

經(jīng)過測試，在網(wǎng)絡(luò)全負(fù)載的情況下，網(wǎng)絡(luò)延時相比無負(fù)載和40%負(fù)載的情況下有明顯提升，明文和密文網(wǎng)絡(luò)延時相差70～80ms。

2. 網(wǎng)絡(luò)丟包率

如圖6所示，在網(wǎng)絡(luò)全負(fù)載的情況下，明文和密文環(huán)境中丟包率相比前兩項(xiàng)測試有較大提升，其中數(shù)據(jù)包大小為500，1 000，1 500字節(jié)的丟包率相差3%～5%。

圖6 網(wǎng)絡(luò)全負(fù)載丟包率

3.5 數(shù)據(jù)分析

本次測試從類型上主要區(qū)分為功能測試和性能測試兩部分，其中功能性測試主要針對數(shù)據(jù)包在傳輸過程中的數(shù)據(jù)加密功能，通過比對加密前后的數(shù)據(jù)包信息，可以確定在部署網(wǎng)絡(luò)加密系統(tǒng)后每次有網(wǎng)絡(luò)通信時都會先建立VPN隧道，并且加密后的數(shù)據(jù)包無法正常識別，所以可以確定網(wǎng)絡(luò)加密機(jī)的數(shù)據(jù)加密功能正常。

在單個應(yīng)用鏈路測試項(xiàng)目中，由于衛(wèi)星鏈路上行和下行帶寬均為512kb/s，為了獲得準(zhǔn)確的測試數(shù)據(jù)，所以分別選取了無網(wǎng)絡(luò)負(fù)載、40%網(wǎng)絡(luò)負(fù)載和全網(wǎng)絡(luò)負(fù)載三個具有代表性的網(wǎng)絡(luò)、使用時間段進(jìn)行測試和數(shù)據(jù)獲取。通過分析測試結(jié)果，無網(wǎng)絡(luò)負(fù)載時間段中，明文和密文網(wǎng)絡(luò)延時平均相差4～8ms，丟包率都為0%；在40%網(wǎng)絡(luò)負(fù)載時間段中，明文和密文網(wǎng)絡(luò)延時平均相差10～20m s，丟包率僅在發(fā)送數(shù)據(jù)包大小為1 500字節(jié)時存在1%的差額；在全網(wǎng)絡(luò)負(fù)載情況下，明文和密文的網(wǎng)絡(luò)延時和丟包率相比前兩個時間段有明顯提升，與之前時間段相比，明文延時平均增加200ms，密文延時平均增加250m s，明文丟包率平均增加5%～9%，密文丟包率平均增加7%～12%，在全負(fù)載情況下，明文和密文網(wǎng)絡(luò)延時平均相差70～80m s，丟包率平均相差3%～5%。

4 結(jié)束語

通過測試數(shù)據(jù)綜合分析，可得出以下結(jié)論：

（1）由于部署了網(wǎng)絡(luò)加密系統(tǒng)，所以在使用網(wǎng)絡(luò)傳輸數(shù)據(jù)前必須先通過密鑰協(xié)商建立VPN隧道，而每次協(xié)商過程都需要發(fā)送3～5次數(shù)據(jù)包進(jìn)行加密信息交換，在理想網(wǎng)絡(luò)狀況下，加密所增加的時延僅為4～8ms，可以忽略不計。

（2）由于帶寬有限，所以在網(wǎng)絡(luò)負(fù)載不同的時間段里，即使使用明文環(huán)境中，也明顯增加網(wǎng)絡(luò)延時和丟包率。因此，明、密文的網(wǎng)絡(luò)性能下降主要是由于網(wǎng)絡(luò)帶寬有限所造成的。

（3）隨著負(fù)載的增加，密文與明文的時延之差更加明顯，這是因?yàn)榫W(wǎng)絡(luò)帶寬趨于飽和，加密協(xié)商過程中數(shù)據(jù)包交換的時間也隨之增加，造成了明密文之間的延時和丟包率增大。

綜上所述，IPSec VPN網(wǎng)絡(luò)加密系統(tǒng)的加密功能可以很好提供數(shù)據(jù)保密性；同時，對用戶網(wǎng)絡(luò)使用無明顯影響。因此，IPSec VPN網(wǎng)絡(luò)加密系統(tǒng)在功能及性能上可以滿足中海油深海海域網(wǎng)絡(luò)環(huán)境需求，并達(dá)到保護(hù)數(shù)據(jù)安全的目的。

IPSec VPN Encryption System in The Applicationof CNOOC's Communication Network

Zhuang Jiale, Liu Kun

10.3969/j.issn.1672-7274.2014.03.007

TN915.85文獻(xiàn)標(biāo)示碼：A

1672-7274（2014）03-0029-03