曾賀湛，肖波，王澤冬

（珠海橫琴能源發(fā)展有限公司，廣東 珠海 529000）

0 引言

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，區(qū)域能源站開始使用無線傳輸技術(shù)進(jìn)行信息傳輸。用戶數(shù)據(jù)在沒有安全防護(hù)機(jī)制的情況下，使用無線通信網(wǎng)絡(luò)會(huì)導(dǎo)致敏感作業(yè)信息和控制操作暴露在互聯(lián)網(wǎng)當(dāng)中，也可能會(huì)導(dǎo)致能源站監(jiān)控系統(tǒng)處于黑客監(jiān)控之中。無線傳輸技術(shù)及數(shù)據(jù)安全防護(hù)已經(jīng)成為了亟待解決的重要問題[1]。目前，能源站監(jiān)控系統(tǒng)缺乏可靠的安全通信機(jī)制和數(shù)據(jù)保密措施，其網(wǎng)絡(luò)安全防御能力十分有限。因此，為了解決無線傳輸技術(shù)對(duì)能源用戶數(shù)據(jù)帶來的安全隱患，將國(guó)家密碼管理局加密算法技術(shù)與無線傳輸技術(shù)相結(jié)合，組建專用的網(wǎng)絡(luò)技術(shù)，保證數(shù)據(jù)在傳輸中的安全性。

1 基于國(guó)產(chǎn)密碼體系的區(qū)域能源站無線傳輸安全的研究

1.1 構(gòu)建基于國(guó)產(chǎn)密碼體系的無線專網(wǎng)安全協(xié)議

為了解決工業(yè)自動(dòng)化發(fā)展趨勢(shì)下，信息在網(wǎng)絡(luò)中傳輸存在的安全隱患高、數(shù)據(jù)可信度差等問題，引進(jìn)國(guó)產(chǎn)密碼體系，進(jìn)行無線專網(wǎng)安全傳輸體系的構(gòu)建研究。將經(jīng)國(guó)家安全認(rèn)證的對(duì)稱密碼、公鑰密碼與雜湊密碼（SM2算法、SM1算法與SM3算法）作為隨機(jī)密碼，制定用戶數(shù)據(jù)無線傳輸及數(shù)據(jù)安全保護(hù)技術(shù)研究方案，構(gòu)建針對(duì)IPsec VPN無線專網(wǎng)的安全傳輸技術(shù)，確保前端用戶在進(jìn)行身份驗(yàn)證時(shí)，用戶數(shù)據(jù)具有防篡改的性能，實(shí)現(xiàn)對(duì)可用性、完整性、保密性等綜合性能較強(qiáng)的工業(yè)控制防御架構(gòu)開發(fā)。

將區(qū)域能源站無線傳輸?shù)奶摂M操作端與VPN客戶端進(jìn)行對(duì)接，開發(fā)一種可用于實(shí)現(xiàn)VPN資源持續(xù)供應(yīng)的軟管模型，進(jìn)行端對(duì)端的多重連接[2]。將VPN技術(shù)與國(guó)產(chǎn)密鑰體系中的SM1、SM2、SM3等算法相結(jié)合，以此種方式，為IPsec VPN技術(shù)提供解決方案?？蓪Psec VPN協(xié)議作用于網(wǎng)絡(luò)層，通過對(duì)協(xié)議棧中IP層的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行拆解、安全處理，再將文本密文進(jìn)行包裝，使其成為一個(gè)全新的網(wǎng)絡(luò)IP數(shù)據(jù)，即可實(shí)現(xiàn)對(duì)原有的透明IP數(shù)據(jù)包的加密保護(hù)。基于國(guó)產(chǎn)密碼體系的IPsec VPN協(xié)議體系架構(gòu)如下圖1所示。

圖1 基于國(guó)產(chǎn)密碼體系的IPsec VPN 協(xié)議體系架構(gòu)

保護(hù)分組流的協(xié)議包括ESP協(xié)議和AH協(xié)議，前者對(duì)分組流進(jìn)行加密保護(hù)，后者對(duì)數(shù)據(jù)進(jìn)行認(rèn)證[3]。IPsec VPN協(xié)議使用的安全服務(wù)具有訪問控制權(quán)限、數(shù)據(jù)源驗(yàn)證、校驗(yàn)數(shù)據(jù)完整、防止數(shù)據(jù)重復(fù)的特點(diǎn)?；趪?guó)密算法的IPsec VPN技術(shù)，已成為國(guó)內(nèi)基礎(chǔ)設(shè)施建設(shè)信息化安全防護(hù)的核心技術(shù)，使得關(guān)鍵的信息數(shù)據(jù)采用明文方式進(jìn)行傳輸時(shí)能夠保持完整性、保密性、不可抵賴性。

1.2 基于光纖非網(wǎng)通信的能源站監(jiān)控系統(tǒng)與互聯(lián)網(wǎng)隔離

在完成上述研究的基礎(chǔ)上，引進(jìn)光纖非網(wǎng)通信技術(shù)，進(jìn)行能源站監(jiān)控系統(tǒng)與互聯(lián)網(wǎng)的隔離處理[4]。為實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的網(wǎng)絡(luò)隔離，安全網(wǎng)關(guān)采用雙機(jī)設(shè)計(jì)，即一臺(tái)網(wǎng)關(guān)設(shè)備由兩臺(tái)獨(dú)立的計(jì)算機(jī)主板構(gòu)成，它們的通信基于專用硬件（USB）與私有協(xié)議[5]。

外網(wǎng)主機(jī)與公網(wǎng)連接，直接暴露在互聯(lián)網(wǎng)上，抵御一般的網(wǎng)絡(luò)攻擊，以保護(hù)密鑰信息不泄漏到公網(wǎng)之上；內(nèi)網(wǎng)主機(jī)則與內(nèi)聯(lián)網(wǎng)連接，存放證書、私鑰，以及IPSec協(xié)商出來的工作密鑰、會(huì)話密鑰等密鑰信息，完成VPN封裝/解封功能。按照上述網(wǎng)絡(luò)布局方式，進(jìn)行能源站監(jiān)控系統(tǒng)與互聯(lián)網(wǎng)的布設(shè)，實(shí)現(xiàn)對(duì)兩者在區(qū)域能源站中運(yùn)行的有效隔離。

1.3 基于用戶身份認(rèn)證的接收端數(shù)據(jù)安全傳輸

在進(jìn)行用戶數(shù)據(jù)身份驗(yàn)證時(shí)，需要由客戶端向前端發(fā)送一個(gè)文件包，文件包中應(yīng)包含因網(wǎng)絡(luò)數(shù)據(jù)傳輸協(xié)議版本信息、支持客戶端身份校驗(yàn)的加密與壓縮算法、由密鑰生成的隨機(jī)數(shù)[6]。當(dāng)接收終端實(shí)現(xiàn)對(duì)客戶身份信息的獲取后，由服務(wù)器端產(chǎn)生的隨機(jī)公鑰，進(jìn)行傳輸信息的安全性檢驗(yàn)，檢驗(yàn)過程可用下述計(jì)算公式表示：

公式（1）中：S為用戶數(shù)據(jù)身份認(rèn)證標(biāo)識(shí)；P為用戶傳輸文件包中的明文信息；C為密文信息；K為密鑰信息；E為加密密鑰（由計(jì)算機(jī)傳輸協(xié)議與法則構(gòu)成）；D為解碼密鑰（屬于E的逆向位）。在驗(yàn)證過程中，當(dāng)前端給定認(rèn)證密鑰k?K 時(shí)（其中，k為密鑰認(rèn)證信息），認(rèn)證中不同密文在網(wǎng)絡(luò)中存在下述關(guān)系：

公式中：C為非對(duì)稱明文信息。綜合上述對(duì)用戶認(rèn)證過程中不同加密數(shù)據(jù)關(guān)系的描述可知，要保障無線傳輸中數(shù)據(jù)的安全性，應(yīng)當(dāng)確定E、D、K三個(gè)主要參數(shù)。完成對(duì)數(shù)據(jù)傳輸中相關(guān)參數(shù)的界定后，將其與傳輸網(wǎng)絡(luò)進(jìn)行對(duì)接，以此種方式，確保接收終端與發(fā)送終端之間數(shù)據(jù)的安全傳輸，實(shí)現(xiàn)基于國(guó)產(chǎn)密碼體系的區(qū)域能源站無線傳輸安全的研究。

2 對(duì)比實(shí)驗(yàn)

為進(jìn)一步驗(yàn)證本文提出的基于國(guó)產(chǎn)密碼體系的無線傳輸方法在實(shí)際應(yīng)用中的效果，選擇將本文設(shè)計(jì)的無線傳輸方法作為實(shí)驗(yàn)組，將基于ZigBee協(xié)議的無線傳輸方法作為對(duì)照組，將兩種傳輸方法應(yīng)用到國(guó)家電投集團(tuán)廣東電力有限公司的能源站當(dāng)中，對(duì)該公司能源站中各類通信設(shè)備之間的無線傳輸進(jìn)行實(shí)驗(yàn)。將傳輸過程中數(shù)據(jù)的安全性作為評(píng)價(jià)指標(biāo)，針對(duì)實(shí)驗(yàn)組和對(duì)照組傳輸過程中數(shù)據(jù)的丟包率作為量化指標(biāo)，丟包率的計(jì)算公式為：丟包率=（發(fā)送端傳輸發(fā)送數(shù)據(jù)包量-接收端接收數(shù)據(jù)包量）/發(fā)送端傳輸發(fā)送數(shù)據(jù)包量×100%。根據(jù)上述公式，計(jì)算得出實(shí)驗(yàn)組和對(duì)照組在不同數(shù)據(jù)無線傳輸中的丟包率，并將實(shí)驗(yàn)結(jié)果記錄如表1所示。

表1 實(shí)驗(yàn)組和對(duì)照組無線傳輸丟包率

在無線傳輸過程中，數(shù)據(jù)傳輸丟包率越低，說明傳輸安全性越強(qiáng)。結(jié)合表1中的數(shù)據(jù)證明，實(shí)驗(yàn)組基于國(guó)產(chǎn)密碼體系的無線傳輸方法在實(shí)際應(yīng)用中可以有效提高傳輸數(shù)據(jù)的安全性，數(shù)據(jù)丟包率明顯低于對(duì)照組基于ZigBee協(xié)議的無線傳輸方法。

在上述實(shí)驗(yàn)的基礎(chǔ)上，再對(duì)實(shí)驗(yàn)組和對(duì)照組兩種無線傳輸方法的傳輸效率進(jìn)行對(duì)比，選擇將相同數(shù)據(jù)傳輸量的傳輸速率作為評(píng)價(jià)對(duì)象，以此驗(yàn)證兩種方法的傳輸效率，傳輸速率可通過如下公式計(jì)算得出：

公式（5）中，V為實(shí)驗(yàn)組或?qū)φ战M的無線傳輸速率；W為每個(gè)無線傳輸路徑當(dāng)中傳輸?shù)臄?shù)據(jù)總量；λ為在區(qū)域能源站當(dāng)中數(shù)據(jù)傳輸?shù)牟ㄌ芈?；N為數(shù)據(jù)在傳輸過程中產(chǎn)生的有效離散值；s為數(shù)據(jù)傳輸時(shí)間。在公式（5）的基礎(chǔ)上，在保證傳輸過程中兩組方法數(shù)據(jù)總量均為15000Mbit的基礎(chǔ)上，即W=15000，其他參數(shù)（有效離散值N、數(shù)據(jù)傳輸波特率λ等）均保持不變的基礎(chǔ)上，通過記錄實(shí)驗(yàn)組和對(duì)照組的無線傳輸時(shí)間，得出兩種傳輸方法的傳輸速率如表2所示。

表2 實(shí)驗(yàn)組和對(duì)照組傳輸速率記錄表

結(jié)合上述實(shí)驗(yàn)結(jié)果證明，本文提出的傳輸方法能夠在保證數(shù)據(jù)傳輸安全性的同時(shí)，進(jìn)一步提高傳輸?shù)乃俾剩哂懈匾膽?yīng)用價(jià)值。

3 結(jié)語(yǔ)

本文從構(gòu)建基于國(guó)產(chǎn)密碼體系的無線專網(wǎng)安全傳輸協(xié)議、基于光纖非網(wǎng)通信的能源站監(jiān)控系統(tǒng)與互聯(lián)網(wǎng)隔離、基于用戶身份認(rèn)證的接收端規(guī)約轉(zhuǎn)換數(shù)據(jù)安全傳輸三個(gè)方面，對(duì)基于國(guó)產(chǎn)密碼體系的區(qū)域能源站無線傳輸安全展開研究。本項(xiàng)目研究成果可形成能源站與用戶數(shù)據(jù)的網(wǎng)絡(luò)安全生態(tài)鏈，使能源站業(yè)務(wù)穩(wěn)定性得到提升，信息化、智能化安全防護(hù)水平提高，符合國(guó)家對(duì)網(wǎng)絡(luò)安全的要求，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)健康環(huán)境的優(yōu)化。