莊佳樂，劉 琨

（中海油信息科技有限公司，北京 100012）

IPSec VPN加密系統(tǒng)在中海油通信網(wǎng)絡中的應用探討

莊佳樂，劉 琨

（中海油信息科技有限公司，北京 100012）

本文分析了深水海域石油平臺通信系統(tǒng)內所面臨的網(wǎng)絡安全問題，并通過IPSec VPN加密技術完成對深水海域石油平臺網(wǎng)絡通信的加密，經(jīng)過多次實驗，表明IPSec VPN加密技術可以提供很好的數(shù)據(jù)保密性，同時對網(wǎng)絡系統(tǒng)本身沒有明顯影響，因此，IPSec VPN加密技術可以滿足深水海域網(wǎng)絡環(huán)境需求，并達到數(shù)據(jù)安全保護目的。

IPSec；VPN

1 引言

隨著現(xiàn)代通信、信息技術的飛速發(fā)展，中海油已經(jīng)建立了一套現(xiàn)代化的信息通信網(wǎng)絡。目前，中海油的通信網(wǎng)絡格局具有地域分布廣、通信手段多樣、拓撲結構復雜的特點，同時各種通信手段基本采用開放式傳輸網(wǎng)絡，信息在傳輸過程中存在較大的安全風險，通信安全性不能得到有效的保證，信息安全面臨的形勢十分嚴峻，維護信息安全的任務非常艱巨繁重。

由于中海油深海海域的網(wǎng)絡環(huán)境有別于傳統(tǒng)IT網(wǎng)絡，所以本文將以切合實際工作中的網(wǎng)絡應用為前提，對網(wǎng)絡加密系統(tǒng)的功能及性能進行測試，確保網(wǎng)絡加密系統(tǒng)在功能及性能上可以滿足中海油深海海域網(wǎng)絡環(huán)境需求。

中海油深海海域網(wǎng)絡環(huán)境特殊，具有特殊時間段網(wǎng)絡流量較大，對網(wǎng)絡穩(wěn)定性要求較高和總體帶寬較小等特點。本文將根據(jù)這些特點，用實驗的方式來對整個IPSec VPN網(wǎng)絡加密系統(tǒng)進行測試。

2 技術原理

2.1 系統(tǒng)框圖

網(wǎng)絡加密系統(tǒng)采用端對端加密模式，在發(fā)送端由加密密鑰對發(fā)送明文信息進行加密，并在接收端通過解密密鑰解密，使接收方得到明文信息，系統(tǒng)框圖如圖1所示。

圖1 網(wǎng)絡加密系統(tǒng)框圖

2.2 加密技術

（1）隧道技術。IPSec隧道技術是一種通過使用公共網(wǎng)絡的基礎設施在網(wǎng)絡之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)可以是不同協(xié)議的數(shù)據(jù)幀或包。IPSec隧道協(xié)議將其他協(xié)議的數(shù)據(jù)幀或包重新封裝IP頭和協(xié)議頭后發(fā)送。

（2）數(shù)據(jù)加密。本次測試的網(wǎng)絡加密系統(tǒng)的數(shù)據(jù)加密技術是使用DES對稱分組算法，將所有數(shù)據(jù)包劃分為單組大小為64Bit的數(shù)據(jù)組，通過16輪循環(huán)對數(shù)據(jù)進行加密。

（3）數(shù)據(jù)認證。HMAC是密鑰相關的哈希運算消息認證碼，HMAC運算利用哈希算法（HashA lgorithm），以一個密鑰和一個消息為輸入，生成一個消息摘要作為輸出；在數(shù)據(jù)驗證上，使用MD5算法獲取128位Hash值，用來驗證數(shù)據(jù)包在傳輸過程中是否受到異常修改，從而提供數(shù)據(jù)包完整性。

（4）身份認證。在認證功能上通過ESP認證機制提供鏈路雙方的身份認證及數(shù)據(jù)安全。

3 應用測試

3.1 測試準備

本次網(wǎng)絡加密系統(tǒng)測試的目的是為了檢驗在衛(wèi)星通信鏈路上部署網(wǎng)絡加密系統(tǒng)后對網(wǎng)絡的影響，為了展現(xiàn)在部署網(wǎng)絡加密系統(tǒng)前后對不同情況下網(wǎng)絡的影響，測試內容包括：加密數(shù)據(jù)保密性測試；整個網(wǎng)絡的負載及性能測試。

測試地點：海上平臺——上海海洋石油大廈。

測試鏈路：通過中海油內部的衛(wèi)星網(wǎng)絡鏈路，上下行帶寬均為512kb/s。

3.2 測試方法

（1）數(shù)據(jù)包嗅探技術。網(wǎng)絡嗅探是指利用計算機的網(wǎng)絡接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種手段。本次測試主要通過數(shù)據(jù)包嗅探技術分析在部署加密設備前后同類網(wǎng)絡協(xié)議中數(shù)據(jù)內容的認知性。

（2）網(wǎng)絡環(huán)境測試。使用ICMP協(xié)議持續(xù)發(fā)送100個大小分別為100字節(jié)、500字節(jié)、1000字節(jié)、1500字節(jié)的數(shù)據(jù)包，并采集延時數(shù)據(jù)。

3.3 加密數(shù)據(jù)保密性測試

圖2和圖3分別是在密文和明文環(huán)境中捕獲的ICMP協(xié)議的數(shù)據(jù)包截圖。如圖2所示，通過VPN隧道加密后的ICMP數(shù)據(jù)包只能看到ESP認證的數(shù)據(jù)，其他的數(shù)據(jù)信息都無法捕獲。如圖3所示，未加密的數(shù)據(jù)包中可以清晰看到ICMP協(xié)議的具體狀態(tài)和數(shù)據(jù)信息。通過分析以上兩張圖可以確定加密后的網(wǎng)絡數(shù)據(jù)包可以提供保密性。

圖2 密文數(shù)據(jù)包截圖

圖3 明文數(shù)據(jù)包截圖

3.4 整個網(wǎng)絡的負載及性能測試

模擬個人使用IP網(wǎng)絡，測試在發(fā)送不同大小數(shù)據(jù)包的情況下的網(wǎng)絡鏈路性能狀況，為了更貼近實際的工作環(huán)境，此測試分別在無網(wǎng)絡負載、40%網(wǎng)絡負載和網(wǎng)絡全負載三個環(huán)境中進行測試（數(shù)據(jù)均通過三次測試，每次發(fā)送100個數(shù)據(jù)包后獲取的平均值）。

3.4.1 無網(wǎng)絡負載

1. 網(wǎng)絡延時

圖4 無網(wǎng)絡負載網(wǎng)絡延時

如圖4所示，在無網(wǎng)絡負載的情況下，密文環(huán)境中網(wǎng)絡延時較明文中多4～8ms。

2. 網(wǎng)絡丟包率

由測試可知，在無網(wǎng)絡負載的情況下，明文和密文環(huán)境中丟包率都為0%。

3.4.2 40%網(wǎng)絡負載

1. 網(wǎng)絡延時

由測試可知，在40%網(wǎng)絡負載的情況下，密文環(huán)境中網(wǎng)絡延時比明文環(huán)境多15～20ms。

2. 網(wǎng)絡丟包率

如圖5所示，在40%網(wǎng)絡負載的情況下，明文和密文環(huán)境中，當發(fā)送1500字節(jié)大小的數(shù)據(jù)包時，丟包率相差1%。

圖5 40%網(wǎng)絡負載丟包率

3.4.3 全網(wǎng)絡負載

1. 網(wǎng)絡延時

經(jīng)過測試，在網(wǎng)絡全負載的情況下，網(wǎng)絡延時相比無負載和40%負載的情況下有明顯提升，明文和密文網(wǎng)絡延時相差70～80ms。

2. 網(wǎng)絡丟包率

如圖6所示，在網(wǎng)絡全負載的情況下，明文和密文環(huán)境中丟包率相比前兩項測試有較大提升，其中數(shù)據(jù)包大小為500，1 000，1 500字節(jié)的丟包率相差3%～5%。

圖6 網(wǎng)絡全負載丟包率

3.5 數(shù)據(jù)分析

本次測試從類型上主要區(qū)分為功能測試和性能測試兩部分，其中功能性測試主要針對數(shù)據(jù)包在傳輸過程中的數(shù)據(jù)加密功能，通過比對加密前后的數(shù)據(jù)包信息，可以確定在部署網(wǎng)絡加密系統(tǒng)后每次有網(wǎng)絡通信時都會先建立VPN隧道，并且加密后的數(shù)據(jù)包無法正常識別，所以可以確定網(wǎng)絡加密機的數(shù)據(jù)加密功能正常。

在單個應用鏈路測試項目中，由于衛(wèi)星鏈路上行和下行帶寬均為512kb/s，為了獲得準確的測試數(shù)據(jù)，所以分別選取了無網(wǎng)絡負載、40%網(wǎng)絡負載和全網(wǎng)絡負載三個具有代表性的網(wǎng)絡、使用時間段進行測試和數(shù)據(jù)獲取。通過分析測試結果，無網(wǎng)絡負載時間段中，明文和密文網(wǎng)絡延時平均相差4～8ms，丟包率都為0%；在40%網(wǎng)絡負載時間段中，明文和密文網(wǎng)絡延時平均相差10～20m s，丟包率僅在發(fā)送數(shù)據(jù)包大小為1 500字節(jié)時存在1%的差額；在全網(wǎng)絡負載情況下，明文和密文的網(wǎng)絡延時和丟包率相比前兩個時間段有明顯提升，與之前時間段相比，明文延時平均增加200ms，密文延時平均增加250m s，明文丟包率平均增加5%～9%，密文丟包率平均增加7%～12%，在全負載情況下，明文和密文網(wǎng)絡延時平均相差70～80m s，丟包率平均相差3%～5%。

4 結束語

通過測試數(shù)據(jù)綜合分析，可得出以下結論：

（1）由于部署了網(wǎng)絡加密系統(tǒng)，所以在使用網(wǎng)絡傳輸數(shù)據(jù)前必須先通過密鑰協(xié)商建立VPN隧道，而每次協(xié)商過程都需要發(fā)送3～5次數(shù)據(jù)包進行加密信息交換，在理想網(wǎng)絡狀況下，加密所增加的時延僅為4～8ms，可以忽略不計。

（2）由于帶寬有限，所以在網(wǎng)絡負載不同的時間段里，即使使用明文環(huán)境中，也明顯增加網(wǎng)絡延時和丟包率。因此，明、密文的網(wǎng)絡性能下降主要是由于網(wǎng)絡帶寬有限所造成的。

（3）隨著負載的增加，密文與明文的時延之差更加明顯，這是因為網(wǎng)絡帶寬趨于飽和，加密協(xié)商過程中數(shù)據(jù)包交換的時間也隨之增加，造成了明密文之間的延時和丟包率增大。

綜上所述，IPSec VPN網(wǎng)絡加密系統(tǒng)的加密功能可以很好提供數(shù)據(jù)保密性；同時，對用戶網(wǎng)絡使用無明顯影響。因此，IPSec VPN網(wǎng)絡加密系統(tǒng)在功能及性能上可以滿足中海油深海海域網(wǎng)絡環(huán)境需求，并達到保護數(shù)據(jù)安全的目的。

IPSec VPN Encryption System in The Applicationof CNOOC's Communication Network

Zhuang Jiale, Liu Kun

10.3969/j.issn.1672-7274.2014.03.007

TN915.85文獻標示碼：A

1672-7274（2014）03-0029-03