IPSec VPN加密系统在中海油通信网络中的应用探讨

庄佳乐，刘 琨

（中海油信息科技有限公司，北京 100012）

IPSec VPN加密系统在中海油通信网络中的应用探讨

庄佳乐，刘 琨

（中海油信息科技有限公司，北京 100012）

本文分析了深水海域石油平台通信系统内所面临的网络安全问题，并通过IPSec VPN加密技术完成对深水海域石油平台网络通信的加密，经过多次实验，表明IPSec VPN加密技术可以提供很好的数据保密性，同时对网络系统本身没有明显影响，因此，IPSec VPN加密技术可以满足深水海域网络环境需求，并达到数据安全保护目的。

IPSec；VPN

1 引言

随着现代通信、信息技术的飞速发展，中海油已经建立了一套现代化的信息通信网络。目前，中海油的通信网络格局具有地域分布广、通信手段多样、拓扑结构复杂的特点，同时各种通信手段基本采用开放式传输网络，信息在传输过程中存在较大的安全风险，通信安全性不能得到有效的保证，信息安全面临的形势十分严峻，维护信息安全的任务非常艰巨繁重。

由于中海油深海海域的网络环境有别于传统IT网络，所以本文将以切合实际工作中的网络应用为前提，对网络加密系统的功能及性能进行测试，确保网络加密系统在功能及性能上可以满足中海油深海海域网络环境需求。

中海油深海海域网络环境特殊，具有特殊时间段网络流量较大，对网络稳定性要求较高和总体带宽较小等特点。本文将根据这些特点，用实验的方式来对整个IPSec VPN网络加密系统进行测试。

2 技术原理

2.1 系统框图

网络加密系统采用端对端加密模式，在发送端由加密密钥对发送明文信息进行加密，并在接收端通过解密密钥解密，使接收方得到明文信息，系统框图如图1所示。

图1 网络加密系统框图

2.2 加密技术

（1）隧道技术。IPSec隧道技术是一种通过使用公共网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是不同协议的数据帧或包。IPSec隧道协议将其他协议的数据帧或包重新封装IP头和协议头后发送。

（2）数据加密。本次测试的网络加密系统的数据加密技术是使用DES对称分组算法，将所有数据包划分为单组大小为64Bit的数据组，通过16轮循环对数据进行加密。

（3）数据认证。HMAC是密钥相关的哈希运算消息认证码，HMAC运算利用哈希算法（HashA lgorithm），以一个密钥和一个消息为输入，生成一个消息摘要作为输出；在数据验证上，使用MD5算法获取128位Hash值，用来验证数据包在传输过程中是否受到异常修改，从而提供数据包完整性。

（4）身份认证。在认证功能上通过ESP认证机制提供链路双方的身份认证及数据安全。

3 应用测试

3.1 测试准备

本次网络加密系统测试的目的是为了检验在卫星通信链路上部署网络加密系统后对网络的影响，为了展现在部署网络加密系统前后对不同情况下网络的影响，测试内容包括：加密数据保密性测试；整个网络的负载及性能测试。

测试地点：海上平台——上海海洋石油大厦。

测试链路：通过中海油内部的卫星网络链路，上下行带宽均为512kb/s。

3.2 测试方法

（1）数据包嗅探技术。网络嗅探是指利用计算机的网络接口截获目的地为其他计算机的数据报文的一种手段。本次测试主要通过数据包嗅探技术分析在部署加密设备前后同类网络协议中数据内容的认知性。

（2）网络环境测试。使用ICMP协议持续发送100个大小分别为100字节、500字节、1000字节、1500字节的数据包，并采集延时数据。

3.3 加密数据保密性测试

图2和图3分别是在密文和明文环境中捕获的ICMP协议的数据包截图。如图2所示，通过VPN隧道加密后的ICMP数据包只能看到ESP认证的数据，其他的数据信息都无法捕获。如图3所示，未加密的数据包中可以清晰看到ICMP协议的具体状态和数据信息。通过分析以上两张图可以确定加密后的网络数据包可以提供保密性。

图2 密文数据包截图

图3 明文数据包截图

3.4 整个网络的负载及性能测试

模拟个人使用IP网络，测试在发送不同大小数据包的情况下的网络链路性能状况，为了更贴近实际的工作环境，此测试分别在无网络负载、40%网络负载和网络全负载三个环境中进行测试（数据均通过三次测试，每次发送100个数据包后获取的平均值）。

3.4.1 无网络负载

1. 网络延时

图4 无网络负载网络延时

如图4所示，在无网络负载的情况下，密文环境中网络延时较明文中多4～8ms。

2. 网络丢包率

由测试可知，在无网络负载的情况下，明文和密文环境中丢包率都为0%。

3.4.2 40%网络负载

1. 网络延时

由测试可知，在40%网络负载的情况下，密文环境中网络延时比明文环境多15～20ms。

2. 网络丢包率

如图5所示，在40%网络负载的情况下，明文和密文环境中，当发送1500字节大小的数据包时，丢包率相差1%。

图5 40%网络负载丢包率

3.4.3 全网络负载

1. 网络延时

经过测试，在网络全负载的情况下，网络延时相比无负载和40%负载的情况下有明显提升，明文和密文网络延时相差70～80ms。

2. 网络丢包率

如图6所示，在网络全负载的情况下，明文和密文环境中丢包率相比前两项测试有较大提升，其中数据包大小为500，1 000，1 500字节的丢包率相差3%～5%。

图6 网络全负载丢包率

3.5 数据分析

本次测试从类型上主要区分为功能测试和性能测试两部分，其中功能性测试主要针对数据包在传输过程中的数据加密功能，通过比对加密前后的数据包信息，可以确定在部署网络加密系统后每次有网络通信时都会先建立VPN隧道，并且加密后的数据包无法正常识别，所以可以确定网络加密机的数据加密功能正常。

在单个应用链路测试项目中，由于卫星链路上行和下行带宽均为512kb/s，为了获得准确的测试数据，所以分别选取了无网络负载、40%网络负载和全网络负载三个具有代表性的网络、使用时间段进行测试和数据获取。通过分析测试结果，无网络负载时间段中，明文和密文网络延时平均相差4～8ms，丢包率都为0%；在40%网络负载时间段中，明文和密文网络延时平均相差10～20m s，丢包率仅在发送数据包大小为1 500字节时存在1%的差额；在全网络负载情况下，明文和密文的网络延时和丢包率相比前两个时间段有明显提升，与之前时间段相比，明文延时平均增加200ms，密文延时平均增加250m s，明文丢包率平均增加5%～9%，密文丢包率平均增加7%～12%，在全负载情况下，明文和密文网络延时平均相差70～80m s，丢包率平均相差3%～5%。

4 结束语

通过测试数据综合分析，可得出以下结论：

（1）由于部署了网络加密系统，所以在使用网络传输数据前必须先通过密钥协商建立VPN隧道，而每次协商过程都需要发送3～5次数据包进行加密信息交换，在理想网络状况下，加密所增加的时延仅为4～8ms，可以忽略不计。

（2）由于带宽有限，所以在网络负载不同的时间段里，即使使用明文环境中，也明显增加网络延时和丢包率。因此，明、密文的网络性能下降主要是由于网络带宽有限所造成的。

（3）随着负载的增加，密文与明文的时延之差更加明显，这是因为网络带宽趋于饱和，加密协商过程中数据包交换的时间也随之增加，造成了明密文之间的延时和丢包率增大。

综上所述，IPSec VPN网络加密系统的加密功能可以很好提供数据保密性；同时，对用户网络使用无明显影响。因此，IPSec VPN网络加密系统在功能及性能上可以满足中海油深海海域网络环境需求，并达到保护数据安全的目的。

IPSec VPN Encryption System in The Applicationof CNOOC's Communication Network

Zhuang Jiale, Liu Kun

10.3969/j.issn.1672-7274.2014.03.007

TN915.85文献标示码：A

1672-7274（2014）03-0029-03