基于国产密码体系的区域能源站无线传输安全的研究

曾贺湛，肖波，王泽冬

（珠海横琴能源发展有限公司，广东 珠海 529000）

0 引言

随着网络技术的快速发展，区域能源站开始使用无线传输技术进行信息传输。用户数据在没有安全防护机制的情况下，使用无线通信网络会导致敏感作业信息和控制操作暴露在互联网当中，也可能会导致能源站监控系统处于黑客监控之中。无线传输技术及数据安全防护已经成为了亟待解决的重要问题[1]。目前，能源站监控系统缺乏可靠的安全通信机制和数据保密措施，其网络安全防御能力十分有限。因此，为了解决无线传输技术对能源用户数据带来的安全隐患，将国家密码管理局加密算法技术与无线传输技术相结合，组建专用的网络技术，保证数据在传输中的安全性。

1 基于国产密码体系的区域能源站无线传输安全的研究

1.1 构建基于国产密码体系的无线专网安全协议

为了解决工业自动化发展趋势下，信息在网络中传输存在的安全隐患高、数据可信度差等问题，引进国产密码体系，进行无线专网安全传输体系的构建研究。将经国家安全认证的对称密码、公钥密码与杂凑密码（SM2算法、SM1算法与SM3算法）作为随机密码，制定用户数据无线传输及数据安全保护技术研究方案，构建针对IPsec VPN无线专网的安全传输技术，确保前端用户在进行身份验证时，用户数据具有防篡改的性能，实现对可用性、完整性、保密性等综合性能较强的工业控制防御架构开发。

将区域能源站无线传输的虚拟操作端与VPN客户端进行对接，开发一种可用于实现VPN资源持续供应的软管模型，进行端对端的多重连接[2]。将VPN技术与国产密钥体系中的SM1、SM2、SM3等算法相结合，以此种方式，为IPsec VPN技术提供解决方案。可将IPsec VPN协议作用于网络层，通过对协议栈中IP层的网络数据进行拆解、安全处理，再将文本密文进行包装，使其成为一个全新的网络IP数据，即可实现对原有的透明IP数据包的加密保护。基于国产密码体系的IPsec VPN协议体系架构如下图1所示。

图1 基于国产密码体系的IPsec VPN 协议体系架构

保护分组流的协议包括ESP协议和AH协议，前者对分组流进行加密保护，后者对数据进行认证[3]。IPsec VPN协议使用的安全服务具有访问控制权限、数据源验证、校验数据完整、防止数据重复的特点。基于国密算法的IPsec VPN技术，已成为国内基础设施建设信息化安全防护的核心技术，使得关键的信息数据采用明文方式进行传输时能够保持完整性、保密性、不可抵赖性。

1.2 基于光纤非网通信的能源站监控系统与互联网隔离

在完成上述研究的基础上，引进光纤非网通信技术，进行能源站监控系统与互联网的隔离处理[4]。为实现内网与外网的网络隔离，安全网关采用双机设计，即一台网关设备由两台独立的计算机主板构成，它们的通信基于专用硬件（USB）与私有协议[5]。

外网主机与公网连接，直接暴露在互联网上，抵御一般的网络攻击，以保护密钥信息不泄漏到公网之上；内网主机则与内联网连接，存放证书、私钥，以及IPSec协商出来的工作密钥、会话密钥等密钥信息，完成VPN封装/解封功能。按照上述网络布局方式，进行能源站监控系统与互联网的布设，实现对两者在区域能源站中运行的有效隔离。

1.3 基于用户身份认证的接收端数据安全传输

在进行用户数据身份验证时，需要由客户端向前端发送一个文件包，文件包中应包含因网络数据传输协议版本信息、支持客户端身份校验的加密与压缩算法、由密钥生成的随机数[6]。当接收终端实现对客户身份信息的获取后，由服务器端产生的随机公钥，进行传输信息的安全性检验，检验过程可用下述计算公式表示：

公式（1）中：S为用户数据身份认证标识；P为用户传输文件包中的明文信息；C为密文信息；K为密钥信息；E为加密密钥（由计算机传输协议与法则构成）；D为解码密钥（属于E的逆向位）。在验证过程中，当前端给定认证密钥kÎK 时（其中，k为密钥认证信息），认证中不同密文在网络中存在下述关系：

公式中：C为非对称明文信息。综合上述对用户认证过程中不同加密数据关系的描述可知，要保障无线传输中数据的安全性，应当确定E、D、K三个主要参数。完成对数据传输中相关参数的界定后，将其与传输网络进行对接，以此种方式，确保接收终端与发送终端之间数据的安全传输，实现基于国产密码体系的区域能源站无线传输安全的研究。

2 对比实验

为进一步验证本文提出的基于国产密码体系的无线传输方法在实际应用中的效果，选择将本文设计的无线传输方法作为实验组，将基于ZigBee协议的无线传输方法作为对照组，将两种传输方法应用到国家电投集团广东电力有限公司的能源站当中，对该公司能源站中各类通信设备之间的无线传输进行实验。将传输过程中数据的安全性作为评价指标，针对实验组和对照组传输过程中数据的丢包率作为量化指标，丢包率的计算公式为：丢包率=（发送端传输发送数据包量-接收端接收数据包量）/发送端传输发送数据包量×100%。根据上述公式，计算得出实验组和对照组在不同数据无线传输中的丢包率，并将实验结果记录如表1所示。

表1 实验组和对照组无线传输丢包率

在无线传输过程中，数据传输丢包率越低，说明传输安全性越强。结合表1中的数据证明，实验组基于国产密码体系的无线传输方法在实际应用中可以有效提高传输数据的安全性，数据丢包率明显低于对照组基于ZigBee协议的无线传输方法。

在上述实验的基础上，再对实验组和对照组两种无线传输方法的传输效率进行对比，选择将相同数据传输量的传输速率作为评价对象，以此验证两种方法的传输效率，传输速率可通过如下公式计算得出：

公式（5）中，V为实验组或对照组的无线传输速率；W为每个无线传输路径当中传输的数据总量；λ为在区域能源站当中数据传输的波特率；N为数据在传输过程中产生的有效离散值；s为数据传输时间。在公式（5）的基础上，在保证传输过程中两组方法数据总量均为15000Mbit的基础上，即W=15000，其他参数（有效离散值N、数据传输波特率λ等）均保持不变的基础上，通过记录实验组和对照组的无线传输时间，得出两种传输方法的传输速率如表2所示。

表2 实验组和对照组传输速率记录表

结合上述实验结果证明，本文提出的传输方法能够在保证数据传输安全性的同时，进一步提高传输的速率，具有更重要的应用价值。

3 结语

本文从构建基于国产密码体系的无线专网安全传输协议、基于光纤非网通信的能源站监控系统与互联网隔离、基于用户身份认证的接收端规约转换数据安全传输三个方面，对基于国产密码体系的区域能源站无线传输安全展开研究。本项目研究成果可形成能源站与用户数据的网络安全生态链，使能源站业务稳定性得到提升，信息化、智能化安全防护水平提高，符合国家对网络安全的要求，可实现对网络健康环境的优化。