Анализ протоколов шифрования организации каналов связи телерегулирования коммутационным оборудованием. Определение принципов работы виртуальной частной сети VPN. организация шифрованного VPN–канала при помощи IP Security. Этапы работы протоколов IPsec.
При низкой оригинальности работы "Информационная безопасность при обмене технологической информацией для осуществления функций телеуправления в энергетике", Вы можете повысить уникальность этой работы до 80-100%
Секретность способа шифрования данных базируется на двух элементах: - алгоритме шифрования данных, представляющем собой набор математических правил, определяющих последовательность выполнения элементарных действий над данными, в совокупности обеспечивающих их зашифрование или расшифрование; - криптографическом ключе, однозначно определяющем конкретный вариант преобразования открытого текста в шифртекст (и, наоборот) из многообразия всех возможных вариантов, обусловленных алгоритмом шифрования; ключ обычно представляет собой число или последовательность символов и является параметром, позволяющим настроить алгоритм шифрования данных на конкретную работу [1]. В настоящее время наиболее перспективным представляются решения, связанные с гибридными криптосистемами, использующими традиционные методы шифрования с секретным ключом для защиты секретности и целостности, при одновременном использовании методов шифрования с открытыми ключами для реализации функций распределения ключей [3]. Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол, в результате чего, решается проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации. IPSEC - это не протокол, а стандарт, включающий в себя целых три протокола, каждый со своими функциями: - Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов; Кроме этого, может исполнять функции AH: обеспечить целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов.
Введение
Организация телеуправления оборудованием станций/подстанций способствует повышению надежности Единой национальной электрической сети за счет сокращения времени производства оперативных переключений и снижения риска ошибочных действий оперативного персонала энергообъекта. Кроме того, проект реализуется для повышения скорости реализации управляющих воздействий по изменению топологии электрической сети и сокращения временного диапазона применения иных режимных мероприятий на время производства переключений.
Телеуправление осуществляется при плановых переключениях по изменению технологического режима работы или эксплуатационного состояния линий электропередачи, находящихся в диспетчерском управлении, а также в целях предотвращения развития и ликвидации нарушений нормального режима работы территориальной энергосистемы. К важнейшим условиям для телеуправления относятся обеспечение безопасности и надежности передачи данных по каналам связи.
Наиболее эффективным средством защиты информации в контролируемых каналах связи является применение криптографии и специальных связных протоколов. Криптографическая защита представляет собой совокупность методов и средств, предназначенных для шифрования текстов, то есть для преобразования формы исходных данных таким образом, что их смысл становится непонятным для любого лица, не владеющего алгоритмом обратного преобразования.
Секретность способа шифрования данных базируется на двух элементах: - алгоритме шифрования данных, представляющем собой набор математических правил, определяющих последовательность выполнения элементарных действий над данными, в совокупности обеспечивающих их зашифрование или расшифрование; - криптографическом ключе, однозначно определяющем конкретный вариант преобразования открытого текста в шифртекст (и, наоборот) из многообразия всех возможных вариантов, обусловленных алгоритмом шифрования; ключ обычно представляет собой число или последовательность символов и является параметром, позволяющим настроить алгоритм шифрования данных на конкретную работу [1].
В настоящее время наиболее перспективным представляются решения, связанные с гибридными криптосистемами, использующими традиционные методы шифрования с секретным ключом для защиты секретности и целостности, при одновременном использовании методов шифрования с открытыми ключами для реализации функций распределения ключей [3].
В данной работе представим наиболее преимущественные технологии организации шифрованного канала связи, который в полной мере смог бы обеспечить наиболее безопасную и надежную передачу данных при телеуправлении.
Виртуальная частная сеть VPN
Сеть VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети Интернет. С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель-получатель данных» устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.
Принцип работы VPN не противоречит основным сетевым технологиям и протоколам.
Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол, в результате чего, решается проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.
Независимо от того, какие протоколы используются или какие цели преследуются при организации туннеля, основная методика остается практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой - для инкапсуляции данных и служебной информации с целью передачи через туннель.
Как правило, сети VPN хорошо защищены. В них используются и шифрование, и аутентификация, и средства защиты от изменений передаваемых файлов.
Перечисленные функции очень важны для защиты каналов связи при внедрении систем телеуправления, так как при создании таких инструментов, диспетчера, осуществляющие удаленные переключения, смогут получать полную информацию с объекта. А полнота технологической информации в первую очередь обеспечивается наличием достоверной оперативной информации о параметрах режима и топологии управляемой сети.
IPSEC (IP Security)
В настоящее время для организации шифрованного VPN-канала используются преимущественно следующие технологии: IPSEC (IP Security), OPENVPN и PPTP (Point-to-Point Tunneling Protocol).
Наибольшей популярностью пользуется IPSEC.
IPSEC - это не протокол, а стандарт, включающий в себя целых три протокола, каждый со своими функциями: - Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов;
- Encapsulating Security Payload (ESP) обеспечивает конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, может исполнять функции AH: обеспечить целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов. При применении ESP в обязательном порядке указывается набор услуг по обеспечению безопасности: каждая из его функций может включаться опционально;
- Internet Security Association and Key Management Protocol (ISAKMP) - протокол, используемый для первичной настройки соединения, взаимной аутентификации конечными узлами друг друга и обмена секретными ключами. Протокол предусматривает использование различных механизмов обмена ключами, включая задание фиксированных ключей, использование таких протоколов, как Internet Key Exchange, Kerberized Internet Negotiation of Keys или записей DNS типа IPSECKEY.
Ключевым понятием является Security Association (SA). SA является набором параметров, характеризующим соединение. Например, используемые алгоритм шифрования и хэш-функция, секретные ключи, номер пакета и др.
IPSEC может работать в двух режимах: туннельном и транспортном [2].
В туннельном режиме берется изначальный IP-пакет, полностью шифруется, вместе с заголовком IP, добавляется служебная информация IPSEC и новый заголовок IP:
Рис. 1. Работа IPSEC в туннельном режиме
В транспортном шифруется все, что выше уровня IP, а заголовок IP оставляет без изменений.
Рис. 2. Работа IPSEC в транспортном режиме
Туннельный режим используется для того, чтобы связать две приватные сети через публичную, обеспечив при этом шифрование. Транспортный начинает работать тогда, когда IP-связь уже существует, но существует необходимость шифровать трафик между узлами. Примером применения транспортного режима является схема сервер-клиент.
Как работает IPSEC
В работе протоколов IPSEC можно выделить пять этапов: 1. Первый этап начинается с создания на каждом узле, поддерживающим стандарт IPSEC, политики безопасности. На этом этапе определяется, какой трафик подлежит шифрованию, какие функции и алгоритмы могут быть использованы.
2. Второй этап является по сути первой фазой IKE (Internet Key Exchange) - протокол, связывающий все компоненты IPSEC в работающее целое. Ее цель - организовать безопасный канал между сторонами для второй фазы IKE. На втором этапе выполняются: - Аутентификация и защита идентификационной информации узлов;
- Проверка соответствий политик IKE SA узлов для безопасного обмена ключами;
- Обмен Диффи-Хеллмана, в результате которого у каждого узла будет общий секретный ключ;
- Создание безопасного канала для второй фазы IKE;
3. Третий этап является второй фазой IKE. Его задачей является создание IPSEC-туннеля. На третьем этапе выполняются следующие функции: - Согласуются параметры IPSEC SA по защищаемому IKE SA каналу, созданному в первой фазе IKE;
- Устанавливается IPSEC SA;
- Периодически осуществляется пересмотр IPSEC SA, чтобы убедиться в ее безопасности;
- (Опционально) выполняется дополнительный обмен Диффи-Хеллмана;
4. Рабочий этап. После создания IPSEC SA начинается обмен информацией между узлами через IPSEC-туннель, используются протоколы и параметры, установленные в SA.
5. Прекращают действовать текущие IPSEC SA. Это происходит при их удалении или при истечении времени жизни (определенное в SA в байтах информации, передаваемой через канал, или в секундах), значение которого содержится в SAD на каждом узле. Если требуется продолжить передачу, запускается фаза два IKE (если требуется, то и первая фаза) и далее создаются новые IPSEC SA. Процесс создания новых SA может происходить и до завершения действия текущих, если требуется непрерывная передача данных.
Виртуальная локальная сеть VLAN (Virtual Local Area Network)
Виртуальные локальные сети VLAN, технология позволяющая организовывать несколько независимых виртуальных сетей внутри одной физической сети. С помощью VLAN можно выполнять гибкое разнесение пользователей по различным сегментам сети с разной адресацией, даже если они подключены к единому устройству, а также дробить широковещательные домены.
При использовании в коммутаторах технологии виртуальных сетей одновременно решаются две задачи: - повышение производительности в каждой из виртуальных сетей, так как коммутатор передает данные только узлу назначения;
- изоляция сетей друг от друга для управления правами доступа пользователей и создания защитных барьеров на пути широковещательных каналов [2]. протокол шифрование телерегулирование коммутация
Данная технология облегчает процесс создания изолированных сетей, связь между которыми осуществляется с помощью маршрутизаторов с поддержкой протокола сетевого уровня.
На рисунке 3 представлена схема построения защищенного канала связи при телеуправлении.
Рис. 3. Схема построения защищенного канала связи при ТУ
Для обеспечения защиты каналов ТУ в пилотном проекте будут применены криптошлюзы (CSP) для организации через операторов связи шифрованных каналов между подстанциями/станциями и диспетчерским центром (ДЦ) и виртуальные локальные сети (VLAN) для разделения трафика внутри ЛВС на подстанциях/станциях и ДЦ.
Список литературы
Защита информации в каналах и коммутационных узлах систем связи. [Электронный ресурс]. - Режим доступа http://www.skrembler.ru/st1.html. - 25.03.2017.
Часть седьмая. VPN. [Электронный ресурс]. - Режим доступа https://habrahabr.ru/post/170895/.- 13.04.2017.
Виртуальные локальные сети. [Электронный ресурс]. - Режим доступа http://www.studfiles.ru/preview/2610386/page:13/.- 18.04.2017.
Защита АСУ ТП: от теории к практике. [Электронный ресурс]. - Электрон. дан. - studfiles.ru [М.].: 2012. - Режим доступа http://www.itsec.ru/articles2/Oborandteh/zaschita-asu-tp-ot-teorii-k-praktike. - 25.05.2017.
Размещено на .ru
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы
