0  引言

    當(dāng)前，電力通過公網(wǎng)傳送的業(yè)務(wù)，目前全部采用了3G的GPRS傳送，一方面因電力業(yè)務(wù)的特殊性，通過公網(wǎng)的VPN存在安全風(fēng)險，另外還需要通過公網(wǎng)實現(xiàn)IP地址轉(zhuǎn)換，實際部署非常麻煩，不利于電力業(yè)務(wù)的應(yīng)用。另外一方面，隨著電力業(yè)務(wù)的增加，以及系統(tǒng)的增加，目前面臨帶寬、安全和運維量的問題。因此急需解決電力公網(wǎng)傳送業(yè)務(wù)帶寬和采用二層透傳問題，以及提高數(shù)據(jù)的可靠性，同時降低維護難度和運維成本。因此，利用公網(wǎng)的VPDN方式建立安全隧道，終端和系統(tǒng)之間采用的是三層VPN的技術(shù)互聯(lián),不但浪費大量的流量同時還為運維帶來巨大困難。

    針對以上情況，在不利于有線網(wǎng)絡(luò)覆蓋環(huán)境下以無線的方式實現(xiàn)數(shù)據(jù)回傳的業(yè)務(wù)，采用3G /4G高速無線網(wǎng)絡(luò)作為數(shù)據(jù)承載網(wǎng)絡(luò)，為遠(yuǎn)程設(shè)備和站點之間的聯(lián)網(wǎng)提供安全高速的無線連接。同時無線回傳的備份功能應(yīng)與光纖網(wǎng)絡(luò)互為鏈路備份應(yīng)用，實現(xiàn)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的無縫融合，保證數(shù)據(jù)傳輸?shù)目煽窟\行。

1  無線VPDN技術(shù)概要

    無線VPDN是一種新興的、基于無線網(wǎng)絡(luò)并結(jié)合當(dāng)前主流VPN技術(shù)的安全無線接入技術(shù)，是運營商在當(dāng)前大網(wǎng)運營環(huán)境下獨立劃分出來的、專門針對行業(yè)應(yīng)用提供的與公眾互聯(lián)網(wǎng)隔離的虛擬專用撥號網(wǎng)絡(luò)，該網(wǎng)絡(luò)并入運營商的骨干，簡化傳輸節(jié)點，能夠提供最優(yōu)路由。其利用二層隧道技術(shù)為客戶構(gòu)建與公眾互聯(lián)網(wǎng)隔離的虛擬專網(wǎng)，用戶可使用移動終端通過無線寬帶VPDN網(wǎng)絡(luò)安全地訪問客戶網(wǎng)絡(luò)或應(yīng)用系統(tǒng)，從而滿足移動辦公、移動數(shù)據(jù)采集、無線數(shù)據(jù)傳輸?shù)刃枨蟆?/p>

    4G專線接入終端支持運營商的無線VPDN平臺，為客戶提供更放心、更方便的數(shù)據(jù)傳輸服務(wù)。4G專線接入終端接入VPDN以后，可以帶來如下的優(yōu)勢：

    （1）從無線接入層面就進入電信級的專用網(wǎng)絡(luò)，與普通互聯(lián)網(wǎng)業(yè)務(wù)隔離；可以提供更安全更穩(wěn)定的服務(wù)。

    （2）可以從無線網(wǎng)絡(luò)獲得固定的IP地址，兩臺4G專線接入終端可以實現(xiàn)點對點直連互通，無需中心服務(wù)器的參與。

    4G專線接入終端基于TLS技術(shù)提供網(wǎng)絡(luò)安全保障，可以有效防范非法接入和數(shù)據(jù)篡改，給用戶提供基于公共互聯(lián)網(wǎng)的私有安全傳輸通道。如果客戶希望傳輸通道與公共互聯(lián)網(wǎng)隔離，以獲取進一步的數(shù)據(jù)安全和性能穩(wěn)定保障，可以通過設(shè)置4G專線終端接入電信的VPDN網(wǎng)絡(luò)來實現(xiàn)。

2  無線VPDN技術(shù)在電力通信中分析和研究

2.1  技術(shù)適應(yīng)性分析

    4G專線接入設(shè)備通過4G無線網(wǎng)絡(luò)接入Internet，通過IP 隧道技術(shù)建立點對點或者點對多點的VPN連接，從而實現(xiàn)虛擬的以太網(wǎng)專線互聯(lián)和匯聚。本產(chǎn)品基于嵌入式Linux實現(xiàn)，充分考慮了網(wǎng)絡(luò)安全因素，采用TLS技術(shù)實現(xiàn)接入設(shè)備的雙向認(rèn)證以及業(yè)務(wù)數(shù)據(jù)的加密和驗證，有效預(yù)防非法接入和數(shù)據(jù)中途篡改，給用戶提供一個基于互聯(lián)網(wǎng)的私有安全通道。

    4G專線接入產(chǎn)品采用國際標(biāo)準(zhǔn)的TLS協(xié)議實現(xiàn)傳輸通道的數(shù)據(jù)安全，具體體現(xiàn)在下面五個方面：

    （1）服務(wù)器和每臺遠(yuǎn)端設(shè)備都需要分發(fā)數(shù)字證書，以在后續(xù)的TLS通信中協(xié)助完成身份認(rèn)證和密鑰交換；

    （2）控制通道采用2 048 bit RSA架構(gòu)，使用SHA1算法作為hash函數(shù)，RSA作為身份認(rèn)證，256位AES加密來實現(xiàn) Diffie-Hellman密鑰交換；

    （3）數(shù)據(jù)通道采用對稱加密技術(shù)，支持160 bit BLOWFISH，以及AES 128/256算法；

    （4）數(shù)據(jù)通道采用動態(tài)密鑰機制，密鑰每小時進行重新協(xié)商和更新；

    （5）服務(wù)器和遠(yuǎn)端設(shè)備進行雙向認(rèn)證。服務(wù)器只接收合法的遠(yuǎn)端設(shè)備連接；同時遠(yuǎn)端設(shè)備也認(rèn)證服務(wù)器，保證只連接到正確的服務(wù)器。

2.2  需求分析

    針對電力通信系統(tǒng)的需要，本文設(shè)計和實現(xiàn)了一套4G無線移動終端，用于電力業(yè)務(wù)的傳送，該設(shè)備需要達(dá)到以下要求：

    （1）要求無線終端為工業(yè)化設(shè)備，設(shè)備至少能夠提供4個以太網(wǎng)端口；

    （2）基于二層協(xié)議的VPN隧道協(xié)議；

    （3）設(shè)備支持內(nèi)置4G模塊，支持各運營商移動制式網(wǎng)絡(luò)；

    （4）APN/VPDN，支持各運營商移動制式網(wǎng)絡(luò)以及VPDN業(yè)務(wù)，并可進行無線網(wǎng)絡(luò)的自動切換，APN參數(shù)可修改；

    （5）支持VPN隧道協(xié)議，EOIP/VxLAN；

    （6）支持端口限速和防火墻等功能。

2.3  方案設(shè)計

    本文設(shè)計了4G無線終端設(shè)備3套，其中一套具備匯聚功能，如圖1所示。4G專線接入終端設(shè)備利用4G無線網(wǎng)絡(luò)接入運營商的IP網(wǎng)絡(luò)，通過IP 隧道技術(shù)建立點對點或者點對多點的VPN連接，從而實現(xiàn)虛擬的以太網(wǎng)專線互聯(lián)和匯聚。本產(chǎn)品基于嵌入式Linux實現(xiàn)，充分考慮了網(wǎng)絡(luò)安全因素，采用SSL/TLS技術(shù)實現(xiàn)接入設(shè)備的雙向認(rèn)證以及業(yè)務(wù)數(shù)據(jù)的加密和驗證，有效預(yù)防非法接入和數(shù)據(jù)中途篡改，給用戶提供一個基于互聯(lián)網(wǎng)的私有安全通道。

    本方案主要提供兩個相距較遠(yuǎn)節(jié)點間的點對點數(shù)據(jù)傳輸，在兩個節(jié)點間各放置一臺4G無線接入設(shè)備，兩個節(jié)點間利用運營商4G/3G/2G無線網(wǎng)絡(luò)實現(xiàn)通信，無需光纖或有線電路資源，業(yè)務(wù)開通快捷，非常適合各類應(yīng)急通信業(yè)務(wù)。

    本方案所建立的隧道是基于TLS協(xié)議實現(xiàn)的，服務(wù)器實現(xiàn)對遠(yuǎn)端設(shè)備的接入認(rèn)證和鑒權(quán)；在隧道建立的過程中，雙方根據(jù)RSA架構(gòu)協(xié)商數(shù)據(jù)加密算法和密鑰，并在后續(xù)的傳輸過程中對數(shù)據(jù)進行加密，以保障用戶數(shù)據(jù)的安全。

    （1）無線通道基于TLS技術(shù)建立安全連接：無線通道通過TLS協(xié)議完成通信雙方的身份驗證和動態(tài)密鑰交換，并對通信數(shù)據(jù)進行處理防止中途篡改和泄露。設(shè)備通過數(shù)字證書機制實現(xiàn)安全接入和通信；設(shè)備開通業(yè)務(wù)前需要導(dǎo)入合法的數(shù)字證書。

    （2）嚴(yán)格的設(shè)備防火墻設(shè)置：設(shè)備采用了嚴(yán)格的防火墻配置，無線網(wǎng)絡(luò)則僅開通一個用于數(shù)據(jù)連接的UDP端口，拒絕其他任何訪問。

    （3）支持運營商VPDN/APN專網(wǎng)接入：設(shè)備支持接入運營商的VPDN/APN專網(wǎng)，以使傳輸通道與公共互聯(lián)網(wǎng)隔離，以獲取進一步的數(shù)據(jù)安全和性能穩(wěn)定保障。

3  實際測試和應(yīng)用

    本論文所設(shè)計和實現(xiàn)的方案，在北京電力公司進行了部署和實施，測試環(huán)境和過程如圖2所示。

    本測試需要的設(shè)備包括：（1）4G專線接入服務(wù)器1臺；（2）4G專線終端2臺。本測試需要的其他資源（由聯(lián)通公司提供）：4G VPDN 功能 SIM卡3個（終端和遠(yuǎn)端使用，實際使用SIM卡的通道為4G）。

    測試過程如下：

    （1）把 4G SIM卡插入到3臺設(shè)備中去，配置并配置好業(yè)務(wù)；

    （2）指揮控制中心IP地址PING DUT設(shè)備IP地址-1，看是否能ping通對端IP地址；

    （3）指揮控制中心IP地址PING DUT設(shè)備IP地址-2，看是否能ping通對端IP地址；

    目前實現(xiàn)的功能包括：公司通過公網(wǎng)傳送的業(yè)務(wù)，目前全部采用了3G的GPRS傳送，利用公網(wǎng)的VPDN方式建立安全隧道，終端和系統(tǒng)之間采用的是三層VPN的技術(shù)互聯(lián)，不但浪費大量的流量同時還為運維帶來巨大困難。隨著電力業(yè)務(wù)的增加，以及系統(tǒng)的增加，目前面臨帶寬、安全和運維量的問題。因此急需解決電力公網(wǎng)傳送業(yè)務(wù)帶寬和采用二層透傳問題，以及提高數(shù)據(jù)的可靠性，同時降低維護難度和運維成本。

4  結(jié)束語

    針對目前電力公網(wǎng)傳送業(yè)務(wù)帶寬和采用二層透傳問題，本文提出了一種以基于無線VPDN的方案，可利用二層隧道技術(shù)為客戶構(gòu)建與公眾互聯(lián)網(wǎng)隔離的虛擬專網(wǎng)，用戶可使用移動終端通過無線寬帶VPDN網(wǎng)絡(luò)安全的訪問客戶網(wǎng)絡(luò)或應(yīng)用系統(tǒng)，經(jīng)過在北京電力公司等單位的部署和實施，表明該方案不僅能夠滿足移動辦公、移動數(shù)據(jù)采集、無線數(shù)據(jù)傳輸?shù)刃枨?，而且能夠提供?shù)據(jù)安全和性能穩(wěn)定的保障。

參考文獻(xiàn)

[1] 3GPP TS 36.300 Evolved Universal Terrestrial Radio Access (E-UTRA) and Evolved Universal Terrestrial Radio Access Network (E-UTRAN); Overall description.

[2] 電力系統(tǒng)通信設(shè)計技術(shù)規(guī)定，2016年DL/T 5391-2007.

[3] 電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范，（國能安全〔2015〕36號）.

[4] 電力監(jiān)控系統(tǒng)安全防護規(guī)定，（國家發(fā)改委發(fā)布〔2014〕第14號）.

作者信息:

康福填1，上官甲天1，王登政1，栗紅照1，安  沖1，馬  凱2，王  磊3

（1.國網(wǎng)北京市電力公司房山供電公司，北京102401；2.國網(wǎng)北京市電力公司客戶服務(wù)中心，北京100031；

3.國網(wǎng)北京市電力公司信息通信分公司，北京100031）