0  引言

    當(dāng)前，電力通過(guò)公網(wǎng)傳送的業(yè)務(wù)，目前全部采用了3G的GPRS傳送，一方面因電力業(yè)務(wù)的特殊性，通過(guò)公網(wǎng)的VPN存在安全風(fēng)險(xiǎn)，另外還需要通過(guò)公網(wǎng)實(shí)現(xiàn)IP地址轉(zhuǎn)換，實(shí)際部署非常麻煩，不利于電力業(yè)務(wù)的應(yīng)用。另外一方面，隨著電力業(yè)務(wù)的增加，以及系統(tǒng)的增加，目前面臨帶寬、安全和運(yùn)維量的問(wèn)題。因此急需解決電力公網(wǎng)傳送業(yè)務(wù)帶寬和采用二層透?jìng)鲉?wèn)題，以及提高數(shù)據(jù)的可靠性，同時(shí)降低維護(hù)難度和運(yùn)維成本。因此，利用公網(wǎng)的VPDN方式建立安全隧道，終端和系統(tǒng)之間采用的是三層VPN的技術(shù)互聯(lián),不但浪費(fèi)大量的流量同時(shí)還為運(yùn)維帶來(lái)巨大困難。

    針對(duì)以上情況，在不利于有線網(wǎng)絡(luò)覆蓋環(huán)境下以無(wú)線的方式實(shí)現(xiàn)數(shù)據(jù)回傳的業(yè)務(wù)，采用3G /4G高速無(wú)線網(wǎng)絡(luò)作為數(shù)據(jù)承載網(wǎng)絡(luò)，為遠(yuǎn)程設(shè)備和站點(diǎn)之間的聯(lián)網(wǎng)提供安全高速的無(wú)線連接。同時(shí)無(wú)線回傳的備份功能應(yīng)與光纖網(wǎng)絡(luò)互為鏈路備份應(yīng)用，實(shí)現(xiàn)有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)的無(wú)縫融合，保證數(shù)據(jù)傳輸?shù)目煽窟\(yùn)行。

1  無(wú)線VPDN技術(shù)概要

    無(wú)線VPDN是一種新興的、基于無(wú)線網(wǎng)絡(luò)并結(jié)合當(dāng)前主流VPN技術(shù)的安全無(wú)線接入技術(shù)，是運(yùn)營(yíng)商在當(dāng)前大網(wǎng)運(yùn)營(yíng)環(huán)境下獨(dú)立劃分出來(lái)的、專門針對(duì)行業(yè)應(yīng)用提供的與公眾互聯(lián)網(wǎng)隔離的虛擬專用撥號(hào)網(wǎng)絡(luò)，該網(wǎng)絡(luò)并入運(yùn)營(yíng)商的骨干，簡(jiǎn)化傳輸節(jié)點(diǎn)，能夠提供最優(yōu)路由。其利用二層隧道技術(shù)為客戶構(gòu)建與公眾互聯(lián)網(wǎng)隔離的虛擬專網(wǎng)，用戶可使用移動(dòng)終端通過(guò)無(wú)線寬帶VPDN網(wǎng)絡(luò)安全地訪問(wèn)客戶網(wǎng)絡(luò)或應(yīng)用系統(tǒng)，從而滿足移動(dòng)辦公、移動(dòng)數(shù)據(jù)采集、無(wú)線數(shù)據(jù)傳輸?shù)刃枨蟆?/p>

    4G專線接入終端支持運(yùn)營(yíng)商的無(wú)線VPDN平臺(tái)，為客戶提供更放心、更方便的數(shù)據(jù)傳輸服務(wù)。4G專線接入終端接入VPDN以后，可以帶來(lái)如下的優(yōu)勢(shì)：

    （1）從無(wú)線接入層面就進(jìn)入電信級(jí)的專用網(wǎng)絡(luò)，與普通互聯(lián)網(wǎng)業(yè)務(wù)隔離；可以提供更安全更穩(wěn)定的服務(wù)。

    （2）可以從無(wú)線網(wǎng)絡(luò)獲得固定的IP地址，兩臺(tái)4G專線接入終端可以實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)直連互通，無(wú)需中心服務(wù)器的參與。

    4G專線接入終端基于TLS技術(shù)提供網(wǎng)絡(luò)安全保障，可以有效防范非法接入和數(shù)據(jù)篡改，給用戶提供基于公共互聯(lián)網(wǎng)的私有安全傳輸通道。如果客戶希望傳輸通道與公共互聯(lián)網(wǎng)隔離，以獲取進(jìn)一步的數(shù)據(jù)安全和性能穩(wěn)定保障，可以通過(guò)設(shè)置4G專線終端接入電信的VPDN網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)。

2  無(wú)線VPDN技術(shù)在電力通信中分析和研究

2.1  技術(shù)適應(yīng)性分析

    4G專線接入設(shè)備通過(guò)4G無(wú)線網(wǎng)絡(luò)接入Internet，通過(guò)IP 隧道技術(shù)建立點(diǎn)對(duì)點(diǎn)或者點(diǎn)對(duì)多點(diǎn)的VPN連接，從而實(shí)現(xiàn)虛擬的以太網(wǎng)專線互聯(lián)和匯聚。本產(chǎn)品基于嵌入式Linux實(shí)現(xiàn)，充分考慮了網(wǎng)絡(luò)安全因素，采用TLS技術(shù)實(shí)現(xiàn)接入設(shè)備的雙向認(rèn)證以及業(yè)務(wù)數(shù)據(jù)的加密和驗(yàn)證，有效預(yù)防非法接入和數(shù)據(jù)中途篡改，給用戶提供一個(gè)基于互聯(lián)網(wǎng)的私有安全通道。

    4G專線接入產(chǎn)品采用國(guó)際標(biāo)準(zhǔn)的TLS協(xié)議實(shí)現(xiàn)傳輸通道的數(shù)據(jù)安全，具體體現(xiàn)在下面五個(gè)方面：

    （1）服務(wù)器和每臺(tái)遠(yuǎn)端設(shè)備都需要分發(fā)數(shù)字證書，以在后續(xù)的TLS通信中協(xié)助完成身份認(rèn)證和密鑰交換；

    （2）控制通道采用2 048 bit RSA架構(gòu)，使用SHA1算法作為hash函數(shù)，RSA作為身份認(rèn)證，256位AES加密來(lái)實(shí)現(xiàn) Diffie-Hellman密鑰交換；

    （3）數(shù)據(jù)通道采用對(duì)稱加密技術(shù)，支持160 bit BLOWFISH，以及AES 128/256算法；

    （4）數(shù)據(jù)通道采用動(dòng)態(tài)密鑰機(jī)制，密鑰每小時(shí)進(jìn)行重新協(xié)商和更新；

    （5）服務(wù)器和遠(yuǎn)端設(shè)備進(jìn)行雙向認(rèn)證。服務(wù)器只接收合法的遠(yuǎn)端設(shè)備連接；同時(shí)遠(yuǎn)端設(shè)備也認(rèn)證服務(wù)器，保證只連接到正確的服務(wù)器。

2.2  需求分析

    針對(duì)電力通信系統(tǒng)的需要，本文設(shè)計(jì)和實(shí)現(xiàn)了一套4G無(wú)線移動(dòng)終端，用于電力業(yè)務(wù)的傳送，該設(shè)備需要達(dá)到以下要求：

    （1）要求無(wú)線終端為工業(yè)化設(shè)備，設(shè)備至少能夠提供4個(gè)以太網(wǎng)端口；

    （2）基于二層協(xié)議的VPN隧道協(xié)議；

    （3）設(shè)備支持內(nèi)置4G模塊，支持各運(yùn)營(yíng)商移動(dòng)制式網(wǎng)絡(luò)；

    （4）APN/VPDN，支持各運(yùn)營(yíng)商移動(dòng)制式網(wǎng)絡(luò)以及VPDN業(yè)務(wù)，并可進(jìn)行無(wú)線網(wǎng)絡(luò)的自動(dòng)切換，APN參數(shù)可修改；

    （5）支持VPN隧道協(xié)議，EOIP/VxLAN；

    （6）支持端口限速和防火墻等功能。

2.3  方案設(shè)計(jì)

    本文設(shè)計(jì)了4G無(wú)線終端設(shè)備3套，其中一套具備匯聚功能，如圖1所示。4G專線接入終端設(shè)備利用4G無(wú)線網(wǎng)絡(luò)接入運(yùn)營(yíng)商的IP網(wǎng)絡(luò)，通過(guò)IP 隧道技術(shù)建立點(diǎn)對(duì)點(diǎn)或者點(diǎn)對(duì)多點(diǎn)的VPN連接，從而實(shí)現(xiàn)虛擬的以太網(wǎng)專線互聯(lián)和匯聚。本產(chǎn)品基于嵌入式Linux實(shí)現(xiàn)，充分考慮了網(wǎng)絡(luò)安全因素，采用SSL/TLS技術(shù)實(shí)現(xiàn)接入設(shè)備的雙向認(rèn)證以及業(yè)務(wù)數(shù)據(jù)的加密和驗(yàn)證，有效預(yù)防非法接入和數(shù)據(jù)中途篡改，給用戶提供一個(gè)基于互聯(lián)網(wǎng)的私有安全通道。

    本方案主要提供兩個(gè)相距較遠(yuǎn)節(jié)點(diǎn)間的點(diǎn)對(duì)點(diǎn)數(shù)據(jù)傳輸，在兩個(gè)節(jié)點(diǎn)間各放置一臺(tái)4G無(wú)線接入設(shè)備，兩個(gè)節(jié)點(diǎn)間利用運(yùn)營(yíng)商4G/3G/2G無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)通信，無(wú)需光纖或有線電路資源，業(yè)務(wù)開(kāi)通快捷，非常適合各類應(yīng)急通信業(yè)務(wù)。

    本方案所建立的隧道是基于TLS協(xié)議實(shí)現(xiàn)的，服務(wù)器實(shí)現(xiàn)對(duì)遠(yuǎn)端設(shè)備的接入認(rèn)證和鑒權(quán)；在隧道建立的過(guò)程中，雙方根據(jù)RSA架構(gòu)協(xié)商數(shù)據(jù)加密算法和密鑰，并在后續(xù)的傳輸過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密，以保障用戶數(shù)據(jù)的安全。

    （1）無(wú)線通道基于TLS技術(shù)建立安全連接：無(wú)線通道通過(guò)TLS協(xié)議完成通信雙方的身份驗(yàn)證和動(dòng)態(tài)密鑰交換，并對(duì)通信數(shù)據(jù)進(jìn)行處理防止中途篡改和泄露。設(shè)備通過(guò)數(shù)字證書機(jī)制實(shí)現(xiàn)安全接入和通信；設(shè)備開(kāi)通業(yè)務(wù)前需要導(dǎo)入合法的數(shù)字證書。

    （2）嚴(yán)格的設(shè)備防火墻設(shè)置：設(shè)備采用了嚴(yán)格的防火墻配置，無(wú)線網(wǎng)絡(luò)則僅開(kāi)通一個(gè)用于數(shù)據(jù)連接的UDP端口，拒絕其他任何訪問(wèn)。

    （3）支持運(yùn)營(yíng)商VPDN/APN專網(wǎng)接入：設(shè)備支持接入運(yùn)營(yíng)商的VPDN/APN專網(wǎng)，以使傳輸通道與公共互聯(lián)網(wǎng)隔離，以獲取進(jìn)一步的數(shù)據(jù)安全和性能穩(wěn)定保障。

3  實(shí)際測(cè)試和應(yīng)用

    本論文所設(shè)計(jì)和實(shí)現(xiàn)的方案，在北京電力公司進(jìn)行了部署和實(shí)施，測(cè)試環(huán)境和過(guò)程如圖2所示。

    本測(cè)試需要的設(shè)備包括：（1）4G專線接入服務(wù)器1臺(tái)；（2）4G專線終端2臺(tái)。本測(cè)試需要的其他資源（由聯(lián)通公司提供）：4G VPDN 功能 SIM卡3個(gè)（終端和遠(yuǎn)端使用，實(shí)際使用SIM卡的通道為4G）。

    測(cè)試過(guò)程如下：

    （1）把 4G SIM卡插入到3臺(tái)設(shè)備中去，配置并配置好業(yè)務(wù)；

    （2）指揮控制中心IP地址PING DUT設(shè)備IP地址-1，看是否能ping通對(duì)端IP地址；

    （3）指揮控制中心IP地址PING DUT設(shè)備IP地址-2，看是否能ping通對(duì)端IP地址；

    目前實(shí)現(xiàn)的功能包括：公司通過(guò)公網(wǎng)傳送的業(yè)務(wù)，目前全部采用了3G的GPRS傳送，利用公網(wǎng)的VPDN方式建立安全隧道，終端和系統(tǒng)之間采用的是三層VPN的技術(shù)互聯(lián)，不但浪費(fèi)大量的流量同時(shí)還為運(yùn)維帶來(lái)巨大困難。隨著電力業(yè)務(wù)的增加，以及系統(tǒng)的增加，目前面臨帶寬、安全和運(yùn)維量的問(wèn)題。因此急需解決電力公網(wǎng)傳送業(yè)務(wù)帶寬和采用二層透?jìng)鲉?wèn)題，以及提高數(shù)據(jù)的可靠性，同時(shí)降低維護(hù)難度和運(yùn)維成本。

4  結(jié)束語(yǔ)

    針對(duì)目前電力公網(wǎng)傳送業(yè)務(wù)帶寬和采用二層透?jìng)鲉?wèn)題，本文提出了一種以基于無(wú)線VPDN的方案，可利用二層隧道技術(shù)為客戶構(gòu)建與公眾互聯(lián)網(wǎng)隔離的虛擬專網(wǎng)，用戶可使用移動(dòng)終端通過(guò)無(wú)線寬帶VPDN網(wǎng)絡(luò)安全的訪問(wèn)客戶網(wǎng)絡(luò)或應(yīng)用系統(tǒng)，經(jīng)過(guò)在北京電力公司等單位的部署和實(shí)施，表明該方案不僅能夠滿足移動(dòng)辦公、移動(dòng)數(shù)據(jù)采集、無(wú)線數(shù)據(jù)傳輸?shù)刃枨螅夷軌蛱峁?shù)據(jù)安全和性能穩(wěn)定的保障。

參考文獻(xiàn)

[1] 3GPP TS 36.300 Evolved Universal Terrestrial Radio Access (E-UTRA) and Evolved Universal Terrestrial Radio Access Network (E-UTRAN); Overall description.

[2] 電力系統(tǒng)通信設(shè)計(jì)技術(shù)規(guī)定，2016年DL/T 5391-2007.

[3] 電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范，（國(guó)能安全〔2015〕36號(hào)）.

[4] 電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定，（國(guó)家發(fā)改委發(fā)布〔2014〕第14號(hào)）.

作者信息:

康福填1，上官甲天1，王登政1，栗紅照1，安  沖1，馬  凱2，王  磊3

（1.國(guó)網(wǎng)北京市電力公司房山供電公司，北京102401；2.國(guó)網(wǎng)北京市電力公司客戶服務(wù)中心，北京100031；

3.國(guó)網(wǎng)北京市電力公司信息通信分公司，北京100031）