文獻(xiàn)標(biāo)識碼: A
DOI:10.16157/j.issn.0258-7998.2018.S1.028
0 引言
當(dāng)前,,電力通過公網(wǎng)傳送的業(yè)務(wù),目前全部采用了3G的GPRS傳送,,一方面因電力業(yè)務(wù)的特殊性,,通過公網(wǎng)的VPN存在安全風(fēng)險,另外還需要通過公網(wǎng)實(shí)現(xiàn)IP地址轉(zhuǎn)換,,實(shí)際部署非常麻煩,,不利于電力業(yè)務(wù)的應(yīng)用。另外一方面,,隨著電力業(yè)務(wù)的增加,,以及系統(tǒng)的增加,目前面臨帶寬,、安全和運(yùn)維量的問題,。因此急需解決電力公網(wǎng)傳送業(yè)務(wù)帶寬和采用二層透傳問題,以及提高數(shù)據(jù)的可靠性,,同時降低維護(hù)難度和運(yùn)維成本。因此,,利用公網(wǎng)的VPDN方式建立安全隧道,,終端和系統(tǒng)之間采用的是三層VPN的技術(shù)互聯(lián),不但浪費(fèi)大量的流量同時還為運(yùn)維帶來巨大困難。
針對以上情況,,在不利于有線網(wǎng)絡(luò)覆蓋環(huán)境下以無線的方式實(shí)現(xiàn)數(shù)據(jù)回傳的業(yè)務(wù),,采用3G /4G高速無線網(wǎng)絡(luò)作為數(shù)據(jù)承載網(wǎng)絡(luò),為遠(yuǎn)程設(shè)備和站點(diǎn)之間的聯(lián)網(wǎng)提供安全高速的無線連接,。同時無線回傳的備份功能應(yīng)與光纖網(wǎng)絡(luò)互為鏈路備份應(yīng)用,,實(shí)現(xiàn)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的無縫融合,保證數(shù)據(jù)傳輸?shù)目煽窟\(yùn)行,。
1 無線VPDN技術(shù)概要
無線VPDN是一種新興的,、基于無線網(wǎng)絡(luò)并結(jié)合當(dāng)前主流VPN技術(shù)的安全無線接入技術(shù),是運(yùn)營商在當(dāng)前大網(wǎng)運(yùn)營環(huán)境下獨(dú)立劃分出來的,、專門針對行業(yè)應(yīng)用提供的與公眾互聯(lián)網(wǎng)隔離的虛擬專用撥號網(wǎng)絡(luò),,該網(wǎng)絡(luò)并入運(yùn)營商的骨干,,簡化傳輸節(jié)點(diǎn),能夠提供最優(yōu)路由,。其利用二層隧道技術(shù)為客戶構(gòu)建與公眾互聯(lián)網(wǎng)隔離的虛擬專網(wǎng),,用戶可使用移動終端通過無線寬帶VPDN網(wǎng)絡(luò)安全地訪問客戶網(wǎng)絡(luò)或應(yīng)用系統(tǒng),從而滿足移動辦公,、移動數(shù)據(jù)采集,、無線數(shù)據(jù)傳輸?shù)刃枨蟆?/p>
4G專線接入終端支持運(yùn)營商的無線VPDN平臺,為客戶提供更放心,、更方便的數(shù)據(jù)傳輸服務(wù),。4G專線接入終端接入VPDN以后,可以帶來如下的優(yōu)勢:
(1)從無線接入層面就進(jìn)入電信級的專用網(wǎng)絡(luò),,與普通互聯(lián)網(wǎng)業(yè)務(wù)隔離,;可以提供更安全更穩(wěn)定的服務(wù)。
(2)可以從無線網(wǎng)絡(luò)獲得固定的IP地址,,兩臺4G專線接入終端可以實(shí)現(xiàn)點(diǎn)對點(diǎn)直連互通,,無需中心服務(wù)器的參與。
4G專線接入終端基于TLS技術(shù)提供網(wǎng)絡(luò)安全保障,,可以有效防范非法接入和數(shù)據(jù)篡改,,給用戶提供基于公共互聯(lián)網(wǎng)的私有安全傳輸通道。如果客戶希望傳輸通道與公共互聯(lián)網(wǎng)隔離,,以獲取進(jìn)一步的數(shù)據(jù)安全和性能穩(wěn)定保障,,可以通過設(shè)置4G專線終端接入電信的VPDN網(wǎng)絡(luò)來實(shí)現(xiàn)。
2 無線VPDN技術(shù)在電力通信中分析和研究
2.1 技術(shù)適應(yīng)性分析
4G專線接入設(shè)備通過4G無線網(wǎng)絡(luò)接入Internet,,通過IP 隧道技術(shù)建立點(diǎn)對點(diǎn)或者點(diǎn)對多點(diǎn)的VPN連接,,從而實(shí)現(xiàn)虛擬的以太網(wǎng)專線互聯(lián)和匯聚。本產(chǎn)品基于嵌入式Linux實(shí)現(xiàn),,充分考慮了網(wǎng)絡(luò)安全因素,,采用TLS技術(shù)實(shí)現(xiàn)接入設(shè)備的雙向認(rèn)證以及業(yè)務(wù)數(shù)據(jù)的加密和驗(yàn)證,有效預(yù)防非法接入和數(shù)據(jù)中途篡改,,給用戶提供一個基于互聯(lián)網(wǎng)的私有安全通道,。
4G專線接入產(chǎn)品采用國際標(biāo)準(zhǔn)的TLS協(xié)議實(shí)現(xiàn)傳輸通道的數(shù)據(jù)安全,具體體現(xiàn)在下面五個方面:
(1)服務(wù)器和每臺遠(yuǎn)端設(shè)備都需要分發(fā)數(shù)字證書,,以在后續(xù)的TLS通信中協(xié)助完成身份認(rèn)證和密鑰交換,;
(2)控制通道采用2 048 bit RSA架構(gòu),使用SHA1算法作為hash函數(shù),,RSA作為身份認(rèn)證,,256位AES加密來實(shí)現(xiàn) Diffie-Hellman密鑰交換;
(3)數(shù)據(jù)通道采用對稱加密技術(shù),,支持160 bit BLOWFISH,,以及AES 128/256算法,;
(4)數(shù)據(jù)通道采用動態(tài)密鑰機(jī)制,密鑰每小時進(jìn)行重新協(xié)商和更新,;
(5)服務(wù)器和遠(yuǎn)端設(shè)備進(jìn)行雙向認(rèn)證,。服務(wù)器只接收合法的遠(yuǎn)端設(shè)備連接;同時遠(yuǎn)端設(shè)備也認(rèn)證服務(wù)器,,保證只連接到正確的服務(wù)器,。
2.2 需求分析
針對電力通信系統(tǒng)的需要,本文設(shè)計(jì)和實(shí)現(xiàn)了一套4G無線移動終端,,用于電力業(yè)務(wù)的傳送,,該設(shè)備需要達(dá)到以下要求:
(1)要求無線終端為工業(yè)化設(shè)備,設(shè)備至少能夠提供4個以太網(wǎng)端口,;
(2)基于二層協(xié)議的VPN隧道協(xié)議,;
(3)設(shè)備支持內(nèi)置4G模塊,支持各運(yùn)營商移動制式網(wǎng)絡(luò),;
(4)APN/VPDN,,支持各運(yùn)營商移動制式網(wǎng)絡(luò)以及VPDN業(yè)務(wù),并可進(jìn)行無線網(wǎng)絡(luò)的自動切換,,APN參數(shù)可修改,;
(5)支持VPN隧道協(xié)議,EOIP/VxLAN,;
(6)支持端口限速和防火墻等功能,。
2.3 方案設(shè)計(jì)
本文設(shè)計(jì)了4G無線終端設(shè)備3套,其中一套具備匯聚功能,,如圖1所示,。4G專線接入終端設(shè)備利用4G無線網(wǎng)絡(luò)接入運(yùn)營商的IP網(wǎng)絡(luò),通過IP 隧道技術(shù)建立點(diǎn)對點(diǎn)或者點(diǎn)對多點(diǎn)的VPN連接,,從而實(shí)現(xiàn)虛擬的以太網(wǎng)專線互聯(lián)和匯聚,。本產(chǎn)品基于嵌入式Linux實(shí)現(xiàn),充分考慮了網(wǎng)絡(luò)安全因素,,采用SSL/TLS技術(shù)實(shí)現(xiàn)接入設(shè)備的雙向認(rèn)證以及業(yè)務(wù)數(shù)據(jù)的加密和驗(yàn)證,有效預(yù)防非法接入和數(shù)據(jù)中途篡改,,給用戶提供一個基于互聯(lián)網(wǎng)的私有安全通道,。
本方案主要提供兩個相距較遠(yuǎn)節(jié)點(diǎn)間的點(diǎn)對點(diǎn)數(shù)據(jù)傳輸,在兩個節(jié)點(diǎn)間各放置一臺4G無線接入設(shè)備,,兩個節(jié)點(diǎn)間利用運(yùn)營商4G/3G/2G無線網(wǎng)絡(luò)實(shí)現(xiàn)通信,,無需光纖或有線電路資源,業(yè)務(wù)開通快捷,,非常適合各類應(yīng)急通信業(yè)務(wù),。
本方案所建立的隧道是基于TLS協(xié)議實(shí)現(xiàn)的,,服務(wù)器實(shí)現(xiàn)對遠(yuǎn)端設(shè)備的接入認(rèn)證和鑒權(quán);在隧道建立的過程中,,雙方根據(jù)RSA架構(gòu)協(xié)商數(shù)據(jù)加密算法和密鑰,,并在后續(xù)的傳輸過程中對數(shù)據(jù)進(jìn)行加密,以保障用戶數(shù)據(jù)的安全,。
(1)無線通道基于TLS技術(shù)建立安全連接:無線通道通過TLS協(xié)議完成通信雙方的身份驗(yàn)證和動態(tài)密鑰交換,,并對通信數(shù)據(jù)進(jìn)行處理防止中途篡改和泄露。設(shè)備通過數(shù)字證書機(jī)制實(shí)現(xiàn)安全接入和通信,;設(shè)備開通業(yè)務(wù)前需要導(dǎo)入合法的數(shù)字證書,。
(2)嚴(yán)格的設(shè)備防火墻設(shè)置:設(shè)備采用了嚴(yán)格的防火墻配置,無線網(wǎng)絡(luò)則僅開通一個用于數(shù)據(jù)連接的UDP端口,,拒絕其他任何訪問,。
(3)支持運(yùn)營商VPDN/APN專網(wǎng)接入:設(shè)備支持接入運(yùn)營商的VPDN/APN專網(wǎng),以使傳輸通道與公共互聯(lián)網(wǎng)隔離,,以獲取進(jìn)一步的數(shù)據(jù)安全和性能穩(wěn)定保障,。
3 實(shí)際測試和應(yīng)用
本論文所設(shè)計(jì)和實(shí)現(xiàn)的方案,在北京電力公司進(jìn)行了部署和實(shí)施,,測試環(huán)境和過程如圖2所示,。
本測試需要的設(shè)備包括:(1)4G專線接入服務(wù)器1臺;(2)4G專線終端2臺,。本測試需要的其他資源(由聯(lián)通公司提供):4G VPDN 功能 SIM卡3個(終端和遠(yuǎn)端使用,,實(shí)際使用SIM卡的通道為4G)。
測試過程如下:
(1)把 4G SIM卡插入到3臺設(shè)備中去,,配置并配置好業(yè)務(wù),;
(2)指揮控制中心IP地址PING DUT設(shè)備IP地址-1,看是否能ping通對端IP地址,;
(3)指揮控制中心IP地址PING DUT設(shè)備IP地址-2,,看是否能ping通對端IP地址;
目前實(shí)現(xiàn)的功能包括:公司通過公網(wǎng)傳送的業(yè)務(wù),,目前全部采用了3G的GPRS傳送,,利用公網(wǎng)的VPDN方式建立安全隧道,終端和系統(tǒng)之間采用的是三層VPN的技術(shù)互聯(lián),,不但浪費(fèi)大量的流量同時還為運(yùn)維帶來巨大困難,。隨著電力業(yè)務(wù)的增加,以及系統(tǒng)的增加,,目前面臨帶寬,、安全和運(yùn)維量的問題。因此急需解決電力公網(wǎng)傳送業(yè)務(wù)帶寬和采用二層透傳問題,,以及提高數(shù)據(jù)的可靠性,,同時降低維護(hù)難度和運(yùn)維成本,。
4 結(jié)束語
針對目前電力公網(wǎng)傳送業(yè)務(wù)帶寬和采用二層透傳問題,本文提出了一種以基于無線VPDN的方案,,可利用二層隧道技術(shù)為客戶構(gòu)建與公眾互聯(lián)網(wǎng)隔離的虛擬專網(wǎng),,用戶可使用移動終端通過無線寬帶VPDN網(wǎng)絡(luò)安全的訪問客戶網(wǎng)絡(luò)或應(yīng)用系統(tǒng),經(jīng)過在北京電力公司等單位的部署和實(shí)施,,表明該方案不僅能夠滿足移動辦公,、移動數(shù)據(jù)采集、無線數(shù)據(jù)傳輸?shù)刃枨?,而且能夠提供?shù)據(jù)安全和性能穩(wěn)定的保障,。
參考文獻(xiàn)
[1] 3GPP TS 36.300 Evolved Universal Terrestrial Radio Access (E-UTRA) and Evolved Universal Terrestrial Radio Access Network (E-UTRAN); Overall description.
[2] 電力系統(tǒng)通信設(shè)計(jì)技術(shù)規(guī)定,2016年DL/T 5391-2007.
[3] 電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范,,(國能安全〔2015〕36號).
[4] 電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定,,(國家發(fā)改委發(fā)布〔2014〕第14號).
作者信息:
康福填1,上官甲天1,,王登政1,,栗紅照1,安 沖1,,馬 凱2,,王 磊3
(1.國網(wǎng)北京市電力公司房山供電公司,北京102401,;2.國網(wǎng)北京市電力公司客戶服務(wù)中心,,北京100031;
3.國網(wǎng)北京市電力公司信息通信分公司,,北京100031)