0  引言

    當前，電力通過公網傳送的業務，目前全部采用了3G的GPRS傳送，一方面因電力業務的特殊性，通過公網的VPN存在安全風險，另外還需要通過公網實現IP地址轉換，實際部署非常麻煩，不利于電力業務的應用。另外一方面，隨著電力業務的增加，以及系統的增加，目前面臨帶寬、安全和運維量的問題。因此急需解決電力公網傳送業務帶寬和采用二層透傳問題，以及提高數據的可靠性，同時降低維護難度和運維成本。因此，利用公網的VPDN方式建立安全隧道，終端和系統之間采用的是三層VPN的技術互聯,不但浪費大量的流量同時還為運維帶來巨大困難。

    針對以上情況，在不利于有線網絡覆蓋環境下以無線的方式實現數據回傳的業務，采用3G /4G高速無線網絡作為數據承載網絡，為遠程設備和站點之間的聯網提供安全高速的無線連接。同時無線回傳的備份功能應與光纖網絡互為鏈路備份應用，實現有線網絡和無線網絡的無縫融合，保證數據傳輸的可靠運行。

1  無線VPDN技術概要

    無線VPDN是一種新興的、基于無線網絡并結合當前主流VPN技術的安全無線接入技術，是運營商在當前大網運營環境下獨立劃分出來的、專門針對行業應用提供的與公眾互聯網隔離的虛擬專用撥號網絡，該網絡并入運營商的骨干，簡化傳輸節點，能夠提供最優路由。其利用二層隧道技術為客戶構建與公眾互聯網隔離的虛擬專網，用戶可使用移動終端通過無線寬帶VPDN網絡安全地訪問客戶網絡或應用系統，從而滿足移動辦公、移動數據采集、無線數據傳輸等需求。

    4G專線接入終端支持運營商的無線VPDN平臺，為客戶提供更放心、更方便的數據傳輸服務。4G專線接入終端接入VPDN以后，可以帶來如下的優勢：

    （1）從無線接入層面就進入電信級的專用網絡，與普通互聯網業務隔離；可以提供更安全更穩定的服務。

    （2）可以從無線網絡獲得固定的IP地址，兩臺4G專線接入終端可以實現點對點直連互通，無需中心服務器的參與。

    4G專線接入終端基于TLS技術提供網絡安全保障，可以有效防范非法接入和數據篡改，給用戶提供基于公共互聯網的私有安全傳輸通道。如果客戶希望傳輸通道與公共互聯網隔離，以獲取進一步的數據安全和性能穩定保障，可以通過設置4G專線終端接入電信的VPDN網絡來實現。

2  無線VPDN技術在電力通信中分析和研究

2.1  技術適應性分析

    4G專線接入設備通過4G無線網絡接入Internet，通過IP 隧道技術建立點對點或者點對多點的VPN連接，從而實現虛擬的以太網專線互聯和匯聚。本產品基于嵌入式Linux實現，充分考慮了網絡安全因素，采用TLS技術實現接入設備的雙向認證以及業務數據的加密和驗證，有效預防非法接入和數據中途篡改，給用戶提供一個基于互聯網的私有安全通道。

    4G專線接入產品采用國際標準的TLS協議實現傳輸通道的數據安全，具體體現在下面五個方面：

    （1）服務器和每臺遠端設備都需要分發數字證書，以在后續的TLS通信中協助完成身份認證和密鑰交換；

    （2）控制通道采用2 048 bit RSA架構，使用SHA1算法作為hash函數，RSA作為身份認證，256位AES加密來實現 Diffie-Hellman密鑰交換；

    （3）數據通道采用對稱加密技術，支持160 bit BLOWFISH，以及AES 128/256算法；

    （4）數據通道采用動態密鑰機制，密鑰每小時進行重新協商和更新；

    （5）服務器和遠端設備進行雙向認證。服務器只接收合法的遠端設備連接；同時遠端設備也認證服務器，保證只連接到正確的服務器。

2.2  需求分析

    針對電力通信系統的需要，本文設計和實現了一套4G無線移動終端，用于電力業務的傳送，該設備需要達到以下要求：

    （1）要求無線終端為工業化設備，設備至少能夠提供4個以太網端口；

    （2）基于二層協議的VPN隧道協議；

    （3）設備支持內置4G模塊，支持各運營商移動制式網絡；

    （4）APN/VPDN，支持各運營商移動制式網絡以及VPDN業務，并可進行無線網絡的自動切換，APN參數可修改；

    （5）支持VPN隧道協議，EOIP/VxLAN；

    （6）支持端口限速和防火墻等功能。

2.3  方案設計

    本文設計了4G無線終端設備3套，其中一套具備匯聚功能，如圖1所示。4G專線接入終端設備利用4G無線網絡接入運營商的IP網絡，通過IP 隧道技術建立點對點或者點對多點的VPN連接，從而實現虛擬的以太網專線互聯和匯聚。本產品基于嵌入式Linux實現，充分考慮了網絡安全因素，采用SSL/TLS技術實現接入設備的雙向認證以及業務數據的加密和驗證，有效預防非法接入和數據中途篡改，給用戶提供一個基于互聯網的私有安全通道。

    本方案主要提供兩個相距較遠節點間的點對點數據傳輸，在兩個節點間各放置一臺4G無線接入設備，兩個節點間利用運營商4G/3G/2G無線網絡實現通信，無需光纖或有線電路資源，業務開通快捷，非常適合各類應急通信業務。

    本方案所建立的隧道是基于TLS協議實現的，服務器實現對遠端設備的接入認證和鑒權；在隧道建立的過程中，雙方根據RSA架構協商數據加密算法和密鑰，并在后續的傳輸過程中對數據進行加密，以保障用戶數據的安全。

    （1）無線通道基于TLS技術建立安全連接：無線通道通過TLS協議完成通信雙方的身份驗證和動態密鑰交換，并對通信數據進行處理防止中途篡改和泄露。設備通過數字證書機制實現安全接入和通信；設備開通業務前需要導入合法的數字證書。

    （2）嚴格的設備防火墻設置：設備采用了嚴格的防火墻配置，無線網絡則僅開通一個用于數據連接的UDP端口，拒絕其他任何訪問。

    （3）支持運營商VPDN/APN專網接入：設備支持接入運營商的VPDN/APN專網，以使傳輸通道與公共互聯網隔離，以獲取進一步的數據安全和性能穩定保障。

3  實際測試和應用

    本論文所設計和實現的方案，在北京電力公司進行了部署和實施，測試環境和過程如圖2所示。

    本測試需要的設備包括：（1）4G專線接入服務器1臺；（2）4G專線終端2臺。本測試需要的其他資源（由聯通公司提供）：4G VPDN 功能 SIM卡3個（終端和遠端使用，實際使用SIM卡的通道為4G）。

    測試過程如下：

    （1）把 4G SIM卡插入到3臺設備中去，配置并配置好業務；

    （2）指揮控制中心IP地址PING DUT設備IP地址-1，看是否能ping通對端IP地址；

    （3）指揮控制中心IP地址PING DUT設備IP地址-2，看是否能ping通對端IP地址；

    目前實現的功能包括：公司通過公網傳送的業務，目前全部采用了3G的GPRS傳送，利用公網的VPDN方式建立安全隧道，終端和系統之間采用的是三層VPN的技術互聯，不但浪費大量的流量同時還為運維帶來巨大困難。隨著電力業務的增加，以及系統的增加，目前面臨帶寬、安全和運維量的問題。因此急需解決電力公網傳送業務帶寬和采用二層透傳問題，以及提高數據的可靠性，同時降低維護難度和運維成本。

4  結束語

    針對目前電力公網傳送業務帶寬和采用二層透傳問題，本文提出了一種以基于無線VPDN的方案，可利用二層隧道技術為客戶構建與公眾互聯網隔離的虛擬專網，用戶可使用移動終端通過無線寬帶VPDN網絡安全的訪問客戶網絡或應用系統，經過在北京電力公司等單位的部署和實施，表明該方案不僅能夠滿足移動辦公、移動數據采集、無線數據傳輸等需求，而且能夠提供數據安全和性能穩定的保障。

參考文獻

[1] 3GPP TS 36.300 Evolved Universal Terrestrial Radio Access (E-UTRA) and Evolved Universal Terrestrial Radio Access Network (E-UTRAN); Overall description.

[2] 電力系統通信設計技術規定，2016年DL/T 5391-2007.

[3] 電力監控系統安全防護總體方案等安全防護方案和評估規范，（國能安全〔2015〕36號）.

[4] 電力監控系統安全防護規定，（國家發改委發布〔2014〕第14號）.

作者信息:

康福填1，上官甲天1，王登政1，栗紅照1，安  沖1，馬  凱2，王  磊3

（1.國網北京市電力公司房山供電公司，北京102401；2.國網北京市電力公司客戶服務中心，北京100031；

3.國網北京市電力公司信息通信分公司，北京100031）