kaiyun官方注册
您所在的位置: 首页> 通信与网络> 设计应用> 无线二层传送技术在电力通信中的研究和应用
无线二层传送技术在电力通信中的研究和应用
2018智能电网增刊
康福填1,上官甲天1,王登政1,栗红照1,安 冲1,马 凯2,王 磊3
1.国网北京市电力公司房山供电公司,北京102401;2.国网北京市电力公司客户服务中心,北京100031; 3.国网北京市电力公司信息通信分公司,北京100031
摘要:提出了一种以基于无线VPDN的方案,可利用二层隧道技术为客户构建与公众互联网隔离的虚拟专网,用户可使用移动终端通过无线宽带VPDN网络安全访问客户网络或应用系统,该方案已成功应用于北京电力公司等单位,实际应用情况表明该方案不仅能够满足移动办公、移动数据采集、无线数据传输等需求,而且能够提供数据安全和性能稳定的保障。
中图分类号:TM7
文献标识码:A
DOI:10.16157/j.issn.0258-7998.2018.S1.028
Abstract:
Key words :

0 引言

当前,电力通过公网传送的业务,目前全部采用了3G的GPRS传送,一方面因电力业务的特殊性,通过公网的VPN存在安全风险,另外还需要通过公网实现IP地址转换,实际部署非常麻烦,不利于电力业务的应用。另外一方面,随着电力业务的增加,以及系统的增加,目前面临带宽、安全和运维量的问题。因此急需解决电力公网传送业务带宽和采用二层透传问题,以及提高数据的可靠性,同时降低维护难度和运维成本。因此,利用公网的VPDN方式建立安全隧道,终端和系统之间采用的是三层VPN的技术互联,不但浪费大量的流量同时还为运维带来巨大困难。

针对以上情况,在不利于有线网络覆盖环境下以无线的方式实现数据回传的业务,采用3G /4G高速无线网络作为数据承载网络,为远程设备和站点之间的联网提供安全高速的无线连接。同时无线回传的备份功能应与光纤网络互为链路备份应用,实现有线网络和无线网络的无缝融合,保证数据传输的可靠运行。

1 无线VPDN技术概要

无线VPDN是一种新兴的、基于无线网络并结合当前主流VPN技术的安全无线接入技术,是运营商在当前大网运营环境下独立划分出来的、专门针对行业应用提供的与公众互联网隔离的虚拟专用拨号网络,该网络并入运营商的骨干,简化传输节点,能够提供最优路由。其利用二层隧道技术为客户构建与公众互联网隔离的虚拟专网,用户可使用移动终端通过无线宽带VPDN网络安全地访问客户网络或应用系统,从而满足移动办公、移动数据采集、无线数据传输等需求。

4G专线接入终端支持运营商的无线VPDN平台,为客户提供更放心、更方便的数据传输服务。4G专线接入终端接入VPDN以后,可以带来如下的优势:

(1)从无线接入层面就进入电信级的专用网络,与普通互联网业务隔离;可以提供更安全更稳定的服务。

(2)可以从无线网络获得固定的IP地址,两台4G专线接入终端可以实现点对点直连互通,无需中心服务器的参与。

4G专线接入终端基于TLS技术提供网络安全保障,可以有效防范非法接入和数据篡改,给用户提供基于公共互联网的私有安全传输通道。如果客户希望传输通道与公共互联网隔离,以获取进一步的数据安全和性能稳定保障,可以通过设置4G专线终端接入电信的VPDN网络来实现。

2 无线VPDN技术在电力通信中分析和研究

2.1 技术适应性分析

4G专线接入设备通过4G无线网络接入Internet,通过IP 隧道技术建立点对点或者点对多点的VPN连接,从而实现虚拟的以太网专线互联和汇聚。本产品基于嵌入式Linux实现,充分考虑了网络安全因素,采用TLS技术实现接入设备的双向认证以及业务数据的加密和验证,有效预防非法接入和数据中途篡改,给用户提供一个基于互联网的私有安全通道。

4G专线接入产品采用国际标准的TLS协议实现传输通道的数据安全,具体体现在下面五个方面:

(1)服务器和每台远端设备都需要分发数字证书,以在后续的TLS通信中协助完成身份认证和密钥交换;

(2)控制通道采用2 048 bit RSA架构,使用SHA1算法作为hash函数,RSA作为身份认证,256位AES加密来实现 Diffie-Hellman密钥交换;

(3)数据通道采用对称加密技术,支持160 bit BLOWFISH,以及AES 128/256算法;

(4)数据通道采用动态密钥机制,密钥每小时进行重新协商和更新;

(5)服务器和远端设备进行双向认证。服务器只接收合法的远端设备连接;同时远端设备也认证服务器,保证只连接到正确的服务器。

2.2 需求分析

针对电力通信系统的需要,本文设计和实现了一套4G无线移动终端,用于电力业务的传送,该设备需要达到以下要求:

(1)要求无线终端为工业化设备,设备至少能够提供4个以太网端口;

(2)基于二层协议的VPN隧道协议;

(3)设备支持内置4G模块,支持各运营商移动制式网络;

(4)APN/VPDN,支持各运营商移动制式网络以及VPDN业务,并可进行无线网络的自动切换,APN参数可修改;

(5)支持VPN隧道协议,EOIP/VxLAN;

(6)支持端口限速和防火墙等功能。

2.3 方案设计

本文设计了4G无线终端设备3套,其中一套具备汇聚功能,如图1所示。4G专线接入终端设备利用4G无线网络接入运营商的IP网络,通过IP 隧道技术建立点对点或者点对多点的VPN连接,从而实现虚拟的以太网专线互联和汇聚。本产品基于嵌入式Linux实现,充分考虑了网络安全因素,采用SSL/TLS技术实现接入设备的双向认证以及业务数据的加密和验证,有效预防非法接入和数据中途篡改,给用户提供一个基于互联网的私有安全通道。

kft-t1.gif

本方案主要提供两个相距较远节点间的点对点数据传输,在两个节点间各放置一台4G无线接入设备,两个节点间利用运营商4G/3G/2G无线网络实现通信,无需光纤或有线电路资源,业务开通快捷,非常适合各类应急通信业务。

本方案所建立的隧道是基于TLS协议实现的,服务器实现对远端设备的接入认证和鉴权;在隧道建立的过程中,双方根据RSA架构协商数据加密算法和密钥,并在后续的传输过程中对数据进行加密,以保障用户数据的安全。

(1)无线通道基于TLS技术建立安全连接:无线通道通过TLS协议完成通信双方的身份验证和动态密钥交换,并对通信数据进行处理防止中途篡改和泄露。设备通过数字证书机制实现安全接入和通信;设备开通业务前需要导入合法的数字证书。

(2)严格的设备防火墙设置:设备采用了严格的防火墙配置,无线网络则仅开通一个用于数据连接的UDP端口,拒绝其他任何访问。

(3)支持运营商VPDN/APN专网接入:设备支持接入运营商的VPDN/APN专网,以使传输通道与公共互联网隔离,以获取进一步的数据安全和性能稳定保障。

3 实际测试和应用

本论文所设计和实现的方案,在北京电力公司进行了部署和实施,测试环境和过程如图2所示。

kft-t2.gif

本测试需要的设备包括:(1)4G专线接入服务器1台;(2)4G专线终端2台。本测试需要的其他资源(由联通公司提供):4G VPDN 功能 SIM卡3个(终端和远端使用,实际使用SIM卡的通道为4G)。

测试过程如下:

(1)把 4G SIM卡插入到3台设备中去,配置并配置好业务;

(2)指挥控制中心IP地址PING DUT设备IP地址-1,看是否能ping通对端IP地址;

(3)指挥控制中心IP地址PING DUT设备IP地址-2,看是否能ping通对端IP地址;

目前实现的功能包括:公司通过公网传送的业务,目前全部采用了3G的GPRS传送,利用公网的VPDN方式建立安全隧道,终端和系统之间采用的是三层VPN的技术互联,不但浪费大量的流量同时还为运维带来巨大困难。随着电力业务的增加,以及系统的增加,目前面临带宽、安全和运维量的问题。因此急需解决电力公网传送业务带宽和采用二层透传问题,以及提高数据的可靠性,同时降低维护难度和运维成本。

4 结束语

针对目前电力公网传送业务带宽和采用二层透传问题,本文提出了一种以基于无线VPDN的方案,可利用二层隧道技术为客户构建与公众互联网隔离的虚拟专网,用户可使用移动终端通过无线宽带VPDN网络安全的访问客户网络或应用系统,经过在北京电力公司等单位的部署和实施,表明该方案不仅能够满足移动办公、移动数据采集、无线数据传输等需求,而且能够提供数据安全和性能稳定的保障。

参考文献

[1] 3GPP TS 36.300 Evolved Universal Terrestrial Radio Access (E-UTRA) and Evolved Universal Terrestrial Radio Access Network (E-UTRAN); Overall description.

[2] 电力系统通信设计技术规定,2016年DL/T 5391-2007.

[3] 电力监控系统安全防护总体方案等安全防护方案和评估规范,(国能安全〔2015〕36号).

[4] 电力监控系统安全防护规定,(国家发改委发布〔2014〕第14号).



作者信息:

康福填1,上官甲天1,王登政1,栗红照1,安 冲1,马 凯2,王 磊3

(1.国网北京市电力公司房山供电公司,北京102401;2.国网北京市电力公司客户服务中心,北京100031;

3.国网北京市电力公司信息通信分公司,北京100031)

此内容为AET网站原创,未经授权禁止转载。
Baidu
map