VPN安全技術(shù)在綿陽供電公司調(diào)度數(shù)據(jù)網(wǎng)的應(yīng)用探討

葉 蔥 王勁草

（國網(wǎng)四川省電力公司綿陽供電公司，四川 綿陽 621000）

?

VPN安全技術(shù)在綿陽供電公司調(diào)度數(shù)據(jù)網(wǎng)的應(yīng)用探討

葉 蔥 王勁草

（國網(wǎng)四川省電力公司綿陽供電公司，四川 綿陽 621000）

摘 要：VPN是依靠ISP和其他NSP在公用網(wǎng)絡(luò)中建立專用數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)，通過共享或公共網(wǎng)絡(luò)的設(shè)置、加密和身份驗(yàn)證等連接專用網(wǎng)絡(luò)的擴(kuò)展，在數(shù)據(jù)經(jīng)過網(wǎng)絡(luò)隧道傳輸?shù)倪^程中進(jìn)行加密，以此保證數(shù)據(jù)的安全性和私有性。VPN的組網(wǎng)方式為企業(yè)提供了一種低成本的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，在目前電力公司調(diào)度數(shù)據(jù)網(wǎng)安全防護(hù)中，VPN安全技術(shù)發(fā)揮著重要作用。本文介紹了VPN的工作原理、關(guān)鍵技術(shù)及應(yīng)用特點(diǎn)，結(jié)合實(shí)際探討VPN技術(shù)在綿陽公司調(diào)度數(shù)據(jù)網(wǎng)的技術(shù)模式及應(yīng)用方式。

關(guān)鍵詞：VPN；調(diào)度數(shù)據(jù)網(wǎng)；網(wǎng)絡(luò)安全

一、綿陽供電公司電力調(diào)度數(shù)據(jù)概述

綿陽供電公司調(diào)度數(shù)據(jù)網(wǎng)絡(luò)2013年建設(shè)，2015建成投運(yùn)。調(diào)度數(shù)據(jù)網(wǎng)綿陽地調(diào)接入網(wǎng)在其核心節(jié)點(diǎn)與國家電力調(diào)度數(shù)據(jù)網(wǎng)雙平面骨干網(wǎng)綿陽地調(diào)骨干節(jié)點(diǎn)之間采用MP-EBGP的方式互聯(lián)，以便實(shí)現(xiàn)調(diào)度自動(dòng)化信息的網(wǎng)絡(luò)化傳輸。調(diào)度中心和廠站的應(yīng)用系統(tǒng)分別接入到骨干網(wǎng)和相應(yīng)的接入網(wǎng)中，調(diào)度中心的應(yīng)用系統(tǒng)通過跨域訪問廠站端。按照《電力二次系統(tǒng)安全防護(hù)總體方案》要求，全網(wǎng)部署MPLS/VPN，各相關(guān)業(yè)務(wù)按安全分區(qū)原則接入相應(yīng)VPN。

基于對(duì)綿陽電網(wǎng)調(diào)度業(yè)務(wù)量的需求、數(shù)據(jù)流向、網(wǎng)絡(luò)可擴(kuò)展性的分析，并考慮網(wǎng)絡(luò)運(yùn)行維護(hù)安全穩(wěn)定的要求，綿陽地區(qū)調(diào)度數(shù)據(jù)網(wǎng)采用3層結(jié)構(gòu)，即核心層、骨干層、接入層，如圖1所示。

二、VPN技術(shù)原理及概述

1. VPN的簡介及工作原理

VPN是依靠ISP（Internet Service Provider）和其他NSP（Network Services Provider），在公用網(wǎng)絡(luò)中建立專用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的技術(shù)。相對(duì)傳統(tǒng)的網(wǎng)絡(luò)技術(shù)，VPN數(shù)據(jù)傳輸在任意的兩個(gè)節(jié)點(diǎn)之間并沒有建立傳統(tǒng)的端到端的物理鏈接，它是通過公用網(wǎng)絡(luò)的動(dòng)態(tài)資源完成數(shù)據(jù)加密傳輸。

2. VPN的關(guān)鍵技術(shù)和主要安全協(xié)議

實(shí)現(xiàn)VPN傳輸?shù)募夹g(shù)有多種，目前常用的是以下4種：加密及解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、用戶與設(shè)備身份認(rèn)證技術(shù)（Authentication）及目前最常用的隧道技術(shù)（Tunneling）。

隧道技術(shù)是VPN的基本技術(shù)，也是目前綿陽供電公司采用的VPN模式（綿陽電力調(diào)度數(shù)據(jù)網(wǎng)VPN組網(wǎng)如圖2所示）?；镜乃淼兰夹g(shù)通過建立點(diǎn)對(duì)點(diǎn)的鏈接，通過在公用或?qū)Ｓ镁W(wǎng)絡(luò)上（例如調(diào)度數(shù)據(jù)網(wǎng)）建立一條數(shù)據(jù)通道（即所謂的隧道），數(shù)據(jù)通過此隧道進(jìn)行相應(yīng)地加密傳輸。不同于傳統(tǒng)的網(wǎng)絡(luò)鏈接傳輸，隧道技術(shù)在隧道建立后，傳輸數(shù)據(jù)的過程中，需要對(duì)數(shù)據(jù)采取加密措施，按約定的協(xié)議對(duì)傳輸數(shù)據(jù)進(jìn)行封裝、加密傳送，以此保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

3. VPN技術(shù)的應(yīng)用特點(diǎn)

（1）安全性及私密性

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，實(shí)現(xiàn)VPN的方式及技術(shù)越來越多，但無論是哪種方式實(shí)現(xiàn)VPN技術(shù)，都應(yīng)當(dāng)保證數(shù)據(jù)傳輸通過公共網(wǎng)絡(luò)的安全性及私密性。目前的VPN技術(shù)基本都是通過在公共網(wǎng)絡(luò)上直接構(gòu)建，雖然實(shí)現(xiàn)簡單，形式靈活，但也帶來了更為突出的安全性要求。電力公司通過VPN技術(shù)進(jìn)行調(diào)度數(shù)據(jù)網(wǎng)的數(shù)據(jù)傳輸，更需要確保VPN數(shù)據(jù)傳輸?shù)陌踩?，保證數(shù)據(jù)傳輸不被攻擊或篡改，不被非法用戶訪問私有信息。由于電網(wǎng)的重要性，也導(dǎo)致電力公司使用VPN技術(shù)時(shí)對(duì)VPN的安全性有了更高的需求。

（2）靈活性和可擴(kuò)充性

VPN技術(shù)的數(shù)據(jù)傳輸特性要求VPN能夠支持通過Internet和Extranet的任何類型的數(shù)據(jù)，可以支持各種類型的傳輸介質(zhì)，同時(shí)可以靈活增加節(jié)點(diǎn)，滿足可以同時(shí)出書圖像、數(shù)據(jù)和語音等多種應(yīng)用對(duì)傳輸質(zhì)量和帶寬的要求。

（3）服務(wù)質(zhì)量保證（Quality of Service）

VPN技術(shù)應(yīng)用應(yīng)當(dāng)針對(duì)不同的企業(yè)需求提供不同的等級(jí)服務(wù)。服務(wù)質(zhì)量保證通過流量預(yù)測與控制，可以實(shí)現(xiàn)帶寬管理，合理地先后發(fā)送各類數(shù)據(jù)，預(yù)防阻塞。

（4）可管理性

企業(yè)中VPN應(yīng)用要求能將網(wǎng)絡(luò)管理從局域網(wǎng)無縫延伸至公用網(wǎng)。企業(yè)在應(yīng)用VPN過程中需要自己完成許多網(wǎng)絡(luò)管理任務(wù)。因此，一個(gè)完善VPN的管理系統(tǒng)是必不可少的。VPN管理主要包括安全管理、QoS管理、設(shè)備管理等。

三、VPN技術(shù)在綿陽供電公司調(diào)度數(shù)據(jù)網(wǎng)中應(yīng)用

綿陽供電公司調(diào)度數(shù)據(jù)網(wǎng)接入網(wǎng)原則上基于IPoverSDH的技術(shù)體制，以保證調(diào)度數(shù)據(jù)網(wǎng)技術(shù)體制的一致性、可控性和可管理。同時(shí)按照《電力二次系統(tǒng)安全防護(hù)總體方案》要求，全網(wǎng)部署MPLS/ VPN，各相關(guān)業(yè)務(wù)按安全分區(qū)原則接入相應(yīng)VPN。對(duì)于網(wǎng)絡(luò)路由協(xié)議的選擇、網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)分區(qū)、地址編碼、網(wǎng)絡(luò)安全、電路配置、網(wǎng)絡(luò)管理等均應(yīng)遵循本“總體技術(shù)方案”提出的原則。圖3展示了綿陽調(diào)度數(shù)據(jù)網(wǎng)VPN業(yè)務(wù)的具體接入方式。

綿陽供電公司調(diào)度數(shù)據(jù)網(wǎng)通過IPsec構(gòu)建VPN的安全通道，通過在防火墻F 和A主機(jī)之間建立一個(gè)SA，報(bào)文通過IP隧道傳輸至F再轉(zhuǎn)發(fā)給B。這種傳輸方式的前提是端系統(tǒng)B必須和防火墻F是相互信任的關(guān)系。對(duì)于從B傳輸至A的報(bào)文來講，B用ESP運(yùn)輸模式及AH對(duì)報(bào)文進(jìn)行加密保護(hù)。假設(shè)調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部是可信任的而Internet卻是不可信任的，在此假設(shè)情況下，可以采用地理分布的各LAN的邊界路由器對(duì)IP報(bào)文通過ESP機(jī)制和AH進(jìn)行加密保護(hù)。即可以只在兩個(gè)邊界路由器之間建立SA，則邊界路由器相對(duì)代表自身內(nèi)部的所有端系統(tǒng)。

四、VPN技術(shù)下一步發(fā)展趨勢

隨著Internet發(fā)展成為社會(huì)的信息基礎(chǔ)應(yīng)用，企業(yè)網(wǎng)絡(luò)應(yīng)用也基本采用基于IP的模式，因此實(shí)現(xiàn)基于IP的VPN業(yè)務(wù)是企業(yè)網(wǎng)絡(luò)應(yīng)用的必然發(fā)展趨勢，在電力系統(tǒng)中也有廣泛的應(yīng)用前景。通過VPN技術(shù)在電力調(diào)度數(shù)據(jù)網(wǎng)中的應(yīng)用，可以為電力企業(yè)帶來可觀的經(jīng)濟(jì)效益，為電力企業(yè)的信息共享提供安全可靠的途徑。

參考文獻(xiàn)

［1］高海英，薛元星，辛陽.VPN技術(shù)（第一版）［M］.北京：機(jī)械工業(yè)出版社，2004：1-2.

［2］汪海航，譚成翔，孫為清，趙軼群.VPN技術(shù)的研究與應(yīng)用現(xiàn)狀及發(fā)展趨勢［J］.計(jì)算機(jī)工程與應(yīng)用，2001，37（23）：14-16.

［3］魏廣科.VPN技術(shù)及其應(yīng)用的研究［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2005，26（3）：714-715.

［4］邱亮，金悅.ISA配置與管理.第一版［M］.北京：清華大學(xué)出版社，2002.

［5］束坤.基于Internet的VPN技術(shù)［J］.計(jì)算機(jī)應(yīng)用，1999，19（11）：28-31.

中圖分類號(hào)：TM734

文獻(xiàn)標(biāo)識(shí)碼：A