基于地震行業(yè)網的中國大陸構造環(huán)境監(jiān)測網絡通信系統(tǒng)

劉曉雨

中國地震臺網中心，北京 100045

基于地震行業(yè)網的中國大陸構造環(huán)境監(jiān)測網絡通信系統(tǒng)

劉曉雨

中國地震臺網中心，北京 100045

本文簡要介紹了國家重大基礎設施項目-中國大陸構造環(huán)境監(jiān)測網絡系統(tǒng)建設項目中網絡通信部分的技術思路與技術實現。該系統(tǒng)擺脫了傳統(tǒng)設計思路，充分利用現有網絡通信資源，在已有的中國地震行業(yè)網絡基礎上，通過多種廣域網通信技術、虛擬組網技術、加密技術的靈活運用，實現了天地融合、安全可靠，橫跨6家部委單位，覆蓋全國31個省市地區(qū)、境外2個國家的大型專用廣域網通信系統(tǒng)，同時大幅節(jié)省了網絡通信系統(tǒng)建設經費的投入以及后續(xù)運行中的信道租用費與系統(tǒng)維護費。后續(xù)國家十二五重點項目地震烈度速報與預警工程的網絡通信系統(tǒng)的設計思路與組網模式參考了該系統(tǒng)。

陸態(tài)網絡；天地融合；虛擬組網；安全

引言

中國大陸構造環(huán)境監(jiān)測網絡系統(tǒng)(簡稱“陸態(tài)網絡”)是國家科技領導小組第三次會議通過的國家重大科技基礎設施建設項目，是我國“十一五”期間部署建設的 12 項國家重大科技基礎設施建設項目。項目由中國地震局牽頭，中國科學院、中國氣象局、國家測繪局、總參測繪局和教育部 6 家部門聯(lián)合建設，為我國地殼運動觀測與地學研究提供了新平臺，它是一個綜合性、多用途、開放型的觀測網絡，以服務于地震預報為主、兼顧大地測量和國防建設需要、并可服務于國家經濟建設和國防建設而建立的重要科學研究基礎設施，具有連續(xù)動態(tài)監(jiān)測功能，將從根本上改善對地球表層固、液、氣三個圈層的動態(tài)監(jiān)測方式。以 GNSS 為主要手段的陸態(tài)網絡有能力對中國大陸主要塊體的運動實現高精度，大范圍和實時的監(jiān)測，該網絡產出的高時空分辨率的地殼運動圖對于研究孕震力源，地應力異常變化、地震活動時空遷移規(guī)律等一系列地震預測預報的科學問題提供定量的依據，從而可在很大程度上提高我國監(jiān)測預報地震的能力和水平。同時對于預測和減輕其它災害也將發(fā)揮重要作用，推動我國和世界地球動力學的研究，促進國際間的科技交流與合作，使我國在這一領域的研究水平進入世界先進行列。陸態(tài)網絡也將與時俱進，產出更豐富的高質量數據，實現更廣泛的數據共享服務，開拓更廣泛的應用領域，取得更豐碩的科技成果，為國家創(chuàng)造更大的經濟效益和社會效益。系統(tǒng)包括數據中心，5 家數據分中心，網絡中心，監(jiān)控中心，境內外近 300個基準站節(jié)點。其中網絡通信系統(tǒng)是陸態(tài)網絡系統(tǒng)的重要組成部分，為系統(tǒng)內各個節(jié)點提供安全可靠的網絡通信環(huán)境，實現基準站節(jié)點采集數據的實時傳輸，以及 6 家部委單位間的實時數據共享。陸態(tài)網絡通信系統(tǒng)對覆蓋范圍、傳輸質量、整體運行率、安全性、綜合運行成本等方面提出了較高要求。

1 網絡通信系統(tǒng)分析與技術思路

1.1 網絡通信系統(tǒng)分析

陸態(tài)網絡通信系統(tǒng)應滿足陸態(tài)網業(yè)務應用的相關需求，包括各類數據的實時傳輸匯總，各部委單位間的實時數據共享，各類相關信息服務，各類監(jiān)控報警信息的發(fā)送，IP語音系統(tǒng)。網絡系統(tǒng)覆蓋范圍應包括全國各個地區(qū)及老撾、緬甸兩個周邊國家地區(qū)，具備284個基準站節(jié)點的承載能力，以及3000個以上基準站節(jié)點的擴展能力；在數據傳輸質量方面，每個基準站節(jié)點到數據中心的1Hz實時數據流5～10 Kbyte/s，平均數據延時小于800ms；網絡通信系統(tǒng)平均年運行率不低于 95%；在安全性方面，陸態(tài)網絡系統(tǒng)充分考慮結構性安全，需要獨立成網，與其他網絡實現邏輯隔離；在運營成本方面，通信費用不高于 500 萬元/年(該系統(tǒng)主要運行費為通信費)。

1.2 網絡通信系統(tǒng)技術思路

1.2.1 核心技術問題及難點分析

考慮到業(yè)務應用對于網絡通信系統(tǒng)的諸多需求，通過分析比對認為網絡覆蓋范圍，數據傳輸質量、網絡安全是該系統(tǒng)設計中的核心技術問題，后續(xù)系統(tǒng)運行成本控制同樣是項目難點。

(1)網絡系統(tǒng)覆蓋范圍

本系統(tǒng)需要實現在國內及老撾、緬甸境內全覆蓋，同時需要兼顧運行成本與傳輸效果，通過分析論證系統(tǒng)使用地面通信方式為主、衛(wèi)星通信方式補充的天地一體融合方案，在大多數有較好通信資源的基準站節(jié)點使用地面通信方式，少數通信條件惡略地區(qū)與境外地區(qū)采用衛(wèi)星通信方式。全國284個基準站節(jié)點中，地面通信節(jié)點264個，衛(wèi)通節(jié)點20個(圖1)。

(2)數據傳輸質量

為保證系統(tǒng)數據傳輸質量與系統(tǒng)穩(wěn)定性，陸態(tài)網絡通信系統(tǒng)在信道選擇上全部使用 SDH、MSTP等專線技術進行通信，衛(wèi)星系統(tǒng)同樣采用點對點獨立帶寬資源進行通信。在傳輸過程中，使用 QOS技術實現在網絡層對重要數據、實時數據進行帶寬保障。

(3)網絡安全

陸態(tài)網絡系統(tǒng)在網絡安全方面，主要考慮國家等保要求中的結構化安全要求，系統(tǒng)獨立成網，與互聯(lián)網等其他網絡實現隔離，并在整套網絡系統(tǒng)中，進行安全區(qū)域劃分與邊界安全防護策略部署。

(4)運行成本

通過分析，陸態(tài)網絡通信系統(tǒng)的主要運營成本是通信費支出，即使用運營商專線的租用費，在帶寬一定的前提下，當前通信費的核算方式主要根據兩點間的地域關系決定的，即“本地”、“區(qū)間”、“長途”3 類，費用依次提升，其中相同規(guī)格下“長途”費用是“本地”費用的 3-4 倍。衛(wèi)星信費用則根據帶寬收取，不涉及地域問題。所以控制通信費用的 2個核心關鍵點在于合理規(guī)劃租用帶寬，減少“區(qū)間”、“長途”兩類信道數量。

1.2.2 技術思路

系統(tǒng)設計初始采用了傳統(tǒng)思路考慮，即全新設計一套網絡通信系統(tǒng)，此技術思路可以滿足陸態(tài)網絡系統(tǒng)的業(yè)務應用需求，但在后期通信費支出很高，僅284個基準站節(jié)點信道費就超過850萬/年(按當時價格，2M長途信道，平均單路3萬元/年，由中國電信、中國聯(lián)通 2 家運營商核算；衛(wèi)通系統(tǒng)按單路載波128k計算，每節(jié)點3萬元/年)?？紤]到運行費用過高的問題，尤其是長途通信費部分。通過對業(yè)務需求、組網模式的深入分析研究，以及對現有地震行業(yè)網絡系統(tǒng)的充分調研論證，初步考慮依托現有的中國地震局行業(yè)網絡系統(tǒng)承載陸態(tài)網絡通信系統(tǒng)。

圖1 中國大陸構造環(huán)境監(jiān)測網絡系統(tǒng)基準站節(jié)點分布圖Fig.1 Distribution of reference stations of the TEONET

中國地震局行業(yè)網絡通信系簡稱“地震行業(yè)網”，是覆蓋全國的大型專用網絡系統(tǒng)，網絡系統(tǒng)在結構上分為兩級，骨干網與區(qū)域網。骨干網以北京、廣州為雙中心，全國31個省市地區(qū)的 46家單位作為二級節(jié)點通過不同運營商的2路專線(每家節(jié)點30M+20M 帶寬)分別與北京、廣州互連，實現了雙星型的地震行業(yè)骨干網系統(tǒng)。區(qū)域網由每個省級單位組成，內部分為省中心、市縣節(jié)點、臺站節(jié)點三級結構。當時31家省級節(jié)點單位網絡系統(tǒng)基本覆蓋全國大中城市及市縣，各類信息節(jié)點數量超過1500個。同時，地震行業(yè)還具備衛(wèi)星通信技術手段，使用亞洲4號衛(wèi)星為通信條件惡略地區(qū)提供網絡通信服務，其中 Ku 波段通信網絡覆蓋主要境內區(qū)域、C波段通信網絡覆蓋境內偏遠地區(qū)與周邊國家(圖2)。

如圖3所示，地震行業(yè)網中已有的各類信息節(jié)點所在區(qū)域基本覆蓋了陸態(tài)網絡系統(tǒng)的 284個基準站節(jié)點，衛(wèi)星信號覆蓋境外臺站地理位置，同時網絡整體承載能力與帶寬資源可以滿足陸態(tài)網絡業(yè)務應用的需要，依托地震行業(yè)網開展陸態(tài)網絡通信系統(tǒng)設計是可行的，而且利用地震行業(yè)骨干網的信道資源，可將原有的基準站節(jié)點連接至網絡中心模式，調整為接入基準站節(jié)點附近的地震行業(yè)網信息節(jié)點，這樣可將原有的長途信道調整為本地信道或區(qū)間信道，大幅節(jié)省基準站節(jié)點的通信費支出，后續(xù)基準站節(jié)點部分信道費實際支出在每年 295 萬元以內，較新建模式每年 850萬元的信道費，每年可減少支出 555 萬元，預算節(jié)省相當可觀。

2 網絡通信系統(tǒng)技術實現

2.1 系統(tǒng)整體結構分析

陸態(tài)網絡通信系統(tǒng)根據業(yè)務模式網絡結構為單星型網絡，全國3級網絡架構，第一級為基準站網絡系統(tǒng)，包括境內外 284個基準站節(jié)點的通信系統(tǒng)建設；第二級為網絡中心系統(tǒng)(位于北京)；第三級為數據中心(北京)、數據分中心(北京、上海、西安、武漢)、監(jiān)控中心網絡系統(tǒng)(北京)(圖4)。

2.2 關鍵技術與技術實現

2.2.1 虛擬組網技術

圖2 地震行業(yè)骨干網絡系統(tǒng)拓撲圖Fig.2 Topology of the seismic backbone network system

圖3 地震行業(yè)網絡通信系統(tǒng)覆蓋范圍(地面網與衛(wèi)通網)Fig.3Coverage of the seismic backbone networkcommunication system(Ground and satellite network)

圖4 陸態(tài)網絡通信系統(tǒng)整體結構設計圖Fig.4 Structure design of the TEONET

系統(tǒng)總體技術思路依托地震行業(yè)網開展陸態(tài)網絡通信系統(tǒng)建設，但陸態(tài)網絡系統(tǒng)需要獨立成網，與其他網絡系統(tǒng)隔離，出現了既要使用地震行業(yè)網，又要與地震行業(yè)網隔離的業(yè)務需求。綜合分析論證后，廣域網虛擬組網技術可以解決上述問題。廣域網虛擬組網技術簡稱 VPN 技術(Virtual Private Network)，其技術方式包括 PPTP、L2TP、MPLS、GRE等方式。PPTP主要用于點對點傳輸，不適用于陸態(tài)網絡通信系統(tǒng)的全國層面多點組網的模式；L2TP 為 Cisco 廠商私有協(xié)議，適用范圍有一定局限性，不適合全網兼容性與后期擴容升級；MPLS VPN 采用2.5層標簽交換技術，多用于運營商的大型廣域網通信，如使用該技術協(xié)議，對已有的地震行業(yè)網系統(tǒng)需要有較大調整，會對現有業(yè)務應用造成較大影響。通過比對論證后，全網采用基于 GRE 協(xié)議的三層VPN技術進行虛擬組網，GRE 是通用路由封裝協(xié)議的簡稱，其支持全部路由協(xié)議(OSPF、RIP、BGP)，可實支持IP報文中分裝任何協(xié)議的數據包(IP、IPX、NetBEUI等)，對于網絡系統(tǒng)與業(yè)務應用有良好的兼容性與適應性。其具體技術實現方式為在地震行業(yè)網中，使在基準站節(jié)點與網絡中心之間建立GRE 封裝的虛擬網絡隧道，在隧道中運行OSPF動態(tài)路由器協(xié)議，實現陸態(tài)網絡系統(tǒng)全網路由互通、基準站節(jié)點到網絡中心的數據傳輸(圖5)。

同時陸態(tài)網數據在 GRE 隧道中傳輸，數據包經封裝后在地震行業(yè)網中傳輸，實現了系統(tǒng)基于地震行業(yè)網又與地震行業(yè)網隔離的目標，簡單理解陸態(tài)網絡通信系統(tǒng)就是運行在地震行業(yè)網上的“網中網”(圖6)。

2.2.2 加密算法

陸態(tài)網絡系統(tǒng)對數據信息在廣域網傳輸中的安全性與保密性有較高要求，需要對GRE隧道封裝后的數據進行傳輸加密。標準 GPR 協(xié)議封裝后的數據包采用明文傳輸，在非可控的廣域網傳輸過程中一旦遭到網絡監(jiān)聽，存在重要數據信息泄露的風險，所以需要對 GRE 隧道內的數據信息進行加密。當前在國內使用的密碼體系中，包括普密算法與商密算法兩類，普密算法只能用于涉密系統(tǒng)，商密算法廣泛用于非涉密信息，陸態(tài)網絡通信系統(tǒng)為非涉密系統(tǒng)，采用商密算法。目前主流商密算法包括對稱密碼算法與非對稱密碼算法，兩類加密技術各有優(yōu)劣，考慮到實際應用為大量實時數據廣域網傳輸，對稱密碼算法更適用于此業(yè)務類場景(圖7)。

在諸多對稱密碼算法中 3DES 算法應用較多，其實際是增加了3倍DES算法密鑰長度，使用3對密鑰對數據信息進行加密，實現 168 位加密，比 DES等密鑰算法更安全，同時兼顧加解密速度與時效性，在實際應用環(huán)境中，造成的系統(tǒng)延時較低，系統(tǒng)資源開銷較小(圖8)。

圖5 GRE 隧道技術實現(網絡中心與內蒙古海拉爾基準站節(jié)點)Fig.5 Implementation of GRE tunneling technology(Network center and Hailer station)

圖6 基于地震行業(yè)網的陸態(tài)網絡通信系統(tǒng)拓撲結構示意圖Fig.6 Topology ofcommunication systembased on the seismic backbone network

圖7 3DES 加密算法過程示意圖Fig.7 Diagramof 3DES encryption algorithm

圖8 3DES加密算法在數據傳輸過程中的實際應用Fig.8 Application of 3DES encryption algorithm on data transmission

2.2.3 衛(wèi)星系統(tǒng)的與地面網絡系統(tǒng)融合

使用地震衛(wèi)星系統(tǒng)進行通信的基準站節(jié)點，受限于衛(wèi)通系統(tǒng)的技術制約，無法像地面通信方式那樣使用虛擬組網技術實現網絡共用與兩網隔離，衛(wèi)星通信方式可實現每個基準站節(jié)點獨立載波傳輸，即每個基準站節(jié)點使用獨立的信道傳輸數據，與其他衛(wèi)通節(jié)點間的網絡是隔離的，但基準站節(jié)點的IP地址必須按照事先規(guī)劃的地址使用，地震行業(yè)網系統(tǒng)與陸態(tài)網系統(tǒng)使用了不同的IP地址規(guī)劃，所以陸態(tài)網基準站節(jié)點使用地震行業(yè)衛(wèi)星系統(tǒng)，需要解決的核心問題是IP地址的問題。解決IP地址的問題，最直接的解決方式是在地震行業(yè)衛(wèi)星網絡系統(tǒng)與陸態(tài)網絡系統(tǒng)之間添加各自路由，實現使用地震行業(yè)網地址的陸態(tài)網基準站節(jié)點與陸態(tài)網絡通信系統(tǒng)互聯(lián)，但此種方式將發(fā)生采用衛(wèi)通方式基準站節(jié)點與地震行業(yè)網之間形成網絡互通，無法滿足兩網隔離的安全要求。通過調研分析與實驗測試，使用NAT(Network Address Translation)技術可實現上述需求，該技術用于實現IP地址轉換翻譯功能，多用于內網與互聯(lián)網邊界環(huán)境，主要解決公網 IPv4 地址不足的情況，其使用模式包括靜態(tài)NAT、動態(tài)NAT與基于端口轉換的PAT。在陸態(tài)網系統(tǒng)中使用靜態(tài) NAT 技術，實現 1 對 1 的IP地址轉換功能。具體實現方式為在地震行業(yè)衛(wèi)星系統(tǒng)與陸態(tài)網絡系統(tǒng)之間部署邊界網絡設備，根據每一個衛(wèi)通基準站節(jié)點信息配置靜態(tài) NAT 轉換命令，數據經基準站節(jié)點使用地震行業(yè)網IP地址傳輸至網絡中心，通過邊界網絡設備的 NAT 功能，將數據報文的源IP地址封裝為陸態(tài)網IP地址，實現地震行業(yè)網IP地址與陸態(tài)網IP地址間的轉換。

圖9 地震行業(yè)網IP地址與陸態(tài)網IP地址轉換實現(海南永興島基準站節(jié)點)Fig.9 Implementation ofIPaddressconversion between the seismic backbone network and theTEONET(Yongxidao station)

3 結語

陸態(tài)網絡通信系統(tǒng)的設計與實現對于地震行業(yè)來講是具有里程碑意義的，地震系統(tǒng)首次承擔了由多家部委單位共同參與，覆蓋全國與境外地區(qū)的大型專業(yè)網絡通信系統(tǒng)。在設計過程中得到共建單位的大力支持與協(xié)助，尤其是中科院網中心對于此次項目建設的技術支持與相關服務。陸態(tài)網絡通信系統(tǒng)的設計思路在地震行業(yè)開創(chuàng)了新的篇章，通過對已有資源的深入了解與深度挖掘，實現了利用已有的地震行業(yè)網承載全新的陸態(tài)網絡通信系統(tǒng)，擺脫了傳統(tǒng)模式中“專網專用”的思想，充分利用現有資源，將原有投資發(fā)揮了最大效益，大幅減少重復建設與投資。同時通過合理規(guī)劃與靈活應用相關技術，在滿足了業(yè)務應用需求的同時，整合了系統(tǒng)資源，減少了系統(tǒng)數量，優(yōu)化了體系結構，為國家大幅節(jié)省了運行費支出，陸態(tài)網絡通信系統(tǒng)全年運行實際支出較最初預算降低 670 萬/年。這是模式創(chuàng)新與技術創(chuàng)新帶來的綜合效益。在未來的工作中，陸態(tài)網絡通信系統(tǒng)的設計理念與技術思路將在地震行業(yè)內持續(xù)發(fā)揮作用。

[1] Jeff Doyle.Routing TCP/IP.［M］.Volume I/II.USA.Cisco Systems.2001.

[2] Wei Luo.Layer 2 VPN Architectures.［M］.USA.Cisco Systems.2005.

[3] 李超.信息系統(tǒng)安全等級保護務實.[M].1 版.北京：科學出版社，2013.

2016年12月12日

劉曉雨：中國地震臺網中心，工程師，研究方向：網絡通信技術、安全技術、運維體系等。

E-mail: rain-leo@seis.ac.cn

Communication System of Tectonic and Environmental Observation Network in China Based on the Seismic Backbone Network

Liu Xiaoyu
Department of Telematic Networks,China Earthquake Networks Center,Beijing 100045,China

This paper briefly introduces technical design and implementation of network communication part in the national major infrastructure project:Tectonic and Environmental Observation Network in China(TEONET).This system gets rid of the traditional idea of construction,it combines the existing terrestrial network and satellite communication resources.Using WAN communication technology ,virtual networking technology and encryption technique based on the seismic backbone network,it realizes a space-ground integrated,safe and reliable large special used WAN communication system.The system crosses 6 ministries and units,covers 31 provinces and cities and 2 foreign countries.At the same time,it greatly saves the investment in network communication system construction,as well as the channel rental fees and system maintenance costs in the follow-up operation.Design and networking mode of the seismic intensity rapid reporting and early warning project referencedthis system.

GNSS; Space-ground integrated; virtual networking; security

10.11871/j.issn.1674-9480.2017.01.007