基于無線公網(wǎng)VPN的電力監(jiān)控系統(tǒng)安全接入?yún)^(qū)研究

程琦, 黃太貴

(1.安徽立卓智能電網(wǎng)科技有限公司,安徽 合肥 230601;2.國網(wǎng)安徽省電力公司調(diào)度控制中心,安徽 合肥 230022)

0 引 言

隨著近年來分布式電源和配網(wǎng)自動化系統(tǒng)發(fā)展[1]，大量的分布式光伏電站建成并網(wǎng)運(yùn)營，電網(wǎng)公司對于配網(wǎng)自動化系統(tǒng)的投資和建設(shè)也開始加大。分布式光伏電站大多容量不大(6 MW以下)，投資規(guī)模小，現(xiàn)場比較偏遠(yuǎn)，配電網(wǎng)的變壓器、饋線回路及其開關(guān)柜箱變等分布廣泛，沒有條件敷設(shè)光纖專線和調(diào)度數(shù)據(jù)網(wǎng)設(shè)備。造成電網(wǎng)管理部門無法掌握分布式電源和配電網(wǎng)的相關(guān)信息，困擾著地區(qū)電網(wǎng)的運(yùn)營管理，也給電網(wǎng)安全帶來隱患。對于分布式電源和配電網(wǎng)需要一種成本較低，能夠?qū)崿F(xiàn)電量數(shù)據(jù)接入調(diào)度中心電力監(jiān)控系統(tǒng),并滿足安全防護(hù)要求[2]的信息接入及組網(wǎng)方案。

1 VPN組網(wǎng)

目前我國移動通信4G(第四代移動通信技術(shù))覆蓋面積已經(jīng)普及，對于地理位置偏遠(yuǎn)，建設(shè)費(fèi)用低的分布式電源和配電線路，采用移動通信網(wǎng)絡(luò)運(yùn)營商的4G網(wǎng)絡(luò)實(shí)現(xiàn)組網(wǎng)和數(shù)據(jù)傳輸是理想的解決方案。

VPN/VPDN(虛擬/撥號專用網(wǎng)絡(luò))是在公用網(wǎng)絡(luò)上建立虛擬專用網(wǎng)絡(luò)，進(jìn)行加密通信的網(wǎng)絡(luò)技術(shù)。由于電力生產(chǎn)數(shù)據(jù)和系統(tǒng)安全的重要性，需要網(wǎng)絡(luò)運(yùn)營商在主干網(wǎng)上完成VPN通道的建立，VPN網(wǎng)關(guān)通過隧道和對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問[3]。

VPN/VPDN的隧道協(xié)議主要有幾種，PPTP(點(diǎn)到點(diǎn)隧道協(xié)議)、L2TP(第二層隧道協(xié)議)、IPSec(Internet協(xié)議安全性)和GRE(通用路由封裝協(xié)議)等。在OSI模型的不同層次中工作著相對應(yīng)的隧道協(xié)議，PPTP和L2TP協(xié)議屬于第二層隧道協(xié)議；IPSec和GRE屬于第三層隧道協(xié)議。第二層隧道協(xié)議和第三層隧道協(xié)議的區(qū)別主要在于用戶數(shù)據(jù)在網(wǎng)絡(luò)協(xié)議的第幾層被封裝，這些協(xié)議之間本身并不沖突，可以結(jié)合使用[4]。

1.1 VPN的網(wǎng)絡(luò)安全及運(yùn)營商措施

在組網(wǎng)上需考慮的安全性層面主要包括隧道的驗證，通信雙方的身份驗證和通信數(shù)據(jù)的加密，如果基于網(wǎng)絡(luò)運(yùn)營商建立的VPN/VPDN自身提供的安全措施，一般企業(yè)用戶應(yīng)該使用IPsec技術(shù)，如果需要實(shí)現(xiàn)安全的VPDN，應(yīng)該采用L2TP+IPsec組合技術(shù)，先使用L2TP封裝第二層數(shù)據(jù)，再使用IPsec封裝對數(shù)據(jù)進(jìn)行加密和提供完整性保護(hù)，由此保證通信數(shù)據(jù)安全傳送到目的地[5]。

我國三大移動網(wǎng)絡(luò)運(yùn)營商(移動、聯(lián)通、電信)提供可分配專用的APN(接入點(diǎn)名稱)，僅開通接入VPDN網(wǎng)絡(luò)的SIM卡，利用SIM卡的唯一性，在網(wǎng)絡(luò)側(cè)對SIM卡和APN進(jìn)行綁定，劃定用戶可接入該系統(tǒng)的范圍，只能訪問客戶專網(wǎng)，限制使用其他的APN訪問互聯(lián)網(wǎng)公網(wǎng)，有效避免非法入侵。同時數(shù)據(jù)中心給每個SIM卡分配特定的用戶ID和IP，其他沒有數(shù)據(jù)中心分配的用戶ID和IP的SIM卡將無法登錄進(jìn)入系統(tǒng)，系統(tǒng)的安全性進(jìn)一步增強(qiáng)。專網(wǎng)SIM卡對業(yè)務(wù)也進(jìn)行嚴(yán)格的鑒權(quán)，關(guān)閉語音、短信等無關(guān)業(yè)務(wù)，得到業(yè)務(wù)唯一性的安全保證。

客戶可自建或與運(yùn)營商共享AAA服務(wù)器，網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)GGSN向AAA服務(wù)器提供用戶主叫號碼，采用主叫號碼和用戶賬號相結(jié)合的認(rèn)證方式，用戶通過認(rèn)證后由AAA服務(wù)器分配企業(yè)內(nèi)部的靜態(tài)IP地址。

1.2 傳統(tǒng)VPDN組網(wǎng)方式

無線網(wǎng)絡(luò)運(yùn)營商給出的VPDN實(shí)現(xiàn)方案是VPN用戶向當(dāng)?shù)鼐W(wǎng)絡(luò)運(yùn)營商申請租用一條專線，從就近GGSN節(jié)點(diǎn)架設(shè)至用戶數(shù)據(jù)中心，運(yùn)營商在網(wǎng)關(guān)和用戶接入路由器上配置VPDN隧道協(xié)議，實(shí)現(xiàn)VPDN方式。該方式由于用戶需要架設(shè)并租用專線，建設(shè)周期和成本都比較高(根據(jù)申請的帶寬，帶寬越大價格越高)。該方式組網(wǎng)方式如圖1所示。

圖1 傳統(tǒng)無線VPDN組網(wǎng)方式

1.3 全無線組網(wǎng)方案

本文試圖建立一種全無線的新型組網(wǎng)方式，在電力監(jiān)控中心與分布式電源場站同樣采用無線方式，組網(wǎng)方式如圖2所示。

圖2 全無線VPDN組網(wǎng)方式

在電力監(jiān)控中心不需要架設(shè)租用專線，作為與監(jiān)控站點(diǎn)同等地位的APN接入，各個監(jiān)控站點(diǎn)之間均可通信互聯(lián)。

所有APN的專網(wǎng)IP地址固定，能夠既作為客戶端，也能作為服務(wù)端支持各類基于IP協(xié)議的應(yīng)用，特別是電力專用的各類通信協(xié)議(101102103104MODBUS等)。

移動網(wǎng)絡(luò)運(yùn)營商提供專用APN(接入點(diǎn)名稱)接入VPDN網(wǎng)絡(luò)的SIM卡，每張SIM卡作為VPDN網(wǎng)絡(luò)接入點(diǎn)連接GGSN，在運(yùn)營商HLR(歸屬位置寄存器)或平臺AAA中配置每個APN固定IP地址，打通APN間的隧道，每個APN配置一臺支持隧道協(xié)議的無線路由器作為LNS，GGSN作為LAC負(fù)責(zé)與LNS之間建立L2PT隧道轉(zhuǎn)發(fā)IP報文，并在GGSN中關(guān)閉IP地址反欺詐功能，關(guān)閉終端隔離，允許APN之間互訪。

為保證SIM卡的安全，APN的SIM卡與接入終端設(shè)備全球唯一IMEI(移動設(shè)備身份碼)綁定，一旦SIM卡離開終端設(shè)備進(jìn)入其他的設(shè)備，該SIM不可用。

1.4 優(yōu)劣對比

電力監(jiān)控中心采用傳統(tǒng)專線方式，能夠保證申請的專線帶寬，但需要網(wǎng)絡(luò)運(yùn)營商敷設(shè)專線到電網(wǎng)企業(yè)電力監(jiān)控中心，監(jiān)控中心用戶還需要根據(jù)服務(wù)器架設(shè)位置敷設(shè)網(wǎng)線，建設(shè)和使用成本比較高。全無線方式組網(wǎng)靈活，監(jiān)控中心可以建在調(diào)度中心機(jī)房或者其他任何位置，且搬遷和移位便利。目前運(yùn)營商4G網(wǎng)絡(luò)的理論峰值速率可以達(dá)到上行50 Mbps，下行100 Mbps，但是該理論帶寬受附近基站的終端使用數(shù)量影響，大量移動終端通過同一基站訪問網(wǎng)絡(luò)時，可能存在網(wǎng)絡(luò)阻塞現(xiàn)象。兩種方式的優(yōu)劣如表1所示。

表1 優(yōu)劣對比

2 電力專用的認(rèn)證及加密

運(yùn)營商提供的VPDN隧道用于IP包加密的IPSec協(xié)議支持的DES、3DES、AES等加密算法均不滿足國家電網(wǎng)信息安全要求的基于國密算法的認(rèn)證、加密標(biāo)準(zhǔn)，針對電力監(jiān)控系統(tǒng)安全防護(hù)要求，電力調(diào)度生產(chǎn)及管理系統(tǒng)與網(wǎng)絡(luò)用戶、關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器應(yīng)采用電力調(diào)度證書服務(wù)系統(tǒng)統(tǒng)一頒發(fā)的專用數(shù)字證書，在調(diào)度系統(tǒng)和網(wǎng)絡(luò)關(guān)鍵環(huán)節(jié)實(shí)現(xiàn)高強(qiáng)度的身份認(rèn)證、安全的數(shù)據(jù)傳輸以及可靠地行為審計。電力調(diào)度證書服務(wù)系統(tǒng)遵循一系列國際上的關(guān)于密碼學(xué)和數(shù)字證書標(biāo)準(zhǔn)，采用國密加密算法。證書類型包括：人員證書，程序證書和設(shè)備證書，實(shí)現(xiàn)接入用戶的身份認(rèn)證和數(shù)據(jù)傳輸加密[6]。

3 電力監(jiān)控系統(tǒng)安全接入?yún)^(qū)方案

根據(jù)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定(國家發(fā)改委[2014]14號令)》、《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范(國能安全[2015]36號)》和《Q/GDW 11347—2014國家電網(wǎng)公司信息系統(tǒng)安全設(shè)計框架技術(shù)規(guī)范》的要求，生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng)在與其終端的縱向聯(lián)接中使用無線通信網(wǎng)、電力企業(yè)其他數(shù)據(jù)網(wǎng)(非電力調(diào)度數(shù)據(jù)網(wǎng))或者外部公用數(shù)據(jù)網(wǎng)的虛擬專用網(wǎng)絡(luò)方式(VPN/VPDN)等進(jìn)行通信的，應(yīng)當(dāng)設(shè)立安全接入?yún)^(qū)[7]，采用基于國密算法的認(rèn)證、加密等安全防護(hù)措施[8]。

本方案在監(jiān)控中心和監(jiān)控場站部署電力專用縱向加密認(rèn)證裝置，通過縱向加密裝置建立隧道，縱向加密裝置的隧道同樣基于VPDN第三層IPSec協(xié)議，但加密算法采用的是采用國家密碼管理局授權(quán)批準(zhǔn)的電力專用密碼算法，支持身份鑒別，信息加密，數(shù)字簽名和密鑰生成與保護(hù)。

部署在電力企業(yè)調(diào)度端的安全接入?yún)^(qū)與分布式電源場站采用全無線VPDN組網(wǎng)。VPDN的第二層隧道協(xié)議采用運(yùn)營商提供的L2PT協(xié)議，第三層IP層的加密認(rèn)證采用縱向加密認(rèn)證裝置自建的IPSec隧道協(xié)議，實(shí)現(xiàn)用戶身份、設(shè)備認(rèn)證以及數(shù)據(jù)的加密傳輸，分布式電源場站側(cè)通信采用電力專用網(wǎng)絡(luò)通信協(xié)議IEC-60870-104。網(wǎng)絡(luò)拓?fù)浞绞饺鐖D3所示。

圖3 電力監(jiān)控系統(tǒng)安全接入?yún)^(qū)網(wǎng)絡(luò)拓?fù)?/p>

4 安全接入?yún)^(qū)與調(diào)度自動化業(yè)務(wù)系統(tǒng)接口

安全接入?yún)^(qū)采集到的分布式電源并網(wǎng)數(shù)據(jù)需要轉(zhuǎn)發(fā)至調(diào)度自動化的各項業(yè)務(wù)系統(tǒng)中，如SCADA系統(tǒng)、電能量管理系統(tǒng)等。根據(jù)業(yè)務(wù)系統(tǒng)的不同安全分區(qū)，可將采集的業(yè)務(wù)數(shù)據(jù)根據(jù)不同的安全分區(qū)轉(zhuǎn)發(fā)至業(yè)務(wù)系統(tǒng)。按照電力監(jiān)控系統(tǒng)安全防護(hù)要求，無線接入的安全接入?yún)^(qū)屬于外網(wǎng)，安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中其他部分的聯(lián)接處必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置[9]。安全接入?yún)^(qū)轉(zhuǎn)發(fā)業(yè)務(wù)數(shù)據(jù)至電力監(jiān)控系統(tǒng)的結(jié)構(gòu)如圖4所示。

圖4 安全接入?yún)^(qū)與調(diào)度自動化各業(yè)務(wù)系統(tǒng)接口

5 結(jié)束語

本文探討了一種采用無線VPDN技術(shù)用于電力監(jiān)控系統(tǒng)的安全接入?yún)^(qū)建設(shè)方案，適用于大量投資小、位置偏遠(yuǎn)的分布式電源數(shù)據(jù)接入電力監(jiān)控系統(tǒng)，便于電力調(diào)度部門對于分布式電源及地區(qū)電網(wǎng)的負(fù)荷管理。本方案在采用網(wǎng)絡(luò)運(yùn)營商提供的全無線組網(wǎng)方式便捷靈活的基礎(chǔ)上，針對電力監(jiān)控系統(tǒng)的安全防護(hù)要求做了專門考慮，滿足國家對于電力監(jiān)控系統(tǒng)的安全防護(hù)要求。