葉 蔥 王勁草

（國網四川省電力公司綿陽供電公司，四川 綿陽 621000）

?

VPN安全技術在綿陽供電公司調度數據網的應用探討

葉 蔥 王勁草

（國網四川省電力公司綿陽供電公司，四川 綿陽 621000）

摘 要：VPN是依靠ISP和其他NSP在公用網絡中建立專用數據通信網絡的技術，通過共享或公共網絡的設置、加密和身份驗證等連接專用網絡的擴展，在數據經過網絡隧道傳輸的過程中進行加密，以此保證數據的安全性和私有性。VPN的組網方式為企業(yè)提供了一種低成本的網絡基礎設施，在目前電力公司調度數據網安全防護中，VPN安全技術發(fā)揮著重要作用。本文介紹了VPN的工作原理、關鍵技術及應用特點，結合實際探討VPN技術在綿陽公司調度數據網的技術模式及應用方式。

關鍵詞：VPN；調度數據網；網絡安全

一、綿陽供電公司電力調度數據概述

綿陽供電公司調度數據網絡2013年建設，2015建成投運。調度數據網綿陽地調接入網在其核心節(jié)點與國家電力調度數據網雙平面骨干網綿陽地調骨干節(jié)點之間采用MP-EBGP的方式互聯(lián)，以便實現(xiàn)調度自動化信息的網絡化傳輸。調度中心和廠站的應用系統(tǒng)分別接入到骨干網和相應的接入網中，調度中心的應用系統(tǒng)通過跨域訪問廠站端。按照《電力二次系統(tǒng)安全防護總體方案》要求，全網部署MPLS/VPN，各相關業(yè)務按安全分區(qū)原則接入相應VPN。

基于對綿陽電網調度業(yè)務量的需求、數據流向、網絡可擴展性的分析，并考慮網絡運行維護安全穩(wěn)定的要求，綿陽地區(qū)調度數據網采用3層結構，即核心層、骨干層、接入層，如圖1所示。

二、VPN技術原理及概述

1. VPN的簡介及工作原理

VPN是依靠ISP（Internet Service Provider）和其他NSP（Network Services Provider），在公用網絡中建立專用調度數據網絡的技術。相對傳統(tǒng)的網絡技術，VPN數據傳輸在任意的兩個節(jié)點之間并沒有建立傳統(tǒng)的端到端的物理鏈接，它是通過公用網絡的動態(tài)資源完成數據加密傳輸。

2. VPN的關鍵技術和主要安全協(xié)議

實現(xiàn)VPN傳輸的技術有多種，目前常用的是以下4種：加密及解密技術（Encryption & Decryption）、密鑰管理技術（Key Management）、用戶與設備身份認證技術（Authentication）及目前最常用的隧道技術（Tunneling）。

隧道技術是VPN的基本技術，也是目前綿陽供電公司采用的VPN模式（綿陽電力調度數據網VPN組網如圖2所示）。基本的隧道技術通過建立點對點的鏈接，通過在公用或專用網絡上（例如調度數據網）建立一條數據通道（即所謂的隧道），數據通過此隧道進行相應地加密傳輸。不同于傳統(tǒng)的網絡鏈接傳輸，隧道技術在隧道建立后，傳輸數據的過程中，需要對數據采取加密措施，按約定的協(xié)議對傳輸數據進行封裝、加密傳送，以此保證數據傳輸的安全性。

3. VPN技術的應用特點

（1）安全性及私密性

隨著網絡技術的發(fā)展，實現(xiàn)VPN的方式及技術越來越多，但無論是哪種方式實現(xiàn)VPN技術，都應當保證數據傳輸通過公共網絡的安全性及私密性。目前的VPN技術基本都是通過在公共網絡上直接構建，雖然實現(xiàn)簡單，形式靈活，但也帶來了更為突出的安全性要求。電力公司通過VPN技術進行調度數據網的數據傳輸，更需要確保VPN數據傳輸的安全性，保證數據傳輸不被攻擊或篡改，不被非法用戶訪問私有信息。由于電網的重要性，也導致電力公司使用VPN技術時對VPN的安全性有了更高的需求。

（2）靈活性和可擴充性

VPN技術的數據傳輸特性要求VPN能夠支持通過Internet和Extranet的任何類型的數據，可以支持各種類型的傳輸介質，同時可以靈活增加節(jié)點，滿足可以同時出書圖像、數據和語音等多種應用對傳輸質量和帶寬的要求。

（3）服務質量保證（Quality of Service）

VPN技術應用應當針對不同的企業(yè)需求提供不同的等級服務。服務質量保證通過流量預測與控制，可以實現(xiàn)帶寬管理，合理地先后發(fā)送各類數據，預防阻塞。

（4）可管理性

企業(yè)中VPN應用要求能將網絡管理從局域網無縫延伸至公用網。企業(yè)在應用VPN過程中需要自己完成許多網絡管理任務。因此，一個完善VPN的管理系統(tǒng)是必不可少的。VPN管理主要包括安全管理、QoS管理、設備管理等。

三、VPN技術在綿陽供電公司調度數據網中應用

綿陽供電公司調度數據網接入網原則上基于IPoverSDH的技術體制，以保證調度數據網技術體制的一致性、可控性和可管理。同時按照《電力二次系統(tǒng)安全防護總體方案》要求，全網部署MPLS/ VPN，各相關業(yè)務按安全分區(qū)原則接入相應VPN。對于網絡路由協(xié)議的選擇、網絡拓撲、網絡分區(qū)、地址編碼、網絡安全、電路配置、網絡管理等均應遵循本“總體技術方案”提出的原則。圖3展示了綿陽調度數據網VPN業(yè)務的具體接入方式。

綿陽供電公司調度數據網通過IPsec構建VPN的安全通道，通過在防火墻F 和A主機之間建立一個SA，報文通過IP隧道傳輸至F再轉發(fā)給B。這種傳輸方式的前提是端系統(tǒng)B必須和防火墻F是相互信任的關系。對于從B傳輸至A的報文來講，B用ESP運輸模式及AH對報文進行加密保護。假設調度數據網內部是可信任的而Internet卻是不可信任的，在此假設情況下，可以采用地理分布的各LAN的邊界路由器對IP報文通過ESP機制和AH進行加密保護。即可以只在兩個邊界路由器之間建立SA，則邊界路由器相對代表自身內部的所有端系統(tǒng)。

四、VPN技術下一步發(fā)展趨勢

隨著Internet發(fā)展成為社會的信息基礎應用，企業(yè)網絡應用也基本采用基于IP的模式，因此實現(xiàn)基于IP的VPN業(yè)務是企業(yè)網絡應用的必然發(fā)展趨勢，在電力系統(tǒng)中也有廣泛的應用前景。通過VPN技術在電力調度數據網中的應用，可以為電力企業(yè)帶來可觀的經濟效益，為電力企業(yè)的信息共享提供安全可靠的途徑。

參考文獻

［1］高海英，薛元星，辛陽.VPN技術（第一版）［M］.北京：機械工業(yè)出版社，2004：1-2.

［2］汪海航，譚成翔，孫為清，趙軼群.VPN技術的研究與應用現(xiàn)狀及發(fā)展趨勢［J］.計算機工程與應用，2001，37（23）：14-16.

［3］魏廣科.VPN技術及其應用的研究［J］.計算機工程與設計，2005，26（3）：714-715.

［4］邱亮，金悅.ISA配置與管理.第一版［M］.北京：清華大學出版社，2002.

［5］束坤.基于Internet的VPN技術［J］.計算機應用，1999，19（11）：28-31.

中圖分類號：TM734

文獻標識碼：A