鄒穎，王一蓉，王艷茹，王思寧

（北京國電通網(wǎng)絡(luò)技術(shù)有限公司，北京100070）

電力信息化專欄

國網(wǎng)客服中心南北園區(qū)無線VPN組網(wǎng)結(jié)構(gòu)及安全防護(hù)

鄒穎，王一蓉，王艷茹，王思寧

（北京國電通網(wǎng)絡(luò)技術(shù)有限公司，北京100070）

探索了適用于國家電網(wǎng)客服中心南北園區(qū)的無線虛擬專網(wǎng)組網(wǎng)結(jié)構(gòu)，該結(jié)構(gòu)將充分考慮園區(qū)的無線應(yīng)用和通信需求。分析了無線虛擬專網(wǎng)存在的安全接入風(fēng)險(xiǎn)和無法管控的缺陷，并提出了適用于園區(qū)的解決思路；從終端、網(wǎng)絡(luò)、邊界和應(yīng)用4個(gè)層面深入研究無線虛擬專網(wǎng)在園區(qū)組網(wǎng)的安全性，可以為園區(qū)無線虛擬專網(wǎng)的設(shè)計(jì)和建設(shè)提供參考。

無線虛擬專網(wǎng)；業(yè)務(wù)承載；組網(wǎng)結(jié)構(gòu)；安全防護(hù)

1 引言

根據(jù)國家電網(wǎng)公司（State Grid Corporation of China，SGCC）客服中心南北園區(qū)“安全性、創(chuàng)新性、經(jīng)濟(jì)性、開放性”的園區(qū)體系設(shè)計(jì)，全面整合園區(qū)分布式能源，廣泛集成能量信息，實(shí)現(xiàn)對多種能源的協(xié)調(diào)控制和綜合能效管理；建成多點(diǎn)接入、網(wǎng)絡(luò)共享、需求感知的園區(qū)能源互聯(lián)網(wǎng)，以人為本、以創(chuàng)新為驅(qū)動(dòng)，通過豐富專業(yè)的服務(wù)和業(yè)務(wù)，服務(wù)園區(qū)的運(yùn)營、辦公和生活；物聯(lián)網(wǎng)、云服務(wù)、大數(shù)據(jù)等智慧元素的融入，實(shí)現(xiàn)了各類服務(wù)的高度集成和相互聯(lián)動(dòng)，凸顯了“安全高效、智能互動(dòng)、綠色健康、舒適便捷”的智慧特征。無線虛擬專網(wǎng)作為重要的無線網(wǎng)絡(luò)邊緣接入手段，將在一定程度上豐富和完善南北園區(qū)的無線通信需求。

本文從無線虛擬專網(wǎng)的組網(wǎng)架構(gòu)及安全防護(hù)2個(gè)主要方面入手，為園區(qū)無線網(wǎng)絡(luò)邊緣接入的規(guī)劃、設(shè)計(jì)和建設(shè)提供參考。

2 需求分析

2.1 業(yè)務(wù)承載需求

園區(qū)無線虛擬專網(wǎng)的基礎(chǔ)功能是滿足園區(qū)無線應(yīng)用業(yè)務(wù)現(xiàn)狀和未來新增無線業(yè)務(wù)的接入需求，是保證園區(qū)無線虛擬專網(wǎng)在新形勢下的擴(kuò)展和支撐園區(qū)物聯(lián)網(wǎng)發(fā)展的重要基礎(chǔ)網(wǎng)絡(luò)，可在促進(jìn)電網(wǎng)生產(chǎn)運(yùn)行和企業(yè)管理全過程的全景感知、信息融合及智能管理與決策方面發(fā)揮重要作用。智能電網(wǎng)無線應(yīng)用業(yè)務(wù)需求分為智能電網(wǎng)廣泛采集類、業(yè)務(wù)互動(dòng)化類、數(shù)據(jù)實(shí)時(shí)處理類、識別與定位類、遠(yuǎn)程控制類和監(jiān)控告警類等［1，2］。

作為園區(qū)通信的補(bǔ)充手段，園區(qū)無線虛擬專網(wǎng)的應(yīng)用能進(jìn)一步提升園區(qū)傳感器網(wǎng)絡(luò)覆蓋、管理數(shù)據(jù)采集、決策信息化支持以及數(shù)據(jù)類別數(shù)量采集的質(zhì)量和效率。

2.2 網(wǎng)絡(luò)需求

國家電網(wǎng)公司在“十二五”通信網(wǎng)規(guī)劃中提出，“十二五”期間堅(jiān)強(qiáng)智能電網(wǎng)建設(shè)不僅要求通信網(wǎng)在核心層要有強(qiáng)大的承載能力和堅(jiān)強(qiáng)網(wǎng)絡(luò)架構(gòu)，還要在接入層有廣泛、靈活的邊緣接入能力［3，4］。

在將園區(qū)信息互聯(lián)互通的程度以及園區(qū)內(nèi)接入網(wǎng)絡(luò)的及時(shí)性和便捷程度作為園區(qū)信息通信主要考核指標(biāo)的基礎(chǔ)上，園區(qū)對通信網(wǎng)接入能力提出了全方位、多樣化、靈活便利、經(jīng)濟(jì)高效等要求。園區(qū)無線應(yīng)用業(yè)務(wù)的多樣性對承載無線應(yīng)用的無線虛擬專網(wǎng)在接入質(zhì)量和速率、傳輸質(zhì)量和速率、提供的服務(wù)以及管理方面提出了更高的要求。

2.3 安全防護(hù)需求

園區(qū)無線虛擬專網(wǎng)的安全防護(hù)應(yīng)積極采用各種先進(jìn)技術(shù)，在接入安全、通道安全、邊界安全、安全審計(jì)等方面加以防范，確保無線應(yīng)用數(shù)據(jù)傳輸?shù)陌踩浴@區(qū)無線虛擬專網(wǎng)安全防護(hù)應(yīng)做到“事前預(yù)防、事中監(jiān)督、事后處理”，管理手段與技術(shù)措施相結(jié)合，保障園區(qū)無線虛擬專網(wǎng)及其所承載業(yè)務(wù)的安全穩(wěn)定運(yùn)行。

3 組網(wǎng)結(jié)構(gòu)設(shè)計(jì)

根據(jù)國家電網(wǎng)客服中心南北園區(qū)的地域特點(diǎn)和業(yè)務(wù)需求以及園區(qū)無線應(yīng)用業(yè)務(wù)分散接入等問題，宜建設(shè)集中接入的園區(qū)無線虛擬專網(wǎng)［5，6］。

3.1 網(wǎng)絡(luò)架構(gòu)

園區(qū)無線虛擬專網(wǎng)的網(wǎng)絡(luò)位置示意如圖1所示。

園區(qū)無線虛擬專網(wǎng)總體組網(wǎng)架構(gòu)采用各園區(qū)分別與當(dāng)?shù)剡\(yùn)營商進(jìn)行專線對接的模式，園區(qū)無線虛擬專網(wǎng)架構(gòu)如圖2所示。

對于需要接入信息內(nèi)網(wǎng)的業(yè)務(wù)，業(yè)務(wù)數(shù)據(jù)從終端接入運(yùn)營商的無線網(wǎng)絡(luò)，使用運(yùn)營商的不同隧道技術(shù)進(jìn)行封裝，經(jīng)過虛擬專屬通道傳輸至目的地址進(jìn)行解封裝，還原業(yè)務(wù)數(shù)據(jù)格式后，通過專線接入信息內(nèi)網(wǎng)。若該業(yè)務(wù)需匯聚至國家電網(wǎng)公司總部，業(yè)務(wù)數(shù)據(jù)將通過綜合數(shù)據(jù)網(wǎng)從各園區(qū)信息內(nèi)網(wǎng)傳輸至公司總部信息內(nèi)網(wǎng)。該組網(wǎng)方式在實(shí)現(xiàn)園區(qū)對網(wǎng)絡(luò)出口的統(tǒng)一管理、提高出口資源利用率的同時(shí)，避免了因分散接入造成的資源浪費(fèi)以及因分散建設(shè)和管理產(chǎn)生的安全隱患。

圖1 園區(qū)無線虛擬專網(wǎng)的網(wǎng)絡(luò)位置示意

圖2 園區(qū)無線虛擬專網(wǎng)架構(gòu)

3.2 網(wǎng)絡(luò)接入方案

園區(qū)無線虛擬專網(wǎng)業(yè)務(wù)終端依托運(yùn)營商網(wǎng)絡(luò)接入，可采用APN接入或VPDN撥號接入方式。

3.2.1 APN接入

APN接入方式適用于對安全性要求不高的業(yè)務(wù)終端的接入，基本要求如下：

·業(yè)務(wù)終端應(yīng)采用園區(qū)專用APN接入；

·APN使用原則建議按照業(yè)務(wù)的安全等級進(jìn)行分類，不同安全等級的業(yè)務(wù)使用不同的APN接入；

·應(yīng)支持IP地址靜態(tài)分配和動(dòng)態(tài)分配。

3.2.2 VPDN撥號接入

VPDN撥號接入方式適用于對安全性要求較高的業(yè)務(wù)終端的接入，基本要求如下：

·VPDN撥號接入應(yīng)采用L2TP隧道技術(shù)；

·各園區(qū)應(yīng)納入各對應(yīng)省市電力公司的自建LNS及AAA服務(wù)器范疇中；

·應(yīng)支持IP地址靜態(tài)分配和動(dòng)態(tài)分配。

3.3 網(wǎng)絡(luò)傳輸方案

園區(qū)無線虛擬專網(wǎng)業(yè)務(wù)數(shù)據(jù)在運(yùn)營商承載網(wǎng)中傳輸可采用GRE隧道技術(shù)或L2TP隧道技術(shù)。

3.3.1 GRE隧道傳輸技術(shù)

GRE方式［7］在網(wǎng)絡(luò)接入時(shí)不進(jìn)行用戶名和密碼的認(rèn)證，安全性偏低，需要在業(yè)務(wù)層進(jìn)行安全控制，這種接入方式部署簡單、靈活，適合業(yè)務(wù)終端量較大且對安全性要求不高的無線應(yīng)用，目前中國移動(dòng)和中國聯(lián)通均支持此方式。

業(yè)務(wù)終端采用專用APN接入時(shí)，業(yè)務(wù)數(shù)據(jù)從運(yùn)營商核心網(wǎng)的網(wǎng)關(guān)支持節(jié)點(diǎn)到園區(qū)信息網(wǎng)絡(luò)邊界傳輸時(shí)，使用GRE隧道技術(shù)，GRE隧道可選擇終結(jié)于運(yùn)營商側(cè)或園區(qū)側(cè)：GRE隧道終結(jié)于園區(qū)側(cè)時(shí)，其終結(jié)于園區(qū)邊界示意如圖3所示；GRE隧道終結(jié)于運(yùn)營商側(cè)時(shí)，運(yùn)營商網(wǎng)關(guān)支持節(jié)點(diǎn)到運(yùn)營商邊界設(shè)備宜使用GRE或GRE+MPLS-VPN隧道技術(shù)，GRE隧道終結(jié)于運(yùn)營商邊界示意如圖4所示。

3.3.2 L2TP隧道傳輸技術(shù)

對于安全級別要求高的無線應(yīng)用，建議使用L2TP方式［8］。業(yè)務(wù)終端采用VPDN撥號接入時(shí)，業(yè)務(wù)數(shù)據(jù)從運(yùn)營商核心網(wǎng)的網(wǎng)關(guān)支持節(jié)點(diǎn)到園區(qū)信息網(wǎng)絡(luò)邊界傳輸宜使用L2TP隧道技術(shù)，應(yīng)納入相應(yīng)省市電力公司LNS。

納入省市電力公司自建LNS時(shí)，從運(yùn)營商網(wǎng)關(guān)支持節(jié)點(diǎn)到電力LNS采用L2TP隧道傳輸，L2TP隧道示意如圖5所示。

租用運(yùn)營商LNS時(shí)，從運(yùn)營商網(wǎng)關(guān)支持節(jié)點(diǎn)到運(yùn)營商LNS采用L2TP隧道傳輸，運(yùn)營商LNS到運(yùn)營商邊界設(shè)備采用MPLS-VPN隧道或?qū)＞€傳輸，L2TP+MPLS-VPN隧道示意如圖6所示，L2TP隧道示意如圖7所示。

3.4 網(wǎng)絡(luò)邊界部署

（1）邊界部署方式1

網(wǎng)絡(luò)邊界部署方式1適用于以下2種情況：業(yè)務(wù)終端采用專用APN接入；業(yè)務(wù)終端采用VPDN撥號接入，租用運(yùn)營商的LNS及AAA服務(wù)器。各園區(qū)宜在網(wǎng)絡(luò)邊界部署園區(qū)邊界接入設(shè)備、邊界防護(hù)設(shè)備和入侵檢測設(shè)備，其中園區(qū)邊界接入設(shè)備和邊界防護(hù)設(shè)備宜采用冗余熱備份的方式部署。網(wǎng)絡(luò)邊界部署方式1如圖8所示。

圖3 GRE隧道終結(jié)于園區(qū)邊界示意

圖4 GRE隧道終結(jié)于運(yùn)營商邊界示意

圖5 L2TP隧道示意（相應(yīng)省市電力公司自建LNS）

圖6 L2TP+MPLS-VPN隧道示意（租用運(yùn)營商LNS）

圖7 L2TP隧道示意（租用運(yùn)營商LNS）

（2）邊界部署方式2

網(wǎng)絡(luò)邊界部署方式2適用于業(yè)務(wù)終端采用VPDN撥號接入，該方式下的LNS和AAA服務(wù)器可利用各相應(yīng)省市電力公司自建的LNS及AAA服務(wù)器。各園區(qū)網(wǎng)絡(luò)邊界宜部署電力LNS設(shè)備、AAA服務(wù)器、邊界防護(hù)設(shè)備和入侵檢測設(shè)備，其中LNS設(shè)備和邊界防護(hù)設(shè)備宜采用冗余熱備份的方式部署。網(wǎng)絡(luò)邊界部署方式2如圖9所示。

3.5 可靠性設(shè)計(jì)

（1）網(wǎng)絡(luò)鏈路

運(yùn)營商應(yīng)提供園區(qū)無線虛擬專網(wǎng)骨干傳輸鏈路的冗余保護(hù)技術(shù)；各園區(qū)與各運(yùn)營商互聯(lián)的專線應(yīng)有物理不同路由的冗余保護(hù)線路；園區(qū)無線虛擬專網(wǎng)邊界設(shè)備互聯(lián)應(yīng)有冗余保護(hù)線路。

（2）網(wǎng)絡(luò)核心設(shè)備

園區(qū)無線虛擬專網(wǎng)核心設(shè)備邊界接入設(shè)備、邊界安全防護(hù)設(shè)備等宜采用冗余熱備份的方式組網(wǎng)，不具備份冗余熱備份條件的可采用冗余冷備份的方式組網(wǎng)。

圖8 網(wǎng)絡(luò)邊界部署方式1

圖9 網(wǎng)絡(luò)邊界部署方式2

4 安全防護(hù)研究

園區(qū)無線虛擬專網(wǎng)的安全防護(hù)應(yīng)在接入安全、通道安全、邊界安全、安全審計(jì)等方面加以防范［9］。如采用加密技術(shù)、接入認(rèn)證技術(shù)、冗余備份技術(shù)、訪問控制技術(shù)、安全審計(jì)技術(shù)、網(wǎng)絡(luò)管理技術(shù)等，為園區(qū)無線虛擬專網(wǎng)提供數(shù)據(jù)加密、身份認(rèn)證、安全備份、訪問控制、安全審計(jì)、數(shù)據(jù)完整性驗(yàn)證等多種安全防護(hù)保障，有效抵抗竊取網(wǎng)絡(luò)信息、篡改網(wǎng)絡(luò)數(shù)據(jù)和網(wǎng)絡(luò)重放攻擊，確保園區(qū)無線虛擬專網(wǎng)數(shù)據(jù)的機(jī)密性，保證其數(shù)據(jù)的安全性。在園區(qū)無線虛擬專網(wǎng)日常運(yùn)行維護(hù)管理中，應(yīng)加強(qiáng)規(guī)范管理，嚴(yán)格執(zhí)行安全運(yùn)行維護(hù)等管理制度，建立相應(yīng)的應(yīng)急響應(yīng)體系。

4.1 接入安全

終端接入園區(qū)信息網(wǎng)絡(luò)時(shí)，采用AAA認(rèn)證技術(shù)進(jìn)行接入控制，驗(yàn)證終端的合法性（如驗(yàn)證終端的用戶名、密碼、IMSI等信息）。同時(shí)，根據(jù)接入終端類型的不同采用不同的策略，生產(chǎn)類終端要求運(yùn)營商支持APN/VPDN接入點(diǎn)與SIM卡綁定，一張SIM卡只允許一個(gè)APN/VPDN接入，非生產(chǎn)類終端采用數(shù)字證書的方式進(jìn)行接入認(rèn)證。

4.2 通道安全

園區(qū)無線虛擬專網(wǎng)傳輸通道包括運(yùn)營商通道和邊界接入通道兩部分，其中運(yùn)營商通道又可分為無線接入通道與有線傳輸通道。園區(qū)無線虛擬專網(wǎng)通道示意如圖10所示。

4.2.1 運(yùn)營商通道

無線接入通道是指從終端至無線基站的無線通信鏈路，有線傳輸通道是指從無線基站至運(yùn)營商網(wǎng)絡(luò)邊界的通信鏈路。運(yùn)營商通道具備良好的冗余性，能確保業(yè)務(wù)不受通道故障的影響；無線傳輸通道應(yīng)進(jìn)行加密，以防止非法竊聽；無線基站應(yīng)提供一定的接入能力，以防止通信通道被占用而導(dǎo)致終端無法進(jìn)行數(shù)據(jù)傳送；有線傳輸通道應(yīng)支持L2TP/GRE隧道技術(shù)，建立電力專屬虛擬鏈路，結(jié)合IPSec等加密技術(shù)措施，確保虛擬專屬通道的私有性與安全性。

4.2.2 邊界接入通道

邊界接入通道是指從運(yùn)營商有線網(wǎng)絡(luò)邊界至園區(qū)信息網(wǎng)絡(luò)邊界的通信鏈路。邊界接入通道采用專用鏈路，使用雙物理鏈路提供鏈路的冗余，采用專用加密通道技術(shù)保證邊界接入鏈路傳輸?shù)陌踩浴?/p>

圖10 園區(qū)無線虛擬專網(wǎng)通道示意

4.3 邊界安全

在園區(qū)無線虛擬專網(wǎng)網(wǎng)絡(luò)邊界建立一套多層次的全面安全防護(hù)體系，包含邊界防護(hù)設(shè)備與安全應(yīng)用防護(hù)系統(tǒng)。邊界防護(hù)設(shè)備功能包括訪問控制、入侵檢測、數(shù)據(jù)過濾；安全應(yīng)用防護(hù)系統(tǒng)應(yīng)具備安全隔離、完整性校驗(yàn)等業(yè)務(wù)應(yīng)用安全防護(hù)功能。網(wǎng)絡(luò)邊界安全防護(hù)體系邏輯架構(gòu)如圖11所示。

4.3.1 邊界防護(hù)設(shè)備

邊界防護(hù)設(shè)備應(yīng)滿足《信息系統(tǒng)安全等級保護(hù)基本要求》的要求，邊界防護(hù)設(shè)備具有以下防護(hù)功能。

·訪問控制。邊界防護(hù)設(shè)備具有訪問控制功能，訪問控制通過對數(shù)據(jù)分組的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)進(jìn)行配置，對進(jìn)出信息網(wǎng)絡(luò)的數(shù)據(jù)流制定細(xì)粒度訪問控制策略。

·入侵檢測。邊界防護(hù)設(shè)備具備入侵檢測功能，入侵檢測功能可以檢測網(wǎng)絡(luò)中3～7層的入侵行為，并進(jìn)行告警。

·數(shù)據(jù)過濾。邊界防護(hù)設(shè)備宜具備對接入的數(shù)據(jù)報(bào)文

進(jìn)行分析與校驗(yàn)的功能，保障接入數(shù)據(jù)的安全性。

4.3.2 安全應(yīng)用防護(hù)系統(tǒng)

與園區(qū)信息網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互的業(yè)務(wù)宜采用安全應(yīng)用防護(hù)系統(tǒng)提供安全隔離、完整性校驗(yàn)等應(yīng)用安全服務(wù)，對安全應(yīng)用防護(hù)系統(tǒng)的基本要求如下：

·支持對終端進(jìn)行軟、硬件信息的完整性校驗(yàn)；

·支持信息網(wǎng)絡(luò)與終端之間的雙向隔離以及安全數(shù)

據(jù)交換，任何形式的數(shù)據(jù)分組、信息傳輸命令和

TCP/IP都無法穿透。

4.3.3 安全審計(jì)

安全審計(jì)應(yīng)滿足《信息系統(tǒng)安全等級保護(hù)基本要求》與《電力二次系統(tǒng)安全防護(hù)總體方案》的要求。安全審計(jì)由一級安全審計(jì)系統(tǒng)、二級安全審計(jì)系統(tǒng)和安全審計(jì)探針組成。安全審計(jì)防護(hù)邏輯示意如圖12所示。

一級安全審計(jì)系統(tǒng)基本要求如下：支持與二級安全審計(jì)平臺(tái)之間通過專有的協(xié)議進(jìn)行安全數(shù)據(jù)交換；能存儲(chǔ)6個(gè)月內(nèi)各園區(qū)公司二級安全審計(jì)平臺(tái)上報(bào)的各類安全事件；能實(shí)時(shí)展現(xiàn)各園區(qū)二級安全審計(jì)平臺(tái)上報(bào)的高級安全事件。

二級安全審計(jì)系統(tǒng)基本要求如下：支持與一級安全審計(jì)平臺(tái)以及安全審計(jì)探針之間通過專有的協(xié)議進(jìn)行安全數(shù)據(jù)交換；能接收并分析安全審計(jì)探針上報(bào)的流量信息，建立正常業(yè)務(wù)需求的最小訪問關(guān)系系統(tǒng)模型；能通過最小訪問關(guān)系模型對流量信息進(jìn)行實(shí)時(shí)監(jiān)控，檢出業(yè)務(wù)系統(tǒng)中有超出模型制定的流量，即判定為異常網(wǎng)絡(luò)行為；判斷并展現(xiàn)網(wǎng)絡(luò)異常行為，如違反通信協(xié)議的異常網(wǎng)絡(luò)流量、內(nèi)部人員的非授權(quán)訪問和惡意攻擊、通過內(nèi)部主機(jī)作為跳板的非授權(quán)訪問、內(nèi)部的惡意程序傳播。

安全審計(jì)探針基本要求如下：支持與二級安全審計(jì)平臺(tái)之間通過專有的協(xié)議進(jìn)行安全數(shù)據(jù)交換；部署于GRE、L2TP隧道解封裝終結(jié)點(diǎn)之后的數(shù)據(jù)交換裝置處；支持基于業(yè)務(wù)協(xié)議的實(shí)時(shí)安全審計(jì)，能識別終端與應(yīng)用系統(tǒng)之間的應(yīng)用協(xié)議，能檢測協(xié)議誤用，能檢測DDoS、蠕蟲、病毒、木馬等常見網(wǎng)絡(luò)威脅；支持流量特征采集并上送到二級安全審計(jì)平臺(tái)，包含來源IP地址、來源端口號、目的IP地址、目的端口號、協(xié)議種類、服務(wù)種類等特征字段。

圖11 網(wǎng)絡(luò)邊界安全防護(hù)體系邏輯架構(gòu)

圖12 安全審計(jì)防護(hù)邏輯示意

4.4 管理安全

建立園區(qū)無線虛擬專網(wǎng)的運(yùn)行維護(hù)安全制度與相應(yīng)的應(yīng)急響應(yīng)聯(lián)動(dòng)機(jī)制，并滿足國家電網(wǎng)公司與國家的安全要求。建立無線虛擬專網(wǎng)的終端安全管理、人員安全管理、SIM卡安全管理、運(yùn)行值班安全管理等安全管理制度。

5 結(jié)束語

國家電網(wǎng)公司客服中心南北園區(qū)無線虛擬專網(wǎng)是在充分考慮國家電網(wǎng)公司信息通信網(wǎng)絡(luò)資源的基礎(chǔ)上，借助于移動(dòng)運(yùn)營商的2G/3G/4G無線接入網(wǎng)絡(luò)，通過無縫的網(wǎng)絡(luò)銜接和成熟的技術(shù)融合，打造了一個(gè)端到端的、系統(tǒng)化的、規(guī)范化的、可管可控的園區(qū)無線虛擬專網(wǎng)，提供安全、專用的信息傳輸通道，并研發(fā)了一個(gè)融合語音、短信、數(shù)據(jù)、圖像、視頻等多業(yè)務(wù)和應(yīng)用的、可擴(kuò)展的智能管控系統(tǒng)，實(shí)現(xiàn)對園區(qū)無線通信業(yè)務(wù)的有效補(bǔ)充和穩(wěn)步推進(jìn)，支撐園區(qū)物聯(lián)網(wǎng)的發(fā)展，促進(jìn)園區(qū)生產(chǎn)運(yùn)行及管理的全過程信息融合、全景全息感知及智能管理與決策［10］。同時(shí)將園區(qū)無線虛擬專網(wǎng)統(tǒng)一納入國家電網(wǎng)公司園區(qū)無線虛擬專網(wǎng)管理平臺(tái)，并單獨(dú)為國家電網(wǎng)公司客服中心南北園區(qū)劃分獨(dú)立的平臺(tái)管理域。

［1］孔震，葉文宸.移動(dòng)應(yīng)用技術(shù)在堅(jiān)強(qiáng)智能電網(wǎng)中的作用［N］.國家電網(wǎng)報(bào)，2012-05-22.KONG Z，YE W C.The role of mobile application technology in the smart grid［N］.Stete Grid News，2012-05-22.

［2］ARAVINTHAN V，KARIMI B.Wireless communication for smart grid applications at distribution level-feasibility and requirements［C］/Power and Energy Society General Meeting，July 24-29，2011，San Diego，CA，USA.New Jersey：IEEE Press，2011：1-8.

［3］PATEL A，APARICIO J，TAS N，et al.Assessing communications technology options for smart grid applications［C］/2011 IEEE International Conference on Smart Grid Communications，October 17-20，2011，Brussels，Belgium.New Jersey：IEEE Press，2011：126-131.

［4］徐益強(qiáng).基于3G的無線VPDN業(yè)務(wù)網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)［J］.環(huán)境預(yù)警與監(jiān)控，2010，2（5）：27-30.XU Y Q.Design and implementation of 3G-based wireless VPDN business network［J］.Environmental Monitoring and Forewarning，2010，2（5）：27-30.

［5］王一蓉，鄒穎，王艷茹.電力無線虛擬專網(wǎng)組網(wǎng)架構(gòu)及IP地址分配研究［J］.電力信息與通信技術(shù)，2014，12（6）：16-21.WANG Y R，ZOU Y，WANG Y R.Study of network architecture and IP address allocation of wireless VPN for power grid［J］.Electric Power Information and Communication Technology，2014，12（6）：16-21.

［6］ZOU Y，WANG Y R，WANG N.Study of network architecture and IP address allocation of wireless VPN for power grid［J］.Electric Power Information and Communication Technology，2014（6）：305-309.

［7］HANKS S，LI T，F(xiàn)ARINACCI D，et al.RFC 1702-generic routing encapsulation over IPv4 networks［Z/OL］.［2015-09-20］.http：/xueshu.baidu.com/s？wd=paperuri%3A%283ba92bb792333f374 e6c45a78f9d6aae%29amp;filter=sc_long_signamp;tn=SE_xueshusource_2kduw22vamp;sc_vurl=http%3A%2F%2Fciteseer.ist.psu.edu%2Fviewdoc%2Fsummary%3Fdoi%3D10.1.1.375.9348amp;ie=utf-8.

［8］TOWNSLEY W，VALENCIA A，RUBENS A，et al.RFC2661-layer two tunneling protocol‘L2TP’［Z/OL］.［2015-09-20］.http：/www.faqs.org/rfcs/rfc2661.htm l.

［9］PI J Y，LIU X S，LIAO D Y，et al.A security scheme for power dispatching data network based on VPN［J］.Automation of Electric Power Systems，2007，31（14）：94-97.

［10］王一蓉，佟大力，鄧偉.電力無線虛擬專網(wǎng)應(yīng)用分析及網(wǎng)絡(luò)設(shè)計(jì)［J］.電力信息與通信技術(shù)，2013，11（12）：49-52.WANG Y R，TONG D L，DENG W.Application analysis and network design of power grid wireless VPN［J］.Electric Power Information and Communication Technology，2013，11（12）：49-52.

Wireless VPN network structure and safety protection in the north and south call center of SGCC

ZOU Ying，WANG Yirong，WANG Yanru，WANG Sining
Beijing GuoDianTong Network Technology Co.，Ltd.，Beijing 100070，China

The wireless virtual private network structure suitable for the north and south call center of SGCC was explored.In the structure，the wireless applications and communication of the north and south call center of SGCC were considered.The existing access security risks and the cannot-control defects of wireless virtual private network were analyzed，and the solutions for the center were given.Through the research on wireless virtual private network security from the four aspects as the terminal，network，boundary and application，reference for the design and construction of the center wireless virtual private network was provided.

wireless virtual private network，service bearer，network structure，safety protection

TN915.853

A

10.11959/j.issn.1000-0801.2016075

2015-09-20；

2016-02-02

鄒穎（1978-），男，北京國電通網(wǎng)絡(luò)技術(shù)有限公司工程師，主要研究方向?yàn)殡娏π畔⑼ㄐ啪W(wǎng)絡(luò)、無線通信和信息安全。

王一蓉（1979-），女，北京國電通網(wǎng)絡(luò)技術(shù)有限公司高級工程師，主要研究方向?yàn)殡娏π畔⑼ㄐ啪W(wǎng)絡(luò)、無線通信和電力光纖到戶。

王艷茹（1985-），女，北京國電通網(wǎng)絡(luò)技術(shù)有限公司工程師，主要研究方向?yàn)殡娏π畔⑼ㄐ?、信息安全?/p>

王思寧（1978-），女，北京國電通網(wǎng)絡(luò)技術(shù)有限公司工程師，主要研究方向?yàn)殡娏π畔⑼ㄐ啪W(wǎng)絡(luò)、無線通信、電力光纖到戶。