馮銘能，王 欣，梁辰愷（中訊郵電咨詢設計院有限公司廣東分公司，廣東廣州 510627）

0 引言

國家發(fā)改委和國家能源局在《能源發(fā)展“十三五”規(guī)劃》中強調，積極發(fā)展儲能，加快推進“互聯(lián)網+”智慧能源建設，構建21世紀智能化、自動化的電網，實現(xiàn)新型電網的安全、可靠、綠色、高效。5G電力終端作為智能電網邊緣側的重要感知節(jié)點，對其進行高效的管控必不可少。

目前電力終端在管理、運營、安全性方面存在諸多問題。在管理方面存在著網絡帶寬無法動態(tài)分配、產品開發(fā)周期長，部署難度大等問題；在運營方面，設備復雜多樣，且難以滿足秒級的精細化監(jiān)控要求；終端數據采集效率低，速度慢，數據傳輸過程容易造成網絡卡頓；在安全方面，業(yè)界的主流方案尚未提供有效的措施對電力終端內部器件與控制軟件進行統(tǒng)一的管理與認證，病毒入侵、機密信息泄露、非法代碼的惡意篡改等問題頻發(fā)。

1 電力終端產品存在的問題和解決思路

傳統(tǒng)電力終端產品采用嵌入式實時操作系統(tǒng)，管控結構如圖1所示，配置管理系統(tǒng)集成在終端中，采用基于網頁的Web 管理工具和SNMP 協(xié)議對終端進行配置管理和狀態(tài)監(jiān)控，該管理方式存在開通復雜、采集效率低、速度慢等問題，其主要問題如下。

圖1 傳統(tǒng)電力一體化管控結構

a）網絡控制不靈活：目前采用軟硬一體化架構，基于網頁的Web 管理工具對業(yè)務的無線、服務、VPN、安全、訪問限制、NAT、QoS 設置、應用、管理以及狀態(tài)進行設置操作，其業(yè)務開通和業(yè)務配置周期長，部署難度大，速度慢。網絡帶寬無法動態(tài)分配，造成網絡資源浪費，增加終端管理難度。

b）網絡管理效率低：現(xiàn)有技術采用SNMP 協(xié)議進行業(yè)務監(jiān)控，監(jiān)控精度是分鐘級別，監(jiān)控周期為5 min，監(jiān)控精度較差，對網絡秒級的波動無法有效感應。

（a）被動運維：SNMP 協(xié)議采用被動運維模式，通過拉模式（PULL Mode）采集數據，每次查詢只有一次響應，設備應答效率低。通過拉模式來獲取設備的監(jiān)控數據，不能監(jiān)控大量網絡節(jié)點，限制了網絡規(guī)模增長。

（b）數據分析困難：傳統(tǒng)的SNMP 協(xié)議采用MIB數據結構，數據零散封閉，不利于大數據分析。

（c）安全保障能力弱：業(yè)界的主流方案尚未提供有效的措施對電力終端內部器件與控制軟件進行統(tǒng)一的管理與認證；電力終端的數據采集未采用安全可靠的保護策略；病毒入侵、機密信息泄露、非法代碼的惡意篡改等問題頻發(fā)；5G 用戶與網絡的認證、密鑰與算法的協(xié)商更新等過程存在被竊取、攻擊的風險。

因此該方案對現(xiàn)有的5G電力終端進行改造，由原有集成的管理系統(tǒng)和SNMP 協(xié)議改為轉控分離的SDN控制和Telemetry管理。

首先通過SDN 控制器下發(fā)指令給5G 電力終端，收集并處理5G 電力終端信息，實現(xiàn)批量化的管理，方便管理員集中管理電力終端。除此之外，SDN 控制器還可以根據信息數據庫對新接入的5G 電力終端進行自動化匹配，收集終端的位置變化信息，確保策略跟隨用戶移動。該方案采用SDN 技術對電力終端進行集中控制和業(yè)務發(fā)放，提升網絡管理和業(yè)務開展的效率。

其次通過Telemetry 能夠實現(xiàn)網絡設備主動推送狀態(tài)信息的功能，這樣設備的狀態(tài)信息就更具時效性，可以實現(xiàn)秒級的流量監(jiān)控和實時的質量監(jiān)控。一方面監(jiān)控過程對設備自身功能和性能影響小，另一方面對網絡問題的快速定位和網絡質量優(yōu)化調整提供大數據基礎，將網絡質量分析轉換為大數據分析，有力地支撐了智能運維。

最后該方案采用端到端的網絡安全管理，對應用系統(tǒng)中的重要數據采取密碼機制保護措施，以保證數據的保密性和完整性；通過終端切片技術，將物理網絡劃分成多個獨立的邏輯網絡，對各種關鍵業(yè)務進行切片隔離，提升網絡安全性。并基于5G的二次認證技術，按照安全接入區(qū)的要求，通過靈活的二次認證和密鑰管理對電力終端進行安全保護，避免因電力終端USIM卡被盜而引發(fā)的對電力網絡的攻擊。

2 電力終端管理方案研究

傳統(tǒng)電力終端存在管理復雜、擴展難度大、安全性差等問題。本文的方案采用SDN、Telemetry 和二次認證和國密加密技術，實現(xiàn)電力終端智能管控、精細化管理和安全保障。新的5G 電力終端網絡控制管理架構如圖2所示。

圖2 新的5G電力終端網絡控制管理架構

2.1 新的5G電力終端網絡控制管理架構

新型的管理架構主要分為控制平面和轉發(fā)平面2個層次?？刂破矫姘⊿DN 控制器、Telemetry 二次認證、國密加密和網絡切片管理等。轉發(fā)平面包括5G電力終端。轉控分離架構如圖3所示。

圖3 轉控分離架構

該方案的主要優(yōu)點如下。

a）轉發(fā)控制分離：該方案通過控制面邏輯集中的方式來實現(xiàn)統(tǒng)一的策略控制，使流量調度和連接管理更加靈活。轉發(fā)面實現(xiàn)高速業(yè)務數據轉發(fā)，以滿足未來海量移動終端的連接需求。

b）快速靈活：方案采用SDN控制器對網絡進行智能化管控，實現(xiàn)網絡流量的彈性管理，同時保障靈活和智能的網絡控制，實現(xiàn)業(yè)務快速響應。

c）安全可靠：方案采用了保密性保護機制，保證了網絡傳輸的安全；同時采用了完整性校檢機制，保證了通信網絡數據傳輸的完整性。

d）精細化管理：方案采用Telemetry 技術，運維系統(tǒng)能管理更多的設備，監(jiān)控數據的精度和實時性更高。相比SNMP/CLI，Telemetry 能夠實現(xiàn)網絡設備主動推送狀態(tài)信息的功能，新的方案更具有時效性，可以實現(xiàn)秒級的流量監(jiān)控和實時的網絡質量監(jiān)控。

e）差異化運營：方案通過網絡切片技術，根據業(yè)務需求定制切片，使網絡具備良好的可擴展性和業(yè)務適應性，滿足不同業(yè)務之間的QoS 需求，如時延、移動性和可靠性等。

新型的管理架構主要基于SDN 的網絡編排技術、Telemetry 技術的運營維護方式、網絡切片的差異化服務、二次認證及國密加密方法，實現(xiàn)電力終端的運營和管理。

2.2 SDN的管控技術方案

SDN 控制的詳細流程說明如圖4 所示。SDN 控制器通過Netconf 下發(fā)指令給5G 電力終端，對全網所有5G 電力終端的網絡信息進行采集，如IP、MAC、VLAN等。同時，網絡信息等通過模板進行批量導入導出操作，簡化了管理員的操作。流程上，新的5G 電力終端接入前，該方案需要在SDN 控制器的信息庫注冊序列號，SDN 控制器將管理者預設的模板數據下發(fā)到終端。在接入5G 電力終端時，終端會向SDN 控制器發(fā)送申請上線指令，由SDN 控制器匹配信息數據庫，判斷終端是否合法，如若合法即認證新增設備并且下發(fā)相關的網絡配置。最后，根據管理者的配置完成電力終端與電力主站之間的組網，從而實現(xiàn)SDN 對5G 電力終端的智能化控制。

圖4 網絡SDN管控結構

該方案引入SDN 網元實現(xiàn)對5G 電力終端的控制和管理，提高了5G 電力終端轉發(fā)與控制的實時性、可靠性；同時有效保障了各類電力業(yè)務的穩(wěn)定運行，以靈活的業(yè)務部署方式，滿足客戶端到端自動化管理運維需求，具備轉控分離、快速靈活、安全可靠等優(yōu)勢。

2.3 秒級的網絡監(jiān)控方式

數據模型從MIB 轉變?yōu)閅ANG 模型：傳統(tǒng)電力終端通過SNMP 協(xié)議與設備的SNMP 網管通信，完成對MIB 的讀取和修改操作，從而實現(xiàn)對網絡設備的監(jiān)控與管理。而Telemetry 的YANG 模型提供了一套管理網絡設備的機制，用戶可以使用這套機制增加、修改、刪除網絡設備的配置，獲取網絡設備的配置和狀態(tài)信息。2種數據模型結構變化如圖5所示。

圖5 數據模型變化示意圖

連接關系從拉模式改為推模式：傳統(tǒng)網絡連接關系通過拉模式獲取數據。如果網絡卡頓或者網絡獲取不及時，就容易造成數據失真。而Telemetry 周期性地向網管系統(tǒng)推送數據，避免了網絡時延造成的數據不準確。Telemetry 采用了“網管定制-設備實時推送”的推模式采集數據。一次定制就可以對應多次響應，減輕了設備處理查詢報文的壓力。傳統(tǒng)的連接關系與Telemetry主動上報的關系對比如圖6所示。

圖6 連接關系的變化示意圖

數據結構從樹狀改為分層結構：傳統(tǒng)的SNMP 協(xié)議的MIB 以樹狀結構進行存儲，樹的葉子節(jié)點表示管理對象，而Telemetry 的YANG 模型采用分層結構。每層分別對協(xié)議的某一方面進行包裝，并向上層提供相關服務，分層結構使每層只關注協(xié)議的一個方面，實現(xiàn)起來更簡單，同時使各層之間的依賴關系以及內部實現(xiàn)的變更對其他層的影響降到最低。

Telemetry 流程上主要分為數據采集、存儲、分析和決策4 部分，網絡架構上主要分為網元設備、采集器、分析器以及控制器。

a）網元設備：即5G 電力終端，接收來自Telemetry網管側的配置信息，根據Telemetry 網管側指定的規(guī)則采集數據，并將采集數據送至采集器。

b）采集器：即數據采集器，用于接收和存儲來自數據采集系統(tǒng)的監(jiān)控數據。

c）分析器：根據數據采集系統(tǒng)收集到的網元監(jiān)控數據進行分析，并呈現(xiàn)分析結果，為控制器優(yōu)化相關業(yè)務提供依據。

d）控制器：用于配置管理網元設備、優(yōu)化網絡，最終實現(xiàn)優(yōu)化業(yè)務的目的。

Telemetry 網管側和設備側協(xié)同運作，經過以下5個操作步驟完成整體的Telemetry 靜態(tài)訂閱。具體流程如圖7所示。

圖7 Telemetry流程示意圖

a）靜態(tài)配置：控制器通過命令行配置的方式，使Telemetry的設備能夠訂閱數據源，完成數據采集。

b）推送采樣數據或自定義事件：網絡設備根據控制器的配置要求，上報采集完成的數據或自定義事件給采集器進行接收和存儲。

c）讀取數據：分析器讀取采集器存儲的采樣數據或自定義事件。

d）分析數據：分析器分析讀取到的上傳數據或自定義事件，控制器根據分析的結果對網絡進行配置管理，及時調優(yōu)網絡。

e）調整網絡參數：控制器將網絡需要調整的配置下發(fā)給網絡設備；配置下發(fā)完成生效后，新的采樣數據或自定義事件上報到采集器。

該方案支持智能運維系統(tǒng)管理更多的5G 電力終端設備，監(jiān)控數據的精度和實時性更高，相比SNMP，Telemetry 能夠實現(xiàn)終端設備主動推送狀態(tài)信息的功能，可以實現(xiàn)秒級的流量監(jiān)控和實時的網絡質量監(jiān)控。該方案一方面監(jiān)控過程中對設備自身功能和性能影響小，另一方面對出現(xiàn)的網絡問題可以快速定位，對網絡質量優(yōu)化調整提供大數據基礎，將網絡質量分析轉換為大數據分析，有力地支撐智能運維。

2.4 網絡切片管理

該方案通過網絡切片將電力終端劃分到不同的切片中，以靈活應對不同的電力切片應用場景，配合二次認證和國密加密技術，保障網絡安全。終端網絡切片系統(tǒng)架構如圖8所示。

圖8 終端網絡切片系統(tǒng)架構

通過5G 網絡切片，在為用戶提供服務的過程中，將業(yè)務分成uRLLC、mMTC、eMBB 類切片，通過無線側、承載網傳輸側、核心網側對5G 終端進行統(tǒng)一的管控。無線接入基于電力業(yè)務切片和5QI值進行優(yōu)先級設置。承載網根據業(yè)務的時延和可靠性的不同需求，采用FlexE 或VPN+QoS 隔離技術，實現(xiàn)電力業(yè)務的軟硬隔離。核心網將電力業(yè)務切片分為AMF、SMF、UPF，實現(xiàn)隔離。

電力通信管理平臺管理終端卡號，上傳切片標識，5GC根據用戶簽約切片信息，選擇相應切片建立會話。具體業(yè)務流程如圖9所示。

a）PCF 把UE 路由選擇策略通過AMF 發(fā)放給UE，UE用來建立APP id和S-NSSAI（分片ID）的關聯(lián)。

b）在PDU 激活時核心網把5QI 信息發(fā)送給gNB，gNB 通過配置將5QI 與DSCP/VLAN 優(yōu)先級映射，gNB根據nexthop打VLAN tag。

c）不同的VLAN 子接口在承載網入不同的VPN，通過VPN 選擇入相應的切片，承載網與核心網的互通流程也類似，實現(xiàn)端到端的切片互通。

該方案實現(xiàn)網絡切片實例與終端服務之間的映射，并將終端注冊到正確的網絡切片實例上，保障了業(yè)務的隔離性。

2.5 安全保障方案

為保障電力終端業(yè)務的安全性，該方案采用二次認證和國密加密技術。電力生產控制類業(yè)務通過5G公網進入電力業(yè)務平臺前，將接入安全接入區(qū)，進行必要的網閘隔離。5G 智能電網安全手段重點聚焦在管、端兩側，主要通過5G提供的統(tǒng)一認證框架、多層次網絡切片安全管理、靈活的二次認證和密鑰能力及安全能力開放等，進一步提升安全性。安全保障方案如圖10所示。

圖10 5G通信終端網絡安全及認證方案

5G 通信終端主要采用物理隔離、安全設備、加密認證、接入控制等方式實現(xiàn)電力數據的安全，具體方案如下。

a）在專用通道上建立電力調度數據網，實現(xiàn)與電力企業(yè)數據網的物理隔離，保障在相同安全區(qū)進行上下級的縱向互聯(lián)，避免安全區(qū)縱向交叉。

b）采用不同強度的安全隔離設備使各安全區(qū)中的業(yè)務系統(tǒng)得到有效保護，將生產控制區(qū)與管理信息大區(qū)進行有效安全隔離，隔離強度應接近或達到物理隔離。

c）采用認證、加密、訪問控制等技術實現(xiàn)生產控制數據的遠程安全傳輸以及縱向安全防護。

d）在生產控制大區(qū)通過設立安全接入區(qū)來實現(xiàn)配電終端的安全接入。配電安全接入網關主要采用國產商用非對稱密碼算法實現(xiàn)配電安全接入網關與配電終端的雙向身份認證。數據加密認證如圖11 所示。

圖11 5G通信終端網絡安全加密流程

該方案通過網絡數據通信的身份認證和傳輸數據的加密與解密，保障系統(tǒng)連接的合法性和數據傳輸的機密性、完整性。

3 技術方案的優(yōu)勢分析

3.1 SDN轉控分離

該方案基于SDN 轉控分離的理念，實現(xiàn)智能化控制管理。轉控分離后，轉發(fā)面將具備簡單、穩(wěn)定和高效的業(yè)務數據路由轉發(fā)功能，滿足未來流量大幅增長的需求。該方案采用SDN 控制器對網絡進行智能化管控，實現(xiàn)對網絡流量的彈性管理，同時，保障靈活和智能的網絡控制，實現(xiàn)業(yè)務快速響應。由于轉發(fā)面和控制面的分離，網絡變得更加扁平化，網絡相關設備的部署將更加靈活。

3.2 秒級精度的監(jiān)控

網絡傳輸過程中普遍存在微突發(fā)現(xiàn)象，超過設備轉發(fā)能力的報文將被丟棄，導致通信雙方需要重傳報文，嚴重影響通信質量。該方案通過Telemetry 高精度采樣，可以檢測到網絡的微突發(fā)流量。

傳統(tǒng)的網絡監(jiān)控手段無法有效監(jiān)控網絡中的緩存、丟包、時延。Telemetry 技術與傳統(tǒng)的方式相比，監(jiān)控數據的精度更高，可快速檢測和處理微突發(fā)流量。在SNMP 協(xié)議方面，如果要獲取網絡狀態(tài)信息的SNMP，則需要由外部應用發(fā)起請求，無法反映網絡的實時狀態(tài)，而Telemetry 采用主動上報方式，可實時獲取網絡微突發(fā)流量信息。

3.3 主動運維

與傳統(tǒng)的sFlow、NetStream 或者NetFlow 的采樣技術相比，該方案中采用Telemetry 技術，實現(xiàn)秒級的數據采樣，時效性更高。該方案依靠INT 技術采集網元信息，支持高采樣顆粒度，并且可采集更多的過程數據，比如設備的buffer、隊列等數據。該方案依靠gRPC技術，能夠實時反饋數據。在分析方面，Telemetry 方案支持多種分析，例如，無線用戶接入故障定位、RD?MA 狀態(tài)可視和擁塞分析、業(yè)務異常檢測及分析、音視頻應用體驗分析、應用質量分析等。而且Telemetry 技術能夠支持多方面流量、故障預測以及質量差等的預測。

3.4 提供安全保障的手段

該方案采用多種技術結合的安全保障手段，包括網絡切片、安全加密、二次認證等。網絡切片技術具備優(yōu)化網絡資源分配，滿足未來多元新業(yè)務的網絡需求等特點。該方案的網絡切片方案一方面提供端到端的網絡切片能力，另一方面能夠將控制5G電力終端的網絡進行安全隔離，電力業(yè)務與基礎網絡實現(xiàn)分離。該方案由安全加密、二層認證和切片認證共同構建了5G終端的安全保障體系，為電網的密碼提供全方位的保障，提高電網外網環(huán)境下的數據產生、采集、傳輸、存儲、使用、銷毀等全生命周期過程的機密性、真實性、完整性，達到業(yè)務處理過程的數據信息的可管可控。除此之外，該方案為電網外網上的終端運行提供統(tǒng)一認證、訪問控制、數字簽名驗簽、數據加密等服務。

4 結束語

本文分析了傳統(tǒng)電力終端存在的問題，主要基于SDN 和Telemetry 技術研究5G 電力終端的網絡控制和管理方法，運用SDN/NFV、Telemetry 技術、網絡切片、網絡加密及二次認證等技術，解決當前傳統(tǒng)電力終端存在的管理復雜、運營困難、安全性差等問題。該方案具備智能化管控、精細化運營、安全可靠、邊緣計算、終端軟硬件解耦等優(yōu)勢。該方案可持續(xù)為南方電網、國家電網等電力行業(yè)提供端到端的5G電力智能化解決方案，助力電網企業(yè)實現(xiàn)數字化轉型升級。