基于VPN技術的電力系統通信保護

陶玉梅，趙振濤

(石家莊信息工程職業學院，河北石家莊050035)

基于VPN技術的電力系統通信保護

陶玉梅，趙振濤

(石家莊信息工程職業學院，河北石家莊050035)

隨著電力系統規模的不斷擴大，電力系統專用通信網迅速發展。為了確保電力通信系統中各種信息的安全性，利用多協議標記交換技術(MPLS)構建了基于公共通信網的虛擬專用網絡(VPN)，用來解決電力通信系統的安全性問題。并以此為基礎設計了相應的通信模型。該系統經測試后，運行穩定，可靠性強，通信的安全性和效率都得到了保障。

電力通信；虛擬專用網絡；多協議標簽交換；網絡管理

電力系統通信網的安全性是電力系統安全運行的前提。隨著電力系統和通信技術的發展，電力通信網的發展也十分迅速，許多新的技術和設備都紛紛涌入通信網的建設，使電力通信網的智能化水平日益提高。但與此同時，通信網絡的安全性問題也成為電力系統運行的一大隱患。

虛擬專用網絡(Virtual Private Network，VPN)是利用公用網絡，例如因特網，建立的一個臨時、安全的連接，是穿過混亂的公用網絡利用相關技術構建的一個安全、穩定的隧道。VPN的主要功能有兩個，一個是對企業內部局域網的擴充，以最節省成本的方式實現企業遠程通信；另一個就是以VPN技術為主體的公網通信方式，可以在一定程度上保證數據的安全性。

1 電力通信管理系統分析

在我國，電力通信網分為主干網、地區網兩個級別。主干網由省局以上的網絡擔任，地區網由各地市網組成。整個系統分布地域廣，結構復雜，這給網絡的管理帶來了一些不利的影響。為了提高通信網絡運行的可靠性，利用網絡管理系統對通信網進行有效的管理是一種行之有效的方法。

目前，大多數的電力通信網都是采用TMN體系。TMN是ITU-T所提出的具有標準結構、接口協議和體系的管理網。它通過幾個接口和其他網絡進行連接，并按照相關通信協議進行信息收發和控制功能，主要接入方式如圖1所示。

圖1 TMN與其他系統網的接口結構

TMN具有技術成熟和應用廣泛的優點，不足之處在于它主要建立在TCP/IP基礎之上，其安全性和可靠性得不到有效的保證。在TMN之上增加相應的安全性措施具有一定的必要性。

2 VPN技術分析

VPN的最大功能是為企業內部網提供安全性擴充的通道。利用相應的設備，構建自己的數據傳輸體系。VPN有三個應用方向：(1)應用于同一企業內部的遠程接入網，用于企業不同地域的分公司之間進行數據共享；(2)基于更高安全策略的基于VPN的內聯網，主要實現企業的各分支機構之間進行各級別授權的資源訪問；(3)基于一定許可范圍內的信息共享的VPN外聯網，主要服務于與企業相關的合作伙伴進行一定程度的信息共享。

這三個應用方向中，最適應于目前電力通信系統的是第一種情況，一方面是因為我國電力系統分布面廣，電力系統內部的通信也相對復雜，因此構建一個體系內的通信網絡勢在必行；另一方面，隨著網絡安全性問題的出現，電力通信系統的安全性問題也給電力系統的正常運行造成了干擾。因此，以公眾信息網為基礎，以VPN技術為安全保障的專用通信就顯得尤為重要。

公眾信息網主要指的是因特網，對于整個社會來說，這個網是一個開放的、有一定寬容度的網絡體系，具有覆蓋范圍廣、速度快、費用低、使用方便等優點。但是因特網目前應用的通信協議是TCP/IP協議，一些技術上有漏洞，帶來了網絡的危險性。

利用VPN技術構建安全通道是一種良好的保證安全的方式。VPN架構中采用了多種安全機制，如隧道技術、加解密技術、密鑰管理技術、身份認證技術等。在一個完整的VPN安全系統中，往往是幾種技術綜合利用，在不影響其他信息正常傳遞的前提下，形成一條模擬點對點的專用鏈接通信，從而保證內部信息在公共信息通道上傳輸時的機密性、完整性和可用性。

但是，這些措施還不能完全適應復雜的電力系統的通信要求，這種局限性主要體現在傳統的IP網絡沒有數據屬性的判別能力，不能適應當前多種類型數據的傳輸需求；同時現有的IP路由技術和組網方式都不夠靈活，對于數據傳輸的具體需求不能滿足，因此需要一種新的傳輸技術來提高傳輸效率。

3 多協議標記交換技術及通信模型建立

多協議標記交換技術(MPLS)是一種新出現的技術，其目的是解決當前分組轉發技術中所存在的許多問題。在常規分組轉發技術中，轉發的依據是數據包頭的地址和路由器中的相關信息，因此每一次的轉發都需要打開數據包頭，時間效率不高。而MPLS網絡使用標簽來轉發數據包，該標簽是一組固定長度值的FEC特定轉發等價類，這個標簽被分配給每個要傳輸的數據包上，數據包在隨后的每一次轉發中都會被分配一個標簽，這一系列的標簽形成一個轉發索引表[1]。

MPLS標簽是一組32位的標識符，具體結構如圖2所示。

圖2 MPLS標簽格式

在圖2中，Label是實際標簽值。在MPLS中，標簽是存放在每個IP數據包中的，一個IP數據包可能只有一個標簽，也可能形成標簽棧。每一個標簽值都是存放在標簽棧內的，當標簽交換路由器收到一個標簽包時，將查看標簽棧頂部的標簽值，并依據該值查找轉發索引表，以決定下一跳，并用另一條標簽代替標簽棧頂部的標簽。

COS表示服務的類別，可以確定數據包在傳輸時的排隊和丟棄算法。

TTL為8位的存活時間，提供傳統的IPTTL功能。

在MPLS網絡中存在兩種路由器，一種為邊緣路由器，是數據包進入MPLS網絡時負責分配標簽插入或彈出的路由器，同時也完成數據包從MPLS網絡向其他網絡的轉發；另一種是標簽交換路由器，主要功能是在MPLS網內根據相應的標簽值進行相應數據包的轉發。

MPLS的工作過程是，當IP數據包到達MPLS網絡邊緣時，入口處的邊緣路由器將標簽插入至數據之后，同時將IP數據包轉發至MPLS網絡；在MPLS內部，數據包由標簽路由器根據標簽進行相應的轉發，不需要查找路由表；而數據包在離開MPLS網絡時，邊緣路由器彈出最后一個標簽后按正常IP地址進行路由轉發。

通過以上分析可知，MPLS將第三層的路由技術與第二層的交換技術結合在一起，但是數據只在第二層進行交換，極大地提高傳輸的安全性，甚至可以達到專線傳輸的效果。而且在數據傳輸的過程中引入標簽機制，傳輸具有高速交換、QoS性能、流量控制以及IP技術的靈活、可擴展等特性[2]。

在MPLS網絡上構建相應的VPN隧道是進一步提高數據傳輸安全性的重要方式。其基本通信模型如圖3所示，在該網絡中，系統由四種路由器構成，分別是邊緣路由器(PE)、標簽交換路由路(LSR)、用戶邊緣路由器(CE)和用戶路由器(C)，其中PE和LSR屬于MPLS網絡，而CE和C屬于VPN系統。

圖3 MPLS VPN通信模型

如圖3所示，各個PE路由器中都維護著每個VPN節點的VPN的路由表和一張全局的路由表。VPN路由表的功能是保證每個VPN數據包在VPN系統中完成準確的數據轉發，而全局路由表負責全網的目的地址的維護。每個PE路由器都與一個或多個CE路由器相連，每個CE路由器都代表VPN系統中的一個節點，是VPN數據包進入和退出MPLS網絡的邊緣點，實現VPN數據在MPLS網絡和其他網絡的對等交換。而標簽交換路由器負責MPLS數據的交換，用戶路由器實現的是數據包在其他網絡的數據傳輸。

4 總結

本文提出了利用VPN和MPLS技術構建數據傳輸通道的通信方式，論述了相關的工作原理，提出了相應的通信模型。利用這兩項技術構建的數據通道具有安全性高、易于管理、性價比高的優點。

[1]胡文濤.基于MPLS的VPN技術研究[D]．武漢：湖北工業大學，2007：43-46.

[2]肖海濤，李之棠，梅松.MPLS VPN技術的研究[J]．計算機工程與應用，2003(14)：173-175.

Communication protection in power system based on VPN technology

With the expansion of the scale of power system,the dedicated communication network of power system is developing rapidly.In order to ensure the security of electric power communication system,the virtual private network of public communication network was built based on multi-protocol label switching(MPLS)technology.It is used to solve the problem of safety in electric power communication system.On this basis,the corresponding communication model system was designed.After testing,the system runs stably.The security and efficiency of communication have been guaranteed.

electric power telecommunication;VPN;MPLS;network management

TM 73

A

1002-087 X(2016)06-1307-02

2016-01-10

陶玉梅(1980—)，女，江蘇省人，學士，講師，主要研究方向為通信技術、應用電子。