VPN安全技術在綿陽供電公司調度數據網的應用探討

葉 蔥 王勁草

（國網四川省電力公司綿陽供電公司，四川 綿陽 621000）

?

VPN安全技術在綿陽供電公司調度數據網的應用探討

葉 蔥 王勁草

（國網四川省電力公司綿陽供電公司，四川 綿陽 621000）

摘 要：VPN是依靠ISP和其他NSP在公用網絡中建立專用數據通信網絡的技術，通過共享或公共網絡的設置、加密和身份驗證等連接專用網絡的擴展，在數據經過網絡隧道傳輸的過程中進行加密，以此保證數據的安全性和私有性。VPN的組網方式為企業提供了一種低成本的網絡基礎設施，在目前電力公司調度數據網安全防護中，VPN安全技術發揮著重要作用。本文介紹了VPN的工作原理、關鍵技術及應用特點，結合實際探討VPN技術在綿陽公司調度數據網的技術模式及應用方式。

關鍵詞：VPN；調度數據網；網絡安全

一、綿陽供電公司電力調度數據概述

綿陽供電公司調度數據網絡2013年建設，2015建成投運。調度數據網綿陽地調接入網在其核心節點與國家電力調度數據網雙平面骨干網綿陽地調骨干節點之間采用MP-EBGP的方式互聯，以便實現調度自動化信息的網絡化傳輸。調度中心和廠站的應用系統分別接入到骨干網和相應的接入網中，調度中心的應用系統通過跨域訪問廠站端。按照《電力二次系統安全防護總體方案》要求，全網部署MPLS/VPN，各相關業務按安全分區原則接入相應VPN。

基于對綿陽電網調度業務量的需求、數據流向、網絡可擴展性的分析，并考慮網絡運行維護安全穩定的要求，綿陽地區調度數據網采用3層結構，即核心層、骨干層、接入層，如圖1所示。

二、VPN技術原理及概述

1. VPN的簡介及工作原理

VPN是依靠ISP（Internet Service Provider）和其他NSP（Network Services Provider），在公用網絡中建立專用調度數據網絡的技術。相對傳統的網絡技術，VPN數據傳輸在任意的兩個節點之間并沒有建立傳統的端到端的物理鏈接，它是通過公用網絡的動態資源完成數據加密傳輸。

2. VPN的關鍵技術和主要安全協議

實現VPN傳輸的技術有多種，目前常用的是以下4種：加密及解密技術（Encryption & Decryption）、密鑰管理技術（Key Management）、用戶與設備身份認證技術（Authentication）及目前最常用的隧道技術（Tunneling）。

隧道技術是VPN的基本技術，也是目前綿陽供電公司采用的VPN模式（綿陽電力調度數據網VPN組網如圖2所示）。基本的隧道技術通過建立點對點的鏈接，通過在公用或專用網絡上（例如調度數據網）建立一條數據通道（即所謂的隧道），數據通過此隧道進行相應地加密傳輸。不同于傳統的網絡鏈接傳輸，隧道技術在隧道建立后，傳輸數據的過程中，需要對數據采取加密措施，按約定的協議對傳輸數據進行封裝、加密傳送，以此保證數據傳輸的安全性。

3. VPN技術的應用特點

（1）安全性及私密性

隨著網絡技術的發展，實現VPN的方式及技術越來越多，但無論是哪種方式實現VPN技術，都應當保證數據傳輸通過公共網絡的安全性及私密性。目前的VPN技術基本都是通過在公共網絡上直接構建，雖然實現簡單，形式靈活，但也帶來了更為突出的安全性要求。電力公司通過VPN技術進行調度數據網的數據傳輸，更需要確保VPN數據傳輸的安全性，保證數據傳輸不被攻擊或篡改，不被非法用戶訪問私有信息。由于電網的重要性，也導致電力公司使用VPN技術時對VPN的安全性有了更高的需求。

（2）靈活性和可擴充性

VPN技術的數據傳輸特性要求VPN能夠支持通過Internet和Extranet的任何類型的數據，可以支持各種類型的傳輸介質，同時可以靈活增加節點，滿足可以同時出書圖像、數據和語音等多種應用對傳輸質量和帶寬的要求。

（3）服務質量保證（Quality of Service）

VPN技術應用應當針對不同的企業需求提供不同的等級服務。服務質量保證通過流量預測與控制，可以實現帶寬管理，合理地先后發送各類數據，預防阻塞。

（4）可管理性

企業中VPN應用要求能將網絡管理從局域網無縫延伸至公用網。企業在應用VPN過程中需要自己完成許多網絡管理任務。因此，一個完善VPN的管理系統是必不可少的。VPN管理主要包括安全管理、QoS管理、設備管理等。

三、VPN技術在綿陽供電公司調度數據網中應用

綿陽供電公司調度數據網接入網原則上基于IPoverSDH的技術體制，以保證調度數據網技術體制的一致性、可控性和可管理。同時按照《電力二次系統安全防護總體方案》要求，全網部署MPLS/ VPN，各相關業務按安全分區原則接入相應VPN。對于網絡路由協議的選擇、網絡拓撲、網絡分區、地址編碼、網絡安全、電路配置、網絡管理等均應遵循本“總體技術方案”提出的原則。圖3展示了綿陽調度數據網VPN業務的具體接入方式。

綿陽供電公司調度數據網通過IPsec構建VPN的安全通道，通過在防火墻F 和A主機之間建立一個SA，報文通過IP隧道傳輸至F再轉發給B。這種傳輸方式的前提是端系統B必須和防火墻F是相互信任的關系。對于從B傳輸至A的報文來講，B用ESP運輸模式及AH對報文進行加密保護。假設調度數據網內部是可信任的而Internet卻是不可信任的，在此假設情況下，可以采用地理分布的各LAN的邊界路由器對IP報文通過ESP機制和AH進行加密保護。即可以只在兩個邊界路由器之間建立SA，則邊界路由器相對代表自身內部的所有端系統。

四、VPN技術下一步發展趨勢

隨著Internet發展成為社會的信息基礎應用，企業網絡應用也基本采用基于IP的模式，因此實現基于IP的VPN業務是企業網絡應用的必然發展趨勢，在電力系統中也有廣泛的應用前景。通過VPN技術在電力調度數據網中的應用，可以為電力企業帶來可觀的經濟效益，為電力企業的信息共享提供安全可靠的途徑。

參考文獻

［1］高海英，薛元星，辛陽.VPN技術（第一版）［M］.北京：機械工業出版社，2004：1-2.

［2］汪海航，譚成翔，孫為清，趙軼群.VPN技術的研究與應用現狀及發展趨勢［J］.計算機工程與應用，2001，37（23）：14-16.

［3］魏廣科.VPN技術及其應用的研究［J］.計算機工程與設計，2005，26（3）：714-715.

［4］邱亮，金悅.ISA配置與管理.第一版［M］.北京：清華大學出版社，2002.

［5］束坤.基于Internet的VPN技術［J］.計算機應用，1999，19（11）：28-31.

中圖分類號：TM734

文獻標識碼：A