商洛電力信息網(wǎng)VPN技術(shù)方案的探究和應(yīng)用

摘要：隨著國網(wǎng)公司智能化電網(wǎng)建設(shè)快速發(fā)展，信息網(wǎng)絡(luò)延伸到每個變電站和供電所是信息化智能電網(wǎng)發(fā)展的必然要求。由于早期建設(shè)的部分變電站、供電所是沒有電力專用的網(wǎng)絡(luò)通道，解決這些變電站、供電所網(wǎng)絡(luò)必須依靠第三方運營商通信通道，既要保證網(wǎng)絡(luò)的可靠性、穩(wěn)定性，又要保證數(shù)據(jù)的安全性傳輸，因此通過采用VPN技術(shù)方式就能解決此類問題。

關(guān)鍵詞：虛擬專用網(wǎng)VPN（Virtual Private Network）IPSec，認證頭（AH），密鑰交換（IKE），加密算法采用3DES ISP；保密

一、技術(shù)介紹

1. VPN的概念

虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。虛擬專用網(wǎng)通過安全的數(shù)據(jù)通道將遠程用戶，公司分支機構(gòu)，公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機都處于一個網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)仿佛是只由本網(wǎng)絡(luò)在獨占使用，而事實上并非如此，所以稱之虛擬專用。

2. VPN的類型與標準

2.1 Access VPN（遠程訪問虛擬專網(wǎng)）與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)相對應(yīng)

此方式不是傳統(tǒng)的遠程網(wǎng)絡(luò)訪問，而是利用VPN系統(tǒng)在公眾網(wǎng)上建立一個從客戶端到網(wǎng)關(guān)的安全傳輸通道。

2.2 Intranet VPN（企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)內(nèi)部的Intranet相對應(yīng)

2.3 Extranet VPN（擴展的企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)

3. VPN技術(shù)

虛擬專用網(wǎng)主要采用了兩種技術(shù)：隧道技術(shù)與安全技術(shù)。下面結(jié)合單位實際情況作如下介紹：

3.1 隧道技術(shù)

要能夠使得企業(yè)網(wǎng)內(nèi)一個局網(wǎng)的數(shù)據(jù)透明的穿過公用網(wǎng)到達另一個局網(wǎng)，虛擬專用網(wǎng)采用了一種稱之為隧道的技術(shù)。

3.2 VPN的安全機制

VPN是在不安全的Internet中進行通信，而通信的內(nèi)容可能會涉及到企業(yè)的機密數(shù)據(jù)，因此其安全性就顯得非常重要，必須采取一系列的安全機制來保證VPN的安全。通常由加密、認證及密鑰交換與管理組成了VPN的安全機制。

3.2.1 認證技術(shù)

認證技術(shù)可以區(qū)分真實數(shù)據(jù)與偽造、被篡改過的數(shù)據(jù)。

3.2.2 IPsec中的認證協(xié)議AH

AH協(xié)議的主要功能是用于認證數(shù)據(jù)源和驗證數(shù)據(jù)完整性。

3.2.3 加密技術(shù)

VPN中為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時不被他人竊取，采用了加密機制。IPSec通過ISAKMP/IKE/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密方法如DES、3DES。在現(xiàn)代密碼學中，加密算法被分為對稱加密算法和非對稱加密算法。

3.2.4 IPsec中的加密協(xié)議ESP

此協(xié)議包括加密過程和解密過程。

3.2.5 密鑰交換和管理

VPN中無論是認證還是加密都需要秘密信息，因而密鑰的分發(fā)與管理顯得非常重要。一種手工配置的方式，另一種是采用密鑰交換協(xié)議動態(tài)分發(fā)。手工配置的方法由于密鑰更新困難，只適合于簡單網(wǎng)絡(luò)的情況。密鑰交換協(xié)議采用軟件方式動態(tài)生成密鑰，適合于復雜網(wǎng)絡(luò)的情況且密鑰可快速更新，可以顯著提高VPN的安全性。

二、項目介紹

國網(wǎng)商洛電力數(shù)據(jù)網(wǎng)實施過程中，由于早期建設(shè)的變電站不具備內(nèi)部光纜通道，接入電力信息網(wǎng)就需要解決網(wǎng)絡(luò)通道的問題，vpn技術(shù)就能夠解決這個問題。大多數(shù)企業(yè)網(wǎng)組網(wǎng)方案中，要進行遠地LAN 到 LAN互連，除了租用DDN專線或幀中繼之外，并無更好的解決方法。隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，移動辦公人員越來越多，公司客分支結(jié)構(gòu)越來越龐大，而且不可能全部具有自己的網(wǎng)絡(luò)通道。因此，虛擬專用網(wǎng)VPN（Virtual Private Network）的技術(shù)出現(xiàn)。然而卻是由于Internet的迅猛發(fā)展為VPN提供了技術(shù)基礎(chǔ)，全球化的企業(yè)為VPN提供了市場，使得VPN開始得到廣泛應(yīng)用。

國網(wǎng)商洛電力信息網(wǎng)就是利用虛擬專用網(wǎng)絡(luò)技術(shù)，即解決了網(wǎng)絡(luò)連通性又保證了企業(yè)數(shù)據(jù)的安全性。利用這樣的技術(shù)把不具備內(nèi)部通道的變電站租用運營商的通信通道將局域網(wǎng)延伸到變電站和供電所。

三、項目實施

3.1 在局本部安裝中心VPN網(wǎng)關(guān)，通過租用電信局100M帶寬的通道鏈接到廣域網(wǎng)。所有偏僻的變電站通過當?shù)氐?0M帶寬接入就近的電信運營商。變電站安裝VPN網(wǎng)關(guān)。

在上面的圖中，數(shù)據(jù)網(wǎng)絡(luò)環(huán)境包括一個內(nèi)部網(wǎng)，諾干個外地分支機構(gòu)網(wǎng)，和與其相連的合作伙伴內(nèi)部網(wǎng)。要求在企業(yè)內(nèi)部網(wǎng)和企業(yè)的分支機構(gòu)網(wǎng)絡(luò)的內(nèi)部主機之間進行通信時，能夠?qū)λ兄鳈C的通信數(shù)據(jù)進行保密傳輸，以防止企業(yè)的內(nèi)部信息被破壞。同時對于企業(yè)的合作伙伴和企業(yè)的內(nèi)部網(wǎng)之間進行的信息交流，也要求能夠提供一定程度的安全保護，并且能夠?qū)ζ髽I(yè)合作伙伴與內(nèi)部網(wǎng)的訪問進行控制，以防止對內(nèi)部信息的非法訪問。

3.2 安全性和保密性好，在VPN中為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時不被他人竊取，采用了加密機制。IPSec通過ISAKMP/IKE/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密方法如DES、3DES。在現(xiàn)代密碼學中，加密算法被分為對稱加密算法和非對稱加密算法。

3.3 國網(wǎng)商洛供電公司在不同的地方會有很多平級機構(gòu)，為了與每一個遠程分支機構(gòu)的網(wǎng)絡(luò)建立通信，企業(yè)需要租用當?shù)豂SP的線路，來構(gòu)件企業(yè)私有局域網(wǎng)。這種方式不僅成本高昂，需要支付大量的線路費用，而且安全保密性并不強。而通過采用VPN技術(shù)，就可以在Internet上構(gòu)件企業(yè)自己的虛擬私有網(wǎng)絡(luò)。VPN網(wǎng)關(guān)產(chǎn)品，就可以為企業(yè)提供這種網(wǎng)絡(luò)到網(wǎng)絡(luò)的安全解決方案。

在這種方式下，企業(yè)可以在每一個遠程機構(gòu)的網(wǎng)絡(luò)出口處安裝網(wǎng)關(guān)式VPN，通過在各個網(wǎng)關(guān)式VPN之間建立網(wǎng)絡(luò)到網(wǎng)絡(luò)的加密隧道，各個遠程機構(gòu)之間的通信就可以安全準確的進行。

四、創(chuàng)造性貢獻及效益

主要貢獻有：

4.1 vpn通道的建立保證了企業(yè)內(nèi)部網(wǎng)信息的共享，是邊緣的變電站能夠及時了解企業(yè)內(nèi)部各種動態(tài)和信息。

4.2各個應(yīng)用系統(tǒng)的能夠覆蓋所有變電站和供電所。

4.3 生產(chǎn)管理系統(tǒng)的應(yīng)用。

4.4 為電網(wǎng)的安全性、可靠性提供了可靠的保障。

效益：解決13個變電站和40個供電所網(wǎng)絡(luò)安全接入商洛電力信息內(nèi)網(wǎng)，能夠及時了解企業(yè)內(nèi)部的動態(tài)信息。節(jié)省了建設(shè)通道而產(chǎn)生的巨大費用。

結(jié)束語

綜上所述，通過采用VPN技術(shù)即解決了偏僻變電站和供電所得網(wǎng)絡(luò)通道問題，也解決了數(shù)據(jù)傳輸?shù)陌踩詥栴}。節(jié)省了近期對變電站和供電所建設(shè)專用光纖通道的巨大費用。為邊遠山區(qū)的變電站、供電所解決了網(wǎng)絡(luò)接入問題，大大提高了辦公效率和電力優(yōu)質(zhì)服務(wù)水平。

參考文獻：

[1]李別，構(gòu)建虛擬專用網(wǎng)（VPN）的技術(shù)策略[J]，中國西部科技，2004年08期

[2]羅勇，唐飛躍，VPN技術(shù)淺析[J]J，企業(yè)技術(shù)開發(fā)，2008年12期。

[3]李明，王柏盛，虛擬專用網(wǎng)（VPN）技術(shù)[J]，電腦知識與技術(shù)，2005年09期

作者簡介：金明月，男（1974-06），本科，副高級工程師，主要從事網(wǎng)絡(luò)與信息管理工作。