陶玉梅，趙振濤

(石家莊信息工程職業(yè)學(xué)院，河北石家莊050035)

基于VPN技術(shù)的電力系統(tǒng)通信保護(hù)

陶玉梅，趙振濤

(石家莊信息工程職業(yè)學(xué)院，河北石家莊050035)

隨著電力系統(tǒng)規(guī)模的不斷擴(kuò)大，電力系統(tǒng)專用通信網(wǎng)迅速發(fā)展。為了確保電力通信系統(tǒng)中各種信息的安全性，利用多協(xié)議標(biāo)記交換技術(shù)(MPLS)構(gòu)建了基于公共通信網(wǎng)的虛擬專用網(wǎng)絡(luò)(VPN)，用來(lái)解決電力通信系統(tǒng)的安全性問(wèn)題。并以此為基礎(chǔ)設(shè)計(jì)了相應(yīng)的通信模型。該系統(tǒng)經(jīng)測(cè)試后，運(yùn)行穩(wěn)定，可靠性強(qiáng)，通信的安全性和效率都得到了保障。

電力通信；虛擬專用網(wǎng)絡(luò)；多協(xié)議標(biāo)簽交換；網(wǎng)絡(luò)管理

電力系統(tǒng)通信網(wǎng)的安全性是電力系統(tǒng)安全運(yùn)行的前提。隨著電力系統(tǒng)和通信技術(shù)的發(fā)展，電力通信網(wǎng)的發(fā)展也十分迅速，許多新的技術(shù)和設(shè)備都紛紛涌入通信網(wǎng)的建設(shè)，使電力通信網(wǎng)的智能化水平日益提高。但與此同時(shí)，通信網(wǎng)絡(luò)的安全性問(wèn)題也成為電力系統(tǒng)運(yùn)行的一大隱患。

虛擬專用網(wǎng)絡(luò)(Virtual Private Network，VPN)是利用公用網(wǎng)絡(luò)，例如因特網(wǎng)，建立的一個(gè)臨時(shí)、安全的連接，是穿過(guò)混亂的公用網(wǎng)絡(luò)利用相關(guān)技術(shù)構(gòu)建的一個(gè)安全、穩(wěn)定的隧道。VPN的主要功能有兩個(gè)，一個(gè)是對(duì)企業(yè)內(nèi)部局域網(wǎng)的擴(kuò)充，以最節(jié)省成本的方式實(shí)現(xiàn)企業(yè)遠(yuǎn)程通信；另一個(gè)就是以VPN技術(shù)為主體的公網(wǎng)通信方式，可以在一定程度上保證數(shù)據(jù)的安全性。

1 電力通信管理系統(tǒng)分析

在我國(guó)，電力通信網(wǎng)分為主干網(wǎng)、地區(qū)網(wǎng)兩個(gè)級(jí)別。主干網(wǎng)由省局以上的網(wǎng)絡(luò)擔(dān)任，地區(qū)網(wǎng)由各地市網(wǎng)組成。整個(gè)系統(tǒng)分布地域廣，結(jié)構(gòu)復(fù)雜，這給網(wǎng)絡(luò)的管理帶來(lái)了一些不利的影響。為了提高通信網(wǎng)絡(luò)運(yùn)行的可靠性，利用網(wǎng)絡(luò)管理系統(tǒng)對(duì)通信網(wǎng)進(jìn)行有效的管理是一種行之有效的方法。

目前，大多數(shù)的電力通信網(wǎng)都是采用TMN體系。TMN是ITU-T所提出的具有標(biāo)準(zhǔn)結(jié)構(gòu)、接口協(xié)議和體系的管理網(wǎng)。它通過(guò)幾個(gè)接口和其他網(wǎng)絡(luò)進(jìn)行連接，并按照相關(guān)通信協(xié)議進(jìn)行信息收發(fā)和控制功能，主要接入方式如圖1所示。

圖1 TMN與其他系統(tǒng)網(wǎng)的接口結(jié)構(gòu)

TMN具有技術(shù)成熟和應(yīng)用廣泛的優(yōu)點(diǎn)，不足之處在于它主要建立在TCP/IP基礎(chǔ)之上，其安全性和可靠性得不到有效的保證。在TMN之上增加相應(yīng)的安全性措施具有一定的必要性。

2 VPN技術(shù)分析

VPN的最大功能是為企業(yè)內(nèi)部網(wǎng)提供安全性擴(kuò)充的通道。利用相應(yīng)的設(shè)備，構(gòu)建自己的數(shù)據(jù)傳輸體系。VPN有三個(gè)應(yīng)用方向：(1)應(yīng)用于同一企業(yè)內(nèi)部的遠(yuǎn)程接入網(wǎng)，用于企業(yè)不同地域的分公司之間進(jìn)行數(shù)據(jù)共享；(2)基于更高安全策略的基于VPN的內(nèi)聯(lián)網(wǎng)，主要實(shí)現(xiàn)企業(yè)的各分支機(jī)構(gòu)之間進(jìn)行各級(jí)別授權(quán)的資源訪問(wèn)；(3)基于一定許可范圍內(nèi)的信息共享的VPN外聯(lián)網(wǎng)，主要服務(wù)于與企業(yè)相關(guān)的合作伙伴進(jìn)行一定程度的信息共享。

這三個(gè)應(yīng)用方向中，最適應(yīng)于目前電力通信系統(tǒng)的是第一種情況，一方面是因?yàn)槲覈?guó)電力系統(tǒng)分布面廣，電力系統(tǒng)內(nèi)部的通信也相對(duì)復(fù)雜，因此構(gòu)建一個(gè)體系內(nèi)的通信網(wǎng)絡(luò)勢(shì)在必行；另一方面，隨著網(wǎng)絡(luò)安全性問(wèn)題的出現(xiàn)，電力通信系統(tǒng)的安全性問(wèn)題也給電力系統(tǒng)的正常運(yùn)行造成了干擾。因此，以公眾信息網(wǎng)為基礎(chǔ)，以VPN技術(shù)為安全保障的專用通信就顯得尤為重要。

公眾信息網(wǎng)主要指的是因特網(wǎng)，對(duì)于整個(gè)社會(huì)來(lái)說(shuō)，這個(gè)網(wǎng)是一個(gè)開(kāi)放的、有一定寬容度的網(wǎng)絡(luò)體系，具有覆蓋范圍廣、速度快、費(fèi)用低、使用方便等優(yōu)點(diǎn)。但是因特網(wǎng)目前應(yīng)用的通信協(xié)議是TCP/IP協(xié)議，一些技術(shù)上有漏洞，帶來(lái)了網(wǎng)絡(luò)的危險(xiǎn)性。

利用VPN技術(shù)構(gòu)建安全通道是一種良好的保證安全的方式。VPN架構(gòu)中采用了多種安全機(jī)制，如隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認(rèn)證技術(shù)等。在一個(gè)完整的VPN安全系統(tǒng)中，往往是幾種技術(shù)綜合利用，在不影響其他信息正常傳遞的前提下，形成一條模擬點(diǎn)對(duì)點(diǎn)的專用鏈接通信，從而保證內(nèi)部信息在公共信息通道上傳輸時(shí)的機(jī)密性、完整性和可用性。

但是，這些措施還不能完全適應(yīng)復(fù)雜的電力系統(tǒng)的通信要求，這種局限性主要體現(xiàn)在傳統(tǒng)的IP網(wǎng)絡(luò)沒(méi)有數(shù)據(jù)屬性的判別能力，不能適應(yīng)當(dāng)前多種類型數(shù)據(jù)的傳輸需求；同時(shí)現(xiàn)有的IP路由技術(shù)和組網(wǎng)方式都不夠靈活，對(duì)于數(shù)據(jù)傳輸?shù)木唧w需求不能滿足，因此需要一種新的傳輸技術(shù)來(lái)提高傳輸效率。

3 多協(xié)議標(biāo)記交換技術(shù)及通信模型建立

多協(xié)議標(biāo)記交換技術(shù)(MPLS)是一種新出現(xiàn)的技術(shù)，其目的是解決當(dāng)前分組轉(zhuǎn)發(fā)技術(shù)中所存在的許多問(wèn)題。在常規(guī)分組轉(zhuǎn)發(fā)技術(shù)中，轉(zhuǎn)發(fā)的依據(jù)是數(shù)據(jù)包頭的地址和路由器中的相關(guān)信息，因此每一次的轉(zhuǎn)發(fā)都需要打開(kāi)數(shù)據(jù)包頭，時(shí)間效率不高。而MPLS網(wǎng)絡(luò)使用標(biāo)簽來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，該標(biāo)簽是一組固定長(zhǎng)度值的FEC特定轉(zhuǎn)發(fā)等價(jià)類，這個(gè)標(biāo)簽被分配給每個(gè)要傳輸?shù)臄?shù)據(jù)包上，數(shù)據(jù)包在隨后的每一次轉(zhuǎn)發(fā)中都會(huì)被分配一個(gè)標(biāo)簽，這一系列的標(biāo)簽形成一個(gè)轉(zhuǎn)發(fā)索引表[1]。

MPLS標(biāo)簽是一組32位的標(biāo)識(shí)符，具體結(jié)構(gòu)如圖2所示。

圖2 MPLS標(biāo)簽格式

在圖2中，Label是實(shí)際標(biāo)簽值。在MPLS中，標(biāo)簽是存放在每個(gè)IP數(shù)據(jù)包中的，一個(gè)IP數(shù)據(jù)包可能只有一個(gè)標(biāo)簽，也可能形成標(biāo)簽棧。每一個(gè)標(biāo)簽值都是存放在標(biāo)簽棧內(nèi)的，當(dāng)標(biāo)簽交換路由器收到一個(gè)標(biāo)簽包時(shí)，將查看標(biāo)簽棧頂部的標(biāo)簽值，并依據(jù)該值查找轉(zhuǎn)發(fā)索引表，以決定下一跳，并用另一條標(biāo)簽代替標(biāo)簽棧頂部的標(biāo)簽。

COS表示服務(wù)的類別，可以確定數(shù)據(jù)包在傳輸時(shí)的排隊(duì)和丟棄算法。

TTL為8位的存活時(shí)間，提供傳統(tǒng)的IPTTL功能。

在MPLS網(wǎng)絡(luò)中存在兩種路由器，一種為邊緣路由器，是數(shù)據(jù)包進(jìn)入MPLS網(wǎng)絡(luò)時(shí)負(fù)責(zé)分配標(biāo)簽插入或彈出的路由器，同時(shí)也完成數(shù)據(jù)包從MPLS網(wǎng)絡(luò)向其他網(wǎng)絡(luò)的轉(zhuǎn)發(fā)；另一種是標(biāo)簽交換路由器，主要功能是在MPLS網(wǎng)內(nèi)根據(jù)相應(yīng)的標(biāo)簽值進(jìn)行相應(yīng)數(shù)據(jù)包的轉(zhuǎn)發(fā)。

MPLS的工作過(guò)程是，當(dāng)IP數(shù)據(jù)包到達(dá)MPLS網(wǎng)絡(luò)邊緣時(shí)，入口處的邊緣路由器將標(biāo)簽插入至數(shù)據(jù)之后，同時(shí)將IP數(shù)據(jù)包轉(zhuǎn)發(fā)至MPLS網(wǎng)絡(luò)；在MPLS內(nèi)部，數(shù)據(jù)包由標(biāo)簽路由器根據(jù)標(biāo)簽進(jìn)行相應(yīng)的轉(zhuǎn)發(fā)，不需要查找路由表；而數(shù)據(jù)包在離開(kāi)MPLS網(wǎng)絡(luò)時(shí)，邊緣路由器彈出最后一個(gè)標(biāo)簽后按正常IP地址進(jìn)行路由轉(zhuǎn)發(fā)。

通過(guò)以上分析可知，MPLS將第三層的路由技術(shù)與第二層的交換技術(shù)結(jié)合在一起，但是數(shù)據(jù)只在第二層進(jìn)行交換，極大地提高傳輸?shù)陌踩?，甚至可以達(dá)到專線傳輸?shù)男Ч?。而且在?shù)據(jù)傳輸?shù)倪^(guò)程中引入標(biāo)簽機(jī)制，傳輸具有高速交換、QoS性能、流量控制以及IP技術(shù)的靈活、可擴(kuò)展等特性[2]。

在MPLS網(wǎng)絡(luò)上構(gòu)建相應(yīng)的VPN隧道是進(jìn)一步提高數(shù)據(jù)傳輸安全性的重要方式。其基本通信模型如圖3所示，在該網(wǎng)絡(luò)中，系統(tǒng)由四種路由器構(gòu)成，分別是邊緣路由器(PE)、標(biāo)簽交換路由路(LSR)、用戶邊緣路由器(CE)和用戶路由器(C)，其中PE和LSR屬于MPLS網(wǎng)絡(luò)，而CE和C屬于VPN系統(tǒng)。

圖3 MPLS VPN通信模型

如圖3所示，各個(gè)PE路由器中都維護(hù)著每個(gè)VPN節(jié)點(diǎn)的VPN的路由表和一張全局的路由表。VPN路由表的功能是保證每個(gè)VPN數(shù)據(jù)包在VPN系統(tǒng)中完成準(zhǔn)確的數(shù)據(jù)轉(zhuǎn)發(fā)，而全局路由表負(fù)責(zé)全網(wǎng)的目的地址的維護(hù)。每個(gè)PE路由器都與一個(gè)或多個(gè)CE路由器相連，每個(gè)CE路由器都代表VPN系統(tǒng)中的一個(gè)節(jié)點(diǎn)，是VPN數(shù)據(jù)包進(jìn)入和退出MPLS網(wǎng)絡(luò)的邊緣點(diǎn)，實(shí)現(xiàn)VPN數(shù)據(jù)在MPLS網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的對(duì)等交換。而標(biāo)簽交換路由器負(fù)責(zé)MPLS數(shù)據(jù)的交換，用戶路由器實(shí)現(xiàn)的是數(shù)據(jù)包在其他網(wǎng)絡(luò)的數(shù)據(jù)傳輸。

4 總結(jié)

本文提出了利用VPN和MPLS技術(shù)構(gòu)建數(shù)據(jù)傳輸通道的通信方式，論述了相關(guān)的工作原理，提出了相應(yīng)的通信模型。利用這兩項(xiàng)技術(shù)構(gòu)建的數(shù)據(jù)通道具有安全性高、易于管理、性價(jià)比高的優(yōu)點(diǎn)。

[1]胡文濤.基于MPLS的VPN技術(shù)研究[D]．武漢：湖北工業(yè)大學(xué)，2007：43-46.

[2]肖海濤，李之棠，梅松.MPLS VPN技術(shù)的研究[J]．計(jì)算機(jī)工程與應(yīng)用，2003(14)：173-175.

Communication protection in power system based on VPN technology

With the expansion of the scale of power system,the dedicated communication network of power system is developing rapidly.In order to ensure the security of electric power communication system,the virtual private network of public communication network was built based on multi-protocol label switching(MPLS)technology.It is used to solve the problem of safety in electric power communication system.On this basis,the corresponding communication model system was designed.After testing,the system runs stably.The security and efficiency of communication have been guaranteed.

electric power telecommunication;VPN;MPLS;network management

TM 73

A

1002-087 X(2016)06-1307-02

2016-01-10

陶玉梅(1980—)，女，江蘇省人，學(xué)士，講師，主要研究方向?yàn)橥ㄐ偶夹g(shù)、應(yīng)用電子。