《电气自动化)2018年第40卷第5期 网络与通信 Network&Communioation Technoloflie 基于无线公网VPN的电力监控系统安全接入区研究 程琦 ,黄太贵 (1.安徽立卓智能电网科技有限公司。安徽合肥230601;2.国网安徽省电力公司调度控制中心,安徽合肥230022) 摘要:为社会经济发展提供安全、可靠、可持续电力供应是电力企业的重要使命,因此,电力监控系统安全防护要求比普通企业要高 得多。随着小型分布式电源的快速发展,需要调度中心电力监控系统监视和控制大量的分布式电源。通过对传统VPN技术 的分析,设计了一种低成本的分布式电源数据接入地(县)调度中心电力监控系统的无线数据通道和组网方式,并详细阐述了 地(县)调度中心电力监控系统安全接入区的实现方案。组网方式和安全接人区方案以快速和低成本方式解决分布式电源发 电数据接入地(县)调度中心电力监控系统,并实现调度端和场站侧无线终端的双向认证、加密认证和访问控制,同时调度中心 安全接入区与生产控制大区隔离。 关键词:分布式电源;VPN;隧道;电力监控系统;无线网络;认证;加密;安全接入区 DOI:10.3969/j.issn.1000-3886.2018.05.030 [中图分类号]TM734[文献标识码]A[文章编号]1000—3886(2018)05—0098—03 Secure Access Area of Power Monitoring System Based on Wireless Public Network VPN Cheng Qi ,Huang Taigui (1.Anhui Lizhuo Smart Grid Technology Co.,Ltd.,Hefei Anhui 230601,China; 2.Dispatch Control Center of State Grid Anhui Electric Power Company,Hefei Anhui 230022,China) Abstract:Electric power enterprises bear the important mission of providing a safe,reliable and sustainable power supply for social and economic development,therefore-the security requiementrs of power monitoring systems are much higher than those of ordinary enterprises.With the rapid development of the small distirbuted power supply,a centralized power monitoring and control system was needed to monitor and control a large number of distibuted power sources.Based on trhe analysis of traditional VPN technology。a low -cost distirbuted power supply data access to(at prefecture or county levels)dispatching center was designed for wireless data channel and networking mode of power monitoring and control system,and the implementation scheme of secure access area of(at prefecture or county levels)dispatching centerin power monitoring system was explained in detail.The network mode and the safe access area scheme could solve the problems such as the distirbuted power generation data access to(at prefecture or county levels) dispatching centerin a fast and low cost way,and realize the two-way authentication。encryption authentication and access control between the dispatching center and the new energy wireless termina1.Meanwhile,the security access zone of the dispatching center was separated from the production control area. Keywords:distributed generation;VPN;tunnel;power monitoring system;wireless network;authentication;encryption;secure access area O 引 言 随着近年来分布式电源和配网自动化系统发展 j,大量的分 l VPN组网 目前我国移动通信4G(移动通信技术)覆盖面积已经 普及,对于地理位置偏远,建设费用低的分布式电源和配电线路, 采用移动通信网络运营商的4G网络实现组网和数据传输是理 想的解决方案。 VPN/VPDN(虚拟/拨号专用网络)是在公用网络上建立虚拟 布式光伏电站建成并网运营,电网公司对于配网自动化系统的投 资和建设也开始加大。分布式光伏电站大多容量不大(6 MW以 下),投资规模小,现场比较偏远,配电网的变压器、馈线回路及其 开关柜箱变等分布广泛,没有条件敷设光纤专线和调度数据网设 备。造成电网管理部门无法掌握分布式电源和配电网的相关信 息,困扰着地区电网的运营管理,也给电网安全带来隐患。对于 分布式电源和配电网需要一种成本较低,能够实现电量数据接入 调度中心电力监控系统,并满足安全防护要求 的信息接人及组 网方案。 专用网络,进行加密通信的网络技术。由于电力生产数据和系统 安全的重要性,需要网络运营商在主干网上完成VPN通道的建 立,VPN网关通过隧道和对数据包的加密和数据包目标地址的 转换实现远程访问 。 VPN/VPDN的隧道协议主要有几种,PPTP(点到点隧道协 议)、L211P(第二层隧道协议)、IPSec(Interact协议安全性)和 GRE(通用路由封装协议)等。在OSI模型的不同层次中工作着 相对应的隧道协议,PPTP和L2TP协议属于第二层隧道协议; 定稿日期:2017—12—20 IPSec和GRE属于第三层隧道协议。第二层隧道协议和第三层 网络与通信 Network&Communication Technolo ̄ie 《电气自动化)2o18年第40卷第5期 隧道协议的区别主要在于用户数据在网络协议的第几层被封装, 这些协议之间本身并不冲突,可以结合使用Mj。 1.1 VPN的网络安全及运营商措施 在组网上需考虑的安全性层面主要包括隧道的验证,通信双 采 采簟叠僖无哇爵由曩曩 _^r 方的身份验证和通信数据的加密,如果基于网络运营商建立的 VPN/VPDN自身提供的安全措施,一般企业用户应该使用IPsec 技术,如果需要实现安全的VPDN,应该采用L2TP+IPsec组合技 采■叠稿 无墁矗由:‘■ ‘(j-I} ) 采 术,先使用L2TP封装第二层数据,再使用IPsec封装对数据进行 加密和提供完整性保护,由此保证通信数据安全传送到目 的地 。 图2全无线VPDN组网方式 移动网络运营商提供专用APN(接入点名称)接入VPDN网 络的SIM卡,每张SIM卡作为VPDN网络接入点连接GGSN,在 运营商HLR(归属位置寄存器)或平台AAA中配置每个APN固 定IP地址,打通APN间的隧道,每个APN配置一台支持隧道协 我国三大移动网络运营商(移动、联通、电信)提供可分配专 用的APN(接入点名称),仅开通接入VPDN网络的SIM卡,利用 SIM卡的唯一性,在网络侧对SIM卡和APN进行绑定,划定用户 议的无线路由器作为LNS,GGSN作为LAC负责与LNS之间建立 L2PT隧道转发IP报文,并在GGSN中关闭IP地址反欺诈功能, 关闭终端隔离,允许APN之间互访。 为保证SIM卡的安全,APN的SIM卡与接入终端设备全球 唯一IMEI(移动设备身份码)绑定,一旦SIM卡离开终端设备进 入其他的设备,该SIM不可用。 可接入该系统的范围,只能访问客户专网,使用其他的APN 访问互联网公网,有效避免非法入侵。同时数据中心给每个SIM 卡分配特定的用户ID和IP,其他没有数据中心分配的用户ID和 IP的SIM卡将无法登录进人系统,系统的安全性进一步增强。 专网SIM卡对业务也进行严格的鉴权,关闭语音、短信等无关业 务,得到业务唯一性的安全保证。 1.4优劣对比 电力监控中心采用传统专线方式,能够保证申请的专线带 宽,但需要网络运营商敷设专线到电网企业电力监控中心,监控 中心用户还需要根据服务器架设位置敷设网线,建设和使用成本 比较高。全无线方式组网灵活,监控中心可以建在调度中心机房 或者其他任何位置,且搬迁和移位便利。目前运营商4G网络的 理论峰值速率可以达到上行50 Mbps,下行100 Mbps,但是该理论 客户可自建或与运营商共享AAA服务器,网关GPRS支持 节点GGSN向AAA服务器提供用户主叫号码,采用主叫号码和 用户账号相结合的认证方式,用户通过认证后由AAA服务器分 配企业内部的静态IP地址。 1.2传统VPDN组网方式 无线网络运营商给出的VPDN实现方案是VPN用户向当地 网络运营商申请租用一条专线,从就近GGSN节点架设至用户数 带宽受附近基站的终端使用数量影响,大量移动终端通过同一基 站访问网络时,可能存在网络阻塞现象。两种方式的优劣如表1 所示。 据中心,运营商在网关和用户接人路由器上配置VPDN隧道协 议,实现VPDN方式。该方式由于用户需要架设并租用专线,建 设周期和成本都比较高(根据申请的带宽,带宽越大价格越高)。 该方式组网方式如图1所示。 力一 I 表1优劣对比 统系书黼 ■ 嗤 ■—IT 一略■■ 户AAA 一 图1传统无线VPDN组网方式 1.3全无线组网方案 本文试图建立一种全无线的新型组网方式,在电力监控中心 与分布式电源场站同样采用无线方式,组网方式如图2所示。 在电力监控中心不需要架设租用专线,作为与监控站点同等 2电力专用的认证及加密 运营商提供的VPDN隧道用于IP包加密的IPSec协议支持 的DES、3DES、AES等加密算法均不满足国家电息安全要求 的基于国密算法的认证、加密标准,针对电力监控系统安全防护 要求,电力调度生产及管理系统与网络用户、关键网络设备、服务 器应采用电力调度证书服务系统统一颁发的专用数字证书,在调 地位的APN接入,各个监控站点之间均可通信互联。 所有APN的专网IP地址固定,能够既作为客户端,也能作 为服务端支持各类基于IP协议的应用,特别是电力专用的各类 通信协议(101\102\103\104\MODBUS等)。 度系统和网络关键环节实现高强度的身份认证、安全的数据传输 以及可靠地行为审计。电力调度证书服务系统遵循一系列国际 上的关于密码学和数字证书标准,采用国密加密算法。证书类型 ElectricaI Automation 99 《电气自动化}2018年第40卷第5期 网络与通信 Network&Communication TechnOl0gies 包括:人员证书,程序证书和设备证书,实现接人用户的身份认证 和数据传输加密 他部分的联接处必须设置经国家指定部门检测认证的电力专用 横向单向安全隔离装置 。安全接入区转发业务数据至电力监 控系统的结构如图4所示。 3 电力监控系统安全接入区方案 根据《电力监控系统安全防护规定(国家[2014]l4号 令)》、《电力监控系统安全防护总体方案等安全防护方案和评估 规范(国能安全[2015]36号)》和《Q/GDW 1l347—20l4国家电 ……… g ‘。’ ” 网公司信息系统安全设计框架技术规范》的要求,生产控制大区 的业务系统在与其终端的纵向联接中使用无线通信网、电力企业 其他数据网(非电力调度数据网)或者外部公用数据网的虚拟专 ———■,———■, ■—,安全II匿交换 ltI2 == I lI 用网络方式(VPN/VPDN)等进行通信的,应当设立安全接入 区 ‘,采用基于国密算法的认证、加密等安全防护措施 I。 本方案在监控中心和监控场站部署电力专用纵向加密认证 装置,通过纵向加密装置建立隧道,纵向加密装置的隧道同样基 于VPDN第三层IPSec协议,但加密算法采用的是采用国家密码 管理局授权批准的电力专用密码算法,支持身份鉴别,信息加密, 数字签名和密钥生成与保护。 图4安全接入区与调度自动化各业务系统接口 5结束语 本文探讨了一种采用无线VPDN技术用于电力监控系统的 安全接入区建设方案,适用于大量投资小、位置偏远的分布式电 源数据接入电力监控系统,便于电力调度部门对于分布式电源及 地区电网的负荷管理。本方案在采用网络运营商提供的全无线 组网方式便捷灵活的基础上,针对电力监控系统的安全防护要求 做了专门考虑,满足国家对于电力监控系统的安全防护要求。 参考文献: [1]宋璇坤,韩柳,鞠黄培,等.中国智能电网技术发展实践综述[J].电力 建设,2016,37(7):1—11. 部署在电力企业调度端的安全接人区与分布式电源场站采 用全无线VPDN组网 VPDN的第二层隧道协议采用运营商提 供的l2P,r协议,第三层IP层的加密认证采用纵向加密认证装鼹 自建的IPSec隧道协议,实现用户身份、设备认证以及数据的加 密传输,分布式电源场站侧通信采用电力专用网络通信协议IEC 一60870—104。网络拓扑方式如图3所示。 前置服务器A前置服务器B ———■■■■———■● I …l ——l ●I 纵r口J加密认证网荚 [2]童晓阳,王晓茹.乌克兰停电事件引起的网络攻击与电息安全 防范思考[J].电力系统自动化,2016,40(7):144—148. [3]吴克河.崔文超,何建平.电力企业移动安全接人平台[J].计算机 系统应用,2014.3(7):3l一36. [4]程思,程家兴.VPN中的隧道技术研究[J].计算机技术与发展. 2010,20(2):156-159. 无线路由器[5]李琦,蒙杨,卿斯汉.基于IPSec和L2 隧道实现技术的研究[J]. 计算机科学,2004,31(4):40—42. [6]徐茹枝,郭建,李衍辉.智能电网中电力调度数字证书系统[J].中 国电力,2011,44(1):37—40. [7]中华人民共和国国家发展和改革委员会.电力监控系统安全防护规 定:[2014]l4号令[S].北京:中华人民共和国国家发展和改革委员 图3 电力监控系统安全接入区网络拓扑 会,2014. 4安全接入区与调度自动化业务系统接口 安全接人区采集到的分布式电源并网数据需要转发至调度 自动化的各项业务系统中,如SCADA系统、电能量管理系统等。 根据业务系统的不 安全分区,可将采集的业务数据根据不同的 安全分区转发至业务系统。按照电力监控系统安全防护要求,无 线接人的安全接入区属于,安全接入区与生产控制大区中其 [8]国家电网公司.国家电网公司信息系统安全设计框架技术规范:Q/ GDW 1 1347—2014[s].北京:国家电网公司.2014. (9]国家能源局.电力监控系统安全防护总体方案等安全防护方案和评 估规范:国能安全[2015]36号[S].北京:国家能源局,2015. 【作者简介】程琦(1972一),男,安徽合肥人,本科,副研究员,主要研究方 向为电力系统自动化。 黄太贵(1963一),男,安徽合肥人,硕士,高级工 程师,研究方向为电力系统自动化。 (上接第87页) [9]陈雄.解析磷酸盐加药工程设计与运行[J].黑龙江医药,2014,27 (1):132-133. (22):62. [10]曹亚楠.南屯矿电厂DCS系统的设计与实现[D].成都:电子科技 大学,2015. [11]许宁.DCS在电厂控制系统的应用及展望[J].电站系统工程, 2016,32(1):60—61. [14]张迪.自动加药系统在热电厂中的应用[J].科技创新导报,2013, 10(24):216—217. [15]熊鹏.探讨PLC、DCS和FCS的特点及在电厂中的应用[J].科技与 创新,2015,8(5):108.1】0. [16]孙立新,康君,刘俊峰,等.火电厂辅助车闯控制系统方案的优化 [J].内蒙古科技与经济,2014,l8(5):99—100. [12]皮博源.浅谈DCS在电厂热工控制系统中的应用与管理维护[J]. 科技创新与应用。2015,36(19):105. [13]朱伟.电厂化学水处理中的DCS控制系统[J].化工管理,2017.32 【作者简介】杨少鹏(1990一),男,湖北十堰人,硕士,助理工程师,从事化 学水处理工作。
