劉曉東,梁洪泉,楊會(huì)峰,許書(shū)彬,張林杰

(1.中國(guó)電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；2.國(guó)網(wǎng)河北省電力公司信息通信分公司，河北 石家莊 050021)

?

PTN網(wǎng)絡(luò)電力業(yè)務(wù)承載能力分析和安全增強(qiáng)設(shè)計(jì)

劉曉東1,梁洪泉1,楊會(huì)峰2,許書(shū)彬1,張林杰1

(1.中國(guó)電子科技集團(tuán)公司第五十四研究所，河北 石家莊 050081；2.國(guó)網(wǎng)河北省電力公司信息通信分公司，河北 石家莊 050021)

針對(duì)使用PTN網(wǎng)絡(luò)統(tǒng)一承載電網(wǎng)多種類(lèi)型業(yè)務(wù)的需求，從通信機(jī)理角度研究了PTN網(wǎng)絡(luò)的網(wǎng)絡(luò)形態(tài)類(lèi)型，根據(jù)PTN網(wǎng)絡(luò)的復(fù)用技術(shù)和尋址技術(shù)方式，分析了其網(wǎng)絡(luò)安全屬性和傳輸延時(shí)屬性，并計(jì)算了使用PTN網(wǎng)絡(luò)傳輸電網(wǎng)控制信號(hào)的傳輸時(shí)延。分析了PTN網(wǎng)絡(luò)的通道隔離性，針對(duì)智能電網(wǎng)業(yè)務(wù)隔離的要求，對(duì)電力PTN網(wǎng)絡(luò)進(jìn)行了安全增強(qiáng)設(shè)計(jì)，提出了“PTN+分域控制管理+網(wǎng)絡(luò)流量分布測(cè)量”的安全增強(qiáng)設(shè)計(jì)方案。測(cè)試結(jié)果表明，安全增強(qiáng)設(shè)計(jì)方案進(jìn)一步保證了PTN統(tǒng)一承載的各業(yè)務(wù)系統(tǒng)的應(yīng)用安全。

PTN；安全屬性；傳輸時(shí)延；隔離性；安全增強(qiáng)設(shè)計(jì)

0　引言

隨著智能電網(wǎng)的發(fā)展，與配網(wǎng)生產(chǎn)、管理相關(guān)的應(yīng)用系統(tǒng)不斷涌現(xiàn)，業(yè)務(wù)數(shù)據(jù)量不斷增加[1]，配網(wǎng)通信系統(tǒng)應(yīng)實(shí)現(xiàn)對(duì)多種業(yè)務(wù)的通信支撐。同時(shí)，根據(jù)國(guó)家電力監(jiān)管委員會(huì)5號(hào)令(電力二次系統(tǒng)安全防護(hù)規(guī)定)，電力二次系統(tǒng)安全防護(hù)工作應(yīng)當(dāng)堅(jiān)持安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離和縱向認(rèn)證的原則，以保障電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。在現(xiàn)有的配網(wǎng)通信方式中，MSTP/SDH可以有效地隔離不同類(lèi)型的業(yè)務(wù)，但其無(wú)法適應(yīng)IP數(shù)據(jù)業(yè)務(wù)迅猛增長(zhǎng)的需求[2]，成本問(wèn)題也制約了其在點(diǎn)多面廣的配網(wǎng)環(huán)境中應(yīng)用；工業(yè)以太網(wǎng)交換機(jī)和EPON技術(shù)基于包交換，難以提供有效的通道隔離，不能滿足智能配網(wǎng)的業(yè)務(wù)隔離要求。分組傳送網(wǎng)(Packet Transport Network，PTN)是基于分組技術(shù)的、面向連接的傳送技術(shù)[3]，可以提供電信級(jí)的可靠傳輸[4]，同時(shí)能夠?qū)崿F(xiàn)不同通道間的有效隔離[5]，能夠提供多業(yè)務(wù)技術(shù)支持[6]。

理論分析表明，PTN網(wǎng)絡(luò)能夠?qū)崿F(xiàn)業(yè)務(wù)通道的有效隔離，但無(wú)法實(shí)現(xiàn)完全隔離。本文對(duì)PTN網(wǎng)絡(luò)進(jìn)行了安全增強(qiáng)設(shè)計(jì)，在網(wǎng)絡(luò)層實(shí)行分域控制管理，實(shí)現(xiàn)上層業(yè)務(wù)在PTN承載網(wǎng)絡(luò)上的傳輸隔離；配置網(wǎng)絡(luò)流量分布監(jiān)控系統(tǒng)，反饋PTN網(wǎng)絡(luò)的流量狀態(tài)，發(fā)現(xiàn)和阻斷非法流量。安全增強(qiáng)設(shè)計(jì)方案保證了PTN網(wǎng)絡(luò)統(tǒng)一承載的智能電網(wǎng)各業(yè)務(wù)系統(tǒng)的應(yīng)用安全。

1　PTN網(wǎng)絡(luò)安全屬性分析

通信網(wǎng)絡(luò)在技術(shù)機(jī)理層面，可根據(jù)復(fù)用技術(shù)機(jī)理與尋址技術(shù)機(jī)理組合分類(lèi)。復(fù)用技術(shù)分為確定復(fù)用技術(shù)和統(tǒng)計(jì)復(fù)用技術(shù)，尋址技術(shù)分為有連接操作尋址技術(shù)和無(wú)連接操作尋址技術(shù)，2類(lèi)復(fù)用技術(shù)和2類(lèi)尋址技術(shù)組合，形成4類(lèi)網(wǎng)絡(luò)形態(tài)[7]，如表1所示。

表1　通信網(wǎng)絡(luò)形態(tài)分類(lèi)

PTN以分組業(yè)務(wù)為核心，采用統(tǒng)計(jì)復(fù)用，為業(yè)務(wù)提供面向連接的柔性管道，因此屬于第4類(lèi)通信網(wǎng)絡(luò)形態(tài)。

通信網(wǎng)絡(luò)的機(jī)理決定通信網(wǎng)絡(luò)的安全屬性，通信網(wǎng)絡(luò)的安全屬性是通信網(wǎng)絡(luò)安全與否的基礎(chǔ)。第4類(lèi)通信網(wǎng)絡(luò)采用統(tǒng)計(jì)復(fù)用和有連接操作尋址，由媒體網(wǎng)絡(luò)和支持網(wǎng)絡(luò)(同步網(wǎng)和管理網(wǎng))組成，其網(wǎng)絡(luò)安全屬性分析如下[7-8]：第4類(lèi)通信網(wǎng)絡(luò)用作核心網(wǎng)絡(luò)時(shí)，通過(guò)適配器與數(shù)據(jù)通信網(wǎng)本地網(wǎng)絡(luò)連接；信號(hào)出入核心網(wǎng)時(shí)，輸入端口和輸出端口是確定的；第4類(lèi)通信網(wǎng)絡(luò)先建立連接然后傳遞信號(hào)，連接經(jīng)過(guò)的節(jié)點(diǎn)是確定的，連接經(jīng)過(guò)各個(gè)節(jié)點(diǎn)之間的電路是不確定的；在第4類(lèi)通信網(wǎng)絡(luò)中，控制信號(hào)(管理信號(hào))與媒體信號(hào)(業(yè)務(wù)信號(hào))是分別在不同的路徑中傳送的，控制信號(hào)只能在信令網(wǎng)絡(luò)或管理網(wǎng)絡(luò)中傳遞，媒體信號(hào)只能在用戶之間傳遞；第4類(lèi)通信網(wǎng)絡(luò)的支持網(wǎng)絡(luò)(管理網(wǎng)絡(luò)和信令網(wǎng)絡(luò))只接受管理網(wǎng)管理者或信令網(wǎng)管理者控制。因此，第4類(lèi)通信網(wǎng)絡(luò)的媒體網(wǎng)絡(luò)具有比較好的網(wǎng)絡(luò)安全屬性。

2　PTN傳輸延時(shí)計(jì)算

2.1PTN傳輸延時(shí)屬性分析

第4類(lèi)通信網(wǎng)絡(luò)存在連接建立過(guò)程和通信過(guò)程。有連接操作尋址機(jī)理決定了分配標(biāo)簽過(guò)程就是網(wǎng)絡(luò)資源分配過(guò)程，時(shí)間是個(gè)變數(shù)，但是一旦建立連接，傳遞路由就確定了；統(tǒng)計(jì)復(fù)用機(jī)理決定了如果信道空閑，信號(hào)可能實(shí)時(shí)通過(guò)，如果信道擁擠，信號(hào)需要排隊(duì)，等待時(shí)間是個(gè)因網(wǎng)絡(luò)負(fù)荷而變的變數(shù)。

PTN不需要重新建立連接，這就消除了建立連接過(guò)程的不確定延時(shí)，因而大幅度降低了傳輸延時(shí)，特別是把一個(gè)比較大的可變延時(shí)轉(zhuǎn)化成為最小可能的確定傳輸延時(shí)。

2.2PTN傳輸延時(shí)計(jì)算模型

傳輸延時(shí)計(jì)算模型如圖1所示。

圖1　傳輸延時(shí)計(jì)算模型

在該模型中，傳輸延時(shí)指決定控制時(shí)刻到執(zhí)行控制時(shí)刻之間的延時(shí)，其中包括等待延時(shí)、傳輸延時(shí)和解碼延時(shí)。

由2.1節(jié)分析可知，在PTN中，傳輸時(shí)延僅僅包括信號(hào)在媒體中的傳播時(shí)間。

2.3PTN傳輸延時(shí)計(jì)算

在進(jìn)行計(jì)算前，首先進(jìn)行如下假設(shè)：

① 控制信號(hào)長(zhǎng)度：80 bits；

② 留控制信號(hào)專(zhuān)用傳遞信道；

③ 控制信號(hào)在PTN中傳遞，全程處理延時(shí)(和電波傳播延時(shí))不超過(guò)2個(gè)傳輸幀周期；

④ 控制信號(hào)編碼的解碼時(shí)間不超過(guò)一個(gè)控制信號(hào)長(zhǎng)度；

⑤ 傳輸延時(shí)計(jì)算模型如圖1所示，傳輸延時(shí)定義為執(zhí)行控制時(shí)刻相對(duì)決定控制時(shí)刻的延時(shí)；

⑥ 采用以太網(wǎng)業(yè)務(wù)的PWE3封裝幀結(jié)構(gòu)，傳輸速率2 048 kbit/s。

以太網(wǎng)業(yè)務(wù)的PWE3封裝幀結(jié)構(gòu)如圖2所示。

圖2　PTN傳遞方案以太網(wǎng)業(yè)務(wù)的PWE3封裝幀結(jié)構(gòu)

控制信號(hào)長(zhǎng)度為80 bits，即10 bytes，而數(shù)據(jù)幀中Payload的最小長(zhǎng)度為46 bytes，所以Payload字段的長(zhǎng)度取46 bytes，于是數(shù)據(jù)幀周期為(4+4+4+6+6+4+2+46+4)*8 bits/2 048 kbit/s≈0.31 ms。

PTN傳輸延時(shí)計(jì)算：在每一個(gè)PWE3數(shù)據(jù)幀提供一個(gè)用戶數(shù)據(jù)包，即80 bits，傳遞一個(gè)完整遙控信號(hào)需要1個(gè)信元周期。所以等待時(shí)間為1個(gè)信元周期；傳遞時(shí)間小于2個(gè)信元周期；解碼時(shí)間為1個(gè)信元周期，所以，傳輸延時(shí)為4個(gè)幀周期，即傳輸延時(shí)約為1.24 ms。

《電力系統(tǒng)遠(yuǎn)方跳閘信號(hào)傳輸裝置》(DL/T 688-1999)中對(duì)繼電保護(hù)系統(tǒng)的動(dòng)作時(shí)間具體要求如下[9]：保護(hù)系統(tǒng)故障切除時(shí)間典型值為28～190 ms；遠(yuǎn)方跳閘信號(hào)傳輸系統(tǒng)總動(dòng)作時(shí)間為50～70 ms；最大實(shí)際傳輸時(shí)間(有噪聲情況下)為5～65 ms?！段⒉娐穫鬏斃^電保護(hù)信號(hào)信息設(shè)計(jì)技術(shù)規(guī)定》(DL/T5062-1996)中規(guī)定微波通道(光纖通道參照?qǐng)?zhí)行)傳輸主保護(hù)信息時(shí)傳輸時(shí)延應(yīng)不大于5 ms[10]。根據(jù)上述計(jì)算可以看到，控制信號(hào)在PTN中的傳輸延時(shí)小于5 ms，使用PTN網(wǎng)絡(luò)傳輸支持電網(wǎng)控制信號(hào)是可行的。仿真環(huán)境下的測(cè)試結(jié)果也證明，PTN網(wǎng)絡(luò)可以滿足廣域繼電保護(hù)業(yè)務(wù)對(duì)網(wǎng)絡(luò)時(shí)延的要求[11]。

3　PTN網(wǎng)絡(luò)安全增強(qiáng)設(shè)計(jì)

PTN網(wǎng)絡(luò)基于MPLS-TP技術(shù)，通過(guò)標(biāo)簽交換路徑(Label Switch Path，LSP)和端到端的偽線仿真(Pseudo Wire Emulation Edge-to-Edge，PWE3)等機(jī)制，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)中不同業(yè)務(wù)通道的有效隔離[12]，并可基于互信息計(jì)算PTN中2個(gè)通信通道的隔離度[13]，計(jì)算表明，PTN網(wǎng)絡(luò)中不同通道間的隔離度介于0和1之間，即無(wú)法實(shí)現(xiàn)完全隔離，從安全的角度考慮，PTN網(wǎng)絡(luò)仍然存在安全風(fēng)險(xiǎn)。不同的業(yè)務(wù)應(yīng)用承載于PTN網(wǎng)絡(luò)不同的安全通道中，但仍處于同一網(wǎng)絡(luò)平面內(nèi)，統(tǒng)一的承載網(wǎng)絡(luò)為攻擊者提供了更多的潛在入侵路徑和攻擊點(diǎn)，也使得安全威脅和攻擊的跨業(yè)務(wù)系統(tǒng)傳播成為可能，因此對(duì)PTN網(wǎng)絡(luò)進(jìn)行安全增強(qiáng)設(shè)計(jì)，保證各業(yè)務(wù)系統(tǒng)的應(yīng)用安全。

3.1在PTN基礎(chǔ)上實(shí)行分域控制管理

通過(guò)在網(wǎng)絡(luò)層實(shí)行分域控制管理的方式，實(shí)現(xiàn)上層業(yè)務(wù)應(yīng)用在PTN承載網(wǎng)絡(luò)上的傳輸隔離，保證業(yè)務(wù)在傳輸上的安全，以適應(yīng)智能電網(wǎng)的特殊通信要求。在網(wǎng)絡(luò)層面，部署安全分域設(shè)備，為不同安全域內(nèi)的應(yīng)用提供安全隧道，可實(shí)現(xiàn)不同隧道間信息(不同業(yè)務(wù)系統(tǒng)信息)的相互隔離，同時(shí)，可在隧道內(nèi)實(shí)現(xiàn)跨承載網(wǎng)交互信息的完整性、真實(shí)性保護(hù)[14]。

安全分域設(shè)備可以實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)的邊界綜合防護(hù)，對(duì)流入/流出業(yè)務(wù)系統(tǒng)服務(wù)器的數(shù)據(jù)包進(jìn)行準(zhǔn)入控制，對(duì)特定應(yīng)用協(xié)議進(jìn)行訪問(wèn)控制，實(shí)現(xiàn)對(duì)用戶使用業(yè)務(wù)系統(tǒng)的行為管理，防止跨業(yè)務(wù)系統(tǒng)的攻擊，加強(qiáng)了對(duì)業(yè)務(wù)系統(tǒng)的安全防護(hù)和管理。

安全分域設(shè)備可以為業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)深度檢查功能，對(duì)數(shù)據(jù)進(jìn)行安全檢查，確認(rèn)數(shù)據(jù)安全后，再將數(shù)據(jù)交給應(yīng)用系統(tǒng)服務(wù)器處理，解決了惡意流量偽裝為特定應(yīng)用穿透進(jìn)入業(yè)務(wù)服務(wù)器的風(fēng)險(xiǎn)。

通過(guò)在網(wǎng)絡(luò)層面進(jìn)行分域控制管理，可以在統(tǒng)一承載的PTN網(wǎng)絡(luò)上，有效防止各類(lèi)應(yīng)用偽服務(wù)器的接入，阻斷跨業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)信息的完整性、真實(shí)性保護(hù)和不同安全等級(jí)業(yè)務(wù)的隔離傳輸，實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的有效隔離，保護(hù)業(yè)務(wù)系統(tǒng)的安全。

3.2建設(shè)網(wǎng)絡(luò)流量分布監(jiān)控系統(tǒng)

配置一個(gè)獨(dú)立的網(wǎng)絡(luò)流量分布監(jiān)控系統(tǒng)，對(duì)服務(wù)器的輸入數(shù)據(jù)提取來(lái)源地址、分組數(shù)量和訪問(wèn)次數(shù)，對(duì)輸出數(shù)據(jù)提取目的地址、分組數(shù)量和輸出次數(shù)，并做出數(shù)據(jù)來(lái)往分布圖解，如圖3所示。

圖3　配置網(wǎng)絡(luò)流量分布監(jiān)控系統(tǒng)

網(wǎng)絡(luò)流量分布監(jiān)控系統(tǒng)采集PTN網(wǎng)絡(luò)的流量信息，對(duì)UNI/NNI/LSP/PW進(jìn)行流量采集，并對(duì)監(jiān)控?cái)?shù)據(jù)進(jìn)行整理分析，得出網(wǎng)絡(luò)主要端口/PW/LSP最大流量、最小流量和平均流量，以及隨時(shí)間的分布規(guī)律，對(duì)PTN網(wǎng)絡(luò)資源使用情況和進(jìn)出服務(wù)器的數(shù)據(jù)進(jìn)行分析。通過(guò)對(duì)PTN網(wǎng)絡(luò)所承載的各類(lèi)型業(yè)務(wù)的流量進(jìn)行統(tǒng)計(jì)分析，網(wǎng)絡(luò)流量分布監(jiān)控系統(tǒng)可以獲取PTN網(wǎng)絡(luò)的流量構(gòu)成、流量分布和流量變化等情況，能夠比較準(zhǔn)確地反饋出當(dāng)前網(wǎng)絡(luò)的流量狀態(tài)。通過(guò)對(duì)上述數(shù)據(jù)分析，能夠獨(dú)立、客觀地觀察網(wǎng)絡(luò)中信號(hào)的流動(dòng)規(guī)律，從而判斷外部偽服務(wù)器的非法訪問(wèn)狀況、內(nèi)部木馬輸出數(shù)據(jù)狀況以及網(wǎng)絡(luò)或者服務(wù)器的實(shí)際傳遞能力，發(fā)現(xiàn)和阻斷非法傳遞，并進(jìn)行上報(bào)。網(wǎng)絡(luò)流量分布監(jiān)控系統(tǒng)不但進(jìn)一步加強(qiáng)PTN的網(wǎng)絡(luò)安全，而且能夠監(jiān)視、檢測(cè)和評(píng)估PTN的網(wǎng)絡(luò)安全狀況。

4　安全增強(qiáng)能力測(cè)試

PTN網(wǎng)絡(luò)承載的電力網(wǎng)業(yè)務(wù)包括生產(chǎn)數(shù)據(jù)網(wǎng)業(yè)務(wù)、調(diào)度系統(tǒng)業(yè)務(wù)、話音/視頻業(yè)務(wù)、監(jiān)控業(yè)務(wù)和遠(yuǎn)程抄表業(yè)務(wù)等。根據(jù)業(yè)務(wù)數(shù)據(jù)類(lèi)型，可以將上述業(yè)務(wù)分為數(shù)據(jù)類(lèi)業(yè)務(wù)、語(yǔ)音/視頻類(lèi)業(yè)務(wù)和管理控制類(lèi)業(yè)務(wù)。搭建測(cè)試環(huán)境，對(duì)分域控制管理和網(wǎng)絡(luò)流量分布監(jiān)控提供的安全增強(qiáng)能力進(jìn)行了測(cè)試驗(yàn)證。

測(cè)試環(huán)境如下：在接入PTN網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)服務(wù)器前部署安全分域設(shè)備，在業(yè)務(wù)系統(tǒng)服務(wù)器和終端前分布式部署流量監(jiān)測(cè)信息匯集設(shè)備，并在網(wǎng)絡(luò)中集中式部署一臺(tái)獨(dú)立的流量綜合監(jiān)測(cè)設(shè)備，使用思博倫Test Center測(cè)試儀模擬數(shù)據(jù)類(lèi)業(yè)務(wù)和管理控制類(lèi)業(yè)務(wù)，使用polycom軟終端模擬語(yǔ)音/視頻類(lèi)業(yè)務(wù)，使用思博倫Avalanche C100MP測(cè)試儀和MU 8000測(cè)試儀模擬對(duì)業(yè)務(wù)系統(tǒng)的攻擊。

測(cè)試方法如下：

① 抓取數(shù)據(jù)類(lèi)業(yè)務(wù)、管理控制類(lèi)業(yè)務(wù)的通信報(bào)文，使用Test Center發(fā)送，測(cè)試安全分域設(shè)備對(duì)正常數(shù)據(jù)類(lèi)業(yè)務(wù)、管理控制類(lèi)業(yè)務(wù)的支持能力；

② 使用polycom軟終端進(jìn)行語(yǔ)音、視頻通信，測(cè)試安全分域設(shè)備對(duì)正常語(yǔ)音/視頻類(lèi)業(yè)務(wù)的支持能力；

③ 使用Test Center修改數(shù)據(jù)類(lèi)和管理控制類(lèi)業(yè)務(wù)的通信報(bào)文并發(fā)送，測(cè)試安全分域設(shè)備對(duì)特定應(yīng)用協(xié)議的訪問(wèn)控制和對(duì)協(xié)議數(shù)據(jù)的深度檢查；

④ 使用MU 8000發(fā)送異常的語(yǔ)音/視頻類(lèi)業(yè)務(wù)報(bào)文，測(cè)試安全分域設(shè)備對(duì)語(yǔ)音/視頻類(lèi)協(xié)議的訪問(wèn)控制和對(duì)協(xié)議數(shù)據(jù)的深度檢查；

⑤ 使用Avalanche測(cè)試儀進(jìn)行協(xié)議非法報(bào)文攻擊(包含緩沖區(qū)溢出、非法字段擾亂等)，測(cè)試安全分域設(shè)備對(duì)協(xié)議數(shù)據(jù)的深度檢查和網(wǎng)絡(luò)攻擊抵御能力；

⑥ 在上述測(cè)試過(guò)程中，使用流量監(jiān)測(cè)信息匯集設(shè)備采集服務(wù)器和終端的流量數(shù)據(jù)，并上報(bào)給流量綜合監(jiān)測(cè)設(shè)備，在流量綜合監(jiān)測(cè)設(shè)備上對(duì)上報(bào)的流量數(shù)據(jù)進(jìn)行查看、分析和統(tǒng)計(jì)。

測(cè)試結(jié)果表明，安全分域設(shè)備能夠支持正常業(yè)務(wù)通信，阻斷惡意流量，加強(qiáng)對(duì)業(yè)務(wù)系統(tǒng)的安全防護(hù)和管理；網(wǎng)絡(luò)流量分布監(jiān)控系統(tǒng)能夠采集網(wǎng)絡(luò)的流量信息，監(jiān)視、檢測(cè)和評(píng)估PTN的網(wǎng)絡(luò)安全狀況。安全增強(qiáng)設(shè)計(jì)方案進(jìn)一步保證了PTN統(tǒng)一承載的各業(yè)務(wù)系統(tǒng)的應(yīng)用安全。

5　結(jié)束語(yǔ)

理論分析和計(jì)算表明，PTN是一種網(wǎng)絡(luò)安全屬性比較好的通信網(wǎng)絡(luò)形態(tài)，并能夠滿足電網(wǎng)業(yè)務(wù)對(duì)網(wǎng)絡(luò)時(shí)延的要求，具備電網(wǎng)業(yè)務(wù)承載能力。通過(guò)安全增強(qiáng)設(shè)計(jì)，為PTN網(wǎng)絡(luò)添加分域控制管理和網(wǎng)絡(luò)流量分布監(jiān)控2層保護(hù)，實(shí)現(xiàn)了PTN統(tǒng)一承載多業(yè)務(wù)的傳輸隔離，并對(duì)PTN網(wǎng)絡(luò)的流量信息進(jìn)行采集和分析，及時(shí)發(fā)現(xiàn)和阻斷非法流量，使PTN網(wǎng)絡(luò)的總體安全屬性得到進(jìn)一步改善。經(jīng)過(guò)安全增強(qiáng)設(shè)計(jì)的PTN網(wǎng)絡(luò)能夠滿足電網(wǎng)多業(yè)務(wù)、通道隔離及傳輸時(shí)延等要求，使用PTN網(wǎng)絡(luò)承載電網(wǎng)多種應(yīng)用業(yè)務(wù)是安全可行的。

[1]湯憶則，馬平，高鈞利，等.基于智能電網(wǎng)的一體化信息通信網(wǎng)絡(luò)發(fā)展研究[J].數(shù)字通信，2014，41(4)：80-83.

[2]張沛，何磊，劉曉甲，等.MPLS-TP網(wǎng)絡(luò)生存性策略分析[J].郵電設(shè)計(jì)技術(shù)，2010(4)：26-30.

[3]唐劍峰，徐榮.PTN-IP化分組傳輸[M].北京：北京郵電大學(xué)出版社，2009.

[4]王元杰，楊宏博，方遒鏗，等.電信網(wǎng)新技術(shù)IPRAN/PTN[M].北京：人民郵電出版社，2014.

[5]楊一荔，李慧敏，文化.PTN技術(shù)[M].北京：人民郵電出版社，2014.

[6]王曉義，李大為.PTN網(wǎng)絡(luò)建設(shè)及其應(yīng)用[M].北京：人民郵電出版社，2010.

[7]孫玉.電信網(wǎng)絡(luò)安全總體防衛(wèi)討論[M].北京：人民郵電出版社，2008.

[8]何廷潤(rùn).網(wǎng)絡(luò)安全的“美國(guó)樣本”解析與借鑒[J].移動(dòng)通信,2014,38(23):21-24.

[9]DL/T688-1999.電力系統(tǒng)遠(yuǎn)方跳閘信號(hào)傳輸裝置[S]，1999.

[10]DL/T5062-1996.微波電路傳輸繼電保護(hù)信號(hào)信息設(shè)計(jì)技術(shù)規(guī)定[S]，1996.

[11]魏承志，趙曼勇，金鑫，等.PTN網(wǎng)絡(luò)保護(hù)技術(shù)在電力系統(tǒng)中的應(yīng)用研究[J].南方能源建設(shè)，2015，2(2)：115-118.

[12]杜潔，李洋.PTN通信系統(tǒng)的通道隔離度分析[J].云南電力技術(shù)，2013，41(1)：54-59.

[13]薛金，余江，常俊，等.基于PTN技術(shù)的配電通信網(wǎng)隔離度評(píng)估研究[J].電力系統(tǒng)保護(hù)與控制，2013，41(16)：60-65.

[14]石景欣,鄧東豐.我國(guó)網(wǎng)絡(luò)信息安全重大舉措與問(wèn)題分析[J].移動(dòng)通信,2014,38(23):5-8.

劉曉東男，(1983—)，碩士，高級(jí)工程師。主要研究方向：網(wǎng)絡(luò)安全。

梁洪泉男，(1981—)，博士，高級(jí)工程師。主要研究方向：可信網(wǎng)絡(luò)、通信系統(tǒng)與網(wǎng)絡(luò)仿真。

Power Service Carrying Capacity Analysis and Security Enhancement Design of PTN Network

LIU Xiao-dong1,LIANG Hong-quan1,YANG Hui-feng2,XU Shu-bin1,ZHANG Lin-jie1

(1.The 54th Research Institute of CETC,Shijiazhuang Hebei 050081,China；2.StateGridHebeiElectricpowerInformation&CommunicationBranch,ShijiazhuangHebei050021,China)

Considering the requirement of multi-service unified carrying over PTN,the network features of PTN are studied with respect to communication mechanism,security attributes and transmission delay properties,according to its multiplexing mode and addressing mode.The time delay of power control signal transmission using PTN is calculated and the channel isolation of PTN is analyzed.According to the service isolation requirements of smart grid,a security enhancement design of PTN is presented,and a scheme of “PTN + domain partition control + data flow distribution measurement” is proposed.The test results show that the security enhancement scheme further guarantees the application security of the service systems uniformly carried by PTN.

PTN;security attribute;transmission delay;isolation;security enhancement design

10.3969/j.issn.1003-3106.2016.09.06

2016-05-19

國(guó)家高技術(shù)研究發(fā)展計(jì)劃(“863”計(jì)劃)基金資助項(xiàng)目(2015AA015701)；國(guó)家電網(wǎng)公司科技項(xiàng)目SGRIXTKJ(2015)406號(hào)。

TN915.02

A

1003-3106(2016)09-0024-04

引用格式：劉曉東,梁洪泉,楊會(huì)峰,等.PTN網(wǎng)絡(luò)電力業(yè)務(wù)承載能力分析和安全增強(qiáng)設(shè)計(jì)[J].無(wú)線電工程,2016,46(9):24-27.