鄒穎，王一蓉，王艷茹，王思寧

（北京國電通網絡技術有限公司，北京100070）

電力信息化專欄

國網客服中心南北園區(qū)無線VPN組網結構及安全防護

鄒穎，王一蓉，王艷茹，王思寧

（北京國電通網絡技術有限公司，北京100070）

探索了適用于國家電網客服中心南北園區(qū)的無線虛擬專網組網結構，該結構將充分考慮園區(qū)的無線應用和通信需求。分析了無線虛擬專網存在的安全接入風險和無法管控的缺陷，并提出了適用于園區(qū)的解決思路；從終端、網絡、邊界和應用4個層面深入研究無線虛擬專網在園區(qū)組網的安全性，可以為園區(qū)無線虛擬專網的設計和建設提供參考。

無線虛擬專網；業(yè)務承載；組網結構；安全防護

1 引言

根據(jù)國家電網公司（State Grid Corporation of China，SGCC）客服中心南北園區(qū)“安全性、創(chuàng)新性、經濟性、開放性”的園區(qū)體系設計，全面整合園區(qū)分布式能源，廣泛集成能量信息，實現(xiàn)對多種能源的協(xié)調控制和綜合能效管理；建成多點接入、網絡共享、需求感知的園區(qū)能源互聯(lián)網，以人為本、以創(chuàng)新為驅動，通過豐富專業(yè)的服務和業(yè)務，服務園區(qū)的運營、辦公和生活；物聯(lián)網、云服務、大數(shù)據(jù)等智慧元素的融入，實現(xiàn)了各類服務的高度集成和相互聯(lián)動，凸顯了“安全高效、智能互動、綠色健康、舒適便捷”的智慧特征。無線虛擬專網作為重要的無線網絡邊緣接入手段，將在一定程度上豐富和完善南北園區(qū)的無線通信需求。

本文從無線虛擬專網的組網架構及安全防護2個主要方面入手，為園區(qū)無線網絡邊緣接入的規(guī)劃、設計和建設提供參考。

2 需求分析

2.1 業(yè)務承載需求

園區(qū)無線虛擬專網的基礎功能是滿足園區(qū)無線應用業(yè)務現(xiàn)狀和未來新增無線業(yè)務的接入需求，是保證園區(qū)無線虛擬專網在新形勢下的擴展和支撐園區(qū)物聯(lián)網發(fā)展的重要基礎網絡，可在促進電網生產運行和企業(yè)管理全過程的全景感知、信息融合及智能管理與決策方面發(fā)揮重要作用。智能電網無線應用業(yè)務需求分為智能電網廣泛采集類、業(yè)務互動化類、數(shù)據(jù)實時處理類、識別與定位類、遠程控制類和監(jiān)控告警類等［1，2］。

作為園區(qū)通信的補充手段，園區(qū)無線虛擬專網的應用能進一步提升園區(qū)傳感器網絡覆蓋、管理數(shù)據(jù)采集、決策信息化支持以及數(shù)據(jù)類別數(shù)量采集的質量和效率。

2.2 網絡需求

國家電網公司在“十二五”通信網規(guī)劃中提出，“十二五”期間堅強智能電網建設不僅要求通信網在核心層要有強大的承載能力和堅強網絡架構，還要在接入層有廣泛、靈活的邊緣接入能力［3，4］。

在將園區(qū)信息互聯(lián)互通的程度以及園區(qū)內接入網絡的及時性和便捷程度作為園區(qū)信息通信主要考核指標的基礎上，園區(qū)對通信網接入能力提出了全方位、多樣化、靈活便利、經濟高效等要求。園區(qū)無線應用業(yè)務的多樣性對承載無線應用的無線虛擬專網在接入質量和速率、傳輸質量和速率、提供的服務以及管理方面提出了更高的要求。

2.3 安全防護需求

園區(qū)無線虛擬專網的安全防護應積極采用各種先進技術，在接入安全、通道安全、邊界安全、安全審計等方面加以防范，確保無線應用數(shù)據(jù)傳輸?shù)陌踩?。園區(qū)無線虛擬專網安全防護應做到“事前預防、事中監(jiān)督、事后處理”，管理手段與技術措施相結合，保障園區(qū)無線虛擬專網及其所承載業(yè)務的安全穩(wěn)定運行。

3 組網結構設計

根據(jù)國家電網客服中心南北園區(qū)的地域特點和業(yè)務需求以及園區(qū)無線應用業(yè)務分散接入等問題，宜建設集中接入的園區(qū)無線虛擬專網［5，6］。

3.1 網絡架構

園區(qū)無線虛擬專網的網絡位置示意如圖1所示。

園區(qū)無線虛擬專網總體組網架構采用各園區(qū)分別與當?shù)剡\營商進行專線對接的模式，園區(qū)無線虛擬專網架構如圖2所示。

對于需要接入信息內網的業(yè)務，業(yè)務數(shù)據(jù)從終端接入運營商的無線網絡，使用運營商的不同隧道技術進行封裝，經過虛擬專屬通道傳輸至目的地址進行解封裝，還原業(yè)務數(shù)據(jù)格式后，通過專線接入信息內網。若該業(yè)務需匯聚至國家電網公司總部，業(yè)務數(shù)據(jù)將通過綜合數(shù)據(jù)網從各園區(qū)信息內網傳輸至公司總部信息內網。該組網方式在實現(xiàn)園區(qū)對網絡出口的統(tǒng)一管理、提高出口資源利用率的同時，避免了因分散接入造成的資源浪費以及因分散建設和管理產生的安全隱患。

圖1 園區(qū)無線虛擬專網的網絡位置示意

圖2 園區(qū)無線虛擬專網架構

3.2 網絡接入方案

園區(qū)無線虛擬專網業(yè)務終端依托運營商網絡接入，可采用APN接入或VPDN撥號接入方式。

3.2.1 APN接入

APN接入方式適用于對安全性要求不高的業(yè)務終端的接入，基本要求如下：

·業(yè)務終端應采用園區(qū)專用APN接入；

·APN使用原則建議按照業(yè)務的安全等級進行分類，不同安全等級的業(yè)務使用不同的APN接入；

·應支持IP地址靜態(tài)分配和動態(tài)分配。

3.2.2 VPDN撥號接入

VPDN撥號接入方式適用于對安全性要求較高的業(yè)務終端的接入，基本要求如下：

·VPDN撥號接入應采用L2TP隧道技術；

·各園區(qū)應納入各對應省市電力公司的自建LNS及AAA服務器范疇中；

·應支持IP地址靜態(tài)分配和動態(tài)分配。

3.3 網絡傳輸方案

園區(qū)無線虛擬專網業(yè)務數(shù)據(jù)在運營商承載網中傳輸可采用GRE隧道技術或L2TP隧道技術。

3.3.1 GRE隧道傳輸技術

GRE方式［7］在網絡接入時不進行用戶名和密碼的認證，安全性偏低，需要在業(yè)務層進行安全控制，這種接入方式部署簡單、靈活，適合業(yè)務終端量較大且對安全性要求不高的無線應用，目前中國移動和中國聯(lián)通均支持此方式。

業(yè)務終端采用專用APN接入時，業(yè)務數(shù)據(jù)從運營商核心網的網關支持節(jié)點到園區(qū)信息網絡邊界傳輸時，使用GRE隧道技術，GRE隧道可選擇終結于運營商側或園區(qū)側：GRE隧道終結于園區(qū)側時，其終結于園區(qū)邊界示意如圖3所示；GRE隧道終結于運營商側時，運營商網關支持節(jié)點到運營商邊界設備宜使用GRE或GRE+MPLS-VPN隧道技術，GRE隧道終結于運營商邊界示意如圖4所示。

3.3.2 L2TP隧道傳輸技術

對于安全級別要求高的無線應用，建議使用L2TP方式［8］。業(yè)務終端采用VPDN撥號接入時，業(yè)務數(shù)據(jù)從運營商核心網的網關支持節(jié)點到園區(qū)信息網絡邊界傳輸宜使用L2TP隧道技術，應納入相應省市電力公司LNS。

納入省市電力公司自建LNS時，從運營商網關支持節(jié)點到電力LNS采用L2TP隧道傳輸，L2TP隧道示意如圖5所示。

租用運營商LNS時，從運營商網關支持節(jié)點到運營商LNS采用L2TP隧道傳輸，運營商LNS到運營商邊界設備采用MPLS-VPN隧道或專線傳輸，L2TP+MPLS-VPN隧道示意如圖6所示，L2TP隧道示意如圖7所示。

3.4 網絡邊界部署

（1）邊界部署方式1

網絡邊界部署方式1適用于以下2種情況：業(yè)務終端采用專用APN接入；業(yè)務終端采用VPDN撥號接入，租用運營商的LNS及AAA服務器。各園區(qū)宜在網絡邊界部署園區(qū)邊界接入設備、邊界防護設備和入侵檢測設備，其中園區(qū)邊界接入設備和邊界防護設備宜采用冗余熱備份的方式部署。網絡邊界部署方式1如圖8所示。

圖3 GRE隧道終結于園區(qū)邊界示意

圖4 GRE隧道終結于運營商邊界示意

圖5 L2TP隧道示意（相應省市電力公司自建LNS）

圖6 L2TP+MPLS-VPN隧道示意（租用運營商LNS）

圖7 L2TP隧道示意（租用運營商LNS）

（2）邊界部署方式2

網絡邊界部署方式2適用于業(yè)務終端采用VPDN撥號接入，該方式下的LNS和AAA服務器可利用各相應省市電力公司自建的LNS及AAA服務器。各園區(qū)網絡邊界宜部署電力LNS設備、AAA服務器、邊界防護設備和入侵檢測設備，其中LNS設備和邊界防護設備宜采用冗余熱備份的方式部署。網絡邊界部署方式2如圖9所示。

3.5 可靠性設計

（1）網絡鏈路

運營商應提供園區(qū)無線虛擬專網骨干傳輸鏈路的冗余保護技術；各園區(qū)與各運營商互聯(lián)的專線應有物理不同路由的冗余保護線路；園區(qū)無線虛擬專網邊界設備互聯(lián)應有冗余保護線路。

（2）網絡核心設備

園區(qū)無線虛擬專網核心設備邊界接入設備、邊界安全防護設備等宜采用冗余熱備份的方式組網，不具備份冗余熱備份條件的可采用冗余冷備份的方式組網。

圖8 網絡邊界部署方式1

圖9 網絡邊界部署方式2

4 安全防護研究

園區(qū)無線虛擬專網的安全防護應在接入安全、通道安全、邊界安全、安全審計等方面加以防范［9］。如采用加密技術、接入認證技術、冗余備份技術、訪問控制技術、安全審計技術、網絡管理技術等，為園區(qū)無線虛擬專網提供數(shù)據(jù)加密、身份認證、安全備份、訪問控制、安全審計、數(shù)據(jù)完整性驗證等多種安全防護保障，有效抵抗竊取網絡信息、篡改網絡數(shù)據(jù)和網絡重放攻擊，確保園區(qū)無線虛擬專網數(shù)據(jù)的機密性，保證其數(shù)據(jù)的安全性。在園區(qū)無線虛擬專網日常運行維護管理中，應加強規(guī)范管理，嚴格執(zhí)行安全運行維護等管理制度，建立相應的應急響應體系。

4.1 接入安全

終端接入園區(qū)信息網絡時，采用AAA認證技術進行接入控制，驗證終端的合法性（如驗證終端的用戶名、密碼、IMSI等信息）。同時，根據(jù)接入終端類型的不同采用不同的策略，生產類終端要求運營商支持APN/VPDN接入點與SIM卡綁定，一張SIM卡只允許一個APN/VPDN接入，非生產類終端采用數(shù)字證書的方式進行接入認證。

4.2 通道安全

園區(qū)無線虛擬專網傳輸通道包括運營商通道和邊界接入通道兩部分，其中運營商通道又可分為無線接入通道與有線傳輸通道。園區(qū)無線虛擬專網通道示意如圖10所示。

4.2.1 運營商通道

無線接入通道是指從終端至無線基站的無線通信鏈路，有線傳輸通道是指從無線基站至運營商網絡邊界的通信鏈路。運營商通道具備良好的冗余性，能確保業(yè)務不受通道故障的影響；無線傳輸通道應進行加密，以防止非法竊聽；無線基站應提供一定的接入能力，以防止通信通道被占用而導致終端無法進行數(shù)據(jù)傳送；有線傳輸通道應支持L2TP/GRE隧道技術，建立電力專屬虛擬鏈路，結合IPSec等加密技術措施，確保虛擬專屬通道的私有性與安全性。

4.2.2 邊界接入通道

邊界接入通道是指從運營商有線網絡邊界至園區(qū)信息網絡邊界的通信鏈路。邊界接入通道采用專用鏈路，使用雙物理鏈路提供鏈路的冗余，采用專用加密通道技術保證邊界接入鏈路傳輸?shù)陌踩浴?/p>

圖10 園區(qū)無線虛擬專網通道示意

4.3 邊界安全

在園區(qū)無線虛擬專網網絡邊界建立一套多層次的全面安全防護體系，包含邊界防護設備與安全應用防護系統(tǒng)。邊界防護設備功能包括訪問控制、入侵檢測、數(shù)據(jù)過濾；安全應用防護系統(tǒng)應具備安全隔離、完整性校驗等業(yè)務應用安全防護功能。網絡邊界安全防護體系邏輯架構如圖11所示。

4.3.1 邊界防護設備

邊界防護設備應滿足《信息系統(tǒng)安全等級保護基本要求》的要求，邊界防護設備具有以下防護功能。

·訪問控制。邊界防護設備具有訪問控制功能，訪問控制通過對數(shù)據(jù)分組的源地址、目的地址、源端口、目的端口、網絡協(xié)議等參數(shù)進行配置，對進出信息網絡的數(shù)據(jù)流制定細粒度訪問控制策略。

·入侵檢測。邊界防護設備具備入侵檢測功能，入侵檢測功能可以檢測網絡中3～7層的入侵行為，并進行告警。

·數(shù)據(jù)過濾。邊界防護設備宜具備對接入的數(shù)據(jù)報文

進行分析與校驗的功能，保障接入數(shù)據(jù)的安全性。

4.3.2 安全應用防護系統(tǒng)

與園區(qū)信息網絡進行數(shù)據(jù)交互的業(yè)務宜采用安全應用防護系統(tǒng)提供安全隔離、完整性校驗等應用安全服務，對安全應用防護系統(tǒng)的基本要求如下：

·支持對終端進行軟、硬件信息的完整性校驗；

·支持信息網絡與終端之間的雙向隔離以及安全數(shù)

據(jù)交換，任何形式的數(shù)據(jù)分組、信息傳輸命令和

TCP/IP都無法穿透。

4.3.3 安全審計

安全審計應滿足《信息系統(tǒng)安全等級保護基本要求》與《電力二次系統(tǒng)安全防護總體方案》的要求。安全審計由一級安全審計系統(tǒng)、二級安全審計系統(tǒng)和安全審計探針組成。安全審計防護邏輯示意如圖12所示。

一級安全審計系統(tǒng)基本要求如下：支持與二級安全審計平臺之間通過專有的協(xié)議進行安全數(shù)據(jù)交換；能存儲6個月內各園區(qū)公司二級安全審計平臺上報的各類安全事件；能實時展現(xiàn)各園區(qū)二級安全審計平臺上報的高級安全事件。

二級安全審計系統(tǒng)基本要求如下：支持與一級安全審計平臺以及安全審計探針之間通過專有的協(xié)議進行安全數(shù)據(jù)交換；能接收并分析安全審計探針上報的流量信息，建立正常業(yè)務需求的最小訪問關系系統(tǒng)模型；能通過最小訪問關系模型對流量信息進行實時監(jiān)控，檢出業(yè)務系統(tǒng)中有超出模型制定的流量，即判定為異常網絡行為；判斷并展現(xiàn)網絡異常行為，如違反通信協(xié)議的異常網絡流量、內部人員的非授權訪問和惡意攻擊、通過內部主機作為跳板的非授權訪問、內部的惡意程序傳播。

安全審計探針基本要求如下：支持與二級安全審計平臺之間通過專有的協(xié)議進行安全數(shù)據(jù)交換；部署于GRE、L2TP隧道解封裝終結點之后的數(shù)據(jù)交換裝置處；支持基于業(yè)務協(xié)議的實時安全審計，能識別終端與應用系統(tǒng)之間的應用協(xié)議，能檢測協(xié)議誤用，能檢測DDoS、蠕蟲、病毒、木馬等常見網絡威脅；支持流量特征采集并上送到二級安全審計平臺，包含來源IP地址、來源端口號、目的IP地址、目的端口號、協(xié)議種類、服務種類等特征字段。

圖11 網絡邊界安全防護體系邏輯架構

圖12 安全審計防護邏輯示意

4.4 管理安全

建立園區(qū)無線虛擬專網的運行維護安全制度與相應的應急響應聯(lián)動機制，并滿足國家電網公司與國家的安全要求。建立無線虛擬專網的終端安全管理、人員安全管理、SIM卡安全管理、運行值班安全管理等安全管理制度。

5 結束語

國家電網公司客服中心南北園區(qū)無線虛擬專網是在充分考慮國家電網公司信息通信網絡資源的基礎上，借助于移動運營商的2G/3G/4G無線接入網絡，通過無縫的網絡銜接和成熟的技術融合，打造了一個端到端的、系統(tǒng)化的、規(guī)范化的、可管可控的園區(qū)無線虛擬專網，提供安全、專用的信息傳輸通道，并研發(fā)了一個融合語音、短信、數(shù)據(jù)、圖像、視頻等多業(yè)務和應用的、可擴展的智能管控系統(tǒng)，實現(xiàn)對園區(qū)無線通信業(yè)務的有效補充和穩(wěn)步推進，支撐園區(qū)物聯(lián)網的發(fā)展，促進園區(qū)生產運行及管理的全過程信息融合、全景全息感知及智能管理與決策［10］。同時將園區(qū)無線虛擬專網統(tǒng)一納入國家電網公司園區(qū)無線虛擬專網管理平臺，并單獨為國家電網公司客服中心南北園區(qū)劃分獨立的平臺管理域。

［1］孔震，葉文宸.移動應用技術在堅強智能電網中的作用［N］.國家電網報，2012-05-22.KONG Z，YE W C.The role of mobile application technology in the smart grid［N］.Stete Grid News，2012-05-22.

［2］ARAVINTHAN V，KARIMI B.Wireless communication for smart grid applications at distribution level-feasibility and requirements［C］/Power and Energy Society General Meeting，July 24-29，2011，San Diego，CA，USA.New Jersey：IEEE Press，2011：1-8.

［3］PATEL A，APARICIO J，TAS N，et al.Assessing communications technology options for smart grid applications［C］/2011 IEEE International Conference on Smart Grid Communications，October 17-20，2011，Brussels，Belgium.New Jersey：IEEE Press，2011：126-131.

［4］徐益強.基于3G的無線VPDN業(yè)務網的設計與實現(xiàn)［J］.環(huán)境預警與監(jiān)控，2010，2（5）：27-30.XU Y Q.Design and implementation of 3G-based wireless VPDN business network［J］.Environmental Monitoring and Forewarning，2010，2（5）：27-30.

［5］王一蓉，鄒穎，王艷茹.電力無線虛擬專網組網架構及IP地址分配研究［J］.電力信息與通信技術，2014，12（6）：16-21.WANG Y R，ZOU Y，WANG Y R.Study of network architecture and IP address allocation of wireless VPN for power grid［J］.Electric Power Information and Communication Technology，2014，12（6）：16-21.

［6］ZOU Y，WANG Y R，WANG N.Study of network architecture and IP address allocation of wireless VPN for power grid［J］.Electric Power Information and Communication Technology，2014（6）：305-309.

［7］HANKS S，LI T，F(xiàn)ARINACCI D，et al.RFC 1702-generic routing encapsulation over IPv4 networks［Z/OL］.［2015-09-20］.http：/xueshu.baidu.com/s？wd=paperuri%3A%283ba92bb792333f374 e6c45a78f9d6aae%29amp;filter=sc_long_signamp;tn=SE_xueshusource_2kduw22vamp;sc_vurl=http%3A%2F%2Fciteseer.ist.psu.edu%2Fviewdoc%2Fsummary%3Fdoi%3D10.1.1.375.9348amp;ie=utf-8.

［8］TOWNSLEY W，VALENCIA A，RUBENS A，et al.RFC2661-layer two tunneling protocol‘L2TP’［Z/OL］.［2015-09-20］.http：/www.faqs.org/rfcs/rfc2661.htm l.

［9］PI J Y，LIU X S，LIAO D Y，et al.A security scheme for power dispatching data network based on VPN［J］.Automation of Electric Power Systems，2007，31（14）：94-97.

［10］王一蓉，佟大力，鄧偉.電力無線虛擬專網應用分析及網絡設計［J］.電力信息與通信技術，2013，11（12）：49-52.WANG Y R，TONG D L，DENG W.Application analysis and network design of power grid wireless VPN［J］.Electric Power Information and Communication Technology，2013，11（12）：49-52.

Wireless VPN network structure and safety protection in the north and south call center of SGCC

ZOU Ying，WANG Yirong，WANG Yanru，WANG Sining
Beijing GuoDianTong Network Technology Co.，Ltd.，Beijing 100070，China

The wireless virtual private network structure suitable for the north and south call center of SGCC was explored.In the structure，the wireless applications and communication of the north and south call center of SGCC were considered.The existing access security risks and the cannot-control defects of wireless virtual private network were analyzed，and the solutions for the center were given.Through the research on wireless virtual private network security from the four aspects as the terminal，network，boundary and application，reference for the design and construction of the center wireless virtual private network was provided.

wireless virtual private network，service bearer，network structure，safety protection

TN915.853

A

10.11959/j.issn.1000-0801.2016075

2015-09-20；

2016-02-02

鄒穎（1978-），男，北京國電通網絡技術有限公司工程師，主要研究方向為電力信息通信網絡、無線通信和信息安全。

王一蓉（1979-），女，北京國電通網絡技術有限公司高級工程師，主要研究方向為電力信息通信網絡、無線通信和電力光纖到戶。

王艷茹（1985-），女，北京國電通網絡技術有限公司工程師，主要研究方向為電力信息通信、信息安全。

王思寧（1978-），女，北京國電通網絡技術有限公司工程師，主要研究方向為電力信息通信網絡、無線通信、電力光纖到戶。