当前，电力通过公网传送的业务，目前全部采用了3G的GPRS传送，一方面因电力业务的特殊性，通过公网的VPN存在安全风险，另外还需要通过公网实现IP地址转换，实际部署非常麻烦，不利于电力业务的应用。另外一方面，随着电力业务的增加，以及系统的增加，目前面临带宽、安全和运维量的问题。因此急需解决电力公网传送业务带宽和采用二层透传问题，以及提高数据的可靠性，同时降低维护难度和运维成本。因此，利用公网的VPDN方式建立安全隧道，终端和系统之间采用的是三层VPN的技术互联,不但浪费大量的流量同时还为运维带来巨大困难。

针对以上情况，在不利于有线网络覆盖环境下以无线的方式实现数据回传的业务，采用3G /4G高速无线网络作为数据承载网络，为远程设备和站点之间的联网提供安全高速的无线连接。同时无线回传的备份功能应与光纤网络互为链路备份应用，实现有线网络和无线网络的无缝融合，保证数据传输的可靠运行。

1 无线VPDN技术概要

无线VPDN是一种新兴的、基于无线网络并结合当前主流VPN技术的安全无线接入技术，是运营商在当前大网运营环境下独立划分出来的、专门针对行业应用提供的与公众互联网隔离的虚拟专用拨号网络，该网络并入运营商的骨干，简化传输节点，能够提供最优路由。其利用二层隧道技术为客户构建与公众互联网隔离的虚拟专网，用户可使用移动终端通过无线宽带VPDN网络安全地访问客户网络或应用系统，从而满足移动办公、移动数据采集、无线数据传输等需求。

4G专线接入终端支持运营商的无线VPDN平台，为客户提供更放心、更方便的数据传输服务。4G专线接入终端接入VPDN以后，可以带来如下的优势：

（1）从无线接入层面就进入电信级的专用网络，与普通互联网业务隔离；可以提供更安全更稳定的服务。

（2）可以从无线网络获得固定的IP地址，两台4G专线接入终端可以实现点对点直连互通，无需中心服务器的参与。

4G专线接入终端基于TLS技术提供网络安全保障，可以有效防范非法接入和数据篡改，给用户提供基于公共互联网的私有安全传输通道。如果客户希望传输通道与公共互联网隔离，以获取进一步的数据安全和性能稳定保障，可以通过设置4G专线终端接入电信的VPDN网络来实现。

2 无线VPDN技术在电力通信中分析和研究

2.1 技术适应性分析

4G专线接入设备通过4G无线网络接入Internet，通过IP 隧道技术建立点对点或者点对多点的VPN连接，从而实现虚拟的以太网专线互联和汇聚。本产品基于嵌入式Linux实现，充分考虑了网络安全因素，采用TLS技术实现接入设备的双向认证以及业务数据的加密和验证，有效预防非法接入和数据中途篡改，给用户提供一个基于互联网的私有安全通道。

4G专线接入产品采用国际标准的TLS协议实现传输通道的数据安全，具体体现在下面五个方面：

（1）服务器和每台远端设备都需要分发数字证书，以在后续的TLS通信中协助完成身份认证和密钥交换；

（2）控制通道采用2 048 bit RSA架构，使用SHA1算法作为hash函数，RSA作为身份认证，256位AES加密来实现 Diffie-Hellman密钥交换；

（3）数据通道采用对称加密技术，支持160 bit BLOWFISH，以及AES 128/256算法；

（4）数据通道采用动态密钥机制，密钥每小时进行重新协商和更新；

（5）服务器和远端设备进行双向认证。服务器只接收合法的远端设备连接；同时远端设备也认证服务器，保证只连接到正确的服务器。

2.2 需求分析

针对电力通信系统的需要，本文设计和实现了一套4G无线移动终端，用于电力业务的传送，该设备需要达到以下要求：

（1）要求无线终端为工业化设备，设备至少能够提供4个以太网端口；

（2）基于二层协议的VPN隧道协议；

（3）设备支持内置4G模块，支持各运营商移动制式网络；

（4）APN/VPDN，支持各运营商移动制式网络以及VPDN业务，并可进行无线网络的自动切换，APN参数可修改；

（5）支持VPN隧道协议，EOIP/VxLAN；

（6）支持端口限速和防火墙等功能。

2.3 方案设计

本文设计了4G无线终端设备3套，其中一套具备汇聚功能，如图1所示。4G专线接入终端设备利用4G无线网络接入运营商的IP网络，通过IP 隧道技术建立点对点或者点对多点的VPN连接，从而实现虚拟的以太网专线互联和汇聚。本产品基于嵌入式Linux实现，充分考虑了网络安全因素，采用SSL/TLS技术实现接入设备的双向认证以及业务数据的加密和验证，有效预防非法接入和数据中途篡改，给用户提供一个基于互联网的私有安全通道。

本方案主要提供两个相距较远节点间的点对点数据传输，在两个节点间各放置一台4G无线接入设备，两个节点间利用运营商4G/3G/2G无线网络实现通信，无需光纤或有线电路资源，业务开通快捷，非常适合各类应急通信业务。

本方案所建立的隧道是基于TLS协议实现的，服务器实现对远端设备的接入认证和鉴权；在隧道建立的过程中，双方根据RSA架构协商数据加密算法和密钥，并在后续的传输过程中对数据进行加密，以保障用户数据的安全。

（1）无线通道基于TLS技术建立安全连接：无线通道通过TLS协议完成通信双方的身份验证和动态密钥交换，并对通信数据进行处理防止中途篡改和泄露。设备通过数字证书机制实现安全接入和通信；设备开通业务前需要导入合法的数字证书。

（2）严格的设备防火墙设置：设备采用了严格的防火墙配置，无线网络则仅开通一个用于数据连接的UDP端口，拒绝其他任何访问。

（3）支持运营商VPDN/APN专网接入：设备支持接入运营商的VPDN/APN专网，以使传输通道与公共互联网隔离，以获取进一步的数据安全和性能稳定保障。

3 实际测试和应用

本论文所设计和实现的方案，在北京电力公司进行了部署和实施，测试环境和过程如图2所示。

本测试需要的设备包括：（1）4G专线接入服务器1台；（2）4G专线终端2台。本测试需要的其他资源（由联通公司提供）：4G VPDN 功能 SIM卡3个（终端和远端使用，实际使用SIM卡的通道为4G）。

测试过程如下：

（1）把 4G SIM卡插入到3台设备中去，配置并配置好业务；

（2）指挥控制中心IP地址PING DUT设备IP地址-1，看是否能ping通对端IP地址；

（3）指挥控制中心IP地址PING DUT设备IP地址-2，看是否能ping通对端IP地址；

目前实现的功能包括：公司通过公网传送的业务，目前全部采用了3G的GPRS传送，利用公网的VPDN方式建立安全隧道，终端和系统之间采用的是三层VPN的技术互联，不但浪费大量的流量同时还为运维带来巨大困难。随着电力业务的增加，以及系统的增加，目前面临带宽、安全和运维量的问题。因此急需解决电力公网传送业务带宽和采用二层透传问题，以及提高数据的可靠性，同时降低维护难度和运维成本。

4 结束语

针对目前电力公网传送业务带宽和采用二层透传问题，本文提出了一种以基于无线VPDN的方案，可利用二层隧道技术为客户构建与公众互联网隔离的虚拟专网，用户可使用移动终端通过无线宽带VPDN网络安全的访问客户网络或应用系统，经过在北京电力公司等单位的部署和实施，表明该方案不仅能够满足移动办公、移动数据采集、无线数据传输等需求，而且能够提供数据安全和性能稳定的保障。

参考文献

[1]3GPP TS 36.300 Evolved Universal Terrestrial Radio Access (E-UTRA) and Evolved Universal Terrestrial Radio Access Network (E-UTRAN); Overall description.

[2]电力系统通信设计技术规定，2016年DL/T 5391-2007.

[3]电力监控系统安全防护总体方案等安全防护方案和评估规范，（国能安全〔2015〕36号）.

[4]电力监控系统安全防护规定，（国家发改委发布〔2014〕第14号）.

作者信息:

康福填1，上官甲天1，王登政1，栗红照1，安 冲1，马 凯2，王 磊3

（1.国网北京市电力公司房山供电公司，北京102401；2.国网北京市电力公司客户服务中心，北京100031；

3.国网北京市电力公司信息通信分公司，北京100031）