國網客服中心南北園區無線VPN組網結構及安全防護

鄒穎，王一蓉，王艷茹，王思寧

（北京國電通網絡技術有限公司，北京100070）

電力信息化專欄

國網客服中心南北園區無線VPN組網結構及安全防護

鄒穎，王一蓉，王艷茹，王思寧

（北京國電通網絡技術有限公司，北京100070）

探索了適用于國家電網客服中心南北園區的無線虛擬專網組網結構，該結構將充分考慮園區的無線應用和通信需求。分析了無線虛擬專網存在的安全接入風險和無法管控的缺陷，并提出了適用于園區的解決思路；從終端、網絡、邊界和應用4個層面深入研究無線虛擬專網在園區組網的安全性，可以為園區無線虛擬專網的設計和建設提供參考。

無線虛擬專網；業務承載；組網結構；安全防護

1 引言

根據國家電網公司（State Grid Corporation of China，SGCC）客服中心南北園區“安全性、創新性、經濟性、開放性”的園區體系設計，全面整合園區分布式能源，廣泛集成能量信息，實現對多種能源的協調控制和綜合能效管理；建成多點接入、網絡共享、需求感知的園區能源互聯網，以人為本、以創新為驅動，通過豐富專業的服務和業務，服務園區的運營、辦公和生活；物聯網、云服務、大數據等智慧元素的融入，實現了各類服務的高度集成和相互聯動，凸顯了“安全高效、智能互動、綠色健康、舒適便捷”的智慧特征。無線虛擬專網作為重要的無線網絡邊緣接入手段，將在一定程度上豐富和完善南北園區的無線通信需求。

本文從無線虛擬專網的組網架構及安全防護2個主要方面入手，為園區無線網絡邊緣接入的規劃、設計和建設提供參考。

2 需求分析

2.1 業務承載需求

園區無線虛擬專網的基礎功能是滿足園區無線應用業務現狀和未來新增無線業務的接入需求，是保證園區無線虛擬專網在新形勢下的擴展和支撐園區物聯網發展的重要基礎網絡，可在促進電網生產運行和企業管理全過程的全景感知、信息融合及智能管理與決策方面發揮重要作用。智能電網無線應用業務需求分為智能電網廣泛采集類、業務互動化類、數據實時處理類、識別與定位類、遠程控制類和監控告警類等［1，2］。

作為園區通信的補充手段，園區無線虛擬專網的應用能進一步提升園區傳感器網絡覆蓋、管理數據采集、決策信息化支持以及數據類別數量采集的質量和效率。

2.2 網絡需求

國家電網公司在“十二五”通信網規劃中提出，“十二五”期間堅強智能電網建設不僅要求通信網在核心層要有強大的承載能力和堅強網絡架構，還要在接入層有廣泛、靈活的邊緣接入能力［3，4］。

在將園區信息互聯互通的程度以及園區內接入網絡的及時性和便捷程度作為園區信息通信主要考核指標的基礎上，園區對通信網接入能力提出了全方位、多樣化、靈活便利、經濟高效等要求。園區無線應用業務的多樣性對承載無線應用的無線虛擬專網在接入質量和速率、傳輸質量和速率、提供的服務以及管理方面提出了更高的要求。

2.3 安全防護需求

園區無線虛擬專網的安全防護應積極采用各種先進技術，在接入安全、通道安全、邊界安全、安全審計等方面加以防范，確保無線應用數據傳輸的安全性。園區無線虛擬專網安全防護應做到“事前預防、事中監督、事后處理”，管理手段與技術措施相結合，保障園區無線虛擬專網及其所承載業務的安全穩定運行。

3 組網結構設計

根據國家電網客服中心南北園區的地域特點和業務需求以及園區無線應用業務分散接入等問題，宜建設集中接入的園區無線虛擬專網［5，6］。

3.1 網絡架構

園區無線虛擬專網的網絡位置示意如圖1所示。

園區無線虛擬專網總體組網架構采用各園區分別與當地運營商進行專線對接的模式，園區無線虛擬專網架構如圖2所示。

對于需要接入信息內網的業務，業務數據從終端接入運營商的無線網絡，使用運營商的不同隧道技術進行封裝，經過虛擬專屬通道傳輸至目的地址進行解封裝，還原業務數據格式后，通過專線接入信息內網。若該業務需匯聚至國家電網公司總部，業務數據將通過綜合數據網從各園區信息內網傳輸至公司總部信息內網。該組網方式在實現園區對網絡出口的統一管理、提高出口資源利用率的同時，避免了因分散接入造成的資源浪費以及因分散建設和管理產生的安全隱患。

圖1 園區無線虛擬專網的網絡位置示意

圖2 園區無線虛擬專網架構

3.2 網絡接入方案

園區無線虛擬專網業務終端依托運營商網絡接入，可采用APN接入或VPDN撥號接入方式。

3.2.1 APN接入

APN接入方式適用于對安全性要求不高的業務終端的接入，基本要求如下：

·業務終端應采用園區專用APN接入；

·APN使用原則建議按照業務的安全等級進行分類，不同安全等級的業務使用不同的APN接入；

·應支持IP地址靜態分配和動態分配。

3.2.2 VPDN撥號接入

VPDN撥號接入方式適用于對安全性要求較高的業務終端的接入，基本要求如下：

·VPDN撥號接入應采用L2TP隧道技術；

·各園區應納入各對應省市電力公司的自建LNS及AAA服務器范疇中；

·應支持IP地址靜態分配和動態分配。

3.3 網絡傳輸方案

園區無線虛擬專網業務數據在運營商承載網中傳輸可采用GRE隧道技術或L2TP隧道技術。

3.3.1 GRE隧道傳輸技術

GRE方式［7］在網絡接入時不進行用戶名和密碼的認證，安全性偏低，需要在業務層進行安全控制，這種接入方式部署簡單、靈活，適合業務終端量較大且對安全性要求不高的無線應用，目前中國移動和中國聯通均支持此方式。

業務終端采用專用APN接入時，業務數據從運營商核心網的網關支持節點到園區信息網絡邊界傳輸時，使用GRE隧道技術，GRE隧道可選擇終結于運營商側或園區側：GRE隧道終結于園區側時，其終結于園區邊界示意如圖3所示；GRE隧道終結于運營商側時，運營商網關支持節點到運營商邊界設備宜使用GRE或GRE+MPLS-VPN隧道技術，GRE隧道終結于運營商邊界示意如圖4所示。

3.3.2 L2TP隧道傳輸技術

對于安全級別要求高的無線應用，建議使用L2TP方式［8］。業務終端采用VPDN撥號接入時，業務數據從運營商核心網的網關支持節點到園區信息網絡邊界傳輸宜使用L2TP隧道技術，應納入相應省市電力公司LNS。

納入省市電力公司自建LNS時，從運營商網關支持節點到電力LNS采用L2TP隧道傳輸，L2TP隧道示意如圖5所示。

租用運營商LNS時，從運營商網關支持節點到運營商LNS采用L2TP隧道傳輸，運營商LNS到運營商邊界設備采用MPLS-VPN隧道或專線傳輸，L2TP+MPLS-VPN隧道示意如圖6所示，L2TP隧道示意如圖7所示。

3.4 網絡邊界部署

（1）邊界部署方式1

網絡邊界部署方式1適用于以下2種情況：業務終端采用專用APN接入；業務終端采用VPDN撥號接入，租用運營商的LNS及AAA服務器。各園區宜在網絡邊界部署園區邊界接入設備、邊界防護設備和入侵檢測設備，其中園區邊界接入設備和邊界防護設備宜采用冗余熱備份的方式部署。網絡邊界部署方式1如圖8所示。

圖3 GRE隧道終結于園區邊界示意

圖4 GRE隧道終結于運營商邊界示意

圖5 L2TP隧道示意（相應省市電力公司自建LNS）

圖6 L2TP+MPLS-VPN隧道示意（租用運營商LNS）

圖7 L2TP隧道示意（租用運營商LNS）

（2）邊界部署方式2

網絡邊界部署方式2適用于業務終端采用VPDN撥號接入，該方式下的LNS和AAA服務器可利用各相應省市電力公司自建的LNS及AAA服務器。各園區網絡邊界宜部署電力LNS設備、AAA服務器、邊界防護設備和入侵檢測設備，其中LNS設備和邊界防護設備宜采用冗余熱備份的方式部署。網絡邊界部署方式2如圖9所示。

3.5 可靠性設計

（1）網絡鏈路

運營商應提供園區無線虛擬專網骨干傳輸鏈路的冗余保護技術；各園區與各運營商互聯的專線應有物理不同路由的冗余保護線路；園區無線虛擬專網邊界設備互聯應有冗余保護線路。

（2）網絡核心設備

園區無線虛擬專網核心設備邊界接入設備、邊界安全防護設備等宜采用冗余熱備份的方式組網，不具備份冗余熱備份條件的可采用冗余冷備份的方式組網。

圖8 網絡邊界部署方式1

圖9 網絡邊界部署方式2

4 安全防護研究

園區無線虛擬專網的安全防護應在接入安全、通道安全、邊界安全、安全審計等方面加以防范［9］。如采用加密技術、接入認證技術、冗余備份技術、訪問控制技術、安全審計技術、網絡管理技術等，為園區無線虛擬專網提供數據加密、身份認證、安全備份、訪問控制、安全審計、數據完整性驗證等多種安全防護保障，有效抵抗竊取網絡信息、篡改網絡數據和網絡重放攻擊，確保園區無線虛擬專網數據的機密性，保證其數據的安全性。在園區無線虛擬專網日常運行維護管理中，應加強規范管理，嚴格執行安全運行維護等管理制度，建立相應的應急響應體系。

4.1 接入安全

終端接入園區信息網絡時，采用AAA認證技術進行接入控制，驗證終端的合法性（如驗證終端的用戶名、密碼、IMSI等信息）。同時，根據接入終端類型的不同采用不同的策略，生產類終端要求運營商支持APN/VPDN接入點與SIM卡綁定，一張SIM卡只允許一個APN/VPDN接入，非生產類終端采用數字證書的方式進行接入認證。

4.2 通道安全

園區無線虛擬專網傳輸通道包括運營商通道和邊界接入通道兩部分，其中運營商通道又可分為無線接入通道與有線傳輸通道。園區無線虛擬專網通道示意如圖10所示。

4.2.1 運營商通道

無線接入通道是指從終端至無線基站的無線通信鏈路，有線傳輸通道是指從無線基站至運營商網絡邊界的通信鏈路。運營商通道具備良好的冗余性，能確保業務不受通道故障的影響；無線傳輸通道應進行加密，以防止非法竊聽；無線基站應提供一定的接入能力，以防止通信通道被占用而導致終端無法進行數據傳送；有線傳輸通道應支持L2TP/GRE隧道技術，建立電力專屬虛擬鏈路，結合IPSec等加密技術措施，確保虛擬專屬通道的私有性與安全性。

4.2.2 邊界接入通道

邊界接入通道是指從運營商有線網絡邊界至園區信息網絡邊界的通信鏈路。邊界接入通道采用專用鏈路，使用雙物理鏈路提供鏈路的冗余，采用專用加密通道技術保證邊界接入鏈路傳輸的安全性。

圖10 園區無線虛擬專網通道示意

4.3 邊界安全

在園區無線虛擬專網網絡邊界建立一套多層次的全面安全防護體系，包含邊界防護設備與安全應用防護系統。邊界防護設備功能包括訪問控制、入侵檢測、數據過濾；安全應用防護系統應具備安全隔離、完整性校驗等業務應用安全防護功能。網絡邊界安全防護體系邏輯架構如圖11所示。

4.3.1 邊界防護設備

邊界防護設備應滿足《信息系統安全等級保護基本要求》的要求，邊界防護設備具有以下防護功能。

·訪問控制。邊界防護設備具有訪問控制功能，訪問控制通過對數據分組的源地址、目的地址、源端口、目的端口、網絡協議等參數進行配置，對進出信息網絡的數據流制定細粒度訪問控制策略。

·入侵檢測。邊界防護設備具備入侵檢測功能，入侵檢測功能可以檢測網絡中3～7層的入侵行為，并進行告警。

·數據過濾。邊界防護設備宜具備對接入的數據報文

進行分析與校驗的功能，保障接入數據的安全性。

4.3.2 安全應用防護系統

與園區信息網絡進行數據交互的業務宜采用安全應用防護系統提供安全隔離、完整性校驗等應用安全服務，對安全應用防護系統的基本要求如下：

·支持對終端進行軟、硬件信息的完整性校驗；

·支持信息網絡與終端之間的雙向隔離以及安全數

據交換，任何形式的數據分組、信息傳輸命令和

TCP/IP都無法穿透。

4.3.3 安全審計

安全審計應滿足《信息系統安全等級保護基本要求》與《電力二次系統安全防護總體方案》的要求。安全審計由一級安全審計系統、二級安全審計系統和安全審計探針組成。安全審計防護邏輯示意如圖12所示。

一級安全審計系統基本要求如下：支持與二級安全審計平臺之間通過專有的協議進行安全數據交換；能存儲6個月內各園區公司二級安全審計平臺上報的各類安全事件；能實時展現各園區二級安全審計平臺上報的高級安全事件。

二級安全審計系統基本要求如下：支持與一級安全審計平臺以及安全審計探針之間通過專有的協議進行安全數據交換；能接收并分析安全審計探針上報的流量信息，建立正常業務需求的最小訪問關系系統模型；能通過最小訪問關系模型對流量信息進行實時監控，檢出業務系統中有超出模型制定的流量，即判定為異常網絡行為；判斷并展現網絡異常行為，如違反通信協議的異常網絡流量、內部人員的非授權訪問和惡意攻擊、通過內部主機作為跳板的非授權訪問、內部的惡意程序傳播。

安全審計探針基本要求如下：支持與二級安全審計平臺之間通過專有的協議進行安全數據交換；部署于GRE、L2TP隧道解封裝終結點之后的數據交換裝置處；支持基于業務協議的實時安全審計，能識別終端與應用系統之間的應用協議，能檢測協議誤用，能檢測DDoS、蠕蟲、病毒、木馬等常見網絡威脅；支持流量特征采集并上送到二級安全審計平臺，包含來源IP地址、來源端口號、目的IP地址、目的端口號、協議種類、服務種類等特征字段。

圖11 網絡邊界安全防護體系邏輯架構

圖12 安全審計防護邏輯示意

4.4 管理安全

建立園區無線虛擬專網的運行維護安全制度與相應的應急響應聯動機制，并滿足國家電網公司與國家的安全要求。建立無線虛擬專網的終端安全管理、人員安全管理、SIM卡安全管理、運行值班安全管理等安全管理制度。

5 結束語

國家電網公司客服中心南北園區無線虛擬專網是在充分考慮國家電網公司信息通信網絡資源的基礎上，借助于移動運營商的2G/3G/4G無線接入網絡，通過無縫的網絡銜接和成熟的技術融合，打造了一個端到端的、系統化的、規范化的、可管可控的園區無線虛擬專網，提供安全、專用的信息傳輸通道，并研發了一個融合語音、短信、數據、圖像、視頻等多業務和應用的、可擴展的智能管控系統，實現對園區無線通信業務的有效補充和穩步推進，支撐園區物聯網的發展，促進園區生產運行及管理的全過程信息融合、全景全息感知及智能管理與決策［10］。同時將園區無線虛擬專網統一納入國家電網公司園區無線虛擬專網管理平臺，并單獨為國家電網公司客服中心南北園區劃分獨立的平臺管理域。

［1］孔震，葉文宸.移動應用技術在堅強智能電網中的作用［N］.國家電網報，2012-05-22.KONG Z，YE W C.The role of mobile application technology in the smart grid［N］.Stete Grid News，2012-05-22.

［2］ARAVINTHAN V，KARIMI B.Wireless communication for smart grid applications at distribution level-feasibility and requirements［C］/Power and Energy Society General Meeting，July 24-29，2011，San Diego，CA，USA.New Jersey：IEEE Press，2011：1-8.

［3］PATEL A，APARICIO J，TAS N，et al.Assessing communications technology options for smart grid applications［C］/2011 IEEE International Conference on Smart Grid Communications，October 17-20，2011，Brussels，Belgium.New Jersey：IEEE Press，2011：126-131.

［4］徐益強.基于3G的無線VPDN業務網的設計與實現［J］.環境預警與監控，2010，2（5）：27-30.XU Y Q.Design and implementation of 3G-based wireless VPDN business network［J］.Environmental Monitoring and Forewarning，2010，2（5）：27-30.

［5］王一蓉，鄒穎，王艷茹.電力無線虛擬專網組網架構及IP地址分配研究［J］.電力信息與通信技術，2014，12（6）：16-21.WANG Y R，ZOU Y，WANG Y R.Study of network architecture and IP address allocation of wireless VPN for power grid［J］.Electric Power Information and Communication Technology，2014，12（6）：16-21.

［6］ZOU Y，WANG Y R，WANG N.Study of network architecture and IP address allocation of wireless VPN for power grid［J］.Electric Power Information and Communication Technology，2014（6）：305-309.

［7］HANKS S，LI T，FARINACCI D，et al.RFC 1702-generic routing encapsulation over IPv4 networks［Z/OL］.［2015-09-20］.http：/xueshu.baidu.com/s？wd=paperuri%3A%283ba92bb792333f374 e6c45a78f9d6aae%29amp;filter=sc_long_signamp;tn=SE_xueshusource_2kduw22vamp;sc_vurl=http%3A%2F%2Fciteseer.ist.psu.edu%2Fviewdoc%2Fsummary%3Fdoi%3D10.1.1.375.9348amp;ie=utf-8.

［8］TOWNSLEY W，VALENCIA A，RUBENS A，et al.RFC2661-layer two tunneling protocol‘L2TP’［Z/OL］.［2015-09-20］.http：/www.faqs.org/rfcs/rfc2661.htm l.

［9］PI J Y，LIU X S，LIAO D Y，et al.A security scheme for power dispatching data network based on VPN［J］.Automation of Electric Power Systems，2007，31（14）：94-97.

［10］王一蓉，佟大力，鄧偉.電力無線虛擬專網應用分析及網絡設計［J］.電力信息與通信技術，2013，11（12）：49-52.WANG Y R，TONG D L，DENG W.Application analysis and network design of power grid wireless VPN［J］.Electric Power Information and Communication Technology，2013，11（12）：49-52.

Wireless VPN network structure and safety protection in the north and south call center of SGCC

ZOU Ying，WANG Yirong，WANG Yanru，WANG Sining
Beijing GuoDianTong Network Technology Co.，Ltd.，Beijing 100070，China

The wireless virtual private network structure suitable for the north and south call center of SGCC was explored.In the structure，the wireless applications and communication of the north and south call center of SGCC were considered.The existing access security risks and the cannot-control defects of wireless virtual private network were analyzed，and the solutions for the center were given.Through the research on wireless virtual private network security from the four aspects as the terminal，network，boundary and application，reference for the design and construction of the center wireless virtual private network was provided.

wireless virtual private network，service bearer，network structure，safety protection

TN915.853

A

10.11959/j.issn.1000-0801.2016075

2015-09-20；

2016-02-02

鄒穎（1978-），男，北京國電通網絡技術有限公司工程師，主要研究方向為電力信息通信網絡、無線通信和信息安全。

王一蓉（1979-），女，北京國電通網絡技術有限公司高級工程師，主要研究方向為電力信息通信網絡、無線通信和電力光纖到戶。

王艷茹（1985-），女，北京國電通網絡技術有限公司工程師，主要研究方向為電力信息通信、信息安全。

王思寧（1978-），女，北京國電通網絡技術有限公司工程師，主要研究方向為電力信息通信網絡、無線通信、電力光纖到戶。