陶玉梅，赵振涛

(石家庄信息工程职业学院，河北石家庄050035)

基于VPN技术的电力系统通信保护

陶玉梅，赵振涛

(石家庄信息工程职业学院，河北石家庄050035)

随着电力系统规模的不断扩大，电力系统专用通信网迅速发展。为了确保电力通信系统中各种信息的安全性，利用多协议标记交换技术(MPLS)构建了基于公共通信网的虚拟专用网络(VPN)，用来解决电力通信系统的安全性问题。并以此为基础设计了相应的通信模型。该系统经测试后，运行稳定，可靠性强，通信的安全性和效率都得到了保障。

电力通信；虚拟专用网络；多协议标签交换；网络管理

电力系统通信网的安全性是电力系统安全运行的前提。随着电力系统和通信技术的发展，电力通信网的发展也十分迅速，许多新的技术和设备都纷纷涌入通信网的建设，使电力通信网的智能化水平日益提高。但与此同时，通信网络的安全性问题也成为电力系统运行的一大隐患。

虚拟专用网络(Virtual Private Network，VPN)是利用公用网络，例如因特网，建立的一个临时、安全的连接，是穿过混乱的公用网络利用相关技术构建的一个安全、稳定的隧道。VPN的主要功能有两个，一个是对企业内部局域网的扩充，以最节省成本的方式实现企业远程通信；另一个就是以VPN技术为主体的公网通信方式，可以在一定程度上保证数据的安全性。

1 电力通信管理系统分析

在我国，电力通信网分为主干网、地区网两个级别。主干网由省局以上的网络担任，地区网由各地市网组成。整个系统分布地域广，结构复杂，这给网络的管理带来了一些不利的影响。为了提高通信网络运行的可靠性，利用网络管理系统对通信网进行有效的管理是一种行之有效的方法。

目前，大多数的电力通信网都是采用TMN体系。TMN是ITU-T所提出的具有标准结构、接口协议和体系的管理网。它通过几个接口和其他网络进行连接，并按照相关通信协议进行信息收发和控制功能，主要接入方式如图1所示。

图1 TMN与其他系统网的接口结构

TMN具有技术成熟和应用广泛的优点，不足之处在于它主要建立在TCP/IP基础之上，其安全性和可靠性得不到有效的保证。在TMN之上增加相应的安全性措施具有一定的必要性。

2 VPN技术分析

VPN的最大功能是为企业内部网提供安全性扩充的通道。利用相应的设备，构建自己的数据传输体系。VPN有三个应用方向：(1)应用于同一企业内部的远程接入网，用于企业不同地域的分公司之间进行数据共享；(2)基于更高安全策略的基于VPN的内联网，主要实现企业的各分支机构之间进行各级别授权的资源访问；(3)基于一定许可范围内的信息共享的VPN外联网，主要服务于与企业相关的合作伙伴进行一定程度的信息共享。

这三个应用方向中，最适应于目前电力通信系统的是第一种情况，一方面是因为我国电力系统分布面广，电力系统内部的通信也相对复杂，因此构建一个体系内的通信网络势在必行；另一方面，随着网络安全性问题的出现，电力通信系统的安全性问题也给电力系统的正常运行造成了干扰。因此，以公众信息网为基础，以VPN技术为安全保障的专用通信就显得尤为重要。

公众信息网主要指的是因特网，对于整个社会来说，这个网是一个开放的、有一定宽容度的网络体系，具有覆盖范围广、速度快、费用低、使用方便等优点。但是因特网目前应用的通信协议是TCP/IP协议，一些技术上有漏洞，带来了网络的危险性。

利用VPN技术构建安全通道是一种良好的保证安全的方式。VPN架构中采用了多种安全机制，如隧道技术、加解密技术、密钥管理技术、身份认证技术等。在一个完整的VPN安全系统中，往往是几种技术综合利用，在不影响其他信息正常传递的前提下，形成一条模拟点对点的专用链接通信，从而保证内部信息在公共信息通道上传输时的机密性、完整性和可用性。

但是，这些措施还不能完全适应复杂的电力系统的通信要求，这种局限性主要体现在传统的IP网络没有数据属性的判别能力，不能适应当前多种类型数据的传输需求；同时现有的IP路由技术和组网方式都不够灵活，对于数据传输的具体需求不能满足，因此需要一种新的传输技术来提高传输效率。

3 多协议标记交换技术及通信模型建立

多协议标记交换技术(MPLS)是一种新出现的技术，其目的是解决当前分组转发技术中所存在的许多问题。在常规分组转发技术中，转发的依据是数据包头的地址和路由器中的相关信息，因此每一次的转发都需要打开数据包头，时间效率不高。而MPLS网络使用标签来转发数据包，该标签是一组固定长度值的FEC特定转发等价类，这个标签被分配给每个要传输的数据包上，数据包在随后的每一次转发中都会被分配一个标签，这一系列的标签形成一个转发索引表[1]。

MPLS标签是一组32位的标识符，具体结构如图2所示。

图2 MPLS标签格式

在图2中，Label是实际标签值。在MPLS中，标签是存放在每个IP数据包中的，一个IP数据包可能只有一个标签，也可能形成标签栈。每一个标签值都是存放在标签栈内的，当标签交换路由器收到一个标签包时，将查看标签栈顶部的标签值，并依据该值查找转发索引表，以决定下一跳，并用另一条标签代替标签栈顶部的标签。

COS表示服务的类别，可以确定数据包在传输时的排队和丢弃算法。

TTL为8位的存活时间，提供传统的IPTTL功能。

在MPLS网络中存在两种路由器，一种为边缘路由器，是数据包进入MPLS网络时负责分配标签插入或弹出的路由器，同时也完成数据包从MPLS网络向其他网络的转发；另一种是标签交换路由器，主要功能是在MPLS网内根据相应的标签值进行相应数据包的转发。

MPLS的工作过程是，当IP数据包到达MPLS网络边缘时，入口处的边缘路由器将标签插入至数据之后，同时将IP数据包转发至MPLS网络；在MPLS内部，数据包由标签路由器根据标签进行相应的转发，不需要查找路由表；而数据包在离开MPLS网络时，边缘路由器弹出最后一个标签后按正常IP地址进行路由转发。

通过以上分析可知，MPLS将第三层的路由技术与第二层的交换技术结合在一起，但是数据只在第二层进行交换，极大地提高传输的安全性，甚至可以达到专线传输的效果。而且在数据传输的过程中引入标签机制，传输具有高速交换、QoS性能、流量控制以及IP技术的灵活、可扩展等特性[2]。

在MPLS网络上构建相应的VPN隧道是进一步提高数据传输安全性的重要方式。其基本通信模型如图3所示，在该网络中，系统由四种路由器构成，分别是边缘路由器(PE)、标签交换路由路(LSR)、用户边缘路由器(CE)和用户路由器(C)，其中PE和LSR属于MPLS网络，而CE和C属于VPN系统。

图3 MPLS VPN通信模型

如图3所示，各个PE路由器中都维护着每个VPN节点的VPN的路由表和一张全局的路由表。VPN路由表的功能是保证每个VPN数据包在VPN系统中完成准确的数据转发，而全局路由表负责全网的目的地址的维护。每个PE路由器都与一个或多个CE路由器相连，每个CE路由器都代表VPN系统中的一个节点，是VPN数据包进入和退出MPLS网络的边缘点，实现VPN数据在MPLS网络和其他网络的对等交换。而标签交换路由器负责MPLS数据的交换，用户路由器实现的是数据包在其他网络的数据传输。

4 总结

本文提出了利用VPN和MPLS技术构建数据传输通道的通信方式，论述了相关的工作原理，提出了相应的通信模型。利用这两项技术构建的数据通道具有安全性高、易于管理、性价比高的优点。

[1]胡文涛.基于MPLS的VPN技术研究[D]．武汉：湖北工业大学，2007：43-46.

[2]肖海涛，李之棠，梅松.MPLS VPN技术的研究[J]．计算机工程与应用，2003(14)：173-175.

Communication protection in power system based on VPN technology

With the expansion of the scale of power system,the dedicated communication network of power system is developing rapidly.In order to ensure the security of electric power communication system,the virtual private network of public communication network was built based on multi-protocol label switching(MPLS)technology.It is used to solve the problem of safety in electric power communication system.On this basis,the corresponding communication model system was designed.After testing,the system runs stably.The security and efficiency of communication have been guaranteed.

electric power telecommunication;VPN;MPLS;network management

TM 73

A

1002-087 X(2016)06-1307-02

2016-01-10

陶玉梅(1980—)，女，江苏省人，学士，讲师，主要研究方向为通信技术、应用电子。