程琦, 黄太贵

(1.安徽立卓智能电网科技有限公司,安徽 合肥 230601;2.国网安徽省电力公司调度控制中心,安徽 合肥 230022)

0 引 言

随着近年来分布式电源和配网自动化系统发展[1]，大量的分布式光伏电站建成并网运营，电网公司对于配网自动化系统的投资和建设也开始加大。分布式光伏电站大多容量不大(6 MW以下)，投资规模小，现场比较偏远，配电网的变压器、馈线回路及其开关柜箱变等分布广泛，没有条件敷设光纤专线和调度数据网设备。造成电网管理部门无法掌握分布式电源和配电网的相关信息，困扰着地区电网的运营管理，也给电网安全带来隐患。对于分布式电源和配电网需要一种成本较低，能够实现电量数据接入调度中心电力监控系统,并满足安全防护要求[2]的信息接入及组网方案。

1 VPN组网

目前我国移动通信4G(第四代移动通信技术)覆盖面积已经普及，对于地理位置偏远，建设费用低的分布式电源和配电线路，采用移动通信网络运营商的4G网络实现组网和数据传输是理想的解决方案。

VPN/VPDN(虚拟/拨号专用网络)是在公用网络上建立虚拟专用网络，进行加密通信的网络技术。由于电力生产数据和系统安全的重要性，需要网络运营商在主干网上完成VPN通道的建立，VPN网关通过隧道和对数据包的加密和数据包目标地址的转换实现远程访问[3]。

VPN/VPDN的隧道协议主要有几种，PPTP(点到点隧道协议)、L2TP(第二层隧道协议)、IPSec(Internet协议安全性)和GRE(通用路由封装协议)等。在OSI模型的不同层次中工作着相对应的隧道协议，PPTP和L2TP协议属于第二层隧道协议；IPSec和GRE属于第三层隧道协议。第二层隧道协议和第三层隧道协议的区别主要在于用户数据在网络协议的第几层被封装，这些协议之间本身并不冲突，可以结合使用[4]。

1.1 VPN的网络安全及运营商措施

在组网上需考虑的安全性层面主要包括隧道的验证，通信双方的身份验证和通信数据的加密，如果基于网络运营商建立的VPN/VPDN自身提供的安全措施，一般企业用户应该使用IPsec技术，如果需要实现安全的VPDN，应该采用L2TP+IPsec组合技术，先使用L2TP封装第二层数据，再使用IPsec封装对数据进行加密和提供完整性保护，由此保证通信数据安全传送到目的地[5]。

我国三大移动网络运营商(移动、联通、电信)提供可分配专用的APN(接入点名称)，仅开通接入VPDN网络的SIM卡，利用SIM卡的唯一性，在网络侧对SIM卡和APN进行绑定，划定用户可接入该系统的范围，只能访问客户专网，限制使用其他的APN访问互联网公网，有效避免非法入侵。同时数据中心给每个SIM卡分配特定的用户ID和IP，其他没有数据中心分配的用户ID和IP的SIM卡将无法登录进入系统，系统的安全性进一步增强。专网SIM卡对业务也进行严格的鉴权，关闭语音、短信等无关业务，得到业务唯一性的安全保证。

客户可自建或与运营商共享AAA服务器，网关GPRS支持节点GGSN向AAA服务器提供用户主叫号码，采用主叫号码和用户账号相结合的认证方式，用户通过认证后由AAA服务器分配企业内部的静态IP地址。

1.2 传统VPDN组网方式

无线网络运营商给出的VPDN实现方案是VPN用户向当地网络运营商申请租用一条专线，从就近GGSN节点架设至用户数据中心，运营商在网关和用户接入路由器上配置VPDN隧道协议，实现VPDN方式。该方式由于用户需要架设并租用专线，建设周期和成本都比较高(根据申请的带宽，带宽越大价格越高)。该方式组网方式如图1所示。

图1 传统无线VPDN组网方式

1.3 全无线组网方案

本文试图建立一种全无线的新型组网方式，在电力监控中心与分布式电源场站同样采用无线方式，组网方式如图2所示。

图2 全无线VPDN组网方式

在电力监控中心不需要架设租用专线，作为与监控站点同等地位的APN接入，各个监控站点之间均可通信互联。

所有APN的专网IP地址固定，能够既作为客户端，也能作为服务端支持各类基于IP协议的应用，特别是电力专用的各类通信协议(101102103104MODBUS等)。

移动网络运营商提供专用APN(接入点名称)接入VPDN网络的SIM卡，每张SIM卡作为VPDN网络接入点连接GGSN，在运营商HLR(归属位置寄存器)或平台AAA中配置每个APN固定IP地址，打通APN间的隧道，每个APN配置一台支持隧道协议的无线路由器作为LNS，GGSN作为LAC负责与LNS之间建立L2PT隧道转发IP报文，并在GGSN中关闭IP地址反欺诈功能，关闭终端隔离，允许APN之间互访。

为保证SIM卡的安全，APN的SIM卡与接入终端设备全球唯一IMEI(移动设备身份码)绑定，一旦SIM卡离开终端设备进入其他的设备，该SIM不可用。

1.4 优劣对比

电力监控中心采用传统专线方式，能够保证申请的专线带宽，但需要网络运营商敷设专线到电网企业电力监控中心，监控中心用户还需要根据服务器架设位置敷设网线，建设和使用成本比较高。全无线方式组网灵活，监控中心可以建在调度中心机房或者其他任何位置，且搬迁和移位便利。目前运营商4G网络的理论峰值速率可以达到上行50 Mbps，下行100 Mbps，但是该理论带宽受附近基站的终端使用数量影响，大量移动终端通过同一基站访问网络时，可能存在网络阻塞现象。两种方式的优劣如表1所示。

表1 优劣对比

2 电力专用的认证及加密

运营商提供的VPDN隧道用于IP包加密的IPSec协议支持的DES、3DES、AES等加密算法均不满足国家电网信息安全要求的基于国密算法的认证、加密标准，针对电力监控系统安全防护要求，电力调度生产及管理系统与网络用户、关键网络设备、服务器应采用电力调度证书服务系统统一颁发的专用数字证书，在调度系统和网络关键环节实现高强度的身份认证、安全的数据传输以及可靠地行为审计。电力调度证书服务系统遵循一系列国际上的关于密码学和数字证书标准，采用国密加密算法。证书类型包括：人员证书，程序证书和设备证书，实现接入用户的身份认证和数据传输加密[6]。

3 电力监控系统安全接入区方案

根据《电力监控系统安全防护规定(国家发改委[2014]14号令)》、《电力监控系统安全防护总体方案等安全防护方案和评估规范(国能安全[2015]36号)》和《Q/GDW 11347—2014国家电网公司信息系统安全设计框架技术规范》的要求，生产控制大区的业务系统在与其终端的纵向联接中使用无线通信网、电力企业其他数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN/VPDN)等进行通信的，应当设立安全接入区[7]，采用基于国密算法的认证、加密等安全防护措施[8]。

本方案在监控中心和监控场站部署电力专用纵向加密认证装置，通过纵向加密装置建立隧道，纵向加密装置的隧道同样基于VPDN第三层IPSec协议，但加密算法采用的是采用国家密码管理局授权批准的电力专用密码算法，支持身份鉴别，信息加密，数字签名和密钥生成与保护。

部署在电力企业调度端的安全接入区与分布式电源场站采用全无线VPDN组网。VPDN的第二层隧道协议采用运营商提供的L2PT协议，第三层IP层的加密认证采用纵向加密认证装置自建的IPSec隧道协议，实现用户身份、设备认证以及数据的加密传输，分布式电源场站侧通信采用电力专用网络通信协议IEC-60870-104。网络拓扑方式如图3所示。

图3 电力监控系统安全接入区网络拓扑

4 安全接入区与调度自动化业务系统接口

安全接入区采集到的分布式电源并网数据需要转发至调度自动化的各项业务系统中，如SCADA系统、电能量管理系统等。根据业务系统的不同安全分区，可将采集的业务数据根据不同的安全分区转发至业务系统。按照电力监控系统安全防护要求，无线接入的安全接入区属于外网，安全接入区与生产控制大区中其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置[9]。安全接入区转发业务数据至电力监控系统的结构如图4所示。

图4 安全接入区与调度自动化各业务系统接口

5 结束语

本文探讨了一种采用无线VPDN技术用于电力监控系统的安全接入区建设方案，适用于大量投资小、位置偏远的分布式电源数据接入电力监控系统，便于电力调度部门对于分布式电源及地区电网的负荷管理。本方案在采用网络运营商提供的全无线组网方式便捷灵活的基础上，针对电力监控系统的安全防护要求做了专门考虑，满足国家对于电力监控系统的安全防护要求。