商洛电力信息网VPN技术方案的探究和应用

摘要：随着国网公司智能化电网建设快速发展，信息网络延伸到每个变电站和供电所是信息化智能电网发展的必然要求。由于早期建设的部分变电站、供电所是没有电力专用的网络通道，解决这些变电站、供电所网络必须依靠第三方运营商通信通道，既要保证网络的可靠性、稳定性，又要保证数据的安全性传输，因此通过采用VPN技术方式就能解决此类问题。

关键词：虚拟专用网VPN（Virtual Private Network）IPSec，认证头（AH），密钥交换（IKE），加密算法采用3DES ISP；保密

一、技术介绍

1. VPN的概念

虚拟专用网是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用网通过安全的数据通道将远程用户，公司分支机构，公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的主机都处于一个网络之中。公共网络仿佛是只由本网络在独占使用，而事实上并非如此，所以称之虚拟专用。

2. VPN的类型与标准

2.1 Access VPN（远程访问虚拟专网）与传统的远程访问网络相对应

此方式不是传统的远程网络访问，而是利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。

2.2 Intranet VPN（企业内部虚拟专网）与企业内部的Intranet相对应

2.3 Extranet VPN（扩展的企业内部虚拟专网）与企业网和相关合作伙伴的企业网所构成的Extranet相对应

3. VPN技术

虚拟专用网主要采用了两种技术：隧道技术与安全技术。下面结合单位实际情况作如下介绍：

3.1 隧道技术

要能够使得企业网内一个局网的数据透明的穿过公用网到达另一个局网，虚拟专用网采用了一种称之为隧道的技术。

3.2 VPN的安全机制

VPN是在不安全的Internet中进行通信，而通信的内容可能会涉及到企业的机密数据，因此其安全性就显得非常重要，必须采取一系列的安全机制来保证VPN的安全。通常由加密、认证及密钥交换与管理组成了VPN的安全机制。

3.2.1 认证技术

认证技术可以区分真实数据与伪造、被篡改过的数据。

3.2.2 IPsec中的认证协议AH

AH协议的主要功能是用于认证数据源和验证数据完整性。

3.2.3 加密技术

VPN中为了保证重要的数据在公共网上传输时不被他人窃取，采用了加密机制。IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密方法如DES、3DES。在现代密码学中，加密算法被分为对称加密算法和非对称加密算法。

3.2.4 IPsec中的加密协议ESP

此协议包括加密过程和解密过程。

3.2.5 密钥交换和管理

VPN中无论是认证还是加密都需要秘密信息，因而密钥的分发与管理显得非常重要。一种手工配置的方式，另一种是采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN的安全性。

二、项目介绍

国网商洛电力数据网实施过程中，由于早期建设的变电站不具备内部光缆通道，接入电力信息网就需要解决网络通道的问题，vpn技术就能够解决这个问题。大多数企业网组网方案中，要进行远地LAN 到 LAN互连，除了租用DDN专线或帧中继之外，并无更好的解决方法。随着网络信息技术的发展，移动办公人员越来越多，公司客分支结构越来越庞大，而且不可能全部具有自己的网络通道。因此，虚拟专用网VPN（Virtual Private Network）的技术出现。然而却是由于Internet的迅猛发展为VPN提供了技术基础，全球化的企业为VPN提供了市场，使得VPN开始得到广泛应用。

国网商洛电力信息网就是利用虚拟专用网络技术，即解决了网络连通性又保证了企业数据的安全性。利用这样的技术把不具备内部通道的变电站租用运营商的通信通道将局域网延伸到变电站和供电所。

三、项目实施

3.1 在局本部安装中心VPN网关，通过租用电信局100M带宽的通道链接到广域网。所有偏僻的变电站通过当地的10M带宽接入就近的电信运营商。变电站安装VPN网关。

在上面的图中，数据网络环境包括一个内部网，诺干个外地分支机构网，和与其相连的合作伙伴内部网。要求在企业内部网和企业的分支机构网络的内部主机之间进行通信时，能够对所有主机的通信数据进行保密传输，以防止企业的内部信息被破坏。同时对于企业的合作伙伴和企业的内部网之间进行的信息交流，也要求能够提供一定程度的安全保护，并且能够对企业合作伙伴与内部网的访问进行控制，以防止对内部信息的非法访问。

3.2 安全性和保密性好，在VPN中为了保证重要的数据在公共网上传输时不被他人窃取，采用了加密机制。IPSec通过ISAKMP/IKE/Oakley协商确定几种可选的数据加密方法如DES、3DES。在现代密码学中，加密算法被分为对称加密算法和非对称加密算法。

3.3 国网商洛供电公司在不同的地方会有很多平级机构，为了与每一个远程分支机构的网络建立通信，企业需要租用当地ISP的线路，来构件企业私有局域网。这种方式不仅成本高昂，需要支付大量的线路费用，而且安全保密性并不強。而通过采用VPN技术，就可以在Internet上构件企业自己的虚拟私有网络。VPN网关产品，就可以为企业提供这种网络到网络的安全解决方案。

在这种方式下，企业可以在每一个远程机构的网络出口处安装网关式VPN，通过在各个网关式VPN之间建立网络到网络的加密隧道，各个远程机构之间的通信就可以安全准确的进行。

四、创造性贡献及效益

主要贡献有：

4.1 vpn通道的建立保证了企业内部网信息的共享，是边缘的变电站能够及时了解企业内部各种动态和信息。

4.2各个应用系统的能够覆盖所有变电站和供电所。

4.3 生产管理系统的应用。

4.4 为电网的安全性、可靠性提供了可靠的保障。

效益：解决13个变电站和40个供电所网络安全接入商洛电力信息内网，能够及时了解企业内部的动态信息。节省了建设通道而产生的巨大费用。

结束语

综上所述，通过采用VPN技术即解决了偏僻变电站和供电所得网络通道问题，也解决了数据传输的安全性问题。节省了近期对变电站和供电所建设专用光纤通道的巨大费用。为边远山区的变电站、供电所解决了网络接入问题，大大提高了办公效率和电力优质服务水平。

参考文献：

[1]李别，构建虚拟专用网（VPN）的技术策略[J]，中国西部科技，2004年08期

[2]罗勇，唐飞跃，VPN技术浅析[J]J，企业技术开发，2008年12期。

[3]李明，王柏盛，虚拟专用网（VPN）技术[J]，电脑知识与技术，2005年09期

作者简介：金明月，男（1974-06），本科，副高级工程师，主要从事网络与信息管理工作。