IP網絡技術在電能表數據采集系統中的應用
加入技術交流群
三.網絡集中抄表系統中的安全措施
網絡集抄系統的正常運行需要具備以下條件:
(1) 豐富的IP地址資源,如:小區局域網或公網上的VPN等;
(2) 能防范各種專業入侵者的非法活動;
(3) 能及時、自動判別系統故障點,確定出故障的設備。
為此,網絡集抄系統在數據采集終端、網絡通信服務器及寬帶網三個方面分別采取了不同的措施,以保障自身的安全運行。
1.數據采集終端
數據采集終端中的數據存儲和傳輸采用了專門的編碼規則,由于編碼規則對外保密且是行業內部機密,攻擊者不知道編碼規則就無法恢復竊取到的數據。
行業內部機密,攻擊者不知道編碼規則就無法恢復竊取到的數據。
2.網絡通訊服務器
隨著網絡技術的飛速發展,Internet已深入千家萬戶,特別是隨著寬帶網規模的不斷擴大,設備低成本地接入Internet已經成為趨勢,這些都為普及包括網絡集中抄表在內的各類網絡應用創造了條件。通信服務器通過將RS232/485/422等串行數據轉換為符合TCP/IP協議的數據包,解決了普通串口設備在Internet/Intranet上的通信問題。通信服務器一般都具有一個10 Mbps 以太網接口,可以直接和以太網連接;一個或多個RS232串行接口,可以擴展為RS485等其它形式的串口,用于連接終端設備。
網絡通信服務器的安全措施包括:
(1) 專門設計的數據傳輸協議:服務器中有專門的數據通信協議,攻擊者由于無法得知協議的細節,很難從協議方面進行攻擊。
(2) 數據加密機制:在專有通信協議的基礎上,服務器同時對傳輸數據進行了加密,攻擊者在不知道加密算法及加密密碼的情況下,很難得到明文數據。
(3) 密碼認證機制:服務器中設計了密碼認證機制,密碼傳輸全部采用密文傳輸,充分保證了系統安全性。
3.虛擬專用網(VPN)
為充分利用網絡資源,獲得經濟、靈活的連網方式,節省用戶在設備、人員和管理方面的投資,網絡集中抄表系統采用了基于MPLS的VPN解決方案。
虛擬專用網(Virtual Private Network ,簡稱VPN)是網絡運營商利用公眾網的資源為客戶構成專用網的一種業務。VPN有兩層含義:一、它是虛擬的網,即沒有固定的物理連接,網絡只有用戶需要時才建立;二、它是利用公眾網設施構成的專用網。VPN兼備了公眾網和專用網的許多特點,將公眾網可靠的性能、豐富的功能與專用網的靈活、高效結合在一起,是介于公眾網與專用網之間的一種網絡。
MPLS(Multiprotocol Label Switching)即多協議標記交換,它屬于引入了基于標記機制的第三層交換技術。MPLS把選路和轉發分開,由標簽來規定一個分組通過網絡的路徑。在MPLS網絡中,數據包所經過的沿途并非按照IP 包頭,而是通過交換標簽來實現轉發;當數據包要退出MPLS網絡時,數據包被解開封裝,繼續按照IP包的路由方式到達目的地。在網絡邊緣的節點被稱作標簽邊緣路由器(LER),而網絡的核心節點則被稱為標簽交換路由器 (LSR)。LER節點在MPLS網絡中完成的是IP包的進入和退出過程,LSR節點在網絡中提供高速交換功能。在MPLS節點之間的路徑就是標簽交換路徑(LSP)。一條LSP可以看作是一條貫穿網絡的單向隧道。
網絡集抄系統所采用的基于MPLS的VPN,可以通過BGP(邊界網關協議)技術保證網絡的安全性。BGP是一種路由信息分布協議,規定了網絡節點間通信的協議和屬性。VPN的成員屬性由進入VPN的邏輯端口號和分配給每個VPN的唯一RD(路由標志:Route Distinguisher)決定。最終用戶并不知道RD的值,只有通過預先定義的端口才能參與VPN的通信。在基于MPLS的VPN中,BGP僅僅在更新了VPN站點的LSR之間交換FIB(Forwarding Information Base)表更新,這樣可以保證每個LSR只保存與自己相關的FIB表和VPN的信息。由于每個用戶的邏輯端口決定了他的RD,而這個RD是在VPN定義時與某個VPN唯一相關聯的,因此用戶只能訪問與他相關聯的VPN,即他只能意識到這個VPN的存在。既然每個VPN定義了唯一的一個RD,將每個RD和VPN的IP地址相結合,這對于每個節點就是唯一的。VPN的IP地址的入口信息被存儲在VPN相關節點的FIB中,VPN的IP轉發表中包含與VPN地址相對應的標記。這些標記將流量路由到它應去的節點。由于標記代替了IP地址,用戶無需使用NAT(Net Address Translation)或ISP提供的地址,而保留自已的私有地址。由于使用RD和BGP來實現VPN的互連,不同的VPN之間根本意識不到其他VPN的存在,如果需要連接到Extranet VPN,只需通過RD定義兩個VPN之間的信任關系即可。
不僅如此,MPLS還支持防火墻技術以及高應用加密。可見,MPLS VPN主要是靠核心的軟件技術來保證網絡的安全性。它所提供的路由信息分發限制和MD5路由認證技術,使用戶所依賴的公眾網成為可以信任的網絡。出于安全性的考慮,在PE(網絡運營商邊緣路由器)與CE(用戶邊緣路由器)之間可做適當的訪問控制:CE可以不允許從PE Telnet到CE路由器,即用戶側數據完全可由用戶側自己進行維護處理;同時位于局端的PE也不允許CE Telnet到PE路由器。
四.網絡集中抄表系統中的常見問題
1.供電局內部網絡與外部網絡互聯:
如上所述,網絡集中抄表系統中的供電局集抄主站是以ISP所提供的VPN為通道進行遠程自動抄表的,因此它與供電局的外網是相通的。同時,集抄主站又需要與供電局用電營業系統數據庫進行數據交換,以及為供電局相關部門瀏覽抄表信息提供數據來源,所以它與供電局內網也是相通的。因為內網與外網對網絡適配器(即網卡)的屬性配置有不同的要求,所以如果主站計算機只有一塊網卡,在集抄主站軟件與外網的采集終端通訊或與內網的用電營業系統數據庫進行數據交換之間,就需要改變網卡的屬性,對于Win98操作系統甚至還需要重新啟動計算機。要解決這一問題,一種比較簡單且投資少的方法是為主站計算機安裝兩塊網卡,它們分別與供電局內網與外網相連。與內網相連的網卡,其IP地址、子網掩碼、默認網關等屬性應該按照供電局企業內部網的要求去配置;與外網相連的網卡,則必須按ISP所提供的IP屬性去配置。大多數供電局為了保證其局域網的安全,一般都要求企業內網與外網進行物理隔離。為此可以在主站計算機與外網采集終端的通訊完成后,將外網網線拔掉,以實現供電局內、外網的物理隔離。 電能表相關文章:電能表原理
評論