新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設(shè)計(jì)應(yīng)用 > IP網(wǎng)絡(luò)技術(shù)在電能表數(shù)據(jù)采集系統(tǒng)中的應(yīng)用

IP網(wǎng)絡(luò)技術(shù)在電能表數(shù)據(jù)采集系統(tǒng)中的應(yīng)用

作者: 時間:2013-05-20 來源:網(wǎng)絡(luò) 收藏


三.網(wǎng)絡(luò)集中抄表系統(tǒng)中的安全措施

網(wǎng)絡(luò)集抄系統(tǒng)的正常運(yùn)行需要具備以下條件:

(1) 豐富的IP地址資源,如:小區(qū)局域網(wǎng)或公網(wǎng)上的VPN等;
(2) 能防范各種專業(yè)入侵者的非法活動;
(3) 能及時、自動判別系統(tǒng)故障點(diǎn),確定出故障的設(shè)備。

為此,網(wǎng)絡(luò)集抄系統(tǒng)在數(shù)據(jù)采集終端、網(wǎng)絡(luò)通信服務(wù)器及寬帶網(wǎng)三個方面分別采取了不同的措施,以保障自身的安全運(yùn)行。

1.?dāng)?shù)據(jù)采集終端

數(shù)據(jù)采集終端中的數(shù)據(jù)存儲和傳輸采用了專門的編碼規(guī)則,由于編碼規(guī)則對外保密且是行業(yè)內(nèi)部機(jī)密,攻擊者不知道編碼規(guī)則就無法恢復(fù)竊取到的數(shù)據(jù)。

行業(yè)內(nèi)部機(jī)密,攻擊者不知道編碼規(guī)則就無法恢復(fù)竊取到的數(shù)據(jù)。

2.網(wǎng)絡(luò)通訊服務(wù)器

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,Internet已深入千家萬戶,特別是隨著寬帶網(wǎng)規(guī)模的不斷擴(kuò)大,設(shè)備低成本地接入Internet已經(jīng)成為趨勢,這些都為普及包括網(wǎng)絡(luò)集中抄表在內(nèi)的各類網(wǎng)絡(luò)應(yīng)用創(chuàng)造了條件。通信服務(wù)器通過將RS232/485/422等串行數(shù)據(jù)轉(zhuǎn)換為符合TCP/IP協(xié)議的數(shù)據(jù)包,解決了普通串口設(shè)備在Internet/Intranet上的通信問題。通信服務(wù)器一般都具有一個10 Mbps 以太網(wǎng)接口,可以直接和以太網(wǎng)連接;一個或多個RS232串行接口,可以擴(kuò)展為RS485等其它形式的串口,用于連接終端設(shè)備。

網(wǎng)絡(luò)通信服務(wù)器的安全措施包括:

(1) 專門設(shè)計(jì)的數(shù)據(jù)傳輸協(xié)議:服務(wù)器中有專門的數(shù)據(jù)通信協(xié)議,攻擊者由于無法得知協(xié)議的細(xì)節(jié),很難從協(xié)議方面進(jìn)行攻擊。

(2) 數(shù)據(jù)加密機(jī)制:在專有通信協(xié)議的基礎(chǔ)上,服務(wù)器同時對傳輸數(shù)據(jù)進(jìn)行了加密,攻擊者在不知道加密算法及加密密碼的情況下,很難得到明文數(shù)據(jù)。

(3) 密碼認(rèn)證機(jī)制:服務(wù)器中設(shè)計(jì)了密碼認(rèn)證機(jī)制,密碼傳輸全部采用密文傳輸,充分保證了系統(tǒng)安全性。

3.虛擬專用網(wǎng)(VPN)

為充分利用網(wǎng)絡(luò)資源,獲得經(jīng)濟(jì)、靈活的連網(wǎng)方式,節(jié)省用戶在設(shè)備、人員和管理方面的投資,網(wǎng)絡(luò)集中抄表系統(tǒng)采用了基于MPLS的VPN解決方案。

虛擬專用網(wǎng)(Virtual Private Network ,簡稱VPN)是網(wǎng)絡(luò)運(yùn)營商利用公眾網(wǎng)的資源為客戶構(gòu)成專用網(wǎng)的一種業(yè)務(wù)。VPN有兩層含義:一、它是虛擬的網(wǎng),即沒有固定的物理連接,網(wǎng)絡(luò)只有用戶需要時才建立;二、它是利用公眾網(wǎng)設(shè)施構(gòu)成的專用網(wǎng)。VPN兼?zhèn)淞斯娋W(wǎng)和專用網(wǎng)的許多特點(diǎn),將公眾網(wǎng)可靠的性能、豐富的功能與專用網(wǎng)的靈活、高效結(jié)合在一起,是介于公眾網(wǎng)與專用網(wǎng)之間的一種網(wǎng)絡(luò)。

MPLS(Multiprotocol Label Switching)即多協(xié)議標(biāo)記交換,它屬于引入了基于標(biāo)記機(jī)制的第三層交換技術(shù)。MPLS把選路和轉(zhuǎn)發(fā)分開,由標(biāo)簽來規(guī)定一個分組通過網(wǎng)絡(luò)的路徑。在MPLS網(wǎng)絡(luò)中,數(shù)據(jù)包所經(jīng)過的沿途并非按照IP 包頭,而是通過交換標(biāo)簽來實(shí)現(xiàn)轉(zhuǎn)發(fā);當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時,數(shù)據(jù)包被解開封裝,繼續(xù)按照IP包的路由方式到達(dá)目的地。在網(wǎng)絡(luò)邊緣的節(jié)點(diǎn)被稱作標(biāo)簽邊緣路由器(LER),而網(wǎng)絡(luò)的核心節(jié)點(diǎn)則被稱為標(biāo)簽交換路由器 (LSR)。LER節(jié)點(diǎn)在MPLS網(wǎng)絡(luò)中完成的是IP包的進(jìn)入和退出過程,LSR節(jié)點(diǎn)在網(wǎng)絡(luò)中提供高速交換功能。在MPLS節(jié)點(diǎn)之間的路徑就是標(biāo)簽交換路徑(LSP)。一條LSP可以看作是一條貫穿網(wǎng)絡(luò)的單向隧道。

網(wǎng)絡(luò)集抄系統(tǒng)所采用的基于MPLS的VPN,可以通過BGP(邊界網(wǎng)關(guān)協(xié)議)技術(shù)保證網(wǎng)絡(luò)的安全性。BGP是一種路由信息分布協(xié)議,規(guī)定了網(wǎng)絡(luò)節(jié)點(diǎn)間通信的協(xié)議和屬性。VPN的成員屬性由進(jìn)入VPN的邏輯端口號和分配給每個VPN的唯一RD(路由標(biāo)志:Route Distinguisher)決定。最終用戶并不知道RD的值,只有通過預(yù)先定義的端口才能參與VPN的通信。在基于MPLS的VPN中,BGP僅僅在更新了VPN站點(diǎn)的LSR之間交換FIB(Forwarding Information Base)表更新,這樣可以保證每個LSR只保存與自己相關(guān)的FIB表和VPN的信息。由于每個用戶的邏輯端口決定了他的RD,而這個RD是在VPN定義時與某個VPN唯一相關(guān)聯(lián)的,因此用戶只能訪問與他相關(guān)聯(lián)的VPN,即他只能意識到這個VPN的存在。既然每個VPN定義了唯一的一個RD,將每個RD和VPN的IP地址相結(jié)合,這對于每個節(jié)點(diǎn)就是唯一的。VPN的IP地址的入口信息被存儲在VPN相關(guān)節(jié)點(diǎn)的FIB中,VPN的IP轉(zhuǎn)發(fā)表中包含與VPN地址相對應(yīng)的標(biāo)記。這些標(biāo)記將流量路由到它應(yīng)去的節(jié)點(diǎn)。由于標(biāo)記代替了IP地址,用戶無需使用NAT(Net Address Translation)或ISP提供的地址,而保留自已的私有地址。由于使用RD和BGP來實(shí)現(xiàn)VPN的互連,不同的VPN之間根本意識不到其他VPN的存在,如果需要連接到Extranet VPN,只需通過RD定義兩個VPN之間的信任關(guān)系即可。

不僅如此,MPLS還支持防火墻技術(shù)以及高應(yīng)用加密。可見,MPLS VPN主要是靠核心的軟件技術(shù)來保證網(wǎng)絡(luò)的安全性。它所提供的路由信息分發(fā)限制和MD5路由認(rèn)證技術(shù),使用戶所依賴的公眾網(wǎng)成為可以信任的網(wǎng)絡(luò)。出于安全性的考慮,在PE(網(wǎng)絡(luò)運(yùn)營商邊緣路由器)與CE(用戶邊緣路由器)之間可做適當(dāng)?shù)脑L問控制:CE可以不允許從PE Telnet到CE路由器,即用戶側(cè)數(shù)據(jù)完全可由用戶側(cè)自己進(jìn)行維護(hù)處理;同時位于局端的PE也不允許CE Telnet到PE路由器。

四.網(wǎng)絡(luò)集中抄表系統(tǒng)中的常見問題

1.供電局內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián):

如上所述,網(wǎng)絡(luò)集中抄表系統(tǒng)中的供電局集抄主站是以ISP所提供的VPN為通道進(jìn)行遠(yuǎn)程自動抄表的,因此它與供電局的外網(wǎng)是相通的。同時,集抄主站又需要與供電局用電營業(yè)系統(tǒng)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)交換,以及為供電局相關(guān)部門瀏覽抄表信息提供數(shù)據(jù)來源,所以它與供電局內(nèi)網(wǎng)也是相通的。因?yàn)閮?nèi)網(wǎng)與外網(wǎng)對網(wǎng)絡(luò)適配器(即網(wǎng)卡)的屬性配置有不同的要求,所以如果主站計(jì)算機(jī)只有一塊網(wǎng)卡,在集抄主站軟件與外網(wǎng)的采集終端通訊或與內(nèi)網(wǎng)的用電營業(yè)系統(tǒng)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)交換之間,就需要改變網(wǎng)卡的屬性,對于Win98操作系統(tǒng)甚至還需要重新啟動計(jì)算機(jī)。要解決這一問題,一種比較簡單且投資少的方法是為主站計(jì)算機(jī)安裝兩塊網(wǎng)卡,它們分別與供電局內(nèi)網(wǎng)與外網(wǎng)相連。與內(nèi)網(wǎng)相連的網(wǎng)卡,其IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)等屬性應(yīng)該按照供電局企業(yè)內(nèi)部網(wǎng)的要求去配置;與外網(wǎng)相連的網(wǎng)卡,則必須按ISP所提供的IP屬性去配置。大多數(shù)供電局為了保證其局域網(wǎng)的安全,一般都要求企業(yè)內(nèi)網(wǎng)與外網(wǎng)進(jìn)行物理隔離。為此可以在主站計(jì)算機(jī)與外網(wǎng)采集終端的通訊完成后,將外網(wǎng)網(wǎng)線拔掉,以實(shí)現(xiàn)供電局內(nèi)、外網(wǎng)的物理隔離。
電能表相關(guān)文章:電能表原理


評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉