多业务承载安全技术(精选3篇)
多业务承载安全技术 篇1
0 引言
由于电力配用电终端的分布存在点多面广、环境复杂等特点,为不同业务单独建设专用接入网将耗费大量人力物力,LTE无线专网作为电力终端通信接入网,将承载生产、营销、行政管理等多种电力业务数据传输[1,2,3,4,5,6,7],这样做可以有效提高接入网的资源利用率。文献[8]研究了多业务承载的基本原理与一般方法,并提出了基于LTE网络结构及其在电力系统中的部署模式。
然而,若不采取合理方案进行安全防护,电力LTE无线专网将面临多种安全风险。在通信终端侧,终端通过无线专网接入,直接跨接在物理隔离的生产控制大区与管理信息大区上,非法通信终端可能入侵公司信息内网;终端共用无线传输资源可能导致信道侧的相互干扰、占用等。在LTE空口侧,无线网络被用于实现监测主站、子站和业务终端之间的通信,监测数据通过无线专网等通道明文传输可能被非法截获、篡改,重放攻击等,存在非法终端接入风险。无线网络跨接在物理隔离的信息内网两大分区之间,会打破它们之间的物理隔离,造成威胁的扩散。
文献[9]着重就LTE空口加密算法与专网面临的安全风险作了详细分析,并提出应对机制。文献[10]结合电力监控系统安全防护基本原则与配用电场景下的LTE无线专网架构,在分析了安全风险与防护方法的基础上,提出一套较为完整的针对电力LTE无线接入专网的安全防护解决方案。文献[11]针对电力无线专网建设意义以及面临的问题和困难作了详细的探讨。文献[12]给出了电力无线虚拟专网的设计方法,满足电网虚拟专网安全高效承载、集约化运营和规模化发展需求。文献[13]介绍了南方电网海南公司电力无线专网建设方案及应用情况。
本文在前期研究基础之上,进一步地研究计及多业务承载的无线专网关键技术,提出一种基于频率隔离的无线专网多业务承载方案,并研究基于该空口安全防护策略下的从终端、通道到主站侧的全程物理隔离技术,在提高接入网通信资源利用率的同时尽可能降低安全风险,在资源利用效率与安全防护之间取得了较好的折中。
1 基于频率隔离的无线专网组网方案
本方案为Ⅰ/Ⅱ区和Ⅲ/Ⅳ区分配不同的无线频率、基站处理设备和回传通道,对Ⅰ/Ⅱ区和Ⅲ/Ⅳ区业务从终端、通道到主站侧全程进行物理隔离。
频率隔离无线专网组网总体架构如图1所示,安全防护总体方案依据“分区、分级、分域”的防护方针,在横向上,将系统分为生产控制大区(Ⅰ、Ⅱ区)与管理信息大区(Ⅲ、Ⅳ区),纵向上,分为业务终端层、LTE接入层、安全接入层和业务层等层面,以满足LTE无线专网系统的安全防护需求。业务终端层由配用电系统各类业务采集、检测等终端组成,是业务数据的来源;LTE接入层即LTE无线专网系统,包括通信终端、基站、回传网络、核心网几个部分;安全接入层即14号令与36号文中规定的[14,15],采用无线或公用通信网络接入电力业务系统时必须设置的“安全接入区”,一般由安全网关、防火墙等软硬件设备构成;业务层指各电力业务系统主站平台,是业务数据的应用层处理与控制中心。
1.1 频率申请
对于1.8 GHz频段,1 790~1 800 MHz频段相对干扰较低,拟开展电力、轨道交通、海事等业务的共用,1 785~1 790 MHz频段与公网频率互扰明显,拟开放给海上作业及海岸等边远区域应用,1 800~1 805 MHz开放给零散应用使用。申请频率范围为1 790~1 805 MHz,带宽为15 M。
1.2 系统总体架构
根据整个电力LTE无线专网系统的边界框架,本文将系统分为业务终端层、LTE接入层、安全接入层、内网业务层等层面进行防护,以满足电力LTE无线专网系统的安全防护需求。
方案的工作过程简述如下:生产业务的终端和管理业务终端采用不同工作频率,接入不同的射频单元,传回基站不同的物理板卡,并通过相互隔离的回传网络送达相互独立的核心网,之后分别送往相互隔离的不同安全大区的各自安全接入区,根据业务层设备的位置就近接入。根据国能安全[2015]36号文的电力监控系统安全防护方案要求,Ⅰ、Ⅱ区安全接入区包括安全接入网关、前置机和正反向隔离装置。Ⅲ、Ⅳ区业务系统采用安全接入平台接入无线终端。
LTE接入层设备部署在地市公司,包括核心网、核心路由器、LTE回传光网络以及基站设备。核心网及核心路由器部署在地市公司通信机房,在核心网之后部署核心路由器,对不同的业务VPN进行分离,将不同的业务送往不同的电力无线应用内网安全入口。LTE回传网络采用SDH独立通道实现,基站部署在变电站、生产基地或供电所。
终端层为业务系统自备的LTE专网终端,其形态主要包括LTE嵌入式通信模块、LTE专网客户终端设备(Customer Premise Equipment,CPE)等。LTE嵌入式通信模块可以嵌入到各类业务终端,采用标准的mini PCIe接口方式互联,有效提高了设备集成度,降低了费用。此外,终端层还包括LTE专网智能手机、LTE专网平板等移动设备。
2安全防护措施
2.1 无线专网总体安全架构
在本文提出的技术方案中,无线专网系统安全防护逻辑架构如图2所示,专网系统采用LTE系统结构,根据ITU-T X.805(中文版为YD/T 2386-2011)通信系统通用安全模型,本文提出的技术方案分为用户、控制和管理3个平面,用户平面包括应用层、传输层和设备层;控制平面包括传输层和设备层;管理平面包括应用层、传输层和设备层。
LTE系统本身对3个平面以及每个平面的传输层和设备层都有安全防护要求或者具体措施,应用平面安全措施由用户具体实施,包括业务网络安全措施和业务网络延伸安全。因此在本系统中对用户应用安全进行了专项加强,并与LTE自身安全措施相互融合,构成安全防护整体架构。下面着重讨论应用层面的安全措施。
按照电力监控系统安全防护要求和终端通信接入网络总体架构,以及国家电网公司安全接入平台技术规范要求,应在信息内网边界部署安全接入平台,解决非公司信息内网区域的终端以安全专网方式接入信息内网的问题。在本文方案中,拟采用VPN技术和数据隔离技术实现数据的安全接入。本方案对Ⅰ/Ⅱ区业务和Ⅲ/Ⅳ区业务采用物理隔离的方式接入,因此可以对2个区的业务无线接入进行独立的安全加强。下面分别以配电自动化和智能电网扩展业务为例加以说明。
2.2 配电自动化加强安全防护物理架构
依据国家发改委[2014]14号令《电力监控系统安全防护规定》、国能安全[2015]36号《国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》,LTE标准安全防护体系之外附加额外的电力终端安全防护措施,并通过增加的终端安全防护措施使得所接入的电力业务安全性得到加强,使之符合发改委和能源局相关要求,配电自动化加强安全防护方案如图3所示。
2.3 智能电网扩展业务加强安全防护物理架构
依据国家电网信息[2011]821号《关于加强智能电网信息安全工作的通知》、信息运行[2011]213号《关于部署信息安全接入平台的通知》,LTE接入层的通信终端采用公司专用的安全接入模块(安全接入平台)实现终端到业务层边界的加密传输、终端业务层合法性认证和数据隔离交换等安全功能。该安全防护架构对进入信息内网的数据提供较全面的安全防护措施,实现访问控制、攻击检测、传输加密和终端认证等功能。对于多业务承载场景来说,每种业务的接入都需要相应的安全接入区。
LTE基站根据通信终端频率将生产类型的数据送往生产大区,将管理类型的数据通过与前者物理隔离的接口送往管理大区。在生产大区或者管理大区内部,LTE基站根据终端的全球唯一标识移动性管理实体识别(Mobility Management Enti ty Identifier,MMEI)将终端数据送往不同的业务VPN。在进入该VPN的边界处通过安全接入设备进行安全接入。
2.4 无线专网加强安全措施功能
安全接入平台主要功能分为认证、加密、集中监管3个部分(见图4)。现场终端与安全接入平台之间的交互过程主要包括认证过程、加密过程。其中认证过程为认证周期内(一般为24 h或10 000数据包)只认证一次,对系统的带宽、效率影响很小。数据加密过程利用国密专控加密芯片实现数据包加解密操作,在业务并发处理量大时,加解密操作会使业务处理效率产生一定时延。而LTE无线专网由于具有SIM卡双向鉴权认证、国密算法认证机制保障,同时专网设备本身具有一定的物理安全性和网络安全性,因此利用LTE无线专网传递业务时可以选择不加密,更好地发挥无线专网的网络特性。
现场终端(业务终端和CPE通信终端)应支持硬件安全芯片模块,支持国密算法认证机制。现场终端应在Qo S专用承载、地址绑定、入侵检测、流量控制、安全接入平台集中监管等方面做好网络安全及可靠性防护。
3 特殊场景覆盖方案
在工程建设过程中可能遇到超高建筑阴影、室内环境、地下室环境等特殊场景。根据业务需要和工程实际情况,采用光纤射频拉远、馈线拉远、泄露电缆、电力线载波和短距离无线技术等方案进行覆盖。
3.1 室外阴影无线覆盖
对室外信号不满足要求的地区采用多种技术进行覆盖优化,分为参数优化和站址变更2类。参数优化具体措施包括调整基站天线倾角和方位角、提高参考信号功率、升高天线等;站址变更包括基站及天线的搬迁、新建基站或者新建拉远单元等。在解决弱覆盖问题时,优化手段由易到难,优先可考虑加功率、调整天线下倾角、方位角等,在前面优化手段均无法解决的条件下,再进行站点搬迁、新增站点。
3.2 室内/地下室分布式无线覆盖
室内分布场景包括室内智能用电、智能楼宇、智能家居等需要将宏基站信号延伸到室内,室内分布覆盖手段主要有2种:室外基站信号从外向内穿透;室内分布系统信号从内部进行渗透。室内分布延伸分布覆盖方案有基于直放信号源的同轴馈电无源分布式天线方案、光纤馈电有源分布式天线方案、泄露电缆方案或者基于中继信号源的微基站、皮基站方案等。为了更好地解决室内深度覆盖问题,LTE网络规划设计中应因地制宜,灵活选用各种站型、多种手段、立体分层的组网方式进行室内外一体化设计。
4 统一网管方案
无线专网系统通过北向接口设备接入综合网管系统。北向接口位置处于EMS或NMS与综合网管之间(见图5)。
LTE设备网管北向接口功能涵盖告警、配置、性能和测试接口功能,为综合网管系统(TMS)提供相关数据,北向接口标准化示意如图6所示。
从接入网精益管理和高效运维的角度,结合现有功能重点完善业务端到端智能分析、运行统计分析、业务配置管理、运行计划管理、缺陷管理等应用功能,如无线专网统一管理功能。
5 业务接入方案
5.1 Ⅰ/Ⅱ区接入方案
Ⅰ/Ⅱ区终端配置与Ⅲ/Ⅳ区终端不同的独立频率,实现与Ⅲ/Ⅳ区业务终端的物理隔离。Ⅰ/Ⅱ区同区业务相互间通过VPN逻辑隔离进行分离。以配电自动化为例,通过CPE把柱上监测采集到的电量参数数据和监测变压器运行状况数据传输到配电自动化主站。
5.2 Ⅲ/Ⅳ区接入方案
Ⅲ/Ⅳ区终端配置与Ⅰ/Ⅱ区终端不同的独立频率,以实现与Ⅰ/Ⅱ区业务终端的物理隔离。Ⅲ/Ⅳ区同区业务相互间通过VPN逻辑隔离进行分离。业务终端内置模块采用接口总线供电,射频功率较小,采用全集成片上芯片处理模拟信号,性能较弱,但成本很低,模块方案适用于在信号良好的覆盖区大规模接入。
6 结语
本文提出了一种基于频率隔离的无线专网多业务承载方案,围绕该方案研究了无线专网安全架构、增强安全防护措施与特殊场景覆盖等关键技术,最后给出了相关业务接入的典型设计。下一步工作将围绕基于LTE的无线专网与电力业务适配性开展研究,分析多种技术体制在电力行业的适应性,提出相应技术组网方案及典型业务接入方案。
摘要:随着无线专网试点建设不断推进,未来电力通信网延伸至用户,解决最后一公里覆盖的目标正变为现实。然而,由于终端更加靠近公众开放环境,信息安全防护问题显得极为迫切。文章从电力通信网安全分区的现实角度出发,提出一种基于频率隔离的无线专网多业务承载方案,并围绕该方案研究了无线专网安全架构、增强安全防护措施与特殊场景覆盖等关键技术,推动了无线专网在电力行业的深入应用。
关键词:无线专网,频率隔离,多业务承载
多业务承载安全技术 篇2
FTTx成功实施的关键在于对着各种各样的业务提供良好的承载[1]。一方面,由于窄带业务仍然是运营商利润的重要来源,FTTx网络仍需对传统铜线时代的窄带业务提供良好承载。另一方面,对于带宽需求大的新业务,如IPTV、高清电视等,也必须在同一个网络内实现。因此,这不仅要求接入网络能够实现各种接入技术,更要很好地承载各类业务,并保证其QoS。下面就以FTTB模式下一种典型的接入技术GPON[2]为例,阐述多业务承载方式及其QoS解决方案。
1 多业务承载方式
宽带接入网络可以使用VLAN TAG、802.1P、TOS等多种方式来区分不同业务类型,其中VLAN可区分业务类型和安全隔离用户信息,是组网时关注的重点问题之一,实际应用中常采用内外层VLAN的方式。一种典型的多业务承载模式是:ONU完成不同业务的VLAN映射,针对同一ONU下不同用户不同业务都分别采用不同的VLAN标识。比如针对用户1的VOIP和用户2的VOIP业务分别用VOIP1VLAN和VOIP2VLAN来表示,高速上网也分别用HSI1VLAN和HSI2VLAN来区分用户1和用户2。由于组播业务的特殊性,对所有用户的组播采用相同的VLAN。OLT侧针对不同ONU的不同用户的同类业务增加一层外部VLAN代表业务类型,内层VLAN用来表示用户信息。不同类型的业务流在上级网络中可以通过外层VLAN来针对不同的业务类型进行不同路由处理或Qos控制等。这种模式对于业务分流和用户定位都非常方便,当业务出现故障时,很容易根据内层VLAN进行用户定位,进行快速定位,并恢复业务。但这种模式对ONU设备要求高,必须支持足够多的VLAN数量,在实际的业务布放中每增加一个用户或一种业务都要增加VLAN配置,维护成本比较高。
另一种典型的多业务承载方式针对ONU下同一个用户的不同业务采用相同CVLAN来标示,如图1所示。同时通过COS来区别不同的业务类型。由于组播业务的特殊性,对所有用户的组播采用相同的VLAN。OLT根据COS来区分不同的业务类型,并相应增加外层VLAN,不同用户的信息在内层VLAN来体现。上级设备通过外层VLAN来进行业务的分流。这种承载模式最大的好处是节省VLAN资源,VLAN的规划比较简单。同时,在ONU和OLT之间针对所有的用户业务通过VLAN实现完全隔离,安全性比较高。
在实际的业务运营中,随着布放用户的增加,第一种方案对VLAN的总数需求庞大,资源消耗大。相比而言,更推荐图1的方案,节省VLAN资源,一步到位实现,后续增加新业务,VLAN无需重新规划,网络侧VLAN配置无需改动,可扩展性更好。
2 多业务承载的QoS探讨
宽带接入网中,除了多业务承载方式,需重点关注QoS保证这一问题。语音、数据、视频等业务对传输时延、带宽要求、丢包等有不同要求。为了能更好地支持各种不同服务的QoS要求,宽带网络首先要能够设别区分不同的业务类型,进而为之提供相应的服务质量[3]。针对IP网络,已经有很多传统的QoS方式,比如IntServ、IP优先级、TOS优先级以及DSCP等方式,这些方式都是IP网的通用技术。除了这些方式,还有几种在网络设备中非常重要的QoS技术,比如CAR,队列调度等。下面就以OLT+ONU系统为例,分析这几种QoS在设备上的实现思路,其中OLT和ONU之间采用GPON技术。
2.1 ONU上针对不同优先级业务的CAR和优先级调度
CAR是最重要的QoS方式之一,其中TRTCM(双速率三色标记器)是一种典型的CAR算法。双速率三色标记用于流量监管和标记,以进行有效的带宽管理。TRTCM中有几个重要的概念。CIR表示承诺速率,PIR表示峰值速率。TRTCM算法针对不同流量下的报文通过不同的着色策略后进行不同的处理。当用户流量小于承诺速率时(CIR)标记为绿色,全部通过;当超出峰值速率时(PIR)标记为红色,全部丢弃,处于CIR和PIR之间的流量标记为黄色,这部分流程将在网络拥塞的时候被丢弃。针对每种不同的业务类型可以设置不同的CIR和PIR,以达到对不同业务的区分服务。实际上可在ONU上支持3种或更多的业务类型,每种业务类型的数据经过CAR以后,进入自己的队列当中。
对于上行的业务报文,在进入GPON模块前,还可以通过不同的调度算法来实现对不同优先级业务的发送控制,当前最典型的调度方法主要有SP(严格优先级),WRR(加权循环)或SP+WRR的方式。在队列调度时,SP严格按照优先级从高到低的次序优先发送较高优先级队列中的分组,当较高优先级队列为空时,再发送较低优先级队列中的分组。这对于对时延要求非常高的语音业务非常有用。WRR在计算报文调度次序时增加了优先权方面的考虑,优先权可以包括等待时间,报文大小等。WRR保证每个队列都得到一定的服务时间,当然也可以同时采用SP+WRR的方式,集中两者的优势。对于下行报文ONU可以针对每个用户端口不同业务类型设定不同的优先级队列,同样采取SP/WRR调度的方式实现下行的QoS控制。
2.2 GPON模块针对不同业务类型采用不同的承载策略
GPON通过DBA实现精细化带宽分配机制,而TCONT是GPON流量调度的基本单位。同时GPON规定了5种T-CONT,不同类型的T-CONT具有不同的带宽分配方式,可以满足不同业务流对时延、抖动、丢包率等。针对不同的业务,通过采用不同的TCONT或者设置为不同的TCONT类型,配合GPON的DBA调度策略就可以在OLT和ONU之间实现不同QoS控制效果。因此在OLT和ONU之间的TCONT的对业务的承载方式也是一种重要的QoS策略。
TCONT主要的承载模式有:ONU为每个用户采用不同的TCONT来承载,ONU需要支持的TCONT数量等于ONU的用户数;针对每种COS设置不同的TCONT,这种模式下ONU对TCONT的支持数量等于COS类型的数量。当然还可以有更进一步的方式,比如针对每个用户的每种不同的业务类型设置一个TCONT承载,这样通过GPON的DBA调度可能得到更精细的的QoS调度效果,但同时对ONU的TCONT支持能力提出了很高的要求,具体采用什么模式可以根据实际业务的需要进行选择。
2.3 OLT针对不同业务类型进行队列调度
ONU的报文到达OLT以后,OLT可以根据VLAN TAG/COS等对报文进行流分类,然后对不同的流进行CAR及调度处理,类似ONU上的处理方式。通过这种方式,实现在OLT上的QoS控制。
不管是ONU上的CAR队列调度、ONU和OLT之间的TCONT承载以及OLT上的CAR队列管理,整个PON接入系统最终需要在各个节点上采取统一的QoS策略,实现整体系统的最优QoS效果。
3 结束语
实现“光进铜退”是宽带网今后发展的主要趋势。当前的光接入进程中,考虑到直接光纤到户的成本较高、新业务对带宽的需求尚未十分紧迫以及充分利用原有铜线资源等因素,运营商们更倾向以FTTB模式为主、其他FTTx模式为辅来推进建设FTTx网络。在FTTB的建设过程中,势必要面临多业务承载以及QoS保证等问题的挑战。本文以GPON为例分析了FTTB下多业务承载方式和QoS的几种可选方案。事实上,多业务承载和QoS控制可以有多种多样的策略,最终选择哪种策略是基于现有资源、维护习惯、业务布放便利性、业务特点等情况作出的综合考虑。
参考文献
多业务承载安全技术 篇3
随着智能电网对通信的需求日趋多元化, 以长期演进 (Long Term Evolution, LTE) 技术为代表的新型专网无线通信技术在电力通信系统中的应用受到越来越多的关注。浙江、广东等电力公司近几年纷纷开展了基于不同技术体制的配用电通信无线专网试点建设和探索性应用, 如TD-LTE230 MHz/1.8 GHz等。新型无线通信技术在传输速率、可靠性、实时性以及维护难易程度方面具备有线通信无法比拟的优势, 能够天然地适应通信终端数量众多、通信距离短、节点通信数据量小、受配电网扩容和城建影响大的配用电通信接入网。
现有电力通信网络的各业务领域是独立产生与发展的, 因而与之相应的通信网也一直是根据业务需要单独建设, 直到国家电网公司“十二五”通信网规划中才首次提出“电力终端通信接入网”这一整体概念。此前的单独建网模式既不能充分利用通信资源, 也不利于设备的统一运维管理。因此, 在终端通信接入网中采用统一的物理网络来承载多种电力通信业务, 是今后接入网建设模式的发展方向。
多业务承载建设思路在电信行业乃至电力骨干数据通信网中已有成熟应用, 但在电力通信接入网领域的研究才刚刚展开, 目前还未有成熟的研究成果。本文结合LTE无线通信接入网络架构, 在分析电力通信业务承载情况的基础上, 提出一种LTE系统多业务承载与隔离方案。
1 电力通信网络业务承载需求分析
电力通信终端接入网以覆盖全部电力业务终端为目的, 充分考虑并满足配电自动化及配变监测、电能质量监测、配电监控运行、分布式电源控制、配电线路视频监控等配电业务需求, 及用电信息采集、售电营业、客户服务、电力需求侧管理、负荷监控、电能采集管理和充电桩通信等用电业务需求。其中配电自动化、电能质量监测、分布式电源接入业务位于生产控制大区, 承载于电力调度数据网, 配电视频监控业务位于管理大区, 承载于综合数据网。
目前电力通信网络根据不同的配用电业务独立建网, 各业务系统封闭运行, 造成系统间联系困难, 通信网之间难以实现互相协调与衔接。同时独立建网必然导致网络的重复建设, 建设模式不够集约, 且需要多重管理和维护工作, 造成资源浪费。总之, 现有电力通信资源缺乏有效整合, 通信网络整体性能不强。
在关注电力通信业务统一承载的同时, 还要注意配用电业务涵盖配电和用电2个环节的多种生产及管理业务, 处于不同的安全大区。根据《电力二次系统安全防护总体方案》的规定, 对处于不同分区的业务要采取有效的隔离措施, 隔离基本要求为:生产控制大区 (I、II区) 与管理信息大区 (Ⅲ、Ⅳ区) 业务间采用物理隔离, 大区内不同业务之间采用逻辑隔离。
2 电力LTE系统部署架构
2.1 LTE系统基本结构
LTE系统由演进的通用陆基无线接入网 (Evolved Universal Terrestrial Radio Access Network, E-UTRAN) 和分组核心演进 (Evolved Packet Core, EPC) 网络组成。演进型基站 (Evolved Node B, e NB) 是组成E-UTRAN的唯一功能实体, 包括基带处理单元 (Building Base band Unit, BBU) 和射频拉远单元 (Radio Remote Unit, RRU) 2个部分, BBU与RRU之间通过通用公共无线电接口 (Common Public Radio Interface, CPRI) 标准的光纤连接。EPC由移动性管理实体 (Mobility Management Entity, MME) 和服务网关 (S-GW) 组成, MME的主要作用是移动性控制, 而S-GW的主要作用是数据包的路由转发, 在实际应用中通常集成于一台核心网设备中。e NB之间通过X2接口进行连接, LTE接入网和核心网之间通过S1接口连接。相对于3G网络, LTE系统采用了更为扁平化的网络架构。LTE系统网络架构如图1所示。
2.2 电力LTE系统部署架构
按照一般电力无线系统的部署模式, BBU应部署在35/110 k V变电站内, RRU及天线通常部署在柱上开关、台变或环网柜旁, 每个RRU通过收发2根光纤连接BBU。在非级联模式下, 1个BBU最多可以下挂6个RRU, 实现多个微小区覆盖;级联模式下, RRU还具有光纤直放站的功能, 可以实现进一步级联延伸, 扩大覆盖范围。
核心网设备部署在县局或市局控制中心, 无线终端接入设备 (Customer Premise Equipment, CPE) 通过有线方式连接业务终端。电力LTE网络部署架构如图2所示。
3 无线多业务承载实现方式与关键技术
3.1 多业务承载网络概述
无论对于运营商还是电力通信系统, 通信承载网络的发展趋势都是网络架构及业务承载的融合化与统一化。未来的语音、视频、数据等业务都将基于IP统一承载, 同一张电信网络需要同时支持各种类型业务。对于电力通信系统, 综合当前技术与应用现状, 有基于电信级以太网[1]与基于VPN 2种多业务承载解决方案。本文讨论的是基于VPN的多业务承载方案, 该方案是在既有的IP通信网络上采用MPLS或IPSec VPN承载新增业务通信, 通过一定的改造, 能够满足多种业务的统一承载, 并满足一定的安全要求和Qo S要求, 各业务及网络原有业务间实现逻辑隔离。
3.2 IPSec VPN技术
虚拟专用网络 (VPN) 是指利用访问控制技术和密码技术在公共物理网络上建立的专用通信网络, IPSec VPN则是采用IPSec安全协议来实现远程接入的一种VPN技术。
IPSec在网络层利用安全算法进行数据加密和验证, 提供端到端的网络安全方案[2]。经过IPSec加密后的数据包仍然是3层IP数据包, 其在网络层提供的安全服务对IP上层协议及应用进程透明, 其他协议和各应用程序都可共享经IPSec加密后的密钥管理及安全服务, 从而减少密钥单独设计与协商的开销, 且能够避免不同密钥系统衔接时产生安全漏洞。IPSec协议提供了封装安全载荷和认证投标2种通信保护机制, 其中封装安全载荷机制为通信提供机密性、完整性保护, 认证投标机制为通信提供完整性保护。
与一般运行在运营商骨干网上的MPLS VPN不同, IPSec VPN常用于企业、园区或其分支机构的内部专用网络[3]。因此电力系统通信网络基于IP over SDH技术体制的汇聚层多选择MPLS VPN实现组网, 而IPSec VPN适合在配用电业务小规模扩容接入骨干通信网时采用。
3.3 无线接入网共享技术
无线接入网共享 (Radio Access Network Sharing, RAN Sharing) 是指不同类别的终端用户接入同一无线网络, 共享相同的无线频谱资源[4]。为满足大量无线通信设备的综合接入需求, 这一技术在运营商的无线网络中已被普遍应用。实现频谱共享即意味着需要一种合理的频谱分配方式, 文献[5]提出了固定频谱分配 (Fixed Spectrum Allocation, FSA) 和灵活频谱分配 (Flexible Spectrum Sharing, FSS) 2种方法。
1) 固定频谱分配法:将无线接入网的整个频谱划分为若干固定带宽的频段 (频段大小可不一) , 并留有一定的保护带宽, 以避免同频干扰与邻频干扰等。FSA方法实现简单, 抗干扰能力强, 但灵活性差, 频谱利用率较低。
2) 灵活频谱分配法:各业务终端被共同分配在整个无线频谱中, 各业务所占频段之间的边界根据业务量大小动态地调节, 业务频段之间同样有保护带宽, 但其大小根据频段使用情况自适应调整 (大于最小干扰距离) 。FSS方法灵活性很高, 能够显著提高频谱利用率, 频谱资源可以得到优化共享。
在多业务统一承载的发展趋势下, 若在电力LTE系统中采用设备物理隔离方式, 即一套基站设备只接入一种业务, 会造成通信资源浪费, 且前期建设成本及后期维护工作量将大幅增加。因此无线部分采用RAN Sharing技术是电力LTE系统多业务承载的理想解决方案。
4 LTE系统多业务承载与隔离方案
4.1 LTE系统多业务承载总体架构
LTE无线虚拟专网分为空口、基站、核心网3个层面, 本方案采用RAN Sharing与多接入点 (Access Point Name, APN) 隔离方案组网, 保障多业务安全隔离。用户设备在基站和核心网中占用不同的资源, 逻辑上处于隔离状态, 相互之间无法访问, 在资源紧张情况下, 可以通过Qo S机制保障高优先级业务。
以分布式能源接入、配电自动化、配变监测和电能质量监测4种业务为例, 给出基于RAN Sharing的隔离方案, 并使用多APN方式进行隔离, 基于RAN Sharing的LTE多业务系统总体架构如图3所示。
不同业务终端数据共享小区无线网络, 每个通信终端都根据业务类别设置了相应的APN签约数据, 当终端发出数据传送请求时, 请求中包括系统为该业务分配的APN, 基站根据APN对该业务终端进行鉴权认证。终端身份信息被确认后, 将得到为其分配的业务专用静态IP地址, 与业务信息一同封装成数据包上传至基站。基站根据APN标识的业务域将数据包从不同的上联端口接入骨干传输设备。
在骨干传输网络边界部署IPSec VPN网关, 作为VPN服务器端与业务终端建立安全隧道, 对所传输业务数据进行加密保护;网络中相应地部署具备VPN功能的路由器, 与VPN服务器自动建立VPN隧道, 通过对该路由器的配置, 实现自动路由选择与虚拟链路建立。业务数据经建立在骨干传输网上的VPN网络传送至核心网设备。核心网设备支持多APN技术, 根据APN将不同的业务数据上传至相应业务系统主站平台。
4.2 基于APN和VPN的业务隔离方案
无线网络中的APN可简单地理解为数据业务链接的名字, 网络侧可以通过不同APN来支持不同类型的电力业务。通过不同APN, 基站与核心网可以对不同类型的数据业务进行区分, 进而可以做更多的控制, 如VPN隔离等。隔离方案的具体实现方式如下。
1) 在无线接入侧, 采用固定频谱分配法与灵活频谱分配法相结合的方式实现不同安全大区的业务承载。同一安全大区内的终端采用灵活频谱分配法, 不同安全大区采用固定频谱分配法, I、II区终端接入频段与III区终端接入频段不交叠, 从而实现空口数据传输的物理隔离。
2) 所有终端的数据包被RRU接收后, 经过光纤链路传输到基站BBU进行基带处理, 各类业务共享基站处理资源。
3) 基站通过设置数据包的APN, 保证每种业务的数据包从BBU的不同上联GE口接入骨干传输设备, 再将其传输到承载相应业务的核心网设备。
4) 骨干传输网/汇聚层网络采用IPSec VPN隔离, 为不同类型业务传输划分独立的逻辑通道。
5) 核心网支持多APN技术, 不同的APN连接到不同的公用数据网 (服务器) , APN之间相互隔离。
5 结语
电力系统通信网的发展趋势是业务承载与网络建设的统一化。LTE系统作为终端通信接入网的新型解决方案, 能够实现多业务承载的基本要求。在实现方法上, 应综合LTE网络结构与电力骨干通信网现状, 设计能够满足业务承载、数据安全要求且切实可行的多业务承载架构。本文提出的LTE系统可应用于电力通信领域的多业务承载方案, 但该方案尚有待工程实践验证, 且其Qo S保障仍需要进一步研究。
参考文献
[1]詹翊春.分组化、高可靠的电力通信多业务承载网[J].电信技术, 2012 (7) :16–18.
[2]王妍.基于IPSec的VPN系统设计与实现[D].成都:电子科技大学, 2013.
[3]王一蓉, 邹颖, 王艳茹.电力无线虚拟专网组网架构及IP地址分配研究[J].电力信息与通信技术, 2014, 12 (6) :16–21.WANG Yi-rong, ZOU Ying, WANG Yan-ru.Study of network architecture and IP address allocation of wireless VPN for power grid[J].Electric Power Information and Communication Technology, 2014, 12 (6) :16–21.
[4]李剑锋.感知无线电中考虑公平性的频谱共享技术的研究[D].北京:北京邮电大学, 2011.