基于无线公网VPN的电力监控系统的制作方法

本发明涉及智能电网领域，尤其涉及一种基于无线公网vpn的电力监控系统。

背景技术：

vpn/vpdn（虚拟/拨号专用网络）是在公用网络上建立虚拟专用网络，进行加密通信的网络技术，由于电力生产数据和系统安全的重要性，需要网络运营商在主干网上完成vpn通道的建立，vpn网关通过隧道和对数据包的加密和数据包目标地址的转换实现远程访问。

vpn/vpdn的隧道协议主要有几种，pptp（点到点隧道协议）、l2tp（第二隧道协议）、ipsee（internet协议安全性）和gre（通用路由封装协议）等。

无线网络运营商给出的vpdn实现方案是vpn用于向当地网络运营商申请租用一条专线，从就近ggsn节点架设至用户数据中心，运营商在网关和用户接入路由器上配置vpdn隧道协议，实现vpdn方式。该方式由于用户需要架设并租用专线，建设周期和成本都比较高。

技术实现要素：

本发明的目的在于解决现有技术中的缺陷，提供一种投资小、便于管理、安全可靠的基于无线公网vpn的电力监控系统。

本发明是通过如下技术方案实现的：一种基于无线公网vpn的电力监控系统，包括第一前置服务器、第二前置服务器、网络交换机、纵向加密认证网关、无线路由器及全无线vpn组网，所述第一前置服务器、第二前置服务器通过网络交换机与纵向加密认证网关连接，所述纵向加密认证网关通过无线路由器与全无线vpn组网连接。

在本发明一较佳实施例中，所述基于无线公网vpn的电力监控系统还包括安全系统，所述安全系统包括横向隔离装置、scada系统及电能量管理系统，所述第一前置服务器、第二前置服务器分别通过横向隔离装置与scada系统、电能量管理系统连接。

在本发明一较佳实施例中，所述全无线vpn组网包括采集通信模块、无线路由器、运营商认证系统及电力调度证书系统，所述采集通信模块通过无线路由器与运营商认证系统连接，所述运营商认证系统与电力调度证书系统连接，所述电力调度证书系统与中心服务器连接。

作为优选，所述采集通信模块通过加密认证网关与无线路由器连接。

本发明的有益效果是：该基于无线公网vpn的电力监控系统适用于大量投资小、位置偏远的分布式电源数据接入电力监控系统，便于电力调度部门对于分布式电源及地区电网的负荷管理，本发明在采用网络运营商提供的全无线组网方式便捷灵活的基础上，针对电力监控系统的安全防护要求做了专门考虑，满足国家对于电力监控系统的安全防护要求。

附图说明：

图1为本发明的基于无线公网vpn的电力监控系统的结构示意图；

图2为本发明的安全系统的结构示意图；

图3为本发明的全无线vpn组网的结构示意图。

具体实施方式：

下面结合附图对本发明的较佳实施例进行详细阐述，以使本发明的优点和特征能更易被本领域人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

如图1所示，本发明的基于无线公网vpn的电力监控系统，包括前置服务器a、前置服务器b、网络交换机、纵向加密认证网关、无线路由器及全无线vpn组网，前置服务器a、前置服务器b通过网络交换机与纵向加密认证网关连接，纵向加密认证网关通过无线路由器与全无线vpn组网连接。

本发明建立了一种全无线的新型组网方式，在电力监控中心与分布式电源场站同样采用无线方式，组网方式如图3所示，包括采集通信模块、无线路由器、运营商认证系统及电力调度证书系统，所述采集通信模块通过无线路由器与运营商认证系统连接，所述运营商认证系统与电力调度证书系统连接，所述电力调度证书系统与中心服务器连接，所述采集通信模块通过加密认证网关与无线路由器连接。所有apn的专网ip地址固定，能够既作为客户端，也能作为服务端支持各类基于ip协议的应用，特别是电力专用的各类通信协议（101\102\103\104\modbus等）。

移动网络运营商提供专用apn（接入点名称）接入vpdn网络的sim卡，每张sim卡作为vpdn网络接入点连接ggsn，在运营商hlr（归属位置寄存器）或平台aaa中配置每个apn固定ip地址，打通apn间的隧道，每个apn配置一台支持隧道协议的无线路由器作为lns，ggsn作为lac负责与lns之间建立l2pt隧道转发ip报文，并在ggsn中关闭ip地址反欺诈功能，关闭终端隔离，允许apn之间互访。

为保证sim卡的安全，apn的sim卡与接入终端设备全球唯一imei（移动设备身份码）绑定，一旦sim卡离开终端设备进入其他的设备，该sim不可用。

电力监控中心采用传统专线方式，能够保证申请的专线带宽，但需要网络运营商敷设专线到电网企业电力监控中心，监控中心用户还需要根据服务器架设位置敷设网线，建设和使用成本比较高。而本发明的全无线方式组网灵活，监控中心可以建在调度中心机房或者其他任何位置，且搬迁和移位便利。目前运营商4g网络的理论峰值速率可以达到上行50mbps，下行100mbps。

本发明在监控中心和监控场站部署电力专用纵向加密认证装置（网关），通过纵向加密装置建立隧道，纵向加密装置的隧道同样基于vpdn第三层ipsee协议，但加密算法采用的是国家密码管理局授权批准的电力专用密码算法，支持身份鉴别、信息加密、数字签名和密钥生成与保护。

部署在电力企业调度端的安全接入区与分布式电源场站采用全无线vpdn组网。vpdn的第二层隧道协议采用运营商提供的l2pt协议，第三层ip层的加密认证采用纵向加密认证装置自建的ipsee隧道协议，实现用户身份、设备认证以及数据的加密传输，分布式电源场站侧通信采用电力专用网络通信协议iec-60870-104。

安全接入区采集到的分布式电源并网数据需要转发至调度自动化的各项业务系统中，如scada系统、电能量管理系统等。根据业务系统的不同安全分区，可将采集的业务数据根据不同的安全分区转发至业务系统。按照电力监控系统安全防护要求，无线接入的安全接入区属于外网，安全接入区与生产控制大区中其他部分的连接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置（简称横向隔离装置），其安全系统如图2所示，前置服务器a、前置服务器b分别通过横向隔离装置1、横向隔离装置2与scada系统、电能量管理系统连接。

该基于无线公网vpn的电力监控系统适用于大量投资小、位置偏远的分布式电源数据接入电力监控系统，便于电力调度部门对于分布式电源及地区电网的负荷管理，本发明在采用网络运营商提供的全无线组网方式便捷灵活的基础上，针对电力监控系统的安全防护要求做了专门考虑，满足国家对于电力监控系统的安全防护要求。

最后应说明的是：以上实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。