一种基于安全隔离的虚拟专用网建立方法及系统与流程

本发明涉及电力通信网络，尤其涉及一种基于安全隔离的虚拟专用网建立方法及系统。

背景技术：

1、当前新能源发电得到了广泛的发展，新能源通常采用分布式发电，并可以接入电网。分布式电站具有数字化、智能化的特点，可以实现业主和智能运维方的随时监控，也可以根据需要进行远程主站的电力调度控制，保证电能质量，降低对电网上电的冲击。对于新能源发电过程信息，可以基于业主端由互联网访问服务器查询相关状态，新能源运维也可以是专线外网或vpn加密的外网进行访问服务器查询相关状态。而电网内部生产控制属于管理信息大区设备，具有一定的安全等级，防止非授权访问，因此需要在不同安全区之间进行安全隔离。

2、目前较为常用的是物理隔离，物理隔离的目的是保护网络设备及计算机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。物理隔离只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。但是由于物理隔离的相关技术复杂性，安全控制十分有限性，无法满足电网对数据安全的要求，容易导致在线分析技术无法提供数据安全要求。而且对于通信逻辑实体而言容易被窃取及操纵。因此，无法保证电力生产控制大区和电力管理信息大区之间安全，容易造成信息泄露和破坏，这给电网运行安全带来了风险。

技术实现思路

1、本发明提供一种基于安全隔离的虚拟专用网建立方法，方法实现电力生产控制大区和电力管理信息大区之间的通信连接，保障通信安全，满足通信需求。

2、方法包括：

3、在生产控制大区设备中，创建生产虚拟网络设备tun/tap并初始化，配置设备参数、ip地址；

4、在管理信息大区设备中，创建管理虚拟网络设备tun/tap并初始化，配置设备参数、ip地址；

5、生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接，管理信息大区设备通过反向隔离装置与生产控制大区设备通信连接，实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接。

6、优选地，方法中，生产控制大区设备启动循环线程1；

7、循环线程1包括：监视设置的反向接收目录，当数据文件接收完毕后，读取文件内容，使用base64解码为原始数据，写入虚拟网络设备，将文件删除。

8、生产控制大区设备再启动循环线程2；

9、循环线程2是从虚拟网络设备读取数据，将接收的数据通过正向隔离装置的文件发送接口发送。

10、优选地，方法中，管理信息大区设备启动循环线程1；

11、循环线程1为监视设置的正向接收目录，当数据文件接收完毕后，读取文件内容，写入虚拟网络设备，将文件删除。

12、管理信息大区设备启动循环线程2；

13、循环线程2从虚拟网络设备读取数据，接收的数据先使用base64编码，再通过反向隔离装置的文件发送接口发送。

14、优选地，生产控制大区设备和管理信息大区设备之间配置有通信网关；

15、通信网关建立虚拟通道，保证接入数据的传输安全以及生产控制大区设备和管理信息大区设备之间的通信安全；

16、通信网关还对接入的终端进行身份认证，保证接入终端可信性的同时，利用安全通信协议建立虚拟通道，对传送的数据进行加密；

17、通信网关根据预设规则对生产控制大区设备和管理信息大区设备的访问权限进行控制，赋予用户权限。

18、优选地，生产控制大区设备向管理信息大区通过正反向安全隔离装置发送文件；

19、管理信息大区设备向生产控制大区设备通过反向隔离装置发送任意非空文本文件，且支持发送ascii中的可打印字符。

20、优选地，生产控制大区设备和管理信息大区设备之间使用inotify机制监控文件系统，读取收到的数据文件，同时将待发送的数据通过隔离装置的文件发送接口发送。

21、本发明还提供一种基于安全隔离的虚拟专用网建立系统，系统包括：正向隔离装置、反向隔离装置、生产控制大区设备和管理信息大区设备；

22、在生产控制大区设备中，创建生产虚拟网络设备tun/tap并初始化，配置设备参数、ip地址；

23、在管理信息大区设备中，创建管理虚拟网络设备tun/tap并初始化，配置设备参数、ip地址；

24、生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接，管理信息大区设备通过反向隔离装置与生产控制大区设备通信连接，实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接。

25、优选地，生产控制大区设备和管理信息大区设备之间的配置有虚拟通道以及通信网关；

26、通信网关用于建立虚拟通道能够保证接入传输的安全以及生产控制大区设备和管理信息大区设备之间的通信安全；

27、虚拟通道承载网络采用专线方式，或采用基于ssl安全通讯协议进行通信，在虚拟通道对传输的数据进行加密保护；

28、生产控制大区设备和管理信息大区设备均嵌入有国密安全芯片，国密安全芯片实现sm1、sm2、sm3及sm4加密算法。

29、从以上技术方案可以看出，本发明具有以下优点：

30、本发明提供的基于安全隔离的虚拟专用网建立方法能够建立生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接，方便用户进行数据通信，有效的提升通信效率和通信质量。还能够对生产控制大区设备数据和管理信息大区设备数据高效率地收集、存储，并进行处理，可以实现两个大区设备的实时数据交互，提高数据通信质量和畅通，避免或减少黑客入侵窃取数据，在一定程度上保护了电力网络的网络安全，控制通信过程风险，从而实现生产控制大区设备和管理信息大区设备通信全过程管理和控制的及时性和科学性。

31、本发明提供的基于安全隔离的虚拟专用网建立方法通过建立虚拟通道能够保证接入传输的安全以及生产控制大区设备和管理信息大区设备之间的通信安全。通信网关对接入的终端进行身份认证，保证接入终端可信性的同时，利用安全通信协议建立虚拟通道，对传送的数据进行加密，防止数据在传送的过程中被截获、篡改和破坏。根据预设规则对生产控制大区设备和管理信息大区设备的访问权限进行控制，赋予用户权限，保证生产控制大区设备和管理信息大区设备通信安全。

技术特征：

1.一种基于安全隔离的虚拟专用网建立方法，其特征在于，方法包括：

2.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法，其特征在于，方法中，生产控制大区设备启动循环线程1；

3.根据权利要求2所述的基于安全隔离的虚拟专用网建立方法，其特征在于，方法中，生产控制大区设备再启动循环线程2；

4.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法，其特征在于，方法中，管理信息大区设备启动循环线程1；

5.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法，其特征在于，方法中，管理信息大区设备启动循环线程2；

6.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法，其特征在于，

7.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法，其特征在于，

8.根据权利要求1所述的基于安全隔离的虚拟专用网建立方法，其特征在于，

9.一种基于安全隔离的虚拟专用网建立系统，其特征在于，系统采用如权利要求1至8任意一项所述的基于安全隔离的虚拟专用网建立方法；

10.根据权利要求9所述的基于安全隔离的虚拟专用网建立系统，其特征在于，

技术总结
本发明提供一种基于安全隔离的虚拟专用网建立方法及系统，涉及电力通信网络技术领域，在生产控制大区设备中，创建生产虚拟网络设备TUN/TAP并初始化，配置设备参数、IP地址；在管理信息大区设备中，创建管理虚拟网络设备TUN/TAP并初始化，配置设备参数、IP地址；生产控制大区设备通过正向隔离装置与管理信息大区设备通信连接，管理信息大区设备通过反向隔离装置与生产控制大区设备通信连接，实现生产控制大区设备和管理信息大区设备基于安全隔离的虚拟专用网通信连接。本发明可以保证生产控制大区设备和管理信息大区设备畅通，实现电力生产控制大区和电力管理信息大区之间的通信连接，保障通信安全，满足通信需求。

技术研发人员：杨昕,李明捷,王振华,李伦,杨鑫,戴超,陈雪峰
受保护的技术使用者：国网山东省电力公司泰安供电公司
技术研发日：
技术公布日：2024/1/13