[发明专利]一种基于VXLAN技术的电力信息内网报文加密发布方法

说明书

本发明公开了一种基于VXLAN技术的电力信息内网报文加密发布方法，属于电力系统调度监控远方传输技术领域。在电力系统中，纵向链路远方传输必须要经过国家认证的纵向加密装置，保证信息的安全传输，但存在纵向加密设备不能加密广播和组播报文的缺陷。该发明是通过利用网关VXLAN路由器实现VXLAN的二层网络功能，以实现VXLAN对广播、组播和IP数据报文的封装，再通过纵向加密装置隧道根据策略实现加密，且整个过程是在网关VXLAN路由器内部和纵向加密隧道内部执行，做到了组播和广播数据报文远方加密传输，提高了报文传输的安全性，节省了链路带宽的浪费。

技术领域

本发明涉及电力系统调度监控远方传输技术领域，具体涉及一种基于VXLAN技术的电力信息内网报文加密发布方法。

背景技术

智能电网调度技术支持系统实现了以“集约运行、源端维护、分布应用、扁平管理、优化流程”为核心的省地县一体化调度管理体系。由于智能电网调度技术支持系统采用分布式采集方式，该模式需要在远方调度配置工作站，该网络为地调系统主干网络的远端延伸，需要地调主站与各供电局之间通过以太网络长距离纵向联接。

根据发改委14号令《电力监控系统安全防护规定》要求：“在生产控制大区与广域网的纵向联接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。”但对于调控系统现状，文中所指的纵向联结处仅包括调控中心前置服务器至变电站的通讯网关机段，却未包含调控中心主网至各县调调度工作站段，这使得电力监控系统安全防护存在薄弱环节，必须采取相应的措施避免安全隐患。

目前国内电力系统调度技术支持系统采用远程工作站模式的，均为利用远距离网线将主网交换机延伸接入远方工作站，这就导致黑客可以从通信链路任意一点直接攻击调度SCADA系统，造成大面积停电事故。

采用VXLAN技术(Virtual eXtensible LAN，可扩展虚拟局域网络)是基于IP网络、采用“MAC in UDP”封装形式的二层VPN技术。VXLAN具备极好的开放性，可以基于现有网络的基础上为分散的物理站点提供二层互联，并能够为不同的用户提供业务隔离。

在电力系统中，纵向链路远方传输必须要经过国家认证的纵向加密装置，保证信息的安全传输，但存在纵向加密设备不能加密广播和组播报文的缺陷。然而，若直接采用VXLAN技术在主干网至远方工作站两侧配置两台纵向加密，来解决通道安全的问题，却存在纵向加密设备只能对单播报文实现加密传输却不能加密广播和组播报文的缺陷，仍然无法保证纵向链路的密文传输。

发明内容

本发明是一种基于VXLAN技术对电力信息内网报文加密发布的方法，该方法解决了现有技术中电力系统不能加密广播和组播报文的缺陷。利用网关VXLAN路由器实现VXLAN的二层网络功能，以实现VXLAN对广播、组播和IP数据报文的封装，再通过纵向加密装置隧道根据策略实现加密。

利用并改进两项重要技术VXLAN封装与解封装技术及纵向加密隧道的虚拟VTEP策略整合技术，封装电力系统需要远程传输的各类报文数据和加密封装好的VXLAN报文数据，将经过VXLAN封装好的报文，通过电力专用纵向加密认证装置，进行报文加密，使得信息在通信链路中传输过程即使被黑客截获，既无法破解，又无法冒充。使用满足电力系统二次安防要求的SM2加密算法，保证了调度系统安全可靠性。且整个过程是在网关VXLAN路由器内部和纵向加密隧道内部执行，做到了组播和广播数据报文远方加密传输，提高了报文传输的安全性，节省了链路带宽的浪费。