本發明公開了一種基于VXLAN技術的電力信息內網報文加密發布方法，屬于電力系統調度監控遠方傳輸技術領域。在電力系統中，縱向鏈路遠方傳輸必須要經過國家認證的縱向加密裝置，保證信息的安全傳輸，但存在縱向加密設備不能加密廣播和組播報文的缺陷。該發明是通過利用網關VXLAN路由器實現VXLAN的二層網絡功能，以實現VXLAN對廣播、組播和IP數據報文的封裝，再通過縱向加密裝置隧道根據策略實現加密，且整個過程是在網關VXLAN路由器內部和縱向加密隧道內部執行，做到了組播和廣播數據報文遠方加密傳輸，提高了報文傳輸的安全性，節省了鏈路帶寬的浪費。

技術領域

本發明涉及電力系統調度監控遠方傳輸技術領域，具體涉及一種基于VXLAN技術的電力信息內網報文加密發布方法。

背景技術

智能電網調度技術支持系統實現了以“集約運行、源端維護、分布應用、扁平管理、優化流程”為核心的省地縣一體化調度管理體系。由于智能電網調度技術支持系統采用分布式采集方式，該模式需要在遠方調度配置工作站，該網絡為地調系統主干網絡的遠端延伸，需要地調主站與各供電局之間通過以太網絡長距離縱向聯接。

根據發改委14號令《電力監控系統安全防護規定》要求：“在生產控制大區與廣域網的縱向聯接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施。”但對于調控系統現狀，文中所指的縱向聯結處僅包括調控中心前置服務器至變電站的通訊網關機段，卻未包含調控中心主網至各縣調調度工作站段，這使得電力監控系統安全防護存在薄弱環節，必須采取相應的措施避免安全隱患。

目前國內電力系統調度技術支持系統采用遠程工作站模式的，均為利用遠距離網線將主網交換機延伸接入遠方工作站，這就導致黑客可以從通信鏈路任意一點直接攻擊調度SCADA系統，造成大面積停電事故。

采用VXLAN技術(Virtual eXtensible LAN，可擴展虛擬局域網絡)是基于IP網絡、采用“MAC in UDP”封裝形式的二層VPN技術。VXLAN具備極好的開放性，可以基于現有網絡的基礎上為分散的物理站點提供二層互聯，并能夠為不同的用戶提供業務隔離。

在電力系統中，縱向鏈路遠方傳輸必須要經過國家認證的縱向加密裝置，保證信息的安全傳輸，但存在縱向加密設備不能加密廣播和組播報文的缺陷。然而，若直接采用VXLAN技術在主干網至遠方工作站兩側配置兩臺縱向加密，來解決通道安全的問題，卻存在縱向加密設備只能對單播報文實現加密傳輸卻不能加密廣播和組播報文的缺陷，仍然無法保證縱向鏈路的密文傳輸。

發明內容

本發明是一種基于VXLAN技術對電力信息內網報文加密發布的方法，該方法解決了現有技術中電力系統不能加密廣播和組播報文的缺陷。利用網關VXLAN路由器實現VXLAN的二層網絡功能，以實現VXLAN對廣播、組播和IP數據報文的封裝，再通過縱向加密裝置隧道根據策略實現加密。

利用并改進兩項重要技術VXLAN封裝與解封裝技術及縱向加密隧道的虛擬VTEP策略整合技術，封裝電力系統需要遠程傳輸的各類報文數據和加密封裝好的VXLAN報文數據，將經過VXLAN封裝好的報文，通過電力專用縱向加密認證裝置，進行報文加密，使得信息在通信鏈路中傳輸過程即使被黑客截獲，既無法破解，又無法冒充。使用滿足電力系統二次安防要求的SM2加密算法，保證了調度系統安全可靠性。且整個過程是在網關VXLAN路由器內部和縱向加密隧道內部執行，做到了組播和廣播數據報文遠方加密傳輸，提高了報文傳輸的安全性，節省了鏈路帶寬的浪費。