供熱系統實時監測組網解決方案

一、概述
隨著國民經濟的飛速發展，城市集中供熱規模不斷擴大。集中供熱是國家大力推廣的節能和環保措施，供熱站是連接供熱子站和用戶極為重要的環節。
在供熱系統中，常常需要對眾多的供熱子站點進行實時監測，大部分監測數據需要實時發送到管理中心的后端服務器進行處理。由于監測點分散，分布范圍廣，通過電話線傳送數據往往事倍功半。通過CDMA無線網絡進行數據傳輸，成為供熱部門選擇的通信手段之一。工業控制監測設備可將采集到的數據和告警信息通過CDMA網絡及時發送到供熱站數據中心，實現對供熱子站的及時管理，可以大大提高工作效率。

二、項目需求分析
按照傳統方式，供熱站數據中心與子站之間的數據通信主要采用現場采集或PSTN電話線傳輸。采用電話線傳輸數據時，每次采集都需要等待建立撥號連接，速度慢，受外界環境影響大，而且費用也較高。同時，由于各子站分布范圍廣、數量多、距離遠，個別點還地處偏僻，因此需申請很多電話線，而且有些子站有線線路難以到達。

CDMA具有實時在線、速度快、使用費用低的特點，其傳輸速度可達153kb/s。與有線通訊方式相比，采用CDMA無線通信方式則顯得非常靈活，它具有組網靈活、擴展容易、運行費用低投，維護簡單、性價比高等優點。綜上所述，采用CDMA無線傳輸方式解決數據同步傳輸問題是實現熱網現代化管理的必然途徑。

三、CDMA 1X 傳輸方式的優勢
供熱站CDMA無線數據同步系統具備如下特點：
1、實時性強：
與PSTN，短消息服務比較，由于CDMA具有實時在線特性，系統無時延，無需輪巡就可以同步接收、處理多個/所有子站的各種數據。可很好的滿足系統對數據采集和傳輸實時性的要求。
2、可對各子站設備進行遠程控制：
通過CDMA雙向系統還可實現對儀器設備進行反向控制，如：時間校正、狀態報告、開關閥門等控制功能。
3、建設成本少低：
由于采用CDMA公網平臺，無需建設無線網絡，只需安裝好設備就可以，建設成本低；
4、監控范圍廣：
構建無線數據傳輸系統要求數據通信覆蓋范圍廣，擴容無限制，接入地點無限制，能滿足海洋、山區、鄉鎮和跨地區的接入需求。由于供熱子站數量眾多，分布在全市范圍內，部分子站位于偏僻地區，而且地理位置分散。
5、具有良好的可擴展性：
由于目前CDMA網絡已覆蓋室內絕大部分地區及距海岸線120Km內的海域，對各子站基本不存在盲區，可實現大范圍的在線監控，滿足供熱站數據傳輸系統對覆蓋范圍的要求。
6、系統的傳輸容量大：
供熱數據中心站要和每一個子站實現實時連接。由于子站數量眾多，系統要求能滿足突發性數據傳輸的需要，而CDMA技術能很好地滿足傳輸突發性數據的需要。
7、數據傳送速率高：
每個供熱站子站每次數據傳輸對帶寬要求在10Kb/s之內。目前CDMA實際數據傳輸速率在80-120Kbps左右，完全能滿足本系統數據傳輸速率（≥10Kbps）的需求。
8、通信費用低：
采用流量計費或包月計費方式，運營成本低。

四、泰亞東方VPDN（網中數據網）應用安全方案
無論您在什么地方，只要您打開筆記本電腦或PDA就直接登錄到您的辦公網中去，就像您在辦公室一樣。查信息、看數據，網上辦公安全又便捷。您的計算機或PDA只需要一張CDMA號卡，單位只要提供一個路由器端口即可。
您也不用為傳送分散在不同地點的數據而煩惱了，VPDN為您建立了空中專線，您的設備只需要插上一張CDMA號卡，無需挖溝拉線，無論在全國繁華的市區，還是在偏遠的山區，都能進行快速穩定的數據傳送，您以前想都不敢想的事聯通幫您完成了，而且省錢、省力、快速實現。
4.1、VPDN技術簡介
簡單地說，VPDN是基于SIP方式（也支持MIP）接入專網，并輔以VPN技術，有時候也稱Simple IP技術+ L2TP技術。下圖中企業用戶通過無線網絡接入分組域PDSN，由分組域中AAA進行接入認證，業務授權，在PDSN和企業網之間利用L2TP協議建立起專用隧道，并在隧道中利用工作在傳輸模式下的IPSec協議把IP數據包加密，從而保護隧道中的數據安全。接入用戶通過企業網AAA的認證后，終端經過分組網的PDSN與企業的LNS間建立起PPP連接，用戶傳輸的數據流通過隧道到達企業網。

4.2、無線接入及VPDN的安全性
泰亞東方自行設計的VPDN方案是基于聯通CDMA 1X網絡和和泰亞東方研發生產的TCR系列無線路由器，集合時下流行的L2TP+IPSec技術組網而成（簡稱泰亞東方VPDN方案），在安全性和經濟經方面有著突出的優勢。
1. VPDN的安全保障
按照上述VPDN的示意圖，泰亞東方VPDN可以提供5級業務安全保障，從而充分保證網絡中數據的安全。
（1）第一級安全保證：CDMA網絡本身的安全性
目前世界上使用的移動通信網絡主要有兩種：GSM和CDMA。與GSM相比，CDMA網絡系統在安全保密方面具有很大優勢。CDMA本來就是起源軍事保密技術，在戰爭期間廣泛應用于軍事領域，具有抗干擾、安全通信、保密性好的特性。進行移動手機信號的竊聽一般使用以下三種方法。首先，需要捕捉到通信信號。在空間中充滿了各種各樣的無線電波，用戶手機信號就混雜在其中。要想竊聽某一個用戶的通話，首先必須捕捉到這個用戶手機發出的特定的電磁波。由于CDMA系統采用擴頻技術，經過擴頻以后的有用信號的頻譜被大大地展寬了，用戶信號隱蔽在互不相關的信號中，要想捕捉到這一有用信號非常困難。因此，竊聽器捕捉不到，也無法識別出哪些是CDMA手機用戶的通信信號，哪些是噪音。其次，竊聽器必須鎖定手機用戶通信的信號，繼而才能分析和破解信息。而CDMA采用快速切換功率控制技術，即便是竊聽設備捕捉到了用戶手機信號，也不能鎖定快速功率切換下的有用信號，因此，快速功率切換讓CDMA信號很難鎖定。第三，需要破解用戶信息編碼。而CDMA采用偽隨機碼技術，用長達42位的偽隨機碼來標識區分用戶，每次通話都有4.4萬億種可能的排列，竊聽器很難破譯出CDMA的編碼。所以CDMA技術本身就很安全。
（2）第二級安全保證：CDMA網絡側的AAA認證
AAA是指認證（Authentication）、授權（Authorization）、計費（Accounting）三個過程，其中：
認證是，用戶在使用網絡系統中的資源時對用戶身份的確認。這一過程，通過與用戶的交互獲得身份信息（像用戶名－口令、生物特征信息等），然后提交給認證服務器；認證服務器對身份信息與存儲在數據庫里的用戶信息進行核對處理，然后根據處理結果確認用戶身份是否正確。
授權是，網絡系統授權用戶以特定的權限使用其資源，這一過程指定了被認證的用戶在接入網絡后能夠使用的業務和擁有的權限，如授予IP地址，準許訪問時間等。
計費是，網絡系統收集、記錄用戶對網絡資源的使用信息，以便向用戶收取資源使用費。以互聯網業務提供商ISP為例，用戶的網絡接入使用情況可以按流量或者時間準確地記錄下來。
認證、授權和計費一起實現了網絡系統對特定用戶的網絡資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權益，又能有效地保障網絡系統安全可靠地運行。
CDMA網絡側的AAA認證過程是對用戶的域名進行鑒權認證，網中數據網的用戶（VPDN成員）是以username@xxx.133vpdn.bj形式登錄的（用戶在聯通登記入網時，北京聯通分配其一個域名xxx.133vpdn.ln）。CDMA網絡側的AAA服務器對登錄用戶的域名和該用戶的IMSI進行綁定審核驗證。驗證通過后，方可接入聯通CDMA網絡。
移動通信從電路交換，發展到CDMA 1X分組網絡，再到第三代移動通信網絡，用于認證、授權和計費的協議也在隨之演進，從基于7號信令的協議，到部分采用RADIUS，再發展到Diameter，這主要是由越來越豐富的業務決定的。Diameter協議由IETF的AAA工作組在2002年3月提出的認證計費協議草案。Diameter協議支持移動IP、NAS請求和移動代理的認證、授權和計費工作。協議的實現和RADIUS類似，也是采用Attribute-Length-&#118alue三元組來實現，但是其中詳細規定了錯誤處理等內容。它在設計過程中，不僅保持了與廣為使用的RADIUS協議的兼容，更克服了RADIUS協議的許多不足，而且它不僅僅被互聯網采用，更被下一代移動通信網（3G）采用。在第三代移動網絡和業務開展初期，為了和已有的設備和傳統業務互通，需要采用Diameter與RADIUS之間的協議轉換器，但是最終還是統一使用AAA Diameter協議。
（3）第三級安全保證：CDMA網絡和用戶網絡之間的VPN鏈接
CDMA網絡和用戶網絡之間可以采用專線鏈接，也可以使用Internet鏈接。使用Internet鏈接必須考慮安全性，因此，可以使用VPN將二者利用Internet鏈接起來。
VPN技術非常復雜，涉及到通信技術、密碼技術和現代認證技術。主要包含兩種技術：隧道技術與安全技術。
隧道技術的基本過程是在源局域網與公網接口處將數據封裝在一種可以在公網上傳輸的數據格式中，在目的局域網與公網的接口處將數據解封裝，被封裝的數據包在互聯網上傳播時的所經過的路徑被稱為“隧道”。常用的隧道協議有：1．點到點隧道協議—PPTP（現已基本淘汰）；　2．第二層隧道協議—L2TP，該協議是國際標準隧道協議，具有PPTP協議以及第二層轉發協議（L2F）的優點，可以使PPP包以隧道方式通過各種網絡，包括ATM、SONET、幀中繼。但沒有任何加密措施；3．IPSec協議，該協議是一個范圍廣泛、開放的VPN安全協議，工作在網絡層。它提供所有在網絡層上的數據保護和透明的安全通信。可以在兩種模式下運行：一種是隧道模式，一種是傳輸模式。在隧道模式下IPSec把IPv4數據包封裝在安全的IP幀中；傳輸模式是為了保護端到端的安全性，不會隱藏路由信息。 目前一種趨勢是將L2TP和IPSec結合起來：用L2TP作為隧道協議，用IPSec協議保護數據。市場上大部分VPN采用這類技術。 4．SOCKS v5協議，SOCKS v5工作在OSI模型中的第五層——會話層，可作為建立高度安全的VPN的基礎。SOCKS v5協議的優勢在訪問控制，因此適用于安全性較高的VPN，SOCKS v5現在被IETF建議作為VPN的標準。
VPN是在不安全的Internet上傳輸的，傳輸內容可能涉及到企業的機密數據，因此安全性非常重要。VPN中的安全技術通常由加密、認證及密鑰交換與管理組成。主要有認證技術，加密技術，秘鑰管理與交換技術。
（4）第四級安全保證：用戶網絡側的安全防火墻（FW）
防火墻技術是目前用來實現網絡安全措施的一種主要手段，主要是用來拒絕非法用戶的訪問，阻止非法用戶存取敏感數據，同時允許合法用戶順利訪問網絡資源。防火墻實際上是一種訪問控制技術，在某個機構的內部網絡和不安全網絡之間設置障礙，阻止對信息資源的非法訪問，也可以使用防火墻阻止保密信息從受保護網絡上的非法輸出。
實現防火墻的主要技術有：數據包過濾，應用網關和代理服務等。包過濾（Packet Filter）技術是在網絡層中對數據包實施有選擇的通過。依據系統內事先設定的過濾邏輯，檢查數據流中每個數據包后，根據數據包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數據包頭中的各種標志位等因素來確定是否允許數據包通過，其核心是安全策略即過濾算法的設計。應用網關（Application Gateway）技術是建立在網絡應用層上的協議過濾，它針對特別的網絡應用服務協議即數據過濾協議，并且能夠對數據包分析并形成相關的報告。應用網關可以嚴格控制某些易于登錄和控制的所有的輸出輸入通信環境，以防有價值的程序和數據被竊取。它的另一個功能是對通過的信息進行記錄，如什么樣的用戶在什么時間連接了什么站點。在實際工作中，應用網關一般使用專用工作站系統。代理服務器（Proxy Server）作用在應用層，用來提供應用層服務的控制，起到內部網絡向外部網絡申請服務時中間轉接作用。內部網絡只接受代理提出的服務請求，拒絕外部網絡其它節點的直接請求。
用戶網絡可以選用適合于本單位的防火墻產品來保證自己網絡數據的安全。
（5）第五級安全保證：用戶網絡側的AAA鑒權認證
用戶網絡側的AAA鑒權認證可以實現對VPDN成員的身份認證。與第二級的安全保證不同，本級的AAA服務器將鑒別VPDN成員的用戶名和密碼的正確性。
username@xxx.133vpdn.bj中的域名將是中國聯通公司提供給專網接入用戶的專有統一域名，用戶名（username）可以是VPDN中每個成員的手機號碼或者其它標識。VPDN中成員的用戶名和密碼等資料將保存在用戶專網側的AAA服務器，具有很好的安全性和管理的靈活性。

2. VPDN系統鏈路及用戶所需接入資源

VPDN系統鏈路示意圖

如上圖所示，單位側需要一條鏈路與聯通網管中心連接，聯通將單位用戶的請求加密后通過該鏈路發送到單位的網絡中心。聯通PDSN系統會根據用戶請求信息路由用戶請求，非法用戶無法通過PDSN系統進入企業專網。聯通側數據都經過加密，即使聯通內部人員也無法解讀用戶傳輸的數據。單位可以通過點對點專線的方式與聯通連接，也可以通過互聯網接入的方式與聯通連接。
用戶所需接入設備：
1.單位側需要一臺支持L2TP協議的路由器做為專線網絡連接設備。
2.一臺PC＋AAA認證軟件作為單位用戶帳號管理。
3.一臺ipsec vpn服務器。（可選項）
4.一臺泰亞東方TCR系列無線路由器作為數據終端的無線接入設備。
4.3、泰亞東方無線路由器應用領域
利用泰亞東方無線路由器可以實現快捷、方便、安全的無線數據傳輸，有效地解決了遠程多點的實時數據傳輸需求，同時與開設專線相比，大大節省了運營成本，其應用領域相當廣泛，例如：
 銀行ATM機、金融POS機無線聯網及網點備份；
 分散地點的電子認證：針對移動應用(如移動銀行等)；關鍵地點、位置的集中門禁控制系統；以及其它分散地點集中認證相關的認證服務等。
 工業控制等分散數據采集：跨區的大型企業工業數據采集及控制系統，如石化集團天然汽、石油管道閥門、罐等參數的采集；城區供暖天然汽鍋爐的參數自動采集；環保、氣象等相關分散點數據采集監控應用；
 小額支付：小額物品購買的支付系統，通過移動網絡進行用戶的認證和小額記費，比如路邊、酒店、旅游景點的自動售貨系統；彩票銷售系統；路側停車收費信息采集系統；涉及到無人職守的小額支付等。
 其它基于分散點數據采集的系統：其它涉及商務，連鎖的應用數據采集，比如連鎖商店銷售，配貨信息的采集和調度，彩票銷售；物流公司相關業務的數據采集；地鐵、公交站點票務支付等。

五、供熱站數據同步CDMA無線接入實施方案
針對實際需求，建議供熱站數據中心使用聯通VPDN專線作為傳輸的主干線，可以保證數據傳輸實時、穩定、可靠及安全；各個子站使用無線路由器作為接入終端，監控數據通過無線路由器傳輸到數據中心。
網絡結構如下圖：

供熱站數據同步無線應用方案拓撲圖
數據中心所需接入設備：
1. 一臺支持L2TP隧道協議的路由器作為NAS（接入路由器）。
2. NAS后面接一臺高端防火墻。
3. 一臺PC＋AAA認證軟件作為單位用戶帳號管理。
4. 一臺ipsec vpn服務器。注：此設備是可選項，僅當希望使用ipsec加密協議時選用；如果NAS或者防火墻具有ipsec vpn功能，可以省去此服務器。
供熱站子站所需接入設備：
1. 一臺泰亞東方TCR系列無線路由器作為數據終端的無線接入設備。
2. 工控機實現供熱設備數據采集、管理功能。

此方案數據傳輸的工作流程：
在聯通完成網絡側配置后，首先由無線路由器發起撥號連接，經過聯通側AAA服務器驗證后，CDMA1X分組接入設備PDSN通過L2TP隧道路由連到數據中心NAS路由器上，中間經過聯通骨干網和專線。整個隧道的開啟和通過均在聯通網絡內部，作為大型的電信運營商，有嚴格的安全管理和保護措施，確保網內的數據安全可靠，具有很高的安全性保障，而且不存在互連互通瓶頸，可以有效保證用戶使用性能。然后NAS路由器將認證信息傳輸給供熱站數據中心側AAA服務器，一旦認證通過，AAA服務器會給無線路由器分配一個合法IP地址，此時無線路由器和供熱站監控中心端NAS路由器成功L2TP隧道建立。
在供熱站數據中心NAS路由器中添加相應的路由信息，監控中心便可以訪問各子站點的工控機，實現數據的無線傳輸。