基于隧道技术的VPN在SCADA系统中的应用

　　O引言

　　SCADA系统即数据采集与监视控制系统，广泛应用于燃气、热力、电力、供水、石油、化工、环保等诸多领域，实现用户相关应用范围内的生产过程控制与调度管理自动化，一直是国内外工业自动化领域研究的热点。SCADA系统通常是由上位机(中心站)系统和下位机(终端站)系统组成的分布式网络化监控系统。终端站系统直接作用于现场运行设备，实现对现场数据的实时采集与监控;中心站系统通过人机界面面对系统用户，实现对终端站监控数据的集中与用户操控指令的下发;控制网络系统基于现场总线及工业以太网技术实现对现场设备、终端站及中心站的组网与互连。

　　当前，随着我国工业现代化建设。特别是能源管线运输事业的快速发展，SCADA系统规模以及监控对象的地域分布范围也在快速地扩大，从而要求系统的控制网络延伸成为城域网乃至广域网。现场总线技术中的传输介质标准(电缆、光缆、无线电波、微波等)是面向局域网通信设计的从而不适用于上述情况，而公共网络则因为具有覆盖范围广、租用性价比高、建设及维护由运营商负责等优点，从而较好地适用于远程通信。SCADA系统在实现远程通信的同时，还要确保监控数据的安全性，VPN(虚拟专用网)技术正是因为能够实现通信的远程性与安全性的有机结合，从而在SCADA系统领域有着非常良好的应用前景。

　　1 VPN与隧道技术的分析

　　1.1 VPN

　　VPN是指在公共网络中建立专用网络，数据通过安全的加密信道在公共网络中传输。VPN是采用隧道技术以及加密、身份验证等方法，在公共嘲络中为用户构建专用网络的技术。在VPN中，公共网络似乎被独占专用，而事实并非如此，所以称之为虚拟的专用网。

　　1.2隧道技术

　　隧道就是一种封装技术，其利用一种网络传输协议，实现将其它协议产生的数据报文封装在自己的报文中在网络中进行传输。隧道技术是指包括数据封装、传输和解包在内的全过程。VPN是基于隧道技术实现的，而隧道是通过隧道协议实现的。隧道协议规定了隧道的建立、维护和删除规则以及将企业网的数据封装在隧道中进行传输的实现方法，由传输协议、封装协议和乘客协议三部分组成。传输协议被用来传送封装协议，IP、帧中继、ATM的PVC(永久虚电路)和SVC(交换虚电路)等都是常用的传输协议;封装协议被用来建立、保持和拆卸隧道，常用的封装协议有GRE、L2TP、L2F、PPTP等#乘客协议是被封装的协议，例如PPP(点对点协议)、SLIP(串行线路网际协议)。

　　根据OSI(开放系统互联)的参考模型，隧道协议可分为第二层隧道协议(如PPTP、L2F、L2TP)和第三层隧道协议(如GRE)。其中，第二层协议对应OSI模型中的数据链路层，使用帧作为数据的交换单位，即将数据封装在帧中，通过互联网发送。第三层隧道协议对应OSl模型中的网络层，使用包作为数据交换单位，将lP包封装在附加的IP包头中通过lP互联网络传送。可见，二者的本质区别在于数据的交换单位。