O引言
        SCADA系统即数据采集与监视控制系统，广泛应用于燃气、热力、电力、供水、石油、化工、环保等诸多领域，实现用户相关应用范围内的生产过程控制与调度管理自动化，一直是国内外工业自动化领域研究的热点。SCADA系统通常是由上位机(中心站)系统和下位机(终端站)系统组成的分布式网络化监控系统。终端站系统直接作用于现场运行设备，实现对现场数据的实时采集与监控;中心站系统通过人机界面面对系统用户，实现对终端站监控数据的集中与用户操控指令的下发;控制网络系统基于现场总线及工业以太网技术实现对现场设备、终端站及中心站的组网与互连。
        当前，随着我国工业现代化建设。特别是能源管线运输事业的快速发展，SCADA系统规模以及监控对象的地域分布范围也在快速地扩大，从而要求系统的控制网络延伸成为城域网乃至广域网。现场总线技术中的传输介质标准(电缆、光缆、无线电波、微波等)是面向局域网通信设计的从而不适用于上述情况，而公共网络则因为具有覆盖范围广、租用性价比高、建设及维护由运营商负责等优点，从而较好地适用于远程通信。SCADA系统在实现远程通信的同时，还要确保监控数据的安全性，VPN(虚拟专用网)技术正是因为能够实现通信的远程性与安全性的有机结合，从而在SCADA系统领域有着非常良好的应用前景。
        1 VPN与隧道技术的分析
        1.1 VPN
        VPN是指在公共网络中建立专用网络，数据通过安全的加密信道在公共网络中传输。VPN是采用隧道技术以及加密、身份验证等方法，在公共嘲络中为用户构建专用网络的技术。在VPN中，公共网络似乎被独占专用，而事实并非如此，所以称之为虚拟的专用网。
        1.2隧道技术
        隧道就是一种封装技术，其利用一种网络传输协议，实现将其它协议产生的数据报文封装在自己的报文中在网络中进行传输。隧道技术是指包括数据封装、传输和解包在内的全过程。VPN是基于隧道技术实现的，而隧道是通过隧道协议实现的。隧道协议规定了隧道的建立、维护和删除规则以及将企业网的数据封装在隧道中进行传输的实现方法，由传输协议、封装协议和乘客协议三部分组成。传输协议被用来传送封装协议，IP、帧中继、ATM的PVC(永久虚电路)和SVC(交换虚电路)等都是常用的传输协议;封装协议被用来建立、保持和拆卸隧道，常用的封装协议有GRE、L2TP、L2F、PPTP等#乘客协议是被封装的协议，例如PPP(点对点协议)、SLIP(串行线路网际协议)。
        根据OSI(开放系统互联)的参考模型，隧道协议可分为第二层隧道协议(如PPTP、L2F、L2TP)和第三层隧道协议(如GRE)。其中，第二层协议对应OSI模型中的数据链路层，使用帧作为数据的交换单位，即将数据封装在帧中，通过互联网发送。第三层隧道协议对应OSl模型中的网络层，使用包作为数据交换单位，将lP包封装在附加的IP包头中通过lP互联网络传送。可见，二者的本质区别在于数据的交换单位。
        (1)第二层隧道协议
        PPTP(点对点隧道协议)以lP作为传输协议，将帧封装在IP数据包中进行传输，其采用基于RC4算法的数据加密方法，保证虚拟连接通道的安全性。PPTP只支持IP作为传输协议且只能在两端点间建立单一隧道。
        L2F(第二层转发)是由思科公司提出的可以在多种介质(如ATM，帧中继、1P网)上建立多协议VPN的通信方式。与PPTP相比，L2F的传输协议可选范围较广，并且支持较多的用户验证方式，但是要求为每个用户端网络配置专用网关，从而设备费用较高。
        L2TP(第二层隧道)协议结合了PPTP和L2F的功能与优点，并使用数据包序列号字段实现了在传输过程中对差错和流量的控制。L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证，并通过定义控制消息的加密传输方式以抵抗欺骗性的攻击www.cechina.cn，但对传输中的数据并不加密。
        (2)第三层隧道协议
        GRE(通用路由封装)协议规定了用一种网络层协议封装另一种网络层协议的方法，GRE隧道由其两端的源IP地址和目的IP地址来定义，允许用户使用IP数据包封装IP、IPX、AppleTalk数据包，并支持全部的路由协议。GRE支持对数据包的封装，但并没有加密功能防止网络侦听和攻击，所以在实际应用中常与安全协议一起使用，以加强数据的安全性。
        (3)安全协议
        IP作为网络层协议，其安全机制可为上层各种应用服务提供透明的覆盖式安全保护，所以IP安全是整个TCP/IP安全的基础，是网络安全的核心。
        IPSec(IP安全)是一组安全IP协议集，是在lP包级为IP业务提供保护的安全协议标准，其基本目的是把安全机制引入IP协议，将多种安全技术集合到一起，建立安全、可靠的隧道。这些安全技术包括DiffieHellman密钥交换技术、DES(数据加密标准)、3DES(三重数据加密标准)、IDEA(国际数据加密算法)、RC4数据加密技术、HMAC(哈希散列算法)、MD5(信息摘要算法)、SHA(安全散列算法)、数字签名技术等。
        IPSec安伞结构包括三个基本协议：AH(认证头)协议为IP包提供信息源验证和完整性保证;ESP(封装安全载荷)协议提供加密保证;ISAKMP(密钥管理体系)协议定义了通信实体间进行身份认证、创建安全关联、协商加密算法以及生成共享会话密钥的方法。
        IPSec在保证隧道安全的同时，还提供了一整套保证用户数据安全的措施，并且可以与L2TP、GRE等隧道协议一起使用，从而为用户提供了更高的灵活性和可靠性。
        2无线VPDN的实现
        从接入方式的角度，VPN可分为两类：专线VPN是为已经通过专线连接NSP(网络服务提供商)，实现接入Internet等公网的用户提供的VPN实现方案;拨号VPN又称VPDN(虚拟专用拨号网)，是指为利用拨号方式通过PSTN(公用电话交换网)、ISDN(综合业务数字网)、GPRS(通用无线分组业务)、CDMA(码分多址)等业务连接NSP，实现接入In—ternet等公网的用户提供的VPN业务。
        随着移动通信技术的不断发展，其无线网络系统在覆盖范围、服务质量，业务种类等方面都在快速地进步。同时，GPRS、CDMA等无线网络运营商都提供利用无线拨号的方式接入Internet等其它公共网络的服务，从而为通过这些公共网络资源组建VPDN提供了支持。
        2.1 GPRS VPDN
        中国移动的GPRS网络基于分组交换技术，有效地利用了无线信道资源www.cechina.cn，并可实现用户移动通信、永远在线和按流量计费。GPRS VPDN是在中国移动GSM/GPRS公共网络平台上实现的VPDN，为企业用户提供虚拟专用网络平台。实现其用户接入终端与数据业务中心间的数据传输，其业务流程如图1所示。

        可见，该平台是基于GTP、GRE、L2TP等网络隧道技术在j GPRS、Internet等公共网络上实现：的虚拟专用网，GGSN作为不同网络及隧道问的网关，用户终端可通过GPRS无线拨号接入平台，通过穿越GPRS、Internet等公网的隧道实现与数据业务中心间的数据交换。
        2.2 CDMAlX VPDN
        中国联通的CDMA网络基于无线扩频技术，可实现用户移动通信、永远在线和按流量计费。CD—MAlX VPDN是在CDMAlX(1X表示系统分别独立使用每个载波)公共网络平台上实现的VPDNt其业务流程如图2所示。

        可见，该平台是基于GRE、L2TP等网络隧道技术在CD—MAIX、Internet等公共网络上实现的虚拟专用网控制工程网版权所有，PDSN作为小同网络及隧道问的网关，用户终端可通过CDMA无线拨号接人平台，通过穿越CDMA、Internet等公网的隧道实现与数据业务中心间的数据交换。
        3 VPN在SCADA系统中的应用
        在SCADA系统通过控制网络进行实时数据采集与监视控制的同时CONTROL ENGINEERING China版权所有，其中心站系统通过企业的信息网络实现与其它系统问的信息互联与交换。VPN在SCADA系统的应用主要包括：实现系统控制网络的延伸和信息网络的互联。

        3.1控制网络的延伸
        对控制网络的延伸就是将VPN与工业控制网络两种技术相结合，用VPN代替现场总线中的电缆等传输介质充当其通信载体，形成虚拟总线，从而打破控制网络的局域性限制，实现将控制网络延伸至VPN所能覆盖的范围。VPN与工业控制网络对0SI网络架构标准的共同遵循是二者得以结合的基础，隧道技术为现场总线数据帧以及工业以太网数据包在VPN中的传输提供了解决方法。
        网络的服务质量主要衡量指标有：可靠性、延迟、抖动、带宽)和性能价格比是对公共嘲络进行选用的关键参考因素。实时性、安全性和町靠性是控制网络被延伸后需要保持的关键特性。网络延迟是影响控制网络实时性的关键因素，SCADA系统中心站对终端站的控制需求的软实时性增加了系统对远程控制网络延迟指标要求的宽松度，使得VPN可以满足系统的实时性需求，同时隧道技术和分组交换技术为VPN的安全性与可靠性提供了有效保证。
        3.2信息网络的互联
        随着企业规模及信息化建设的发展，信息互联与整合的重要性日显突出，同时局域嗍系统已不能满足企业信息网络的需求。SCADA系统的中心站其作为企业的监控信息中心，是企业信息架构中的重要组成部分，与多个系统(如地理信息系统、仿真预测系统、客户服务管理系统、其它监控系统等)之间存在着信息互联的需求。VPN技术凭借着其安全保障性、服务质量、可扩展性，可管理性好以及使用成本低等优点很好地适用于满足上述需求。
        3.3 系统应用实例以某市燃气公司的城镇燃气管网SCADA系统为例，该系统包括A、B、c三个异地的SCADA子系统，需要实现市燃气总公司和其下属的两个县级分公司对所辖燃气管网的调度监控，以及总公司调度监控中心对分公司调度监控中心的数据共享和调度指令下达。
        首先，选定GPRS和Internet作为该系统的公共网络平台CONTROL ENGINEERING China版权所有，终端站采用无线方式接人GPRS网络，中心站以有线专线的方式接人Internet网络。然后，通过GPRS VPDN方式分别实现三个子系统的VPN组网，并结合Modbus现场总线和Modbus/TCP工业以太网技术实现对系统控制网络的组建与延伸。最后，在Internet网络中利用GRE隧道技术实现主中心与两个分中心的VPN组网，从而实现中心站系统的信息互联。
        该系统的VPN组成如图3所示，其中包括三个VPDN和一个VPN，分别实现三个子系统控制网络的组建以及中心站系统间的信息互联。GGSN作为GPRS与Internet两个公共网络间的网关，在GPRS网络中通过GTP隧道(A1、B1、C1)实现了与各终端站的VPN组网，在Internet网络中通过GRE隧道(A2、B2、C2、AB、AC)实现了与中心站的VPN组网以及中心站之间的VPN组网。GGSN通过终端站的APN(接入点名称)用户标识选定通往其所属中心站的GRE隧道，从而实现各子系统中终端站与中心站的VPDN组网。
        通过使用基于隧道技术的VPN，该系统具有以下优点：
        (1)资源利用合理充分：各中心站系统通过租用专线接入Internet公网，利用隧道技术不但实现了对各终端站的远程监控，而且实现了中心站信息网络系统间的互联，从而合理使用了专线的通信带宽并充分利用了公网资源。
        (2)组网灵活且易扩展：利用公共网络覆盖范围广、接入方式灵活等优点，是此案VPN组网的灵活性与易扩展性。系统网络在子系统增建、终端站增加、上层互联等方面的扩展灵活且易于实现，并且不会影响系统的整体运行。合法的用户计算机、PDA手机等终端设备可以灵活方便地接入GPRS VPDN，实现对系统的远程应用。
        (3)网络数据安全可靠：对请求接入网络的终端进行用户身份认证，阻止非法用户的侵入;对系统各数据传输流程进行全程的隧道保护，并可根据其实际需求配置相应的安全策略。
        4结论
        公共网络为SCADA系统的远程通信与互联提供了良好的平台，基于隧道技术的VPN为在公网平台上SCAI)A系统提供了安全保证。随着公共网络。特别是GPRS、CDMA等无线公共网络的快速发展，无线VPDN凭借着网络接入方便、组网灵活、安全保密性好、性能价格比高等优点已在SCADA系统领域取得了良好的应用效果。随着3G(第三代移动通信系统)网络时代的到来，3G网络在服务质量及业务方匝的进步将使其更加适用于对工业控制技术的承载，同时IP技术也将在3G网络中得到更为全面的应用与发展，VPN技术也必然将随之在SCADA系统领域得到更为广泛的推广与应用。