摘要:采用虚拟专用网(VPN)的隧道技术和pcAnywhere远程控制软件，实现从Internet公网上对设备监控系统进行安全方便的远程维护。结合示例，介绍了该方法的具体结构和实际应用情况。

      1 介绍
      近年来，许多大型工业设备都配备了相应的运行状态计算机监控系统。为了确保监控系统持续可靠的运行，需要定期进行配置优化，软件升级等预防性维护，同时当其发生异常时，需要及时在现场第一时间内准确判断和解决问题，缩短故障时间，避免影响生产进度。采用基于Internet计算机网络的远程维护技术，能使监控系统的技术支持人员虽身在远方，通过信息和数据的交流，就如在现场一样了解故障情况，实现对监控系统及时的软件维护和故障解决，同时还节省了费用。目前一些具有Web功能的工控组态软件系统能部分实现远程维护的功能，但由于这些系统只有口令保护，在通过Internet公网远程访问时，数据安全性很差；构建专用网络能保证安全性，但费用太高控制工程网版权所有，难以实用。这一问题严重阻碍了远程维护的实

践应用。
虚拟专用网（Virtual Private Network，简称VPN）技术，能在不可信任的Internet公网上，通过综合采用隧道、加密、密钥管理、身份认证等安全技术，很好地保证双方通信的私有性和安全性。另一方面，目前大多数设备监控系统在操作级以上都普遍配有工业PC机（IPC），可在其上运行远程控制软件（如pcAnywhere等）以屏幕监视和远程控制的形式传递现场情况，执行维护命令。综合这两点，我们提出一种远程维护的新方法：基于虚拟专用网的隧道、加密等安全技术，利用远程控制软件以屏幕监视和远程控制方式，实现通过Internet公网对远方的设备监控系统进行安全的远程维护，并已成功应用于某汽轮机监控系统。本文结合这一示例，介绍该方法的具体结构和实际应用情况。

     2 结构组成
     虚拟专用网（VPN）的核心是隧道安全技术。所谓隧道安全技术，是通过对网络数据的封装，建立临时的逻辑隧道控制工程网版权所有，即点到点的虚拟专线传输，使隧道外部的用户无法对隧道内部数据进行访问，即使通过非法途径截获，由于数据加密，也是一堆乱码。再辅助以加密、密钥管理、身份认证等安全技术，较好地解决了在不可信任的Internet公用网络上安全通信的问题，使双方就象在企业内部网中通讯一样，保证了远程维护时数据信息的安全性。同时，VPN利用已无处不在的公共主干网达到联接远程机构和个人的目的，覆盖面广，同时，双方均为本地接入方式，无须支付长话费，大大节省了建网和维护的费用。

     远程控制软件是伴随计算机网络和Internet的迅速发展而兴起的CONTROL ENGINEERING China版权所有，在国外的行业应用已经较为普遍。通过远程控制软件CONTROL ENGINEERING China版权所有，可以实现以下功能：①屏幕监视，能将被控端的屏幕画面实时传送回主控端；②远程控制，能实现对被控端计算机的接管控制，包括修改设置，系统的重起/关机，软件的运行与终止等；③文件传输，双方文件的相互传输，升级安装补丁文件。这样，就可以如同在现场中一样进行相应的远程维护的计算机操作。目前，工控行业中应用比较广泛的是symantec公司的pcAnywhere远程控制软件，它不仅功能完善，而且支持VPN功能，可以识别正确的VPN数据报头地址，适于和VPN配合实现远程维护。

     综合上述情况，我们在实施某电厂300MW机组汽轮机监控系统的项目中www.cechina.cn，结合VPN技术和pcAnywhere软件，采用如图一所示的具体结构实现经Internet公网对监控系统的远程维护。
    

                                  
图1 远程维护的结构组成图

 

     图中现场监控IPC和相应的下位仪表等组成监控系统，负责监控汽轮机设备的运行工况。电厂设备监控系统管理中心，通过基于VPN的防火墙以本地DDN专线接入Internet，负责在远程维护中与异地的设备监控系统的技术支持中心进行联系，并对远程V