标准规范下载简介
DL/T 2397-2021 电力无线虚拟专网技术规范.pdfICS33.060 CCS F 20
中华人民共和国电力行业标
TechnicalspecificationonelectricwirelessVPN
前言 范围 2规范性引用文件 3术语和定义… 缩略语 总体原则. .3 6组网架构及接入方式 6.1组网架构· 6.2接入方式 7组网要求 7.1APN规划要求 7.2终端IP地址规划要求… 7.3终端接入网络要求 7.4通信终端技术要求 7.5数据承载网络要求. 7.6电力网络边界要求. 8安全防护 8.1终端安全要求… 8.2接入、承载网络安全要求 .6 8.3电力网络边界安全要求 9运行维护 9.1终端监测要求 9.2资源管理要求 9.3运行检修及应急管理 附录A(资料性)终端接入流程(APN) 附录B(资料性)终端拨号接入流程(VPDN)
大体积砼施工工艺标准DL/T2397—2021
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国电力企业联合会提出。 本文件由电力行业信息标准化技术委员会(DL/TC27)归口。 本文件起草单位:中国电力科学研究院有限公司、中国南方电网有限责任公司、国网浙江省电力 有限公司、国网四川省电力公司、国网重庆电力公司、国网信息通信产业集团有限公司、国网新疆电 力有限公司电力科学研究院、南网广东电网珠海供电局、中国移动通信有限公司。 本文件主要起草人:吴赛、杨德龙、王智慧、丁慧霞、汪洋、朱朝阳、申连腾、**、孟萨出拉、 全杰、段钧宝、韩金侠、崔丙峰、郝悍勇、马宝娟、胡悦、张庚、滕玲、王亚男、*哲、张慧、张彤彤 汪莞乔、朱思成、徐鑫、*秉毅、晏尧、宋小芹、刘建伟、汤亿则、邵伟平、叶卫、郑伟军、罗少杰、 王剑、王以良、*温静、张影、刘超、刘鹏、徐彬、杜书、*杰、谢群、程刚、张晶、钟劲松、*峰、 郭庆瑞、舒斐、*明轩。 本文件为首次发布。 本文件在执行过程中的意见或建议反馈至中国电力企业联合会标准化管理中心(北京市白广路二 条一号,100761)。
电力无线虚拟专网技术规范
本文件规定了在运营商2G/3G/4G移动通信网络基础上采用VPN和安全防护等技术建立的专用电 力无线虚拟网络的总体框架、组网要求、安全防护及运行维护等技术要求。 本文件适用于电力无线虚拟专网的规划、应用和管理。
安全接入区securityaccess area 部署加密认证设备、前置机的特定安全区域,
一种为终端设备提供安全防护服务的专用密码产品,实现身份认证、数据传输安全。模块包报 和嵌入式两种硬件形式,如安全USBKEY、安全TF卡、安全芯片、eSIM安全芯片等,均采月 专用算法,并具备国家密码管理局认可的证明。
终端管理系统terminalmanagementsystem 用于管理终端接入的系统,通过与电信运营商移动通信网络管理系统对接,对所管理线 状态信息实时监视,实现对终端的开通、接入、使用、告警、资费、流量等信息监测管理。
提供终端接入管理信息大区信息内网时的设备接入认证、访问控制、数据隔离交换、 测、资产识别管理与数据安全检测等核心边界接入防护措施的一套安全设备,由安全接入内 过滤系统、终端连接管理及集中监管系统组成。
鉴权中心AUthenticationCenter 认证移动用户的身份和产生相应鉴权参数(随机数RAND,符号响应SRES,密钥Kc)的功能 实体。
电力无线虚拟专网宜统一规划、多级部署、分区接入,应实现安全认证和统筹统管,满足( 72一2018的有关要求,保证系统数据传输隔离、网络安全接入,宜支持IPv6、软件定义 DN)等技术对电力无线虚拟专网进行升级改造。
电力无线虚拟专网由终端接入网络、承载网络和电力网络边界三个部分组成,网络边界应部署电 力边界设备、防火墙,通过安全隔离装置实现与生产控制大区互联,具体见图1。
力边界设备包括路由器,处理胃
图1电力无线虚拟专网示意图
DL/T2397—2021
根据电力业务无线应用特点,电力无线虚拟专网宜通过如下方式接入: a)生产控制大区应通过安全接入区接入。 b)管理信息大区宜通过安全接入平台接入,也可通过专线接入安全接入平台接入。 c)终端管理系统宜通过安全接入平台接入,也可通过专线接入安全接入平台接入。
APN规划应符合以下原则: a)各单位总部层面应制定统一规划原则,二级单位依据原则独立规划业务APN。 b)不同安全等级的业务应规划使用不同的APN。 c)相同安全等级的业务可使用同一APN,终端规模庞大的无线应用业务宜独立规划APN。
7.2.1IP地址规划原则
终端IP地址应从全网层面进行合理、有序、统一地规划管理,做到统一把控、全局分配,遵循以 下要求: a)集团层面应统筹规划业务终端IP地址。 b)避免与管理信息大区信息内网及生产控制大区所使用的IP地址冲突。 c)为每个电信运营商规划连续的IP地址空间,各电信运营商IP地址不冲突。 d)按照业务类型进行IP地址规划,并为每个APN规划独立且连续的IP地址段。 e)同一省级行政区域内的IP地址不应复用
7.2.2IP地址编码
7.2.2IP地址编码
表1 IP地址编码结构表
新增终端应优先选择电信运营商工业级物联网eSIM卡,存量终端应改用电信运营商工业级物联网 eSIM卡或SIM卡,优先接入电信运营商物联网网络,采用统一的专用APN和运营商MPLSVPN网络 作为数据传输通道接入电力无线虚拟专网。电信运营商应为电力公司提供可靠的终端接入网络,并满 足以下要求: a)应为终端提供专用VPN接入,接入流程参见附录A和附录B。 b)宜支持SIM/UIM/eSIM卡与基站双向认证。 c)应按电力IP地址规划为终端分配IP地址,宜为终端分配固定IP地址。 d)应禁止SIM/UIM/eSIM卡访问Intermet互联网。
e) 应禁止非法SIM/UIM/eSIM卡接入电力无线虚拟专网。 f) 应支持电力业务优先级调度,并为电力业务提供较高的优先级
电力通信终端满足以下要求: a)根据电力业务类型和使用环境可选择外置式通信终端和嵌入式通信终端、可移动通信终端。 b)电力通信终端支持的网络制式和频段应充分满足电力业务需求,要充分考虑终端的兼容性、演 进性、经济性、实用性等。 c)电力通信终端应采用鉴权、认证、加密机制、访问控制措施,保证业务数据的保密性和完整 性,建议采用行业定制eSIM与通信模块之间相互鉴权,双重加密。 d)电力通信终端应根据业务类型通过国家的强制性认证测试、电力行业认证测试和用户的定制化 验收测试等,取得相应的认证证书和报告。 e)应根据电力通信终端接入的业务类型及位置,优先选用低功耗、工业级、嵌入式、易维护的设 备,并配备防窃、防火及防破坏的防护措施。 f)电力通信终端应当有安全固件升级功能,支持空中端口进行下载升级。 g)电力通信终端应支持电力场景的可插拔SIM卡及贴片式SIM/eSIM等卡形态。
电信运营商为电力数据提供可靠的传输通道,并满足以下要求: a)应采用VPN为电力提供专用虚拟传输通道,不同VPN的业务采用不同的VPN传输。 b)电信运营商边界设备到电力边界设备应采用专线互联,专线具备1十1瓦余,宜为不同物理路由。 c)专线带宽根据未来需求可平滑升级。 d)VPN通道带宽应满足电力业务需求,应保障带宽、时延及稳定性指标要求。
电力无线虚拟专网的电力网络边界应部署电力边界设备、防火墙等,宜部署安全接入平台、安全 接入区,并满足以下要求: a)电力网络边界应采用成熟、可靠的产品中式传统木亭子施工方案,关键设备应支持主备。 b)安全接入平台应选择通过国家密码管理局和国家权威安全测评单位测试的相应产品。 c)安全接入区加密认证产品应选择通过国家密码管理局和国家权威安全测评单位测试的相应 产品。 d)电力网络边界宜部署入侵检测设备。
DL/T2397—2021
存储等剩余信息释放或完全清除。 e) 终端仅可访问特定APN。 2 终端应具有全网唯一且不可改变的DeviceID。
8.2接入、承载网络安全要求
运营商应提供符合YD/T1909一2009规范的接入及承载网,同时接入、承载网络安全应满足以下 要求: a)采用VPN/VPDN技术提供无线虚拟专有通道吉林市昌邑区万利城D座智能大厦23框架结构施工组织设计,开通通道数据加密功能。 b)对接入终端进行身份认证、访问控制,接入网符合YD/T1742一2008第8章要求。 c)对传输信息完整性及机密性保护。 d)对访问VPN网络的设备应进行VPN成员认证、管理系统认证、对等体认证等安全认证措施。
8.3电力网络边界安全要求
终端监测要求如下: a)电信运营商应提供以下信息: 1)终端套餐总流量、套餐使用量、套餐剩余量、日流量使用情况、月流量使用情况。 2)终端的套餐资费情况、月资费使用量、账户余额。 3)终端的在线状态(在线/离线)、用户状态(正常/停机/销号/休眠/号码不存在)、开关机状 态(开机/关机)。 4)接入APN信息、接入IP。 5)状态统计信息,包含电力无线虚拟专网注册SIM/UIM/eSIM卡总数、在网SIM/UIM/eSIM 卡总数、在线率较低的SIM/UIM/eSIM卡清单等。 b)电信运营商提供的信息宜以接口形式与终端管理系统对接,并满足以下技术要求: 1)电信运营商接口应通过安全接入平台与终端管理系统对接。 2)接口的可用率大于或等于99.9%。