关于我们
>>公司简介
>>资质证明
>>公司动态
>>企业文化
>>行车路线
>>服务热线

能源行业

时间:2015-08-21 11:12:38  来源:  作者:

能源行业
石油石化行业加油站联网解决方案
行业需求分析
 
为应对加入WTO 和经济全球化所带来的挑战,为实现成品油零售系统电子化的目标,石油石化行业都开始利用先进的电子信息技术,以IC卡为载体,实现成品油零售系统的改造。 通过在加油站中安装IC卡系统,以IC卡这一现代支付工具取代传统的现金、油票等结算方式,实现加油款的电子支付和交易数据的自动采集;在各级石油公司和 加油站安装零售业务管理信息系统,提高加油站经营管理的科技含量和服务水平,从而进一步提高工作效率,降低成本,增强抵御市场风险的能力,使石油石化企业在市场竞争中处于有利的地位。
加油IC 卡交易系统以省作为运行和数据处理、管理的基本单位,它通过省级数据中心联接各个地级前置系统,再通过地级前置系统连接辖内加油站、加油卡发卡网点和 POS,构成了以省为单位的加油IC卡的交易体系。同时,通过数据交换总中心和各省级数据中心相连,负责数据交换,实现异地资金清算,从而实现“一卡在手,各地加油”的建设目标。
在整个加油IC 卡交易系统中,加油站是成品油零售业务的最末端产生地点,客户加油的交易过程在加油站内部完成。加油站负责接受IC卡加油,交易数据每天通过地级前置系 统,上送到省级数据中心。加油站能够接受各级管理中心下达的管理信息的控制,包括油价调整、黑名单、灰名单;实现对每个加油员工的加油业务对帐处理;管理信息及黑、灰名单等通过地级前置系统下传。
 
加油站联网技术方案选择
 
在加油站联网上,目前有租用运营商专线(DDN/SDH)、PSTN/ISDN拨号、通过Internet构建VPN三种技术方案可以选择,下面分别描述如下:
租用运营商专线(DDN/SDH)
租用运营商专线(DDN/SDH)在链路质量上具有最高品质的保证,同时也能提供高安全的保证,但其最大的缺点就是链路租用费用高昂。而加油站往往数量巨大,每个省往往都有数千个加油站;如果所有加油站都通过租用专线方式进行联网,其资金的代价是无法承受的,不是一种可行的解决方案。
PSTN/ISDN拨号
加油站联网的另外一种方式是通过拨号的方式,通过利用PSTN/ISDN 的模拟电话线路,在加油站通过配置的调制解调器,采用拨号的方式,登录到公司内部的拨号服务器,实现远程对公司内部资源的访问。这种方式的优点在于比较灵活,PSTN电话线路资源比较容易获得。缺点在于网络连接性能低,不提供QOS保障,无法保证对实时业务的支持,无法满足复杂业务处理的需求;网络数据在 PSTN传输,没有任何安全措施,数据在传输过程中存在很大的安全风险;缺少足够的访问控制能力以及日志记录能力,不能满足事后审计需求。
通过Internet构建VPN
VPN(Virtual Private Network,虚拟私有网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。“虚拟”主要指这种网络是一种逻辑上的网络。
VPN 有别于传统网络,它并不实际存在,而是利用现有公共网络,通过资源配置而成的虚拟网络,是一种逻辑上的网络。VPN只为特定的企业或用户群体所专用。从 VPN用户角度看来,使用VPN与传统专网没有区别。VPN作为私有专网,一方面与底层承载网络之间保持资源独立性,即在一般情况下,VPN资源不会被承载网络中的其它VPN或非该VPN用户的网络成员所使用;另一方面,VPN提供足够安全性,确保VPN内部信息不受外部的侵扰。
VPN特点之一:廉价。加油站只需将VPN网关接入当地的Internet,然后通过和总部的VPN网关建立VPN隧道,就可以接入异地的企业总部网络,从而可以实现加油IC卡业务的应用。由于目前各种宽带接入技术的普及,使得宽带Internet接入的月租费十分便宜。
VPN 特点之二:组网灵活。加油站只要能够接入Internet,就可以构建VPN网络。同时,加油站VPN设备即可以采用专用的VPN网关;针对部分数据量小 的加油站,也可以采用PC+VPN软件的方式进行构建。同时,对于加油站的IP地址,即可以支持静态地址,也可以为动态地址,方便了企业组网。
VPN 特点之三:扩充性好。用VPN组网,总部只需一台高性能的VPN网关(考虑到高可靠性,也可以配置两台)。通过配置,一台中心的VPN网关可以和上千个加 油站建立VPN隧道。如果是专线或PSTN/ISDN组网,则由于接口数目的限制,可能需要随着加油站的增多,要不断的增加中心的网络设备或板卡。因此 说,VPN组网的扩充性比较好。
综上所述,推荐采用VPN的方式实现加油站联网,同时通过VPN网络的建设,在VPN网络上承载数据、语音等业务。
 
加油站联网VPN解决方案
 
我们的VPN设备可以很好地适应加油站联网的网络特点要求。其VPN特性包括:产品系列齐全;支持IPSEC/GRE/L2TP/SSL VPN以及华为DVPN功能;提供硬件加速的加密技术,满足高性能的VPN接入需求。其特点如下:
安全便捷的用户认证
为保证VPN 网络的安全性,必须保证接入用户身份的合法性。VPN安全网关提供本地口令验证、RADIUS、X.509数字证书及SecurID一次密钥验证功能;可以配合Radius服务器、数字证书服务器以及 RSA的验证服务器实现用户身份认证。其中一次性密钥验证采用双因素密钥机制,采用静态密码加一次性动态密码机制有效提高用户密码安全性,减少了用户密码泄漏的风险。
随着网络应用的复杂,用户需要处理和记忆的信息也越来越多:访问不同应用系统,需要安装不同的应用软件,而且需要复杂的配置;登录不同应用系统,需要记忆不同的用户名和密码。USB KEY芯片存储的信息可以包括用户名密码、证书、系统配置等信息,利用计算机提供的USB接口进行信息的读取,极大简化用户需要记忆的信息,即插即用。并把此芯片封装成钥匙大小,非常便于携带,应用安全便捷。
动态地址建立IPSEC VPN连接
在使用IPSEC 建立VPN时,一般要求两端设备都配置对端IP地址信息,这样就带来一个问题:IP地址不固定的用户设备(如拨号用户),每次建立VPN连接时需要对端修 改其IP地址,这就给网络运营维护带来难以解决的问题。而VPN安全网关可以很好地解决这个问题,设备支持IPSEC Aggressive模式(需要两端设备都支持该模式),允许IPSEC协商时分支端不使用固定IP地址。分支节点使用动态IP地址,中心节点设备使用固 定IP地址,由分支节点主动发起IPSEC隧道连接,中心节点通过设备ID名进行协商而不再需要地址信息检查,就可以顺利地建立IPSEC VPN连接。这样就解决了动态IP地址的用户接入IPSEC VPN的问题。
IPSEC支持NAT穿越
同样对于IPSEC VPN,有些分支机构或移动办公用户上网时是通过NAT设备进入Internet。因为IPSEC加密的特点,用户数据包不能被随意篡改,否则对端接收后不能正确解密。而NAT设备需要修改报文IP头信息,这样经过NAT设备后加密报文就不能被正常解密。VPN安全网关通过在IPSEC报文前增加一层UDP报文头的方式解决了IPSEC支持NAT穿越的问题,NAT设备只修改封装的UDP头,但是没有影响 IPSEC数据报文的内容,即使经过NAT转换,仍然可以正常建立IPSEC隧道连接。
动态VPN
企业建立VPN 的模式一般是加油站接入,中心节点汇聚的模式。由于加油站数量巨大,如果各个加油站之间需要通信就存在问题。因为各个加油站之间一般是不直接互连的,而是通过中心节点连接在一起,如果两个加油站需要传输数据,需要从中心节点网关中转,这样所有加油站的数据都通过中心节点转接,一方面会造成中心节点网关的流 量瓶颈影响,另一方面容易形成单点故障,一旦中心网关节点瘫痪,整个VPN网络都会陷于瘫痪。
如何解决这个问题,一个办法是所有加油站之间都建立VPN连接,但是这样造成网络复杂度大大提高,连接数是N*(N-1)/2,网络维护及其困难。另一方面两个加油站都是动态地址的情况不能实现IPSEC VPN的连接。
VPN安全网关同样很好地解决了这一难题。 采用专利技术动态VPN方案,通过在企业中心设置服务器,所有分支节点网关统一注册。分支节点之间动态建立VPN连接。所谓动态是指分支节点之间在有数据 触发时可以按需动态建立VPN连接。而通过在中心服务器的注册,分支节点之间建立VPN连接不需要本地维护对端IP地址信息,通过域名信息可以查询到对端 实时的地址信息,从而根据获得的实时地址信息建立VPN连接。
VPN链路备份提供可靠保证
为保证VPN 链路可靠性,避免单点故障,往往在中心或核心网点采用双机备份的组网。但是,如何保证主备链路及时切换,保证业务受链路中断影响最小,是需要解决的问题。 VPN安全网关引入动态路由协议的技术解决链路快速切换问题。采用GRE+IPSEC+OSPF的技术,中心设置两台网关设备,分支设备到中心设备建立两条VPN链路,接口之间运行OSPF协议。通过路由协议感知链路状态,当主链路断开时可以及时地把数据流切换到备用线路上,保证了数据业务顺畅进行,有效地提高了网络的可靠性。
服务质量(QoS)保证
VPN 隧道上可以承载多种业务:数据、语音以及视频。为保证服务质量(QoS),VPN安全网关可以对于用户的关键性、实时性高的数据流提供资源预留、优先传输、拥塞控制等机制,充分保证按照业务优先极来提供高质量的传输性能。可以采用的技术包括业务等级划分与标记、先进的队列机制、流量限制、拥塞避免、流量整形及流量工程等。
 
VPN的管理
 
针对加油站VPN联网,我们推出了完善的VPN产品和业务管理和部署解决方案。下面分别介绍。
◆ VPN Manager
VPN Manager是VPN网络的控制管理部件,可以对VPN网关设备进行集中管理和控制。管理员可以在VPN隧道上操纵各个VPN 网关:IPSEC策略的设置,监控隧道状态信息,远程调整隧道的建立。根据企业的实际需求制定全局策略,保证VPN网关隧道连接的可靠性和安全性。通过 VPN Manager管理员可以进行全网VPN设备的部署和设置,同时可以通过实时监控对链路进行调整。真正实现VPN网络的Easy Manage。如图1所示
◆ BIMS (Branch Intelligent Management System)
BIMS智能管理系统实现从网络管理中心来集中对网络设备的管理,如配置文件下发、设备软件升级等。BIMS分两部分:设备侧和管理中心侧,设备侧和管理中心侧采用http协议进行通信, BIMS管理中心侧作为http server,设备侧作为http client,设备通过定期访问管理中心侧来实现相互通信并完成设备的管理。设备和管理中心采用http协议进行通信的优势在于其可穿透绝大多数的防火 墙,而且协议简单、易扩展。设备主动访问BIMS管理中心时,上报设备当前的配置文件、设备软件的特征信息,由BIMS管理中心来判断是否需要对设备进行更新,更新规则体现了该解决方案的智能性和易于管理的特点。
BIMS可以解决对获取的是动态IP地址或NAT网关后面的设备的集中管理,尤其是在对业务应用基本相同、数量庞大并且分布广泛的接入VPN网络终端设备进行管理时,该系统会极大提高管理的效率,大大节约管理成本,另外,管理界面直观友好,维护简单方便。如图2所示。
 
总结
通过Internet 构建 VPN具备低成本、高安全、易管理的特点,使得该技术非常适合用于加油站联网。VPN安全网关为石油石化企业用户量身定制的以上特色业务在加油站联网中已经得到很好的应用。系列化的产品以及完善的解决方案,可以为石油石化行业用户构建一个功能强大而且的灵活VPN网络。一切从用户需求出发 的设计理念,保证了产品及方案最大化地贴近用户需求,真正使得网络安全可靠,用户使用放心。VPN技术的发展和应用,在加油站联网领域为人们描绘了一幅美好蓝图。

天津长发科技有限公司版权所有 电话:022-58900196 022-58900197 传真:022-58900196-818
地址:天津市南开区鞍山西道科贸时代国际公寓2706室   津ICP备11007685号   网站制作:天津网