1 概述

由于生活和生产的需求，建筑的功能也从简简单单的遮风挡雨，转变到为“享受生活、享受工作的现代人”提供最佳的建筑环境，同时各种各样的建筑设备随之产生，从必需的给排水和照明，到创造安全和舒适生活条件的其他设备，如电梯、空调、消防等。越来越高的要求，越来越多的设备，越来越多的功能，使得“集中控制、统一管理”成为必然的需求，楼宇自控系统正是在这种情况下出现的。楼宇自控系统利用了计算机及其网络技术、自动控制技术和通信技术，构建了高度自动化的综合管理和控制系统，将大楼内部的各种设备连接到一个控制网络上，通过网络对其进行综合的控制，确保建筑物内环境舒适和安全，同时实现高效节能的要求。这和人们的需求是一致的，它的诞生、发展和普及是显而易见的，也是迅速的。

2006年12月7日“2006沪港澳智能建筑技术创新及知识产权保护论坛”在上海成功举行，从一个侧面反映了智能建筑，也可以说是楼宇自控系统的发展非常迅速。但是，在迅速发展的过程中也存在着一些问题，尤其是网络安全问题随之而来。

2 楼宇自控系统面临的问题

1）楼宇自控网络为了满足日益膨胀的信息量传输要求，满足更多的功能需要，逐渐开始采用了因特网作为网络物理平台。同时，远程监控系统逐渐为业主、生产厂家、专家所熟悉、接受、赞同和推广，基于Internet的远程楼宇监控系统也开始发展，楼宇自控网络与Internet的互联正在进行中。

2)Internet 网络上的安全问题日益严重。

楼宇自控网络，最重要的就是要有稳定性、数据监测、运行控制等环节之间的信息传输都需要稳定、安全、迅速的传递，不能受到外部的干扰。所以，楼宇自控网络安全问题已经摆到了人们的面前，应该引起重视。信息的安全传输、访问的权限管理是现阶段最需要解决的关键问题。VPN技术的出现和发展，为解决这个问题提供了新的思路和办法。

3 VPN技术简介

PVN，Visual Private Network—虚拟专用网络。在计算机技术的领域内理解，就是在公共的Internet采用合理的技术建立数据通信的通道，形成一个“私人”的内部网络，而外部人员没有合适的授权，是无法进人该网络的。VPN技术使得世界上任何角落的终端都能通过Internet以安全的方式和合适的权限访问VPN内部相应的各种资源。虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。VPN技术发展很快，但主要关注的是安全性的几个方面:访问权限、数据加密传输、密钥交换与管理。

访问权限采用认证技术来实现，主要是防止数据的伪造和被篡改。

数据加密采用几种可选的数据加密算法，实现网络中的报文即使被恶意截获，也能不被破解。

密钥交换与管理是VPN技术中的关键，拥有密钥的双方才能进行正常的通信。密钥的分发有两种方法:1)通过手工配置;2)采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况;密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN的安全性。

4 VPN技术在楼宇自控网络中的实现

虽然VP N技术在计算机网络中的应用是以Internet为主，但是，楼宇自控以太网的发展是大势所趋，所以VPN技术对于既有的或者新建的楼宇自控网络的安全性都有借鉴和指导作用。

对于介入楼宇自控网络的访问者而言，存在着明显的权限区别:专家级管理人员、系统级管理人员、子系统管理人员、参观者等，每个人的目的不一样，所以在权限是有很大的区别。利用VPN技术能很好地实现权限管理，同时在网络上传输的信息根据不同的网络性质也需要采用不同级别的加密方式。VPN技术在楼宇自控网络中的实现，常用的有两种方式:硬件实现方式和软件实现方式。

4.1 硬件实现方式

鉴于VPN加解密和协议封装会加大网络的负荷，同时，楼宇自控系统的各种设备及监控子系统又较多，监控中心的VPN处理数据量较大，可以采用专用VPN设备或其他的辅助硬件平台。从投资的角度看，这种实现方式会增加初期投资的成本。对于普通的场合，不太适用。如果对于多个楼宇自控网络互联而言，在每个楼宇自控网络与Internet之间采用“VPN设备十网关+防火墙”的形式，投资的增加额度不大，值得考虑。由于目前不同厂商产品之间的兼容性问题，所以建议应尽量选用相同的VPN设备。

4.2 软件实现方式

软件实现方式主要是指采用楼宇自控标准中的相关技术来实现网络安全。现有的楼宇自控通信标准中，BACnet是一种开放性的国际标准。它可以在许多的物理介质上传播，1)具有较好的开放性;2)将楼宇自控网络暴露在所有人的面前，其安全问题不容忽视。所以，BACnet标准的制定者们从一开始就注意到了这个问题，从应用层的角度建立了自己的VPN技术。

BACnet 网络安全的机制与应用层服务是密不可分的。使用握手方式实现对等实体鉴别和数据来源鉴别;使用鉴别用户密码的方式实现操作员身份鉴别。针对可能产生的网络安全问题，该标准提供了鉴别机制(Authentication Mechanism)和数据保密机制(Data Confidentiality Mechanism)两种网络安全机制，并相应的提供了请求密钥服务(RequestKey Service)和鉴别服务(Authenticate Service)，尽可能地保障其网络安全。

当然，还有其他的楼宇自控通信标准，也有类似的方式，来实现数据的加密和权限管理。利用通信标准从网络初期建立就实现了VPN技术，是从软件的方面建立楼宇自控网络的安全体系。

5 结语

楼宇自控网络在迅速发展的同时，越来越多的人通过不同的手段能够进入到原来“安全”孤立的网络中，因此楼宇自控的安全性已经成为了不能忽视的问题。利用计算机网络中的VPN技术及其主要思想，能够为人们提供相应的解决方法—直接采用常规方式，或采用楼宇自控通信标准，或者还有其他方式。总之，解决楼宇自控网络的安全性问题，已经摆在了人们的面前。