武建華等

【摘 要】 隨著公司信息化全面縱深發(fā)展和信息系統(tǒng)的集成集中運(yùn)行，公司各項(xiàng)業(yè)務(wù)與信息通信網(wǎng)絡(luò)聯(lián)系越來(lái)越緊密，輸電線路狀態(tài)監(jiān)測(cè)系統(tǒng)也對(duì)信息通信網(wǎng)絡(luò)的規(guī)模和覆蓋范圍提出了新需求。國(guó)家電網(wǎng)公司信息安全接入平臺(tái)是構(gòu)建堅(jiān)強(qiáng)智能電網(wǎng)信息安全接入體系的核心安全防護(hù)設(shè)施，代表了網(wǎng)絡(luò)接入控制技術(shù)的國(guó)際先進(jìn)水平。本文重點(diǎn)介紹了輸電線路無(wú)線寬帶專網(wǎng)是如何接入安全接入平臺(tái)的。

【關(guān)鍵詞】 智能電網(wǎng) 輸電線路在線監(jiān)測(cè)系統(tǒng) 無(wú)線寬帶專網(wǎng) 信息安全 安全接入平臺(tái)

國(guó)家電網(wǎng)公司信息安全接入平臺(tái)已經(jīng)進(jìn)入全面推廣的階段，信息安全接入平臺(tái)是構(gòu)建堅(jiān)強(qiáng)智能電網(wǎng)信息安全接入體系的核心基礎(chǔ)安全防護(hù)設(shè)施，承擔(dān)智能電網(wǎng)各種復(fù)雜網(wǎng)絡(luò)環(huán)境下智能終端安全接入、實(shí)時(shí)監(jiān)控、數(shù)據(jù)安全傳輸與交換、主動(dòng)防御預(yù)警等重要功能，真正意義上實(shí)現(xiàn)了終端、通道和邊界的一體化防護(hù)，代表了網(wǎng)絡(luò)接入控制技術(shù)的國(guó)際先進(jìn)水平。無(wú)線寬帶專網(wǎng)通信系統(tǒng)要想達(dá)到真正的實(shí)用化，必須考慮到信息系統(tǒng)的安全性，也就是說(shuō)一定要實(shí)現(xiàn)安全接入平臺(tái)的接入。

1 系統(tǒng)設(shè)計(jì)

1.1 無(wú)線專網(wǎng)接入安全接入平臺(tái)的系統(tǒng)構(gòu)成

系統(tǒng)組成主要包括加解密芯片、防火墻、加密網(wǎng)關(guān)、身份管理認(rèn)證管理機(jī)、動(dòng)態(tài)密鑰管理機(jī)等設(shè)備構(gòu)成，如圖1所示。

1.2 具體實(shí)現(xiàn)

無(wú)線寬帶專網(wǎng)的接入以APN專網(wǎng)通道接入為模板，組網(wǎng)模式不變。加密網(wǎng)關(guān)、身份認(rèn)證管理和動(dòng)態(tài)密鑰管理已有，只是接入點(diǎn)由省公司移到了變電站，防火墻為內(nèi)外網(wǎng)隔離設(shè)備，變電站已有，如圖2所示。

1.3 工作原理

根據(jù)圖2所示，無(wú)線寬帶專網(wǎng)接入安全接入平臺(tái)系統(tǒng)實(shí)現(xiàn)了三層安全防護(hù)體制。

1.3.1 第一層無(wú)線層防護(hù)

在無(wú)線通信裝置的調(diào)制解調(diào)器中采用了三川電力設(shè)備股份有限公司時(shí)擴(kuò)通信專利技術(shù)，不知道時(shí)擴(kuò)碼，在接收端不可能解調(diào)出正確的數(shù)據(jù)，同理，沒(méi)有經(jīng)過(guò)時(shí)擴(kuò)的信號(hào)也不可能被無(wú)線通信裝置解調(diào)出正確的數(shù)據(jù)，只有知道時(shí)擴(kuò)碼和時(shí)擴(kuò)原理，才可能與WTX型無(wú)線寬帶通信裝置通信。

通過(guò)調(diào)制解調(diào)器后，通信裝置在鏈路層、網(wǎng)絡(luò)層采用了三川電力設(shè)備股份有限公司的實(shí)時(shí)網(wǎng)絡(luò)通信協(xié)議的軟件防護(hù)算法，同樣，不知道防護(hù)算法和解密碼的信息不可能通過(guò)鏈路層或網(wǎng)絡(luò)層。

1.3.2 第二層識(shí)別身份的防火墻

外部網(wǎng)絡(luò)接入電力內(nèi)部網(wǎng)時(shí)要經(jīng)過(guò)國(guó)網(wǎng)公司認(rèn)證的防火墻，防火墻從身份認(rèn)證管理機(jī)獲得允許外部通信裝置進(jìn)入的通信地址（包括鏈路層地址和IP地址），能夠通過(guò)防火墻認(rèn)證身份的外部通信裝置是合法的、允許其信息進(jìn)入，否則，非法的、不允許其信息進(jìn)入。

寬帶無(wú)線通信裝置屬于電力內(nèi)部通信網(wǎng)絡(luò)的外部，首先，將裝置的鏈路層地址和IP地址給身份認(rèn)證管理機(jī)，再到防火墻；于是，該裝置合法，其發(fā)送的信息才能夠穿過(guò)防火墻，進(jìn)入電力內(nèi)部通信網(wǎng)絡(luò)。

1.3.3 第三層對(duì)應(yīng)用層數(shù)據(jù)動(dòng)態(tài)加解密

動(dòng)態(tài)密鑰管理機(jī)管理機(jī)在身份認(rèn)證時(shí)，從身份認(rèn)證管理機(jī)上獲得通信裝置應(yīng)用層的設(shè)備號(hào)IMSI，之后，為IMSI自動(dòng)生成PubKey和PriKey；同理，之前，為加密網(wǎng)關(guān)自動(dòng)生成S-PubKey和S-PriKey。

動(dòng)態(tài)密鑰管理機(jī)將S-PriKey發(fā)給加密網(wǎng)關(guān)作為其自己的私鑰。當(dāng)外部通信裝置身份認(rèn)證通過(guò)后，動(dòng)態(tài)密鑰管理機(jī)將通信裝置的設(shè)備號(hào)IMSI和與之對(duì)應(yīng)的公鑰PubKey發(fā)給加密網(wǎng)關(guān)保存，將加密網(wǎng)關(guān)的公鑰S-PubKey和裝置自身的私鑰發(fā)給無(wú)線通信裝置中的加解密芯片保存。

外部通信裝置每次發(fā)送正式報(bào)文前將自己的設(shè)備號(hào)IMSI用加密網(wǎng)關(guān)的公鑰S-PubKey加密后發(fā)到加密網(wǎng)關(guān)；加密網(wǎng)關(guān)用自己的私鑰S-PriKey解密后，獲得裝置的設(shè)備號(hào)IMSI，由IMSI找到與之對(duì)應(yīng)的通信裝置公鑰PubKey，向動(dòng)態(tài)密鑰管理機(jī)請(qǐng)求隨機(jī)生成動(dòng)態(tài)密鑰Tkey，建立Tkey和IMSI的對(duì)應(yīng)表并保存，將Tkey利用PubKey加密后返回通信裝置內(nèi)的加解密芯片。

通信裝置中的加解密芯片用自己的私鑰PriKey解密后獲得Tkey，并保存密鑰Tkey，用Tkey加密應(yīng)用層數(shù)據(jù)生成秘密報(bào)文，通信裝置通過(guò)加解密芯片將自身的設(shè)備號(hào)IMSI號(hào)用網(wǎng)關(guān)公鑰S-PubKey加密、連同秘密報(bào)文形成新的應(yīng)用層數(shù)據(jù)發(fā)到加密網(wǎng)關(guān)；加密網(wǎng)關(guān)接收到應(yīng)用層數(shù)據(jù)后，用己的私鑰S-PriKey解密后獲得通信裝置的設(shè)備號(hào)IMSI，由IMSI找到其使用的Tkey，并通過(guò)Tkey解密后續(xù)的秘密報(bào)文，復(fù)原出應(yīng)用層數(shù)據(jù)，將應(yīng)用層數(shù)據(jù)傳給連接它的計(jì)算機(jī)——主機(jī)。

主機(jī)要回傳數(shù)據(jù)到通信裝置，首先，主機(jī)將數(shù)據(jù)給加密網(wǎng)關(guān)；加密網(wǎng)關(guān)將主機(jī)發(fā)來(lái)的應(yīng)用層數(shù)據(jù)仍然用Tkey加密形成秘密報(bào)文，之后，將秘密報(bào)文發(fā)給通信裝置；通信裝置收到秘密報(bào)文后，由加解密芯片用Tkey解密，復(fù)原出報(bào)文給通信裝置。

Tkey在生命周期T內(nèi)可重復(fù)使用，一旦生命周期T到期，或者裝置重上電，或者裝置將Tkey丟失，則需要重復(fù)上述生成動(dòng)態(tài)密鑰Tkey的步驟。

于是，形成了上下傳送的都是秘密報(bào)文，不知道私鑰和加密網(wǎng)關(guān)公鑰的外部通信裝置，不可能獲得動(dòng)態(tài)密鑰Tkey，也就不可能解開(kāi)經(jīng)Tkey加密的秘密報(bào)文，即使能夠收到應(yīng)用層數(shù)據(jù)；反之，由于沒(méi)有Tkey，即使能夠向上發(fā)送應(yīng)用層數(shù)據(jù)，要么沒(méi)有加密，要么加密不對(duì)，于是，當(dāng)加密網(wǎng)關(guān)收到后經(jīng)過(guò)Tkey解密后，應(yīng)用層數(shù)據(jù)不符合規(guī)定。這樣，內(nèi)部網(wǎng)絡(luò)內(nèi)的其它計(jì)算機(jī)也不可能解密上下傳送的秘密報(bào)文。

由于動(dòng)態(tài)密鑰Tkey具有生命周期，只要在生命周期內(nèi)，外部黑客不能將其破解，則這種防護(hù)是安全的。

2 典型應(yīng)用案例

本系統(tǒng)應(yīng)用于石家莊安廉II線（上安電廠到廉州變電站的500KV輸電線路）輸電線路在線監(jiān)測(cè)無(wú)線寬帶通信系統(tǒng)中，自應(yīng)用半年以來(lái)，系統(tǒng)運(yùn)行穩(wěn)定，多次成功攔截非法數(shù)據(jù)入侵，取得了顯著效果。

3 結(jié)語(yǔ)

依本文給出的設(shè)計(jì)思路，實(shí)現(xiàn)了輸電線路無(wú)線寬帶專網(wǎng)接入公司安全接入平臺(tái)，使沿線傳輸?shù)臒o(wú)線寬帶專網(wǎng)實(shí)現(xiàn)實(shí)用化，達(dá)到全面推廣的條件，滿足用戶的現(xiàn)場(chǎng)使用要求，有效解決公司內(nèi)、外網(wǎng)業(yè)務(wù)系統(tǒng)的安全接入需求，對(duì)保障電力信息系統(tǒng)的安全穩(wěn)定運(yùn)行具有重大意義。為開(kāi)展后期輸電線路狀態(tài)監(jiān)測(cè)、狀態(tài)檢修提供良好的網(wǎng)絡(luò)基礎(chǔ)。

參考文獻(xiàn)

[1]Q/GDW 245-2008 《架空輸電線路在線監(jiān)測(cè)系統(tǒng)通用技術(shù)條件》.

[2]“國(guó)家電網(wǎng)公司安全接入平臺(tái)典型設(shè)計(jì)技術(shù)方案v3.1”.國(guó)家電網(wǎng)公司.

[3]“安全接入平臺(tái)及安全終端介紹”.國(guó)家電網(wǎng)公司.